Вы находитесь в разделе Типовых решений систем безопасности
Подсистема визуального оперативного контроля действий пользователей на защищаемых компьютерахСистема управления информационной безопасностью призвана решать ключевой вопрос построения сложной технической системы - вопрос комплексирования технических средств защиты (в общем случае разнородных и территориально распределенных). Важность решения данной задачи обусловливается тем, что при отсутствии централизации звена управления, в принципе не приходится говорить о системе защиты, как таковой, в этом случае можно говорить лишь о неком наборе технических средств защиты, установленных на соответствующие средства обработки информации. Ключевое место в системе управления информационной безопасностью занимает подсистема оперативного (в реальном масштабе времени) контроля действий пользователей на защищаемых компьютерах в составе корпоративной сети предприятия, центральным звеном которой является подсистема оперативного сбора (на сервер безопасности – АРМ администратора безопасности) и обработки аудита событий – регистрируемых данных на защищаемых компьютерах механизмами защиты. В данной работе мы рассмотрим возможности расширения функций подсистемы оперативного контроля действий пользователей, за счет реализации визуального оперативного контроля. Возможности данной подсистемы проиллюстрируем с использованием интерфейсных, реализованных разработке компании ЗАО НПП Информационные технологии в бизнесе: Система оперативного сбора и обработки аудита (ОСА) Панцирь для ОС Windows 2000/XP/2003, в ближайшее время данное решение будет внедрено в Комплексной системе защиты информации (КСЗИ) Панцирь-К для ОС Windows 2000/XP/2003 (сертификат ФСТЭК №1144 от 17.01.200 . Задачи визуального оперативного контроля действий пользователей. Подходы к решению. Для обработки информации на защищаемом объекте пользователю необходимо средство отображения – монитор. Экранная копия представляет собой моментальное отображение (снимок) действий пользователя на компьютере. Следовательно, контроль действий пользователей на защищаемых объектах корпоративной сети предприятия, как правило, возлагаемый на администратора безопасности, может осуществляться визуально, по средством сбора и обработки экранных копий (снимков). Таким образом, основной задачей визуального оперативного контроля действий пользователей можно считать оперативный сбор (в реальном времени) на сервер безопасности (АРМ администратора безопасности) экранных копий (снимков) с защищаемых компьютеров в сети. Если говорить о подходах к решению, то, в первую очередь, следует понимать, что основной проблемой реализации подобного контроля становится существенное возрастание загрузки связного ресурса, что в значительной мере может снизить пропускную способность канала связи корпоративной сети. С учетом требований к минимизации нагрузки на сеть, предлагается следующая совокупность решений задачи:
В порядке замечания отметим, что все действия по запуску и настройке контроля осуществляются администратором удаленно с сервера, весь контроль на защищаемом компьютере осуществляется скрытно для пользователя. Предлагаемые альтернативные способы запуска контроля функционально независимы, поэтому могут осуществляться одновременно (параллельно). С учетом того, что, с одной стороны, может возникнуть возможность просмотра экранных копий (снимков) повторно (по запросу администратора), с другой стороны, данные снимки могут послужить доказательной базой несанкционированных действий пользователя, снимки не только отображаются на мониторе сервера безопасности, но и сохраняются (кроме способа непрерывного визуального контроля) в базе сервера безопасности. Эта база формируется следующим образом. Для каждого контролируемого объекта создается свой каталог для хранения снимков, снимок представляет собою файл, имя которого содержит дату и время его формирования). Таким образом, администратор имеет возможность просмотра сохраненных снимков по дате и по времени (соответственно, просмотра сохраненных снимков за интересующий его период времени). С целью снижения влияния на загрузку связного ресурса предоставляется возможность выбора графического формата файла. Реализация визуального оперативного контроля действий пользователей. Подсистема визуального оперативного контроля действий пользователей содержит в своем составе клиентские части оперативного контроля, устанавливаемые на защищаемые компьютеры, и серверную часть (сервер безопасности, реализующий АРМ администратора безопасности), устанавливаемую на выделенный компьютер в составе корпоративной сети. Клиентская часть запускается как служба ОС при старте системы и в штатном режиме активна, в процессе всего времени функционирования компьютера. В своем составе сервер безопасности содержит два основных окна, в которых в удобном для администратора виде представляется справочная информации по корпоративной сети (см. рис. и по пользователям, зарегистрированным на вычислительных средствах корпоративной сети (см. рис. . Рис.1 Частично представленная в интерфейсе серверной части справочная информация создается администратором, частично определяется автоматически при соединении с сервером безопасности. Реализована автоматизированная процедура переключения окон с выбором соответствующего объекта (при выборе зарегистрированного пользователя, см. рис.1, или, соответственно, контролируемой машины, см. рис. . Рис.2 Состояния клиентских частей контролируется в реальном времени и отображается соответствующим цветом пиктограмм в проводнике интерфейса сервера (см. рис. :
Появление красного цвета уведомляет администратора о необходимости незамедлительного принятия организационных мер по восстановлению активности клиентской части оперативного контроля. Поскольку снимки (экранные копии) могут нести в себе конфиденциальные данные, клиент - серверный трафик криптографически защищается, при установлении клиент-серверного соединения осуществляется сеансовая аутентификация. Рис.3 Для каждого контролируемого компьютера (в закладке Свойства, см. рис. задаются параметры синхронного и асинхронно-синхронного визуального контроля. Окно задания параметров синхронного визуального контроля представлено на рис.5. Рис.4 Рис.5 При реализации способа асинхронного визуального контроля галку Использовать список процессов следует снять. При реализации способа синхронно-асинхронного визуального контроля следует установить галку Использовать список процессов, затем в окне, представленном на рис.6, задать необходимые процессы (контроль будет осуществляться при условии, что процесс запущен и соответствующее ему диалоговое окно на мониторе контролируемого компьютера активно). Заметим, что для каждого контролируемого компьютера в сети могут быть заданы свои параметры контроля. Рис.6 Рассмотрим, каким образом отображаются в реальном времени на сервере безопасности экранные копии (снимки) с контролируемых компьютеров. Окно отображения снимков представлено на рис.7. На данном рисунке проиллюстрирован пример одновременного контроля в реальном времени (отображения на экране администратора безопасности) четырех компьютеров в составе сети. Заметим, что число одновременно отображаемых снимков контролируемых компьютеров не ограничивается (число компьютеров, для которых отображаются снимки) – определяется лишь удобством представления (размером и разрешением монитора администратора и т.д.). Кроме того, следует отметить, что число контролируемых компьютеров (экранные копии с которых поступают на сервер безопасности) и число компьютеров, снимки с которых отображаются в реальном времени в окне (см. рис. связаны следующим образом – одно является подмножеством другого. Просмотреть накопленные снимки, не отображаемые в окне, администратор может в любое время по своему запросу (причем может это сделать в том же окне, см. рис. , одновременно с отображением в нем снимков в реальном времени с других контролируемых компьютеров. Рис.7 Функция асинхронного непрерывного контроля совмещена с функцией удаленного (с сервера безопасности) управления компьютером. Для контролируемого компьютера интерфейс данной программы запускается выбором меню Удаленное управление, см. рис. В интерфейсе настройки взаимодействия с удаленным компьютером, представленном на рис. 8, можно установить следующие параметры. В поле Глубина цвета передачи устанавливается размер передаваемого изображения путем установки разрешения экрана и цветопередачи. В поле Монитор устанавливаются параметры отключения монитора на удаленном компьютере: при установке флажка в соответствующей графе, монитор будет переходить в спящий режим, либо отключаться с заданным интервалом времени. В полях Клавиатура и Мышь установка флажка отключает удаленному пользователю соответствующий орган управления. В поле Минимальное время обновления устанавливается время обновления изображения. Рис. 8 Таким образом, здесь предусмотрены различные возможности снижения загрузки связного ресурса, т.к. этот режим наиболее сильно влияет на пропускную способность канала связи. Еще раз отметим, что данный режим не только позволяет контролировать действия пользователя на удаленном компьютере, отображение его монитора осуществляется в соответствующем окне на сервере безопасности, см. рис.9, но и осуществлять любые действия по удаленному управлению компьютером в корпоративной сети. При этом органы локального управления и отображения удаленного компьютера могут быть отключены. Рис.9 Асинхронный (разовый по запросу администратора) визуальный контроль реализуется следующим образом. Для выбранного компьютера администратору необходимо выбрать вкладку Получить экранную копию, см. рис.1 При этом на его мониторе (на мониторе сервера безопасности) в реальном масштабе времени откроется окно со снимком (экранной копией) с контролируемого компьютера (этот снимок также сохранится в соответствующем файле на сервере безопасности). Рис.10 Читайте далее: Оптимальный вариант транспортной среды Анализ рынка безопасности ,март 2005 года, безопасность загородной недвижимости стоит дорого Защита банка 7. портрет участника рынка безопасности 2007 года Конкуренция в южнокорейском экспорте Перспективы азиатского рынка безопасности в 2003 году 11 - 15 февраля 2008 года 18 - 24 февраля 2008 года 17 - 23 марта 2008 года 21 - 27 апреля 2008 года ,рынок безопасности, 28 - 30 апреля 2008 года ,рынок it, 01 - 04 мая 2008 года ,рынок безопасности, 05 - 11 мая 2008 года ,рынок it, 19 - 25 мая 2008 года ,рынок it,
|