ProHoster > blog > Gweinyddiaeth > Diogelwch gwybodaeth USB dros atebion caledwedd IP

Diogelwch gwybodaeth USB dros atebion caledwedd IP

Wedi'i rannu'n ddiweddar profiad o ddod o hyd i ateb ar gyfer trefnu mynediad canolog i allweddi diogelwch electronig yn ein sefydliad. Cododd y sylwadau fater difrifol o ddiogelwch gwybodaeth USB dros atebion caledwedd IP, sy'n ein poeni'n fawr.

Felly, yn gyntaf, gadewch i ni benderfynu ar yr amodau cychwynnol.

  • Nifer fawr o allweddi diogelwch electronig.
  • Mae angen eu cyrchu o wahanol leoliadau daearyddol.
  • Rydym yn ystyried datrysiadau caledwedd USB dros IP yn unig ac rydym yn ceisio sicrhau'r datrysiad hwn trwy gymryd mesurau sefydliadol a thechnegol ychwanegol (nid ydym yn ystyried y mater o ddewisiadau amgen eto).
  • O fewn cwmpas yr erthygl hon, ni fyddaf yn disgrifio'n llawn y modelau bygythiad yr ydym yn eu hystyried (gallwch weld llawer yn Cyhoeddi), ond canolbwyntiaf yn fyr ar ddau bwynt. Rydym yn eithrio peirianneg gymdeithasol a gweithredoedd anghyfreithlon defnyddwyr eu hunain o'r model. Rydym yn ystyried y posibilrwydd o fynediad anawdurdodedig i ddyfeisiau USB o unrhyw rwydwaith heb gymwysterau rheolaidd.

Diogelwch gwybodaeth USB dros atebion caledwedd IP

Er mwyn sicrhau diogelwch mynediad i ddyfeisiau USB, cymerwyd mesurau sefydliadol a thechnegol:

1. Mesurau diogelwch sefydliadol.

Mae'r canolbwynt USB dros IP a reolir wedi'i osod mewn cabinet gweinydd o ansawdd uchel y gellir ei gloi. Mae mynediad corfforol iddo wedi'i symleiddio (system rheoli mynediad i'r eiddo ei hun, gwyliadwriaeth fideo, allweddi a hawliau mynediad ar gyfer nifer gyfyngedig iawn o bobl).

Rhennir yr holl ddyfeisiau USB a ddefnyddir yn y sefydliad yn 3 grŵp:

  • Critigol. Llofnodion digidol ariannol - a ddefnyddir yn unol ag argymhellion banciau (nid trwy USB dros IP)
  • Pwysig. Llofnodion digidol electronig ar gyfer llwyfannau masnachu, gwasanaethau, llif e-ddogfen, adrodd, ac ati, nifer o allweddi ar gyfer meddalwedd - yn cael eu defnyddio gan ddefnyddio USB a reolir dros hwb IP.
  • Ddim yn feirniadol. Mae nifer o allweddi meddalwedd, camerâu, nifer o yriannau fflach a disgiau gyda gwybodaeth nad yw'n hanfodol, modemau USB - yn cael eu defnyddio gan ddefnyddio both USB dros IP a reolir.

2. Mesurau diogelwch technegol.

Dim ond o fewn is-rwydwaith ynysig y darperir mynediad rhwydwaith i ganolbwynt USB a reolir dros IP. Darperir mynediad i is-rwydwaith ynysig:

  • o fferm gweinydd terfynell,
  • trwy VPN (tystysgrif a chyfrinair) i nifer cyfyngedig o gyfrifiaduron a gliniaduron, trwy VPN rhoddir cyfeiriadau parhaol iddynt,
  • trwy dwneli VPN sy'n cysylltu swyddfeydd rhanbarthol.

Ar y canolbwynt USB a reolir dros IP DistKontrolUSB, gan ddefnyddio ei offer safonol, mae'r swyddogaethau canlynol wedi'u ffurfweddu:

  • I gael mynediad i ddyfeisiau USB ar ganolbwynt USB dros IP, defnyddir amgryptio (mae amgryptio SSL wedi'i alluogi ar y canolbwynt), er y gallai hyn fod yn ddiangen.
  • Mae “cyfyngu mynediad i ddyfeisiau USB yn ôl cyfeiriad IP” wedi'i ffurfweddu. Yn dibynnu ar y cyfeiriad IP, mae'r defnyddiwr yn cael mynediad i ddyfeisiau USB penodedig neu ddim.
  • Mae “Cyfyngu mynediad i'r porthladd USB trwy fewngofnodi a chyfrinair” wedi'i ffurfweddu. Yn unol â hynny, rhoddir hawliau mynediad i ddyfeisiau USB i ddefnyddwyr.
  • Penderfynwyd peidio â defnyddio “cyfyngu mynediad i ddyfais USB trwy fewngofnodi a chyfrinair”, oherwydd Mae'r holl allweddi USB wedi'u cysylltu â'r canolbwynt USB dros IP yn barhaol ac ni ellir eu symud o borthladd i borthladd. Mae'n gwneud mwy o synnwyr i ni ddarparu mynediad i ddefnyddwyr i borthladd USB gyda dyfais USB wedi'i osod ynddo am amser hir.
  • Mae troi ymlaen ac oddi ar borthladdoedd USB yn gorfforol yn cael ei wneud:
    • Ar gyfer allweddi meddalwedd a dogfennau electronig - defnyddio'r rhaglennydd tasgau a thasgau penodedig y canolbwynt (rhaglennwyd nifer o allweddi i'w troi ymlaen am 9.00 a diffodd am 18.00, nifer o 13.00 i 16.00);
    • Ar gyfer allweddi i lwyfannau masnachu a nifer o feddalwedd - gan ddefnyddwyr awdurdodedig trwy'r rhyngwyneb WEB;
    • Mae camerâu, nifer o yriannau fflach a disgiau gyda gwybodaeth nad yw'n hanfodol bob amser yn cael eu troi ymlaen.

Rydym yn cymryd bod y sefydliad hwn o fynediad i ddyfeisiau USB yn sicrhau eu bod yn cael eu defnyddio'n ddiogel:

  • o swyddfeydd rhanbarthol (yn amodol NET Rhif 1...... NET Rhif N),
  • ar gyfer nifer cyfyngedig o gyfrifiaduron a gliniaduron sy'n cysylltu dyfeisiau USB trwy'r rhwydwaith byd-eang,
  • ar gyfer defnyddwyr a gyhoeddir ar weinyddion cymwysiadau terfynell.

Yn y sylwadau, hoffwn glywed mesurau ymarferol penodol sy'n cynyddu diogelwch gwybodaeth darparu mynediad byd-eang i ddyfeisiau USB.

Ffynhonnell: hab.com

Ychwanegu sylw