سیستم خودکار ممیزی (نظارت) اقدامات کاربر. حسابرسی اقدامات کاربر حسابرسی در ویندوز 7

نیاز به پیاده سازی سیستم هایی برای ممیزی اقدامات کاربر در سازمان ها در هر سطحی با مطالعات شرکت های درگیر در تجزیه و تحلیل متقاعد شده است. امنیت اطلاعات.

برای مثال، مطالعه‌ای توسط Kaspersky Lab نشان داد که دو سوم حوادث داعش (67%)، از جمله، ناشی از اقدامات کارکنان کم‌آگاه یا بی‌توجه است. در عین حال، طبق تحقیقات ESET، 84 درصد از شرکت ها خطرات ناشی از عامل انسانی را دست کم می گیرند.

محافظت در برابر تهدیدات مرتبط با کاربر "از درون" به تلاش بیشتری نسبت به محافظت در برابر تهدیدات خارجی نیاز دارد. برای مقابله با «محافظان» از بیرون از جمله ویروس ها و حملات هدفمند به شبکه سازمان، کافی است یک نرم افزار یا سیستم نرم افزاری و سخت افزاری مناسب معرفی کنید. ایمن نگه داشتن یک سازمان در برابر یک مهاجم داخلی مستلزم سرمایه گذاری بیشتر در زیرساخت های امنیتی و تجزیه و تحلیل عمیق است. کار تحلیلی شامل شناسایی انواع تهدیدهایی است که برای تجارت بسیار حیاتی هستند و همچنین جمع آوری "پرتره های متخلفان"، یعنی تعیین میزان آسیبی که کاربر بر اساس شایستگی ها و قدرت های خود می تواند وارد کند.

ممیزی اقدامات کاربر نه تنها با درک اینکه چه نوع شکاف هایی در سیستم امنیت اطلاعات باید به سرعت بسته شود، بلکه با موضوع پایداری کسب و کار به طور کلی مرتبط است. شرکت هایی که برای عملیات مستمر پیکربندی شده اند باید در نظر داشته باشند که با پیچیدگی و افزایش فرآیندهای اطلاع رسانی و اتوماسیون کسب و کار، تعداد تهدیدات داخلی تنها در حال افزایش است.

علاوه بر ردیابی اقدامات یک کارمند معمولی، لازم است عملیات "ابرکاربران" - کارمندان با حقوق ممتاز و بر این اساس، فرصت های بیشتری برای اجرای تصادفی یا عمدی تهدید نشت اطلاعات بررسی شود. این کاربران شامل مدیران سیستم، مدیران پایگاه داده و توسعه دهندگان نرم افزار داخلی هستند. در اینجا می‌توانید متخصصان فناوری اطلاعات و کارمندانی که مسئول امنیت اطلاعات هستند را نیز اضافه کنید.

معرفی سیستمی برای نظارت بر اقدامات کاربران در یک شرکت به شما امکان می دهد تا فعالیت کارمندان را ضبط کرده و به سرعت به آنها پاسخ دهید. مهم: سیستم حسابرسی باید دارای ویژگی فراگیری باشد. این بدان معنی است که اطلاعات مربوط به فعالیت های یک کارمند معمولی، مدیر سیستم یا مدیر ارشد باید در سطح سیستم عامل، استفاده از برنامه های کاربردی تجاری، در سطح دستگاه های شبکه، دسترسی به پایگاه داده، اتصالات رسانه های خارجی و به زودی.

سیستم های مدرنممیزی پیچیده به شما این امکان را می دهد که تمام مراحل عملکرد کاربر از راه اندازی تا خاموش شدن رایانه شخصی (ایستگاه کاری ترمینال) را کنترل کنید. درست است، در عمل آنها سعی می کنند از کنترل کامل اجتناب کنند. اگر همه عملیات ها در گزارش های حسابرسی ثبت شوند، بار زیرساخت سیستم اطلاعاتی سازمان چندین برابر افزایش می یابد: ایستگاه های کاری متوقف می شوند، سرورها و کانال ها تحت بار کامل کار می کنند. پارانویا در مورد امنیت اطلاعات می تواند با کاهش قابل توجه گردش کار به یک تجارت آسیب برساند.

یک متخصص امنیت اطلاعات با صلاحیت اول از همه تعیین می کند:

• چه داده هایی در شرکت با ارزش ترین هستند، زیرا بیشتر تهدیدات داخلی با آن همراه خواهد بود.
• چه کسی و در چه سطحی می تواند به داده های ارزشمند دسترسی داشته باشد، یعنی دایره متخلفان احتمالی را مشخص می کند.
• تا چه حد اقدامات حفاظتی فعلی می توانند در برابر اقدامات عمدی و/یا تصادفی کاربران مقاومت کنند.

به عنوان مثال، متخصصان امنیت اطلاعات از بخش مالی خطر نشت داده های پرداخت و سوء استفاده از دسترسی را خطرناک ترین می دانند. در بخش‌های صنعتی و حمل‌ونقل، نشت دانش و رفتار غیر وفادار کارمندان بیشترین ترس را دارد. نگرانی های مشابهی در بخش فناوری اطلاعات و تجارت ارتباطات از راه دور وجود دارد، جایی که مهم ترین تهدیدها نشت توسعه های اختصاصی، اسرار تجاری و اطلاعات پرداخت است.

محتمل ترین متخلفان "معمولی" تجزیه و تحلیل به شرح زیر هستند:

• مدیریت ارشد: انتخاب واضح است - گسترده ترین قدرت های ممکن، دسترسی به با ارزش ترین اطلاعات. در عین حال، مسئولین امنیت اغلب چشمان خود را بر نقض قوانین امنیت اطلاعات توسط چنین چهره هایی می بندند.
• کارمندان بی وفا : برای تعیین میزان وفاداری، متخصصان امنیت اطلاعات شرکت باید اقدامات یک کارمند را تجزیه و تحلیل کنند.
• مدیران: متخصصان ممتاز و توانمند با دانش عمیق IT وسوسه می شوند تا دسترسی غیرمجاز به اطلاعات مهم;
• کارکنان پیمانکار / برون سپاری : کارشناسان «خارج» نیز مانند مدیران، با داشتن دانش گسترده می توانند تهدیدات مختلفی را در عین «داخل» بودن سیستم اطلاعاتی مشتری اجرا کنند.

تعیین مهم‌ترین اطلاعات و محتمل‌ترین مزاحمان به ساختن یک سیستم کنترل نه کل، بلکه انتخابی کاربران کمک می‌کند. "تخلیه می کند" سیستم اطلاعاتو متخصصان امنیت اطلاعات را از کار اضافی خلاص می کند.

معماری سیستم های حسابرسی علاوه بر نظارت انتخابی، نقش بسزایی در سرعت بخشیدن به سیستم، بهبود کیفیت تحلیل و کاهش بار روی زیرساخت دارد. سیستم های مدرن برای ممیزی اقدامات کاربر دارای یک ساختار توزیع شده است. عوامل حسگر بر روی ایستگاه های کاری و سرورهای انتهایی نصب می شوند که رویدادهای نوع خاصی را تجزیه و تحلیل می کنند و داده ها را به مراکز تجمیع و ذخیره سازی منتقل می کنند. سیستم های تجزیه و تحلیل اطلاعات ثبت شده، با توجه به پارامترهای تعبیه شده در سیستم، در گزارش های حسابرسی حقایقی از فعالیت مشکوک یا غیرعادی را پیدا می کنند که نمی توان فوراً به تلاش برای اجرای یک تهدید نسبت داد. این حقایق به سیستم پاسخ منتقل می شود، که مدیر امنیتی را از تخلف مطلع می کند.

اگر سیستم حسابرسی بتواند به تنهایی با تخلف مقابله کند (معمولاً چنین مجتمع های IS روش امضایی برای پاسخ به تهدید را ارائه می دهند) ، تخلف در آن متوقف می شود. حالت خودکار، و تمام اطلاعات لازم در مورد نفوذگر، اقدامات او و شی تهدید وارد یک پایگاه داده ویژه می شود. در این حالت، کنسول مدیر امنیت به شما اطلاع می دهد که تهدید خنثی شده است.

اگر سیستم راه هایی برای پاسخگویی خودکار به آن نداشته باشد فعالیت مشکوک، سپس تمام اطلاعات برای خنثی کردن تهدید یا برای تجزیه و تحلیل پیامدهای آن برای انجام عملیات در حالت دستی به کنسول مدیر IS منتقل می شود.

در سیستم نظارتی هر سازمانی، عملیات باید پیکربندی شود:

ممیزی استفاده از ایستگاه های کاری، سرورها و همچنین زمان (بر اساس ساعت و روزهای هفته) فعالیت کاربر در آنها. به این ترتیب مصلحت استفاده از منابع اطلاعاتی برقرار می شود.

حاشیه نویسی: در سخنرانی پایانی، توصیه های نهایی برای اجرا ارائه می شود. وسایل فنیحفاظت از اطلاعات محرمانه، به طور مفصل درباره ویژگی ها و اصول عملکرد راه حل های InfoWatch بحث می کند.

راه حل های نرم افزار InfoWatch

هدف از این دوره آشنایی دقیق با جزئیات فنی محصولات InfoWatch نیست، بنابراین آنها را از جنبه بازاریابی فنی در نظر خواهیم گرفت. محصولات InfoWatch مبتنی بر دو فناوری اساسی هستند - فیلتر کردن محتوا و ممیزی اقدامات کاربر یا مدیر در محل کار. همچنین، بخشی جدایی ناپذیر از راه حل یکپارچه InfoWatch، یک مخزن اطلاعاتی است که از سیستم اطلاعاتی خارج شده و یک کنسول مدیریت امنیت داخلی واحد است.

فیلتر محتوای کانال های ترافیک اطلاعات

ویژگی اصلی فیلتر محتوای InfoWatch استفاده از یک هسته مورفولوژیکی است. برخلاف فیلتر سنتی امضا، فناوری فیلتر محتوای InfoWatch دارای دو مزیت است - عدم حساسیت به کدگذاری اولیه (جایگزینی یک کاراکتر با کاراکتر دیگر) و عملکرد بالاتر. از آنجایی که هسته با کلمات کار نمی کند، بلکه با فرم های ریشه کار می کند، به طور خودکار ریشه هایی را که حاوی رمزگذاری های ترکیبی هستند، قطع می کند. همچنین، کار با ریشه ها، که کمتر از ده هزار مورد در هر زبان وجود دارد، و نه با فرم های کلمه، که حدود یک میلیون در زبان ها وجود دارد، به شما امکان می دهد نتایج قابل توجهی را در تجهیزات نسبتاً غیرمولد نشان دهید.

ممیزی فعالیت کاربر

برای نظارت بر اقدامات کاربر با اسناد در یک ایستگاه کاری، InfoWatch چندین رهگیر را در یک عامل در یک ایستگاه کاری ارائه می دهد - رهگیرهایی برای عملیات فایل، عملیات چاپ، عملیات درون برنامه ها، عملیات با دستگاه های متصل.

ذخیره سازی اطلاعاتی که از سیستم اطلاعاتی خارج شده است از تمامی مجاری.

InfoWatch یک مخزن برای اطلاعاتی که از سیستم اطلاعاتی خارج شده اند ارائه می دهد. اسناد از طریق تمام کانال های خارج از سیستم - ایمیل، اینترنت، چاپ و رسانه قابل جابجایی، در برنامه *storage ذخیره می شوند (تا سال 2007 - ماژول سرور ذخیره سازی نظارت بر ترافیک) نشان دهنده تمام ویژگی ها - نام کامل و موقعیت کاربر، پیش بینی های الکترونیکی او (آدرس IP، حساب یا آدرس پستی)، تاریخ و زمان عملیات، نام و ویژگی های اسناد. تمام اطلاعات برای تجزیه و تحلیل در دسترس است، از جمله تجزیه و تحلیل محتوا.

فعالیت های مرتبط

به نظر می رسد معرفی ابزارهای فنی حفاظت از اطلاعات محرمانه بدون استفاده از روش های دیگر، در درجه اول روش های سازمانی، بی اثر باشد. قبلاً در بالا به برخی از آنها پرداخته ایم. حالا بیایید نگاهی دقیق تر به موارد دیگر بیاندازیم اقدامات لازم.

الگوهای رفتاری مجرمین

با استقرار یک سیستم نظارتی برای اقدامات با اطلاعات محرمانه، علاوه بر افزایش عملکرد و قابلیت های تحلیلی، می توانید در دو جهت دیگر توسعه پیدا کنید. اولین مورد یکپارچه سازی سیستم های حفاظتی در برابر تهدیدات داخلی و خارجی است. حوادث سال‌های اخیر نشان می‌دهد که نقش‌ها بین متجاوزان داخلی و خارجی توزیع می‌شود و ترکیب اطلاعات سیستم‌های نظارت بر تهدیدات خارجی و داخلی، کشف حقایق چنین حملات ترکیبی را ممکن می‌سازد. یکی از نقاط تماس بین امنیت خارجی و داخلی، مدیریت حقوق دسترسی به ویژه در زمینه شبیه سازی نیاز صنعتی برای افزایش حقوق کارکنان و خرابکاران بی وفا است. هرگونه درخواست برای دسترسی به منابع خارج از وظایف شغلی باید فوراً دارای مکانیزمی برای حسابرسی اقدامات با این اطلاعات باشد. حتی بدون باز کردن دسترسی به منابع، حل مشکلاتی که به طور ناگهانی به وجود آمده اند، ایمن تر است.

بیایید یک مثال از زندگی بگیریم. مدیر سیستم درخواستی از رئیس بخش بازاریابی برای باز کردن دسترسی به سیستم مالی دریافت کرد. به عنوان توجیهی برای برنامه، یک وظیفه ضمیمه شد مدیر عاملدر مورد تحقیقات بازاریابی فرآیندهای خرید کالاهای ساخته شده توسط شرکت. از آنجایی که سیستم مالی یکی از حفاظت‌شده‌ترین منابع است و اجازه دسترسی به آن توسط مدیرعامل داده می‌شود، رئیس بخش امنیت اطلاعات روی اپلیکیشن نوشت. راه حل جایگزین- دسترسی ندهید، اما داده های ناشناس (بدون مشخص کردن مشتریان) را برای تجزیه و تحلیل در یک پایگاه داده ویژه آپلود کنید. در پاسخ به اعتراض بازاریاب ارشد مبنی بر اینکه این کار برای او ناخوشایند است، مدیر یک سوال مستقیم از او پرسید: "چرا به نام مشتریان نیاز دارید - آیا می خواهید پایگاه داده را ادغام کنید؟" بعد از آن همه سر کار رفتند. اینکه آیا این تلاشی برای افشای اطلاعات بوده است یا نه، ما هرگز نمی دانیم، اما هر چه بود، سیستم مالی شرکت محافظت شد.

جلوگیری از نشت در مرحله آماده سازی

جهت دیگر در توسعه سیستم نظارت بر حوادث داخلی با اطلاعات محرمانه، ساخت سیستم جلوگیری از نشت است. الگوریتم عملکرد چنین سیستمی مانند راه حل های جلوگیری از نفوذ است. ابتدا یک مدل از مزاحم ساخته می شود و یک "امضای نقض" از آن شکل می گیرد، یعنی توالی اقدامات مزاحم. اگر چندین اقدام کاربر با امضای نقض مطابقت داشته باشد، مرحله بعدی کاربر پیش‌بینی می‌شود، اگر با امضا هم مطابقت داشته باشد، زنگ هشدار ایجاد می‌شود. به عنوان مثال، یک سند محرمانه باز شد، بخشی از آن انتخاب شد و در کلیپ بورد کپی شد، سپس یک سند جدیدو محتویات بافر در آن کپی شد. سیستم فرض می کند که اگر سند جدیدی بدون برچسب "محرمانه" بیشتر ذخیره شود، این یک اقدام به آدم ربایی است. درایو USB هنوز وارد نشده است، نامه ایجاد نشده است، و سیستم به افسر امنیت اطلاعات اطلاع می دهد، که تصمیم می گیرد کارمند را متوقف کند یا اطلاعات را ردیابی کند. به هر حال، مدل های (در منابع دیگر - "نمایه ها") رفتار مجرم را می توان نه تنها با جمع آوری اطلاعات از عوامل نرم افزاری استفاده کرد. اگر ماهیت پرس و جوها را در پایگاه داده تجزیه و تحلیل کنید، همیشه می توانید کارمندی را شناسایی کنید که سعی می کند اطلاعات خاصی را با یک سری پرس و جوهای متوالی به پایگاه داده دریافت کند. باید فوراً ردیابی کرد که او با این درخواست ها چه می کند، آیا آنها را ذخیره می کند، آیا رسانه های ذخیره سازی قابل جابجایی را وصل می کند و غیره.

سازماندهی ذخیره سازی اطلاعات

اصول ناشناس سازی و رمزگذاری داده ها پیش نیاز سازماندهی ذخیره سازی و پردازش است و دسترسی از راه دورمی تواند بر اساس پروتکل ترمینال سازماندهی شود و هیچ اطلاعاتی روی رایانه ای که درخواست از آن سازماندهی شده است باقی نمی ماند.

ادغام با سیستم های احراز هویت

دیر یا زود، مشتری باید از یک سیستم نظارت بر اسناد محرمانه برای حل مسائل پرسنلی استفاده کند - به عنوان مثال، اخراج کارمندان بر اساس واقعیت های مستند شده توسط این سیستم، یا حتی پیگرد قانونی افشاگران. با این حال، تمام چیزی که سیستم نظارت می تواند ارائه دهد، شناسه الکترونیکی متخلف است - آدرس IP، حساب، آدرس ایمیل و غیره برای دریافت هزینه قانونی از یک کارمند، باید این شناسه را به یک شخص مرتبط کنید. در اینجا، بازار جدیدی برای یکپارچه‌ساز - معرفی سیستم‌های احراز هویت - از توکن‌های ساده گرفته تا شناسه‌های بیومتریک پیشرفته و RFID باز می‌شود.

ویکتور چوتوف
مدیر پروژه INFORMSVYAZ HOLDING

پیش نیازهای پیاده سازی سیستم

اولین مطالعه باز جهانی تهدیدات امنیت اطلاعات داخلی که در سال 2007 توسط Infowatch انجام شد (بر اساس نتایج سال 2006) نشان داد که تهدیدهای داخلی کمتر از تهدیدهای خارجی (بدافزار، هرزنامه، هکرها و غیره) رایج نیستند (56.5%). د.). در عین حال، در اکثریت قریب به اتفاق (77%)، دلیل اجرای یک تهدید داخلی، سهل انگاری خود کاربران (عدم انجام شرح شغلیا غفلت از وسایل اولیه حفاظت از اطلاعات).

پویایی تغییرات در وضعیت در دوره 2006-2008 منعکس شده در شکل یکی

کاهش نسبی سهم نشت به دلیل سهل انگاری به دلیل اجرای جزئی سیستم های جلوگیری از نشت اطلاعات (از جمله سیستم نظارت بر اقدامات کاربر) است که درجه نسبتاً بالایی از محافظت در برابر نشت های تصادفی را ارائه می دهد. علاوه بر این، به دلیل افزایش مطلق تعداد سرقت های عمدی داده های شخصی است.

با وجود تغییر در آمارها، همچنان می‌توان گفت که اولویت مبارزه با نشت اطلاعات غیرعمدی است، زیرا مقابله با چنین درزهایی آسان‌تر، ارزان‌تر است و در نتیجه بیشتر حوادث تحت پوشش قرار می‌گیرند.

در عین حال، سهل انگاری کارمندان، با توجه به تجزیه و تحلیل نتایج تحقیقات Infowatch و Perimetrix برای سال های 2004-2008، در رتبه دوم در میان خطرناک ترین تهدیدها قرار دارد (نتایج تحقیقات خلاصه در شکل 2 ارائه شده است)، و ارتباط آن. به همراه بهبود سیستم های نرم افزاری و سخت افزاری خودکار (AS) شرکت ها به رشد خود ادامه می دهد.

بنابراین، معرفی سیستم هایی برای از بین بردن احتمال تأثیر منفی یک کارمند بر سیستم اطلاعاتی در سیستم AS شرکت (شامل برنامه های نظارتی)، ارائه پایگاه شواهد و مواد لازم برای بررسی یک حادثه به کارکنان IS، خطر نشت ناشی از سهل انگاری را از بین می برد. به طور قابل توجهی نشت های تصادفی را کاهش می دهد و همچنین تا حدودی عمدی را کاهش می دهد. در نهایت، این اقدام باید امکان کاهش چشمگیر اجرای تهدیدات از سوی خودی ها را فراهم کند.

AS مدرن برای ممیزی اقدامات کاربر. مزایا و معایب

سیستم‌های خودکار برای ممیزی (نظارت) اقدامات کاربر (ASADP) AS که اغلب به عنوان محصولات نرم‌افزاری نظارتی نامیده می‌شوند، برای استفاده توسط مدیران امنیتی AS (سرویس امنیت اطلاعات سازمان) طراحی شده‌اند تا از قابلیت مشاهده آن اطمینان حاصل کنند. سیستم محاسباتی، که به شما امکان می دهد فعالیت های کاربران را ضبط کنید و همچنین به طور واضح شناسه های کاربران درگیر در رویدادهای خاص را به منظور جلوگیری از نقض سیاست های امنیتی و / یا اطمینان از مسئولیت اقدامات خاص ایجاد کنید.

ویژگی مشاهده پذیری AS، بسته به کیفیت اجرای آن، به یک درجه یا دیگری اجازه می دهد تا رعایت سیاست امنیتی و قوانین تعیین شده توسط کارکنان سازمان را کنترل کند. کار ایمنروی کامپیوترها

استفاده از محصولات نرم افزاری نظارت، از جمله در زمان واقعی، برای موارد زیر طراحی شده است:

• تعیین (محلی سازی) کلیه موارد تلاش برای دسترسی غیرمجاز به اطلاعات محرمانه با ذکر دقیق زمان و محل کار شبکه ای که چنین تلاشی از آنجا انجام شده است.
• کشف حقایق نصب نرم افزار غیرمجاز؛
• با تجزیه و تحلیل حقایق راه اندازی برنامه های تخصصی غیرمجاز، تمام موارد استفاده غیرمجاز از سخت افزار اضافی (به عنوان مثال، مودم، چاپگر و غیره) را تعیین کنید.
• تعیین کلیه موارد تایپ کلمات و عبارات مهم روی صفحه کلید، تهیه اسناد مهم که انتقال آنها به اشخاص ثالث منجر به خسارت مادی می شود.
• کنترل دسترسی به سرورها و رایانه های شخصی؛
• هنگام گشت و گذار در داخل، مخاطبین را کنترل کنید شبکه های اینترنتی;
• انجام تحقیقات مربوط به تعیین دقت، کارایی و کفایت پاسخ پرسنل به تأثیرات خارجی؛
• تعیین حجم کار محل کار رایانه ای سازمان (بر اساس ساعت روز، روز هفته و غیره) به منظور سازماندهی علمی کار کاربران؛
• موارد استفاده کنترلی کامپیوترهای شخصیدر ساعات غیر کاری و شناسایی هدف از چنین استفاده؛
• دریافت اطلاعات قابل اعتماد لازم که بر اساس آن تصمیماتی برای تنظیم و بهبود خط مشی امنیت اطلاعات سازمان و غیره اتخاذ می شود.

اجرای این توابع با معرفی ماژول‌های عامل (حسگرها) بر روی ایستگاه‌های کاری و سرورهای AS با بررسی وضعیت بیشتر یا دریافت گزارش‌ها از آنها به دست می‌آید. گزارش‌ها در کنسول مدیریت امنیت پردازش می‌شوند. برخی از سیستم ها مجهز به سرورهای میانی (نقاط ادغام) هستند که مناطق و گروه های امنیتی خود را پردازش می کنند.

تجزیه و تحلیل سیستم راه حل های ارائه شده در بازار (StatWin، مدیر پیکربندی Tivoli، کنترل از راه دور Tivoli، عملیات OpenView، "Uryadnik/Enterprise Guard"، Insider) امکان شناسایی تعدادی ویژگی خاص را فراهم کرد که در صورت اضافه شدن به یک ویژگی امیدوار کننده ASADF شاخص های عملکرد خود را نسبت به نمونه های مورد مطالعه افزایش خواهد داد.

در حالت کلی، همراه با عملکرد نسبتاً گسترده و بسته بزرگی از گزینه‌ها، سیستم‌های موجود می‌توانند برای ردیابی فعالیت‌های تنها کاربران AS منفرد بر اساس نظرسنجی چرخه‌ای اجباری (اسکن) از همه عناصر مشخص شده AS (و) استفاده شوند. ، اول از همه، کاربران AWP).

در عین حال، توزیع و مقیاس سیستم‌های خودکار مدرن، که شامل تعداد نسبتاً زیادی ایستگاه‌های کاری، فناوری‌ها و نرم‌افزارها می‌شود، فرآیند نظارت بر کار کاربران را بسیار پیچیده می‌کند و هر یک از دستگاه‌های شبکه قادر به تولید هزاران پیام‌های حسابرسی، دستیابی به مقادیر بسیار زیادی از اطلاعات که مستلزم نگهداری پایگاه‌های داده عظیم و اغلب تکراری است. این ابزارها، در میان چیزهای دیگر، منابع شبکه و سخت افزار قابل توجهی را مصرف می کنند، یک AS مشترک را بارگذاری می کنند. به نظر می رسد که آنها نسبت به پیکربندی مجدد سخت افزار و نرم افزار انعطاف ناپذیر هستند. شبکه های کامپیوتر، قادر به تطبیق با انواع ناشناخته نقض و حملات شبکه نیستند و اثربخشی تشخیص نقض خط مشی امنیتی تا حد زیادی به تعداد دفعات اسکن عناصر AS توسط مدیر امنیتی بستگی دارد.

یکی از راه های افزایش کارایی این سیستم ها افزایش مستقیم فرکانس اسکن است. این امر به دلیل افزایش قابل توجه بار محاسباتی هم در ایستگاه کاری مدیر و هم در رایانه های ایستگاه های کاری کاربر و همچنین به طور اجتناب ناپذیر منجر به کاهش کارایی انجام آن دسته از وظایف اصلی می شود که در واقع این AS برای آنها در نظر گرفته شده است. همانطور که با افزایش ترافیک شبکه محلیمانند.

علاوه بر مشکلات مربوط به تجزیه و تحلیل حجم زیادی از داده ها، سیستم های نظارتی موجود محدودیت های جدی در کارایی و دقت تصمیمات اتخاذ شده دارند که ناشی از عامل انسانی است که توسط توانایی های فیزیکی مدیر به عنوان یک انسان تعیین می شود. اپراتور.

وجود امکان اطلاع رسانی در زمان واقعی از اقدامات غیرمجاز آشکار کاربران در سیستم های نظارتی موجود، اساساً مشکل را حل نمی کند، زیرا فقط انواع تخلفات شناخته شده قبلی (روش امضا) را ردیابی می کند و امکان پذیر نیست. برای مقابله با انواع جدید تخلفات.

توسعه و استفاده از روش های گسترده امنیت اطلاعات در سیستم های امنیت اطلاعات، که افزایش سطح حفاظت از آن را به دلیل "انتخاب" اضافی منبع محاسباتی از AS فراهم می کند، توانایی های AS را برای حل مشکلات کاهش می دهد. وظایفی که برای آنها در نظر گرفته شده است و / یا هزینه آن را افزایش می دهد. شکست چنین رویکردی در بازار به سرعت در حال توسعه فناوری اطلاعات کاملاً آشکار است.

سیستم خودکار ممیزی (نظارت) اقدامات کاربر. خواص امیدوار کننده

با توجه به نتایج تجزیه و تحلیلی که قبلا ارائه شد، نیاز آشکاری برای ارائه ویژگی های زیر به سیستم های نظارت امیدوار کننده وجود دارد:

• اتوماسیون، به استثنای عملیات معمول "دستی"؛
• ترکیبی از تمرکز (بر اساس ایستگاه کاری مدیر امنیتی) با مدیریت در سطح عناصر منفرد(پر فکر برنامه های کامپیوتری) سیستم های نظارت بر کار کاربران AU.
• مقیاس پذیری، که امکان افزایش ظرفیت سیستم های نظارت و گسترش قابلیت های آنها را بدون افزایش قابل توجهی در منابع محاسباتی لازم برای عملکرد مؤثر آنها فراهم می کند.
• سازگاری با تغییرات در ترکیب و ویژگی های نیروگاه های هسته ای، و همچنین با ظهور انواع جدیدی از نقض سیاست های امنیتی.

ساختار تعمیم یافته ASADP AS، که دارای ویژگی های متمایز ذکر شده است، که می تواند در AS برای اهداف و لوازم جانبی مختلف پیاده سازی شود، در شکل نشان داده شده است. 3.

ساختار فوق شامل اجزای اصلی زیر است:

• اجزای نرم افزاری-حسگرهایی که بر روی برخی از عناصر AS (در ایستگاه های کاری کاربر، سرورها، تجهیزات شبکه، ابزارهای امنیت اطلاعات) قرار می گیرند، که برای ثبت و پردازش داده های حسابرسی در زمان واقعی استفاده می شود.
• فایل های لاگ حاوی اطلاعات میانی درباره تجربه کاربر.
• اجزای پردازش داده و تصمیم گیری که اطلاعات را از حسگرها از طریق فایل های گزارش دریافت می کنند، آن را تجزیه و تحلیل می کنند و در مورد اقدامات بعدی تصمیم گیری می کنند (به عنوان مثال، در مورد وارد کردن برخی اطلاعات به پایگاه داده، اطلاع رسانی به مقامات، ایجاد گزارش و غیره).
• یک پایگاه داده حسابرسی (DB) حاوی اطلاعات مربوط به تمام رویدادهای ثبت شده، که بر اساس آن گزارش ها ایجاد می شود و وضعیت AU برای هر دوره زمانی معین نظارت می شود.
• اجزای تولید گزارش ها و گواهی ها بر اساس اطلاعات ثبت شده در پایگاه داده ممیزی و فیلتر کردن سوابق (بر اساس تاریخ، شناسه های کاربر، ایستگاه کاری، رویدادهای امنیتی و غیره)؛
• جزء رابط مدیر امنیتی، که برای مدیریت کار ASADP AS از ایستگاه کاری آن، مشاهده و چاپ اطلاعات، ایجاد استفاده می شود. نوع متفاوتپرس و جو به پایگاه داده و تولید گزارش ها، که امکان نظارت در زمان واقعی فعالیت های جاری کاربران AS و ارزیابی سطح فعلی امنیت منابع مختلف را فراهم می کند.
• اجزای اضافی، به ویژه اجزای نرم افزاری برای پیکربندی سیستم، نصب و قرار دادن حسگرها، بایگانی و رمزگذاری اطلاعات و غیره.

پردازش اطلاعات در ASADP AS شامل مراحل زیر است:

• تثبیت اطلاعات ثبت نام توسط حسگرها؛
• جمع آوری اطلاعات از حسگرهای فردی؛
• تبادل اطلاعات بین عوامل مربوطه سیستم؛
• پردازش، تجزیه و تحلیل و ارتباط رویدادهای ثبت شده؛
• ارائه اطلاعات پردازش شده به مدیر امنیتی به صورت عادی (در قالب گزارش، نمودار و غیره).

به منظور به حداقل رساندن منابع محاسباتی مورد نیاز، افزایش محرمانگی و قابلیت اطمینان سیستم، می توان اطلاعات را بر روی عناصر مختلف AS ذخیره کرد.

بر اساس وظیفه دادن به ASADP AS اساساً جدید (در مقایسه با سیستم های موجود برای ممیزی کار کاربران AS) ویژگی های اتوماسیون، ترکیبی از تمرکز و عدم تمرکز، مقیاس پذیری و سازگاری، یکی از استراتژی های ممکن برای ساخت آن دیده می شود. فن آوری پیشرفتهسیستم‌های چند عاملی هوشمند، که از طریق توسعه یک جامعه یکپارچه از عوامل پیاده‌سازی می‌شوند انواع مختلف(برنامه های خودمختار هوشمند که عملکردهای خاصی را برای شناسایی و مقابله با اقدامات کاربر که با خط مشی امنیتی در تضاد است را اجرا می کنند) و سازماندهی تعامل آنها.

برای بررسی دسترسی به فایل ها و پوشه ها در ویندوز سرور 2008 R2، باید ویژگی حسابرسی را فعال کنید و پوشه ها و فایل هایی را که می خواهید دسترسی به آنها را قفل کنید، مشخص کنید. پس از تنظیم ممیزی، گزارش سرور حاوی اطلاعاتی در مورد دسترسی و سایر رویدادها در پرونده ها و پوشه های انتخاب شده خواهد بود. شایان ذکر است که دسترسی به فایل‌ها و پوشه‌ها فقط روی حجم‌ها با سیستم فایل NTFS قابل بررسی است.

ممیزی اشیاء سیستم فایل را در Windows Server 2008 R2 فعال کنید

دسترسی ممیزی به فایل ها و پوشه ها با استفاده از آن فعال و غیرفعال می شود سیاست های گروه: خط مشی دامنه برای دامنه اکتیو دایرکتورییا سیاست های امنیتی محلی برای سرورهای مستقل. برای فعال کردن حسابرسی روی یک سرور، باید کنسول مدیریت را باز کنید سیاستمدار محلی شروع ->همهبرنامه ها ->اداریابزار ->محلیامنیتخط مشی. در کنسول سیاست محلی، درخت سیاست محلی را گسترش دهید ( محلیسیاست های)و عنصر را انتخاب کنید حسابرسیخط مشی.

یک مورد را در قسمت سمت راست انتخاب کنید حسابرسیهدف - شیدسترسی داشته باشیدو در پنجره ای که ظاهر می شود، مشخص کنید که چه نوع رویدادهای دسترسی به فایل ها و پوشه ها باید ضبط شوند (دسترسی موفق / ناموفق):

پس از انتخاب تنظیمات مورد نظر، فشار دهید خوب.

انتخاب فایل ها و پوشه هایی که دسترسی به آنها رفع می شود

پس از فعال شدن دسترسی ممیزی به فایل ها و پوشه ها، باید اشیاء خاصی را انتخاب کنید سیستم فایل، دسترسی به آن ممیزی خواهد شد. درست مانند مجوزهای NTFS، تنظیمات ممیزی پیش‌فرض روی همه اشیاء فرزند به ارث می‌رسد (مگر اینکه پیکربندی دیگری انجام شده باشد). همانطور که هنگام تخصیص حقوق دسترسی به فایل ها و پوشه ها، ارث بری تنظیمات ممیزی را می توان هم برای همه و هم فقط برای اشیاء انتخاب شده فعال کرد.

برای تنظیم ممیزی برای یک پوشه/فایل خاص، باید روی آن کلیک کنید کلیک راستماوس را انتخاب کنید و Properties را انتخاب کنید ( خواص). در پنجره خصوصیات، به تب Security بروید ( امنیت) و دکمه را فشار دهید پیشرفته. در پنجره تنظیمات امنیتی پیشرفته ( پیشرفتهامنیتتنظیمات) به تب حسابرسی بروید ( حسابرسی). البته تنظیم حسابرسی مستلزم حقوق مدیر است. در این مرحله، پنجره ممیزی لیستی از کاربران و گروه هایی را که ممیزی برای این منبع فعال است نمایش می دهد:

برای افزودن کاربران یا گروه هایی که دسترسی آنها به این شیء ثابت می شود، روی دکمه کلیک کنید اضافه کردن...و نام این کاربران/گروه ها را مشخص کنید (یا مشخص کنید هر کس- برای ممیزی دسترسی همه کاربران):

بلافاصله پس از اعمال این تنظیمات در گزارش سیستم امنیتی (شما می توانید آن را در کامپیوترمدیریت ->نمایشگر رویدادها)، هر بار که به اشیایی که ممیزی برای آنها فعال است دسترسی پیدا می کنید، ورودی های مربوطه ظاهر می شوند.

همچنین، رویدادها را می توان با استفاده از PowerShell cmdlet − مشاهده و فیلتر کرد Get-EventLogبه عنوان مثال، برای نمایش همه رویدادها با eventid 4660، دستور را اجرا کنید:

امنیت Get-EventLog | ?($_.eventid -eq 4660)

مشاوره. می توان به هر رویدادی اختصاص داد لاگ ویندوزاعمال خاصی مانند ارسال پست الکترونیکیا اجرای اسکریپت نحوه پیکربندی آن در مقاله توضیح داده شده است:

UPD از 08/06/2012 (با تشکر از مفسر).

در ویندوز 2008/ویندوز 7، مدیریت حسابرسی معرفی شد ابزار ویژه auditpol. لیست کاملانواع اشیایی که می توانند ممیزی شوند را می توان با استفاده از دستور مشاهده کرد:

auditpol /list /subcategory:*

همانطور که می بینید این اشیا به 9 دسته تقسیم می شوند:

• سیستم
• ورود/خروج
• دسترسی به شی
• استفاده از امتیاز
• پیگیری دقیق
• تغییر سیاست
• مدیریت حساب
• دسترسی D.S
• ورود به حساب

و هر یک از آنها به ترتیب به زیر شاخه ها تقسیم می شوند. به عنوان مثال، دسته حسابرسی دسترسی به اشیا شامل زیرمجموعه File System است و برای فعال کردن ممیزی برای اشیاء سیستم فایل در رایانه، دستور را اجرا کنید:

Auditpol /set /subcategory:"File System" /failure:enable /success:enable

با دستور غیرفعال می شود:

Auditpol /set /subcategory:"File System" /failure:disable /success:disable

آن ها اگر حسابرسی زیرمجموعه های غیر ضروری را خاموش کنید، می توانید حجم گزارش و تعداد رویدادهای غیر ضروری را به میزان قابل توجهی کاهش دهید.

پس از فعال شدن دسترسی ممیزی به فایل ها و پوشه ها، باید اشیاء خاصی را که کنترل خواهیم کرد (در ویژگی های فایل ها و پوشه ها) مشخص کنید. به خاطر داشته باشید که به‌طور پیش‌فرض، تنظیمات ممیزی بر روی تمام اشیاء فرزند به ارث می‌رسد (مگر اینکه غیر از این مشخص شده باشد).

گاهی اوقات اتفاقاتی رخ می دهد که ما را ملزم به پاسخگویی به یک سوال می کند. "کی اینکار رو کرد؟"این می تواند "به ندرت، اما به درستی" اتفاق بیفتد، بنابراین باید از قبل برای پاسخ به سوال آماده شوید.

تقریباً در همه جا، بخش‌های طراحی، بخش‌های حسابداری، توسعه‌دهندگان و سایر دسته‌هایی از کارمندان وجود دارند که روی گروه‌هایی از اسناد ذخیره‌شده در یک پوشه عمومی (Shared) روی یک سرور فایل یا در یکی از ایستگاه‌های کاری با هم کار می‌کنند. ممکن است شخصی یک سند یا دایرکتوری مهم را از این پوشه حذف کند، در نتیجه ممکن است کار کل تیم از بین برود. در آن صورت، قبل از مدیر سیستمچند سوال مطرح می شود:

چه زمانی و چه زمانی مشکل ایجاد شد؟

از نزدیک ترین به این زمان پشتیبان گیریباید اطلاعات خود را بازیابی کنید؟

شاید یک نقص سیستم وجود داشته باشد که ممکن است دوباره اتفاق بیفتد؟

ویندوز یک سیستم دارد حسابرسی،که به شما امکان می دهد اطلاعات مربوط به زمان، چه کسی و با چه برنامه ای حذف شده اند را ردیابی و ثبت کنید. به طور پیش فرض، حسابرسی فعال نیست - ردیابی به خودی خود به درصد مشخصی از ظرفیت سیستم نیاز دارد و اگر همه چیز را پشت سر هم ضبط کنید، بار خیلی زیاد می شود. علاوه بر این، ممکن است همه اقدامات کاربر برای ما جالب نباشد، بنابراین خط‌مشی‌های حسابرسی به ما اجازه می‌دهند فقط رویدادهایی را که واقعا برای ما مهم هستند ردیابی کنیم.

سیستم حسابرسی در همه تعبیه شده است سیستم های عامل مایکروسافتپنجره هاNT: ویندوز XP/Vista/7، ویندوز سرور 2000/2003/2008. متاسفانه در سیستم های سری خانه ویندوزحسابرسی عمیقاً پنهان است و پیکربندی آن بسیار دشوار است.

چه چیزی باید پیکربندی شود؟

برای فعال کردن حسابرسی، با حقوق مدیر وارد رایانه ای شوید که دسترسی به اسناد مشترک را فراهم می کند و دستور را اجرا کنید. شروع کنید→اجرا کن→gpedit.msc. در قسمت Computer Configuration، پوشه را باز کنید تنظیمات ویندوز→ تنظیمات امنیتی→ سیاست های محلی→ سیاست های حسابرسی:

روی یک خط مشی دوبار کلیک کنید دسترسی به شیء حسابرسی (ممیزی دسترسی به اشیا)و چک باکس را انتخاب کنید موفقیت. این تنظیم مکانیسم ردیابی موفقیت آمیز دسترسی به فایل و رجیستری را روشن می کند. در واقع، ما فقط به تلاش های موفقیت آمیز برای حذف فایل ها یا پوشه ها علاقه مند هستیم. حسابرسی را فقط در رایانه هایی فعال کنید که مستقیماً اشیاء نظارت شده را ذخیره می کنند.

صرفاً فعال کردن سیاست حسابرسی کافی نیست، همچنین باید مشخص کنیم که به کدام پوشه‌ها می‌خواهیم دسترسی داشته باشیم. معمولاً چنین اشیایی پوشه های اسناد مشترک (به اشتراک گذاشته شده) و پوشه هایی با برنامه های تولیدی یا پایگاه داده (حسابداری، انبار و غیره) هستند - یعنی منابعی که چندین نفر با آنها کار می کنند.

نمی توان از قبل حدس زد که دقیقاً چه کسی فایل را حذف می کند ، بنابراین ردیابی برای همه (همه) نشان داده شده است. تلاش های موفقیت آمیز برای حذف اشیاء نظارت شده توسط هر کاربر ثبت می شود. ویژگی های پوشه مورد نیاز را فراخوانی کنید (اگر چندین پوشه از این قبیل وجود دارد، همه آنها به نوبه خود) و در برگه امنیت → پیشرفته → حسابرسیردیابی موضوع را اضافه کنید همه (همه)تلاش های موفقیت آمیز او برای دسترسی حذفو حذف زیر پوشه ها و فایل ها:

بسیاری از رویدادها را می توان ثبت کرد، بنابراین باید اندازه گزارش را نیز تنظیم کنید امنیت(ایمنی)که به آنها نوشته خواهد شد. برای
این دستور را اجرا کنید شروع کنید→ اجرا کن→ eventvwr. msc. در پنجره ای که ظاهر می شود، ویژگی های گزارش امنیتی را فراخوانی کرده و پارامترهای زیر را مشخص کنید:

حداکثر اندازه گزارش = 65536 کیلوبایت(برای ایستگاه های کاری) یا 262144 کیلوبایت(برای سرورها)

در صورت نیاز، رویدادها را بازنویسی کنید.

در واقع، این ارقام تضمین نمی شوند که دقیق باشند، اما به صورت تجربی برای هر مورد خاص انتخاب می شوند.

پنجره ها 2003/ XP)?

کلیک شروع کنید→ اجرا کن→ eventvwr.msc امنیت (امنیت). چشم انداز→ فیلتر

• منبع رویداد:امنیتی;
• دسته: دسترسی به شی;
• انواع رویداد: حسابرسی موفقیت؛
• شناسه رویداد: 560;

فهرست رویدادهای فیلتر شده را با توجه به فیلدهای زیر در هر ورودی مرور کنید:

• هدف - شینام. نام پوشه یا فایل جستجو شده؛
• تصویرفایلنام. نام برنامه ای که فایل را حذف کرده است؛
• دسترسی دارد. مجموعه حقوق درخواستی

این برنامه می تواند چندین نوع دسترسی را به طور همزمان از سیستم درخواست کند - به عنوان مثال، حذف+ همگام سازی کنیدیا حذف+ خواندن_ کنترل. برای ما درست است حذف.

پس چه کسی اسناد را حذف کرد (پنجره ها 2008/ ویستا)?

کلیک شروع کنید→ اجرا کن→ eventvwr.mscو لاگ را باز کنید امنیت (امنیت).گزارش ممکن است پر از رویدادهایی باشد که مستقیماً با مشکل مرتبط نیستند. با کلیک راست بر روی گزارش Security، دستور را انتخاب کنید چشم انداز→ فیلترو نما را با معیارهای زیر فیلتر کنید:

• منبع رویداد: امنیت;
• دسته: دسترسی به شی;
• انواع رویداد: حسابرسی موفقیت؛
• شناسه رویداد: 4663;

در تفسیر همه حذف‌ها به عنوان مخرب عجله نکنید. این تابع اغلب در طول عملیات عادی برنامه ها استفاده می شود - به عنوان مثال، اجرای دستور صرفه جویی(صرفه جویی)،برنامه های بسته مایکروسافتدفترابتدا یک فایل موقت جدید ایجاد کنید، سند را در آن ذخیره کنید و سپس آن را حذف کنید نسخه پیشینفایل. به همین ترتیب، بسیاری از برنامه های پایگاه داده ابتدا یک فایل قفل موقت هنگام راه اندازی ایجاد می کنند. (. lck), سپس هنگام خروج از برنامه آن را حذف کنید.

در عمل، مجبور بودم با اقدامات مخرب کاربر مقابله کنم. به عنوان مثال، یک کارمند درگیری در یک شرکت خاص، پس از ترک محل کار خود، تصمیم گرفت با حذف فایل ها و پوشه هایی که مربوط به آنها بود، تمام نتایج کار خود را از بین ببرد. رویدادهایی از این نوع به وضوح قابل مشاهده هستند - آنها ده ها، صدها ورودی در ثانیه در گزارش امنیتی ایجاد می کنند. البته بازیابی مدارک از سایهکپی ها(نسخه های سایه)یا یک آرشیو روزانه ایجاد شده به طور خودکار دشوار نیست، اما در عین حال می توانم به سؤالات "چه کسی این کار را انجام داده است" پاسخ دهم؟ و "چه زمانی این اتفاق افتاد؟".