Κοινοποιήθηκε πρόσφατα στον οργανισμό μας. Τα σχόλια έθεσαν ένα σοβαρό ζήτημα ασφάλειας πληροφοριών λύσεων υλικού USB μέσω IP, το οποίο μας ανησυχεί πολύ.
Λοιπόν, πρώτα, ας αποφασίσουμε για τις αρχικές συνθήκες.
- Ένας μεγάλος αριθμός ηλεκτρονικών κλειδιών ασφαλείας.
- Πρέπει να έχουν πρόσβαση από διαφορετικές γεωγραφικές τοποθεσίες.
- Εξετάζουμε μόνο λύσεις υλικού USB μέσω IP και προσπαθούμε να εξασφαλίσουμε αυτή τη λύση λαμβάνοντας πρόσθετα οργανωτικά και τεχνικά μέτρα (δεν εξετάζουμε ακόμη το θέμα των εναλλακτικών).
- Στο πλαίσιο αυτού του άρθρου, δεν θα περιγράψω πλήρως τα μοντέλα απειλών που εξετάζουμε (μπορείτε να δείτε πολλά στο ), αλλά θα επικεντρωθώ εν συντομία σε δύο σημεία. Εξαιρούμε την κοινωνική μηχανική και τις παράνομες ενέργειες των ίδιων των χρηστών από το μοντέλο. Εξετάζουμε την πιθανότητα μη εξουσιοδοτημένης πρόσβασης σε συσκευές USB από οποιοδήποτε δίκτυο χωρίς τακτικά διαπιστευτήρια.
Για τη διασφάλιση της ασφάλειας της πρόσβασης σε συσκευές USB, έχουν ληφθεί οργανωτικά και τεχνικά μέτρα:
1. Οργανωτικά μέτρα ασφαλείας.
Ο διανομέας διαχειριζόμενου USB μέσω IP είναι εγκατεστημένος σε ντουλάπι διακομιστή υψηλής ποιότητας με δυνατότητα κλειδώματος. Η φυσική πρόσβαση σε αυτό είναι απλοποιημένη (σύστημα ελέγχου πρόσβασης στις εγκαταστάσεις, παρακολούθηση βίντεο, κλειδιά και δικαιώματα πρόσβασης για αυστηρά περιορισμένο αριθμό ατόμων).
Όλες οι συσκευές USB που χρησιμοποιούνται στον οργανισμό χωρίζονται σε 3 ομάδες:
- Κρίσιμος. Χρηματοοικονομικές ψηφιακές υπογραφές – χρησιμοποιούνται σύμφωνα με τις συστάσεις των τραπεζών (όχι μέσω USB μέσω IP)
- Σπουδαίος. Ηλεκτρονικές ψηφιακές υπογραφές για πλατφόρμες συναλλαγών, υπηρεσίες, ροή ηλεκτρονικών εγγράφων, αναφορές κ.λπ., πλήθος κλειδιών για λογισμικό - χρησιμοποιούνται χρησιμοποιώντας διανομέα διαχειριζόμενου USB μέσω IP.
- Όχι επικριτικό. Ένας αριθμός κλειδιών λογισμικού, κάμερες, ένας αριθμός μονάδων flash και δίσκων με μη κρίσιμες πληροφορίες, μόντεμ USB - χρησιμοποιούνται χρησιμοποιώντας διανομέα διαχειριζόμενου USB μέσω IP.
2. Τεχνικά μέτρα ασφαλείας.
Η πρόσβαση δικτύου σε ένα διαχειριζόμενο διανομέα USB μέσω IP παρέχεται μόνο σε ένα απομονωμένο υποδίκτυο. Παρέχεται πρόσβαση σε απομονωμένο υποδίκτυο:
- από μια φάρμα διακομιστών τερματικού,
- μέσω VPN (πιστοποιητικό και κωδικός πρόσβασης) σε περιορισμένο αριθμό υπολογιστών και φορητών υπολογιστών, μέσω VPN εκδίδονται μόνιμες διευθύνσεις,
- μέσω σηράγγων VPN που συνδέουν περιφερειακά γραφεία.
Στο διαχειριζόμενο διανομέα USB μέσω IP DistKontrolUSB, χρησιμοποιώντας τα τυπικά εργαλεία του, διαμορφώνονται οι ακόλουθες λειτουργίες:
- Για πρόσβαση σε συσκευές USB σε διανομέα USB μέσω IP, χρησιμοποιείται κρυπτογράφηση (η κρυπτογράφηση SSL είναι ενεργοποιημένη στον διανομέα), αν και αυτό μπορεί να μην είναι απαραίτητο.
- Έχει ρυθμιστεί η ρύθμιση "Περιορισμός πρόσβασης σε συσκευές USB μέσω διεύθυνσης IP". Ανάλογα με τη διεύθυνση IP, ο χρήστης έχει ή όχι πρόσβαση σε εκχωρημένες συσκευές USB.
- Έχει ρυθμιστεί το "Περιορισμός πρόσβασης στη θύρα USB μέσω σύνδεσης και κωδικού πρόσβασης". Αντίστοιχα, εκχωρούνται στους χρήστες δικαιώματα πρόσβασης σε συσκευές USB.
- Ο «Περιορισμός πρόσβασης σε συσκευή USB μέσω σύνδεσης και κωδικού πρόσβασης» αποφασίστηκε να μην χρησιμοποιηθεί, επειδή Όλα τα κλειδιά USB είναι μόνιμα συνδεδεμένα στον διανομέα USB μέσω IP και δεν μπορούν να μετακινηθούν από θύρα σε θύρα. Είναι πιο λογικό για εμάς να παρέχουμε στους χρήστες πρόσβαση σε μια θύρα USB με μια συσκευή USB εγκατεστημένη σε αυτήν για μεγάλο χρονικό διάστημα.
- Η φυσική ενεργοποίηση και απενεργοποίηση των θυρών USB πραγματοποιείται:
- Για λογισμικό και πλήκτρα EDM - χρησιμοποιώντας τον προγραμματιστή εργασιών και τις εκχωρημένες εργασίες του διανομέα (ένας αριθμός πλήκτρων προγραμματίστηκε να ενεργοποιούνται στις 9.00 και να απενεργοποιούνται στις 18.00, αριθμός από τις 13.00 έως τις 16.00).
- Για κλειδιά για πλατφόρμες συναλλαγών και έναν αριθμό λογισμικού - από εξουσιοδοτημένους χρήστες μέσω της διεπαφής WEB.
- Κάμερες, μια σειρά από μονάδες flash και δίσκοι με μη κρίσιμες πληροφορίες είναι πάντα ενεργοποιημένες.
Υποθέτουμε ότι αυτή η οργάνωση πρόσβασης σε συσκευές USB διασφαλίζει την ασφαλή χρήση τους:
- από περιφερειακά γραφεία (υπό όρους NET No. 1...... NET No. N),
- για περιορισμένο αριθμό υπολογιστών και φορητών υπολογιστών που συνδέουν συσκευές USB μέσω του παγκόσμιου δικτύου,
- για χρήστες που δημοσιεύονται σε διακομιστές εφαρμογών τερματικού.
Στα σχόλια, θα ήθελα να ακούσω συγκεκριμένα πρακτικά μέτρα που αυξάνουν την ασφάλεια πληροφοριών για την παροχή παγκόσμιας πρόσβασης σε συσκευές USB.
Πηγή: www.habr.com