Potrebno im je pristupiti s različitih geografskih lokacija.
Razmatramo samo USB over IP hardverska rješenja i pokušavamo to rješenje osigurati poduzimanjem dodatnih organizacijskih i tehničkih mjera (još ne razmatramo pitanje alternativa).
U okviru ovog članka neću u potpunosti opisivati modele prijetnji koje razmatramo (puno toga možete vidjeti u Publikacija), no ukratko ću se usredotočiti na dvije točke. Iz modela isključujemo društveni inženjering i nezakonite radnje samih korisnika. Razmatramo mogućnost neovlaštenog pristupa USB uređajima s bilo koje mreže bez redovitih vjerodajnica.
Za sigurnost pristupa USB uređajima poduzete su organizacijske i tehničke mjere:
1. Organizacijske sigurnosne mjere.
Upravljano USB preko IP čvorište instalirano je u visokokvalitetnom ormaru poslužitelja koji se može zaključati. Fizički pristup istom je pojednostavljen (sustav kontrole pristupa samom prostoru, video nadzor, ključevi i prava pristupa za strogo ograničen broj osoba).
Svi USB uređaji koji se koriste u organizaciji podijeljeni su u 3 skupine:
Kritično. Financijski digitalni potpisi – koriste se u skladu s preporukama banaka (ne putem USB-a preko IP-a)
Važno. Elektronički digitalni potpisi za trgovačke platforme, usluge, e-protok dokumenata, izvješćivanje itd., određeni broj ključeva za softver - koriste se pomoću upravljanog USB over IP huba.
Nije kritično. Određeni broj softverskih ključeva, kamera, određen broj flash diskova i diskova s nekritičnim informacijama, USB modemi - koriste se pomoću upravljanog USB over IP huba.
2. Tehničke sigurnosne mjere.
Mrežni pristup upravljanom USB preko IP koncentratora omogućen je samo unutar izolirane podmreže. Pristup izoliranoj podmreži omogućen je:
s farme terminalskih poslužitelja,
putem VPN-a (certifikat i lozinka) na ograničeni broj računala i prijenosnih računala, putem VPN-a dobivaju stalne adrese,
putem VPN tunela koji povezuju regionalne urede.
Na upravljanom USB preko IP koncentratoru DistKontrolUSB, pomoću standardnih alata, konfiguriraju se sljedeće funkcije:
Za pristup USB uređajima na USB preko IP čvorištu koristi se enkripcija (SSL šifriranje je omogućeno na čvorištu), iako to može biti nepotrebno.
Konfigurirano je “Ograničavanje pristupa USB uređajima putem IP adrese”. Ovisno o IP adresi, korisniku je odobren ili zabranjen pristup dodijeljenim USB uređajima.
Konfigurirano je "Ograniči pristup USB priključku prijavom i lozinkom". Sukladno tome, korisnicima se dodjeljuju prava pristupa USB uređajima.
Odlučeno je da se "Ograničavanje pristupa USB uređaju prijavom i lozinkom" neće koristiti jer Svi USB ključevi trajno su spojeni na USB over IP hub i ne mogu se premještati s priključka na priključak. Za nas ima više smisla omogućiti korisnicima pristup USB priključku s instaliranim USB uređajem na duže vrijeme.
Fizičko uključivanje i isključivanje USB priključaka provodi se:
Za ključeve softvera i elektroničkih dokumenata - pomoću planera zadataka i dodijeljenih zadataka čvorišta (određeni broj ključeva programiran je za uključivanje u 9.00 i isključivanje u 18.00, broj od 13.00 do 16.00);
Za ključeve trgovinskih platformi i niz softvera - od ovlaštenih korisnika putem WEB sučelja;
Kamere, određeni broj flash diskova i diskova s nekritičnim informacijama uvijek su uključeni.
Pretpostavljamo da ovakva organizacija pristupa USB uređajima osigurava njihovu sigurnu uporabu:
iz regionalnih ureda (uvjetno NET br. 1...... NET br. N),
za ograničeni broj računala i prijenosnih računala koja povezuju USB uređaje putem globalne mreže,
za korisnike objavljene na terminalskim aplikacijskim poslužiteljima.
U komentarima bih želio čuti konkretne praktične mjere koje povećavaju informacijsku sigurnost pružanja globalnog pristupa USB uređajima.