ProHoster > Օրագիր > Վարչակազմը > USB-ի տեղեկատվական անվտանգություն IP-ի վրա ապարատային լուծումներ

USB-ի տեղեկատվական անվտանգություն IP-ի վրա ապարատային լուծումներ

Վերջերս կիսվել է փորձ՝ լուծում գտնելու էլեկտրոնային անվտանգության բանալիների կենտրոնացված մուտքի կազմակերպման համար մեր կազմակերպությունում։ Մեկնաբանությունները բարձրացրին USB-ի տեղեկատվական անվտանգության լուրջ խնդիր IP-ի դիմաց ապարատային լուծումների վրա, ինչը մեզ շատ է անհանգստացնում։

Այսպիսով, նախ, եկեք որոշենք նախնական պայմանները:

  • Մեծ թվով էլեկտրոնային անվտանգության բանալիներ:
  • Նրանք պետք է հասանելի լինեն տարբեր աշխարհագրական վայրերից:
  • Մենք դիտարկում ենք միայն USB-ի միջոցով IP ապարատային լուծումները և փորձում ենք ապահովել այս լուծումը՝ ձեռնարկելով լրացուցիչ կազմակերպչական և տեխնիկական միջոցներ (այլընտրանքների հարցը դեռ չենք դիտարկում):
  • Այս հոդվածի շրջանակներում ես ամբողջությամբ չեմ նկարագրի սպառնալիքների մոդելները, որոնք մենք դիտարկում ենք (դուք կարող եք շատ բան տեսնել. Հրատարակություն), բայց հակիրճ կկենտրոնանամ երկու կետի վրա. Մենք մոդելից բացառում ենք սոցիալական ճարտարագիտությունը և օգտատերերի անօրինական գործողությունները: Մենք դիտարկում ենք ցանկացած ցանցից առանց սովորական հավատարմագրերի USB սարքեր չարտոնված մուտքի հնարավորությունը:

USB-ի տեղեկատվական անվտանգություն IP-ի վրա ապարատային լուծումներ

USB սարքերի մուտքի անվտանգությունն ապահովելու համար ձեռնարկվել են կազմակերպչական և տեխնիկական միջոցառումներ.

1. Կազմակերպչական անվտանգության միջոցառումներ.

IP-ով կառավարվող USB հանգույցը տեղադրված է բարձրորակ կողպվող սերվերի կաբինետում: Ֆիզիկական մուտքը հեշտացված է (մուտքի վերահսկման համակարգ դեպի տարածք, տեսահսկում, բանալիներ և մուտքի իրավունքներ խիստ սահմանափակ թվով անձանց համար):

Կազմակերպությունում օգտագործվող բոլոր USB սարքերը բաժանված են 3 խմբի.

  • Քննադատական. Ֆինանսական թվային ստորագրություններ – օգտագործվում են բանկերի առաջարկությունների համաձայն (ոչ USB-ի միջոցով IP-ի միջոցով)
  • Կարևոր. Էլեկտրոնային թվային ստորագրություններ առևտրային հարթակների, ծառայությունների, էլեկտրոնային փաստաթղթերի հոսքի, հաշվետվությունների և այլնի համար, ծրագրային ապահովման մի շարք ստեղներ - օգտագործվում են IP-ի միջոցով կառավարվող USB հանգույցի միջոցով:
  • Ոչ քննադատական: Մի շարք ծրագրային բանալիներ, տեսախցիկներ, մի շարք ֆլեշ կրիչներ և ոչ կարևոր տեղեկատվություն ունեցող սկավառակներ, USB մոդեմներ - օգտագործվում են IP-ի միջոցով կառավարվող USB հանգույցի միջոցով:

2. Տեխնիկական անվտանգության միջոցառումներ.

Ցանցային մուտք դեպի կառավարվող USB IP-ի միջոցով ապահովված է միայն մեկուսացված ենթացանցում: Մեկուսացված ենթացանցին մուտքն ապահովված է.

  • տերմինալային սերվերի ֆերմայից,
  • VPN-ի միջոցով (վկայական և գաղտնաբառ) սահմանափակ թվով համակարգիչների և նոութբուքերի, VPN-ի միջոցով նրանց տրամադրվում են մշտական ​​հասցեներ,
  • Տարածաշրջանային գրասենյակները միացնող VPN թունելների միջոցով:

Կառավարվող USB-ի միջոցով IP-ի միջոցով DistKontrolUSB հանգույցում, օգտագործելով իր ստանդարտ գործիքները, կազմաձևված են հետևյալ գործառույթները.

  • USB-ի միջոցով IP հանգույցի վրա USB սարքեր մուտք գործելու համար օգտագործվում է կոդավորումը (SSL կոդավորումը միացված է հանգույցում), թեև դա կարող է ավելորդ լինել:
  • «USB սարքերի մուտքի սահմանափակում IP հասցեով» կազմաձևված է: Կախված IP հասցեից, օգտատիրոջը տրամադրվում է կամ չի մուտք գործել հատկացված USB սարքեր:
  • «Սահմանափակել մուտքը դեպի USB պորտ մուտքի և գաղտնաբառի միջոցով» կազմաձևված է: Համապատասխանաբար, օգտատերերին տրված են մուտքի իրավունքներ դեպի USB սարքեր:
  • «USB սարք մուտքի սահմանափակումը մուտքի և գաղտնաբառի միջոցով» որոշվել է չօգտագործել, քանի որ Բոլոր USB ստեղները մշտապես միացված են USB-ի միջոցով IP հանգույցին և չեն կարող տեղափոխվել միացքից նավահանգիստ: Մեզ համար ավելի խելամիտ է օգտատերերին տրամադրել մուտք դեպի USB պորտ՝ դրանում երկար ժամանակ տեղադրված USB սարքով:
  • USB պորտերի ֆիզիկական միացումն ու անջատումն իրականացվում է.
    • Ծրագրային ապահովման և էլեկտրոնային փաստաթղթերի ստեղների համար՝ օգտագործելով առաջադրանքների ժամանակացույցը և հանգույցի հանձնարարված առաջադրանքները (մի շարք ստեղներ ծրագրավորվել էին միացնել 9.00-ին և անջատել 18.00-ին, մի շարք 13.00-ից մինչև 16.00);
    • Առևտրային հարթակների և մի շարք ծրագրերի բանալիների համար՝ լիազորված օգտվողների կողմից WEB ինտերֆեյսի միջոցով.
    • Տեսախցիկները, մի շարք ֆլեշ կրիչներ և ոչ կարևոր տեղեկատվություն ունեցող սկավառակներ միշտ միացված են:

Մենք ենթադրում ենք, որ USB սարքերին հասանելիության այս կազմակերպումն ապահովում է դրանց անվտանգ օգտագործումը.

  • տարածքային գրասենյակներից (պայմանական NET No 1...... NET No. N),
  • սահմանափակ թվով համակարգիչների և նոթբուքերի համար, որոնք միացնում են USB սարքերը համաշխարհային ցանցի միջոցով,
  • տերմինալային հավելվածների սերվերներում հրապարակված օգտվողների համար:

Մեկնաբանություններում ես կցանկանայի լսել կոնկրետ գործնական միջոցներ, որոնք բարձրացնում են տեղեկատվական անվտանգությունը՝ ապահովելով գլոբալ մուտք դեպի USB սարքեր։

Source: www.habr.com

Добавить комментарий