简 介
在《浅谈工控领域如何防范U盘病毒》文章中我们介绍了主要的移动介质安全解决方案,解决工控生产环境内部受信主机数据交换的部分问题,该方案主要解决了病毒无法从外网携带入内网,主要包括以下几个功能:
通过使用安全U盘限制了非安全U盘的接入的生产网。通过使用安全U盘的安全区解决了生产网内的数据交换。通过使用安全U盘的普通区,解决了生产网到非生产网的数据交换。通过区分安全和普通区,提升了内外数据交换过程的保密性。但是该解决方案很大限制客户的使用,无法适应工控生产网的一些需求:
外网的数据如何进入工控生产,工控软件升级等过程需要从外部把软件拷贝到生产网,虽然不是很频繁,但是这个功能是必须的。生产网类的主机感染病毒之后怎么防止病毒传播到其他主机。在生产网络需要限制安全U盘的使用范围,保障安全U盘只能在特定厂区或特定人员使用。同样,使用杀毒主机、摆渡机等在技术应用的同时需要行政干预,均可轻易绕过,技术管控手段不闭环。因此,迫切地需要一种新的移动介质管控方案来解决上述问题。
应用场景
移动介质安检站部署于厂区、场站或车间入口处。外来人员的存储介质接入到移动介质安检站,经移动介质安检站查杀并打上查毒标记。存储介质接入到操作员站时,工控主机卫士进行查毒标记检查,存在标记的将允许进行数据读写。 设计思路
以安全U盘为基础,以移动介质安检站为核心,采用三层防护思路,只需要技术手段,而无需人员管理上干预就可以完美地构建移动介质存储安全解决方案。
第一层防护做到授权及病毒控制,通过安全U盘的注册功能实现移动介质可信及使用范围可控,同时通过检查U盘上的杀毒标记来限制U盘的读写,从而保障解决移动存储介质在生产网使用范围不受控及数据交换过程病毒引入问题。
第二层防护做到数据传输安全可靠,通过移动介质安检站对安全U盘病毒的查杀,解决生产网与生产网、非生产网与生产网的数据安全交换问题。
第三层防护实现文件写入可控和可审计,通过写入软件向安全U盘写入文件并清除杀毒标记,防止其他程序或非法应用程序写入并实现用户写入可视及可审计,解决了非生产网与生产网的数据交换过程中非法程序在用户无意识的情况下向安全U盘写入不安全的信息问题。
解决方案
基于移动介质安检站的移动介质管控方案如上图所示,解决方案中包括统一管理平台、工控主机卫士、移动介质安检站、安全U盘及写入软件、普通U盘等组件:
统一管理平台:统一管理平台主要实现对所有终端的管理及监控、U盘管理、U盘安全审计日志采集及查询。
工控主机卫士:安装在工控主机和移动介质安检站上,实现安全U盘或普通U盘病毒的检测和控制,控制只有经过授权和杀毒的U盘才能在生产网内使用。
移动介质安检站:提供双病毒引擎,可对普通U盘和安全U盘上的病毒进行查杀,并生成普通U盘和安全U盘的查杀标记;支持通过上网卡实现病毒库升级;同时通过主机卫士实现杀毒主机的安全防护。
安全U盘:提供数据交换的介质,可在安全等级较高的网络中实现数据交换;安全U盘划分普通区和安全区;安全U盘的安全区实现生产网内数据交换,保障数据的机密性;安全U盘的普通区实现生产网间、非生产网和生产网间的数据交换;安全U盘通过写入软件控制安全U盘的写入、生成杀毒标记、U盘操作的审计,保障数据交换的安全性。
安全U盘写入软件:安全U盘写入软件存放在安全U盘上,实现授权用户从非生产网向生产网数据写入文件的传输及传输文件的审计。
普通U盘:提供数据交换的介质,可在安全等级较低的网络中实现生产网内数据交换、生产网间数据交换、非生产网和生产网间的数据交换。
操作流程
U盘集中管理
集中授权由安全管理员集中管理U盘,主要用于安全U盘授权,安全U盘授权完之后分发给使用者:
首先,安全管理员找到一台安装主机卫士的操作主机,插入U盘。然后,在该主机上打开统一管理平台管理界面,选择已经插入的U盘,向工控主机下发授权。最后,工控主机接收到U盘授权信息并保存该主机的U盘授权信息,待后续U盘插入工控主机做授权验证。U盘分布式管理
分布授权主要适合普通U盘的授权管理,由使用者插入安装了主机卫士的主机,向管理平台发起授权申请,然后等待安全管理员集中授权:
首先,使用者在打算授权的主机上插入U盘,然后在主机卫士上申请授权;然后,管理员在管理平台上查看授权申请信息,然后向使用主机进行授权;最后,工控主机收到授权信息则在该主机上保存U盘的授权信息。
数据交换
用户在安全区使用安全U盘,操作员站上的主机卫士检查该U盘是否授权U盘且是否已经杀毒;如果该U盘未授权则禁止主机读写该U盘。如果该U盘已经授权但未杀毒则禁止主机读写该U盘。如果该U盘已经授权且已经杀毒则按照U盘授权的权限进行读写。使用者在某个操作员站主机上向已经杀毒的U盘写入数据,写入软件清除杀毒标记并记录文件变更日志。只有到移动介质安检站经过杀毒并置杀毒标记才允许在其他安全主机上使用。 部署建议
本解决方案支持安全U盘和普通U盘,安全U盘通过写入软件控制U盘的读写,可以保障写入可审计,同时通过划分普通区和安全分区,可以控制不同安全等级的网络数据传输的保密性和安全性;当然为了降低客户的成本,也提供了普通U盘的病毒检测,但是且病毒检测的效率、安全性与安全U盘有很大差距,并且无法进行数据读写审计。安全U盘整体解决方案可以满足不同安全级别要求,建议等保三级或四级系统使用安全U盘,且等保四级的系统生产网内部数据交换必须使用安全U盘的安全区且必须进行病毒查杀。
