ProHoster > blogg > administration > Informationssäkerhet för USB över IP-hårdvarulösningar

Informationssäkerhet för USB över IP-hårdvarulösningar

Delade nyligen erfarenhet av att hitta en lösning för att organisera centraliserad åtkomst till elektroniska säkerhetsnycklar i vår organisation. Kommentarerna tog upp en allvarlig fråga om informationssäkerhet för USB över IP-hårdvarulösningar, vilket oroar oss mycket.

Så låt oss först bestämma de ursprungliga villkoren.

  • Ett stort antal elektroniska säkerhetsnycklar.
  • De måste nås från olika geografiska platser.
  • Vi överväger endast USB över IP-hårdvarulösningar och försöker säkra denna lösning genom att vidta ytterligare organisatoriska och tekniska åtgärder (vi överväger inte frågan om alternativ ännu).
  • Inom ramen för denna artikel kommer jag inte att fullständigt beskriva de hotmodeller vi överväger (du kan se mycket i Publikation), men jag kommer kort att fokusera på två punkter. Vi utesluter social ingenjörskonst och olagliga handlingar från användarna själva från modellen. Vi överväger möjligheten för obehörig åtkomst till USB-enheter från vilket nätverk som helst utan regelbundna referenser.

Informationssäkerhet för USB över IP-hårdvarulösningar

För att säkerställa säkerheten för åtkomst till USB-enheter har organisatoriska och tekniska åtgärder vidtagits:

1. Organisatoriska säkerhetsåtgärder.

Den hanterade USB över IP-hubben är installerad i ett högkvalitativt låsbart serverskåp. Den fysiska tillgången till den är effektiviserad (tillträdeskontrollsystem till själva lokalen, videoövervakning, nycklar och åtkomsträttigheter för ett strikt begränsat antal personer).

Alla USB-enheter som används i organisationen är indelade i tre grupper:

  • Kritisk. Finansiella digitala signaturer – används i enlighet med bankernas rekommendationer (inte via USB över IP)
  • Viktig. Elektroniska digitala signaturer för handelsplattformar, tjänster, e-dokumentflöde, rapportering etc., ett antal nycklar för mjukvara – används med hjälp av en hanterad USB över IP-hubb.
  • Inte kritiskt. Ett antal mjukvarunycklar, kameror, ett antal flashenheter och diskar med icke-kritisk information, USB-modem – används med en hanterad USB över IP-hubb.

2. Tekniska säkerhetsåtgärder.

Nätverksåtkomst till en hanterad USB över IP-hubb tillhandahålls endast inom ett isolerat undernät. Tillgång till ett isolerat subnät tillhandahålls:

  • från en terminalserverfarm,
  • via VPN (certifikat och lösenord) till ett begränsat antal datorer och bärbara datorer, via VPN får de permanenta adresser,
  • via VPN-tunnlar som förbinder regionkontor.

På den hanterade USB över IP-hubben DistKontrolUSB, med dess standardverktyg, är följande funktioner konfigurerade:

  • För att komma åt USB-enheter på en USB över IP-hubb används kryptering (SSL-kryptering är aktiverad på hubben), även om detta kan vara onödigt.
  • "Begränsa åtkomst till USB-enheter med IP-adress" är konfigurerat. Beroende på IP-adressen ges användaren eller inte åtkomst till tilldelade USB-enheter.
  • "Begränsa åtkomst till USB-porten med inloggning och lösenord" är konfigurerad. Följaktligen tilldelas användare åtkomsträttigheter till USB-enheter.
  • "Begränsa åtkomst till en USB-enhet genom inloggning och lösenord" beslutades att inte användas, eftersom Alla USB-nycklar är permanent anslutna till USB over IP-hubben och kan inte flyttas från port till port. Det är mer meningsfullt för oss att ge användare tillgång till en USB-port med en USB-enhet installerad i den under lång tid.
  • Att fysiskt slå på och av USB-portar utförs:
    • För mjukvara och elektroniska dokumentnycklar - med hjälp av uppgiftsschemaläggaren och tilldelade uppgifter för navet (ett antal nycklar programmerades att slås på kl. 9.00 och stängas av kl. 18.00, ett nummer från kl. 13.00 till 16.00);
    • För nycklar till handelsplattformar och ett antal mjukvara - av auktoriserade användare via WEB-gränssnittet;
    • Kameror, ett antal flashenheter och diskar med icke-kritisk information är alltid påslagna.

Vi antar att denna organisation av åtkomst till USB-enheter säkerställer att de används på ett säkert sätt:

  • från regionkontor (villkorligt NET nr 1...... NET nr N),
  • för ett begränsat antal datorer och bärbara datorer som ansluter USB-enheter via det globala nätverket,
  • för användare publicerade på terminalapplikationsservrar.

I kommentarerna skulle jag vilja höra specifika praktiska åtgärder som ökar informationssäkerheten för att tillhandahålla global åtkomst till USB-enheter.

Källa: will.com

Lägg en kommentar