在當今數(shù)字化的辦公環(huán)境中，USB 設備的廣泛使用為企業(yè)和組織帶來了便捷，但同時也隱藏著巨大的數(shù)據(jù)泄露風險。許多企業(yè)和機構都曾因 USB 設備使用不當而遭受嚴重損失。

一方面，員工可能會無意或有意地使用未經授權的 USB 設備接入公司網絡。這些未經授權的設備可能攜帶各種病毒、木馬等惡意代碼，如勒索軟件可以在悄無聲息中感染企業(yè)的計算機系統(tǒng)，對企業(yè)數(shù)據(jù)進行加密，隨后向企業(yè)勒索巨額贖金。蠕蟲病毒則能夠迅速在網絡中傳播，大量占用網絡帶寬和系統(tǒng)資源，導致企業(yè)正常業(yè)務癱瘓。而且，這些惡意代碼一旦進入企業(yè)內網，就可能會搜索并竊取企業(yè)的核心機密數(shù)據(jù)，如政府部門的敏感文件、金融機構的客戶信息、教育機構的研究資料以及中小企業(yè)的商業(yè)計劃等，進而導致嚴重的數(shù)據(jù)泄露事件。

另一方面，員工在使用 USB 設備時，可能會在不經意間將公司的機密數(shù)據(jù)復制到移動設備上，帶出公司。由于缺乏有效的管控措施，企業(yè)很難追蹤和阻止這種行為。即便是在企業(yè)內部，不同部門和層級的員工對數(shù)據(jù)的訪問權限本應有所不同，但如果沒有合理的 USB 設備管理，可能會出現(xiàn)低權限員工通過 USB 設備獲取高敏感數(shù)據(jù)的情況，從而破壞企業(yè)的數(shù)據(jù)安全管理體系。這些因 USB 設備使用帶來的數(shù)據(jù)泄露風險，已經成為企業(yè)和組織在信息安全管理方面亟待解決的重大問題。

鴻萌 USB 設備數(shù)據(jù)安全管理解決方案
一、客戶需求

（一）USB 設備訪問控制
自動識別并控制接入的 USB 設備，僅允許授權設備進行數(shù)據(jù)讀寫。

（二）數(shù)據(jù)防泄漏
禁止未經授權 USB 設備接入，防止病毒、木馬等惡意代碼經 USB 設備傳入內網，保障生產控制系統(tǒng)安全。

（三）靈活管理策略
依據(jù)不同部門、層級和工作需求，靈活配置訪問權限。

（四）詳細審計日志
詳細記錄 USB 設備使用情況，便于事后審計和追溯，及時發(fā)現(xiàn)潛在安全隱患。

二、方案介紹

通過網絡與USB安全管理系統(tǒng)連接

 
USB安全管理系統(tǒng)與主機直連
 

國內自主研發(fā)的 USB 設備接入安全管控和數(shù)據(jù)安全傳輸?shù)陌踩揽禺a品。它集設備認證、權限管理、殺毒隔離、安全審計等功能于一體，可有效防止未經授權的 USB 設備接入，并在數(shù)據(jù)傳輸時進行審計，實現(xiàn)數(shù)據(jù)傳輸受控、傳輸審計、文件檢查、病毒查殺等安全功能，確保傳輸過程安全可控。

三、產品功能

 
1.USB設備管控
可以對接入的USB存儲設備進行識別，并由管理員進行授權，經過授權的設備會被認定為內部的可信設備，允許使用；未經授權的設備會被認定為不可信設備，不允許使用。

2.權限控制
支持對USB存儲設備設置使用權限策略，可配置讀寫，只讀，禁用，基于下發(fā)策略實現(xiàn)對USB存儲設備中的文件進行如讀、寫、刪除、重命名，移動，上傳文件等多方面的操作，可多人同時使用同一個隔離設備，對移動存儲設備進行訪問。

3.安全防護
通過對USB存儲設備中文件進行病毒特征匹配，實現(xiàn)對病毒文件的隔離清理；在病毒查殺的基礎上，對文件進行自定義加入白名單，保障加入白名單的文件不被掃描，加快掃描速度；
    支持全盤掃描，對USB存儲設備進行全盤掃描；
    支持自定義殺毒，對USB存儲設備進行選擇性殺毒；
    支持文件上傳掃描，經過查殺的文件才能正常上傳到U盤中。

4.隔離區(qū)管控
內置隔離區(qū)存儲空間，用于存儲檢測到的惡意文件。該隔離區(qū)與業(yè)務區(qū)隔離，可有效阻止各類惡意文件的感染和擴散。

5.病毒類型查看
支持顯示檢測到的病毒類型以及病毒名稱，支持對病毒文件進行下載核驗。

6.黑白名單策略
采用先進的文件黑名單、白名單防護機制，支持自動、手動方式生成白名單策略。

7.共享區(qū)
提供公共的存儲空間供用戶使用，方便文件存儲及共享。

8.HTTPS/SM4加密通信
默認全部采用HTTPS加密協(xié)議通信，并且支持SM4國密算法。

9.靈活訪問
支持Web、FTP、SFTP等操作系統(tǒng)自帶的文件訪問方式對存儲介質高效訪問。免客戶端安裝，減少對主機的影響，在保證設備安全運行的同時，有保障了內網的安全性。

10.三權分立
采用三權分立的用戶管理方式，分為系統(tǒng)管理員、操作管理員和審計管理員。系統(tǒng)管理員負責設備管理及策略管理，操作管理員負責對U盤授權、隔離區(qū)、白名單及用戶進行管理，審計管理員負責事后審計信息的管理，三者權限各自獨立，互不干涉。

11.自身安全防護
支持對BadUSB攻擊進行防護和告警，同時可以阻斷用戶的違規(guī)外聯(lián)操作，例如違規(guī)接入手機、無線網卡等設備。

12.日志審計
實時監(jiān)控USB接口接入，對系統(tǒng)管理員和操作管理員及普通用戶的登錄和操作進行記錄，詳實記錄移動存儲設備接入后的執(zhí)行動作，包括發(fā)生的日期和時間、事件主體身份、事件描述，供用戶進行日志審計和行為追溯。