大型制造业U盘的使用痛点

我们众里在2022年下半年，走访调研了大量的甲方，关于网络安全建设的现状与目前面对的一些问题。我们发现许多甲方都做了很多的防御，但是他们之间的效果却是天壤之别，有些效果非常好，有些却不尽人意。

那这跟我们今天的议题有什么关系呢？其实我们会发现，网络安全做到后来，就会更加的颗粒化，更加的细化。U盘管控虽然只是我们网络安全的一个边角，但这个边角却很重要。我们在长期的接触下来发现，对由于U盘管理上的问题，导致通过这个跳板，最终终端被攻破、网络沦陷的案例，在整体网络安全事件中，占有不小的比例。

对于USB中毒这个问题，我们发现有些制造型企业，比较极端的做法，他们会通过软件把USB口全都封掉，这样做虽然能够有效的防范，但在制造些企业的产线中，总会有某些需要用到U盘的情况，例如一些无法联网的老旧机台，调试时需要拷贝文件，这都是无法避免的。

我们众里依据现有的技术与体系，针对U盘管控这块颗粒，提出了一套完整的U盘管控方案，这套方案非常的详细，能够最大程度上避免USB所带来的网络安全隐患。

内部U盘管控分析

我们将U盘管控分为了两大场景，分别是企业内部的U盘管控和企业外部的U盘管控，我们首先来分析企业内部的。

我们将企业内部的场景分为了四项需求，分别是安全需求、共享需求、保密需求以及管理需求。

安全需求：U盘中的文件不要带有病毒，不让U盘成为毒盘，到处传播病毒。对此业内有些解决方案，例如杀毒U盘，杀毒U盘是在U盘内部内置了杀毒引擎，其本身有杀毒的效果，但是杀毒U盘成本较高，往往一个都要上千的价格，如果企业要大量的使用U盘，这时候杀毒U盘所带来的效益还是需要我们重新审视的 ；另外在我们调研时发现，有的甲方会要求每次员工使用后，员工去手动将U盘里面的文件进行扫描杀毒，但这个方案的问题就在于员工的行为是不可控的。

共享需求：在我们众里的调查中发现，有些研发部门可能有1000个人需要用到U盘，但却做不到人手一只，会出现平均10个人共用一只U盘的情况。这个时候一般企业都会做领用管控，就是当你需要使用的时候，就需要人为的登记、签字、归还这一系列的流程，但U盘一但多，这个流程就会变得繁琐，需要投入大量的管理的人力，同时如果管理U盘的人突然有事不在，又会耽搁到领用人工作的时效性问题 ；对此还会存在一个责任划分的问题，U盘在借出归还后，U盘中毒了，或者发生了损坏，这个责任风险是很难精确的划分的。

保密需求：U盘的便携性必然会带来泄密的风险，我们在调研的过程中，很多甲方都提出问题，怎么去防止U盘文件的外泄或是U盘遗失后，如何保证里面的机密文件不被别人拷贝过去；同时还有个问题就是如何去防止U盘未经授权，将机台上的配方等文件，拷贝出来。

管理需求：当我们的U盘发生了安全事件，导致公司损失了，我们的管理就需要去审计溯源，谁？在什么时候？用U盘拷贝了哪些文件？从而做一些弥补的措施；另外我们使用与U盘需要走审批程序，这个审批程序是怎么审批呢，是打个电话跟领导报备，或者是走OA系统进行审批。

解决方案1

针对这四项需求，我们众里开发了一个智能U盘管理柜，大家可以理解为是储物柜的形式，每个柜子中都是一个USB接口，接口上插着U盘，同时柜体中有一台主机，主机内部就是我们的管控平台，这个管控平台是可以跟OA系统打通的，然后负责操控智能柜开柜，验证员工申请的审核信息，上传使用记录至OA系统。

这套管理柜的主要使用流程就是员工在OA系统进行申请，申请通过后OA系统将下发审核记录至U盘柜的管控平台，这时候员工就可以拿着打通后的员工卡或是密码进行开柜，开柜时智能柜就会向管控平台发送申请，我们的管控平台进行验证，验证后将结果发送至智能柜，从而进行开柜。

对于U盘的申请方式有两种，一种是通过电脑终端访问我们的U盘管控平台，直接向平台发起申请，管理员也在管控平台进行审核；还有一种就是将管控平台与OA系统连接，用户在OA系统发起申请，管理员也通过OA进行审核。

在U盘收回后，智能柜会自动对U盘内的文件进行清除初始化处理，并且自动上传杀毒过程中发现病毒的安全日志。当U盘在线时，智能柜也会定期检查升级选项并自动升级病毒库。

在使用的过程中，智能柜如果发现U盘未及时归还、归还的U盘不是该柜子绑定的U盘、U盘中的文件发现病毒、U盘硬件故障这些问题，都会进行自动告警，告警信息可以发送到管控平台或OA平台上，也可以发送到使用人员和管理人员的指定通讯方式上。

那让我们回到之前分析的四个需求，我们的智能U盘柜解决了共享与管理的需求，另外安全与保密的需求就需要再搭配不同的U盘进行一起使用，选用杀毒U盘可以有效的解决安全需求，选用加密U盘与定制U盘就可以解决保密需求。

外部U盘管控现状

外部U盘的管控场景主要有几点是无法避免的，例如设备的原厂，需要带U盘进来对机台进行调试、维护；或是上下游的供应商，建立合作后需要带工艺文件来过来；以及一些特定的专业服务商，需要进来进行程序的安装，POC。这都是些无法避免的场景。

目前来说，大多数甲方主要是通过下图中这个流程来进行防范的，先是入门登记再进行全盘扫毒，最后U盘进厂。这个流程还是会存在相应的缺陷，主要是流程繁杂、费时、病毒库单一、不支持Linux扫毒、存在非法反向复制。

解决方案2

对此我们众里推出多病毒引擎一体机，可提供安全、规范、自助，靠谱的USB存储文件交换解决方案。

它的优势主要在于：

1. 多来源识别 : U盘、USB硬盘、USB卡片阅读机、相机、手机、 USB光盘机(开发中)、USB Floppy (开发中)

2. 多引擎查杀 : 一体机集合多款病毒查杀引擎，极大加强病毒查杀妥善率，还提供跨平台的Linux杀毒引擎，让企业的Linux系统的病毒防护不再是漏洞

3. 管理细致可靠 : 统一管理平台，下发策略，报表查询，文件备查、全程监控，事前规范，事中防范，事后审计

4. 定制U盘 : 提供硬件级加密，限制非一体机系统写入数据，既可确保U盘不带病毒，亦可100%防范机密资料外泄

这套设备主要运用在以下两个场景：

场景一：无尘室文件传输场景

第三方机台运维人员，因机台故障需要传输配置文件升级或维修，文件必须传输到无尘室的机台上，在Fab区不能出现私人U盘，同时还 有一些老旧机台不能联网，只能通过U盘传输文件。

把前端自助查杀一体机放在无尘室，提供定制U盘，并规定普通U盘不能出现在Fab区，只有定制U盘才能在Fab区使用，定制U盘只有一体机能够写入文件，进入定制U盘的文件经过多款杀毒引擎进行扫描，后端服务部署在安全区域。

场景二：办公室文件内传输场景

外来人员或甲方工作人员，因工作需要，有些文件需要传输到办公网，频繁依赖IT Helpdesk人员的支持，同时IT Helpdesk人员无法有 效的判断文件是否有毒。

把前端自助查杀一体机放在办公室，人员通过自有U盘上传到多病毒引擎并行查杀，根据策略如果放行可将文件上传到本身自建存储，或者上传到指定的FTP/网上邻居；如果不放行将拒绝传输。

关于运用场景还有很多，各位如果想了解更多案例详情，可以电话联系我们。