最近分享 在我們的組織中。 該評論提出了USB over IP硬體解決方案的嚴重資訊安全問題,這讓我們非常擔憂。
因此,首先,讓我們確定初始條件。
- 大量電子安全金鑰。
- 需要從不同的地理位置存取它們。
- 我們僅考慮 USB over IP 硬體解決方案,並嘗試透過採取額外的組織和技術措施來確保該解決方案的安全(我們尚未考慮替代方案的問題)。
- 在本文的範圍內,我不會完整描述我們正在考慮的威脅模型(您可以在 ),但我將簡要地關注兩點。 我們從模型中排除了社會工程和使用者本身的非法行為。 我們正在考慮在沒有常規憑證的情況下從任何網路未經授權存取 USB 裝置的可能性。
為確保USB設備存取的安全,採取了組織和技術措施:
1.組織安全措施。
託管 USB over IP 集線器安裝在高品質的可上鎖伺服器機櫃中。 實體存取得到簡化(場所本身的門禁系統、視訊監控、鑰匙和嚴格限制人數的存取權限)。
組織中使用的所有 USB 裝置分為 3 組:
- 批判的。 金融數位簽章 – 根據銀行的建議使用(不透過 USB over IP)
- 重要的。 交易平台、服務、電子文件流程、報告等的電子數位簽章以及軟體的許多金鑰 - 使用託管 USB over IP 集線器進行使用。
- 並不重要。 許多軟體金鑰、相機、許多快閃磁碟機和包含非關鍵資訊的磁碟、USB 數據機 - 均透過託管 USB over IP 集線器來使用。
2、技術安全措施。
僅在隔離子網路內提供託管 USB over IP 集線器的網路存取。 提供隔離子網路的存取:
- 從終端伺服器場,
- 透過 VPN(憑證和密碼)連接到有限數量的電腦和筆記型電腦,透過 VPN 向它們頒發永久位址,
- 透過連接區域辦事處的 VPN 隧道。
在託管 USB over IP 集線器 DistKontrolUSB 上,使用其標準工具配置以下功能:
- 要存取 USB over IP 集線器上的 USB 設備,需要使用加密(在集線器上啟用 SSL 加密),儘管這可能是不必要的。
- 設定「透過IP位址限制對USB設備的存取」。 根據 IP 位址,使用者是否有權存取指定的 USB 裝置。
- 設定「透過登入名稱和密碼限制對 USB 連接埠的存取」。 因此,使用者被分配了對 USB 裝置的存取權限。
- 決定不使用“透過登入名稱和密碼限制對 USB 裝置的存取”,因為所有 USB 金鑰都永久連接到 USB over IP 集線器,並且無法在連接埠之間移動。 對我們來說,為使用者提供對長期安裝有USB設備的USB連接埠的存取是更有意義的。
- 以實體方式開啟和關閉 USB 連接埠:
- 對於軟體和 EDM 按鍵 - 使用任務調度程序和中心分配的任務(許多按鍵被編程為在 9.00 點打開並在 18.00 點關閉,數字從 13.00 點到 16.00 點);
- 交易平台和一些軟體的金鑰 - 由授權使用者透過 WEB 介面取得;
- 相機、一些快閃磁碟機和包含非關鍵資訊的磁碟始終處於開啟狀態。
我們假設這種對 USB 裝置的存取組織確保了它們的安全使用:
- 來自區域辦事處(有條件的是 NET No. 1......NET No. N),
- 對於透過全球網路連接 USB 裝置的有限數量的電腦和筆記型電腦,
- 對於在終端應用程式伺服器上發布的使用者。
在評論中,我希望聽到具體的實際措施,以提高提供對 USB 設備的全球訪問的資訊安全性。
來源: www.habr.com