8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Вы находитесь в разделе Типовых решений систем безопасности

Подсистема визуального оперативного контроля действий пользователей на защищаемых компьютерах



Система управления информационной безопасностью призвана решать ключевой вопрос построения сложной технической системы - вопрос комплексирования технических средств защиты (в общем случае разнородных и территориально распределенных). Важность решения данной задачи обусловливается тем, что при отсутствии централизации звена управления, в принципе не приходится говорить о системе защиты, как таковой, в этом случае можно говорить лишь о неком наборе технических средств защиты, установленных на соответствующие средства обработки информации.

Ключевое место в системе управления информационной безопасностью занимает подсистема оперативного (в реальном масштабе времени) контроля действий пользователей на защищаемых компьютерах в составе корпоративной сети предприятия, центральным звеном которой является подсистема оперативного сбора (на сервер безопасности – АРМ администратора безопасности) и обработки аудита событий – регистрируемых данных на защищаемых компьютерах механизмами защиты.

В данной работе мы рассмотрим возможности расширения функций подсистемы оперативного контроля действий пользователей, за счет реализации визуального оперативного контроля. Возможности данной подсистемы проиллюстрируем с использованием интерфейсных, реализованных разработке компании ЗАО НПП Информационные технологии в бизнесе: Система оперативного сбора и обработки аудита (ОСА) Панцирь для ОС Windows 2000/XP/2003, в ближайшее время данное решение будет внедрено в Комплексной системе защиты информации (КСЗИ) Панцирь-К для ОС Windows 2000/XP/2003 (сертификат ФСТЭК №1144 от 17.01.200 .

Задачи визуального оперативного контроля действий пользователей. Подходы к решению.

Для обработки информации на защищаемом объекте пользователю необходимо средство отображения – монитор. Экранная копия представляет собой моментальное отображение (снимок) действий пользователя на компьютере. Следовательно, контроль действий пользователей на защищаемых объектах корпоративной сети предприятия, как правило, возлагаемый на администратора безопасности, может осуществляться визуально, по средством сбора и обработки экранных копий (снимков).

Таким образом, основной задачей визуального оперативного контроля действий пользователей можно считать оперативный сбор (в реальном времени) на сервер безопасности (АРМ администратора безопасности) экранных копий (снимков) с защищаемых компьютеров в сети.

Если говорить о подходах к решению, то, в первую очередь, следует понимать, что основной проблемой реализации подобного контроля становится существенное возрастание загрузки связного ресурса, что в значительной мере может снизить пропускную способность канала связи корпоративной сети.

С учетом требований к минимизации нагрузки на сеть, предлагается следующая совокупность решений задачи:
  1. Периодический (синхронный) визуальный контроль. Данный контроль состоит в том, что для контролируемых рабочих станций устанавливается расписание получения экранных копий на сервер (например, 1 раз в минуту, в такие-то дни, в такое-то время). Экранные копии поступают на сервер безопасности в реальном времени. Данный способ может использоваться для общего контроля действий пользователей на защищаемых компьютерах. Недостатком этого способа является то, что не может устанавливаться малый интервал контроля одновременно для многих компьютеров в сети.
  2. Асинхронно-синхронный визуальный контроль. Данный подход предполагает реализацию причинного запуска механизма контроля. В качестве причины предлагается рассматривать два события (их совокупность) – запущенный процесс (приложение) и активность окна соответствующего приложения на мониторе. В этих условиях механизм контроля запускается. Для запущенного же при заданных условиях контроля устанавливается расписание получения экранных копий на сервер (например, 1 раз в 10 секунд). Экранные копии поступают на сервер безопасности в реальном времени. Данный способ может использоваться уже для контроля действий пользователей с конкретными приложениями (например, с электронной почтой и др., причем, как с одним, так и с несколькими). В отличие от предыдущего подхода, здесь без существенного увеличения загрузки сети можно установить более детальный контроль (можно установить небольшой интервал времени выдачи экранных копий (снимков) на сервер безопасности) действий пользователей для критичных приложений.
  3. Асинхронный (разовый по запросу администратора) визуальный контроль. Данный подход реализует возможность получения экранной копии с контролируемых компьютеров в реальном времени по запросу администратора (на запрос администратора выдается один текущий снимок экрана).
  4. Асинхронный (непрерывный) визуальный контроль. Данный подход реализует возможность отображения на сервере безопасности в реальном времени экрана контролируемого компьютера. Запускается контроль администратором и непрерывное в реальном времени отображение экрана на мониторе сервера безопасности осуществляется до момента отключения контроля администратором.


В порядке замечания отметим, что все действия по запуску и настройке контроля осуществляются администратором удаленно с сервера, весь контроль на защищаемом компьютере осуществляется скрытно для пользователя.

Предлагаемые альтернативные способы запуска контроля функционально независимы, поэтому могут осуществляться одновременно (параллельно).

С учетом того, что, с одной стороны, может возникнуть возможность просмотра экранных копий (снимков) повторно (по запросу администратора), с другой стороны, данные снимки могут послужить доказательной базой несанкционированных действий пользователя, снимки не только отображаются на мониторе сервера безопасности, но и сохраняются (кроме способа непрерывного визуального контроля) в базе сервера безопасности. Эта база формируется следующим образом. Для каждого контролируемого объекта создается свой каталог для хранения снимков, снимок представляет собою файл, имя которого содержит дату и время его формирования). Таким образом, администратор имеет возможность просмотра сохраненных снимков по дате и по времени (соответственно, просмотра сохраненных снимков за интересующий его период времени).

С целью снижения влияния на загрузку связного ресурса предоставляется возможность выбора графического формата файла.

Реализация визуального оперативного контроля действий пользователей.

Подсистема визуального оперативного контроля действий пользователей содержит в своем составе клиентские части оперативного контроля, устанавливаемые на защищаемые компьютеры, и серверную часть (сервер безопасности, реализующий АРМ администратора безопасности), устанавливаемую на выделенный компьютер в составе корпоративной сети.

Клиентская часть запускается как служба ОС при старте системы и в штатном режиме активна, в процессе всего времени функционирования компьютера.

В своем составе сервер безопасности содержит два основных окна, в которых в удобном для администратора виде представляется справочная информации по корпоративной сети (см. рис. и по пользователям, зарегистрированным на вычислительных средствах корпоративной сети (см. рис. .



Рис.1

Частично представленная в интерфейсе серверной части справочная информация создается администратором, частично определяется автоматически при соединении с сервером безопасности. Реализована автоматизированная процедура переключения окон с выбором соответствующего объекта (при выборе зарегистрированного пользователя, см. рис.1, или, соответственно, контролируемой машины, см. рис. .



Рис.2

Состояния клиентских частей контролируется в реальном времени и отображается соответствующим цветом пиктограмм в проводнике интерфейса сервера (см. рис. :
  • Черным цветом отображается состояние отключения компьютера по питанию, либо от сети,
  • Голубым цветом отображается штатное состояние – компьютер включен, находится в сети, на нем активна клиентская часть подсистемы контроля,
  • Красным цветом отображается опасное состояние – компьютер включен, находится в сети, ер клиентская часть подсистемы контроля переведена в пассивное состояние.


Появление красного цвета уведомляет администратора о необходимости незамедлительного принятия организационных мер по восстановлению активности клиентской части оперативного контроля.

Поскольку снимки (экранные копии) могут нести в себе конфиденциальные данные, клиент - серверный трафик криптографически защищается, при установлении клиент-серверного соединения осуществляется сеансовая аутентификация.


Рис.3

Для каждого контролируемого компьютера (в закладке Свойства, см. рис. задаются параметры синхронного и асинхронно-синхронного визуального контроля. Окно задания параметров синхронного визуального контроля представлено на рис.5.



Рис.4



Рис.5

При реализации способа асинхронного визуального контроля галку Использовать список процессов следует снять.

При реализации способа синхронно-асинхронного визуального контроля следует установить галку Использовать список процессов, затем в окне, представленном на рис.6, задать необходимые процессы (контроль будет осуществляться при условии, что процесс запущен и соответствующее ему диалоговое окно на мониторе контролируемого компьютера активно).

Заметим, что для каждого контролируемого компьютера в сети могут быть заданы свои параметры контроля.


Рис.6

Рассмотрим, каким образом отображаются в реальном времени на сервере безопасности экранные копии (снимки) с контролируемых компьютеров. Окно отображения снимков представлено на рис.7.

На данном рисунке проиллюстрирован пример одновременного контроля в реальном времени (отображения на экране администратора безопасности) четырех компьютеров в составе сети.

Заметим, что число одновременно отображаемых снимков контролируемых компьютеров не ограничивается (число компьютеров, для которых отображаются снимки) – определяется лишь удобством представления (размером и разрешением монитора администратора и т.д.). Кроме того, следует отметить, что число контролируемых компьютеров (экранные копии с которых поступают на сервер безопасности) и число компьютеров, снимки с которых отображаются в реальном времени в окне (см. рис. связаны следующим образом – одно является подмножеством другого. Просмотреть накопленные снимки, не отображаемые в окне, администратор может в любое время по своему запросу (причем может это сделать в том же окне, см. рис. , одновременно с отображением в нем снимков в реальном времени с других контролируемых компьютеров.



Рис.7

Функция асинхронного непрерывного контроля совмещена с функцией удаленного (с сервера безопасности) управления компьютером.

Для контролируемого компьютера интерфейс данной программы запускается выбором меню Удаленное управление, см. рис. В интерфейсе настройки взаимодействия с удаленным компьютером, представленном на рис. 8, можно установить следующие параметры.

В поле Глубина цвета передачи устанавливается размер передаваемого изображения путем установки разрешения экрана и цветопередачи.

В поле Монитор устанавливаются параметры отключения монитора на удаленном компьютере: при установке флажка в соответствующей графе, монитор будет переходить в спящий режим, либо отключаться с заданным интервалом времени.

В полях Клавиатура и Мышь установка флажка отключает удаленному пользователю соответствующий орган управления.

В поле Минимальное время обновления устанавливается время обновления изображения.



Рис. 8

Таким образом, здесь предусмотрены различные возможности снижения загрузки связного ресурса, т.к. этот режим наиболее сильно влияет на пропускную способность канала связи. Еще раз отметим, что данный режим не только позволяет контролировать действия пользователя на удаленном компьютере, отображение его монитора осуществляется в соответствующем окне на сервере безопасности, см. рис.9, но и осуществлять любые действия по удаленному управлению компьютером в корпоративной сети. При этом органы локального управления и отображения удаленного компьютера могут быть отключены.


Рис.9

Асинхронный (разовый по запросу администратора) визуальный контроль реализуется следующим образом. Для выбранного компьютера администратору необходимо выбрать вкладку Получить экранную копию, см. рис.1 При этом на его мониторе (на мониторе сервера безопасности) в реальном масштабе времени откроется окно со снимком (экранной копией) с контролируемого компьютера (этот снимок также сохранится в соответствующем файле на сервере безопасности).


Рис.10




Читайте далее:
Заземление в системах промышленной автоматизации. часть 2 ,окончание,
Ip–революция
Системный видеодомофон
Дымовые пожарные извещатели для пыльных зон
Чем хороши приводы ппв
Слухи о скорой кончине элт - мониторов слегка преувеличены?
Как построить детекторный приемник
Ip–революция iii
Защита от инсайдеров. решение может быть только комплексным ,часть1,
Ссылки и рассылки
Шедевры 110-120
Особенности выбора цветных видеокамер
Возможности систем контроля и управления доступом
Китайские производители переходят к контролю экспорта свинца
Gsm-сигнализация