ProHoster > blog > administrasi > Keamanan informasi solusi perangkat keras USB melalui IP

Keamanan informasi solusi perangkat keras USB melalui IP

Baru-baru ini dibagikan pengalaman dalam menemukan solusi untuk mengatur akses terpusat ke kunci keamanan elektronik di organisasi kami. Komentar tersebut mengangkat masalah serius tentang keamanan informasi solusi perangkat keras USB melalui IP, yang sangat mengkhawatirkan kami.

Jadi, pertama-tama, mari kita putuskan kondisi awalnya.

  • Sejumlah besar kunci keamanan elektronik.
  • Mereka perlu diakses dari lokasi geografis yang berbeda.
  • Kami hanya mempertimbangkan solusi perangkat keras USB over IP dan mencoba mengamankan solusi ini dengan mengambil langkah-langkah organisasi dan teknis tambahan (kami belum mempertimbangkan masalah alternatif).
  • Dalam cakupan artikel ini, saya tidak akan sepenuhnya menjelaskan model ancaman yang kami pertimbangkan (Anda dapat melihat banyak hal di dalamnya Publikasi), tapi saya akan fokus secara singkat pada dua poin. Kami mengecualikan rekayasa sosial dan tindakan ilegal pengguna itu sendiri dari model. Kami sedang mempertimbangkan kemungkinan akses tidak sah ke perangkat USB dari jaringan mana pun tanpa kredensial reguler.

Keamanan informasi solusi perangkat keras USB melalui IP

Untuk memastikan keamanan akses ke perangkat USB, langkah-langkah organisasi dan teknis telah diambil:

1. Langkah-langkah keamanan organisasi.

Hub USB melalui IP yang dikelola dipasang di kabinet server berkualitas tinggi yang dapat dikunci. Akses fisik ke sana disederhanakan (sistem kontrol akses ke tempat itu sendiri, pengawasan video, kunci dan hak akses untuk sejumlah orang yang sangat terbatas).

Semua perangkat USB yang digunakan dalam organisasi dibagi menjadi 3 kelompok:

  • Kritis. Tanda tangan digital keuangan – digunakan sesuai dengan rekomendasi bank (bukan melalui USB over IP)
  • Penting. Tanda tangan digital elektronik untuk platform perdagangan, layanan, aliran dokumen elektronik, pelaporan, dll., sejumlah kunci untuk perangkat lunak - digunakan menggunakan hub USB melalui IP yang dikelola.
  • Tidak kritis. Sejumlah kunci perangkat lunak, kamera, sejumlah flash drive dan disk dengan informasi tidak penting, modem USB - digunakan menggunakan hub USB melalui IP yang dikelola.

2. Langkah-langkah keamanan teknis.

Akses jaringan ke hub USB melalui IP yang dikelola hanya disediakan dalam subnet terisolasi. Akses ke subnet terisolasi disediakan:

  • dari peternakan server terminal,
  • melalui VPN (sertifikat dan kata sandi) ke sejumlah komputer dan laptop terbatas, melalui VPN mereka diberikan alamat permanen,
  • melalui terowongan VPN yang menghubungkan kantor regional.

Pada hub USB melalui IP DistKontrolUSB yang dikelola, menggunakan alat standarnya, fungsi berikut dikonfigurasi:

  • Untuk mengakses perangkat USB di hub USB melalui IP, enkripsi digunakan (enkripsi SSL diaktifkan di hub), meskipun hal ini mungkin tidak diperlukan.
  • “Membatasi akses ke perangkat USB berdasarkan alamat IP” dikonfigurasi. Tergantung pada alamat IP, pengguna diberikan atau tidak diberikan akses ke perangkat USB yang ditetapkan.
  • "Batasi akses ke port USB dengan login dan kata sandi" telah dikonfigurasi. Oleh karena itu, pengguna diberikan hak akses ke perangkat USB.
  • “Membatasi akses ke perangkat USB dengan login dan kata sandi” diputuskan untuk tidak digunakan, karena Semua kunci USB terhubung ke hub USB melalui IP secara permanen dan tidak dapat dipindahkan dari satu port ke port lainnya. Lebih masuk akal bagi kami untuk memberi pengguna akses ke port USB dengan perangkat USB terpasang di dalamnya untuk waktu yang lama.
  • Menghidupkan dan mematikan port USB secara fisik dilakukan:
    • Untuk kunci perangkat lunak dan dokumen elektronik - menggunakan penjadwal tugas dan tugas yang ditetapkan dari hub (sejumlah kunci diprogram untuk menyala pada pukul 9.00 dan mati pada pukul 18.00, sejumlah dari pukul 13.00 hingga 16.00);
    • Untuk kunci platform perdagangan dan sejumlah perangkat lunak - oleh pengguna resmi melalui antarmuka WEB;
    • Kamera, sejumlah flash drive dan disk dengan informasi tidak penting selalu dihidupkan.

Kami berasumsi bahwa pengaturan akses ke perangkat USB ini memastikan penggunaannya yang aman:

  • dari kantor wilayah (dengan syarat NET No. 1...... NET No. N),
  • untuk sejumlah komputer dan laptop yang menghubungkan perangkat USB melalui jaringan global,
  • untuk pengguna yang dipublikasikan di server aplikasi terminal.

Dalam komentar saya ingin mendengar langkah-langkah praktis khusus yang meningkatkan keamanan informasi dalam menyediakan akses global ke perangkat USB.

Sumber: www.habr.com

Tambah komentar