Duża liczba elektronicznych kluczy zabezpieczających.
Należy uzyskać do nich dostęp z różnych lokalizacji geograficznych.
Rozważamy wyłącznie rozwiązania sprzętowe USB over IP i staramy się zabezpieczyć to rozwiązanie poprzez podjęcie dodatkowych działań organizacyjnych i technicznych (nie rozważamy jeszcze kwestii alternatyw).
W ramach tego artykułu nie będę w pełni opisywał modeli zagrożeń, które rozważamy (wiele można zobaczyć w Publikacja), ale krótko skupię się na dwóch kwestiach. Z modelu wykluczamy socjotechnikę i nielegalne działania samych użytkowników. Rozważamy możliwość nieautoryzowanego dostępu do urządzeń USB z dowolnej sieci bez zwykłych danych uwierzytelniających.
W celu zapewnienia bezpieczeństwa dostępu do urządzeń USB podjęto działania organizacyjne i techniczne:
1. Organizacyjne środki bezpieczeństwa.
Zarządzany koncentrator USB over IP jest zainstalowany w wysokiej jakości zamykanej szafie serwerowej. Usprawniony jest fizyczny dostęp do niego (system kontroli dostępu do samego lokalu, monitoring wizyjny, klucze i prawa dostępu dla ściśle ograniczonej liczby osób).
Wszystkie urządzenia USB używane w organizacji są podzielone na 3 grupy:
Krytyczny. Finansowe podpisy cyfrowe – stosowane zgodnie z zaleceniami banków (nie poprzez USB over IP)
Ważny. Elektroniczne podpisy cyfrowe dla platform transakcyjnych, usług, obiegu e-dokumentów, raportowania itp., szereg kluczy do oprogramowania - wykorzystywane są za pomocą zarządzanego koncentratora USB over IP.
Nie krytyczne. Szereg kluczy oprogramowania, kamer, wielu dysków flash i dysków z informacjami niekrytycznymi, modemów USB - jest używanych za pomocą zarządzanego koncentratora USB przez IP.
2. Techniczne środki bezpieczeństwa.
Dostęp sieciowy do zarządzanego koncentratora USB przez IP jest zapewniany tylko w izolowanej podsieci. Dostęp do izolowanej podsieci jest zapewniony:
z farmy serwerów terminalowych,
poprzez VPN (certyfikat i hasło) do ograniczonej liczby komputerów i laptopów, poprzez VPN nadawane są im stałe adresy,
poprzez tunele VPN łączące biura regionalne.
W zarządzanym koncentratorze USB over IP DistKontrolUSB za pomocą standardowych narzędzi konfiguruje się następujące funkcje:
Aby uzyskać dostęp do urządzeń USB znajdujących się w koncentratorze USB over IP, stosowane jest szyfrowanie (w koncentratorze włączone jest szyfrowanie SSL), chociaż może to być niepotrzebne.
Skonfigurowano „Ograniczenie dostępu do urządzeń USB według adresu IP”. W zależności od adresu IP użytkownik ma dostęp lub nie do przypisanych mu urządzeń USB.
Skonfigurowano opcję „Ogranicz dostęp do portu USB za pomocą loginu i hasła”. W związku z tym użytkownikom przypisywane są prawa dostępu do urządzeń USB.
Zdecydowano się nie stosować opcji „Ograniczenie dostępu do urządzenia USB za pomocą loginu i hasła”, ponieważ Wszystkie klucze USB są na stałe podłączone do koncentratora USB przez IP i nie można ich przenosić z portu na port. Bardziej sensowne jest dla nas zapewnienie użytkownikom dostępu do portu USB z zainstalowanym w nim urządzeniem USB na dłuższy czas.
Fizyczne włączanie i wyłączanie portów USB odbywa się:
W przypadku kluczy oprogramowania i dokumentów elektronicznych - za pomocą harmonogramu zadań i przypisanych zadań koncentratora (zaprogramowano szereg kluczy, aby włączały się o godzinie 9.00 i wyłączały o godzinie 18.00, numer od 13.00 do 16.00);
W przypadku kluczy do platform transakcyjnych i szeregu oprogramowania - przez autoryzowanych użytkowników poprzez interfejs WEB;
Kamery, wiele dysków flash i dysków z informacjami niekrytycznymi są zawsze włączone.
Zakładamy, że taka organizacja dostępu do urządzeń USB zapewnia ich bezpieczne użytkowanie:
z oddziałów regionalnych (warunkowo NET nr 1...... NET nr N),
dla ograniczonej liczby komputerów i laptopów podłączających urządzenia USB poprzez sieć globalną,
dla użytkowników opublikowanych na serwerach aplikacji terminalowych.
W komentarzach chciałbym usłyszeć konkretne praktyczne środki zwiększające bezpieczeństwo informacji polegające na zapewnieniu globalnego dostępu do urządzeń USB.