Жакында бөлүшүлгөн биздин уюмда. Комментарийлерде USB аркылуу IP аппараттык чечимдеринин маалыматтык коопсуздугунун олуттуу маселеси көтөрүлдү, бул бизди абдан тынчсыздандырат.
Ошентип, адегенде, келгиле, баштапкы шарттарды чечип алалы.
- Электрондук коопсуздук ачкычтарынын көп саны.
- Аларга ар кайсы географиялык жерлерден кирүү керек.
- Биз бир гана USB аркылуу IP аппараттык чечимдерин карап жатабыз жана кошумча уюштуруучулук жана техникалык чараларды көрүү менен бул чечимди камсыздоого аракет кылып жатабыз (альтернативалар маселесин азырынча карай элекпиз).
- Бул макаланын алкагында мен биз карап жаткан коркунуч моделдерин толук сүрөттөбөйм (сиз көп нерсени көрө аласыз ), бирок мен эки пунктка кыскача токтолоюн. Биз социалдык инженерияны жана колдонуучулардын мыйзамсыз аракеттерин моделден чыгарабыз. Биз кадимки эсептик дайындары жок каалаган тармактан USB түзмөктөргө уруксатсыз кирүү мүмкүнчүлүгүн карап жатабыз.
USB түзүлүштөрүнө жетүү коопсуздугун камсыз кылуу үчүн уюштуруу жана техникалык чаралар көрүлдү:
1. Уюштуруу коопсуздук чаралары.
Башкарылган USB аркылуу IP хабы жогорку сапаттагы кулпуланган сервердик шкафка орнотулган. Ага физикалык жетүү жөнөкөйлөштүрүлгөн (жайдын өзүнө кирүүнү башкаруу системасы, видеокөзөмөл, ачкычтар жана чектелүү сандагы адамдардын кирүү укугу).
Уюмда колдонулган бардык USB түзмөктөрү 3 топко бөлүнөт:
- Критикалык. Финансылык санариптик кол тамгалар – банктардын сунуштарына ылайык колдонулат (IP аркылуу USB аркылуу эмес)
- Маанилүү. Соода аянтчалары, кызмат көрсөтүүлөр, электрондук документтердин агымы, отчеттуулук жана башкалар үчүн электрондук санарип кол тамгалар, программалык камсыздоо үчүн бир катар ачкычтар - IP хаб аркылуу башкарылуучу USB аркылуу колдонулат.
- Критикалык эмес. Бир катар программалык ачкычтар, камералар, бир катар флеш-дисктер жана маанилүү эмес маалыматы бар дисктер, USB модемдери - башкарылуучу USB аркылуу IP хаб аркылуу колдонулат.
2. Техникалык коопсуздук чаралары.
IP хаб аркылуу башкарылуучу USB тармагына жетүү обочолонгон ички тармактын ичинде гана берилет. Бөлүнгөн ички тармакка кирүү камсыз кылынат:
- терминалдык сервер фермасынан,
- VPN (сертификат жана сырсөз) аркылуу чектелген сандагы компьютерлерге жана ноутбуктарга, VPN аркылуу аларга туруктуу даректер берилет,
- аймактык кеңселерди бириктирген VPN туннелдери аркылуу.
Башкарылуучу USB аркылуу IP хабында DistKontrolUSB анын стандарттык куралдарын колдонуу менен төмөнкү функциялар конфигурацияланган:
- USB аркылуу IP хабындагы USB түзмөктөрүнө жетүү үчүн шифрлөө колдонулат (хабда SSL шифрлөө иштетилген), бирок бул керексиз болушу мүмкүн.
- "IP дареги боюнча USB түзмөктөрүнө кирүүнү чектөө" конфигурацияланган. IP дарегине жараша, колдонуучуга дайындалган USB түзмөктөрүнө уруксат берилет же кирбейт.
- “Лигин жана сырсөз менен USB портуна кирүүнү чектөө” конфигурацияланган. Демек, колдонуучуларга USB түзмөктөрүнө кирүү укуктары ыйгарылат.
- "Лигин жана сырсөз менен USB түзмөгүнө кирүү мүмкүнчүлүгүн чектөө", анткени, колдонулбай турган чечим кабыл алынган Бардык USB ачкычтары USB аркылуу IP хабына биротоло туташтырылган жана аларды порттон портко жылдырууга болбойт. Колдонуучуларга USB портуна узак убакыт бою орнотулган USB түзмөгү менен кирүү мүмкүнчүлүгүн берүү бизге көбүрөөк мааниге ээ.
- USB портторун физикалык күйгүзүү жана өчүрүү жүзөгө ашырылат:
- Программалык камсыздоо жана электрондук документ ачкычтары үчүн - тапшырмаларды пландаштыргычты жана хабдын ыйгарылган тапшырмаларын колдонуу (бир катар баскычтар саат 9.00дө күйгүзүлүп, 18.00дө өчүрүлүшү үчүн программаланган, саны 13.00дөн 16.00гө чейин);
- Соода аянтчаларынын ачкычтары жана бир катар программалык камсыздоо үчүн - WEB интерфейси аркылуу ыйгарым укуктуу колдонуучулар тарабынан;
- Камералар, бир катар флеш-дисктер жана маанилүү эмес маалыматы бар дисктер дайыма күйгүзүлүп турат.
USB түзүлүштөрүнө кирүүнүн бул уюму алардын коопсуз колдонулушун камсыздайт деп ойлойбуз:
- аймактык бөлүмдөрүнөн (шарттуу NET No 1...... NET No N),
- глобалдык тармак аркылуу USB түзүлүштөрүн туташтырган чектелген сандагы компьютерлер жана ноутбуктар үчүн,
- терминалдык тиркеме серверлеринде жарыяланган колдонуучулар үчүн.
Комментарийлерде мен USB түзүлүштөрүнө глобалдык жеткиликтүүлүктү камсыз кылуунун маалыматтык коопсуздугун жогорулатуучу конкреттүү практикалык чараларды уккум келет.
Source: www.habr.com