Baru-baru ini dikongsi dalam organisasi kami. Komen tersebut membangkitkan isu serius keselamatan maklumat USB melalui penyelesaian perkakasan IP, yang sangat membimbangkan kami.
Jadi, pertama, mari kita tentukan syarat awal.
- Sebilangan besar kunci keselamatan elektronik.
- Mereka perlu diakses dari lokasi geografi yang berbeza.
- Kami hanya mempertimbangkan penyelesaian perkakasan USB melalui IP dan cuba untuk mendapatkan penyelesaian ini dengan mengambil langkah organisasi dan teknikal tambahan (kami belum mempertimbangkan isu alternatif lagi).
- Dalam skop artikel ini, saya tidak akan menerangkan sepenuhnya model ancaman yang sedang kami pertimbangkan (anda boleh lihat banyak dalam ), tetapi saya akan memberi tumpuan secara ringkas kepada dua perkara. Kami mengecualikan kejuruteraan sosial dan tindakan menyalahi undang-undang pengguna sendiri daripada model. Kami sedang mempertimbangkan kemungkinan capaian tanpa kebenaran kepada peranti USB daripada mana-mana rangkaian tanpa bukti kelayakan biasa.
Untuk memastikan keselamatan akses kepada peranti USB, langkah-langkah organisasi dan teknikal telah diambil:
1. Langkah-langkah keselamatan organisasi.
Hab USB melalui IP terurus dipasang dalam kabinet pelayan boleh dikunci berkualiti tinggi. Akses fizikal kepadanya diperkemas (sistem kawalan akses ke premis itu sendiri, pengawasan video, kunci dan hak akses untuk bilangan orang yang terhad).
Semua peranti USB yang digunakan dalam organisasi dibahagikan kepada 3 kumpulan:
- kritikal. Tandatangan digital kewangan β digunakan mengikut cadangan bank (bukan melalui USB melalui IP)
- Penting. Tandatangan digital elektronik untuk platform dagangan, perkhidmatan, aliran e-dokumen, pelaporan, dsb., beberapa kunci untuk perisian - digunakan menggunakan hab USB melalui IP terurus.
- Tidak kritikal. Sebilangan kunci perisian, kamera, beberapa pemacu kilat dan cakera dengan maklumat tidak kritikal, modem USB - digunakan menggunakan hab USB melalui IP terurus.
2. Langkah-langkah keselamatan teknikal.
Akses rangkaian kepada hab USB melalui IP terurus disediakan hanya dalam subnet terpencil. Akses kepada subnet terpencil disediakan:
- dari ladang pelayan terminal,
- melalui VPN (sijil dan kata laluan) kepada bilangan komputer dan komputer riba yang terhad, melalui VPN mereka diberikan alamat tetap,
- melalui terowong VPN yang menghubungkan pejabat serantau.
Pada hab USB melalui IP terurus DistKontrolUSB, menggunakan alat standardnya, fungsi berikut dikonfigurasikan:
- Untuk mengakses peranti USB pada hab USB melalui IP, penyulitan digunakan (penyulitan SSL didayakan pada hab), walaupun ini mungkin tidak diperlukan.
- βMengehadkan akses kepada peranti USB melalui alamat IPβ dikonfigurasikan. Bergantung pada alamat IP, pengguna diberikan atau tidak akses kepada peranti USB yang diberikan.
- βHadkan akses kepada port USB dengan log masuk dan kata laluanβ dikonfigurasikan. Sehubungan itu, pengguna diberikan hak akses kepada peranti USB.
- "Mengehadkan akses kepada peranti USB dengan log masuk dan kata laluan" telah diputuskan untuk tidak digunakan, kerana Semua kekunci USB disambungkan ke hab USB melalui IP secara kekal dan tidak boleh dialihkan dari port ke port. Adalah lebih masuk akal bagi kami untuk memberikan pengguna akses kepada port USB dengan peranti USB yang dipasang di dalamnya untuk masa yang lama.
- Menghidupkan dan mematikan port USB secara fizikal dijalankan:
- Untuk perisian dan kunci dokumen elektronik - menggunakan penjadual tugas dan tugasan yang diberikan hab (sebilangan kunci telah diprogramkan untuk dihidupkan pada 9.00 dan dimatikan pada 18.00, nombor dari 13.00 hingga 16.00);
- Untuk kunci kepada platform dagangan dan beberapa perisian - oleh pengguna yang dibenarkan melalui antara muka WEB;
- Kamera, beberapa pemacu kilat dan cakera dengan maklumat tidak kritikal sentiasa dihidupkan.
Kami menganggap bahawa organisasi akses kepada peranti USB ini memastikan penggunaannya selamat:
- dari pejabat wilayah (bersyarat BERSIH No. 1...... BERSIH No. N),
- untuk bilangan komputer dan komputer riba terhad yang menyambungkan peranti USB melalui rangkaian global,
- untuk pengguna yang diterbitkan pada pelayan aplikasi terminal.
Dalam ulasan, saya ingin mendengar langkah praktikal khusus yang meningkatkan keselamatan maklumat dalam menyediakan akses global kepada peranti USB.
Sumber: www.habr.com