在當(dāng)今數(shù)字化的辦公環(huán)境中，USB 設(shè)備的廣泛使用為企業(yè)和組織帶來了便捷，但同時(shí)也隱藏著巨大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。許多企業(yè)和機(jī)構(gòu)都曾因 USB 設(shè)備使用不當(dāng)而遭受嚴(yán)重?fù)p失。

一方面，員工可能會(huì)無意或有意地使用未經(jīng)授權(quán)的 USB 設(shè)備接入公司網(wǎng)絡(luò)。這些未經(jīng)授權(quán)的設(shè)備可能攜帶各種病毒、木馬等惡意代碼，如勒索軟件可以在悄無聲息中感染企業(yè)的計(jì)算機(jī)系統(tǒng)，對(duì)企業(yè)數(shù)據(jù)進(jìn)行加密，隨后向企業(yè)勒索巨額贖金。蠕蟲病毒則能夠迅速在網(wǎng)絡(luò)中傳播，大量占用網(wǎng)絡(luò)帶寬和系統(tǒng)資源，導(dǎo)致企業(yè)正常業(yè)務(wù)癱瘓。而且，這些惡意代碼一旦進(jìn)入企業(yè)內(nèi)網(wǎng)，就可能會(huì)搜索并竊取企業(yè)的核心機(jī)密數(shù)據(jù)，如政府部門的敏感文件、金融機(jī)構(gòu)的客戶信息、教育機(jī)構(gòu)的研究資料以及中小企業(yè)的商業(yè)計(jì)劃等，進(jìn)而導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露事件。

另一方面，員工在使用 USB 設(shè)備時(shí)，可能會(huì)在不經(jīng)意間將公司的機(jī)密數(shù)據(jù)復(fù)制到移動(dòng)設(shè)備上，帶出公司。由于缺乏有效的管控措施，企業(yè)很難追蹤和阻止這種行為。即便是在企業(yè)內(nèi)部，不同部門和層級(jí)的員工對(duì)數(shù)據(jù)的訪問權(quán)限本應(yīng)有所不同，但如果沒有合理的 USB 設(shè)備管理，可能會(huì)出現(xiàn)低權(quán)限員工通過 USB 設(shè)備獲取高敏感數(shù)據(jù)的情況，從而破壞企業(yè)的數(shù)據(jù)安全管理體系。這些因 USB 設(shè)備使用帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)，已經(jīng)成為企業(yè)和組織在信息安全管理方面亟待解決的重大問題。

鴻萌 USB 設(shè)備數(shù)據(jù)安全管理解決方案
一、客戶需求

（一）USB 設(shè)備訪問控制
自動(dòng)識(shí)別并控制接入的 USB 設(shè)備，僅允許授權(quán)設(shè)備進(jìn)行數(shù)據(jù)讀寫。

（二）數(shù)據(jù)防泄漏
禁止未經(jīng)授權(quán) USB 設(shè)備接入，防止病毒、木馬等惡意代碼經(jīng) USB 設(shè)備傳入內(nèi)網(wǎng)，保障生產(chǎn)控制系統(tǒng)安全。

（三）靈活管理策略
依據(jù)不同部門、層級(jí)和工作需求，靈活配置訪問權(quán)限。

（四）詳細(xì)審計(jì)日志
詳細(xì)記錄 USB 設(shè)備使用情況，便于事后審計(jì)和追溯，及時(shí)發(fā)現(xiàn)潛在安全隱患。

二、方案介紹

通過網(wǎng)絡(luò)與USB安全管理系統(tǒng)連接

 
USB安全管理系統(tǒng)與主機(jī)直連
 

國內(nèi)自主研發(fā)的 USB 設(shè)備接入安全管控和數(shù)據(jù)安全傳輸?shù)陌踩揽禺a(chǎn)品。它集設(shè)備認(rèn)證、權(quán)限管理、殺毒隔離、安全審計(jì)等功能于一體，可有效防止未經(jīng)授權(quán)的 USB 設(shè)備接入，并在數(shù)據(jù)傳輸時(shí)進(jìn)行審計(jì)，實(shí)現(xiàn)數(shù)據(jù)傳輸受控、傳輸審計(jì)、文件檢查、病毒查殺等安全功能，確保傳輸過程安全可控。

三、產(chǎn)品功能

 
1.USB設(shè)備管控
可以對(duì)接入的USB存儲(chǔ)設(shè)備進(jìn)行識(shí)別，并由管理員進(jìn)行授權(quán)，經(jīng)過授權(quán)的設(shè)備會(huì)被認(rèn)定為內(nèi)部的可信設(shè)備，允許使用；未經(jīng)授權(quán)的設(shè)備會(huì)被認(rèn)定為不可信設(shè)備，不允許使用。

2.權(quán)限控制
支持對(duì)USB存儲(chǔ)設(shè)備設(shè)置使用權(quán)限策略，可配置讀寫，只讀，禁用，基于下發(fā)策略實(shí)現(xiàn)對(duì)USB存儲(chǔ)設(shè)備中的文件進(jìn)行如讀、寫、刪除、重命名，移動(dòng)，上傳文件等多方面的操作，可多人同時(shí)使用同一個(gè)隔離設(shè)備，對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問。

3.安全防護(hù)
通過對(duì)USB存儲(chǔ)設(shè)備中文件進(jìn)行病毒特征匹配，實(shí)現(xiàn)對(duì)病毒文件的隔離清理；在病毒查殺的基礎(chǔ)上，對(duì)文件進(jìn)行自定義加入白名單，保障加入白名單的文件不被掃描，加快掃描速度；
    支持全盤掃描，對(duì)USB存儲(chǔ)設(shè)備進(jìn)行全盤掃描；
    支持自定義殺毒，對(duì)USB存儲(chǔ)設(shè)備進(jìn)行選擇性殺毒；
    支持文件上傳掃描，經(jīng)過查殺的文件才能正常上傳到U盤中。

4.隔離區(qū)管控
內(nèi)置隔離區(qū)存儲(chǔ)空間，用于存儲(chǔ)檢測(cè)到的惡意文件。該隔離區(qū)與業(yè)務(wù)區(qū)隔離，可有效阻止各類惡意文件的感染和擴(kuò)散。

5.病毒類型查看
支持顯示檢測(cè)到的病毒類型以及病毒名稱，支持對(duì)病毒文件進(jìn)行下載核驗(yàn)。

6.黑白名單策略
采用先進(jìn)的文件黑名單、白名單防護(hù)機(jī)制，支持自動(dòng)、手動(dòng)方式生成白名單策略。

7.共享區(qū)
提供公共的存儲(chǔ)空間供用戶使用，方便文件存儲(chǔ)及共享。

8.HTTPS/SM4加密通信
默認(rèn)全部采用HTTPS加密協(xié)議通信，并且支持SM4國密算法。

9.靈活訪問
支持Web、FTP、SFTP等操作系統(tǒng)自帶的文件訪問方式對(duì)存儲(chǔ)介質(zhì)高效訪問。免客戶端安裝，減少對(duì)主機(jī)的影響，在保證設(shè)備安全運(yùn)行的同時(shí)，有保障了內(nèi)網(wǎng)的安全性。

10.三權(quán)分立
采用三權(quán)分立的用戶管理方式，分為系統(tǒng)管理員、操作管理員和審計(jì)管理員。系統(tǒng)管理員負(fù)責(zé)設(shè)備管理及策略管理，操作管理員負(fù)責(zé)對(duì)U盤授權(quán)、隔離區(qū)、白名單及用戶進(jìn)行管理，審計(jì)管理員負(fù)責(zé)事后審計(jì)信息的管理，三者權(quán)限各自獨(dú)立，互不干涉。

11.自身安全防護(hù)
支持對(duì)BadUSB攻擊進(jìn)行防護(hù)和告警，同時(shí)可以阻斷用戶的違規(guī)外聯(lián)操作，例如違規(guī)接入手機(jī)、無線網(wǎng)卡等設(shè)備。

12.日志審計(jì)
實(shí)時(shí)監(jiān)控USB接口接入，對(duì)系統(tǒng)管理員和操作管理員及普通用戶的登錄和操作進(jìn)行記錄，詳實(shí)記錄移動(dòng)存儲(chǔ)設(shè)備接入后的執(zhí)行動(dòng)作，包括發(fā)生的日期和時(shí)間、事件主體身份、事件描述，供用戶進(jìn)行日志審計(jì)和行為追溯。