ProHoster > Blog > administrasie > Inligtingsekuriteit van USB oor IP hardeware oplossings

Inligtingsekuriteit van USB oor IP hardeware oplossings

Onlangs gedeel ondervinding in die vind van 'n oplossing vir die organisering van gesentraliseerde toegang tot elektroniese sekuriteitsleutels in ons organisasie. In die kommentaar is 'n ernstige kwessie van inligtingsekuriteit van USB oor IP hardeware oplossings geopper, wat ons ook baie bekommer.

Dus, eerstens, laat ons die aanvanklike voorwaardes definieer.

  • 'n Groot aantal elektroniese sekuriteitsleutels.
  • Hulle moet vanaf verskillende geografiese liggings verkry word.
  • Ons oorweeg slegs USB oor IP hardeware oplossings en probeer om hierdie oplossing te beveilig deur bykomende organisatoriese en tegniese maatreëls te tref (ons oorweeg nog nie die kwessie van alternatiewe nie).
  • Binne die raamwerk van die artikel sal ek nie die bedreigingsmodelle wat ons oorweeg volledig beskryf nie (baie kan gevind word in Publication), maar ek sal op twee punte fokus. Ons sluit sosiale ingenieurswese en onwettige optrede van die gebruikers self uit van die model. Ons oorweeg die moontlikheid van ongemagtigde toegang tot USB-toestelle vanaf enige van die netwerke sonder gereelde geloofsbriewe.

Inligtingsekuriteit van USB oor IP hardeware oplossings

Om die sekuriteit van toegang tot USB-toestelle te verseker, is organisatoriese en tegniese maatreëls getref:

1. Organisatoriese veiligheidsmaatreëls.

Die bestuurde USB oor IP-hub is geïnstalleer in 'n hoë-gehalte bedienerkabinet wat met 'n sleutel gesluit kan word. Fisiese toegang daartoe word vaartbelyn gemaak (toegangsbeheer tot die perseel self, videobewaking, sleutels en toegangsregte vir 'n streng beperkte kring mense).

Alle USB-toestelle wat in die organisasie gebruik word, word voorwaardelik in 3 groepe verdeel:

  • Kritiek. Finansiële EDS - gebruik in ooreenstemming met die aanbevelings van banke (nie via USB oor IP nie)
  • Belangrik. EDS vir handelsplatforms, dienste, EDI, verslagdoening, ens., 'n aantal sleutels vir sagteware - word gebruik met behulp van 'n bestuurde USB oor IP-hub.
  • Nie krities nie. 'n Aantal sleutels vir sagteware, kameras, 'n aantal flash drives en skywe met nie-kritiese inligting, USB-modems word gebruik deur 'n bestuurde USB oor IP-hub te gebruik.

2. Tegniese sekuriteitsmaatreëls.

Netwerktoegang tot 'n bestuurde USB oor IP-hub word slegs binne 'n geïsoleerde subnet verskaf. Toegang tot 'n geïsoleerde subnet word verskaf:

  • vanaf 'n terminale bedienerplaas,
  • via VPN (sertifikaat en wagwoord) na 'n beperkte aantal rekenaars en skootrekenaars, via VPN word hulle permanente adresse gegee,
  • oor VPN-tonnels wat streekkantore verbind.

Op die bestuurde USB oor IP-hub DistKontrolUSB, met behulp van sy standaardgereedskap, word die volgende funksies gekonfigureer:

  • Enkripsie word gebruik om toegang te verkry tot die USB-toestelle van die USB oor IP-hub (SSL-enkripsie is op die spilpunt geaktiveer), hoewel dit dalk reeds oorbodig is.
  • "Beperk toegang tot USB-toestelle volgens IP-adres" is opgestel. Afhangende van die IP-adres, word die gebruiker toegang tot die toegewysde USB-toestelle verleen of nie.
  • "Beperk toegang tot die USB-poort deur aanmelding en wagwoord" is opgestel. Gevolglik word aan gebruikers regte toegeken om toegang tot USB-toestelle te verkry.
  • "Beperk toegang tot 'n USB-toestel deur login en wagwoord" is besluit om nie gebruik te word nie, want. alle USB-sleutels is permanent aan die USB oor IP-hub gekoppel en word nie van poort na poort geskuif nie. Dit is vir ons meer logies om gebruikers vir 'n lang tyd toegang tot 'n USB-poort te gee met 'n USB-toestel daarin geïnstalleer.
  • Fisiese aktivering en deaktivering van USB-poorte word uitgevoer:
    • Vir sleutels van sagteware en EDI - gebruik die taakskeduleerder en toegewysde take van die spilpunt ('n aantal sleutels is geprogrammeer om om 9.00 aan te skakel en om 18.00 af te skakel, 'n nommer van 13.00 tot 16.00);
    • Vir sleutels van handelsplatforms en 'n aantal sagteware - deur gemagtigde gebruikers deur die WEB-koppelvlak;
    • Kameras, 'n aantal flash drives en skywe met nie-kritiese inligting is altyd aan.

Ons aanvaar dat sodanige organisasie van toegang tot USB-toestelle die veilige gebruik daarvan verseker:

  • van streekkantore (voorwaardelik NET No. 1 ...... NET No. N),
  • vir 'n beperkte aantal rekenaars en skootrekenaars wat USB-toestelle via die globale netwerk verbind,
  • vir gebruikers gepubliseer op terminale toepassingsbedieners.

In die kommentaar wil ek graag spesifieke praktiese maatreëls hoor wat die inligtingsekuriteit van die verskaffing van globale toegang tot USB-toestelle verhoog.

Bron: will.com

Voeg 'n opmerking