在當今數(shù)字化的辦公環(huán)境中，USB 設(shè)備的廣泛使用為企業(yè)和組織帶來了便捷，但同時也隱藏著巨大的數(shù)據(jù)泄露風險。許多企業(yè)和機構(gòu)都曾因 USB 設(shè)備使用不當而遭受嚴重損失。

一方面，員工可能會無意或有意地使用未經(jīng)授權(quán)的 USB 設(shè)備接入公司網(wǎng)絡(luò)。這些未經(jīng)授權(quán)的設(shè)備可能攜帶各種病毒、木馬等惡意代碼，如勒索軟件可以在悄無聲息中感染企業(yè)的計算機系統(tǒng)，對企業(yè)數(shù)據(jù)進行加密，隨后向企業(yè)勒索巨額贖金。蠕蟲病毒則能夠迅速在網(wǎng)絡(luò)中傳播，大量占用網(wǎng)絡(luò)帶寬和系統(tǒng)資源，導致企業(yè)正常業(yè)務癱瘓。而且，這些惡意代碼一旦進入企業(yè)內(nèi)網(wǎng)，就可能會搜索并竊取企業(yè)的核心機密數(shù)據(jù)，如政府部門的敏感文件、金融機構(gòu)的客戶信息、教育機構(gòu)的研究資料以及中小企業(yè)的商業(yè)計劃等，進而導致嚴重的數(shù)據(jù)泄露事件。

另一方面，員工在使用 USB 設(shè)備時，可能會在不經(jīng)意間將公司的機密數(shù)據(jù)復制到移動設(shè)備上，帶出公司。由于缺乏有效的管控措施，企業(yè)很難追蹤和阻止這種行為。即便是在企業(yè)內(nèi)部，不同部門和層級的員工對數(shù)據(jù)的訪問權(quán)限本應有所不同，但如果沒有合理的 USB 設(shè)備管理，可能會出現(xiàn)低權(quán)限員工通過 USB 設(shè)備獲取高敏感數(shù)據(jù)的情況，從而破壞企業(yè)的數(shù)據(jù)安全管理體系。這些因 USB 設(shè)備使用帶來的數(shù)據(jù)泄露風險，已經(jīng)成為企業(yè)和組織在信息安全管理方面亟待解決的重大問題。

鴻萌 USB 設(shè)備數(shù)據(jù)安全管理解決方案
一、客戶需求

（一）USB 設(shè)備訪問控制
自動識別并控制接入的 USB 設(shè)備，僅允許授權(quán)設(shè)備進行數(shù)據(jù)讀寫。

（二）數(shù)據(jù)防泄漏
禁止未經(jīng)授權(quán) USB 設(shè)備接入，防止病毒、木馬等惡意代碼經(jīng) USB 設(shè)備傳入內(nèi)網(wǎng)，保障生產(chǎn)控制系統(tǒng)安全。

（三）靈活管理策略
依據(jù)不同部門、層級和工作需求，靈活配置訪問權(quán)限。

（四）詳細審計日志
詳細記錄 USB 設(shè)備使用情況，便于事后審計和追溯，及時發(fā)現(xiàn)潛在安全隱患。

二、方案介紹

通過網(wǎng)絡(luò)與USB安全管理系統(tǒng)連接

 
USB安全管理系統(tǒng)與主機直連
 

國內(nèi)自主研發(fā)的 USB 設(shè)備接入安全管控和數(shù)據(jù)安全傳輸?shù)陌踩揽禺a(chǎn)品。它集設(shè)備認證、權(quán)限管理、殺毒隔離、安全審計等功能于一體，可有效防止未經(jīng)授權(quán)的 USB 設(shè)備接入，并在數(shù)據(jù)傳輸時進行審計，實現(xiàn)數(shù)據(jù)傳輸受控、傳輸審計、文件檢查、病毒查殺等安全功能，確保傳輸過程安全可控。

三、產(chǎn)品功能

 
1.USB設(shè)備管控
可以對接入的USB存儲設(shè)備進行識別，并由管理員進行授權(quán)，經(jīng)過授權(quán)的設(shè)備會被認定為內(nèi)部的可信設(shè)備，允許使用；未經(jīng)授權(quán)的設(shè)備會被認定為不可信設(shè)備，不允許使用。

2.權(quán)限控制
支持對USB存儲設(shè)備設(shè)置使用權(quán)限策略，可配置讀寫，只讀，禁用，基于下發(fā)策略實現(xiàn)對USB存儲設(shè)備中的文件進行如讀、寫、刪除、重命名，移動，上傳文件等多方面的操作，可多人同時使用同一個隔離設(shè)備，對移動存儲設(shè)備進行訪問。

3.安全防護
通過對USB存儲設(shè)備中文件進行病毒特征匹配，實現(xiàn)對病毒文件的隔離清理；在病毒查殺的基礎(chǔ)上，對文件進行自定義加入白名單，保障加入白名單的文件不被掃描，加快掃描速度；
    支持全盤掃描，對USB存儲設(shè)備進行全盤掃描；
    支持自定義殺毒，對USB存儲設(shè)備進行選擇性殺毒；
    支持文件上傳掃描，經(jīng)過查殺的文件才能正常上傳到U盤中。

4.隔離區(qū)管控
內(nèi)置隔離區(qū)存儲空間，用于存儲檢測到的惡意文件。該隔離區(qū)與業(yè)務區(qū)隔離，可有效阻止各類惡意文件的感染和擴散。

5.病毒類型查看
支持顯示檢測到的病毒類型以及病毒名稱，支持對病毒文件進行下載核驗。

6.黑白名單策略
采用先進的文件黑名單、白名單防護機制，支持自動、手動方式生成白名單策略。

7.共享區(qū)
提供公共的存儲空間供用戶使用，方便文件存儲及共享。

8.HTTPS/SM4加密通信
默認全部采用HTTPS加密協(xié)議通信，并且支持SM4國密算法。

9.靈活訪問
支持Web、FTP、SFTP等操作系統(tǒng)自帶的文件訪問方式對存儲介質(zhì)高效訪問。免客戶端安裝，減少對主機的影響，在保證設(shè)備安全運行的同時，有保障了內(nèi)網(wǎng)的安全性。

10.三權(quán)分立
采用三權(quán)分立的用戶管理方式，分為系統(tǒng)管理員、操作管理員和審計管理員。系統(tǒng)管理員負責設(shè)備管理及策略管理，操作管理員負責對U盤授權(quán)、隔離區(qū)、白名單及用戶進行管理，審計管理員負責事后審計信息的管理，三者權(quán)限各自獨立，互不干涉。

11.自身安全防護
支持對BadUSB攻擊進行防護和告警，同時可以阻斷用戶的違規(guī)外聯(lián)操作，例如違規(guī)接入手機、無線網(wǎng)卡等設(shè)備。

12.日志審計
實時監(jiān)控USB接口接入，對系統(tǒng)管理員和操作管理員及普通用戶的登錄和操作進行記錄，詳實記錄移動存儲設(shè)備接入后的執(zhí)行動作，包括發(fā)生的日期和時間、事件主體身份、事件描述，供用戶進行日志審計和行為追溯。