Så lad os først tage stilling til de oprindelige betingelser.
Et stort antal elektroniske sikkerhedsnøgler.
De skal tilgås fra forskellige geografiske steder.
Vi overvejer kun USB over IP-hardwareløsninger og forsøger at sikre denne løsning ved at tage yderligere organisatoriske og tekniske foranstaltninger (vi overvejer ikke spørgsmålet om alternativer endnu).
Inden for rammerne af denne artikel vil jeg ikke helt beskrive de trusselsmodeller, vi overvejer (du kan se meget i Offentliggørelse), men jeg vil kort fokusere på to punkter. Vi udelukker social engineering og ulovlige handlinger af brugerne selv fra modellen. Vi overvejer muligheden for uautoriseret adgang til USB-enheder fra ethvert netværk uden almindelige legitimationsoplysninger.
For at sikre adgangssikkerheden til USB-enheder er der taget organisatoriske og tekniske foranstaltninger:
1. Organisatoriske sikkerhedsforanstaltninger.
Den administrerede USB over IP-hub er installeret i et låsbart serverskab af høj kvalitet. Den fysiske adgang til den er strømlinet (adgangskontrolsystem til selve lokalerne, videoovervågning, nøgler og adgangsrettigheder for et strengt begrænset antal personer).
Alle USB-enheder, der bruges i organisationen, er opdelt i 3 grupper:
Kritisk. Finansielle digitale signaturer – brugt i overensstemmelse med anbefalingerne fra banker (ikke via USB over IP)
Vigtig. Elektroniske digitale signaturer til handelsplatforme, tjenester, e-dokumentflow, rapportering mv., en række nøgler til software - bruges ved hjælp af en administreret USB over IP-hub.
Ikke kritisk. En række softwarenøgler, kameraer, et antal flashdrev og diske med ikke-kritiske oplysninger, USB-modemmer - bruges ved hjælp af en administreret USB over IP-hub.
2. Tekniske sikkerhedsforanstaltninger.
Netværksadgang til en administreret USB over IP-hub gives kun inden for et isoleret undernet. Adgang til et isoleret undernet er givet:
fra en terminal serverfarm,
via VPN (certifikat og adgangskode) til et begrænset antal computere og bærbare computere, via VPN tildeles de permanente adresser,
via VPN-tunneler, der forbinder regionale kontorer.
På den administrerede USB over IP-hub DistKontrolUSB, ved hjælp af dens standardværktøjer, er følgende funktioner konfigureret:
For at få adgang til USB-enheder på en USB over IP-hub bruges kryptering (SSL-kryptering er aktiveret på hubben), selvom dette kan være unødvendigt.
"Begrænsning af adgang til USB-enheder ved hjælp af IP-adresse" er konfigureret. Afhængigt af IP-adressen får brugeren eller ej adgang til tildelte USB-enheder.
"Begræns adgang til USB-porten ved hjælp af login og adgangskode" er konfigureret. Derfor tildeles brugere adgangsrettigheder til USB-enheder.
"Begrænsning af adgang til en USB-enhed ved login og adgangskode" blev besluttet ikke at blive brugt, pga Alle USB-nøgler er forbundet til USB over IP-hubben permanent og kan ikke flyttes fra port til port. Det giver mere mening for os at give brugerne adgang til en USB-port med en USB-enhed installeret i den i lang tid.
Fysisk tænding og slukning af USB-porte udføres:
Til software og elektroniske dokumentnøgler - ved hjælp af opgaveplanlæggeren og tildelte opgaver i hubben (et antal nøgler blev programmeret til at tænde kl. 9.00 og slukke kl. 18.00, et tal fra kl. 13.00 til 16.00);
For nøgler til handelsplatforme og en række software - af autoriserede brugere via WEB-grænsefladen;
Kameraer, en række flashdrev og diske med ikke-kritiske oplysninger er altid tændt.
Vi antager, at denne organisering af adgang til USB-enheder sikrer sikker brug:
fra regionale kontorer (betinget NET nr. 1...... NET nr. N),
for et begrænset antal computere og bærbare computere, der forbinder USB-enheder via det globale netværk,
for brugere udgivet på terminalapplikationsservere.
I kommentarerne vil jeg gerne høre konkrete praktiske tiltag, der øger informationssikkerheden ved at give global adgang til USB-enheder.