Allora, prima, decidemu nantu à e cundizioni iniziali.
Un gran numaru di chjavi di sicurezza elettroniche.
Hanu bisognu di accede da diverse lochi geografichi.
Avemu cunsiderà solu suluzioni hardware USB over IP è pruvemu di assicurà sta suluzione pigliendu misure urganisazione è tecniche supplementari (ùn cunsideremu micca ancu u prublema di l'alternative).
In u scopu di stu articulu, ùn descriveraghju micca cumplettamente i mudelli di minaccia chì avemu cunsideratu (pudete vede assai in publicazioni), ma mi concentreraghju brevemente nantu à dui punti. Escludemu l'ingenieria suciale è l'azzioni illegali di l'utilizatori stessi da u mudellu. Avemu cunsiderà a pussibilità di l'accessu micca autorizatu à i dispositi USB da ogni reta senza credenziali regulare.
Per assicurà a sicurità di l'accessu à i dispositi USB, misure organizzative è tecniche sò state pigliate:
1. Misuri di sicurità urganisazione.
U hub USB over IP amministratu hè stallatu in un armadiu di servitore chjusu di alta qualità. L'accessu fisicu à questu hè simplificatu (sistema di cuntrollu d'accessu à u locu stessu, surviglianza video, chjave è diritti d'accessu per un numeru strettu di persone).
Tutti i dispositi USB utilizati in l'urganizazione sò divisi in 3 gruppi:
Criticu. Firma digitale finanziaria - utilizata in cunfurmità cù i cunsiglii di i banche (micca via USB over IP)
Impurtante. Firma digitale elettronica per e plataformi di cummerciale, servizii, flussu di documentu elettronicu, rapportu, etc., una quantità di chjavi per u software - sò aduprate cù un hub USB over IP gestionatu.
Micca critica. Una quantità di chjavi di software, camere, una quantità di unità flash è dischi cù infurmazione micca critica, modem USB - sò utilizati cù un hub USB over IP gestionatu.
2. Misure tecniche di sicurità.
L'accessu à a rete à un hub USB over IP gestionatu hè furnitu solu in una subnet isolata. L'accessu à una subnet isolata hè furnitu:
da una splutazioni di servitori di terminal,
via VPN (certificatu è password) à un numeru limitatu di computer è laptop, via VPN sò emessi indirizzi permanenti,
via tunnel VPN cunnessi uffizii regiunale.
Nant'à u centru USB amministratu nantu à IP DistKontrolUSB, utilizendu i so strumenti standard, e seguenti funzioni sò cunfigurate:
Per accede à i dispositi USB in un hub USB over IP, a criptografia hè aduprata (a criptografia SSL hè attivata in u hub), ancu s'ellu ùn hè micca necessariu.
"Restrizzione di l'accessu à i dispositi USB per indirizzu IP" hè cunfigurata. Sicondu l'indirizzu IP, l'utilizatore hè cuncessu o micca accessu à i dispositi USB assignati.
"Restrict access to the USB port by login and password" hè cunfiguratu. Per quessa, l'utilizatori sò attribuiti diritti d'accessu à i dispositi USB.
"Restrizzione di l'accessu à un dispositivu USB per login è password" hè statu decisu di ùn esse usatu, perchè Tutte e chjavi USB sò cunnessi à l'USB over IP hub permanentemente è ùn ponu esse spustate da un portu à un portu. Hè più sensu per noi di furnisce l'utilizatori cù accessu à un portu USB cù un dispositivu USB installatu in questu per un bellu pezzu.
L'accensione è spegnimentu fisicu di i porti USB hè realizatu:
Per u software è i chjavi di documentu elettronicu - utilizendu u pianificatore di u travagliu è i travaglii assignati di u centru (una quantità di chjavi sò stati programati per accende à 9.00 è spegne à 18.00, un numeru da 13.00 à 16.00);
Per e chjave per e plataformi di cummerciale è una quantità di software - da l'utilizatori autorizati attraversu l'interfaccia WEB;
Camera, una quantità di unità flash è dischi cù infurmazione micca critica sò sempre attivati.
Assumimu chì sta urganizazione di accessu à i dispositi USB assicura u so usu sicuru:
da l'uffizii regiunale (condizionalmente NET No. 1...... NET No. N),
per un numeru limitatu di urdinatori è laptop chì culliganu i dispositi USB via a reta glubale,
per l'utilizatori publicati nantu à i servitori di l'applicazioni di terminal.
In i cumenti, mi piacerebbe à sente misure pratiche specifiche chì aumentanu a sicurità di l'infurmazioni di furnisce l'accessu globale à i dispositi USB.