Неодамна споделени во нашата организација. Коментарите покренаа сериозно прашање за безбедноста на информациите на хардверските решенија USB преку IP, што многу не загрижува.
Значи, прво, да одлучиме за почетните услови.
- Голем број електронски безбедносни клучеви.
- До нив треба да се пристапи од различни географски локации.
- Размислуваме само за USB преку IP хардверски решенија и се обидуваме да го обезбедиме ова решение со преземање дополнителни организациски и технички мерки (сеуште не го разгледуваме прашањето за алтернативи).
- Во рамките на овој напис, нема целосно да ги опишам моделите на закани што ги разгледуваме (може да видите многу во ), но накратко ќе се задржам на две точки. Од моделот го исклучуваме социјалниот инженеринг и незаконските дејствија на самите корисници. Ја разгледуваме можноста за неовластен пристап до USB-уреди од која било мрежа без редовни ингеренции.
За да се обезбеди безбедност на пристапот до USB-уредите, преземени се организациски и технички мерки:
1. Организациски безбедносни мерки.
Управуваниот USB-преку IP-хаб е инсталиран во висококвалитетен кабинет за сервер кој може да се заклучува. Физичкиот пристап до него е рационализиран (систем за контрола на пристап до самите простории, видео надзор, клучеви и права за пристап за строго ограничен број на лица).
Сите USB уреди што се користат во организацијата се поделени во 3 групи:
- Критички. Финансиски дигитални потписи – се користат во согласност со препораките на банките (не преку USB преку IP)
- Важно. Електронски дигитални потписи за платформи за тргување, услуги, проток на е-документи, известување итн., голем број клучеви за софтвер - се користат со помош на управуван USB преку IP центар.
- Не критично. Голем број софтверски клучеви, камери, голем број флеш-дискови и дискови со некритични информации, USB-модеми - се користат со помош на управуван USB-преку IP-хаб.
2. Мерки за техничка безбедност.
Мрежен пристап до управуван USB-преку IP-хаб е обезбеден само во изолирана подмрежа. Обезбеден е пристап до изолирана подмрежа:
- од фарма за терминални сервери,
- преку VPN (сертификат и лозинка) на ограничен број на компјутери и лаптопи, преку VPN им се издаваат постојани адреси,
- преку VPN тунели кои ги поврзуваат регионалните канцеларии.
На управуваниот центар за USB преку IP DistKontrolUSB, со помош на неговите стандардни алатки, се конфигурирани следните функции:
- За пристап до УСБ-уреди на центар USB преку IP, се користи шифрирање (шифрирањето SSL е овозможено на хабот), иако тоа може да биде непотребно.
- Конфигурирано е „Ограничување на пристапот до USB-уреди преку IP адреса“. Во зависност од IP адресата, на корисникот му е одобрен или не пристап до доделените USB уреди.
- Конфигуриран е „Ограничи пристап до USB-портата со најава и лозинка“. Соодветно на тоа, на корисниците им се доделуваат права за пристап до USB-уреди.
- „Ограничувањето на пристапот до USB-уред со најава и лозинка“ беше одлучено да не се користи, бидејќи Сите USB клучеви се трајно поврзани со USB-преку IP-хабот и не можат да се преместуваат од порта до порта. За нас има повеќе смисла да им обезбедиме на корисниците пристап до USB-порта со USB-уред инсталиран во него долго време.
- Физичко вклучување и исклучување на USB-портите се врши:
- За софтвер и клучеви EDM - користење на распоредувачот на задачи и доделени задачи на центарот (голем број копчиња беа програмирани да се вклучуваат во 9.00 часот и да се исклучуваат во 18.00 часот, бројка од 13.00 до 16.00 часот);
- За клучеви за платформи за тргување и голем број софтвери - од овластени корисници преку WEB интерфејсот;
- Секогаш се вклучени камери, голем број флеш драјвови и дискови со некритични информации.
Претпоставуваме дека оваа организација на пристап до USB уреди обезбедува нивна безбедна употреба:
- од подрачните канцеларии (условно НЕТ бр. 1...... НЕТ бр. Н),
- за ограничен број на компјутери и лаптопи кои поврзуваат USB уреди преку глобалната мрежа,
- за корисници објавени на терминални апликациски сервери.
Во коментарите, би сакал да слушнам конкретни практични мерки кои ја зголемуваат безбедноста на информациите за обезбедување на глобален пристап до USB-уреди.
Извор: www.habr.com