ProHoster > Blog > Pangangasiwa > Seguridad ng impormasyon ng USB over IP na mga solusyon sa hardware

Seguridad ng impormasyon ng USB over IP na mga solusyon sa hardware

Ibinahagi kamakailan karanasan sa paghahanap ng solusyon para sa pag-aayos ng sentralisadong pag-access sa mga electronic security key sa ating organisasyon. Ang mga komento ay nagtaas ng isang seryosong isyu ng seguridad ng impormasyon ng USB sa mga solusyon sa IP hardware, na labis na nag-aalala sa amin.

Kaya, una, magpasya tayo sa mga paunang kondisyon.

  • Isang malaking bilang ng mga electronic security key.
  • Kailangang ma-access ang mga ito mula sa iba't ibang heograpikal na lokasyon.
  • Isinasaalang-alang lamang namin ang USB over IP na mga solusyon sa hardware at sinusubukan naming i-secure ang solusyon na ito sa pamamagitan ng pagsasagawa ng mga karagdagang pang-organisasyon at teknikal na hakbang (hindi pa namin isinasaalang-alang ang isyu ng mga alternatibo).
  • Sa loob ng saklaw ng artikulong ito, hindi ko lubos na ilalarawan ang mga modelo ng pagbabanta na aming isinasaalang-alang (marami kang makikita sa Publikasyon), ngunit sandali akong magtutuon ng pansin sa dalawang punto. Ibinubukod namin ang social engineering at mga ilegal na pagkilos ng mga user mismo sa modelo. Isinasaalang-alang namin ang posibilidad ng hindi awtorisadong pag-access sa mga USB device mula sa anumang network nang walang regular na mga kredensyal.

Seguridad ng impormasyon ng USB over IP na mga solusyon sa hardware

Upang matiyak ang seguridad ng pag-access sa mga USB device, isinagawa ang mga pang-organisasyon at teknikal na hakbang:

1. Mga hakbang sa seguridad ng organisasyon.

Ang pinamamahalaang USB over IP hub ay naka-install sa isang de-kalidad na lockable server cabinet. Ang pisikal na pag-access dito ay pinasimple (sistema ng kontrol sa pag-access sa mismong lugar, pagsubaybay sa video, mga susi at mga karapatan sa pag-access para sa isang mahigpit na limitadong bilang ng mga tao).

Ang lahat ng USB device na ginagamit sa organisasyon ay nahahati sa 3 pangkat:

  • Mapanganib. Mga digital signature sa pananalapi – ginagamit alinsunod sa mga rekomendasyon ng mga bangko (hindi sa pamamagitan ng USB over IP)
  • Mahalaga. Ang mga elektronikong digital na lagda para sa mga platform ng pangangalakal, mga serbisyo, daloy ng e-dokumento, pag-uulat, atbp., isang bilang ng mga susi para sa software - ay ginagamit gamit ang isang pinamamahalaang USB sa IP hub.
  • Hindi kritikal. Ilang software key, camera, ilang flash drive at disk na may hindi kritikal na impormasyon, USB modem - ay ginagamit gamit ang pinamamahalaang USB over IP hub.

2. Teknikal na mga hakbang sa kaligtasan.

Ang access sa network sa isang pinamamahalaang USB over IP hub ay ibinibigay lamang sa loob ng isang nakahiwalay na subnet. Ang access sa isang nakahiwalay na subnet ay ibinigay:

  • mula sa isang terminal server farm,
  • sa pamamagitan ng VPN (certificate at password) sa isang limitadong bilang ng mga computer at laptop, sa pamamagitan ng VPN ay binibigyan sila ng mga permanenteng address,
  • sa pamamagitan ng VPN tunnels na nagkokonekta sa mga panrehiyong opisina.

Sa pinamamahalaang USB over IP hub na DistKontrolUSB, gamit ang mga karaniwang tool nito, ang mga sumusunod na function ay na-configure:

  • Upang ma-access ang mga USB device sa isang USB over IP hub, ginagamit ang pag-encrypt (naka-enable ang SSL encryption sa hub), bagama't maaaring hindi ito kailangan.
  • Naka-configure ang "paghihigpit sa pag-access sa mga USB device sa pamamagitan ng IP address." Depende sa IP address, binibigyan o hindi ng access ang user sa mga nakatalagang USB device.
  • "Paghigpitan ang pag-access sa USB port sa pamamagitan ng pag-login at password" ay na-configure. Alinsunod dito, ang mga user ay itinalaga ng mga karapatan sa pag-access sa mga USB device.
  • "Ang paghihigpit sa pag-access sa isang USB device sa pamamagitan ng pag-login at password" ay nagpasya na huwag gamitin, dahil Ang lahat ng USB key ay permanenteng konektado sa USB over IP hub at hindi maaaring ilipat mula sa port patungo sa port. Mas makatuwiran para sa amin na bigyan ang mga user ng access sa isang USB port na may naka-install na USB device sa loob ng mahabang panahon.
  • Ang pisikal na pag-on at pag-off ng mga USB port ay isinasagawa:
    • Para sa mga susi ng software at electronic na dokumento - gamit ang scheduler ng gawain at mga nakatalagang gawain ng hub (isang bilang ng mga susi ang na-program upang i-on sa 9.00 at i-off sa 18.00, isang numero mula 13.00 hanggang 16.00);
    • Para sa mga susi sa mga platform ng pangangalakal at ilang software - ng mga awtorisadong gumagamit sa pamamagitan ng interface ng WEB;
    • Palaging naka-on ang mga camera, ilang flash drive at disk na may hindi kritikal na impormasyon.

Ipinapalagay namin na tinitiyak ng organisasyong ito ng pag-access sa mga USB device ang kanilang ligtas na paggamit:

  • mula sa mga panrehiyong tanggapan (may kondisyong NET No. 1...... NET No. N),
  • para sa limitadong bilang ng mga computer at laptop na kumokonekta sa mga USB device sa pamamagitan ng pandaigdigang network,
  • para sa mga user na nai-publish sa mga terminal application server.

Sa mga komento, gusto kong marinig ang mga partikular na praktikal na hakbang na nagpapataas ng seguridad ng impormasyon sa pagbibigay ng pandaigdigang pag-access sa mga USB device.

Pinagmulan: www.habr.com

Magdagdag ng komento