Так это - ЗППП!

А то, что там в большинстве случаев локальная сеть с открытой архитектурой - никого не пугает? Или "флешка" стррррррашнее )))

Ни дисководов, ни гнезд для флешек или других носителей на корпусе быть не должно, только внутри конструктива, под пломбой...

"ЗППП" это было двадцать и более лет назад, сейчас МАКСИМУМ УЖАСНОГО - "косяки" с ОС, всё!

Повреждение ОС. Всплывающие окошки из серии кинуть бабки на номер телефона. Банально даже запуск какого-нить файла с загрузкой проца и оперативки на 100%. Потом появляются "виснущие компы". Плюс по сети передается между основным и резервным армом.

Знаете, это всё равно, что повесить амбарный замОк на калитку при отсутствующем заборе... .

Ну да - а потом целые страны без электричества остаются...

А я что сказал:
tyubik добавил 10.09.2019 в 17:15
Избирательная боязнь, однако )))

Ну как сказать. Чтобы попасть в эту архитектуру это нужно как-то подключиться. Хотя-бы к какому-нибудь свичу в сетке. А свичи обычно в сетевых шкафах под замком, и чужие туда не зайдут. А тут свой человек, ничего не подозревая, тыкаю свою флешку.

Трезвый путеец добавил 10.09.2019 в 17:21
Ну под пломбой - это наверное перебор. Хотя корпус скорее всего опечатывается бумажкой с датой проверки (как пропылесосили). А так да, дисководов априори нет. Лишние usb порты отключаются. Остаются только на клавиатуру+мышь.

Предлагаю следующие виды защиты на компах (отключение флешек не рассматриваю, это всё уже давно внедрено):
1. Отключить клавиатуру. Вдруг пользователь вручную вирус набьёт.
2. Отключить мышку, так как при отсутствии клавиатуры текст можно всё равно откуда-нибудь побуквенно копировать и вставлять. Правда, это долго, но настоящего злоумышленника это не остановит.
3. Отключить монитор. Иначе можно на телефон переснять (или просто запомнить, а потом по памяти воспроизвести) информацию, составляющую коммерческую тайну ОАО РЖД.
4. Отключить ОЗУ. На всякий случай. Говорят, при отсутствии ОЗУ ни один вирус не запустится.
5. Отключить винчестер. Тоже на всякий случай, чтобы не смог сохраниться и/или испортить важную информацию какой-нибудь перспективный вирус, умеющий запускаться без ОЗУ.
6. Процессор отключить. Вдруг создадут в будущем вирус, работающий без винчестера и ОЗУ.
7. Отключить сеть. Ну это всем понятно для чего.
8. Отключить электросеть. По ней тоже может передаваться информация, в том числе и вредная.

Что быстрее: воткнуть "флешку" в АРМ или patching cord от АРМ в любой "планшетник" или notebook? )))

Эту задачу следует решать поэтапно.
Коллега Тюбик предлагает для начала избавиться от центрального процессора...

Кстати - да!

А знаете что такое сеть 1,2 уровня? Это я к тому что нужно знать какая конкретная сеть нужна. Про блокировку по mac-адресу слышали?

И дело не в том чтобы прийти и воткнуть пачкорд от арма в свой ноут. Это как минимум тяжело, вплане "физически". Тут надо пройти строгий фейс-контроль в виде ДСП. А вот флешку воткнуть куда проще, особенно если это делает сам ШН.

Детский сад. Кому ваши СЦБ нужны, кроме разработчика, возиться ещё... .