เรากำลังพิจารณาเฉพาะโซลูชันฮาร์ดแวร์ USB over IP และกำลังพยายามรักษาความปลอดภัยโซลูชันนี้โดยใช้มาตรการเชิงองค์กรและทางเทคนิคเพิ่มเติม (เรายังไม่ได้พิจารณาปัญหาของทางเลือกอื่น)
ภายในขอบเขตของบทความนี้ ฉันจะไม่อธิบายโมเดลภัยคุกคามที่เรากำลังพิจารณาอย่างครบถ้วน (คุณสามารถดูได้มากในนั้น) สิ่งพิมพ์) แต่ผมจะเน้นไปที่สองประเด็นสั้นๆ เราไม่รวมวิศวกรรมสังคมและการกระทำที่ผิดกฎหมายของผู้ใช้เองจากแบบจำลอง เรากำลังพิจารณาความเป็นไปได้ในการเข้าถึงอุปกรณ์ USB โดยไม่ได้รับอนุญาตจากเครือข่ายใดๆ โดยไม่มีข้อมูลประจำตัวปกติ
เพื่อความปลอดภัยในการเข้าถึงอุปกรณ์ USB จึงได้ดำเนินมาตรการเชิงองค์กรและทางเทคนิค:
1. มาตรการรักษาความปลอดภัยขององค์กร
ฮับ USB over IP ที่ได้รับการจัดการได้รับการติดตั้งในตู้เซิร์ฟเวอร์คุณภาพสูงแบบล็อคได้ การเข้าถึงทางกายภาพมีความคล่องตัว (ระบบควบคุมการเข้าถึงสถานที่ กล้องวิดีโอวงจรปิด กุญแจ และสิทธิ์การเข้าถึงสำหรับบุคคลที่จำกัดจำนวนอย่างเคร่งครัด)
อุปกรณ์ USB ทั้งหมดที่ใช้ในองค์กรแบ่งออกเป็น 3 กลุ่ม:
วิกฤต. ลายเซ็นดิจิทัลทางการเงิน – ใช้ตามคำแนะนำของธนาคาร (ไม่ใช่ผ่าน USB over IP)
สำคัญ. ลายเซ็นดิจิทัลอิเล็กทรอนิกส์สำหรับแพลตฟอร์มการซื้อขาย บริการ โฟลว์เอกสารอิเล็กทรอนิกส์ การรายงาน ฯลฯ รวมถึงคีย์จำนวนหนึ่งสำหรับซอฟต์แวร์ - ถูกใช้โดยใช้ฮับ USB ผ่าน IP ที่มีการจัดการ
ไม่สำคัญ. มีการใช้คีย์ซอฟต์แวร์ กล้อง แฟลชไดรฟ์จำนวนหนึ่ง และดิสก์ที่มีข้อมูลที่ไม่สำคัญ โมเด็ม USB จำนวนหนึ่งโดยใช้ฮับ USB ผ่าน IP ที่ได้รับการจัดการ
2. มาตรการความปลอดภัยทางเทคนิค
การเข้าถึงเครือข่ายไปยังฮับ USB over IP ที่มีการจัดการนั้นมีให้ภายในซับเน็ตที่แยกออกมาเท่านั้น ให้การเข้าถึงซับเน็ตแบบแยก:
บนฮับ USB ผ่าน IP ที่ได้รับการจัดการ DistKontrolUSB โดยใช้เครื่องมือมาตรฐาน ฟังก์ชันต่อไปนี้จะได้รับการกำหนดค่า:
ในการเข้าถึงอุปกรณ์ USB บนฮับ USB ผ่าน IP จะมีการใช้การเข้ารหัส (เปิดใช้งานการเข้ารหัส SSL บนฮับ) แม้ว่าอาจไม่จำเป็นก็ตาม
“การจำกัดการเข้าถึงอุปกรณ์ USB ด้วยที่อยู่ IP” ได้รับการกำหนดค่าแล้ว ผู้ใช้จะได้รับหรือไม่สามารถเข้าถึงอุปกรณ์ USB ที่กำหนด ทั้งนี้ขึ้นอยู่กับที่อยู่ IP
“จำกัดการเข้าถึงพอร์ต USB โดยการเข้าสู่ระบบและรหัสผ่าน” ได้รับการกำหนดค่า ดังนั้นผู้ใช้จะได้รับสิทธิ์การเข้าถึงอุปกรณ์ USB
“การจำกัดการเข้าถึงอุปกรณ์ USB โดยการเข้าสู่ระบบและรหัสผ่าน” ถูกตัดสินใจว่าจะไม่ใช้เพราะ คีย์ USB ทั้งหมดเชื่อมต่อกับฮับ USB ผ่าน IP อย่างถาวร และไม่สามารถย้ายจากพอร์ตหนึ่งไปอีกพอร์ตหนึ่งได้ เป็นเรื่องสมเหตุสมผลมากกว่าสำหรับเราที่จะให้ผู้ใช้สามารถเข้าถึงพอร์ต USB ที่ติดตั้งอุปกรณ์ USB ไว้เป็นเวลานาน