最近,我分享了我
在组织内部集中访问电子安全密钥的解决方案方面的经验 。 在评论中,我们对USB over IP硬件解决方案的信息安全性提出了一个严重的问题。
因此,首先,我们仍然要确定初始条件。
- 大量的电子安全密钥。
- 必须从各个地理位置访问它们。
- 我们仅考虑USB over IP硬件解决方案,并尝试通过采取其他组织和技术措施来确保此解决方案的安全(我们尚未考虑替代方案的问题)。
- 在本文的框架中,我不会完全描述我们正在考虑的威胁模型(可以在出版物中找到很多),但是我将重点阐述两点。 我们从模型中排除了用户自身的社会工程和违法行为。 我们正在考虑在没有常规凭据的情况下从任何网络未经授权访问USB设备的可能性。
为确保访问USB设备的安全性,已采取组织和技术措施:
1.组织安全措施。
服务器机柜上安装了USB over IP控制的集线器,该机柜可使用高质量的钥匙进行锁定。 简化了对其的物理访问(房间本身的ACS,视频监控,密钥和严格限制的人群的访问权限)。
组织中使用的所有USB设备有条件地分为3组:
- 关键 财务EDS-根据银行的建议使用(不通过IP上的USB)
- 重要的。 用于交易大厅,服务,EDI,报告等的EDS,许多软件密钥-通过可控制的USB over IP集线器使用。
- 不重要。 许多软件密钥,照相机,许多闪存驱动器和具有非关键信息的磁盘,USB调制解调器都通过IP over USB控制的集线器使用。
2.技术安全措施。
仅在隔离的子网中提供对通过IP集线器管理的USB的网络访问。 提供对隔离子网的访问:
- 从终端服务器场,
- 仅限数量有限的计算机和笔记本电脑使用VPN(证书和密码); VPN为其提供了永久地址,
- 连接区域办事处的VPN隧道。
使用其标准工具在DistKontrolUSB IP上受管最多的USB集线器上配置以下功能:
- 加密用于访问基于IP的USB集线器上的USB设备(在集线器上启用了SSL加密),尽管这可能已经多余。
- 配置为“通过IP地址限制对USB设备的访问”。 根据IP地址,是否允许用户访问分配的USB设备。
- 配置为“通过登录名和密码限制对USB端口的访问”。 因此,为用户分配了访问USB设备的权限。
- 决定不使用“通过登录名和密码限制对USB设备的访问”,因为 所有USB密钥都永久连接到IP over USB集线器,并且未在端口之间重新排列。 对于我们来说,更合理的做法是让用户长时间访问安装了USB设备的USB端口。
- 物理上打开和关闭USB端口:
- 对于软件和EDI的密钥-在任务计划程序和集中器分配的任务的帮助下(许多密钥被编程为从9.00打开,然后从18.00关闭,从13.00到16.00连续);
- 授权交易者通过WEB界面获取交易大厅的密钥和多种软件;
- 总是包括照相机,许多闪存驱动器和具有非关键信息的磁盘。
我们假设对USB设备的访问权限的这种组织确保了它们的安全使用:
- 来自区域办事处(有条件的NET 1号。。。NET N号),
- 对于通过全球网络连接USB设备的有限数量的计算机和笔记本电脑,
- 适用于在终端应用程序服务器上发布的用户。
在评论中,我想听听一些具体的实际措施,这些措施可提高提供对USB设备的全局访问的信息安全性。