👩🏿‍✈️ 🚄 ⁉️ حلول أجهزة أمن المعلومات USB عبر بروتوكول الإنترنت 🤜🏾 🔞 🎮

لقد شاركت مؤخرًا تجربتي في إيجاد حل لتنظيم الوصول المركزي إلى مفاتيح الأمان الإلكترونية في مؤسستنا. في التعليقات ، تم طرح سؤال جاد حول أمان معلومات USB عبر حلول أجهزة IP ، والتي نشعر بقلق شديد إزاءها.

لذلك ، أولاً ، ما زلنا نقرر الشروط الأولية.

عدد كبير من مفاتيح الأمن الإلكترونية.
الوصول إليها ضروري من مختلف المواقع الجغرافية.
نحن نعتبر فقط حلول USB عبر أجهزة IP ونحاول تأمين هذا الحل من خلال اتخاذ تدابير تنظيمية وفنية إضافية (لا ندرس مسألة البدائل حتى الآن).
في إطار المقال ، لن أصف بشكل كامل نماذج التهديد التي ندرسها (يمكن العثور على الكثير في المنشور ) ، لكنني سأتناول نقطتين. نستبعد من نموذج الهندسة الاجتماعية والإجراءات غير القانونية للمستخدمين أنفسهم. نحن نفكر في إمكانية الوصول غير المصرح به إلى أجهزة USB من أي من الشبكات دون الحصول على بيانات اعتماد منتظمة.

لضمان أمن الوصول إلى أجهزة USB ، اتخذت التدابير التنظيمية والفنية:

1. التدابير الأمنية التنظيمية.

يتم تثبيت لوحة وصل USB عبر بروتوكول الإنترنت الذي يتم التحكم فيه بواسطة IP في خزانة خادم يتم تأمينها بمفاتيح عالية الجودة. يتم تسهيل الوصول المادي إليها (ACS في الغرفة نفسها ، ومراقبة بالفيديو ، ومفاتيح وحقوق الوصول لدائرة محدودة للغاية من الناس).

تنقسم جميع أجهزة USB المستخدمة في المؤسسة إلى 3 مجموعات:

حرجة. البيانات المالية - تستخدم وفقًا لتوصيات البنوك (وليس عبر USB عبر IP)
المهم منها. تستخدم EDS للأرضيات التجارية ، والخدمات ، و EDI ، وإعداد التقارير ، وما إلى ذلك ، وعدد من مفاتيح البرنامج - باستخدام USB متحكم به عبر محور IP.
ليست حرجة. يستخدم عدد من مفاتيح البرامج ، وكاميرا ، وعدد من محركات الأقراص المحمولة والأقراص المزودة بمعلومات غير مهمة ، وتستخدم أجهزة مودم USB باستخدام USB عبر محور يمكن التحكم فيه بواسطة IP.

2. تدابير السلامة الفنية.

يتم توفير الوصول إلى الشبكة إلى USB تتم إدارته عبر محور IP فقط داخل شبكة فرعية معزولة. يتم توفير الوصول إلى شبكة فرعية معزولة:

من مزرعة الخوادم الطرفية ،
VPN (الشهادة وكلمة المرور) لعدد محدود من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة ؛ تمنحهم شبكات VPN عناوين دائمة ،
أنفاق VPN تربط المكاتب الإقليمية.

يتم تكوين الوظائف التالية على DistKontrolUSB USB الأكثر إدارتها عبر محور IP باستخدام أدواته القياسية:

يستخدم التشفير للوصول إلى أجهزة USB على USB عبر محور IP (يتم تمكين تشفير SSL على المحور) ، على الرغم من أن هذا قد يكون غير ضروري بالفعل.
تكوين "تقييد الوصول إلى أجهزة USB عن طريق عنوان IP." اعتمادًا على عنوان IP ، يتم منح المستخدم أو عدم الوصول إلى أجهزة USB المخصصة.
تكوين "تقييد الوصول إلى منفذ USB عن طريق تسجيل الدخول وكلمة المرور." وفقًا لذلك ، يتم منح المستخدمين حقوق الوصول إلى أجهزة USB.
"تقييد الوصول إلى جهاز USB عن طريق تسجيل الدخول وكلمة المرور" قررت عدم استخدام ، لأنه جميع مفاتيح USB متصلة بشكل دائم بـ USB عبر لوحة الوصل IP ولا تتم إعادة ترتيبها من منفذ لآخر. بالنسبة لنا ، من المنطقي أكثر تزويد المستخدمين بوصول إلى منفذ USB بجهاز USB مثبت فيه لفترة طويلة.
يتم تشغيل وإيقاف تشغيل منافذ USB فعليًا:
- بالنسبة لمفاتيح البرامج و EDI - بمساعدة برنامج جدولة المهام والمهام المعينة للمركز (تم برمجة عدد من المفاتيح ليتم تشغيلها في الساعة 9.00 وإغلاقها في الساعة 18.00 ، صف من الساعة 13.00 إلى الساعة 16.00) ؛
- لمفاتيح الطوابق التجارية وعدد من البرامج - من قبل المستخدمين المصرح لهم من خلال واجهة WEB ؛
- يتم تضمين دائمًا الكاميرات وعدد من محركات الأقراص المحمولة والأقراص المزودة بمعلومات غير مهمة.

نحن نفترض أن هذا التنظيم للوصول إلى أجهزة USB يضمن استخدامها الآمن:

من المكاتب الإقليمية (رقم NET المشروط 1 ....... NET رقم N) ،
لعدد محدود من أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة التي تربط أجهزة USB عبر الشبكة العالمية ،
للمستخدمين المنشورة على خوادم التطبيقات الطرفية.

في التعليقات ، أود أن أسمع تدابير عملية محددة تزيد من أمن المعلومات لتوفير وصول عالمي إلى أجهزة USB.

حلول أجهزة أمن المعلومات USB عبر بروتوكول الإنترنت

More articles: