在当今数字化、网络化日益加深的工业场景中，移动存储介质的便捷性使得其成为了数据摆渡的主要物理途径，但同时也为恶意软件的入侵和敏感信息的泄露埋下了隐患。曾经轰动一时的震网病毒，作为第一个通过移动存储介质传播的针对工控系统的病毒，将病毒隐藏在USB闪存驱动中，短短2个月的时间就破坏了1000台铀235的离心机，造成了严重的工业生产事故。

据Mandiant（Fireye的子公司，致力于提供网络防御解决方案） 统计，2023年使用受感染 USB 驱动器窃取机密数据的事件显著增长。其中包括了使用USB 闪存驱动器传播 SOGU 恶意软件的网络间谍行动，该事件的攻击团伙针对欧洲、亚洲与美国的多个行业进行敏感信息窃取，这次攻击对涉及区域各行业垂直领域的企业都造成了极大的威胁。

霍尼韦尔在2024年上半年发布了最新的工业USB威胁报告，基于霍尼韦尔全球分析、研究和防御 (GARD)团队在 12 个月期间对全球数百个工业设施汇总的网络安全威胁数据的跟踪和分析，USB 设备被频繁用作工业环境的初始攻击媒介，多达51%的恶意软件通过 USB 传播，相较于 2019 年的 9% 增加了近六倍。可见对于移动存储介质的管控迫在眉睫。

在工业领域中，移动存储介质的使用愈发广泛，而针对接入移动存储介质的杀毒、隔离及访问控制却缺乏有效的措施，目前工业控制系统存在以下问题：

1. 工业现场的U盘、移动硬盘成了后门程序、恶意代码乃至勒索病毒的主要传播源，甚至在内部网络中横向传播，造成更恶劣的影响。

2. 内部员工的个人移动存储介质存在随意接入生产网络的问题，可能会导致大量工业核心数据的泄露。

3. 对于工业现场内部频繁使用的U盘、移动硬盘的相关使用人员信息、操作日志没有进行审计记录，难以追本溯源。

面对工业控制系统中的移动存储介质接入的问题，传统的解决方案，诸如采用USB接口封条、安全机箱以及杀毒主机等，均无法协调管控手段和业务需求的冲突，也缺乏有效的审计记录和溯源追踪的机制，难以快速定位与追溯源头，没有办法形成有效的技术闭环。

1. 利用封条封堵USB接口，既没有强制性，也无法规避接入风险。

2. 采用加固安全机箱物理封锁，具有强制性，但依赖操作人员个人觉悟。

3. 自建杀毒主机，增加病毒查杀过滤步骤，但杀毒软件的更新速度与新型威胁的出现速度之间往往存在时间差，导致新型病毒变体难以被及时防御，同时杀毒主机本身安全也无法保证。

在网络设计方案中，对于工业控制系统的外设接入管控，需要限制对外的USB接口通道。接入的U盘及移动硬盘只能通过优格设备接入内部主机，从而构建起阻止数据泄露的第一道屏障，进一步强化了系统安全防护与运维管理的效能。

根据工控系统的数据网架构，对内部用户进行分类，划分用户组。通过将U盘和移动硬盘等外设与具体的用户或用户组绑定，再根据具体的实际需求场景进行权限分配和控制，操作人员只能通过指定的账户和U盘在规定的工作范围内接入系统，严格限制了内部员工的可操作范围，防止未经授权的访问，规避数据泄露风险。

对于具体的移动存储介质信息、人员信息以及两者之间的使用关系，同样需要进行日志记录与审计。通过系统日志、病毒查杀日志以及操作日志，审计接入移动存储介质的基本信息和权限验证状态以及病毒扫描结果。通过收集和分析日志数据，可以了解移动存储介质接入情况，为数据管理和安全策略制定提供有力的支持。

威努特USB综合保护装置（以下简称“优格”），能够实现对工业控制系统接入的移动存储介质的杀毒、隔离与访问控制。

优格通过集成先进的病毒查杀引擎对接入的移动存储介质进行全盘查杀，有效阻断病毒、木马等恶意软件的传播路径，并将可疑文件转移到隔离区隔离，实现有效隔离。针对移动存储介质接入的访问控制，优格可以根据实际需求场景，灵活设置不同用户与U盘的绑定关系，并支持更加细致的U盘的读写权限设置和安全策略配置。此外，优格支持B/S及C/S架构管理，能满足多种客户需求，无需复杂配置即可快速部署。

USB综合保护装置可以根据实际需求灵活设置不同类型设备的访问权限。通过将系统管理员、‌安全管理员和审计管理权限分开，提高系统的安全性，‌为系统的安全运行提供了可靠的保障，并引入用户组的概念，实现对一组用户进行统一的权限设置和管理，可以更加高效地进行策略的配置和下发。管理员可以为不同的用户组设置不同的U盘访问权限，如将特定的U盘分配给特定的用户组，只有授权的用户组才能访问这些U盘。以此满足不同工作域或部门的个性化需求，同时防止未经授权的U盘在公司内部流通，减少数据泄露的风险，确保敏感数据的安全。

USB综合保护装置内置了128G的共享资源空间，所有接入优格设备的用户均可在这一资源空间内进行本地上传、下载以及复制等操作，配合用户特定的授权U盘，能够轻松地将数据从该共享资源空间摆渡至指定U盘中，极大地提升了数据处理的效率和便捷性。同时，对于从主机本地上传的文件，经过优格进行加密，再传输到U盘中。在提供数据共享和协作的环境基础上，确保了数据在传输和存储过程中的安全性和完整性。

为了保障工控系统的敏感数据不外泄，严格管控USB外设接入，优格采用国产化CPU处理器以实现自主可控。同时支持匹配已知病毒和恶意软件的签名和特征，能够实时检测和清除潜在的病毒威胁。而对于可疑文件则根据自定义隔离规则进行匹配，存入隔离区中进一步处理，为用户构建一个安全的数据摆渡环境。

对于从本地上传的文件，优格采用黑名单机制，根据策略配置的文件后缀名类型进行匹配拦截，有效阻拦敏感类型文件的外泄。而对于从外部进入系统的文件，则严格依据白名单中列出的具体文件特征值进行匹配过滤，确保只有经过病毒查杀和完全匹配白名单的文件才能被接收和处理，从而提升文件传输的安全性和可靠性。

USB综合保护装置支持Windows以及凝思系统等操作系统，使得其在外设接入管控方案中的部署更加灵活，适配性更强。此外，优格支持B/S和C/S双架构，可以安装客户端软件，也可以直接通过Web浏览器访问服务。通过这种“轻量化”的访问方式实现对外设接入的管理，使用者可以根据业务需求灵活采用B/S与C/S相结合的混合模式，可以满足外设接入场景的多样化业务需求。

面对移动存储介质的安全挑战，亟需采取综合性的解决方案保证工控环境的安全稳定。威努特USB综合保护装置集成了病毒查杀、隔离与访问控制等功能，能够实现对移动存储介质接入的全面管控。此外，基于B/S和C/S双模式以及操作系统的兼容能力，威努特USB综合保护装置能够轻松适应工控环境需求变化，及时满足业务需求。