تمت مشاركتها مؤخرًا في منظمتنا. في التعليقات ، أثيرت مشكلة خطيرة تتعلق بأمان معلومات USB عبر حلول أجهزة IP ، والتي تقلقنا كثيرًا أيضًا.
لذا ، أولاً وقبل كل شيء ، دعنا نحدد الشروط الأولية.
- عدد كبير من مفاتيح الأمان الإلكترونية.
- يجب الوصول إليها من مواقع جغرافية مختلفة.
- نحن نفكر فقط في حلول أجهزة USB عبر IP ونحاول تأمين هذا الحل من خلال اتخاذ تدابير تنظيمية وتقنية إضافية (نحن لا نفكر في مسألة البدائل حتى الآن).
- في إطار المقال ، لن أصف بشكل كامل نماذج التهديد التي ندرسها (يمكن العثور على الكثير في ) ، لكني سأركز على نقطتين. نستبعد الهندسة الاجتماعية والإجراءات غير القانونية للمستخدمين أنفسهم من النموذج. نحن ندرس إمكانية الوصول غير المصرح به إلى أجهزة USB من أي شبكة بدون بيانات اعتماد عادية.
لضمان أمان الوصول إلى أجهزة USB ، تم اتخاذ التدابير التنظيمية والفنية:
1. تدابير الأمن التنظيمي.
يتم تثبيت محور USB عبر IP المُدار في خزانة خادم عالية الجودة يمكن تأمينها بمفتاح. تم تبسيط الوصول المادي إليه (التحكم في الوصول إلى المبنى نفسه ، والمراقبة بالفيديو ، والمفاتيح وحقوق الوصول لدائرة محدودة للغاية من الأشخاص).
يتم تقسيم جميع أجهزة USB المستخدمة في المؤسسة بشكل مشروط إلى 3 مجموعات:
- شديد الأهمية. EDS المالية - تُستخدم وفقًا لتوصيات البنوك (وليس عبر USB عبر IP)
- مهم. EDS لمنصات التداول والخدمات والتبادل الإلكتروني للبيانات وإعداد التقارير وما إلى ذلك ، يتم استخدام عدد من المفاتيح للبرامج باستخدام USB مُدار عبر محور IP.
- غير مهم. يتم استخدام عدد من المفاتيح للبرامج والكاميرات وعدد من محركات الأقراص المحمولة والأقراص التي تحتوي على معلومات غير مهمة ، ويتم استخدام أجهزة مودم USB باستخدام محور USB عبر IP مُدار.
2. إجراءات أمنية فنية.
يتم توفير الوصول إلى الشبكة إلى موزع USB عبر IP مُدار فقط ضمن شبكة فرعية معزولة. يتم توفير الوصول إلى شبكة فرعية معزولة:
- من مزرعة خوادم طرفية ،
- عبر VPN (الشهادة وكلمة المرور) لعدد محدود من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة ، عبر VPN يتم إعطاؤهم عناوين دائمة ،
- عبر أنفاق VPN التي تربط المكاتب الإقليمية.
على محور USB عبر IP المُدار DistKontrolUSB ، باستخدام أدواته القياسية ، يتم تكوين الوظائف التالية:
- يستخدم التشفير للوصول إلى أجهزة USB الخاصة بلوحة وصل USB عبر IP (يتم تمكين تشفير SSL على لوحة الوصل) ، على الرغم من أن هذا قد يكون غير ضروري بالفعل.
- تم تكوين "تقييد الوصول إلى أجهزة USB بواسطة عنوان IP". اعتمادًا على عنوان IP ، يتم منح المستخدم أو عدم الوصول إلى أجهزة USB المعينة.
- تم تكوين "تقييد الوصول إلى منفذ USB عن طريق تسجيل الدخول وكلمة المرور". وفقًا لذلك ، يتم تعيين حقوق للمستخدمين للوصول إلى أجهزة USB.
- تقرر عدم استخدام "تقييد الوصول إلى جهاز USB عن طريق تسجيل الدخول وكلمة المرور" ، لأن. جميع مفاتيح USB متصلة بشكل دائم بلوحة وصل USB عبر IP ولا يتم نقلها من منفذ إلى منفذ. من المنطقي أكثر بالنسبة لنا أن نوفر للمستخدمين إمكانية الوصول إلى منفذ USB مع تثبيت جهاز USB فيه لفترة طويلة.
- يتم تنفيذ التمكين المادي وتعطيل منافذ USB:
- بالنسبة للمفاتيح من البرنامج و EDI - باستخدام برنامج جدولة المهام والمهام المخصصة للمحور (تمت برمجة عدد من المفاتيح للتشغيل عند الساعة 9.00 وإيقاف التشغيل عند الساعة 18.00 ، وهو رقم من 13.00 إلى 16.00) ؛
- للمفاتيح من منصات التداول وعدد من البرامج - بواسطة مستخدمين مصرح لهم من خلال واجهة WEB ؛
- يتم دائمًا تشغيل الكاميرات وعدد من محركات الأقراص المحمولة والأقراص التي تحتوي على معلومات غير مهمة.
نحن نفترض أن تنظيم الوصول إلى أجهزة USB يضمن استخدامها الآمن:
- من المكاتب الإقليمية (مشروط NET No. 1 ...... NET No. N) ،
- لعدد محدود من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة التي تربط أجهزة USB عبر الشبكة العالمية ،
- للمستخدمين المنشور على خوادم التطبيقات الطرفية.
في التعليقات ، أود أن أسمع تدابير عملية محددة تزيد من أمن المعلومات لتوفير الوصول العالمي إلى أجهزة USB.
المصدر: www.habr.com