Построение локальной вычислительной сети подразделения организации под управлением Windows NT
Страница 12
6.2.Мониторинг несанкционированного доступа
На этапе эксплуатации администрация безопасности выполняет следующие функции:
· поддерживает средства защиты в работоспособном состоянии и периодически контролирует корректность их работы;
· производит изменения в настройке средств защиты на основании и в полном соответствии с изменениями в плане защиты. Они могут быть вызваны различными причинами, например, изменениями списка пользователей, состава сотрудников и их должностных или функциональных обязанностей, расширением номенклатуры используемых технических и программных средств, задач и т.п. Рекомендуется проводить эти изменения в системе только по утвержденным документам;
· осуществляет текущий контроль над работой пользователей системы;
· анализирует содержимое журналов регистрации событий, формируемых средствами защиты, и т.п.
6.2.1.Текущий контроль над работой пользователей системы
Администратор может управлять эксплуатацией каждой рабочей станции с помощью диалога "Монитор" утилиты NetAdmin. Для каждого защищаемого компьютера (в соответствии с приобретенным комплектом системы Secret Net NT) предусмотрен специальный знак - экран, под которым указано имя компьютера в системе. Текущее состояние компьютера в системе отображается с помощью цвета экрана и специальных символов на нем, приведенных в табл.6.2.
Таблица 6.2
Символы, отображающие текущее состояние рабочей станции в системе Secret Net NT
|
Цвет |
Состояние рабочей станции |
|
Черный |
Компьютер не активен |
|
Зеленый |
Компьютер активен |
|
Желтый |
Рабочая станция не подтвердила свое существование хотя бы один раз |
|
Символ |
Состояние рабочей станции |
|
|
Пользователь вошел в систему |
|
|
Установлен режим шифрования соединений |
|
|
Установлен режим строгой аутентификации |
|
|
Компьютер блокирован |
|
|
Изменена конфигурация компьютера |
|
|
Включен хранитель экрана |
|
|
Произошло переполнение системного журнала |
|
|
Произошло событие НСД |
|
|
Произошло событие НСД при выключенном сервере управления доступом |
Администратор может получить информацию о текущем состоянии рабочей станции и о ее пользователе в данный момент времени и, при необходимости, может приостановить работу любого пользователя системы на определенном компьютере.
Для оперативного управления в системе защиты Secret Net NT предусмотрена возможность блокировки, выключения и перезагрузки любой рабочей станции системы[3].
6.2.2.Анализ журналов регистрации событий
В системном журнале содержится список всех событий, которые произошли на рабочей станции, в соответствии с установленным режимом регистрации. При перезагрузке (начальной загрузке) рабочей станции, подключении любого пользователя с этой станции к сети, либо по требованию администратора системный журнал перемещается на сервер управления доступом и хранится в базе данных на сервере. После этого его содержимое можно анализировать при помощи утилиты NetAdmin. Имеется возможность просмотреть системный журнал полностью или запросить выборку событий. Выборка может быть сделана по имени компьютера, имени пользователя и дате (интервалу дат).
В системном журнале содержатся следующие сведения:
· дата и время события (колонка "Время");
· пользователь, в течение работы которого произошло событие (колонка "Пользователь");
· рабочая станция, на которой произошло событие (колонка "Компьютер");
· категория события (колонка "Категория");
· описание события (колонка "Сообщение").
При отображении содержимого системного журнала записи каждого типа выделены своим цветом: обычные события регистрации имеют черный цвет, вход пользователя в систему - зеленый, события НСД - красный, события расширенной регистрации - фиолетовый, сетевые события - зеленый и т.д.[3].
Проводя анализ системного журнала безопасности, администратор может выявить пользователей, наиболее часто совершающих попытки несанкционированного доступа. На основе этих данных может быть сделан вывод о преднамеренном или случайном характере НСД в случае каждого пользователя.
В рамках данного дипломного проекта была создана программа, предоставляющая широкие возможности по просмотру и анализу журналов безопасности.
6.2.3.Структурная схема мониторинга нсд
На рис.6.1 показана схема функционирования системы мониторинга событий НСД. На ней отражено слежение за несанкционированным доступом к информации не только программным путем. Необходим также контроль несанкционированного вскрытия аппаратуры и проникновения в помещения. Вся эта информация должна попадать на АРМ администратора безопасности системы, который должен принимать адекватные меры при возникновении НСД.
Рис.6.1. Структурная схема системы мониторинга несанкционированного доступа
6.3.программа анализа журнала безопасности
6.3.1.Предпосылки к созданию программы
Системный журнал безопасности – огромный резервуар, хранящий многие килобайты записей о событиях в сети. Проводя тщательный анализ журнала, администратор безопасности может существенно повысить эффективность своей работы.
К сожалению, штатные средства Secret Net NT позволяют лишь просматривать содержимое журнала (при желании возможна выборка событий некоторой категории, событий за промежуток времени, а также связанных с конкретным пользователем или компьютером в сети). Анализ предоставленной информации целиком ложится на плечи администратора, хотя с этим гораздо эффективней могла бы справиться ЭВМ. Известно, что человек лучше воспринимает информацию, когда она представлена не в виде списков или таблиц, а в виде графиков и диаграмм, поэтому логичным было бы отображать результаты анализа журнала в виде именно в таком виде.
Вышесказанное подводит нас к необходимости создания приложения, реализующего эти функции.