Nýlega deilt í samtökunum okkar. Ummælin vöktu alvarlegt vandamál varðandi upplýsingaöryggi USB yfir IP vélbúnaðarlausna, sem veldur okkur miklum áhyggjum.
Svo fyrst skulum við ákveða upphafsskilyrðin.
- Mikill fjöldi rafrænna öryggislykla.
- Það þarf að nálgast þær frá mismunandi landfræðilegum stöðum.
- Við erum aðeins að íhuga USB yfir IP vélbúnaðarlausnir og erum að reyna að tryggja þessa lausn með því að grípa til viðbótar skipulagslegra og tæknilegra ráðstafana (við erum ekki að íhuga valkostina ennþá).
- Innan umfangs þessarar greinar mun ég ekki lýsa ógnarlíkönunum að fullu sem við erum að íhuga (þú getur séð margt í ), en ég ætla að fjalla stuttlega um tvö atriði. Við útilokum félagsverkfræði og ólöglegar aðgerðir notenda sjálfra frá líkaninu. Við erum að íhuga möguleikann á óviðkomandi aðgangi að USB tækjum frá hvaða neti sem er án reglulegrar skilríkja.
Til að tryggja öryggi aðgangs að USB-tækjum hafa skipulags- og tækniráðstafanir verið gerðar:
1. Skipulagslegar öryggisráðstafanir.
Stýrða USB yfir IP miðstöðin er sett upp í hágæða læsanlegum netþjónaskáp. Líkamlegur aðgangur að því er straumlínulagaður (aðgangseftirlitskerfi að húsnæðinu sjálfu, myndbandseftirlit, lyklar og aðgangsréttur fyrir stranglega takmarkaðan fjölda einstaklinga).
Öllum USB-tækjum sem notuð eru í fyrirtækinu er skipt í 3 hópa:
- Gagnrýnið. Fjárhagslegar stafrænar undirskriftir – notaðar í samræmi við ráðleggingar banka (ekki í gegnum USB yfir IP)
- Mikilvægt. Rafrænar stafrænar undirskriftir fyrir viðskiptavettvang, þjónustu, rafrænt skjalaflæði, skýrslugerð o.s.frv., fjölda lykla fyrir hugbúnað - eru notaðar með stýrðri USB yfir IP miðstöð.
- Ekki gagnrýnisvert. Fjöldi hugbúnaðarlykla, myndavéla, fjölda flash-drifa og diska með ekki mikilvægum upplýsingum, USB mótald - eru notaðir með stýrðri USB yfir IP miðstöð.
2. Tæknilegar öryggisráðstafanir.
Netaðgangur að stýrðri USB yfir IP miðstöð er aðeins veittur innan einangraðs undirnets. Aðgangur að einangruðu undirneti er veittur:
- frá útstöðvaþjónabúi,
- í gegnum VPN (skírteini og lykilorð) í takmarkaðan fjölda tölva og fartölva, í gegnum VPN fá þau útgefin varanleg heimilisföng,
- í gegnum VPN-göng sem tengja svæðisskrifstofur.
Á stýrðu USB yfir IP miðstöðinni DistKontrolUSB, með því að nota staðlað verkfæri þess, eru eftirfarandi aðgerðir stilltar:
- Til að fá aðgang að USB tækjum á USB yfir IP miðstöð er dulkóðun notuð (SSL dulkóðun er virkjuð á miðstöðinni), þó það gæti verið óþarfi.
- „Takmörkun aðgangs að USB-tækjum með IP-tölu“ er stillt. Það fer eftir IP tölu, notandanum er veittur eða ekki aðgangur að úthlutað USB tækjum.
- „Takmarka aðgang að USB-tengi með innskráningu og lykilorði“ er stillt. Í samræmi við það er notendum úthlutað aðgangsréttindum að USB-tækjum.
- "Að takmarka aðgang að USB tæki með notandanafni og lykilorði" var ákveðið að nota ekki vegna þess Allir USB lyklar eru tengdir við USB yfir IP miðstöðina til frambúðar og ekki er hægt að færa þau frá tengi til tengi. Það er skynsamlegra fyrir okkur að veita notendum aðgang að USB tengi með USB tæki uppsett í langan tíma.
- Líkamlega kveikt og slökkt á USB-tengjum fer fram:
- Fyrir hugbúnað og EDM lykla - með því að nota verkefnaáætlunina og úthlutað verkefnum miðstöðvarinnar (fjöldi lykla var forritaður til að kveikja á 9.00 og slökkva á 18.00, númer frá 13.00 til 16.00);
- Fyrir lykla að viðskiptakerfum og fjölda hugbúnaðar - af viðurkenndum notendum í gegnum vefviðmótið;
- Alltaf er kveikt á myndavélum, fjölda flash-drifa og diska með ekki mikilvægum upplýsingum.
Við gerum ráð fyrir að þessi skipulagning á aðgangi að USB-tækjum tryggi örugga notkun þeirra:
- frá svæðisskrifstofum (skilyrt NET nr. 1...... NET nr. N),
- fyrir takmarkaðan fjölda tölva og fartölva sem tengja USB-tæki í gegnum alþjóðlegt net,
- fyrir notendur sem birtir eru á útstöðvarforritaþjónum.
Í athugasemdum langar mig að heyra sérstakar raunhæfar ráðstafanir sem auka upplýsingaöryggi við að veita alþjóðlegan aðgang að USB-tækjum.
Heimild: www.habr.com