时间:2021-12-03 09:27:24
一.产品概述
优格 USB 综合保护系统(以下简称“UIG”)是专门为实现 USB 的全面防护而设计,满足军工、石油石化、电力、轨道交通等各行业系统内计算机对 USB 设备安全防护以及 U 盘行为管理的需求。
UIG 系统可以在物理上实现 USB 移动存储介质和内部主机的隔离,内部主机可通过 UIG 设备来访问 U 盘等外设。除了杀毒外,UIG 对目前新型的高级 USB攻击如 USB 炸弹、BadUSB、LNK 攻击、死亡蓝屏等也具备有效的防护能力。UIG 除了具有 USB 攻击防护能力,还具备 U 盘行为管理能力。
二.产品架构
安装有 U 格管理配置软件的电脑主机,用于配置 U 盘权限,UIG 设备。
保护内部主机免受 USB 外设攻击的 USB 安全隔离设备。把需要接入内部主机的 USB 外设,接入到 UIG 设备上,UIG 设备通过 USB 线接入受保护的内部主机,UIG 设备会对接入的 USB 外设进行杀毒,攻击防御,权限管理等安全处理,然后通过底层协议的转换,将安全的外设使能在内部主机上。
用于在 UIG 设备与管理主机间传递数据的 U 盘。先把管理 U 盘插入管理主机,管理主机把配置数据拷贝到管理 U 盘,再把管理 U 盘插入 UIG 设备,UIG设备自动读取管理 U 盘中的配置数据,并把日志拷贝到管理 U 盘中。管理 U 盘插回到管理主机后,管理主机可以读取并显示 UIG 设备日志。
可通过 UIG 设备访问,也可直接在主机上访问的 U 盘。普通 U 盘在管理主机上配置授权后,可以被 UIG 设备识别,并能在内部主机上访问。未授权的普通 U 盘,不能经过 UIG 设备在内部主机上访问。
只能通过 UIG 设备访问,不能在其他主机上访问的 U 盘。
受保护的电脑主机。不直接连接 USB 外设,通过 UIG 设备来间接连接 USB外设。
三.产品功能
UIG 设备功能
1.U 盘访问控制
UIG 能将插入设备上的授权 U 盘,映射到 PC 主机上,在 PC 主机上访问 U盘的内容。系统可以为注册的 U 盘配置访问权限,包括只读,读写,禁用三种权限,主机访问 U 盘时,未注册的 U 盘不可访问,注册的 U 盘根据访问权限进行访问。
2.文件白名单/黑名单过滤
UIG 可以配置文件白名单/黑名单。如果采用黑名单过滤,U 盘里的文件,后缀名在黑名单里的,UIG 会自动过滤,在 PC 端无法看到。PC 端也不能复制黑名单文件到 U 盘。如果采用白名单过滤,除了白名单指定的文件后缀外,其它文件都会被过滤。
3.病毒查杀
UIG 有病毒查杀功能,U 盘插入 UIG,或电脑拷贝文件到 U 盘,UIG 都会自动启动病毒扫描,如果发现病毒,会自动清除。
4.键盘/鼠标外设管理
UIG 可以将插入 UIG 设备上的键盘/鼠标,映射到 PC 主机上。插入键盘时,需要用户输入 PIN 码,能有效防止 BadUSB 攻击。
5.审计日志
UIG 设备会记录 U 盘插入,文件拷贝,病毒攻击,系统升级事件到日志中。管理 U 盘插入 UIG 设备时,日志会自动拷贝到管理 U 盘中。
UIG 管理软件功能
1.UIG 设备分群管理
可以把多个 UIG 设备分为一个群,共享同一套 U 盘管理配置。
新建 UIG 群,群里可以添加 UIG 设备。
添加 UIG 设备,需要输入 UIG 的硬件 ID 及秘钥。ID 和秘钥在包装盒里会找到。
将 UIG 设备从群里删除。
2.U 盘访问权限管理
PC 端可以访问 UIG 设备上插入的授权 U 盘。访问权限在 PC 端 UIG 管理软件中配置。
可把 U 盘注册到某个 UIG 群里,软件读取 U 盘的硬件 ID,将 ID 注册在系统中,用硬件 ID 识别不同的 U 盘。
设置每个注册 U 盘的访问权限,可设置的权限有:禁用,只读,读写。
可针对 UIG 群设置文件的黑名单/白名单。黑名单/白名单里记录的是文件后缀。在 PC 主机访问 U 盘内容时,UIG 会根据黑名单/白名单的配置过滤 U 盘里的文件。
3.管理 U 盘管理
UIG 管理软件生成的配置数据,是通过管理 U 盘同步到 UIG 设备中的。
创建 UIG 群时,需要指定对应的管理 U 盘,可以在配置页面插入管理 U 盘,软件会读取 U 盘的硬件 ID,将此 ID 注册为管理 U 盘,保存在配置数据中。
- 管理 U 盘变更
- 如果需要更换管理 U 盘,软件里可以操作更换新的 U 盘作为管理 U 盘。 配置数据同步将管理软件生成的配置数据加密,密文拷贝到管理 U 盘中。管理 U 盘再插到对应的 UIG 设备上,UIG 设备会自动读取配置数据,保存在设备里。
4.固件升级管理
UIG 设备固件可进行升级。在管理软件中选择厂家发布的升级包,软件会把固件拷贝到管理 U 盘中,管理 U 盘再插入到 UIG 设备上,UIG 会自动进行固件升级。
5.日志管理
管理 U 盘插入 UIG 设备时,UIG 会自动将日志拷贝到管理 U 盘,再将管理U 盘插入到 PC 主机,通过管理软件可以读取并显示出日志。
安全 U 盘功能
1.专区专用
安全 U 盘分为普通区和安全区,不同使用环境配置不同的分区。普通区可以不通过 UIG 设备读取;安全分区仅能通过 UIG 设备访问,同时开放相应策略后才可看到和正常使用,实现“专区专用”。
2.数据安全加密
对安全分区进行加密,有效防止暴力破解导致的数据泄露。
产品特点
1.UIG特点
- U 盘外设的物理隔离:U 盘在物理上跟主机不连接,增强了系统的安全性。
- 主机外部的预先杀毒:在 PC 主机访问 U 盘前,UIG 设备预先进行了 U 盘的病毒查杀,使连接主机的 U 盘内容是安全的。
- 防止 BadUSB 攻击:BadUSB 攻击会模拟键盘外设,输入攻击代码攻击主机。UIG 设备可以识别 BadUSB 攻击,阻止攻击代码攻击主机。
- U 盘权限的精细化管理:通过 UIG 设备,用户可以控制某个 U 盘只能由哪个部门或哪个员工(拥有UIG 设备的部门或员工)使用。是只能拷贝文件到主机,还是也可以从主机拷贝文件出来。还可控制哪类文件可以拷贝,哪类文件不能拷贝。
- 不占用主机资源:PC 主机不需要安装客户端软件,不会产生系统资源的消耗。
- 自身安全防护:UIG 设备是个封闭系统,用户无法访问,不能非法更改安全防护策略。
2.安全 U 盘特点
- 私有 ID 识别技术:安全 U 盘带有身份 ID,只有通过 UIG 才可识别此 ID,从而保证只有在安装有 UIG 客户端的主机才能识别和使用安全 U 盘。
- 动态挂载技术:专用安全 U 盘驱动,可实现安全 U 盘的动态加载。
典型部署
1.U 盘访问授权规则:U 盘必须在 UIG 管理界面上授权,配置相应的策略后才能使用,未授权 U盘不能访问。如下图所示:
安全 U 盘只能通过 UIG 设备访问,其他主机不能访问。授权的普通 U 盘可以通过 UIG 设备访问,其他外部主机也可以访问。
2. 外部病毒防护场景
在一些自身防护能力较弱的工控主机场景里,需要在主机外先行病毒查杀,保证数据源的安全性,如图所示:
3.外部主机传输文件到内部主机场景
可授权一个普通 U 盘为只读 U 盘。该 U 盘可被外部主机写入文件。在内部通过 UIG 设备读取文件,但不能通过 UIG 设备写入文件。防止信息外泄。
4.内部主机和外部主机之间互相传输文件场景
可授权一个普通 U 盘为读写 U 盘。该 U 盘可被外部主机读写文件。也可在内部通过 UIG 设备读写文件,达到互传的目的。虽然文件可以在内部外部互传,但通过系统我们可以管控哪台主机可以往外传文件,以及只能通过哪个 U 盘外传。只要 U 盘掌握在可信人员手里,安全就是可控的。
5.内部主机之间互相传输文件场景
可授权一个安全 U 盘为读写 U 盘。该安全 U 盘不可被外部主机访问。只能通过授权 UIG 设备读写文件,达到 U 盘只能在内部几台指定的主机上使用的目的。
6.U 盘访问授权规则
U 盘必须在 UIG 管理界面上授权,配置相应的策略后才能使用,未授权 U盘不能访问。如下图所示:
安全 U 盘只能通过 UIG 设备访问,其他主机不能访问。 授权的普通 U 盘可以通过 UIG 设备访问,其他外部主机也可以访问。
7.外部病毒防护场景
在一些自身防护能力较弱的工控主机场景里,需要在主机外先行病毒查杀,保证数据源的安全性,如图所示:
8.外部主机传输文件到内部主机场景
可授权一个普通 U 盘为只读 U 盘。该 U 盘可被外部主机写入文件。在内部通过 UIG 设备读取文件,但不能通过 UIG 设备写入文件。防止信息外泄。
9. 内部主机和外部主机之间互相传输文件场景
可授权一个普通 U 盘为读写 U 盘。该 U 盘可被外部主机读写文件。也可在内部通过 UIG 设备读写文件,达到互传的目的。虽然文件可以在内部外部互传,但通过系统我们可以管控哪台主机可以往外传文件,以及只能通过哪个 U 盘外传。只要 U 盘掌握在可信人员手里,安全就是可控的。
10.内部主机之间互相传输文件场景
可授权一个安全 U 盘为读写 U 盘。该安全 U 盘不可被外部主机访问。只能通过授权 UIG 设备读写文件,达到 U 盘只能在内部几台指定的主机上使用的目的。
客户价值
1.满足行业政策法规和技术要求
通过实施移动介质管控,满足行业对主机安全的政策法规要求以及相关的技术要求。
2.解决传统防病毒软件不适用的问题
解决传统防病毒软件不适用于工控现场,导致工控主机运行缓慢、无法升级病毒库、关键配置文件及授权文件等被误杀等问题。
3.防范 U 盘病毒威胁
解决数据交换过程中因 U 盘滥用导致病毒进入工控网络环境并传播的问题,提高内部主机安全性。
