盛讯美恒u盘安全管理方案

一、概述

随着usb 接口的广泛运用，特别是大容量，高速的u 盘广泛使用，如何在保持便利的同时防止外来恶意攻击，数据有序拷贝，成为需要管理敏感资料的机构面对的问题，例如需要接收外部u 盘的政务办公中心，如何把外部u 盘报送数据安全传送到内部业务办理系统；对拷贝数据有严格审计要求的单位文档管理，如何安全可追溯的拷贝数据。

盛讯美恒科技凭借在usb server 上的多年经验，以及对用户业务的深刻理解，推出U盘安全管理方案，协助机构对u盘做到有序使用。

 

二、U 盘安全

安全不能是单独一项功能，需要考虑攻击的总是从最薄弱的地方发起，不能有短板。盛讯美恒的U盘安全综合考虑了物理隔离，使用前安检，使用中日志审核，使用后的使用痕迹检查，全方位保护资料不外泄。

工作流程

U 盘插入 usb server，系统检测到 u盘插入， 调用防病毒检测，若是bitlocker 加密u盘，对比唯一序列号，检测通过后，放开数据通道，通知指定的客户端共享，并记录操作过程。

2.1物理隔离

U 盘不直接插在工作电脑上，而是先插在usb server, 通过网络转换协议，到客户端还原成u盘数据，避免了对客户电脑的badusb、 HID 注入攻击等物理攻击手段

2.2安检通道

U 盘插到usb server 后，不是直接共享到客户端，需要通过防病毒和防恶意软件检查，切断病毒通过u盘感染和传播的途径。对于启用加密的u 盘，还要和系统内唯一ID 对比，通过后才通知给指定的客户端，仅允许指定的客户端连接数据通道，进行常规拷贝操作。

以上过程可以设定为自动执行，也可以人工接入决定给指定客户端

2.3 日志审计

开启对U 盘使用的记录，提供了详细、可配置的日志功能；

记录级别分为：仅连接、连接+数据头、全部数据包（不同的记录级别有不同安全响应，记录数据越详细，对网络和服务器的压力也越大）；

以下以使用一个加密狗为例说明：

记录级别    数据量 安全性 监控目标

仅连接        小     低   是否使用了U 盘

连接+数据头   中     高   用U 盘做了哪些事情

全部数据包    大     高   用U 盘做了哪些事情，具体操作了哪些数据

该项功能需要独立的日志服务器分担记录压力。

2.4 使用痕迹检查

使用痕迹检查功能，配合usb server 的日志审计功能，用于检查本地usb 端口使用情况，确保usb 设备的使用只能通过 usb server  可控使用，杜绝私插 U 盘的行为。

三、加密U盘

加密U盘支持主流的 bitlocker 加密方式，具备如下特点

（1）唯一性：内部具有唯一序列号，无法更改和复制，可实现优盘失控状态下的快速追查和定位；

（2）强审计： U盘操作均被强制记录，用户无法删除和修改，通过两层权限设置，可实现对单位内部电子文档的监督管理；

（3）防摆渡攻击：采用独立专用文件系统，有效防止病毒、木马等恶意代码攻击，可切断病毒通过盘感染和传播的途径；

（4）防丢失：对数据进行高强度保护，非授权访问时盘可自动锁死，可有效防止密码尝试和暴力破解；

（5）无需额外安装软件，可实现对盘文件的创建、复制、粘贴、拖放、删除等操作，界面友好直观

配套的加密U 盘管理系统，实现加密u 盘的制作，分发

四、设备选型

USB Server 16口安全加固版

USB3-GR16M+

支持公有云、私有云、混合云、超融合环境；

2 个千兆网口；

14 个 USB2.0 Host+2个 USB 3.0 端口,每端口提供 750mA 供电；

冗余电源，保证不断电；

使用审计，安全加固。

1 U 机架式部署，双电源双网口，千兆网卡；

适合对安全性有严格要求的企业。