Lastatempe dividita en nia organizo. La komentoj levis seriozan problemon pri informa sekureco de USB-super IP-aparataj solvoj, kiu tre maltrankviligas nin.
Do, unue, ni decidu pri la komencaj kondiĉoj.
- Granda nombro da elektronikaj sekurecŝlosiloj.
- Ili devas esti alireblaj de malsamaj geografiaj lokoj.
- Ni pripensas nur USB-super IP-aparatajn solvojn kaj provas sekurigi ĉi tiun solvon per pliaj organizaj kaj teknikaj mezuroj (ni ankoraŭ ne pripensas la aferon de alternativoj).
- En la medio de ĉi tiu artikolo, mi ne plene priskribos la minacajn modelojn, kiujn ni konsideras (vi povas vidi multon en ), sed mi mallonge koncentriĝos pri du punktoj. Ni ekskludas socian inĝenieristikon kaj kontraŭleĝajn agojn de uzantoj mem de la modelo. Ni pripensas la eblecon de neaŭtorizita aliro al USB-aparatoj de iu ajn reto sen regulaj akreditaĵoj.
Por certigi sekurecon de aliro al USB-aparatoj, organizaj kaj teknikaj mezuroj estis prenitaj:
1. Organizaj sekurecaj mezuroj.
La administrita USB super IP-nabo estas instalita en altkvalita ŝlosebla servila kabineto. Fizika aliro al ĝi estas simpligita (sistemo de alirkontrolo al la loko mem, videogvatado, ŝlosiloj kaj alirrajtoj por strikte limigita nombro da personoj).
Ĉiuj USB-aparatoj uzataj en la organizo estas dividitaj en 3 grupojn:
- Kritikaj. Financaj ciferecaj subskriboj - uzataj laŭ la rekomendoj de bankoj (ne per USB super IP)
- Grava. Elektronikaj ciferecaj subskriboj por komercaj platformoj, servoj, e-dokumenta fluo, raportado ktp., kelkaj ŝlosiloj por programaro - estas uzataj per administrita USB super IP-nabo.
- Ne kritika. Kelkaj softvarŝlosiloj, fotiloj, kelkaj poŝmemoriloj kaj diskoj kun nekritikaj informoj, USB-modemoj - estas uzataj per administrita USB super IP-nabo.
2. Teknikaj sekurecaj mezuroj.
Retaliro al administrita USB super IP-nabo estas disponigita nur ene de izolita subreto. Aliro al izolita subreto estas disponigita:
- de fina servila bieno,
- per VPN (atestilo kaj pasvorto) al limigita nombro da komputiloj kaj tekkomputiloj, per VPN ili ricevas konstantajn adresojn,
- per VPN-tuneloj ligantaj regionajn oficejojn.
Sur la administrita USB super IP-nabo DistKontrolUSB, uzante ĝiajn normajn ilojn, la sekvaj funkcioj estas agordita:
- Por aliri USB-aparatojn sur USB super IP-nabo, ĉifrado estas uzata (SSL-ĉifrado estas ebligita sur la nabo), kvankam tio povas esti nenecesa.
- "Limigi aliron al USB-aparatoj per IP-adreso" estas agordita. Depende de la IP-adreso, la uzanto ricevas aŭ ne aliron al asignitaj USB-aparatoj.
- "Limigi aliron al la USB-haveno per ensaluto kaj pasvorto" estas agordita. Sekve, uzantoj ricevas alirrajtojn al USB-aparatoj.
- "Limigi aliron al USB-aparato per ensaluto kaj pasvorto" estis decidita ne esti uzata, ĉar Ĉiuj USB-ŝlosiloj estas konektitaj al la USB super IP-nabo konstante kaj ne povas esti movitaj de haveno al haveno. Estas pli senco por ni provizi uzantojn per aliro al USB-haveno kun USB-aparato instalita en ĝi dum longa tempo.
- Fizike ŝalti kaj malŝalti USB-havenojn okazas:
- Por programaro kaj elektronikaj dokumentŝlosiloj - uzante la taskoplanilon kaj asignitajn taskojn de la nabo (kelkaj klavoj estis programitaj por ŝalti je 9.00 kaj malŝalti je 18.00, nombro de 13.00 ĝis 16.00);
- Por ŝlosiloj al komercaj platformoj kaj kelkaj programoj - de rajtigitaj uzantoj per la TTT-interfaco;
- Fotiloj, kelkaj poŝmemoriloj kaj diskoj kun nekritikaj informoj ĉiam estas ŝaltitaj.
Ni supozas, ke ĉi tiu organizo de aliro al USB-aparatoj certigas ilian sekuran uzon:
- el regionaj oficejoj (kondiĉe NET N-ro 1...... NET N-ro N),
- por limigita nombro da komputiloj kaj tekokomputiloj konektantaj USB-aparatojn per la tutmonda reto,
- por uzantoj publikigitaj sur terminalaj aplikaĵserviloj.
En la komentoj, mi ŝatus aŭdi specifajn praktikajn mezurojn, kiuj pliigas la informan sekurecon provizi tutmondan aliron al USB-aparatoj.
fonto: www.habr.com