Наскоро споделено в нашата организация. Коментарите повдигнаха сериозен проблем за информационната сигурност на USB over IP хардуерните решения, който много ни притеснява.
Така че, първо, нека вземем решение за първоначалните условия.
- Голям брой електронни ключове за сигурност.
- Те трябва да бъдат достъпни от различни географски местоположения.
- Обмисляме само USB през IP хардуерни решения и се опитваме да осигурим това решение, като предприемем допълнителни организационни и технически мерки (все още не разглеждаме въпроса за алтернативите).
- В рамките на тази статия няма да описвам напълно моделите на заплахи, които разглеждаме (можете да видите много в ), но накратко ще се спра на две точки. Ние изключваме социалното инженерство и незаконните действия на самите потребители от модела. Обмисляме възможността за неоторизиран достъп до USB устройства от всяка мрежа без редовни идентификационни данни.
За осигуряване сигурността на достъпа до USB устройства са предприети организационни и технически мерки:
1. Организационни мерки за сигурност.
Управляваният USB през IP хъб е инсталиран във висококачествен заключващ се сървърен шкаф. Физическият достъп до него е рационализиран (система за контрол на достъпа до самото помещение, видеонаблюдение, ключове и права на достъп за строго ограничен брой лица).
Всички USB устройства, използвани в организацията, са разделени на 3 групи:
- Критичен. Финансови цифрови подписи – използвани в съответствие с препоръките на банките (не през USB през IP)
- важно. Електронни цифрови подписи за платформи за търговия, услуги, електронен документооборот, отчетност и др., множество ключове за софтуер - използват се чрез управляван USB over IP хъб.
- Не критично. Редица софтуерни ключове, камери, редица флашки и дискове с некритична информация, USB модеми - се използват чрез управляван USB over IP хъб.
2. Технически мерки за безопасност.
Мрежовият достъп до управляван USB през IP хъб се предоставя само в изолирана подмрежа. Осигурен е достъп до изолирана подмрежа:
- от група терминални сървъри,
- чрез VPN (сертификат и парола) до ограничен брой компютри и лаптопи, чрез VPN им се издават постоянни адреси,
- чрез VPN тунели, свързващи регионални офиси.
На управлявания USB през IP хъб DistKontrolUSB, с помощта на неговите стандартни инструменти, се конфигурират следните функции:
- За достъп до USB устройства на USB през IP хъб се използва криптиране (SSL шифроването е активирано на хъба), въпреки че това може да е ненужно.
- Конфигурирано е „Ограничаване на достъпа до USB устройства по IP адрес“. В зависимост от IP адреса, на потребителя се предоставя или не достъп до присвоените USB устройства.
- Конфигурирано е „Ограничаване на достъпа до USB порта чрез потребителско име и парола“. Съответно на потребителите се присвояват права за достъп до USB устройства.
- „Ограничаване на достъпа до USB устройство чрез вход и парола“ беше решено да не се използва, защото Всички USB ключове са свързани постоянно към USB през IP хъба и не могат да се преместват от порт на порт. За нас е по-логично да предоставим на потребителите достъп до USB порт с инсталирано в него USB устройство за дълго време.
- Физическото включване и изключване на USB портовете се извършва:
- За софтуерни и електронни ключове за документи - с помощта на планировчика на задачи и зададени задачи на хъба (брой ключове бяха програмирани да се включат в 9.00 и да се изключат в 18.00, брой от 13.00 до 16.00);
- За ключове към платформи за търговия и редица софтуери - от оторизирани потребители през WEB интерфейса;
- Винаги са включени камери, редица флашки и дискове с некритична информация.
Предполагаме, че тази организация на достъпа до USB устройства гарантира безопасното им използване:
- от регионални офиси (условно NET No. 1...... NET No. N),
- за ограничен брой компютри и лаптопи, свързващи USB устройства през глобалната мрежа,
- за потребители, публикувани на сървъри на терминални приложения.
В коментарите бих искал да чуя конкретни практически мерки, които повишават информационната сигурност на предоставянето на глобален достъп до USB устройства.
Източник: www.habr.com