一、背 景

石油石化在国民经济的发展中有重要作用，是我国的支柱产业部门之一。在数字化时代，石油石化行业的网络安全防护显得尤为重要。随着国际网络空间的利益争夺加剧，关键信息基础设施的安全风险日益突出。为了应对这些挑战，我国出台了《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》和《网络安全审查办法》、《关于加强工业控制系统安全防护的指导意见（中国石化生〔2017〕292号）》、《中国石化工业仪表控制系统安全防护实施规定（中国石化生〔2019〕318号） 》、《中国石化工控系统等级保护定级指导意见》等一系列政策法规，以加强石油石化关键信息基础设施的保护能力，提高网络安全能力。

石油石化行业的网络安全关乎着国计民生。日常，石油石化行业务开展场景中，移动介质因其便携性和大容量存储而成为数据备份和传输的重要工具。它们不仅用于数据备份和传输，还常用于工业现场巡检、设备运维、生产过程监测和产品质量分析等。然而，随着信息技术的快速发展，USB移动存储介质也成为了攻击者的目标。根据《2022年霍尼韦尔工业网络安全USB威胁报告》，针对USB的威胁正在增加，52%的威胁是专门为使用USB可移动设备而设计的，这一数字在2021年和2020年分别为37%和19%。此外，来自USB设备或可移动媒体的网络威胁占比已从去年的79%提升至81%，这些威胁可能导致运营技术(OT)网络环境中的关键业务中断。

石油石化行业对于U盘的使用也面临一系列安全威胁：

网间隔离：办公网、生产网采取逻辑、物理等多种隔离，数据传输存在跨区需求，多使用U盘传输，安全无保障、效率较低。

系统主机加固薄弱：生产作业区域、办公区域和数据中心等服务器与工作站主要以windows 、linux为主，不具备更新补丁的环境，无有效的恶意代码防护手段，USB接口无管控。

移动介质管控难：在SCADA系统、DCS系统、GIS系统、ERP等系统运维和使用过程中，存在使用移动存储介质不规范问题，易引入病毒以及黑客攻击程序，文件传输没有相关的策略，重要、敏感数据容易泄露。

日志审计缺乏：USB移动存储设备使用日志、文件传输等日志无审计，很难有效追踪和定位用户行为。

二、整体设计

为了更加安全的使用USB移动介质和提高数据传输效率，珞安科技推出网络版USB安全管理系统整体解决方案。

USB安全管理系统是一款专为实现移动存储设备全面防护而设计，集“认证、授权、杀毒、审计”于一体，即插即用的隔离终端设备，并采用白名单+黑名单机制,内置文件类型白名单和杀毒引擎能有效防止未知病毒文件对电力监控系统带来的威胁，满足了电力监控系统装置现场对移动存储设备安全访问的需求。

USB 集中管理平台是一款为 USB 安全管理系统进行统一管理而打造的产品。实现对多台 USB 安全管理系统进行集中管控，统一运维，支持USB安全管理系统的统一接入、统一升级、集中审计等功能，满足通过 USB 存储介质高效、快速、安全传输文件的需求。

三、日常使用场景

1、资料交互：生产网与办公网隔离，需要通过U盘进行生产资料传输；

2、业务系统的软硬件维护：服务器、存储设备、操作系统、数据库、中间件、应用程序等需要通过U盘传输维护与更新的文件，以确保其正常运行和可靠性；

3、网络运维：包括路由器、交换机、防火墙等需要通过U盘传输维护与更新的文件，以确保网络的正常运行和安全性；

4、数据安全摆渡：系统内有大量敏感数据，如生产数据、用户信息等，因此系统内文件导出存在数据泄露风险，并缺乏有效追溯的运维文件摆渡方式。

四、部署模式

在办公网、生产网相关的业务区域部署网络版USB安全管理系统，U盘接入需要经过认证、授权、杀毒、审计，并采用白名单+黑名单机制，内置文件类型白名单和杀毒引擎能有效防止未知病毒文件对数据中心系统带来的威胁，满足了工业控制系统装置现场对移动存储设备安全访问的需求。主机和服务空闲USB口，通过USB物理封堵器封堵。

在相关的办公管理区域部署USB 集中管理平台，对USB安全管理系统进行统一管理。

油田应用

炼化应用

管道应用

油库应用

五、应用效果

01.白+黑双重防护机制

采用“白名单+黑名单”双重防护机制，内置文件类型白名单和杀毒引擎，支持自定义后缀的黑、白名单配置，以及对白名单的深度检测，实现对拷出数据进行严格黑名单管控，保证重要数据不可外流，同时由病毒引擎在内部主机访问文件前对文件进行深度病毒查杀。

02.多样化访问模式

提供了基于标准的 HTTPS 、FTP 、SFTP协议的网络文件访问方式，同时还支持C/S客户端和UNC模式的访问模式，支持协议访问端口的自定义，适用于特殊网络环境要求，同时USB安全管理系统支持采用OTG技术实现对文件的点对点传输，帮助不同工作区域的人员实现安全的文件数据交互。

03.三重防护机制

USB安全管理系统通过用户身份可信、双因子认证、U盘授信、文件传输可信三重管控机制，同时支持完整的审计操作记录、严格的授权操作和安全可靠的病毒防护措施，实现三重保护体系，确保用户业务系统安全性。

04.集中管控平台

多USB安全管理系统的统一接入，实现统一注册、统一授权和统一升级，以及多维度的集中管理和分析，支持层级机构设置，利于监督和提高效率。

六、客户价值

部署USB安全管理系统可以为企业带来显著的客户价值，规范员工的使用，确保数据的安全和便捷访问。

01.对U盘进行接入控制、病毒查杀、文件黑白名单管控和全面的日志审计等，保障数据摆渡的安全。

02.加强USB存储设备使用过程中的安全防护能力，规范公司办公人员对于U盘的使用流程，提供安全计算环境。

03.通过开展移动介质安全管控能力建设，实现主机USB外设端口现场使用的安全管控，实现操作过程的可审计、可追溯；完善终端安全防护，提高了业务系统的安全能力。