在当今数字化的办公环境中,USB 设备的广泛使用为企业和组织带来了便捷,但同时也隐藏着巨大的数据泄露风险。许多企业和机构都曾因 USB 设备使用不当而遭受严重损失。
一方面,员工可能会无意或有意地使用未经授权的 USB 设备接入公司网络。这些未经授权的设备可能携带各种病毒、木马等恶意代码,如勒索软件可以在悄无声息中感染企业的计算机系统,对企业数据进行加密,随后向企业勒索巨额赎金。蠕虫病毒则能够迅速在网络中传播,大量占用网络带宽和系统资源,导致企业正常业务瘫痪。而且,这些恶意代码一旦进入企业内网,就可能会搜索并窃取企业的核心机密数据,如政府部门的敏感文件、金融机构的客户信息、教育机构的研究资料以及中小企业的商业计划等,进而导致严重的数据泄露事件。
另一方面,员工在使用 USB 设备时,可能会在不经意间将公司的机密数据复制到移动设备上,带出公司。由于缺乏有效的管控措施,企业很难追踪和阻止这种行为。即便是在企业内部,不同部门和层级的员工对数据的访问权限本应有所不同,但如果没有合理的 USB 设备管理,可能会出现低权限员工通过 USB 设备获取高敏感数据的情况,从而破坏企业的数据安全管理体系。这些因 USB 设备使用带来的数据泄露风险,已经成为企业和组织在信息安全管理方面亟待解决的重大问题。
USB 设备数据安全管理解决方案
一、客户需求
(一)USB 设备访问控制
自动识别并控制接入的 USB 设备,仅允许授权设备进行数据读写。
(二)数据防泄漏
禁止未经授权 USB 设备接入,防止病毒、木马等恶意代码经 USB 设备传入内网,保障生产控制系统安全。
(三)灵活管理策略
依据不同部门、层级和工作需求,灵活配置访问权限。
(四)详细审计日志
详细记录 USB 设备使用情况,便于事后审计和追溯,及时发现潜在安全隐患。
二、方案介绍
通过网络与USB安全管理系统连接:
USB安全管理系统与主机直连:
国内自主研发的 USB 设备接入安全管控和数据安全传输的安全防控产品。它集设备认证、权限管理、杀毒隔离、安全审计等功能于一体,可有效防止未经授权的 USB 设备接入,并在数据传输时进行审计,实现数据传输受控、传输审计、文件检查、病毒查杀等安全功能,确保传输过程安全可控。
三、产品功能
1.USB设备管控
可以对接入的USB存储设备进行识别,并由管理员进行授权,经过授权的设备会被认定为内部的可信设备,允许使用;未经授权的设备会被认定为不可信设备,不允许使用。
2.权限控制
支持对USB存储设备设置使用权限策略,可配置读写,只读,禁用,基于下发策略实现对USB存储设备中的文件进行如读、写、删除、重命名,移动,上传文件等多方面的操作,可多人同时使用同一个隔离设备,对移动存储设备进行访问。
3.安全防护
通过对USB存储设备中文件进行病毒特征匹配,实现对病毒文件的隔离清理;在病毒查杀的基础上,对文件进行自定义加入白名单,保障加入白名单的文件不被扫描,加快扫描速度;
- 支持全盘扫描,对USB存储设备进行全盘扫描;
- 支持自定义杀毒,对USB存储设备进行选择性杀毒;
- 支持文件上传扫描,经过查杀的文件才能正常上传到U盘中。
4.隔离区管控
内置隔离区存储空间,用于存储检测到的恶意文件。该隔离区与业务区隔离,可有效阻止各类恶意文件的感染和扩散。
5.病毒类型查看
支持显示检测到的病毒类型以及病毒名称,支持对病毒文件进行下载核验。
6.黑白名单策略
采用先进的文件黑名单、白名单防护机制,支持自动、手动方式生成白名单策略。
7.共享区
提供公共的存储空间供用户使用,方便文件存储及共享。
8.HTTPS/SM4加密通信
默认全部采用HTTPS加密协议通信,并且支持SM4国密算法。
9.灵活访问
支持Web、FTP、SFTP等操作系统自带的文件访问方式对存储介质高效访问。免客户端安装,减少对主机的影响,在保证设备安全运行的同时,有保障了内网的安全性。
10.三权分立
采用三权分立的用户管理方式,分为系统管理员、操作管理员和审计管理员。系统管理员负责设备管理及策略管理,操作管理员负责对U盘授权、隔离区、白名单及用户进行管理,审计管理员负责事后审计信息的管理,三者权限各自独立,互不干涉。
11.自身安全防护
支持对BadUSB攻击进行防护和告警,同时可以阻断用户的违规外联操作,例如违规接入手机、无线网卡等设备。
12.日志审计
实时监控USB接口接入,对系统管理员和操作管理员及普通用户的登录和操作进行记录,详实记录移动存储设备接入后的执行动作,包括发生的日期和时间、事件主体身份、事件描述,供用户进行日志审计和行为追溯。
