اخیراً به اشتراک گذاشته شده است در سازمان ما این نظرات یک مسئله جدی در مورد امنیت اطلاعات USB در راه حل های سخت افزاری IP را ایجاد کرد که ما را بسیار نگران می کند.
بنابراین، ابتدا اجازه دهید در مورد شرایط اولیه تصمیم گیری کنیم.
- تعداد زیادی کلید امنیتی الکترونیکی
- باید از مکان های جغرافیایی مختلف به آنها دسترسی داشت.
- ما تنها راه حل های سخت افزاری USB over IP را در نظر گرفته ایم و سعی می کنیم با اقدامات سازمانی و فنی اضافی این راه حل را ایمن کنیم (هنوز به موضوع جایگزین توجه نکرده ایم).
- در محدوده این مقاله، مدل های تهدید مورد نظر را به طور کامل شرح نمی دهم (شما می توانید موارد زیادی را در ) اما به طور خلاصه روی دو نکته تمرکز می کنم. ما مهندسی اجتماعی و اقدامات غیرقانونی خود کاربران را از مدل حذف می کنیم. ما در حال بررسی امکان دسترسی غیرمجاز به دستگاههای USB از هر شبکه بدون اعتبار عادی هستیم.
برای اطمینان از امنیت دسترسی به دستگاه های USB، اقدامات سازمانی و فنی انجام شده است:
1. اقدامات امنیتی سازمانی.
هاب USB مدیریت شده روی IP در یک کابینت سرور قابل قفل با کیفیت بالا نصب شده است. دسترسی فیزیکی به آن ساده شده است (سیستم کنترل دسترسی به خود محل، نظارت تصویری، کلیدها و حقوق دسترسی برای تعداد بسیار محدودی از افراد).
تمام دستگاه های USB مورد استفاده در سازمان به 3 گروه تقسیم می شوند:
- بحرانی. امضای دیجیتال مالی - مطابق با توصیه های بانک ها استفاده می شود (نه از طریق USB از طریق IP)
- مهم. امضای دیجیتال الکترونیکی برای پلتفرم های معاملاتی، خدمات، جریان اسناد الکترونیکی، گزارش گیری و غیره، تعدادی کلید برای نرم افزار - با استفاده از یک هاب USB مدیریت شده روی IP استفاده می شود.
- انتقادی نیست. تعدادی از کلیدهای نرم افزاری، دوربین ها، تعدادی درایو فلش و دیسک با اطلاعات غیر مهم، مودم های USB - با استفاده از هاب USB مدیریت شده روی IP استفاده می شوند.
2. اقدامات ایمنی فنی.
دسترسی شبکه به یک هاب USB مدیریت شده از طریق IP فقط در یک زیر شبکه ایزوله ارائه می شود. دسترسی به یک زیر شبکه ایزوله فراهم شده است:
- از مزرعه سرور ترمینال،
- از طریق VPN (گواهی و رمز عبور) به تعداد محدودی از رایانه ها و لپ تاپ ها، از طریق VPN آدرس های دائمی برای آنها صادر می شود.
- از طریق تونل های VPN که دفاتر منطقه ای را به هم متصل می کند.
در هاب USB مدیریت شده روی IP DistKontrolUSB، با استفاده از ابزارهای استاندارد آن، عملکردهای زیر پیکربندی می شوند:
- برای دسترسی به دستگاههای USB در یک هاب USB روی IP، از رمزگذاری استفاده میشود (رمزگذاری SSL در هاب فعال است)، اگرچه ممکن است این کار غیر ضروری باشد.
- "محدود کردن دسترسی به دستگاه های USB با آدرس IP" پیکربندی شده است. بسته به آدرس IP، کاربر به دستگاه های USB اختصاص داده شده دسترسی یا عدم دسترسی دارد.
- "محدود کردن دسترسی به پورت USB با ورود به سیستم و رمز عبور" پیکربندی شده است. بر این اساس، به کاربران حقوق دسترسی به دستگاه های USB اختصاص داده شده است.
- "محدود کردن دسترسی به یک دستگاه USB با ورود به سیستم و رمز عبور" تصمیم گرفته شد که استفاده نشود، زیرا همه کلیدهای USB به طور دائم به هاب USB از طریق IP متصل هستند و نمی توان آنها را از درگاهی به پورت دیگر منتقل کرد. برای ما منطقی تر است که دسترسی کاربران را به درگاه USB با یک دستگاه USB نصب شده برای مدت طولانی در آن فراهم کنیم.
- روشن و خاموش کردن فیزیکی پورت های USB انجام می شود:
- برای نرم افزار و کلیدهای اسناد الکترونیکی - با استفاده از زمانبندی کار و وظایف محول شده هاب (تعدادی از کلیدها برای روشن شدن در ساعت 9.00 و خاموش شدن در ساعت 18.00 برنامه ریزی شده بودند، تعدادی از ساعت 13.00 تا 16.00).
- برای کلیدهای پلتفرم های معاملاتی و تعدادی نرم افزار - توسط کاربران مجاز از طریق رابط وب؛
- دوربین ها، تعدادی فلش مموری و دیسک هایی با اطلاعات غیر حیاتی همیشه روشن هستند.
ما فرض می کنیم که این سازمان دسترسی به دستگاه های USB استفاده ایمن از آنها را تضمین می کند:
- از دفاتر منطقه ای (به شرط NET شماره 1...... NET No. N)
- برای تعداد محدودی از رایانه ها و لپ تاپ هایی که دستگاه های USB را از طریق شبکه جهانی متصل می کنند،
- برای کاربران منتشر شده در سرورهای برنامه ترمینال.
در نظرات، من می خواهم اقدامات عملی خاصی را بشنوم که امنیت اطلاعات را برای دسترسی جهانی به دستگاه های USB افزایش می دهد.
منبع: www.habr.com