Prohoster > Blog > quản lý > Giải pháp phần cứng USB over IP bảo mật thông tin

Giải pháp phần cứng USB over IP bảo mật thông tin

Được chia sẻ gần đây kinh nghiệm tìm giải pháp tổ chức truy cập tập trung vào khóa bảo mật điện tử trong tổ chức của chúng tôi. Các ý kiến ​​nêu ra một vấn đề nghiêm trọng về bảo mật thông tin của giải pháp phần cứng USB qua IP, khiến chúng tôi rất lo lắng.

Vì vậy, trước tiên, hãy quyết định các điều kiện ban đầu.

  • Một số lượng lớn các khóa bảo mật điện tử.
  • Họ cần được truy cập từ các vị trí địa lý khác nhau.
  • Chúng tôi chỉ xem xét các giải pháp phần cứng USB qua IP và đang cố gắng bảo đảm giải pháp này bằng cách thực hiện các biện pháp kỹ thuật và tổ chức bổ sung (chúng tôi chưa xem xét vấn đề thay thế).
  • Trong phạm vi bài viết này, tôi sẽ không mô tả đầy đủ các mô hình mối đe dọa mà chúng tôi đang xem xét (bạn có thể thấy rất nhiều trong ấn phẩm), nhưng tôi sẽ tập trung ngắn gọn vào hai điểm. Chúng tôi loại trừ kỹ nghệ xã hội và các hành động bất hợp pháp của chính người dùng khỏi mô hình. Chúng tôi đang xem xét khả năng truy cập trái phép vào các thiết bị USB từ bất kỳ mạng nào mà không có thông tin xác thực thông thường.

Giải pháp phần cứng USB over IP bảo mật thông tin

Để đảm bảo an toàn cho việc truy cập vào thiết bị USB, các biện pháp tổ chức và kỹ thuật đã được thực hiện:

1. Các biện pháp an ninh tổ chức.

Hub USB qua IP được quản lý được lắp đặt trong tủ máy chủ có thể khóa chất lượng cao. Việc truy cập vật lý vào nó được sắp xếp hợp lý (hệ thống kiểm soát truy cập vào chính cơ sở, giám sát video, chìa khóa và quyền truy cập cho một số lượng người bị hạn chế nghiêm ngặt).

Tất cả các thiết bị USB được sử dụng trong tổ chức được chia thành 3 nhóm:

  • Phê bình. Chữ ký số tài chính – sử dụng theo khuyến nghị của ngân hàng (không qua USB over IP)
  • Quan trọng. Chữ ký số điện tử cho nền tảng giao dịch, dịch vụ, luồng tài liệu điện tử, báo cáo, v.v., một số khóa cho phần mềm - được sử dụng bằng cách sử dụng trung tâm USB qua IP được quản lý.
  • Không quan trọng. Một số khóa phần mềm, máy ảnh, một số ổ đĩa flash và đĩa có thông tin không quan trọng, modem USB - được sử dụng bằng cách sử dụng trung tâm USB qua IP được quản lý.

2. Biện pháp an toàn kỹ thuật.

Quyền truy cập mạng vào trung tâm USB được quản lý qua IP chỉ được cung cấp trong mạng con bị cô lập. Quyền truy cập vào một mạng con bị cô lập được cung cấp:

  • từ một trang trại máy chủ đầu cuối,
  • thông qua VPN (chứng chỉ và mật khẩu) cho một số lượng máy tính và máy tính xách tay hạn chế, thông qua VPN, chúng được cấp địa chỉ thường trú,
  • thông qua các đường hầm VPN kết nối các văn phòng khu vực.

Trên trung tâm USB qua IP được quản lý DistKontrolUSB, sử dụng các công cụ tiêu chuẩn của nó, các chức năng sau được định cấu hình:

  • Để truy cập các thiết bị USB trên hub USB qua IP, mã hóa sẽ được sử dụng (mã hóa SSL được bật trên hub), mặc dù điều này có thể không cần thiết.
  • “Hạn chế quyền truy cập vào thiết bị USB theo địa chỉ IP” được định cấu hình. Tùy thuộc vào địa chỉ IP mà người dùng được cấp hoặc không được quyền truy cập vào các thiết bị USB được chỉ định.
  • “Hạn chế quyền truy cập vào cổng USB bằng thông tin đăng nhập và mật khẩu” được định cấu hình. Theo đó, người dùng được cấp quyền truy cập vào thiết bị USB.
  • “Hạn chế quyền truy cập vào thiết bị USB bằng thông tin đăng nhập và mật khẩu” đã được quyết định không sử dụng vì Tất cả các khóa USB được kết nối vĩnh viễn với USB qua trung tâm IP và không thể di chuyển từ cổng này sang cổng khác. Sẽ hợp lý hơn đối với chúng tôi khi cung cấp cho người dùng quyền truy cập vào cổng USB có thiết bị USB được cài đặt trong đó trong thời gian dài.
  • Việc bật tắt cổng USB vật lý được thực hiện:
    • Đối với khóa phần mềm, tài liệu điện tử - sử dụng bộ lập lịch tác vụ và nhiệm vụ được giao của trung tâm (một số phím được lập trình bật lúc 9.00 giờ và tắt lúc 18.00 giờ, một số từ 13.00 giờ đến 16.00 giờ);
    • Dành cho chìa khóa của nền tảng giao dịch và một số phần mềm - bởi người dùng được ủy quyền thông qua giao diện WEB;
    • Máy ảnh, một số ổ đĩa flash và đĩa có thông tin không quan trọng luôn được bật.

Chúng tôi cho rằng tổ chức truy cập vào thiết bị USB này đảm bảo việc sử dụng chúng an toàn:

  • từ các văn phòng khu vực (có điều kiện là NET số 1...... NET số N),
  • đối với một số lượng hạn chế máy tính và máy tính xách tay kết nối thiết bị USB qua mạng toàn cầu,
  • dành cho người dùng được xuất bản trên các máy chủ ứng dụng đầu cuối.

Trong phần bình luận, tôi muốn nghe các biện pháp thực tế cụ thể nhằm tăng cường bảo mật thông tin khi cung cấp quyền truy cập toàn cầu vào các thiết bị USB.

Nguồn: www.habr.com

Thêm một lời nhận xét