แชร์ล่าสุด ในองค์กรของเรา ความคิดเห็นดังกล่าวทำให้เกิดปัญหาร้ายแรงด้านความปลอดภัยของข้อมูลของโซลูชันฮาร์ดแวร์ USB over IP ซึ่งทำให้เรากังวลอย่างมาก
ก่อนอื่น เรามาตัดสินใจเกี่ยวกับเงื่อนไขเริ่มต้นกันก่อน
- กุญแจรักษาความปลอดภัยอิเล็กทรอนิกส์จำนวนมาก
- จำเป็นต้องเข้าถึงได้จากที่ตั้งทางภูมิศาสตร์ที่แตกต่างกัน
- เรากำลังพิจารณาเฉพาะโซลูชันฮาร์ดแวร์ USB over IP และกำลังพยายามรักษาความปลอดภัยโซลูชันนี้โดยใช้มาตรการเชิงองค์กรและทางเทคนิคเพิ่มเติม (เรายังไม่ได้พิจารณาปัญหาของทางเลือกอื่น)
- ภายในขอบเขตของบทความนี้ ฉันจะไม่อธิบายโมเดลภัยคุกคามที่เรากำลังพิจารณาอย่างครบถ้วน (คุณสามารถดูได้มากในนั้น) ) แต่ผมจะเน้นไปที่สองประเด็นสั้นๆ เราไม่รวมวิศวกรรมสังคมและการกระทำที่ผิดกฎหมายของผู้ใช้เองจากแบบจำลอง เรากำลังพิจารณาความเป็นไปได้ในการเข้าถึงอุปกรณ์ USB โดยไม่ได้รับอนุญาตจากเครือข่ายใดๆ โดยไม่มีข้อมูลประจำตัวปกติ
เพื่อความปลอดภัยในการเข้าถึงอุปกรณ์ USB จึงได้ดำเนินมาตรการเชิงองค์กรและทางเทคนิค:
1. มาตรการรักษาความปลอดภัยขององค์กร
ฮับ USB over IP ที่ได้รับการจัดการได้รับการติดตั้งในตู้เซิร์ฟเวอร์คุณภาพสูงแบบล็อคได้ การเข้าถึงทางกายภาพมีความคล่องตัว (ระบบควบคุมการเข้าถึงสถานที่ กล้องวิดีโอวงจรปิด กุญแจ และสิทธิ์การเข้าถึงสำหรับบุคคลที่จำกัดจำนวนอย่างเคร่งครัด)
อุปกรณ์ USB ทั้งหมดที่ใช้ในองค์กรแบ่งออกเป็น 3 กลุ่ม:
- วิกฤต. ลายเซ็นดิจิทัลทางการเงิน – ใช้ตามคำแนะนำของธนาคาร (ไม่ใช่ผ่าน USB over IP)
- สำคัญ. ลายเซ็นดิจิทัลอิเล็กทรอนิกส์สำหรับแพลตฟอร์มการซื้อขาย บริการ โฟลว์เอกสารอิเล็กทรอนิกส์ การรายงาน ฯลฯ รวมถึงคีย์จำนวนหนึ่งสำหรับซอฟต์แวร์ - ถูกใช้โดยใช้ฮับ USB ผ่าน IP ที่มีการจัดการ
- ไม่สำคัญ. มีการใช้คีย์ซอฟต์แวร์ กล้อง แฟลชไดรฟ์จำนวนหนึ่ง และดิสก์ที่มีข้อมูลที่ไม่สำคัญ โมเด็ม USB จำนวนหนึ่งโดยใช้ฮับ USB ผ่าน IP ที่ได้รับการจัดการ
2. มาตรการความปลอดภัยทางเทคนิค
การเข้าถึงเครือข่ายไปยังฮับ USB over IP ที่มีการจัดการนั้นมีให้ภายในซับเน็ตที่แยกออกมาเท่านั้น ให้การเข้าถึงซับเน็ตแบบแยก:
- จากฟาร์มเทอร์มินัลเซิร์ฟเวอร์
- ผ่าน VPN (ใบรับรองและรหัสผ่าน) ไปยังคอมพิวเตอร์และแล็ปท็อปจำนวนจำกัด ผ่าน VPN พวกเขาจะได้รับที่อยู่ถาวร
- ผ่านอุโมงค์ VPN ที่เชื่อมต่อกับสำนักงานภูมิภาค
บนฮับ USB ผ่าน IP ที่ได้รับการจัดการ DistKontrolUSB โดยใช้เครื่องมือมาตรฐาน ฟังก์ชันต่อไปนี้จะได้รับการกำหนดค่า:
- ในการเข้าถึงอุปกรณ์ USB บนฮับ USB ผ่าน IP จะมีการใช้การเข้ารหัส (เปิดใช้งานการเข้ารหัส SSL บนฮับ) แม้ว่าอาจไม่จำเป็นก็ตาม
- “การจำกัดการเข้าถึงอุปกรณ์ USB ด้วยที่อยู่ IP” ได้รับการกำหนดค่าแล้ว ผู้ใช้จะได้รับหรือไม่สามารถเข้าถึงอุปกรณ์ USB ที่กำหนด ทั้งนี้ขึ้นอยู่กับที่อยู่ IP
- “จำกัดการเข้าถึงพอร์ต USB โดยการเข้าสู่ระบบและรหัสผ่าน” ได้รับการกำหนดค่า ดังนั้นผู้ใช้จะได้รับสิทธิ์การเข้าถึงอุปกรณ์ USB
- “การจำกัดการเข้าถึงอุปกรณ์ USB โดยการเข้าสู่ระบบและรหัสผ่าน” ถูกตัดสินใจว่าจะไม่ใช้เพราะ คีย์ USB ทั้งหมดเชื่อมต่อกับฮับ USB ผ่าน IP อย่างถาวร และไม่สามารถย้ายจากพอร์ตหนึ่งไปอีกพอร์ตหนึ่งได้ เป็นเรื่องสมเหตุสมผลมากกว่าสำหรับเราที่จะให้ผู้ใช้สามารถเข้าถึงพอร์ต USB ที่ติดตั้งอุปกรณ์ USB ไว้เป็นเวลานาน
- ดำเนินการเปิดและปิดพอร์ต USB ทางกายภาพ:
- สำหรับซอฟต์แวร์และคีย์เอกสารอิเล็กทรอนิกส์ - โดยใช้ตัวกำหนดเวลางานและงานที่ได้รับมอบหมายของฮับ (ตั้งโปรแกรมคีย์จำนวนหนึ่งให้เปิดเวลา 9.00 น. และปิดเวลา 18.00 น. ตัวเลขตั้งแต่ 13.00 น. ถึง 16.00 น.)
- สำหรับกุญแจสู่แพลตฟอร์มการซื้อขายและซอฟต์แวร์จำนวนหนึ่ง - โดยผู้ใช้ที่ได้รับอนุญาตผ่านทางอินเทอร์เฟซเว็บ
- กล้อง แฟลชไดรฟ์ และดิสก์จำนวนหนึ่งที่มีข้อมูลที่ไม่สำคัญจะถูกเปิดอยู่เสมอ
เราถือว่าองค์กรในการเข้าถึงอุปกรณ์ USB นี้ช่วยให้มั่นใจได้ถึงการใช้งานอย่างปลอดภัย:
- จากสำนักงานภูมิภาค (ตามเงื่อนไข NET หมายเลข 1...... NET หมายเลข N)
- สำหรับคอมพิวเตอร์และแล็ปท็อปจำนวนจำกัดที่เชื่อมต่ออุปกรณ์ USB ผ่านเครือข่ายทั่วโลก
- สำหรับผู้ใช้ที่เผยแพร่บนเซิร์ฟเวอร์แอปพลิเคชันเทอร์มินัล
ในความคิดเห็น ฉันต้องการทราบมาตรการเชิงปฏิบัติเฉพาะที่เพิ่มความปลอดภัยของข้อมูลในการให้การเข้าถึงอุปกรณ์ USB ทั่วโลก
ที่มา: will.com