Shpërndarë së fundi në organizatën tonë. Komentet ngritën një çështje serioze të sigurisë së informacionit të zgjidhjeve harduerike USB mbi IP, gjë që na shqetëson shumë.
Pra, së pari, le të vendosim për kushtet fillestare.
- Një numër i madh çelësash sigurie elektronike.
- Ato duhet të aksesohen nga vende të ndryshme gjeografike.
- Ne po shqyrtojmë vetëm zgjidhjet harduerike USB mbi IP dhe po përpiqemi ta sigurojmë këtë zgjidhje duke marrë masa shtesë organizative dhe teknike (nuk po shqyrtojmë ende çështjen e alternativave).
- Brenda fushës së këtij artikulli, unë nuk do të përshkruaj plotësisht modelet e kërcënimit që po shqyrtojmë (mund të shihni shumë në ), por do të ndalem shkurtimisht në dy pika. Ne përjashtojmë inxhinierinë sociale dhe veprimet e paligjshme të vetë përdoruesve nga modeli. Ne po shqyrtojmë mundësinë e aksesit të paautorizuar në pajisje USB nga çdo rrjet pa kredenciale të rregullta.
Për të garantuar sigurinë e aksesit në pajisjet USB, janë marrë masa organizative dhe teknike:
1. Masat e sigurisë organizative.
Hubi i menaxhuar USB mbi IP është instaluar në një kabinet serveri me cilësi të lartë që mbyllet. Qasja fizike në të është e thjeshtuar (sistemi i kontrollit të hyrjes në vetë ambientet, mbikëqyrja video, çelësat dhe të drejtat e aksesit për një numër rreptësisht të kufizuar personash).
Të gjitha pajisjet USB të përdorura në organizatë ndahen në 3 grupe:
- Kritike. Nënshkrimet dixhitale financiare – përdoren në përputhje me rekomandimet e bankave (jo përmes USB mbi IP)
- E rëndësishme. Nënshkrimet dixhitale elektronike për platformat tregtare, shërbimet, rrjedhën e e-dokumenteve, raportimin, etj., një numër çelësash për softuer - përdoren duke përdorur një shpërndarës USB të menaxhuar mbi IP.
- Jo kritike. Një numër çelësash softuerësh, kamerash, një numër disqesh flash dhe disqesh me informacione jo kritike, modeme USB - përdoren duke përdorur një shpërndarës USB të menaxhuar mbi IP.
2. Masat e sigurisë teknike.
Qasja në rrjet në një shpërndarës USB të menaxhuar mbi IP ofrohet vetëm brenda një nënrrjeti të izoluar. Qasja në një nënrrjet të izoluar sigurohet:
- nga një fermë serveri terminali,
- përmes VPN (certifikatë dhe fjalëkalim) në një numër të kufizuar kompjuterësh dhe laptopësh, përmes VPN atyre u lëshohen adresa të përhershme,
- nëpërmjet tuneleve VPN që lidhin zyrat rajonale.
Në shpërndarësin e menaxhuar USB mbi IP DistKontrolUSB, duke përdorur mjetet e tij standarde, konfigurohen funksionet e mëposhtme:
- Për të hyrë në pajisjet USB në një shpërndarës USB mbi IP, përdoret enkriptimi (kriptimi SSL është i aktivizuar në shpërndarës), megjithëse kjo mund të jetë e panevojshme.
- "Kufizimi i aksesit në pajisjet USB nga adresa IP" është konfiguruar. Në varësi të adresës IP, përdoruesit i jepet ose jo aksesi në pajisjet e caktuara USB.
- Është konfiguruar "Kufizimi i hyrjes në portin USB me hyrje dhe fjalëkalim". Prandaj, përdoruesve u caktohen të drejta aksesi në pajisjet USB.
- "Kufizimi i aksesit në një pajisje USB me hyrje dhe fjalëkalim" u vendos të mos përdoret, sepse Të gjithë çelësat USB janë të lidhur me qendrën USB mbi IP përgjithmonë dhe nuk mund të zhvendosen nga porta në port. Ka më shumë kuptim që ne t'u ofrojmë përdoruesve akses në një port USB me një pajisje USB të instaluar në të për një kohë të gjatë.
- Ndezja dhe fikja fizike e porteve USB kryhet:
- Për softuerin dhe çelësat e dokumenteve elektronike - duke përdorur programuesin e detyrave dhe detyrat e caktuara të shpërndarësit (një numër çelësash u programuan të ndizen në orën 9.00 dhe të fiken në orën 18.00, një numër nga ora 13.00 në 16.00);
- Për çelësat e platformave tregtare dhe një numër softuerësh - nga përdoruesit e autorizuar përmes ndërfaqes WEB;
- Kamerat, një numër disqesh flash dhe disqe me informacione jo kritike janë gjithmonë të ndezura.
Ne supozojmë se ky organizim i aksesit në pajisjet USB siguron përdorimin e tyre të sigurt:
- nga zyrat rajonale (me kusht NET nr. 1...... NET Nr. N),
- për një numër të kufizuar kompjuterësh dhe laptopësh që lidhin pajisje USB nëpërmjet rrjetit global,
- për përdoruesit e publikuar në serverët e aplikacionit terminal.
Në komente, do të doja të dëgjoja masa specifike praktike që rrisin sigurinë e informacionit për ofrimin e aksesit global në pajisjet USB.
Burimi: www.habr.com