u盘怎么防止病毒侵入

大家好，下面小编给大家分享一下。很多人还不知道如何防止病毒入侵u盘。下面详细解释一下。现在让我们来看看！

1.工业控制网络安全现状

在工业控制网络中，病毒越来越受到人们的关注。工控网络常见的病毒来源包括系统或工控软件中的病毒、下载带有病毒的第三方程序、用户使用带有病毒的u盘等。由于工控网络相对隔离，u盘等移动存储介质的使用越来越广泛，已经成为木马和病毒传播的主要途径之一。通过u盘传播病毒的案例很多。工业控制系统中攻击Stuxnet最知名的蠕虫是通过u盘入侵控制网络，改变PLC中的程序和数据，进而对伊朗核设施造成严重破坏。本文将详细介绍u盘病毒是如何在工控网络中传播的，以及如何防范。

2、u盘病毒传播方式

u盘病毒不是指单一的病毒，也不仅仅是通过u盘传播的病毒，而是指所有通过u盘介质传播的病毒。目前，u盘病毒的传播方式主要有以下几种:

1)通过autorun.inf文件传播，这是u盘病毒最常见的传播方式；

2)病毒伪装成其他文件，将u盘下的所有文件夹隐藏起来，并将自身复制到与原文件夹同名的文件中。当你点击的时候，病毒会自我执行，打开这个名字的隐藏文件夹；

3)通过可执行文件感染和传播是一种传统但非常有效的传播手段。

3、u盘病毒传播防范技术

3.1传统预防方法

一般情况下，通过修改操作系统的相关安全配置就可以达到防u盘病毒的基本能力，还可以添加专业的防病毒软件来防u盘病毒。操作系统本身提供了以下防止u盘病毒的方法。

1)关闭自动播放功能，关闭windows系统u盘的自动运行功能，u盘插入电脑后不会自动运行，防止病毒入侵；

2)修改注册表，让u盘病毒无法双击盘符自动运行；

3)打开u盘时，请选择右键打开。使用u盘时，右击盘符选择“打开”命令或通过“资源管理器”窗口进入，因为双击实际上是立即激活病毒，可以避免中毒；

4)创建Autorun.inf文件夹。在所有磁盘中创建一个名为“Autorun.inf”的文件夹。如果有病毒要入侵，病毒无法自动创建并重新创建同名的Autorun.inf文件。即使双击盘符，病毒也不会运行，从而控制了病毒在u盘上的传播；

3.2终端保护软件和安全u盘的结合

管理中心是集中的策略和日志查看中心，终端防护软件是安装在内网主机上的白名单终端防护软件。管理中心可以设置主机的u盘访问策略(访问策略一般包括禁用、只读、读写)，查看u盘访问的日志；终端保护软件控制连接到主机的普通u盘和安全u盘的读写权限。普通u盘一般不允许在安装了终端保护软件的主机上使用，安全u盘只能在安装了终端保护软件的机器上使用，根据访问策略控制主机读写u盘。同时，在u盘使用过程中实时记录u盘的非法访问日志。

1)对于安全USB闪存驱动器，终端保护软件默认允许其使用。安全u盘分为普通分区和安全分区，不同的使用环境配置不同的分区。

安全区只能在安装了工控终端保护软件产品的主机上使用，并且只有打开相应的访问策略后才能正常看到和使用，实现了“特区使用”。同时加密安全分区，采用高强商算法，有效防止暴力破解导致的数据泄露。安全分区主要用于内网和外网之间传输安全级别高的数据，保证数据的安全性，保证数据不会在外网上泄露。

在没有工控终端保护软件产品的电脑上可以读取普通分区，在有工控终端保护软件的主机上可以写入数据，主要用于传输安全级别较低的数据；

2)对于普通u盘，为了保护内网主机的安全，在安装了终端保护软件的系统上，不允许使用普通u盘，以确保被保护的主机不会感染病毒。

3.3终端防护软件和u盘白名单的结合

该方案的管理中心和终端保护软件的功能与“终端保护软件和安全u盘结合”方案相同，只是降低了成本。管理中心注册后，普通优盘变成白名单优盘，安装了终端保护软件的主机允许其根据访问策略读写白名单优盘，但不允许访问非白名单优盘。同时，u盘的非法访问日志在u盘使用过程中被实时记录。

3.4安全摆渡机

通过摆渡机单向传输数据来阻断病毒。外网的数据通过u盘拷贝到没有连接内外网的摆渡机，再通过另一个u盘拷贝到内网电脑。同时，可以记录所有的摆渡事件，并且可以认证和注册USB闪存驱动器。该方案必须满足以下要求:

1)手动将普通u盘分为内置或外置u盘；

2)内外网u盘不得同时插入中间机，防止交叉感染；

3)u盘插入中间机后，必须先消毒；

4)信息只能从外网交换到内网，不能反向操作。

3.5USB端口隔离硬件

安全摆渡机通过主机软件实现u盘和u盘之间的安全数据交换。为了更加安全简洁地完成交换功能，还可以在u盘和主机之间增加一个硬件介质，实现物理隔离。在部署USB端口隔离硬件时，工控网络内部主机上除USB端口隔离硬件使用的USB端口外的其他USB端口都被物理关闭，然后将原来连接到主机USB按钮的所有硬件(如鼠标、键盘灯)都连接到u盘隔离专用硬件。

USB端口隔离硬件通过专有硬件在u盘和电脑之间形成物理隔离区。USB端口隔离硬件预读u盘的数据文件，阻止恶意文件的复制，并通过病毒软件过滤文件，从而保证USB数据的安全可靠读写。

3.6方案比较

计划

功能

费用

部署

评论

传统预防方法

防止u盘感染病毒。

低的

复杂的

需要实时升级杀毒软件。

终端保护软件和安全u盘的结合

1.防止u盘病毒在内网之间传播。

2.防止u盘病毒从外网传播到内网。

3.统一管理u盘保护控制策略

4.记录u盘的访问日志

中间

简单的

没有从外部网络向内部网络传输数据的功能。

终端防护软件和u盘白名单的结合

1.防止u盘病毒在内网之间传播。

2.统一管理u盘保护控制策略

3.记录u盘的访问日志

中间

简单的

系统需要限制u盘的使用范围，防止u盘感染外网病毒。

安全摆渡机

1.防止u盘病毒从外网传播到内网。

2.记录u盘的访问日志

3.统一管理u盘保护控制策略

高等级的，级别较高的，较重要的

简单的

1.轮渡上的传输操作太复杂了。

2.摆渡机本身的安全性也面临考验。

USB端口隔离硬件

1.防止u盘病毒在内网之间传播。

2.防止u盘病毒从外网传播到内网。

3.记录u盘的访问日志

4.统一管理u盘保护控制策略

高的

复杂的

1.管理和维护成本高。

2.很难在硬件上实时升级病毒软件。

要求企业内外网隔离，不允许将外网数据带入内网，不允许随意升级操作系统和软件。从工业控制网络的应用场景来看，“终端防护软件与安全u盘结合”和“终端防护软件与u盘白名单结合”的安全解决方案基本可以解决问题。

1)“终端防护软件与u盘白名单相结合”解决方案为了防止病毒从外网向内网传播，需要通过一个系统来限制白名单u盘在外网的使用，具有很大的不可控人为风险。

2)“终端防护软件和安全u盘的结合”在解决主机安全的同时，也能以较小的成本解决客户的安全需求。

a)只提供普通u盘的只读功能，可以防止外网通过u盘向内网传播病毒；

b)限制内部主机使用安全分区传输，可以防止u盘病毒在内网交叉感染；

c)对重要信息进行加密并放置在安全区域，使其对外网不可见，可以防止重要信息在内网的泄露；

d)将一些安全级别较低的信息放在公共分区中，可以满足外网可以读取内网信息的要求。

因此，“终端保护软件与安全u盘相结合”的方案是目前工控企业的最佳选择。对于需要从外网向内网传输数据的特殊客户，只需要额外增加一个安全渡口，就可以解决外网到内网数据的安全问题。

4.u盘的使用和管理规范

& emsp& emsp除了从技术上解决u盘的病毒传播渠道，还需要从企业制度和管理上杜绝安全u盘的使用习惯。

& emsp& emsp一、加强安全意识培训，提高安全意识，做好u盘的保管和使用工作。

& emsp& emsp二是加强u盘管理。做到专款专用，专人保管。日常工作中，存储重要或涉密文件的安全优盘(或内网优盘)应与一般用途的普通优盘(或外网优盘)严格区分，严格限定其使用范围。它不应该用于频繁地与其他计算机交换文件，尤其是要避免在互联网计算机上使用它。

以上解释了如何防止u盘病毒入侵。这篇文章已经分享到这里了，希望对大家有所帮助。如果信息中有任何错误，请联系边肖进行更正。

标签： 终端防护软件 安全u盘管理 安全摆渡机 病毒传播方式 工业控制网络