මෑතකදී බෙදා ගන්නා ලදී අපේ සංවිධානයේ. මෙම අදහස් IP දෘඪාංග විසඳුම් හරහා USB හි තොරතුරු ආරක්ෂාව පිළිබඳ බරපතල ගැටළුවක් මතු කළේය, එය අපව බෙහෙවින් කනස්සල්ලට පත් කරයි.
එබැවින්, පළමුව, මූලික කොන්දේසි තීරණය කරමු.
- ඉලෙක්ට්රොනික ආරක්ෂක යතුරු විශාල සංඛ්යාවක්.
- විවිධ භූගෝලීය ස්ථාන වලින් ඒවාට ප්රවේශ විය යුතුය.
- අපි USB හරහා IP දෘඪාංග විසඳුම් පමණක් සලකා බලමින් සිටින අතර අතිරේක ආයතනික සහ තාක්ෂණික ක්රියාමාර්ග ගනිමින් මෙම විසඳුම සුරක්ෂිත කිරීමට උත්සාහ කරන්නෙමු (අපි තවමත් විකල්ප ගැටළුව සලකා බලන්නේ නැත).
- මෙම ලිපියේ විෂය පථය තුළ, අප සලකා බලමින් සිටින තර්ජන ආකෘති මම සම්පූර්ණයෙන් විස්තර නොකරමි (ඔබට බොහෝ දේ දැකිය හැකිය ), නමුත් මම කරුණු දෙකක් ගැන කෙටියෙන් අවධානය යොමු කරමි. අපි සමාජ ඉංජිනේරු සහ පරිශීලකයින්ගේ නීති විරෝධී ක්රියා ආකෘතියෙන් බැහැර කරමු. සාමාන්ය අක්තපත්ර නොමැතිව ඕනෑම ජාලයකින් USB උපාංග වෙත අනවසරයෙන් පිවිසීමේ හැකියාව අපි සලකා බලමින් සිටිමු.
USB උපාංග වෙත ප්රවේශ වීමේ ආරක්ෂාව සහතික කිරීම සඳහා, ආයතනික සහ තාක්ෂණික ක්රියාමාර්ග ගෙන ඇත:
1. ආයතනික ආරක්ෂක පියවර.
කළමනාකරණය කළ USB හරහා IP කේන්ද්රය උසස් තත්ත්වයේ අගුලු දැමිය හැකි සේවාදායක කැබිනට්ටුවක ස්ථාපනය කර ඇත. එයට භෞතික ප්රවේශය විධිමත් කර ඇත (පරිශ්රයටම ප්රවේශ පාලන පද්ධතිය, වීඩියෝ නිරීක්ෂණ, යතුරු සහ දැඩි සීමිත පුද්ගලයින් සඳහා ප්රවේශ අයිතිවාසිකම්).
සංවිධානයේ භාවිතා කරන සියලුම USB උපාංග කණ්ඩායම් 3 කට බෙදා ඇත:
- විවේචනාත්මක. මූල්ය ඩිජිටල් අත්සන් - බැංකුවල නිර්දේශ වලට අනුකූලව භාවිතා වේ (IP හරහා USB හරහා නොවේ)
- වැදගත්. වෙළඳ වේදිකා, සේවා, විද්යුත් ලේඛන ප්රවාහය, වාර්තා කිරීම යනාදිය සඳහා ඉලෙක්ට්රොනික ඩිජිටල් අත්සන්, මෘදුකාංග සඳහා යතුරු ගණනාවක් - IP කේන්ද්රස්ථානය හරහා කළමනාකරණය කරන ලද USB භාවිතයෙන් භාවිතා වේ.
- විවේචනාත්මක නොවේ. මෘදුකාංග යතුරු ගණනාවක්, කැමරා, ෆ්ලෑෂ් ඩ්රයිව් සහ විවේචනාත්මක නොවන තොරතුරු සහිත තැටි ගණනාවක්, USB මොඩමයන් - කළමනාකරණය කරන ලද USB හරහා IP කේන්ද්රයක් භාවිතා කරයි.
2. තාක්ෂණික ආරක්ෂණ පියවර.
කළමනාකරණය කරන ලද USB හරහා IP කේන්ද්රයකට ජාල ප්රවේශය සපයනු ලබන්නේ හුදකලා උපජාලයක් තුළ පමණි. හුදකලා උපජාලයකට ප්රවේශය සපයනු ලැබේ:
- ටර්මිනල් සර්වර් ෆාම් එකකින්,
- VPN (සහතිකය සහ මුරපදය) හරහා සීමිත පරිගණක සහ ලැප්ටොප් පරිගණක ගණනකට, VPN හරහා ඒවාට ස්ථිර ලිපින නිකුත් කරනු ලැබේ,
- ප්රාදේශීය කාර්යාල සම්බන්ධ කරන VPN උමං මාර්ග හරහා.
කළමනාකරණය කරන ලද USB හරහා IP hub DistKontrolUSB මත, එහි සම්මත මෙවලම් භාවිතයෙන්, පහත කාර්යයන් වින්යාස කර ඇත:
- USB හරහා IP හබ් එකක USB උපාංග වෙත ප්රවේශ වීමට, සංකේතනය භාවිතා වේ (හබ් මත SSL සංකේතනය සක්රීය කර ඇත), මෙය අනවශ්ය විය හැකි වුවද.
- "IP ලිපිනය මගින් USB උපාංග වෙත ප්රවේශය සීමා කිරීම" වින්යාස කර ඇත. IP ලිපිනය මත පදනම්ව, පරිශීලකයාට පවරා ඇති USB උපාංග වෙත ප්රවේශය ලබා දී ඇත.
- "පිවිසුම් සහ මුරපදය මගින් USB පෝට් වෙත ප්රවේශය සීමා කරන්න" වින්යාස කර ඇත. ඒ අනුව, පරිශීලකයින්ට USB උපාංග සඳහා ප්රවේශ හිමිකම් පවරනු ලැබේ.
- "පිවිසුම සහ මුරපදය මගින් USB උපාංගයකට ප්රවේශය සීමා කිරීම" භාවිතා නොකිරීමට තීරණය කරන ලදී, මන්ද සියලුම USB යතුරු ස්ථිරවම USB හරහා IP හබ් වෙත සම්බන්ධ කර ඇති අතර වරායෙන් වරායට ගෙන යා නොහැක. දිගු කාලයක් USB උපාංගයක් ස්ථාපනය කර ඇති USB පෝට් එකකට පරිශීලකයින්ට ප්රවේශය ලබා දීම අපට වඩාත් තර්කානුකූලයි.
- USB පෝට් භෞතිකව සක්රිය සහ අක්රිය කිරීම සිදු කරනු ලැබේ:
- මෘදුකාංග සහ ඉලෙක්ට්රොනික ලේඛන යතුරු සඳහා - මධ්යස්ථානයේ කාර්ය කාලසටහන් සහ පවරා ඇති කාර්යයන් භාවිතා කිරීම (යතුරු ගණනාවක් 9.00 ට සක්රිය කිරීමට සහ 18.00 ට ක්රියා විරහිත කිරීමට වැඩසටහන්ගත කර ඇත, අංකයක් 13.00 සිට 16.00 දක්වා);
- වෙළඳ වේදිකා සහ මෘදුකාංග ගණනාවක යතුරු සඳහා - WEB අතුරුමුහුණත හරහා බලයලත් පරිශීලකයින් විසින්;
- කැමරා, ෆ්ලෑෂ් ඩ්රයිව් ගණනාවක් සහ විවේචනාත්මක නොවන තොරතුරු සහිත තැටි සෑම විටම ක්රියාත්මක වේ.
USB උපාංග වෙත ප්රවේශ වීමේ මෙම සංවිධානය ඔවුන්ගේ ආරක්ෂිත භාවිතය සහතික කරන බව අපි උපකල්පනය කරමු:
- ප්රාදේශීය කාර්යාලවලින් (කොන්දේසි සහිතව NET අංක 1...... NET අංකය N),
- ගෝලීය ජාලය හරහා USB උපාංග සම්බන්ධ කරන සීමිත පරිගණක සහ ලැප්ටොප් සංඛ්යාවක් සඳහා,
- ටර්මිනල් යෙදුම් සේවාදායකයේ ප්රකාශිත පරිශීලකයින් සඳහා.
අදහස් දැක්වීමේදී, USB උපාංග වෙත ගෝලීය ප්රවේශය ලබා දීමේ තොරතුරු ආරක්ෂාව වැඩි කරන විශේෂිත ප්රායෝගික පියවරයන් ඇසීමට මම කැමතියි.
මූලාශ්රය: www.habr.com