Delt for nylig i vores organisation. Kommentarerne rejste et alvorligt spørgsmål om informationssikkerhed for USB over IP-hardwareløsninger, som bekymrer os meget.
Så lad os først tage stilling til de oprindelige betingelser.
- Et stort antal elektroniske sikkerhedsnøgler.
- De skal tilgås fra forskellige geografiske steder.
- Vi overvejer kun USB over IP-hardwareløsninger og forsøger at sikre denne løsning ved at tage yderligere organisatoriske og tekniske foranstaltninger (vi overvejer ikke spørgsmålet om alternativer endnu).
- Inden for rammerne af denne artikel vil jeg ikke helt beskrive de trusselsmodeller, vi overvejer (du kan se meget i ), men jeg vil kort fokusere på to punkter. Vi udelukker social engineering og ulovlige handlinger af brugerne selv fra modellen. Vi overvejer muligheden for uautoriseret adgang til USB-enheder fra ethvert netværk uden almindelige legitimationsoplysninger.
For at sikre adgangssikkerheden til USB-enheder er der taget organisatoriske og tekniske foranstaltninger:
1. Organisatoriske sikkerhedsforanstaltninger.
Den administrerede USB over IP-hub er installeret i et låsbart serverskab af høj kvalitet. Den fysiske adgang til den er strømlinet (adgangskontrolsystem til selve lokalerne, videoovervågning, nøgler og adgangsrettigheder for et strengt begrænset antal personer).
Alle USB-enheder, der bruges i organisationen, er opdelt i 3 grupper:
- Kritisk. Finansielle digitale signaturer – brugt i overensstemmelse med anbefalingerne fra banker (ikke via USB over IP)
- Vigtig. Elektroniske digitale signaturer til handelsplatforme, tjenester, e-dokumentflow, rapportering mv., en række nøgler til software - bruges ved hjælp af en administreret USB over IP-hub.
- Ikke kritisk. En række softwarenøgler, kameraer, et antal flashdrev og diske med ikke-kritiske oplysninger, USB-modemmer - bruges ved hjælp af en administreret USB over IP-hub.
2. Tekniske sikkerhedsforanstaltninger.
Netværksadgang til en administreret USB over IP-hub gives kun inden for et isoleret undernet. Adgang til et isoleret undernet er givet:
- fra en terminal serverfarm,
- via VPN (certifikat og adgangskode) til et begrænset antal computere og bærbare computere, via VPN tildeles de permanente adresser,
- via VPN-tunneler, der forbinder regionale kontorer.
På den administrerede USB over IP-hub DistKontrolUSB, ved hjælp af dens standardværktøjer, er følgende funktioner konfigureret:
- For at få adgang til USB-enheder på en USB over IP-hub bruges kryptering (SSL-kryptering er aktiveret på hubben), selvom dette kan være unødvendigt.
- "Begrænsning af adgang til USB-enheder ved hjælp af IP-adresse" er konfigureret. Afhængigt af IP-adressen får brugeren eller ej adgang til tildelte USB-enheder.
- "Begræns adgang til USB-porten ved hjælp af login og adgangskode" er konfigureret. Derfor tildeles brugere adgangsrettigheder til USB-enheder.
- "Begrænsning af adgang til en USB-enhed ved login og adgangskode" blev besluttet ikke at blive brugt, pga Alle USB-nøgler er forbundet til USB over IP-hubben permanent og kan ikke flyttes fra port til port. Det giver mere mening for os at give brugerne adgang til en USB-port med en USB-enhed installeret i den i lang tid.
- Fysisk tænding og slukning af USB-porte udføres:
- Til software og elektroniske dokumentnøgler - ved hjælp af opgaveplanlæggeren og tildelte opgaver i hubben (et antal nøgler blev programmeret til at tænde kl. 9.00 og slukke kl. 18.00, et tal fra kl. 13.00 til 16.00);
- For nøgler til handelsplatforme og en række software - af autoriserede brugere via WEB-grænsefladen;
- Kameraer, en række flashdrev og diske med ikke-kritiske oplysninger er altid tændt.
Vi antager, at denne organisering af adgang til USB-enheder sikrer sikker brug:
- fra regionale kontorer (betinget NET nr. 1...... NET nr. N),
- for et begrænset antal computere og bærbare computere, der forbinder USB-enheder via det globale netværk,
- for brugere udgivet på terminalapplikationsservere.
I kommentarerne vil jeg gerne høre konkrete praktiske tiltag, der øger informationssikkerheden ved at give global adgang til USB-enheder.
Kilde: www.habr.com