最近分享 在我们的组织中。 该评论提出了USB over IP硬件解决方案的严重信息安全问题,这让我们非常担忧。
因此,首先,让我们确定初始条件。
- 大量电子安全密钥。
- 需要从不同的地理位置访问它们。
- 我们仅考虑 USB over IP 硬件解决方案,并尝试通过采取额外的组织和技术措施来确保该解决方案的安全(我们尚未考虑替代方案的问题)。
- 在本文的范围内,我不会完整描述我们正在考虑的威胁模型(您可以在 ),但我将简要关注两点。 我们从模型中排除了社会工程和用户本身的非法行为。 我们正在考虑在没有常规凭据的情况下从任何网络未经授权访问 USB 设备的可能性。
为确保USB设备访问的安全,采取了组织和技术措施:
1.组织安全措施。
托管 USB over IP 集线器安装在高质量的可上锁服务器机柜中。 物理访问得到简化(场所本身的访问控制系统、视频监控、钥匙和严格限制人数的访问权限)。
组织中使用的所有 USB 设备分为 3 组:
- 批判的。 金融数字签名 – 根据银行的建议使用(不通过 USB over IP)
- 重要的。 交易平台、服务、电子文档流程、报告等的电子数字签名以及软件的许多密钥 - 使用托管 USB over IP 集线器进行使用。
- 并不重要。 许多软件密钥、摄像头、许多闪存驱动器和包含非关键信息的磁盘、USB 调制解调器 - 均通过托管 USB over IP 集线器来使用。
2、技术安全措施。
仅在隔离子网内提供对托管 USB over IP 集线器的网络访问。 提供对隔离子网的访问:
- 从终端服务器场,
- 通过 VPN(证书和密码)连接到有限数量的计算机和笔记本电脑,通过 VPN 向它们颁发永久地址,
- 通过连接区域办事处的 VPN 隧道。
在托管 USB over IP 集线器 DistKontrolUSB 上,使用其标准工具配置以下功能:
- 要访问 USB over IP 集线器上的 USB 设备,需要使用加密(在集线器上启用 SSL 加密),尽管这可能是不必要的。
- 配置“通过IP地址限制对USB设备的访问”。 根据 IP 地址,用户是否有权访问指定的 USB 设备。
- 配置“通过登录名和密码限制对 USB 端口的访问”。 因此,用户被分配了对 USB 设备的访问权限。
- 决定不使用“通过登录名和密码限制对 USB 设备的访问”,因为所有 USB 密钥都永久连接到 USB over IP 集线器,并且无法在端口之间移动。 对于我们来说,为用户提供对长期安装有USB设备的USB端口的访问是更有意义的。
- 以物理方式打开和关闭 USB 端口:
- 对于软件和电子文档密钥 - 使用任务调度程序和中心分配的任务(许多密钥被编程为在 9.00 点打开并在 18.00 点关闭,数字从 13.00 点到 16.00 点);
- 交易平台和一些软件的密钥 - 由授权用户通过 WEB 界面获取;
- 相机、一些闪存驱动器和包含非关键信息的磁盘始终处于打开状态。
我们假设这种对 USB 设备的访问组织确保了它们的安全使用:
- 来自区域办事处(有条件的是 NET No. 1......NET No. N),
- 对于通过全球网络连接 USB 设备的有限数量的计算机和笔记本电脑,
- 对于在终端应用程序服务器上发布的用户。
在评论中,我希望听到具体的实际措施,以提高提供对 USB 设备的全球访问的信息安全性。
来源: habr.com