ProHoster > BLOG > administrare > Securitatea informațiilor pentru soluțiile hardware USB over IP

Securitatea informațiilor pentru soluțiile hardware USB over IP

Distribuit recent experiență în găsirea unei soluții pentru organizarea accesului centralizat la cheile electronice de securitate în organizația noastră. Comentariile au ridicat o problemă serioasă de securitate a informațiilor din soluțiile hardware USB over IP, care ne îngrijorează foarte mult.

Deci, mai întâi, să decidem asupra condițiilor inițiale.

  • Un număr mare de chei electronice de securitate.
  • Acestea trebuie să fie accesate din diferite locații geografice.
  • Luăm în considerare doar soluții hardware USB over IP și încercăm să asigurăm această soluție luând măsuri suplimentare organizatorice și tehnice (nu luăm în considerare problema alternativelor încă).
  • În cadrul acestui articol, nu voi descrie pe deplin modelele de amenințare pe care le luăm în considerare (puteți vedea multe în publicare), dar mă voi concentra pe scurt pe două puncte. Excludem ingineria socială și acțiunile ilegale ale utilizatorilor înșiși din model. Luăm în considerare posibilitatea accesului neautorizat la dispozitivele USB din orice rețea fără acreditări obișnuite.

Securitatea informațiilor pentru soluțiile hardware USB over IP

Pentru a asigura securitatea accesului la dispozitivele USB, au fost luate măsuri organizatorice și tehnice:

1. Măsuri de securitate organizațională.

Hub-ul administrat USB over IP este instalat într-un dulap de server de înaltă calitate, care poate fi blocat. Accesul fizic la acesta este eficientizat (sistem de control acces la sediul propriu-zis, supraveghere video, chei și drepturi de acces pentru un număr strict limitat de persoane).

Toate dispozitivele USB utilizate în organizație sunt împărțite în 3 grupuri:

  • Critic. Semnături digitale financiare – utilizate în conformitate cu recomandările băncilor (nu prin USB over IP)
  • Important. Semnăturile digitale electronice pentru platforme de tranzacționare, servicii, fluxul de documente electronice, raportare etc., o serie de chei pentru software - sunt utilizate folosind un hub administrat USB over IP.
  • Nu este critic. O serie de chei software, camere, un număr de unități flash și discuri cu informații necritice, modemuri USB - sunt utilizate folosind un hub USB over IP administrat.

2. Măsuri tehnice de siguranță.

Accesul la rețea la un hub USB over IP administrat este oferit numai într-o subrețea izolată. Accesul la o subrețea izolată este oferit:

  • dintr-o fermă de servere terminale,
  • prin VPN (certificat și parolă) către un număr limitat de computere și laptopuri, prin VPN li se eliberează adrese permanente,
  • prin tuneluri VPN care conectează birourile regionale.

Pe hub-ul administrat USB over IP DistKontrolUSB, folosind instrumentele sale standard, sunt configurate următoarele funcții:

  • Pentru a accesa dispozitivele USB pe un hub USB prin IP, se utilizează criptarea (criptarea SSL este activată pe hub), deși acest lucru poate fi inutil.
  • „Restricționarea accesului la dispozitivele USB după adresa IP” este configurată. În funcție de adresa IP, utilizatorului i se acordă sau nu acces la dispozitivele USB alocate.
  • „Restricționați accesul la portul USB prin autentificare și parolă” este configurat. În consecință, utilizatorilor li se atribuie drepturi de acces la dispozitivele USB.
  • „Restricționarea accesului la un dispozitiv USB prin autentificare și parolă” a fost decis să nu fie folosită, deoarece Toate cheile USB sunt conectate permanent la hub-ul USB prin IP și nu pot fi mutate de la un port la altul. Este mai logic pentru noi să oferim utilizatorilor acces la un port USB cu un dispozitiv USB instalat în el pentru o lungă perioadă de timp.
  • Pornirea și oprirea fizică a porturilor USB se efectuează:
    • Pentru tastele software și EDM - folosind programatorul de sarcini și sarcinile atribuite hub-ului (un număr de taste au fost programate să se pornească la 9.00 și să se oprească la 18.00, un număr de la 13.00 la 16.00);
    • Pentru chei pentru platformele de tranzacționare și un număr de software - de către utilizatori autorizați prin interfața WEB;
    • Camerele foto, un număr de unități flash și discuri cu informații necritice sunt întotdeauna pornite.

Presupunem că această organizare a accesului la dispozitivele USB asigură utilizarea lor în siguranță:

  • din oficiile regionale (condiționat NET Nr. 1...... NET Nr. N),
  • pentru un număr limitat de computere și laptopuri care conectează dispozitive USB prin intermediul rețelei globale,
  • pentru utilizatorii publicati pe serverele de aplicații terminale.

În comentarii, aș dori să aud măsuri practice specifice care măresc securitatea informațiilor de a oferi acces global la dispozitivele USB.

Sursa: www.habr.com

Adauga un comentariu