Kizárólag USB over IP hardvermegoldásokat fontolgatunk, és ezt a megoldást további szervezési és technikai intézkedésekkel igyekszünk biztosítani (az alternatívák kérdését egyelőre nem vesszük fontolóra).
A cikk keretein belül nem írom le teljesen az általunk fontolóra vett fenyegetési modelleket (sok mindent láthat Publikáció), de röviden két pontra összpontosítok. Kizárjuk a modellből a szociális manipulációt és maguk a felhasználók jogellenes cselekedeteit. Mérlegeljük az USB-eszközökhöz való jogosulatlan hozzáférés lehetőségét bármely hálózatról normál hitelesítési adatok nélkül.
Az USB-eszközökhöz való hozzáférés biztonságának biztosítása érdekében szervezeti és technikai intézkedéseket tettek:
1. Szervezeti biztonsági intézkedések.
A felügyelt USB over IP hub egy kiváló minőségű zárható szerverszekrénybe van telepítve. A fizikai hozzáférés ésszerűsített (beléptető rendszer magába a helyiségbe, videó megfigyelés, kulcsok és belépési jogok szigorúan korlátozott számú személy számára).
A szervezetben használt összes USB-eszköz 3 csoportba sorolható:
Kritikai. Pénzügyi digitális aláírások – a bankok ajánlásainak megfelelően használják (nem USB over IP-n keresztül)
Fontos. Elektronikus digitális aláírások kereskedési platformokhoz, szolgáltatásokhoz, e-dokumentum áramláshoz, jelentésekhez stb., számos kulcs a szoftverekhez – egy menedzselt USB over IP hub használatával használatosak.
Nem kritikus. Számos szoftverkulcsot, kamerát, számos flash meghajtót és nem kritikus információkat tartalmazó lemezt, USB modemet használnak felügyelt USB over IP hub segítségével.
2. Műszaki biztonsági intézkedések.
A felügyelt USB over IP hub hálózati hozzáférése csak egy elszigetelt alhálózaton belül érhető el. Egy elszigetelt alhálózathoz való hozzáférés biztosított:
terminál szerverfarmból,
VPN-en keresztül (tanúsítvány és jelszó) korlátozott számú számítógépre és laptopra, VPN-en keresztül állandó címeket kapnak,
regionális irodákat összekötő VPN-alagutakon keresztül.
A felügyelt USB over IP hubon, a DistKontrolUSB-n, szabványos eszközeivel, a következő funkciók vannak konfigurálva:
Az USB over IP hubon lévő USB-eszközök eléréséhez titkosítást használnak (az SSL-titkosítás engedélyezve van a hubon), bár ez szükségtelen lehet.
„Az USB-eszközök hozzáférésének korlátozása IP-cím alapján” konfigurálva van. Az IP-címtől függően a felhasználó hozzáférhet vagy nem férhet hozzá a hozzárendelt USB-eszközökhöz.
„Az USB-porthoz való hozzáférés korlátozása bejelentkezési névvel és jelszóval” be van állítva. Ennek megfelelően a felhasználók hozzáférési jogokat kapnak az USB-eszközökhöz.
„Az USB-eszköz hozzáférésének korlátozása bejelentkezési névvel és jelszóval” úgy döntöttek, hogy nem használják, mert Az összes USB-kulcs állandóan az USB over IP hubhoz csatlakozik, és nem lehet portról portra áthelyezni. Értelmesebb számunkra, ha olyan USB-porthoz biztosítunk hozzáférést a felhasználóknak, amelybe USB-eszközt telepítettek hosszú ideig.
Az USB-portok fizikai be- és kikapcsolása:
Szoftver- és elektronikus dokumentumkulcsokhoz - a feladatütemező és a hub hozzárendelt feladatai segítségével (számos gomb 9.00-kor bekapcsolása és 18.00-kor történő kikapcsolása, egy szám 13.00-tól 16.00-ig volt programozva);
Kereskedési platformok kulcsaihoz és számos szoftverhez - jogosult felhasználók által a WEB felületen keresztül;
A fényképezőgépek, számos flash meghajtó és nem kritikus információkat tartalmazó lemez mindig be van kapcsolva.
Feltételezzük, hogy az USB-eszközök hozzáférésének ez a szervezése biztosítja azok biztonságos használatát:
regionális irodáktól (feltételesen NET No. 1...... NET No. N),
korlátozott számú számítógép és laptop esetében, amelyek USB-eszközt csatlakoztatnak a globális hálózaton keresztül,
a terminálalkalmazás-szervereken közzétett felhasználók számára.
A megjegyzésekben olyan konkrét gyakorlati intézkedéseket szeretnék hallani, amelyek növelik az USB-eszközök globális hozzáférésének információbiztonságát.