Så låt oss först bestämma de ursprungliga villkoren.
Ett stort antal elektroniska säkerhetsnycklar.
De måste nås från olika geografiska platser.
Vi överväger endast USB över IP-hårdvarulösningar och försöker säkra denna lösning genom att vidta ytterligare organisatoriska och tekniska åtgärder (vi överväger inte frågan om alternativ ännu).
Inom ramen för denna artikel kommer jag inte att fullständigt beskriva de hotmodeller vi överväger (du kan se mycket i Publikation), men jag kommer kort att fokusera på två punkter. Vi utesluter social ingenjörskonst och olagliga handlingar från användarna själva från modellen. Vi överväger möjligheten för obehörig åtkomst till USB-enheter från vilket nätverk som helst utan regelbundna referenser.
För att säkerställa säkerheten för åtkomst till USB-enheter har organisatoriska och tekniska åtgärder vidtagits:
1. Organisatoriska säkerhetsåtgärder.
Den hanterade USB över IP-hubben är installerad i ett högkvalitativt låsbart serverskåp. Den fysiska tillgången till den är effektiviserad (tillträdeskontrollsystem till själva lokalen, videoövervakning, nycklar och åtkomsträttigheter för ett strikt begränsat antal personer).
Alla USB-enheter som används i organisationen är indelade i tre grupper:
Kritisk. Finansiella digitala signaturer – används i enlighet med bankernas rekommendationer (inte via USB över IP)
Viktig. Elektroniska digitala signaturer för handelsplattformar, tjänster, e-dokumentflöde, rapportering etc., ett antal nycklar för mjukvara – används med hjälp av en hanterad USB över IP-hubb.
Inte kritiskt. Ett antal mjukvarunycklar, kameror, ett antal flashenheter och diskar med icke-kritisk information, USB-modem – används med en hanterad USB över IP-hubb.
2. Tekniska säkerhetsåtgärder.
Nätverksåtkomst till en hanterad USB över IP-hubb tillhandahålls endast inom ett isolerat undernät. Tillgång till ett isolerat subnät tillhandahålls:
från en terminalserverfarm,
via VPN (certifikat och lösenord) till ett begränsat antal datorer och bärbara datorer, via VPN får de permanenta adresser,
via VPN-tunnlar som förbinder regionkontor.
På den hanterade USB över IP-hubben DistKontrolUSB, med dess standardverktyg, är följande funktioner konfigurerade:
För att komma åt USB-enheter på en USB över IP-hubb används kryptering (SSL-kryptering är aktiverad på hubben), även om detta kan vara onödigt.
"Begränsa åtkomst till USB-enheter med IP-adress" är konfigurerat. Beroende på IP-adressen ges användaren eller inte åtkomst till tilldelade USB-enheter.
"Begränsa åtkomst till USB-porten med inloggning och lösenord" är konfigurerad. Följaktligen tilldelas användare åtkomsträttigheter till USB-enheter.
"Begränsa åtkomst till en USB-enhet genom inloggning och lösenord" beslutades att inte användas, eftersom Alla USB-nycklar är permanent anslutna till USB over IP-hubben och kan inte flyttas från port till port. Det är mer meningsfullt för oss att ge användare tillgång till en USB-port med en USB-enhet installerad i den under lång tid.
Att fysiskt slå på och av USB-portar utförs:
För mjukvara och elektroniska dokumentnycklar - med hjälp av uppgiftsschemaläggaren och tilldelade uppgifter för navet (ett antal nycklar programmerades att slås på kl. 9.00 och stängas av kl. 18.00, ett nummer från kl. 13.00 till 16.00);
För nycklar till handelsplattformar och ett antal mjukvara - av auktoriserade användare via WEB-gränssnittet;
Kameror, ett antal flashenheter och diskar med icke-kritisk information är alltid påslagna.
Vi antar att denna organisation av åtkomst till USB-enheter säkerställer att de används på ett säkert sätt:
från regionkontor (villkorligt NET nr 1...... NET nr N),
för ett begränsat antal datorer och bärbara datorer som ansluter USB-enheter via det globala nätverket,
för användare publicerade på terminalapplikationsservrar.
I kommentarerna skulle jag vilja höra specifika praktiska åtgärder som ökar informationssäkerheten för att tillhandahålla global åtkomst till USB-enheter.