Nedavno v skupni rabi v naši organizaciji. Komentarji so izpostavili resno vprašanje informacijske varnosti strojnih rešitev USB over IP, ki nas zelo skrbi.
Torej, najprej se odločimo za začetne pogoje.
- Veliko število elektronskih varnostnih ključev.
- Do njih je treba dostopati z različnih geografskih lokacij.
- Razmišljamo le o strojnih rešitvah USB over IP in to rešitev poskušamo zavarovati z dodatnimi organizacijskimi in tehničnimi ukrepi (o alternativah še ne razmišljamo).
- V okviru tega članka ne bom v celoti opisal modelov groženj, ki jih obravnavamo (veliko si lahko ogledate v ), vendar se bom na kratko osredotočil na dve točki. Iz modela izključujemo socialni inženiring in nezakonita dejanja samih uporabnikov. Razmišljamo o možnosti nepooblaščenega dostopa do naprav USB iz katerega koli omrežja brez rednih poverilnic.
Za zagotovitev varnosti dostopa do USB naprav so bili sprejeti organizacijski in tehnični ukrepi:
1. Organizacijski varnostni ukrepi.
Upravljano vozlišče USB over IP je nameščeno v visokokakovostno strežniško omarico, ki jo je mogoče zakleniti. Fizični dostop do njega je poenostavljen (kontrola dostopa do samih prostorov, video nadzor, ključi in pravice dostopa za strogo omejeno število oseb).
Vse USB naprave, ki se uporabljajo v organizaciji, so razdeljene v 3 skupine:
- Kritično. Finančni digitalni podpisi – uporabljeni v skladu s priporočili bank (ne preko USB over IP)
- Pomembno. Elektronski digitalni podpisi za trgovalne platforme, storitve, e-dokumentotok, poročanje itd., številni ključi za programsko opremo – se uporabljajo z upravljanim USB over IP hubom.
- Ni kritično. Številni programski ključi, kamere, številni bliskovni pogoni in diski z nepomembnimi informacijami, USB modemi - se uporabljajo z upravljanim vozliščem USB over IP.
2. Tehnični varnostni ukrepi.
Omrežni dostop do upravljanega zvezdišča USB prek IP je na voljo samo znotraj izoliranega podomrežja. Dostop do izoliranega podomrežja je zagotovljen:
- iz farme terminalskih strežnikov,
- preko VPN (certifikat in geslo) na omejeno število računalnikov in prenosnikov, preko VPN se jim izdajo stalni naslovi,
- prek tunelov VPN, ki povezujejo regionalne pisarne.
Na upravljanem zvezdišču USB prek IP DistKontrolUSB so s standardnimi orodji konfigurirane naslednje funkcije:
- Za dostop do naprav USB v zvezdišču USB prek IP se uporablja šifriranje (šifriranje SSL je omogočeno v zvezdišču), čeprav je to morda nepotrebno.
- Konfigurirano je »Omejevanje dostopa do naprav USB z naslovom IP«. Odvisno od naslova IP je uporabniku odobren ali ne dostop do dodeljenih naprav USB.
- Konfigurirano je »Omeji dostop do vrat USB s prijavo in geslom«. V skladu s tem so uporabnikom dodeljene pravice dostopa do naprav USB.
- "Omejevanje dostopa do naprave USB s prijavo in geslom" je bilo odločeno, da se ne uporablja, ker Vsi ključi USB so trajno priključeni na vozlišče USB over IP in jih ni mogoče premikati iz vrat v vrata. Za nas je bolj smiselno, da uporabnikom omogočimo dolgotrajen dostop do vrat USB z nameščeno USB napravo.
- Fizično vklop in izklop vrat USB se izvede:
- Za ključe programske opreme in elektronskih dokumentov - z uporabo razporejevalnika opravil in dodeljenih opravil vozlišča (število ključev je bilo programiranih za vklop ob 9.00 in izklop ob 18.00, število od 13.00 do 16.00);
- Za ključe trgovalnih platform in številne programske opreme - s strani pooblaščenih uporabnikov prek WEB vmesnika;
- Kamere, številni bliskovni pogoni in diski z nekritičnimi informacijami so vedno vklopljeni.
Predvidevamo, da takšna organizacija dostopa do USB naprav zagotavlja njihovo varno uporabo:
- iz regionalnih uradov (pogojno NET št. 1...... NET št. N),
- za omejeno število računalnikov in prenosnikov, ki povezujejo USB naprave preko globalnega omrežja,
- za uporabnike, objavljene na terminalskih aplikacijskih strežnikih.
V komentarjih bi rad slišal konkretne praktične ukrepe, ki povečujejo informacijsko varnost zagotavljanja globalnega dostopa do naprav USB.
Vir: www.habr.com