珞安科技城市轨交USB移动介质安全解决方案_USB设备端口控制软件

珞安科技城市轨交USB移动介质安全解决方案

珞安科技城市轨交 USB 移动介质安全解决方案，依托USB 设备端口控制软件、USB 安全存储加密系统及USB 集中管控平台，实现统一授权、介质管理、策略下发与升级管控。系统支持白名单认证、病毒查杀、访问控制，搭配 USB 保护锁实现接口物理封堵与外设准入管控，全面保障轨交工控环境移动介质安全合规。

立即咨询

首页

数字化产品

终端安全

珞安科技城市轨交USB移动介质安全解决方案

轨交网络安全事件频发 icon

波兰城铁出轨事件，攻击者为一名年轻的本国黑客，入侵。Lodz的城铁系统，改变轨道板道器，导致4节车厢出轨。

北京地铁5号线站点内信息显示屏出现异常，显示屏文字被后台人员无意篡改。

旧金山Municipal地铁的电脑票价系统遭到黑客攻击，黑客索要100比特币作为赎金。

俄罗斯、乌克兰、保加利亚、土耳其、日本和其它多国的组织机构遭受一款。被称为“坏兔子”的加密勒索软件攻击，俄罗斯和乌克兰首都基辅地铁支付系统遭遇黑客攻击。

随着“微软蓝屏”事件不断扩大，全球多国金融、航空、医疗、交通等行业均报告出现“技术问题”运营受到影响。

城轨云安全系统架构

智慧城市轨道交通信息技术架构为安全生产网、内部管理网、外部服务网。三个域分配计算、存储、网络等资源池，并通过带外管理网对三个域的资源进行统一管理。

四大业务系统

通信系统

专用通信系统

公安通信系统

民用通信系统。

信号系统

基于车地双向通信技术的移动闭塞系统（CBTC）。

AFC系统

计算机集中控制的自动售票、自动检票及进行票务管理、财务结算、客流量统计分析的轨道交通票务自动化管理系统。

综合监控系统

通过单一的软硬件平台，实现多个分立系统原有的管理监控功能。

业务概述

移动介质应用现状

网间隔离

三网采取逻辑、物理等多种隔离，数据传输主要依靠相关的控制中心的网管工作站进行传输，安全无保障、效率较低。

移动介质管控难

在地铁自动化系统运维和使用过程中，存在使用移动存储介质不规范问题，易引入病毒以及黑客攻击程序，文件传输没有相关的策略，重要、敏感数据容易泄露。

系统主机加固薄弱

控制中心、车俩段和车站的服务器与工作站主要以windows、linux为主为主，不具备更新补丁的环境，无有效的恶意代码防护手段，USB接口无管控。

日志审计缺乏

USB移动存储设备使用日志、文件传输等日志无审计，很难有效追踪和定位用户行为。

风险威胁 - 移动介质应用 icon

工控行业为了保证系统的稳定运行，通常采用内网隔离的方式阻断网络攻击，所以USB接口成为了数据交换的主要载体。比如工控行业的运维人员通常都会使用USB设备对文件进行导入或导出，以使收集业务系统数据信息和设备运维等。由USB接口引发的威胁事件数量在工控行业中逐年增加，这种利用USB接口搭载恶意程序进而实施攻击的方式正是攻击者们常用的手段之一。

USB引起的重大攻击事件 icon

USB安全风险

USB手段入侵特点：不易察觉、操作简单、危害巨大、无处不在。

2010年震网病毒

攻击者利用USB将震网病毒植入伊朗核设施，导致核离心机超速运转而毁坏。

2015年上海某电厂事件

2015年，上海某电厂工程师站感染病毒，导致监控数据采集异常，经调查确认是技术人员使用U盘拷贝数据造成。

2016年索伦之眼病毒

针对中国、俄罗斯等政府、军队等敏感部门的APT攻击，病毒源来自USB隐藏分区中。

2017年勒索病毒

勒索病毒全球暴发，中石油国内超2万座加油站遭受攻击。由于日常运维过程中违规使用U盘，造成了病毒交叉感染与扩散。

2018年芯片制造

2018年，台积电网络遭病毒攻击，导致生产线全数停摆。直接损失约19亿元人民币，U盘带入病毒。

XX地铁事件

USB病毒侵入地铁造成服务器瘫痪，地铁线无法正常运作。

整体方案架构图

USB集中管控平台（硬件）
提供对USB安全隔离装置的统一授权管理，统一USB介质管理、统一策略下发和统一系统、病毒库升级管理。

USB安全管理系统（硬件）
提供USB存储设备的接入管理，实现白名单式入网认证、病毒查杀、文件访问控制等。

USB保护锁（按需）
通过USB保护锁对USB接口进行管控，仅可识别鼠标、键盘、摄像头类型设备，主机剩余USB口物理封堵。

USB集中管理平台

特有的USB集中管理平台，实现多台USB安全管理系统的集中化管理，满足规模化使用的诉求。

统一接入
支持多台USB安全隔离装置的统一接入管理，实现对装置信息统一配置、激活和注销等管理，实现装置的信息。集成和共享。

统一升级
实现多台USB安全隔离装置的统一授权管理、统一USB介质管理、统一策略下发和统一系统、病毒库升级管理。

集中审计
实现多台USB安全隔离装置操作日志的集中汇总，用户、装置的机构层级划分管理。

USB安全管理系统

USB安全管理系统是一款保障U盘安全可控使用的安全防护设备。

设备接入控制

基于设备唯一性标识对USB移动存储设备进行入网授权，实现USB存储设备安全接入管控，未经过授权的外部移动存储介质一律禁止使用。

安全U盘认证

支持珞安、北信源安全U盘的合法认证，通过密码登录交换区、加密区，并支持用户维护安全U盘登录密码。

设备病毒查杀

使用专业病毒库，自动对插入系统的USB移动存储设备进行病毒扫描，对扫描出的病毒文件自动进行告警、隔离、删除、阻止处理。

文件黑白名单管控

根据文件后级、特征值设置文件白名单，自动屏蔽高风险文件；
基于文件后缀、特征值设置文件黑名单，防止重要敏感文件的外泄。

终端管理

根据用户操作采集终端信息，并基于授权后合法内部终端，限制USB移动存储介质的访问权限，阻止非法终端的访问。

支持多种访问方式

可以通过WEB、FTP、SFTP、UNC以及专用C/S客户端等访问方式，1样化访问USB移动存储设备上的资源，满足各类新老系统使用环境的要求。

全面的日志审计

支持用户操作日志、USB移动存储设备使用日志及操作系统运行日志的审计和导出操作，有效追踪和定位用户行为。

支持多种权限管理

支持系统管理员、安全操作员、安全审计员三员管理；
支持文件通过设备共享的方式实现资源在不同用户之间共享。

HUB-USB保护锁 icon

无软件解决方案：USB接口物理封堵，通过无软件解决方案减少数据泄露，数据被盗和未经授权上载的风险。

1、主机预留一个USB接口，连接USB-HUB保护锁装置；

2、USB-HUB保护锁装置仅允许插入键盘、鼠标、摄像头设备禁止U盘、手机直接插入主机；
3、全局部署一台USB安全隔离装置，作为外部存储设备唯一入口；

4、通过集中管控平台实现USB安全隔离装置的统一管理。

5、主机剩余USB口局部物理封堵。

通信采集模块

管理局域网交换机的IP、网口开启/关闭权限、网口up/down状态信息上报等。对相关交换机接口进行安全管控，并将其使用信息分析汇总，使其相关使用日志信息及异常告警可以上传到管理平台。

支持利用SNMP协议将局域网交换机接入系统进行集中可视化管控，交换机接入后统一将交换机的空闲端口关闭，避免网口非法接入风险。
支持自动扫描及手动添加交换机功能，交换机接口的批量管控操作。

整体使用流程

系统使用流程

USB安全管理系统 - 国密数字证书 icon

目前USB管理系统支持珞安标配的加密U盘，加密U盘可以导入国网颁发的数字证书，同时将根证书导入USB安全管理系统中，在系统设备管理界面（设备证书导入配置）进行上传，可以实现国网数字证书的认证校验。

USB安全管理系统 - 专用安全U盘 icon

USB安全管理系统 - 终端管理 icon

USB安全管理系统采用被动添加和主动注册的方式对终端主机自动识别，生成终端唯一性标识，将终端注册为内部终端，并进行分组管理，能为不同分组的内部终端指定可以访问的内部介质。

三权分立

· 可配置文件管理策略、病毒防护策略、U盘准入策略。

· 可授权U盘(读写、只读)并指定安全操作员

· 可进行用户权限管理

· 可进行系统设置。

· 可操作USB存储设备的资源

· 可查看隔离文件并进行恢复或删除

· 通过审计日志对系统使用进行溯源

· 日志包括用户登录日志、权限管理日志、USB存储设备使用日志和系统运行日志。

数据中心应用

需求
1、日常工作资料交互，需要通过U盘传输；
2、业务系统的软硬件维护：服务器、存储设备、操作系统、数据库、中间件、应用程序等需要通过U盘传输维护与更新的文件，以确保其正常运行和可靠性。
3、网络运维：包括路由器、交换机、防火墙等需要通过U盘传输维护与更新的文件，以确保网络的正常运行和安全性。
4、数据安全摆渡：系统内有大量敏感数据，如信号数据、用户信息等，因此系统内文件导出存在数据泄露风险，并缺乏有效追溯的运维文件摆渡方式。

解决方案
1、在相关(主/备)数据中心的业务区域部署网络版USB安全管理系统，U盘接入需要经过认证、授权、杀毒、审计，并采用白名单+黑名单机制,内置文件类型白名单和杀毒引擎能有效防止未知病毒文件对数据中心系统带来的威胁，满足了工业控制系统装置现场对移动存储设备安全访问的需求。主机和服务空闲USB口，通过USB物理封堵器封堵。

价值
1、对U盘进行接入控制、病毒查杀、文件黑白名单管控和全面的日志审计等，保障数据摆渡的安全。
2、加强数据中心USB存储设备使用过程中的安全防护能力，规范公司办公人员对于U盘的使用流程，提供安全计算环境。

业务系统应用

需求
1、网管工作站通过移动介质进行数据传输和备份。为了防止恶意代码通过这些移动介质进入系统，需要对其进行严格的管控；

2、业务系统更新与维护：服务器、存储设备、操作系统、数据库、中间件、应用程序等需要通过U盘传输维护与更新的文件，以确保其正常运行和可靠性;
3、USB接口无管控，文件任意拷贝，没有相关管控文件传输策略
4、U盘传输文件没有日志记录，出了安全事故，无法溯源。

解决方案
1、在相关(主/备)业务区域部署网络版USB安全管理系统，U盘接入需要经过认证、授权、杀毒、审计，并采用白名单+黑名单机制,内置文件类型白名单和杀毒引擎能有效防止未知病毒文件对数据中心系统带来:的威胁，满足了工业控制系统装置现场对移动存储设备安全访问的需求。主机和服务空闲USB口，通过USB物理封堵器封堵。

价值
1、对U盘进行接入控制、病毒查杀、文件黑白名单管控和全面的日志审计等，保障数据摆渡的安全；
2、通过开展移动介质安全管控能力建设，实现数据中心主机外设端口现场使用的安全管控，实现操作过程的可审计、可追溯；
3、完善终端安全防护，提高了业务系统的安全能力。