云子可信：企业解决方案之U盘管控

美国国防部（DoD）要求其供应商遵守NIST SP 800-171出版物中规定的控制措施，其中第3节规定：“限制在系统上使用便携式存储设备。”，第4节规定：“在移动设备和移动计算平台上加密CUI”。

在过去的几十年里，技术取得了一些重大进展，从CRT到LED显示器，从MicrosoftPaint到Google Tilt Brush，从软盘到闪存驱动器，在尺寸，质量和性能方面发生了巨大变化。

通用串行总线（USB）取代PC背面的各种连接器，解决现有接口的可用性问题，简化设备软件配置的同时为外部设备提供更高的传输速率。从1994年发布的第一个USB到2013年发布的USB3.1，技术在性能和存储方面发生了巨大变化。技术发展提供了新的产能，但它们也带来了新的威胁，随着USB设备（特别是闪存驱动器）的发展，它们带来的威胁和风险也在不断变化。

负责任的说，自U盘诞生之时，U盘带来的安全问题已经成为企业、政府运营当中最知名但最不易解决的安全威胁之一

U盘安全威胁

伦敦希思罗机场U盘丢失事件

来自U盘的安全威胁是多维的。它们可能是攻击的载体，主动将恶意软件带入终端；它们也可能是数据窃取的载体，拷贝重要内容然后泄露；U盘也容易丢失，会被散播动敏感信息。

2017年10月发生的伦敦希思罗机场U盘丢失事件提供了一个有说服力（并且令人不寒而栗）的例子，说明了U盘安全威胁：

一名市民在人行道上发现了U盘，当他打开内容时，他找到了机场的详细地图，包括安全摄像头的位置。该U盘还包含有关英国女王到机场的时间、路线、安保等的秘密信息。

据消息报道，U盘里有76个文件夹。其中至少有174份文档被标记为“保密”或“机密”的文件。包括英国的各隧道和逃生通道之类限制区的地图和路线信息，还有进入限制区所需的各类ID信息，甚至包括秘密警察信息。

此外，U盘所含文件还标出了全英各监视摄像头的位置，从英国及外国政界人士所用的路线，到皇家候机厅的路线、温莎套房的安检流程、免检人员名单应有尽有，甚至还有劫机事件发生时使用的无线电代码、防止自杀式炸弹袭击和恐袭的安保巡逻时间表，以及用于扫描跑道和护栏的超声波雷达系统信息、多普勒雷达监视系统卫星图像及操作手册、X光机和扫描设备的照片等。

如果这些数据落入不法之徒手中，可以想象将造成极大的危害。

台积电勒索病毒事件

台积电，全球最大的专业集成电路制造服务（晶圆代工）企业，是台湾最大的上市公司，市值突破了2000亿美元。台积电的主营业务是晶圆体代工，是制作芯片的主要材料。根据拓墣产业研究院2017年12月发布的2017年全球晶圆代工厂商排名，台积电排在第一位。公开数据显示，全世界将近60%的芯片代工都由台积电完成。

2018年8月3日晚，台积电电脑系统遭到电脑病毒攻击，造成竹科晶圆12厂、中科晶圆15厂、南科晶圆14厂等主要厂区的机台停线等消息。

台积电方面8月5日公告声称，此次事件对2018年第三季度营收影响约为3%，毛利率影响约为1%。8月6日改口称“营收影响将缩小到2%”。此前台积电预计第三季度营收84.5亿~85.5亿美元。也就是说，台积电损失至少在1.69亿~1.71亿美元（约合人民币11.52亿~11.66亿元）。

台积电总裁魏哲家在8月6日下午的说明

会上确认，该公司此次遭遇的病毒，是去年全球爆发的勒索病毒“WannaCry”的变种病毒。 台积电办公网络和产线控制网络是隔离的，且产线控制网络未与互联网直接连接、完全封闭，所以此次事件不可能是黑客攻击，经查证是内部人员将染了病毒的U盘存储设备带入工厂并连接生产设备所致。

很多制造企业的生存线控制网络和办公网络都是物理隔离的，并且生产线网络通常不会接入到互联网，因此黑客攻击就变得几乎不可能。多数病毒通过移动存储设备：U盘、移动硬盘等USB存储设备传播。

伊朗纳坦兹的核设施感染事件

震网（Stuxnet），又称作超级工厂，是一种Windows平台上的计算机蠕虫，2010年6月首次被白俄罗斯安全公司VirusBlokAda发现，其名称是从代码中的关键字得来，它的传播是从2009年6月开始甚至更早，首次大范围报道的是BrianKrebs的安全博客。它是首个针对工业控制系统的蠕虫病毒，利用西门子公司控制系统（SIMATICWinCC/Step7）存在的漏洞感染数据采集与监控系统（SCADA），能向可编程逻辑控制器（PLC）写入代码并将代码隐藏。

这是有史以来第一个包含PLCRootkit的电脑蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。此外，该蠕虫的可能目标为伊朗使用西门子控制系统的高价值基础设施。据报道，该蠕虫病毒已感染并破坏了伊朗纳坦兹的核设施，使效率降低了30％，并最终使伊朗的布什尔核电站推迟启动。

Stuxnet蠕虫被命名为有史以来最复杂的计算机病毒。一旦这种蠕虫感染了U盘，它就会首先攻击该驱动器，然后迅速转向其他计算系统。而这次伊朗纳坦兹的核设施感染事件的病毒来源正是工人的U盘。

通过限制USB设备访问来改善USB安全性

对于企业来说，如何有效防止U盘病毒、避免U盘病毒入侵呢？

最简单的方法，寻找一款合适的U盘管控软件，对USB设备进行访问限制。

以国内知名 SaaS 天璇终端管理软件为例，说明企业如何管理USB存储设备的使用，防止U盘各种次生灾害的发生。

从上图我们可以看到，云子可信U盘管控提供了丰富的U盘管理功能，通过本系统不仅可以完全禁止u盘使用，而且还可以只让使用特定的U盘，可以只让从U盘向电脑复制文件而禁止电脑文件复制到U盘，从而就可以实现对USB存储设备的完全管控。此外，通过天璇终端管理还可以对员工上网行为进行限制，全面防止公司电脑文件泄露、防止公司数据泄密的风险。

使用云子可信U盘管控可以完全禁止U盘、禁用USB存储设备，因此即便员工插入了带有病毒的U盘，由于U盘会被实时禁用，因此在操作系统层面上根本无法发现U盘，自然也就无法运行里面感染病毒的文件。

云子可信U盘管控可以设置电脑只让运行指定的U盘、只让打开某个U盘或某些U盘，比如公司的专门用于存储数据、传递数据的U盘，而员工私自插入自己的U盘将会被云子可信U盘管控实时禁用，从而无法识别员工的U盘，自然也就防止员工U盘病毒的发作和攻击了。

U盘病毒是当前企业、个人电脑病毒传播的重要途径，一不小心将会给企业、个人带来重大损失。即便是像台积电这样巨无霸的企业，一旦遭遇U盘病毒，就有可能是压倒大象的一根稻草。此次台积电中毒事件，也给国内各行业企事业单位敲响了警钟，采取有效举措防止U病毒已经成为企业网络管理的重要方面，而除了常规的操作系统补丁升级、杀毒软件的实时生效，采用一些专门管理USB端口使用、控制USB接口的软件来加强U盘使用管理，防止U盘病毒入侵，也是企事业单位的明智选择。