Nemrég megosztott szervezetünkben. A hozzászólások felvetették az USB over IP hardvermegoldások információbiztonságának komoly problémáját, ami nagyon aggaszt bennünket.
Tehát először döntsük el a kezdeti feltételeket.
- Nagyszámú elektronikus biztonsági kulcs.
- Különböző földrajzi helyekről kell elérni őket.
- Kizárólag USB over IP hardvermegoldásokat fontolgatunk, és ezt a megoldást további szervezési és technikai intézkedésekkel igyekszünk biztosítani (az alternatívák kérdését egyelőre nem vesszük fontolóra).
- A cikk keretein belül nem írom le teljesen az általunk fontolóra vett fenyegetési modelleket (sok mindent láthat ), de röviden két pontra összpontosítok. Kizárjuk a modellből a szociális manipulációt és maguk a felhasználók jogellenes cselekedeteit. Mérlegeljük az USB-eszközökhöz való jogosulatlan hozzáférés lehetőségét bármely hálózatról normál hitelesítési adatok nélkül.
Az USB-eszközökhöz való hozzáférés biztonságának biztosítása érdekében szervezeti és technikai intézkedéseket tettek:
1. Szervezeti biztonsági intézkedések.
A felügyelt USB over IP hub egy kiváló minőségű zárható szerverszekrénybe van telepítve. A fizikai hozzáférés ésszerűsített (beléptető rendszer magába a helyiségbe, videó megfigyelés, kulcsok és belépési jogok szigorúan korlátozott számú személy számára).
A szervezetben használt összes USB-eszköz 3 csoportba sorolható:
- Kritikai. Pénzügyi digitális aláírások – a bankok ajánlásainak megfelelően használják (nem USB over IP-n keresztül)
- Fontos. Elektronikus digitális aláírások kereskedési platformokhoz, szolgáltatásokhoz, e-dokumentum áramláshoz, jelentésekhez stb., számos kulcs a szoftverekhez – egy menedzselt USB over IP hub használatával használatosak.
- Nem kritikus. Számos szoftverkulcsot, kamerát, számos flash meghajtót és nem kritikus információkat tartalmazó lemezt, USB modemet használnak felügyelt USB over IP hub segítségével.
2. Műszaki biztonsági intézkedések.
A felügyelt USB over IP hub hálózati hozzáférése csak egy elszigetelt alhálózaton belül érhető el. Egy elszigetelt alhálózathoz való hozzáférés biztosított:
- terminál szerverfarmból,
- VPN-en keresztül (tanúsítvány és jelszó) korlátozott számú számítógépre és laptopra, VPN-en keresztül állandó címeket kapnak,
- regionális irodákat összekötő VPN-alagutakon keresztül.
A felügyelt USB over IP hubon, a DistKontrolUSB-n, szabványos eszközeivel, a következő funkciók vannak konfigurálva:
- Az USB over IP hubon lévő USB-eszközök eléréséhez titkosítást használnak (az SSL-titkosítás engedélyezve van a hubon), bár ez szükségtelen lehet.
- „Az USB-eszközök hozzáférésének korlátozása IP-cím alapján” konfigurálva van. Az IP-címtől függően a felhasználó hozzáférhet vagy nem férhet hozzá a hozzárendelt USB-eszközökhöz.
- „Az USB-porthoz való hozzáférés korlátozása bejelentkezési névvel és jelszóval” be van állítva. Ennek megfelelően a felhasználók hozzáférési jogokat kapnak az USB-eszközökhöz.
- „Az USB-eszköz hozzáférésének korlátozása bejelentkezési névvel és jelszóval” úgy döntöttek, hogy nem használják, mert Az összes USB-kulcs állandóan az USB over IP hubhoz csatlakozik, és nem lehet portról portra áthelyezni. Értelmesebb számunkra, ha olyan USB-porthoz biztosítunk hozzáférést a felhasználóknak, amelybe USB-eszközt telepítettek hosszú ideig.
- Az USB-portok fizikai be- és kikapcsolása:
- Szoftver- és elektronikus dokumentumkulcsokhoz - a feladatütemező és a hub hozzárendelt feladatai segítségével (számos gomb 9.00-kor bekapcsolása és 18.00-kor történő kikapcsolása, egy szám 13.00-tól 16.00-ig volt programozva);
- Kereskedési platformok kulcsaihoz és számos szoftverhez - jogosult felhasználók által a WEB felületen keresztül;
- A fényképezőgépek, számos flash meghajtó és nem kritikus információkat tartalmazó lemez mindig be van kapcsolva.
Feltételezzük, hogy az USB-eszközök hozzáférésének ez a szervezése biztosítja azok biztonságos használatát:
- regionális irodáktól (feltételesen NET No. 1...... NET No. N),
- korlátozott számú számítógép és laptop esetében, amelyek USB-eszközt csatlakoztatnak a globális hálózaton keresztül,
- a terminálalkalmazás-szervereken közzétett felhasználók számára.
A megjegyzésekben olyan konkrét gyakorlati intézkedéseket szeretnék hallani, amelyek növelik az USB-eszközök globális hozzáférésének információbiztonságát.
Forrás: will.com