USB арқылы IP аппараттық шешімдерінің ақпараттық қауіпсіздігі

Жақында бөлісілген электрондық қауіпсіздік кілттеріне орталықтандырылған қолжетімділікті ұйымдастыру шешімін табу тәжірибесі біздің ұйымда. Түсініктемелерде USB арқылы IP аппараттық шешімдерінің ақпараттық қауіпсіздігінің маңызды мәселесі көтерілді, бұл бізді қатты алаңдатады.

Сонымен, алдымен бастапқы шарттарды шешейік.

• Электрондық қауіпсіздік кілттерінің үлкен саны.
• Оларға әртүрлі географиялық орындардан қол жеткізу керек.
• Біз тек USB арқылы IP аппараттық шешімдерін қарастырамыз және қосымша ұйымдастырушылық және техникалық шараларды қолдану арқылы бұл шешімді қорғауға тырысамыз (біз әлі балама нұсқалар мәселесін қарастырмаймыз).
• Осы мақаланың аясында мен біз қарастыратын қауіп модельдерін толық сипаттамаймын (сіз көп нәрсені көре аласыз басылымдар), бірақ мен екі тармаққа қысқаша тоқталамын. Біз модельден пайдаланушылардың әлеуметтік инженерия және заңсыз әрекеттерін алып тастаймыз. Біз тұрақты тіркелгі деректерінсіз кез келген желіден USB құрылғыларына рұқсатсыз кіру мүмкіндігін қарастырудамыз.

USB құрылғыларына қол жеткізу қауіпсіздігін қамтамасыз ету үшін ұйымдастырушылық және техникалық шаралар қабылданды:

1. Ұйымдастырушылық қауіпсіздік шаралары.

Басқарылатын USB арқылы IP хабы жоғары сапалы құлыпталатын сервер шкафында орнатылған. Оған физикалық қол жеткізу оңтайландырылған (үй-жайдың өзіне кіруді басқару жүйесі, бейнебақылау, кілттер және қатаң шектеулі адамдар санына кіру құқығы).

Ұйымда қолданылатын барлық USB құрылғылары 3 топқа бөлінеді:

• Сыни. Қаржылық цифрлық қолтаңбалар – банктердің ұсыныстарына сәйкес пайдаланылады (IP арқылы USB арқылы емес)
• Маңызды. Сауда алаңдарына, қызметтерге, электрондық құжат айналымына, есеп беруге және т.б. электрондық цифрлық қолтаңбалар, бағдарламалық қамтамасыз ету үшін бірқатар кілттер – басқарылатын USB арқылы IP хабы арқылы пайдаланылады.
• Сыни емес. Бірқатар бағдарламалық кілттер, камералар, маңызды емес ақпараты бар бірқатар флэш-дискілер мен дискілер, USB модемдері - басқарылатын USB арқылы IP хабы арқылы пайдаланылады.

2. Техникалық қауіпсіздік шаралары.

Басқарылатын USB арқылы IP хабы арқылы желіге кіру тек оқшауланған ішкі желіде қамтамасыз етіледі. Оқшауланған ішкі желіге кіру қамтамасыз етіледі:

• терминал сервер фермасынан,
• VPN (сертификат және пароль) арқылы шектеулі сандағы компьютерлер мен ноутбуктерге, VPN арқылы оларға тұрақты мекенжайлар беріледі,
• аймақтық кеңселерді байланыстыратын VPN туннельдері арқылы.

Басқарылатын USB арқылы IP хабында DistKontrolUSB стандартты құралдарын пайдалана отырып, келесі функциялар конфигурацияланады:

• USB құрылғыларына IP арқылы концентратор арқылы қол жеткізу үшін шифрлау қолданылады (концентраторда SSL шифрлауы қосылған), бірақ бұл қажет емес болуы мүмкін.
• «IP мекенжайы бойынша USB құрылғыларына кіруді шектеу» конфигурацияланған. IP мекенжайына байланысты пайдаланушыға тағайындалған USB құрылғыларына рұқсат беріледі немесе рұқсат етілмейді.
• «Логин және құпия сөз арқылы USB портына кіруді шектеу» конфигурацияланған. Тиісінше, пайдаланушыларға USB құрылғыларына кіру құқығы тағайындалады.
• «Логин мен пароль арқылы USB құрылғысына кіруді шектеу» қолданбау туралы шешім қабылданды, себебі Барлық USB пернелері USB арқылы IP хабына тұрақты қосылған және оларды порттан портқа жылжыту мүмкін емес. Бізге пайдаланушыларға USB портына ұзақ уақыт бойы орнатылған USB құрылғысы бар қол жеткізуді қамтамасыз ету мағынасы бар.
• USB порттарын физикалық түрде қосу және өшіру жүзеге асырылады:
  • Бағдарламалық қамтамасыз ету және электрондық құжат кілттері үшін – тапсырмаларды жоспарлаушы мен хабтың тағайындалған тапсырмаларын пайдалану (бірнеше пернелер сағат 9.00-де қосылуға және 18.00-де өшіруге бағдарламаланған, саны 13.00-ден 16.00-ге дейін);
  • Сауда платформаларының кілттері және бірқатар бағдарламалық қамтамасыз ету үшін – WEB интерфейсі арқылы авторизацияланған пайдаланушылар;
  • Камералар, бірқатар флэш-дискілер және маңызды емес ақпараты бар дискілер әрқашан қосулы.

USB құрылғыларына кіруді ұйымдастыру оларды қауіпсіз пайдалануды қамтамасыз етеді деп есептейміз:

• аймақтық бөлімшелерден (шартты түрде NET No 1...... NET No N),
• USB құрылғыларын ғаламдық желі арқылы қосатын компьютерлер мен ноутбуктердің шектеулі саны үшін,
• терминалдық қолданба серверлерінде жарияланған пайдаланушылар үшін.

Түсініктемелерде USB құрылғыларына жаһандық қолжетімділікті қамтамасыз етудің ақпараттық қауіпсіздігін арттыратын нақты практикалық шараларды естігім келеді.

Ақпарат көзі: www.habr.com