プロホスト > ブログ > 行政 > USB over IP ハードウェア ソリューションの情報セキュリティ

USB over IP ハードウェア ソリューションの情報セキュリティ

最近共有された 電子セキュリティ キーへの集中アクセスを組織化するためのソリューションを見つけた経験 私たちの組織では。 このコメントは、USB over IP ハードウェア ソリューションの情報セキュリティに関する深刻な問題を提起しており、私たちにとって非常に懸念されています。

そこで、まず初期条件を決めましょう。

  • 多数の電子セキュリティキー。
  • 地理的に異なる場所からアクセスする必要があります。
  • 私たちは USB over IP ハードウェア ソリューションのみを検討しており、追加の組織的および技術的措置を講じることによってこのソリューションを確保しようとしています (代替案の問題はまだ検討していません)。
  • この記事の範囲内では、私たちが検討している脅威モデルについては完全には説明しません (詳しくは、次の記事を参照してください)。 出版物)ですが、XNUMX点に絞って簡単に説明します。 ソーシャルエンジニアリングやユーザー自身の違法行為はモデルから除外しています。 当社では、通常の認証情報を使用せずに、あらゆるネットワークから USB デバイスに不正アクセスが行われる可能性を検討しています。

USB over IP ハードウェア ソリューションの情報セキュリティ

USB デバイスへのアクセスのセキュリティを確保するために、組織的および技術的な対策が講じられています。

1. 組織的なセキュリティ対策。

マネージド USB over IP ハブは、高品質のロック可能なサーバー キャビネットに設置されます。 物理的なアクセスが合理化されています (敷地自体へのアクセス制御システム、ビデオ監視、鍵、および厳密に制限された人数に対するアクセス権)。

組織内で使用されるすべての USB デバイスは、次の 3 つのグループに分類されます。

  • 致命的。 金融デジタル署名 – 銀行の推奨に従って使用されます (USB over IP 経由ではありません)。
  • 重要。 取引プラットフォーム、サービス、電子文書フロー、レポートなどの電子デジタル署名、ソフトウェアの多数のキーは、マネージド USB over IP ハブを使用して使用されます。
  • 批判的ではありません。 多数のソフトウェア キー、カメラ、多数のフラッシュ ドライブと重要でない情報を含むディスク、USB モデムは、マネージド USB over IP ハブを使用して使用されます。

2. 技術的な安全対策。

管理された USB over IP ハブへのネットワーク アクセスは、分離されたサブネット内でのみ提供されます。 隔離されたサブネットへのアクセスが提供されます。

  • ターミナルサーバーファームから、
  • VPN (証明書とパスワード) 経由で限られた数のコンピュータおよびラップトップに接続し、VPN 経由で永続的なアドレスを発行します。
  • 地方オフィスを接続する VPN トンネル経由。

マネージド USB over IP ハブ DistKontrolUSB では、標準ツールを使用して、次の機能が設定されます。

  • USB over IP ハブ上の USB デバイスにアクセスするには、暗号化が使用されます (ハブでは SSL 暗号化が有効になっています)。ただし、これは不要な場合があります。
  • 「IPアドレスによるUSBデバイスへのアクセス制限」が設定されています。 IP アドレスに応じて、割り当てられた USB デバイスへのアクセスがユーザーに許可されるかどうかが決まります。
  • 「ログイン名とパスワードによりUSBポートへのアクセスを制限する」が設定されています。 したがって、ユーザーには USB デバイスへのアクセス権が割り当てられます。
  • 「ログイン名とパスワードによるUSBデバイスへのアクセス制限」は、以下の理由により使用しないこととしました。 すべての USB キーは USB over IP ハブに永続的に接続されており、ポート間を移動することはできません。 USB デバイスが取り付けられた USB ポートへのアクセスをユーザーに長期間提供することは、私たちにとってより合理的です。
  • USB ポートの物理的なオン/オフは次のように実行されます。
    • ソフトウェアおよび EDM キーの場合 - タスク スケジューラとハブの割り当てられたタスクを使用します (多くのキーは 9.00:18.00 にオンになり 13.00:16.00 にオフになるようにプログラムされており、XNUMX:XNUMX から XNUMX:XNUMX までの数字です)。
    • 取引プラットフォームおよび多数のソフトウェアへのキーの場合 - 許可されたユーザーによる WEB インターフェース経由。
    • カメラ、多数のフラッシュ ドライブ、および重要ではない情報が保存されたディスクは常にオンになっています。

USB デバイスへのアクセスがこのように構成されていることで、安全な使用が保証されると想定しています。

  • 地方事務所から(条件付きNET No.1......NET No.N)、
  • グローバル ネットワーク経由で USB デバイスを接続する限られた数のコンピューターおよびラップトップの場合、
  • ターミナル アプリケーション サーバー上で公開されたユーザー向け。

コメントでは、USB デバイスへのグローバル アクセスを提供する際の情報セキュリティを強化するための具体的な実践的な対策を聞きたいと考えています。

出所: habr.com

コメントを追加します