Felly, yn gyntaf, gadewch i ni benderfynu ar yr amodau cychwynnol.
Nifer fawr o allweddi diogelwch electronig.
Mae angen eu cyrchu o wahanol leoliadau daearyddol.
Rydym yn ystyried datrysiadau caledwedd USB dros IP yn unig ac rydym yn ceisio sicrhau'r datrysiad hwn trwy gymryd mesurau sefydliadol a thechnegol ychwanegol (nid ydym yn ystyried y mater o ddewisiadau amgen eto).
O fewn cwmpas yr erthygl hon, ni fyddaf yn disgrifio'n llawn y modelau bygythiad yr ydym yn eu hystyried (gallwch weld llawer yn Cyhoeddi), ond canolbwyntiaf yn fyr ar ddau bwynt. Rydym yn eithrio peirianneg gymdeithasol a gweithredoedd anghyfreithlon defnyddwyr eu hunain o'r model. Rydym yn ystyried y posibilrwydd o fynediad anawdurdodedig i ddyfeisiau USB o unrhyw rwydwaith heb gymwysterau rheolaidd.
Er mwyn sicrhau diogelwch mynediad i ddyfeisiau USB, cymerwyd mesurau sefydliadol a thechnegol:
1. Mesurau diogelwch sefydliadol.
Mae'r canolbwynt USB dros IP a reolir wedi'i osod mewn cabinet gweinydd o ansawdd uchel y gellir ei gloi. Mae mynediad corfforol iddo wedi'i symleiddio (system rheoli mynediad i'r eiddo ei hun, gwyliadwriaeth fideo, allweddi a hawliau mynediad ar gyfer nifer gyfyngedig iawn o bobl).
Rhennir yr holl ddyfeisiau USB a ddefnyddir yn y sefydliad yn 3 grŵp:
Critigol. Llofnodion digidol ariannol - a ddefnyddir yn unol ag argymhellion banciau (nid trwy USB dros IP)
Pwysig. Llofnodion digidol electronig ar gyfer llwyfannau masnachu, gwasanaethau, llif e-ddogfen, adrodd, ac ati, nifer o allweddi ar gyfer meddalwedd - yn cael eu defnyddio gan ddefnyddio USB a reolir dros hwb IP.
Ddim yn feirniadol. Mae nifer o allweddi meddalwedd, camerâu, nifer o yriannau fflach a disgiau gyda gwybodaeth nad yw'n hanfodol, modemau USB - yn cael eu defnyddio gan ddefnyddio both USB dros IP a reolir.
2. Mesurau diogelwch technegol.
Dim ond o fewn is-rwydwaith ynysig y darperir mynediad rhwydwaith i ganolbwynt USB a reolir dros IP. Darperir mynediad i is-rwydwaith ynysig:
o fferm gweinydd terfynell,
trwy VPN (tystysgrif a chyfrinair) i nifer cyfyngedig o gyfrifiaduron a gliniaduron, trwy VPN rhoddir cyfeiriadau parhaol iddynt,
trwy dwneli VPN sy'n cysylltu swyddfeydd rhanbarthol.
Ar y canolbwynt USB a reolir dros IP DistKontrolUSB, gan ddefnyddio ei offer safonol, mae'r swyddogaethau canlynol wedi'u ffurfweddu:
I gael mynediad i ddyfeisiau USB ar ganolbwynt USB dros IP, defnyddir amgryptio (mae amgryptio SSL wedi'i alluogi ar y canolbwynt), er y gallai hyn fod yn ddiangen.
Mae “cyfyngu mynediad i ddyfeisiau USB yn ôl cyfeiriad IP” wedi'i ffurfweddu. Yn dibynnu ar y cyfeiriad IP, mae'r defnyddiwr yn cael mynediad i ddyfeisiau USB penodedig neu ddim.
Mae “Cyfyngu mynediad i'r porthladd USB trwy fewngofnodi a chyfrinair” wedi'i ffurfweddu. Yn unol â hynny, rhoddir hawliau mynediad i ddyfeisiau USB i ddefnyddwyr.
Penderfynwyd peidio â defnyddio “cyfyngu mynediad i ddyfais USB trwy fewngofnodi a chyfrinair”, oherwydd Mae'r holl allweddi USB wedi'u cysylltu â'r canolbwynt USB dros IP yn barhaol ac ni ellir eu symud o borthladd i borthladd. Mae'n gwneud mwy o synnwyr i ni ddarparu mynediad i ddefnyddwyr i borthladd USB gyda dyfais USB wedi'i osod ynddo am amser hir.
Mae troi ymlaen ac oddi ar borthladdoedd USB yn gorfforol yn cael ei wneud:
Ar gyfer allweddi meddalwedd a dogfennau electronig - defnyddio'r rhaglennydd tasgau a thasgau penodedig y canolbwynt (rhaglennwyd nifer o allweddi i'w troi ymlaen am 9.00 a diffodd am 18.00, nifer o 13.00 i 16.00);
Ar gyfer allweddi i lwyfannau masnachu a nifer o feddalwedd - gan ddefnyddwyr awdurdodedig trwy'r rhyngwyneb WEB;
Mae camerâu, nifer o yriannau fflach a disgiau gyda gwybodaeth nad yw'n hanfodol bob amser yn cael eu troi ymlaen.
Rydym yn cymryd bod y sefydliad hwn o fynediad i ddyfeisiau USB yn sicrhau eu bod yn cael eu defnyddio'n ddiogel:
o swyddfeydd rhanbarthol (yn amodol NET Rhif 1...... NET Rhif N),
ar gyfer nifer cyfyngedig o gyfrifiaduron a gliniaduron sy'n cysylltu dyfeisiau USB trwy'r rhwydwaith byd-eang,
ar gyfer defnyddwyr a gyhoeddir ar weinyddion cymwysiadau terfynell.
Yn y sylwadau, hoffwn glywed mesurau ymarferol penodol sy'n cynyddu diogelwch gwybodaeth darparu mynediad byd-eang i ddyfeisiau USB.