Bu yaxınlarda paylaşıldı təşkilatımızda. Şərhlər bizi çox narahat edən İP aparat həlləri üzərindən USB-nin informasiya təhlükəsizliyi ilə bağlı ciddi məsələ qaldırdı.
Beləliklə, əvvəlcə ilkin şərtlərə qərar verək.
- Çox sayda elektron təhlükəsizlik açarları.
- Onlara müxtəlif coğrafi yerlərdən daxil olmaq lazımdır.
- Biz yalnız USB üzərindən IP aparat həllərini nəzərdən keçiririk və əlavə təşkilati və texniki tədbirlər görməklə bu həlli təmin etməyə çalışırıq (alternativlər məsələsini hələ nəzərdən keçirmirik).
- Bu məqalə çərçivəsində nəzərdən keçirdiyimiz təhlükə modellərini tam təsvir etməyəcəyəm (burada çox şey görə bilərsiniz ), lakin mən qısa olaraq iki məqama diqqət yetirəcəyəm. Sosial mühəndisliyi və istifadəçilərin özlərinin qeyri-qanuni hərəkətlərini modeldən istisna edirik. Biz müntəzəm etimadnaməsi olmadan istənilən şəbəkədən USB cihazlarına icazəsiz daxil olma imkanını nəzərdən keçiririk.
USB cihazlarına girişin təhlükəsizliyini təmin etmək üçün təşkilati və texniki tədbirlər görülmüşdür:
1. Təşkilati təhlükəsizlik tədbirləri.
İdarə olunan USB üzərindən IP hub yüksək keyfiyyətli kilidlənə bilən server şkafında quraşdırılmışdır. Ona fiziki giriş sadələşdirilmişdir (binanın özünə girişə nəzarət sistemi, video nəzarət, açarlar və ciddi məhdud sayda şəxslər üçün giriş hüquqları).
Təşkilatda istifadə olunan bütün USB cihazları 3 qrupa bölünür:
- Tənqidi. Maliyyə rəqəmsal imzaları - bankların tövsiyələrinə uyğun olaraq istifadə olunur (IP üzərində USB vasitəsilə deyil)
- Əhəmiyyətli. Ticarət platformaları, xidmətlər, e-sənəd axını, hesabatlar və s. üçün elektron rəqəmsal imzalar, proqram təminatı üçün bir sıra açarlar - IP hub üzərindən idarə olunan USB istifadə edərək istifadə olunur.
- Kritik deyil. Bir sıra proqram açarları, kameralar, bir sıra fleş disklər və qeyri-kritik məlumatı olan disklər, USB modemlər - IP hub üzərindən idarə olunan USB istifadə edərək istifadə olunur.
2. Texniki təhlükəsizlik tədbirləri.
IP hub üzərindən idarə olunan USB-yə şəbəkə girişi yalnız təcrid olunmuş alt şəbəkə daxilində təmin edilir. Təcrid olunmuş alt şəbəkəyə giriş təmin edilir:
- terminal server təsərrüfatından,
- VPN (sertifikat və parol) vasitəsilə məhdud sayda kompüter və noutbuklara, VPN vasitəsilə onlara daimi ünvanlar verilir,
- regional ofisləri birləşdirən VPN tunelləri vasitəsilə.
İdarə olunan USB üzərindən IP mərkəzi DistKontrolUSB-də standart alətlərindən istifadə edərək aşağıdakı funksiyalar konfiqurasiya edilir:
- USB üzərindən IP hub-da USB cihazlarına daxil olmaq üçün şifrələmə istifadə olunur (hubda SSL şifrələməsi aktivdir), baxmayaraq ki, bu, lazımsız ola bilər.
- “USB cihazlarına girişin IP ünvanı ilə məhdudlaşdırılması” konfiqurasiya edilib. IP ünvanından asılı olaraq istifadəçiyə təyin edilmiş USB cihazlarına giriş icazəsi verilir, ya yox.
- “Login və parolla USB portuna girişi məhdudlaşdırın” konfiqurasiya edilib. Müvafiq olaraq, istifadəçilərə USB cihazlarına giriş hüquqları verilir.
- “Login və parolla USB cihazına girişin məhdudlaşdırılması”nın istifadə edilməməsinə qərar verildi, çünki Bütün USB açarları daimi olaraq USB üzərindən IP hub-a qoşulur və portdan porta köçürülə bilməz. Bizim istifadəçilərə uzun müddət ərzində USB cihazı quraşdırılmış USB portuna çıxış təmin etməyimiz daha məntiqlidir.
- USB portlarının fiziki olaraq açılması və söndürülməsi həyata keçirilir:
- Proqram təminatı və elektron sənəd açarları üçün - tapşırıq planlaşdırıcısından və mərkəzin təyin edilmiş tapşırıqlarından istifadə etməklə (bir sıra düymələr saat 9.00-da açılmaq və 18.00-da sönmək üçün proqramlaşdırılmışdır, nömrə 13.00-dan 16.00-a qədər);
- Ticarət platformalarının və bir sıra proqram təminatının açarları üçün - WEB interfeysi vasitəsilə səlahiyyətli istifadəçilər tərəfindən;
- Kameralar, bir sıra fleş disklər və qeyri-kritik məlumatlar olan disklər həmişə açıqdır.
Güman edirik ki, USB cihazlarına girişin bu təşkili onların təhlükəsiz istifadəsini təmin edir:
- regional idarələrdən (şərti olaraq NET No 1...... NET No N),
- Qlobal şəbəkə vasitəsilə USB cihazlarını birləşdirən məhdud sayda kompüter və noutbuklar üçün,
- terminal proqram serverlərində dərc edilmiş istifadəçilər üçün.
Şərhlərdə USB cihazlarına qlobal girişi təmin etmək üçün informasiya təhlükəsizliyini artıran xüsusi praktiki tədbirləri eşitmək istərdim.
Mənbə: www.habr.com