Najprv sa teda rozhodnime o počiatočných podmienkach.
Veľké množstvo elektronických bezpečnostných kľúčov.
Treba k nim pristupovať z rôznych geografických lokalít.
Uvažujeme len o hardvérových riešeniach USB over IP a snažíme sa toto riešenie zabezpečiť dodatočnými organizačnými a technickými opatreniami (otázkou alternatív zatiaľ neuvažujeme).
V rámci tohto článku nebudem úplne opisovať modely hrozieb, ktoré zvažujeme (veľa môžete vidieť v Uverejnenie), no v krátkosti sa zameriam na dva body. Z modelu vylučujeme sociálne inžinierstvo a nezákonné akcie samotných používateľov. Zvažujeme možnosť neoprávneného prístupu k USB zariadeniam z akejkoľvek siete bez bežných prihlasovacích údajov.
Na zaistenie bezpečnosti prístupu k USB zariadeniam boli prijaté organizačné a technické opatrenia:
1. Organizačné bezpečnostné opatrenia.
Spravovaný rozbočovač USB over IP je inštalovaný vo vysokokvalitnej uzamykateľnej serverovej skrini. Fyzický prístup k nemu je zefektívnený (systém kontroly vstupu do samotného areálu, kamerový dohľad, kľúče a prístupové práva pre prísne obmedzený počet osôb).
Všetky zariadenia USB používané v organizácii sú rozdelené do 3 skupín:
Kritické. Finančné digitálne podpisy – používané v súlade s odporúčaniami bánk (nie cez USB cez IP)
Dôležité. Elektronické digitálne podpisy pre obchodné platformy, služby, tok elektronických dokumentov, výkazníctvo atď., množstvo kľúčov pre softvér – používajú sa pomocou spravovaného rozbočovača USB cez IP.
Nie je to kritické. Množstvo softvérových kľúčov, kamier, množstvo flash diskov a diskov s nekritickými informáciami, USB modemy - sa používa pomocou spravovaného USB cez IP rozbočovača.
2. Technické bezpečnostné opatrenia.
Sieťový prístup k riadenému rozbočovaču USB cez IP je poskytovaný iba v rámci izolovanej podsiete. Prístup do izolovanej podsiete je poskytovaný:
z farmy terminálových serverov,
cez VPN (certifikát a heslo) na obmedzený počet počítačov a notebookov, cez VPN sú im vydávané trvalé adresy,
cez VPN tunely spájajúce regionálne kancelárie.
Na spravovanom rozbočovači USB cez IP DistKontrolUSB sa pomocou jeho štandardných nástrojov konfigurujú nasledujúce funkcie:
Na prístup k zariadeniam USB na rozbočovači USB over IP sa používa šifrovanie (na rozbočovači je zapnuté šifrovanie SSL), hoci to nemusí byť potrebné.
Je nakonfigurované „Obmedzenie prístupu k zariadeniam USB podľa adresy IP“. V závislosti od adresy IP má používateľ alebo nemá povolený prístup k priradeným zariadeniam USB.
Je nakonfigurované „Obmedziť prístup k portu USB prihlásením a heslom“. Podľa toho sú používateľom pridelené prístupové práva k zariadeniam USB.
„Obmedzenie prístupu k zariadeniu USB pomocou prihlasovacieho mena a hesla“ sa rozhodlo nepoužiť, pretože Všetky kľúče USB sú pripojené k rozbočovaču USB over IP natrvalo a nemožno ich presúvať z portu do portu. Pre nás je zmysluplnejšie poskytnúť používateľom dlhodobo prístup k portu USB s nainštalovaným zariadením USB.
Fyzické zapínanie a vypínanie USB portov sa vykonáva:
Pre softvér a kľúče elektronických dokumentov - pomocou plánovača úloh a priradených úloh hubu (niekoľko tlačidiel bolo naprogramovaných na zapnutie o 9.00:18.00 a vypnutie o 13.00:16.00, číslo od XNUMX:XNUMX do XNUMX:XNUMX);
Pre kľúče k obchodným platformám a množstvo softvéru – autorizovanými používateľmi cez WEB rozhranie;
Fotoaparáty, množstvo flash diskov a diskov s nekritickými informáciami sú vždy zapnuté.
Predpokladáme, že táto organizácia prístupu k USB zariadeniam zabezpečuje ich bezpečné používanie:
z krajských úradov (podmienečne NET č. 1...... NET č. N),
pre obmedzený počet počítačov a notebookov pripájajúcich USB zariadenia cez globálnu sieť,
pre používateľov publikovaných na terminálových aplikačných serveroch.
V komentároch by som si rád vypočul konkrétne praktické opatrenia, ktoré zvyšujú informačnú bezpečnosť poskytovania globálneho prístupu k USB zariadeniam.