Саяхан хуваалцсан манай байгууллагад. Энэхүү сэтгэгдлүүд нь USB-ийн мэдээллийн аюулгүй байдлын тухай ноцтой асуудлыг хөндсөн бөгөөд энэ нь бидний санааг зовоож байна.
Тиймээс, эхлээд эхний нөхцөлүүдийг шийдье.
- Олон тооны цахим аюулгүй байдлын түлхүүрүүд.
- Тэд өөр өөр газарзүйн байршлаас хандах хэрэгтэй.
- Бид зөвхөн USB дээр IP техник хангамжийн шийдлүүдийг авч үзэж байгаа бөгөөд зохион байгуулалтын болон техникийн нэмэлт арга хэмжээ авах замаар энэхүү шийдлийг хамгаалахыг хичээж байна (бид өөр хувилбаруудын асуудлыг хараахан авч үзэхгүй байна).
- Энэ нийтлэлийн хүрээнд би бидний авч үзэж буй аюул заналхийллийн загваруудыг бүрэн тайлбарлахгүй (та эндээс маш их зүйлийг харж болно. ), гэхдээ би хоёр зүйл дээр товчхон анхаарлаа хандуулах болно. Бид нийгмийн инженерчлэл болон хэрэглэгчдийн өөрсдийнх нь хууль бус үйлдлийг загвараас хасдаг. Бид байнгын итгэмжлэлгүйгээр дурын сүлжээнээс USB төхөөрөмжид зөвшөөрөлгүй нэвтрэх боломжийг авч үзэж байна.
USB төхөөрөмжүүдэд нэвтрэх аюулгүй байдлыг хангахын тулд зохион байгуулалтын болон техникийн арга хэмжээг авсан.
1. Байгууллагын аюулгүй байдлын арга хэмжээ.
Удирддаг USB гаруй IP зангилаа нь өндөр чанартай түгжигдэх боломжтой серверийн шүүгээнд суурилагдсан. Түүнд бие махбодийн хандалтыг хялбаршуулсан (байр руу нэвтрэх хяналтын систем, видео тандалт, түлхүүрүүд, хязгаарлагдмал тооны хүмүүст нэвтрэх эрх).
Байгууллагад ашигладаг бүх USB төхөөрөмжүүдийг 3 бүлэгт хуваадаг.
- Шүүмжтэй. Санхүүгийн тоон гарын үсэг - банкуудын зөвлөмжийн дагуу ашиглагддаг (IP-ээр USB-ээр биш)
- Чухал. Худалдааны платформ, үйлчилгээ, цахим баримт бичгийн урсгал, тайлагнах гэх мэт цахим дижитал гарын үсэг, програм хангамжийн хэд хэдэн түлхүүрийг IP төвөөр удирддаг USB ашиглан ашигладаг.
- Шүүмжлэлтэй биш. Хэд хэдэн програм хангамжийн түлхүүрүүд, камерууд, чухал биш мэдээлэл бүхий олон тооны флаш дискүүд болон дискүүд, USB модемууд нь IP төвөөр удирддаг USB ашиглан ашиглагддаг.
2. Техникийн аюулгүй байдлын арга хэмжээ.
Удирдлагатай USB-ээр IP төвөөр холбогдох сүлжээний хандалтыг зөвхөн тусгаарлагдсан дэд сүлжээнд олгодог. Тусгаарлагдсан дэд сүлжээнд хандах боломжтой:
- терминал серверийн фермээс,
- VPN (сертификат, нууц үг)-ээр дамжуулан хязгаарлагдмал тооны компьютер, зөөврийн компьютерт, VPN-ээр дамжуулан байнгын хаягаар дамжуулан,
- бүс нутгийн оффисуудыг холбосон VPN хонгилоор дамжуулан.
DistKontrolUSB IP төвөөр удирддаг USB дээр стандарт хэрэглүүрийг ашиглан дараах функцуудыг тохируулсан болно.
- USB төхөөрөмж дээр IP төвөөр нэвтрэхийн тулд шифрлэлтийг ашигладаг (SSL шифрлэлт төв дээр идэвхжсэн), гэхдээ энэ нь шаардлагагүй байж болох юм.
- "USB төхөөрөмжүүдэд хандах хандалтыг IP хаягаар хязгаарлах" гэж тохируулсан. IP хаягаас хамааран хэрэглэгч USB төхөөрөмжид хандах эрхтэй эсвэл зөвшөөрөгдөөгүй.
- "Нэвтрэх болон нууц үгээр USB порт руу нэвтрэхийг хязгаарлах" тохиргоог хийсэн. Үүний дагуу хэрэглэгчдэд USB төхөөрөмжид хандах эрхийг олгодог.
- "Нэвтрэх нэр, нууц үгээр USB төхөөрөмжид хандах хандалтыг хязгаарлах"-ыг ашиглахгүй байхаар шийдсэн, учир нь Бүх USB түлхүүрүүд нь USB-ээр IP төвөөр байнга холбогдсон байдаг тул портоос порт руу зөөх боломжгүй. Бид хэрэглэгчдэд USB төхөөрөмж суулгасан USB порт руу удаан хугацаагаар нэвтрэх боломжийг олгох нь илүү утга учиртай юм.
- USB портуудыг физикийн хувьд асаах, унтраах нь дараахь байдлаар хийгддэг.
- Програм хангамжийн болон цахим баримт бичгийн түлхүүрүүдийн хувьд - даалгавар төлөвлөгч болон төвийн хуваарилагдсан даалгавруудыг ашиглан (хэд хэдэн товчлуурыг 9.00 цагт асааж, 18.00 цагт унтраахаар програмчлагдсан, 13.00-16.00 цагийн хооронд тоо);
- Арилжааны платформ болон олон тооны програм хангамжийн түлхүүрүүдийн хувьд - WEB интерфейсээр дамжуулан эрх бүхий хэрэглэгчид;
- Камерууд, олон тооны флаш дискүүд, чухал бус мэдээлэл бүхий дискүүд үргэлж асаалттай байдаг.
USB төхөөрөмжүүдэд нэвтрэх энэхүү зохион байгуулалт нь тэдгээрийн аюулгүй хэрэглээг хангана гэж бид үзэж байна:
- бүс нутгийн албадаас (болзолт NET No 1...... NET No. N),
- дэлхийн сүлжээгээр USB төхөөрөмжүүдийг холбосон цөөн тооны компьютер, зөөврийн компьютерт зориулагдсан;
- терминалын програмын сервер дээр нийтлэгдсэн хэрэглэгчдэд зориулсан.
Сэтгэгдэл бичихдээ би USB төхөөрөмжүүдэд дэлхийн хэмжээнд нэвтрэх мэдээллийн аюулгүй байдлыг нэмэгдүүлэх тодорхой практик арга хэмжээг сонсохыг хүсч байна.
Эх сурвалж: www.habr.com