ProHoster > Bloc > Administració > Seguretat de la informació de les solucions de maquinari USB sobre IP

Seguretat de la informació de les solucions de maquinari USB sobre IP

Compartit recentment experiència en la recerca d'una solució per organitzar l'accés centralitzat a les claus de seguretat electròniques a la nostra organització. Els comentaris van plantejar un greu problema de seguretat de la informació de les solucions de maquinari USB sobre IP, que ens preocupa molt.

Per tant, primer, decidim les condicions inicials.

  • Un gran nombre de claus de seguretat electròniques.
  • Cal accedir-hi des de diferents ubicacions geogràfiques.
  • Estem considerant només solucions de maquinari USB sobre IP i estem intentant assegurar aquesta solució prenent mesures organitzatives i tècniques addicionals (encara no estem considerant el problema de les alternatives).
  • Dins de l'àmbit d'aquest article, no descriuré completament els models d'amenaça que estem considerant (podeu veure moltes coses a Publicació), però em centraré breument en dos punts. Excloem del model l'enginyeria social i les accions il·legals dels mateixos usuaris. Estem considerant la possibilitat d'accés no autoritzat a dispositius USB des de qualsevol xarxa sense credencials habituals.

Seguretat de la informació de les solucions de maquinari USB sobre IP

Per garantir la seguretat de l'accés als dispositius USB, s'han pres mesures organitzatives i tècniques:

1. Mesures de seguretat organitzatives.

El concentrador USB sobre IP gestionat s'instal·la en un gabinet de servidor amb bloqueig d'alta qualitat. S'agilitza l'accés físic al mateix (sistema de control d'accés al propi local, videovigilància, claus i drets d'accés per a un nombre estrictament limitat de persones).

Tots els dispositius USB utilitzats a l'organització es divideixen en 3 grups:

  • Crític. Signatures digitals financeres: s'utilitzen d'acord amb les recomanacions dels bancs (no mitjançant USB sobre IP)
  • Important. Les signatures digitals electròniques per a plataformes comercials, serveis, flux de documents electrònics, informes, etc., una sèrie de claus per al programari, s'utilitzen mitjançant un concentrador USB sobre IP gestionat.
  • No crític. Una sèrie de claus de programari, càmeres, una sèrie de unitats flash i discos amb informació no crítica, mòdems USB s'utilitzen mitjançant un concentrador USB sobre IP gestionat.

2. Mesures tècniques de seguretat.

L'accés a la xarxa a un concentrador USB sobre IP gestionat només es proporciona dins d'una subxarxa aïllada. Es proporciona accés a una subxarxa aïllada:

  • d'una granja de servidors de terminal,
  • mitjançant VPN (certificat i contrasenya) a un nombre limitat d'ordinadors i portàtils, mitjançant VPN se'ls emeten adreces permanents,
  • mitjançant túnels VPN que connecten les oficines regionals.

Al concentrador USB sobre IP gestionat DistKontrolUSB, utilitzant les seves eines estàndard, es configuren les funcions següents:

  • Per accedir als dispositius USB en un concentrador USB sobre IP, s'utilitza el xifratge (l'encriptació SSL està habilitat al concentrador), tot i que això pot ser innecessari.
  • S'ha configurat "Restringir l'accés als dispositius USB per adreça IP". Depenent de l'adreça IP, l'usuari té accés o no als dispositius USB assignats.
  • S'ha configurat "Restringir l'accés al port USB mitjançant l'inici de sessió i la contrasenya". En conseqüència, als usuaris se'ls assignen drets d'accés als dispositius USB.
  • Es va decidir no utilitzar "Restringir l'accés a un dispositiu USB mitjançant un inici de sessió i una contrasenya". Totes les claus USB estan connectades al concentrador USB sobre IP de manera permanent i no es poden moure d'un port a un altre. Per a nosaltres té més sentit oferir als usuaris accés a un port USB amb un dispositiu USB instal·lat durant molt de temps.
  • L'activació i desactivació física dels ports USB es duu a terme:
    • Per a les claus de programari i documents electrònics: utilitzant el programador de tasques i les tasques assignades del concentrador (es va programar un nombre de tecles per encendre a les 9.00 i apagar-se a les 18.00, un nombre de 13.00 a 16.00);
    • Per a claus per a plataformes comercials i una sèrie de programari, per part d'usuaris autoritzats a través de la interfície WEB;
    • Les càmeres, una sèrie de unitats flash i discs amb informació no crítica sempre estan enceses.

Suposem que aquesta organització d'accés als dispositius USB garanteix el seu ús segur:

  • de les oficines regionals (condicionalment NET núm. 1...... NET núm. N),
  • per a un nombre limitat d'ordinadors i portàtils que connecten dispositius USB a través de la xarxa global,
  • per als usuaris publicats en servidors d'aplicacions de terminal.

En els comentaris, m'agradaria escoltar mesures pràctiques específiques que augmenten la seguretat de la informació de proporcionar accés global als dispositius USB.

Font: www.habr.com

Afegeix comentari