在工业环境中，网络之间相互隔离，USB存储介质是数据交换的主要载体，为数据交换和运行维护带来诸多便利。但是随着针对工业控制系统的攻击日益频繁，USB存储介质被攻击者利用成为初始攻击媒介，用于建立远程连接泄露工业数据，并作为攻击跳板渗透工业环境，USB存储介质管理问题日渐凸显。据霍尼韦尔《2024年USB威胁报告》显示，在2024年已知的USB威胁事件中，31%的威胁是针对工业控制系统，其中，80%的威胁能够破坏工业控制系统，导致系统运行中断。利用USB存储介质传播病毒、恶意程序进而对关键基础设施进行破坏已成为攻击者们常用的手段之一。

USB存储介质安全面临的管理困境

在当今复杂的安全环境中，USB存储介质带来显著的安全风险和管理挑战。首先，USB存储介质容易被攻击者利用，能够轻松地在不受监控的情况下快速传播病毒或窃取敏感信息。其次，USB存储介质缺乏有效的管理和监控手段，设备数量众多且流动性强，难以实时跟踪每一个设备的去向及其携带的数据。此外，员工的安全意识和操作规范不一，进一步加剧了安全管理的困境。

1、影响业务效率

通过部署USB接口管理软件、完全封禁主机USB端口或拆除主机USB配件的方法使得主机的USB接口无法使用，可以用来防范使用USB存储介质带来的安全风险。但是，在使用中又无法满足工业环境数据交换的正常需要，从而影响正常工作流程，降低业务效率。

2、兼容性问题

通过部署杀毒软件对USB存储介质上的文件进行病毒扫描来保证接入的USB存储介质是安全的。可是由于工业主机的兼容性和资源限制，无法在所有主机上都进行USB存储介质的病毒扫描，也无对应措施保证每一个接入的USB存储介质都是经过病毒扫描的，所以无法完全杜绝USB存储介质带来的安全风险。

3、无法阻止恶意软件

部署工业主机卫士等外设管理软件，过滤磁盘驱动器的I/O请求，‌拦截对USB存储设备的写入操作，对USB存储介质读取和写入权限进行限制，防止敏感数据泄露，此方法通常不具备对恶意代码的检测识别能力，无法避免恶意程序进入内网对生产系统造成破坏。

4、管理手段不完善

制定针对USB存储介质的使用管理制度来规范USB存储介质的使用，但缺乏配套的USB设备管理技术手段，无法区分识别内部人员使用和外来合作人员使用的USB存储介质，也无法对未知来源的USB存储介质进行基于角色和授权文件读写的策略管控，管理制度流于表面。

5、无法审计追溯

通过单独的USB设备管理系统记录所有USB存储介质的连接和数据传输活动，用于USB存储介质的操作审计和追踪，此方法过多依赖系统导致无法追踪设备的使用情况和数据流动情况，违规操作难以发现和纠正。

综上所述，目前针对USB存储介质安全防护的技术和管理手段存在功能单一、使用不便、难以落地等问题，如何通过技术和管理手段确保USB存储介质在工业控制系统的使用中避免安全风险是当前工业企业急需解决的管理难题。

USB存储介质安全的实施策略

为了有效应对USB存储介质带来的安全风险，建议工业企业综合采取多层次的安全技术手段，包括USB存储介质注册和管理、文件访问权限控制、恶意代码检测、实施监控和审计等，同时制定、实施严格的使用政策、管理流程、加强员工安全意识培训，通过技管结合的方式有效降低USB存储介质在工业控制系统中带来的安全风险，保障系统的稳定性和数据的安全性。

1、技术实施策略

⏩ 全生命周期的设备管理：实施USB存储介质的注册、‌部署、‌使用、‌维护、注销的全过程管理和控制，确保USB存储介质在整个生命周期内能够高效、‌安全地运行。

⏩ 设备识别和授权：识别内部和外部USB存储介质，‌实施白名单策略和访问控制策略，仅允许特定的、经过授权的USB存储介质接入系统。

⏩ 文件访问控制：限制USB存储介质的使用权限，可根据角色、设备类型或使用目的来设置不同主机和设备的访问权限。

⏩ 防恶意软件：使用杀毒软件或防恶意软件，检测需要接入系统的USB存储介质上的文件，及时发现和清除介质上的恶意程序。

⏩ 实时监控和审计：记录所有USB存储介质的接入和数据传输活动，确保对设备使用情况可追踪和可审计。

2、管理实施策略

⏩ 制定并执行安全政策：制定和执行严格的USB存储介质使用政策，包括设备批准流程、使用指南和责任追究机制，通过技术手段确保这些制度被正确执行。

⏩ 安全意识培训：定期为员工和管理人员提供安全意识培训，强调USB存储介质管理的重要性和安全操作要求。

威斯尼斯人wns2299cnUSB存储介质安全管理之道

为应对工业控制系统环境USB存储介质使用带来技术风险和管理的挑战，威斯尼斯人wns2299cn围绕USB存储介质全生命周期管理的理念推出了USB移动存储介质安全检测平台产品，通过USB存储介质的注册、分发、权限分配、操作审计和事件溯源功能，确保USB存储介质在整个使用过程中始终符合安全管理标准，即使USB存储介质丢失或被盗，也能通过权限控制、远程锁定功能防止敏感信息泄露。同时平台可对存储介质中的文件进行病毒和恶意代码的查杀，针对安全的USB存储介质嵌入安全标记，无安全标记的USB存储介质禁止在内部网络中使用，可有效防止病毒和恶意代码通过USB存储介质进入到内部网络中，通过多种技术手段确保制定的USB存储介质管理制度和规范能被正确执行，从而实现了USB存储介质安全防护与安全管理一体化。

融合多种安全技术

• 介质注册鉴权，集中管理

具有全面的USB存储介质管理和量产功能，将已有的USB存储介质通过注册、赋权和数据锁定功能转化为内部安全介质，建立资产台账，实现存量资产的盘活利用。通过介质使用鉴权，专人专用，‌实现对USB存储介质的全面集中管理，防止内部数据泄露。

• 恶意代码检测，安全标记

USB存储介质安全检测平台内置下一代智能病毒检测引擎，在USB存储介质接入时进行蠕虫病毒、恶意软件、勒索软件、引导区病毒、木马等恶意文件的实时扫描，在病毒被清除后后将打上安全标记，具有安全标记的介质才能在内部主机上使用，未经过病毒查杀的存储介质将被拒绝读写。

• 读取权限控制，可信访问

USB存储介质安全检测平台支持对USB存储介质进行统一注册、统一赋权、统一认证，通过对USB存储介质采取身份鉴别、访问控制、行为审计等手段，实现USB存介质与内部主机之间的可信访问。

• 数据锁定标识，防止泄漏

通过介质注册批量将已有的USB存储介质打上特殊标识，锁定对介质上的数据设置访问，限制只有在内部主机上才能正确读取使用。当USB存储介质丢失时，通过数据锁定功能可以禁止USB存储介质的数据读取，防止敏感数据泄露。

• 操作监控审计，全面追踪

对USB存储介质的操作和读取记录进行实时监控和审计，记录所有USB存储介质的接入和数据传输活动，确保对设备使用情况可追踪、可审计，出现违规情况时可及时响应。

配置灵活，易于操作

1.将可信的USB存储介质注册为内部介质，只有内部介质才能在内部主机上使用。

2.USB存储介质在使用前需要经过安全检测平台的病毒查杀以确保安全。

3.病毒查杀后的USB存储介质将打上安全标记，具有安全标记的介质才能在内部主机上使用。

4.对存储介质设置访问控制策略，限制非授权数据的访问。

5.当 USB存储介质接入内部主机时客户端程序将强制验证安全标记，无标记将被拒绝接入终端设备，同时根据访问控制策略开放数据访问权限。

适用于多种业务场景

长扬USB存储介质安全检测平台具备立式触摸一体机形态、工业平板形态，可作为独立设备灵活部署在企业用户网络中，客户端为软件形态部署在网络中的HMI、工作站、服务器、存储等设备上。可广泛应用于多种业务环境中，满足USB存储介质恶意代码检测、数据防泄漏、外部运维安全等场景下的USB介质管理和安全防护要求。

工业平板形态

立式触控一体机形态

• 恶意代码检测

USB存储介质在使用前需要经过安全检测平台的病毒查杀，并打上安全标记/水印,具有安全标记/水印的介质才能在内部主机上使用，未经过病毒查杀的移动介质将被拒绝读写。

• 数据防泄漏

建立USB存储介质与主机间访问权限，外部介质在内部主机使用时严格限制权限，避免非授权拷贝数据，内部介质禁止在外部主机使用，介质丢失时远程锁定使用权限，避免敏感数据泄露。

• 外部运维安全

外部运维人员使用的运维U盘均设置为外部介质，必须经过病毒查杀后才能在内部网络中使用，默认只有只读权限，经审批后运维U盘可以设置写入权限，并对写入操作进行审计。

长扬USB存储介质管理的先进性和独特性

1.存储介质的全生命周期管理，运维简便

USB存储介质安全检测平台具有全面的USB存储介质管理功能，能够对USB存储介质的注册、接入、使用、注销等全过程进行实时监控和记录。平台能够详细记录USB存储介质的访问权限、访问时间、访问主机等信息，便于管理员实时了解系统内USB存储介质生命周期内的使用情况。

2.以安全标记为核心，确保不会引入安全风险

USB存储介质安全检测平台将人工智能、算法和机器学习应用于恶意代码的预测、鉴定和阻止，抵御已知恶意软件的有效性高达99%。USB存储介质的使用以病毒查杀后的安全标记为核心，没有安全标记的介质禁止访问，杜绝恶意代码的进入内网的可能性。

3.访问权限控制和数据锁定，防止数据泄露

USB存储介质安全检测平台支持对USB存储介质进行统一注册、统一赋权、统一认证，能够通过对USB存储介质采取身份鉴别、访问控制，行为审计等手段，防止未经授权的数据访问行为，独有的数据锁定功能，即使在介质丢失时也能防止数据的泄露。

4.集中管理，多级安全

USB存储介质安全检测平台支持通过长扬安全管理平台实时查看USB存储介质的状态，执行批量操作，如更新安全策略、锁定丢失设备、擦除敏感数据等。通过为不同区域的安全检测平台配置不同的安全策略，实现不同场景和安全防护级别下的差异化安全防护需求，防止外部恶意攻击、内部数据泄露以及病毒传播，确保业务系统的安全稳定运行。

客户价值

• 降低USB存储介质安全隐患

长扬USB存储介质安全检测平台除了规范USB存储介质使用和管理外，还应运用先进的安全技术手段，对USB存储介质上的恶意代码文件进行实时监控和检测，确保不会通过USB存储介质引入安全隐患，减少业务系统的攻击面的同时，提高业务系统安全运行的稳定性。

• 构建完善的安全防护体系

基于病毒查杀、安全标识和访问控制技术，结合可以确保技术手段落地的安全管理制度，长扬USB存储介质安全检测平台能够应对移动存储介质技术风险和安全管理的综合挑战，助力工业企业建立安全合规的的工业控制系统移动介质安全防护体系。