ProHoster > Blog > Ma'muriyat > IP orqali USB-ning axborot xavfsizligi

IP orqali USB-ning axborot xavfsizligi

Yaqinda ulashilgan elektron xavfsizlik kalitlariga markazlashtirilgan kirishni tashkil etish yechimini topish tajribasi tashkilotimizda. Sharhlar bizni juda xavotirga soladigan IP-apparat yechimlari orqali USB-ning axborot xavfsizligi bo'yicha jiddiy muammoni ko'tardi.

Shunday qilib, birinchi navbatda, dastlabki shartlar haqida qaror qabul qilaylik.

  • Ko'p sonli elektron xavfsizlik kalitlari.
  • Ularga turli geografik joylardan kirish kerak.
  • Biz faqat USB orqali IP-apparat echimlarini ko'rib chiqmoqdamiz va qo'shimcha tashkiliy va texnik choralarni ko'rish orqali ushbu yechimni himoya qilishga harakat qilmoqdamiz (biz hali alternativalar masalasini ko'rib chiqmayapmiz).
  • Ushbu maqola doirasida men biz ko'rib chiqayotgan tahdid modellarini to'liq tasvirlamayman (siz ko'p narsalarni ko'rishingiz mumkin. adabiyotlar), lekin men ikkita nuqtaga qisqacha e'tibor qarataman. Biz ijtimoiy muhandislik va foydalanuvchilarning noqonuniy xatti-harakatlarini modeldan istisno qilamiz. Biz har qanday tarmoqdan USB qurilmalariga doimiy hisob ma'lumotlarisiz ruxsatsiz kirish imkoniyatini ko'rib chiqmoqdamiz.

IP orqali USB-ning axborot xavfsizligi

USB qurilmalariga kirish xavfsizligini ta'minlash uchun tashkiliy va texnik choralar ko'rildi:

1. Tashkiliy xavfsizlik choralari.

Boshqariladigan USB orqali IP hub yuqori sifatli qulflanadigan server kabinetiga o'rnatilgan. Unga jismoniy kirish soddalashtirilgan (binoning o'ziga kirishni boshqarish tizimi, videokuzatuv, kalitlar va cheklangan miqdordagi shaxslar uchun kirish huquqlari).

Tashkilotda ishlatiladigan barcha USB qurilmalari 3 guruhga bo'lingan:

  • Tanqidiy. Moliyaviy raqamli imzolar - banklarning tavsiyalariga muvofiq foydalaniladi (IP orqali USB orqali emas)
  • Muhim. Savdo maydonchalari, xizmatlar, elektron hujjat aylanishi, hisobotlar va boshqalar uchun elektron raqamli imzolar, dasturiy ta'minot uchun bir qator kalitlar - boshqariladigan USB orqali IP hub yordamida qo'llaniladi.
  • Tanqidiy emas. Bir qator dasturiy kalitlar, kameralar, muhim bo'lmagan ma'lumotlarga ega bo'lgan bir qator flesh-disklar va disklar, USB-modemlar - boshqariladigan USB orqali IP hub yordamida ishlatiladi.

2. Texnik xavfsizlik choralari.

IP hub orqali boshqariladigan USB ga tarmoqqa kirish faqat ajratilgan quyi tarmoq ichida taqdim etiladi. Izolyatsiya qilingan quyi tarmoqqa kirish ta'minlanadi:

  • terminal server fermasidan,
  • VPN (sertifikat va parol) orqali cheklangan miqdordagi kompyuterlar va noutbuklarga, VPN orqali ularga doimiy manzillar beriladi,
  • mintaqaviy ofislarni bog'laydigan VPN tunnellari orqali.

DistKontrolUSB IP orqali boshqariladigan USB-da, uning standart vositalaridan foydalangan holda, quyidagi funktsiyalar sozlangan:

  • USB qurilmalariga IP orqali USB orqali kirish uchun shifrlash qo'llaniladi (uyda SSL shifrlash yoqilgan), lekin bu keraksiz bo'lishi mumkin.
  • "IP-manzil bo'yicha USB qurilmalariga kirishni cheklash" sozlangan. IP-manzilga qarab, foydalanuvchiga tayinlangan USB qurilmalariga ruxsat beriladi yoki ruxsat berilmaydi.
  • "Login va parol orqali USB portiga kirishni cheklash" sozlangan. Shunga ko'ra, foydalanuvchilarga USB qurilmalariga kirish huquqi beriladi.
  • "Login va parol bilan USB qurilmasiga kirishni cheklash" dan foydalanmaslikka qaror qilindi, chunki Barcha USB kalitlari doimiy ravishda USB orqali IP hubga ulanadi va ularni portdan portga ko'chirib bo'lmaydi. Biz foydalanuvchilarga uzoq vaqt davomida USB qurilmasi o'rnatilgan USB portiga kirishni ta'minlashimiz mantiqiyroq.
  • USB portlarini jismoniy yoqish va o'chirish amalga oshiriladi:
    • Dasturiy ta'minot va elektron hujjat kalitlari uchun - vazifalarni rejalashtiruvchi va markazning tayinlangan vazifalaridan foydalanish (bir qator kalitlar soat 9.00 da yoqish va 18.00 da o'chirish uchun dasturlashtirilgan, raqam 13.00 dan 16.00 gacha);
    • Savdo maydonchalari va bir qator dasturiy ta'minot kalitlari uchun - WEB interfeysi orqali vakolatli foydalanuvchilar tomonidan;
    • Kameralar, bir qator flesh-disklar va muhim bo'lmagan ma'lumotlarga ega disklar doimo yoqilgan.

USB qurilmalariga kirishning ushbu tashkil etilishi ulardan xavfsiz foydalanishni ta'minlaydi deb o'ylaymiz:

  • hududiy idoralardan (shartli ravishda NET No 1...... NET No N),
  • USB qurilmalarini global tarmoq orqali ulaydigan cheklangan miqdordagi kompyuterlar va noutbuklar uchun,
  • terminal dastur serverlarida chop etilgan foydalanuvchilar uchun.

Sharhlarda men USB qurilmalariga global kirishni ta'minlashning axborot xavfsizligini oshiradigan aniq amaliy choralarni eshitishni istardim.

Manba: www.habr.com

a Izoh qo'shish