Nesen kopīgots mūsu organizācijā. Komentāros tika aktualizēts nopietns jautājums par USB, izmantojot IP aparatūras risinājumu informācijas drošību, kas mūs ļoti satrauc.
Tātad, pirmkārt, pieņemsim lēmumu par sākotnējiem nosacījumiem.
- Liels skaits elektronisko drošības atslēgu.
- Tiem ir jāpiekļūst no dažādām ģeogrāfiskām vietām.
- Mēs apsveram tikai USB over IP aparatūras risinājumus un cenšamies nodrošināt šo risinājumu, veicot papildu organizatoriskos un tehniskos pasākumus (pagaidām alternatīvu jautājumu neizskatām).
- Šī raksta ietvaros es pilnībā neaprakstīšu draudu modeļus, kurus mēs apsveram (jūs varat redzēt daudz ), bet es īsumā pievērsīšos diviem punktiem. Mēs no modeļa izslēdzam sociālo inženieriju un pašu lietotāju nelikumīgas darbības. Mēs apsveram iespēju nesankcionēti piekļūt USB ierīcēm no jebkura tīkla bez regulāriem akreditācijas datiem.
Lai nodrošinātu USB ierīču piekļuves drošību, ir veikti organizatoriski un tehniski pasākumi:
1. Organizatoriskie drošības pasākumi.
Pārvaldītais USB over IP centrmezgls ir uzstādīts augstas kvalitātes slēdzamā servera skapī. Fiziskā piekļuve tai ir sakārtota (piekļuves kontroles sistēma pašām telpām, videonovērošana, atslēgas un piekļuves tiesības stingri ierobežotam personu skaitam).
Visas organizācijā izmantotās USB ierīces ir iedalītas 3 grupās:
- Kritisks. Finanšu digitālie paraksti – tiek izmantoti saskaņā ar banku ieteikumiem (nevis caur USB pār IP)
- Svarīgs. Elektroniskie digitālie paraksti tirdzniecības platformām, pakalpojumiem, e-dokumentu plūsmai, ziņošanai utt., virkne programmatūras atslēgu - tiek izmantoti, izmantojot pārvaldītu USB over IP centrmezglu.
- Nav kritisks. Izmantojot pārvaldītu USB, izmantojot IP centrmezglu, tiek izmantotas vairākas programmatūras atslēgas, kameras, vairāki zibatmiņas diski un diski ar nekritisku informāciju, USB modemi.
2. Tehniskie drošības pasākumi.
Tīkla piekļuve pārvaldītajam USB, izmantojot IP centrmezglu, tiek nodrošināta tikai izolētā apakštīklā. Tiek nodrošināta piekļuve izolētam apakštīklam:
- no termināļa serveru fermas,
- izmantojot VPN (sertifikātu un paroli) ierobežotam datoru un klēpjdatoru skaitam, caur VPN tiem tiek izsniegtas pastāvīgas adreses,
- izmantojot VPN tuneļus, kas savieno reģionālos birojus.
Pārvaldītajā USB over IP centrmezglā DistKontrolUSB, izmantojot tā standarta rīkus, tiek konfigurētas šādas funkcijas:
- Lai piekļūtu USB ierīcēm, izmantojot USB, izmantojot IP centru, tiek izmantota šifrēšana (centrā ir iespējota SSL šifrēšana), lai gan tas var nebūt nepieciešams.
- Ir konfigurēts “Ierobežot piekļuvi USB ierīcēm pēc IP adreses”. Atkarībā no IP adreses lietotājam tiek piešķirta vai netiek piešķirta piekļuve piešķirtajām USB ierīcēm.
- Ir konfigurēts “Ierobežot piekļuvi USB portam, izmantojot pieteikumvārdu un paroli”. Attiecīgi lietotājiem tiek piešķirtas piekļuves tiesības USB ierīcēm.
- “Piekļuves USB ierīcei ierobežošana ar pieteikumvārdu un paroli” tika nolemts neizmantot, jo Visas USB atslēgas ir pastāvīgi savienotas ar USB over IP centrmezglu, un tās nevar pārvietot no porta uz citu. Mums ir saprātīgāk nodrošināt lietotājiem piekļuvi USB portam, kurā ir instalēta USB ierīce uz ilgu laiku.
- USB portu fiziska ieslēgšana un izslēgšana tiek veikta:
- Programmatūras un elektronisko dokumentu atslēgām - izmantojot uzdevumu plānotāju un centrmezgla piešķirtos uzdevumus (vairāki taustiņi tika ieprogrammēti, lai ieslēgtos plkst. 9.00 un izslēgtos plkst. 18.00, skaitlis no 13.00 līdz 16.00);
- Tirdzniecības platformu atslēgām un vairākām programmām - autorizētiem lietotājiem, izmantojot WEB saskarni;
- Kameras, vairāki zibatmiņas diski un diski ar nekritisku informāciju vienmēr ir ieslēgti.
Mēs pieņemam, ka šāda piekļuves organizācija USB ierīcēm nodrošina to drošu lietošanu:
- no reģionālajiem birojiem (nosacīti NET Nr. 1...... NET Nr. N),
- ierobežotam skaitam datoru un klēpjdatoru, kas savieno USB ierīces, izmantojot globālo tīklu,
- lietotājiem, kas publicēti termināļa lietojumprogrammu serveros.
Komentāros vēlos dzirdēt konkrētus praktiskus pasākumus, kas paaugstina informācijas drošību, nodrošinot globālu piekļuvi USB ierīcēm.
Avots: www.habr.com