Automatizēta sistēma lietotāju darbību auditēšanai (uzraudzībai). Lietotāju darbību audits. Audits operētājsistēmā Windows 7

Nepieciešamību ieviest audita sistēmas lietotāju darbībām jebkura līmeņa organizācijās apstiprina analīzē iesaistīto uzņēmumu pētījumi informācijas drošība.

Piemēram, Kaspersky Lab pētījums parādīja, ka divas trešdaļas informācijas drošības incidentu (67%) cita starpā izraisa arī slikti informētu vai neuzmanīgu darbinieku rīcība. Tajā pašā laikā, saskaņā ar ESET pētījumu, 84% uzņēmumu nepietiekami novērtē cilvēciskā faktora radītos riskus.

Aizsardzība pret iekšējiem draudiem prasa vairāk pūļu nekā aizsardzība pret ārējiem draudiem. Lai cīnītos pret ārējiem “kaitēkļiem”, tostarp vīrusiem un mērķtiecīgiem uzbrukumiem organizācijas tīklam, pietiek ar atbilstošas programmatūras vai aparatūras-programmatūras sistēmas ieviešanu. Organizācijas aizsardzībai pret iekšēju uzbrukumu būs nepieciešami lielāki ieguldījumi drošības infrastruktūrā un padziļināta analīze. Analītiskais darbs ietver uzņēmējdarbībai viskritiskāko apdraudējumu veidu noteikšanu, kā arī “pārkāpēju portretu” sastādīšanu, tas ir, noteikt, kādu kaitējumu lietotājs var nodarīt, pamatojoties uz savām kompetencēm un pilnvarām.

Lietotāju darbību audits ir nesaraujami saistīts ne tikai ar izpratni par to, kādas tieši informācijas drošības sistēmas “rokas” ir ātri jānovērš, bet arī ar biznesa ilgtspējas jautājumu kopumā. Uzņēmumiem, kas apņēmušies nepārtraukti darboties, jārēķinās, ka, sarežģījoties un pieaugot informatizācijas un biznesa automatizācijas procesiem, iekšējo apdraudējumu skaits tikai pieaug.

Papildus parasta darbinieka rīcības izsekošanai nepieciešams veikt “superlietotāju” - darbinieku ar priviliģētām tiesībām - darbības auditu un attiecīgi lielākas iespējas nejauši vai tīši realizēt informācijas noplūdes draudus. Šie lietotāji ir sistēmas administratori, datu bāzu administratori un iekšējie programmatūras izstrādātāji. Šeit var pievienot arī piesaistītos IT speciālistus un par informācijas drošību atbildīgos darbiniekus.

Lietotāju darbību uzraudzības sistēmas ieviešana uzņēmumā ļauj fiksēt darbinieku aktivitātes un ātri reaģēt uz tām. Svarīgi: audita sistēmai jābūt visaptverošai. Tas nozīmē, ka informācija par parasta darbinieka, sistēmas administratora vai augstākā vadītāja darbībām ir jāanalizē operētājsistēmas līmenī, biznesa lietojumprogrammu lietošanā, līmenī. tīkla ierīces, piekļuve datu bāzēm, ārējo datu nesēju pievienošana utt.

Mūsdienu sistēmas visaptverošs audits ļauj kontrolēt visus lietotāja darbību posmus no palaišanas līdz datora (termināla darbstacijas) izslēgšanai. Tiesa, praksē viņi cenšas izvairīties no pilnīgas kontroles. Ja visas darbības tiek ierakstītas audita žurnālos, organizācijas informācijas sistēmu infrastruktūras slodze palielinās vairākas reizes: darbstacijas karājas, serveri un kanāli strādā ar pilnu slodzi. Paranoja attiecībā uz informācijas drošību var kaitēt biznesam, būtiski palēninot darba procesus.

Kompetents informācijas drošības speciālists galvenokārt nosaka:

kādi dati uzņēmumā ir visvērtīgākie, jo ar tiem būs saistīta lielākā daļa iekšējo apdraudējumu;
kas un kādā līmenī var piekļūt vērtīgiem datiem, tas ir, iezīmē iespējamo pārkāpēju loku;
cik lielā mērā pašreizējie drošības pasākumi var izturēt tīšas un/vai nejaušas lietotāja darbības.

Piemēram, finanšu sektora informācijas drošības speciālisti par visbīstamākajiem uzskata maksājumu datu noplūdes un piekļuves ļaunprātīgas izmantošanas draudus. Rūpniecības un transporta nozarē lielākās bažas rada zinātības noplūde un darbinieku nelojāla uzvedība. Līdzīgas bažas ir IT sektorā un telekomunikāciju biznesā, kur kritiskākie draudi ir patentētu izstrādņu, komercnoslēpumu un maksājumu informācijas noplūde.

KĀ IESPĒJAMĀKIE “TIPISKĀKIE” PĀRKĀPĀJUMI, ANALĪTIKAS NOrāda:

Augstākā vadība: izvēle ir acīmredzama – pēc iespējas plašākas pilnvaras, pieeja visvērtīgākajai informācijai. Tajā pašā laikā par drošību atbildīgie nereti piever acis uz informācijas drošības noteikumu pārkāpumiem no šādu personu puses.
Nelojāli darbinieki : lai noteiktu lojalitātes pakāpi, uzņēmuma informācijas drošības speciālistiem jāanalizē atsevišķa darbinieka rīcība.
Administratori Speciālisti ar priviliģētu piekļuvi un padziļinātām pilnvarām, kuriem ir padziļinātas zināšanas IT jomā, ir pakļauti kārdinājumam iegūt nesankcionētu piekļuvi svarīga informācija;
Darbuzņēmēja darbinieki / ārpakalpojumi : līdzīgi kā administratori, arī “ārpuses” eksperti ar plašām zināšanām var realizēt dažādus draudus, atrodoties “iekšā” klienta informācijas sistēmā.

Nozīmīgākās informācijas un visticamāko uzbrucēju noteikšana palīdz izveidot nevis pilnīgas, bet selektīvas lietotāju kontroles sistēmu. Šī "izkrauj" informācijas sistēma un atbrīvo informācijas drošības speciālistus no liekā darba.

Papildus selektīvai uzraudzībai audita sistēmu arhitektūra spēlē nozīmīgu lomu sistēmas darbības paātrināšanā, analīzes kvalitātes uzlabošanā un infrastruktūras slodzes samazināšanā. Mūsdienu lietotāju darbību auditēšanas sistēmām ir sadalīta struktūra. Gala darbstacijās un serveros tiek instalēti sensoru aģenti, kas analizē noteikta veida notikumus un pārsūta datus uz konsolidācijas un uzglabāšanas centriem. Sistēmas, kas analizē ierakstīto informāciju, pamatojoties uz sistēmā iebūvētiem parametriem, audita žurnālos atrod aizdomīgu vai anomālu darbību faktus, kurus nevar uzreiz attiecināt uz mēģinājumu īstenot draudus. Šie fakti tiek pārraidīti reaģēšanas sistēmai, kas par pārkāpumu paziņo drošības administratoram.

Ja audita sistēma spēj patstāvīgi tikt galā ar pārkāpumu (parasti šādas informācijas drošības sistēmas nodrošina paraksta metodi reaģēšanai uz draudiem), tad pārkāpums tiek apturēts plkst. automātiskais režīms, un visa nepieciešamā informācija par likumpārkāpēju, viņa rīcību un apdraudējuma mērķi nonāk īpašā datu bāzē. Šādā gadījumā drošības administratora konsole paziņo, ka draudi ir neitralizēti.

Ja sistēmai nav veidu, kā automātiski reaģēt uz aizdomīga darbība, tad visa informācija, lai neitralizētu apdraudējumu vai analizētu tā sekas, tiek pārsūtīta uz informācijas drošības administratora konsoli, lai veiktu darbības manuāli.

JEBKURAS ORGANIZĀCIJAS UZRAUDZĪBAS SISTĒMĀ DARBĪBAS JĀKONFIGURĒ:

Pārbaudīt darbstaciju, serveru izmantošanu, kā arī lietotāju aktivitāšu laiku (stundās un nedēļas dienās) tajos. Tādā veidā tiek noteikta informācijas resursu izmantošanas iespējamība.

Anotācija: Noslēguma lekcijā sniegti galīgie ieteikumi īstenošanai tehniskajiem līdzekļiem konfidenciālas informācijas aizsardzība, detalizēti tiek apskatītas InfoWatch risinājumu īpašības un darbības principi

InfoWatch programmatūras risinājumi

Mērķis šis kurss Tā nav detalizēta iepazīšanās ar InfoWatch produktu darbības tehniskajām detaļām, tāpēc tos aplūkosim no tehniskā mārketinga puses. InfoWatch produkti ir balstīti uz divām fundamentālām tehnoloģijām – satura filtrēšanu un lietotāja vai administratora darbību auditēšanu darba vietā. Tāpat daļa no visaptverošā InfoWatch risinājuma ir no informācijas sistēmas pametušās informācijas krātuve un vienota iekšējās drošības pārvaldības konsole.

Informācijas plūsmas kanālu satura filtrēšana

Pamata atšķirīga iezīme InfoWatch satura filtrēšanas pamatā ir morfoloģiskā kodola izmantošana. Atšķirībā no tradicionālās parakstu filtrēšanas, InfoWatch satura filtrēšanas tehnoloģijai ir divas priekšrocības – nejutīgums pret elementāru kodējumu (dažu rakstzīmju aizstāšana ar citām) un augstāka veiktspēja. Tā kā kodols darbojas nevis ar vārdiem, bet gan ar sakņu formām, tas automātiski nogriež saknes, kurās ir jaukti kodējumi. Arī darbs ar saknēm, kuru katrā valodā ir nepilni desmit tūkstoši, nevis ar vārdu formām, kuru valodās ir aptuveni miljons, ļauj uzrādīt vērā ņemamus rezultātus uz visai neproduktīvām iekārtām.

Lietotāju darbību audits

Lai pārraudzītu lietotāja darbības ar dokumentiem darbstacijā, InfoWatch piedāvā vairākus pārtvērējus vienā aģentā darbstacijā — pārtvērējus failu operācijām, drukāšanas darbībām, operācijām lietojumprogrammās un darbībām ar pievienotajām ierīcēm.

Informācijas krātuve, kas pa visiem kanāliem ir atstājusi informācijas sistēmu.

Uzņēmums InfoWatch piedāvā informācijas krātuvi, kas ir atstājusi informācijas sistēmu. Dokumenti iziet cauri visiem kanāliem, kas ved ārpus sistēmas – e-pastu, internetu, drukāšanu un noņemams datu nesējs, tiek glabāti *atmiņas lietojumprogrammā (līdz 2007. gadam - modulis Traffic Monitor Storage Server) norādot visus atribūtus - lietotāja pilnu vārdu un amatu, viņa elektroniskās prognozes (IP adrese, konts vai pasta adrese), darījuma datums un laiks, dokumentu nosaukums un atribūti. Visa informācija ir pieejama analīzei, tostarp satura analīzei.

Saistītās darbības

Konfidenciālas informācijas aizsardzības tehnisko līdzekļu ieviešana šķiet neefektīva, neizmantojot citas metodes, galvenokārt organizatoriskas. Mēs jau esam apsprieduši dažus no tiem iepriekš. Tagad apskatīsim tuvāk citus nepieciešamās darbības.

Pārkāpēju uzvedības modeļi

Izvietojot sistēmu darbību pārraudzībai ar konfidenciālu informāciju, papildus funkcionalitātes un analītisko iespēju palielināšanai, jūs varat attīstīties vēl divos virzienos. Pirmā ir aizsardzības sistēmu integrācija pret iekšējiem un ārējiem draudiem. Pēdējo gadu incidenti liecina, ka starp iekšējiem un ārējiem uzbrucējiem pastāv lomu sadalījums, un, apvienojot informāciju no ārējām un iekšējām draudu uzraudzības sistēmām, būs iespējams atklāt šādus kombinētus uzbrukumus. Viens no ārējās un iekšējās drošības saskarsmes punktiem ir piekļuves tiesību pārvaldība, jo īpaši saistībā ar ražošanas nepieciešamību simulēt nelojālu darbinieku un diversantu tiesības palielināt tiesības. Visos pieprasījumos par piekļuvi resursiem, kas neietilpst oficiālo pienākumu jomā, nekavējoties jāiekļauj mehānisms, lai pārbaudītu ar šo informāciju veiktās darbības. Vēl drošāk ir atrisināt problēmas, kas pēkšņi rodas, neatverot piekļuvi resursiem.

Sniegsim piemēru no dzīves. Sistēmas administrators saņēma mārketinga nodaļas vadītāja pieprasījumu atvērt pieeju finanšu sistēmai. Pieteikuma atbalstam tika pievienots uzdevums ģenerāldirektors uzņēmuma ražoto preču iegādes procesu mārketinga pētījumiem. Tā kā finanšu sistēma ir viens no visvairāk aizsargātajiem resursiem un atļauju tai piekļūt dod izpilddirektors, pieteikumā rakstīja informācijas drošības nodaļas vadītājs. alternatīvs risinājums- nedodiet piekļuvi, bet augšupielādējiet anonimizētus (nenorādot klientus) datus īpašā datu bāzē analīzei. Atbildot uz galvenā mārketinga speciālista iebildumiem, ka viņam ir neērti šādi strādāt, direktors viņam uzdeva jautājumu "pa galvu": "Kāpēc jums ir vajadzīgi klientu vārdi - vai vēlaties apvienot datubāzi? ” -pēc tam visi devās uz darbu. Vai tas bija mēģinājums nopludināt informāciju, mēs nekad neuzzināsim, taču, lai kas tas arī būtu, korporatīvā finanšu sistēma tika aizsargāta.

Noplūžu novēršana sagatavošanas laikā

Vēl viens virziens iekšējo incidentu uzraudzības sistēmas izveidei ar konfidenciālu informāciju ir noplūžu novēršanas sistēmas izveide. Šādas sistēmas darbības algoritms ir tāds pats kā ielaušanās novēršanas risinājumos. Pirmkārt, tiek izveidots iebrucēja modelis un no tā tiek izveidots “pārkāpuma paraksts”, tas ir, iebrucēja darbību secība. Ja vairākas lietotāja darbības sakrīt ar pārkāpuma parakstu, tiek prognozēts lietotāja nākamais solis, un, ja arī tas atbilst parakstam, tiek izsaukts trauksmes signāls. Piemēram, tika atvērts konfidenciāls dokuments, daļa no tā tika atlasīta un iekopēta starpliktuvē, pēc tam a jauns dokuments un bufera saturs tika iekopēts tajā. Sistēma pieņem: ja jauns dokuments pēc tam tiek saglabāts bez etiķetes “konfidenciāls”, tas ir zagšanas mēģinājums. USB disks vēl nav ievietots, vēstule nav ģenerēta, un sistēma informē informācijas drošības speciālistu, kurš pieņem lēmumu - apturēt darbinieku vai izsekot, kur informācija nonāk. Starp citu, likumpārkāpēja uzvedības modeļus (citos avotos - "profilos") var izmantot ne tikai, vācot informāciju no programmatūras aģentiem. Ja analizējat datu bāzes vaicājumu raksturu, jūs vienmēr varat identificēt darbinieku, kurš, izmantojot virkni secīgu vaicājumu datu bāzei, mēģina iegūt konkrētu informāciju. Nekavējoties jāuzrauga, ko tā dara ar šiem pieprasījumiem, vai tos saglabā, vai savieno noņemamos datu nesējus utt.

Informācijas uzglabāšanas organizēšana

Datu anonimizācijas un šifrēšanas principi ir priekšnoteikums uzglabāšanas un apstrādes organizēšanai, un attālināta piekļuve var organizēt, izmantojot termināļa protokolu, neatstājot nekādu informāciju datorā, no kura tiek organizēts pieprasījums.

Integrācija ar autentifikācijas sistēmām

Agri vai vēlu klientam nāksies izmantot sistēmu darbību uzraudzībai ar konfidenciāliem dokumentiem, lai atrisinātu personāla problēmas – piemēram, darbinieku atlaišana, pamatojoties uz šajā sistēmā dokumentētiem faktiem vai pat nopludināto personu saukšana pie atbildības. Taču viss, ko uzraudzības sistēma spēj nodrošināt, ir likumpārkāpēja elektroniskais identifikators – IP adrese, konts, e-pasta adrese utt. Lai likumīgi apsūdzētu darbinieku, šim identifikatoram ir jābūt saistītam ar personu. Šeit tiek atvērts integrators jauns tirgus– autentifikācijas sistēmu ieviešana – no vienkāršiem marķieriem līdz uzlabotiem biometriskiem un RFID identifikatoriem.

Viktors Čutovs
Projekta vadītājs INFORMSVYAZ HOLDING

Sistēmas ieviešanas priekšnoteikumi

Pirmais atklātais globālais pētījums par iekšējiem draudiem informācijas drošībai, ko veica Infowatch 2007. gadā (pamatojoties uz 2006. gada rezultātiem), parādīja, ka iekšējie draudi ir ne mazāk izplatīti (56,5%) nekā ārējie (ļaunprātīga programmatūra, surogātpasts, hakeri utt.). d.). Turklāt lielākajā daļā (77%) iekšēja apdraudējuma ieviešanas iemesls ir pašu lietotāju nolaidība (nespēja darba apraksti vai informācijas drošības pamatpasākumu neievērošana).

Situācijas izmaiņu dinamika 2006.-2008.gada periodā. attēlā parādīts. 1.

Relatīvais noplūžu īpatsvara samazinājums neuzmanības dēļ ir saistīts ar informācijas noplūdes novēršanas sistēmu daļēju ieviešanu (tostarp lietotāju darbību uzraudzības sistēmas), kas nodrošina diezgan augstu aizsardzības pakāpi pret nejaušām noplūdēm. Turklāt tas ir saistīts ar absolūtu tīšu personas datu zādzību skaita pieaugumu.

Neraugoties uz izmaiņām statistikā, joprojām varam droši apgalvot, ka prioritārais uzdevums ir apkarot netīšu informācijas noplūdi, jo ar šādu noplūdi cīnīties ir vienkāršāk, lētāk, kā rezultātā lielākā daļa incidentu tiek segti.

Tajā pašā laikā, saskaņā ar Infowatch un Perimetrix 2004.–2008. gada pētījumu rezultātu analīzi, darbinieku nolaidība ieņem otro vietu starp visbīstamākajiem draudiem (apkopotie pētījuma rezultāti ir parādīti 2. attēlā), un tās nozīme turpina pieaugt. ar uzņēmumu programmatūras un aparatūras automatizēto sistēmu (AS) pilnveidošanu.

Tādējādi tādu sistēmu ieviešana, kas uzņēmuma automatizētajā sistēmā izslēdz iespēju darbiniekam negatīvi ietekmēt informācijas drošību (t.sk. uzraudzības programmas), nodrošina informācijas drošības dienesta darbiniekus ar pierādījumu bāzi un materiāliem incidenta izmeklēšanai, novērsīs draudus noplūdes nolaidības dēļ, ievērojami samaziniet nejaušas noplūdes, kā arī nedaudz samaziniet tīšas. Galu galā šim pasākumam būtu jādod iespēja ievērojami samazināt iekšējo pārkāpēju radīto draudu īstenošanu.

Mūsdienīga automatizēta sistēma lietotāju darbību auditēšanai. Priekšrocības un trūkumi

Automatizētās sistēmas lietotāju darbību auditēšanai (monitoringam) (ASADP) AS, ko mēdz dēvēt par uzraudzības programmatūras produktiem, ir paredzētas AS drošības administratoru (organizācijas informācijas drošības dienesta) lietošanai, lai nodrošinātu tās novērojamību – “īpašības skaitļošanas sistēma, kas ļauj fiksēt lietotāju aktivitātes, kā arī unikāli noteikt konkrētos notikumos iesaistīto lietotāju identifikatorus, lai novērstu drošības politiku pārkāpumus un/vai nodrošinātu atbildību par noteiktām darbībām.”

AS novērojamības īpašība atkarībā no tā ieviešanas kvalitātes vienā vai otrā pakāpē ļauj uzraudzīt, vai organizācijas darbinieki ievēro tās drošības politiku un noteiktos noteikumus. drošs darbs datoros.

Uzraudzības programmatūras produktu izmantošana, tostarp reāllaikā, ir paredzēta, lai:

identificēt (lokalizēt) visus gadījumus, kad mēģinājumi nesankcionēti piekļūt konfidenciālai informācijai, precīzi norādot laiku un tīkla darba vietu, no kuras šāds mēģinājums izdarīts;
identificēt nesankcionētas programmatūras instalēšanas faktus;
identificēt visus papildu aparatūras (piemēram, modemu, printeru u.c.) nesankcionētas izmantošanas gadījumus, analizējot nesankcionētu instalētu specializētu lietojumprogrammu palaišanas faktus;
identificēt visus gadījumus, kad uz tastatūras tiek rakstīti kritiski vārdi un frāzes, sagatavoti svarīgi dokumenti, kuru nodošana trešajām personām radīs materiālos zaudējumus;
kontrolēt piekļuvi serveriem un personālajiem datoriem;
kontrolēt kontaktus sērfošanas laikā Interneta tīkli;
veikt pētījumus, kas saistīti ar personāla reakcijas uz ārējām ietekmēm precizitātes, efektivitātes un atbilstības noteikšanu;
nosaka organizācijas datoru darbstaciju slodzi (pēc diennakts laika, nedēļas dienas utt.), lai zinātniski organizētu lietotāju darbu;
uzraudzīt lietošanas gadījumus personālajiem datoriemārpus darba laika un identificē šādas izmantošanas mērķi;
saņemt nepieciešamo uzticamo informāciju, uz kuras pamata tiek pieņemti lēmumi, lai pielāgotu un uzlabotu organizācijas informācijas drošības politiku u.c.

Šo funkciju ieviešana tiek panākta, AS darbstacijās un serveros ieviešot aģentu moduļus (sensorus) ar turpmāku statusa aptauju vai ziņojumu saņemšanu no tiem. Pārskati tiek apstrādāti drošības administratora konsolē. Dažas sistēmas ir aprīkotas ar starpserveriem (konsolidācijas punktiem), kas apstrādā savas zonas un drošības grupas.

Diriģēts sistēmas analīze tirgū piedāvātie risinājumi (StatWin, Tivoli Configuration Manager, Tivoli Remote Control, OpenView Operations, Uryadnik/Enterprise Guard, Insider) ļāva identificēt vairākas specifiskas īpašības, kuru piešķiršana daudzsološajam ASADP uzlabos tā veiktspējas rādītājus salīdzinājumā. ar pētītajiem paraugiem.

Vispārīgā gadījumā līdz ar diezgan plašu funkcionalitāti un lielu opciju paketi esošās sistēmas var izmantot, lai izsekotu tikai atsevišķu AS lietotāju darbībām, pamatojoties uz obligātu visu norādīto AS elementu (un galvenokārt darbstacijas) ciklisku aptauju (skenēšanu). lietotāji).

Tajā pašā laikā mūsdienu sistēmu izplatība un mērogs, tostarp diezgan liels skaits AWS, tehnoloģijas un programmatūra ievērojami apgrūtina lietotāju darba uzraudzības procesu, un katra no tīkla ierīcēm spēj ģenerēt tūkstošiem audita ziņojumu, sasniedzot diezgan lielus informācijas apjomus, kas prasa uzturēt milzīgas, bieži vien dublējošas datu bāzes. Šie rīki, cita starpā, patērē ievērojamus tīkla un aparatūras resursus un ielādē koplietojamo sistēmu. Tie izrādās neelastīgi aparatūras un programmatūras pārkonfigurēšanai datortīkli, nespēj pielāgoties nezināmu veidu pārkāpumiem un tīkla uzbrukumiem, un to drošības politikas pārkāpumu atklāšanas efektivitāte lielā mērā būs atkarīga no AS elementu skenēšanas biežuma, ko veiks drošības administrators.

Viens no veidiem, kā palielināt šo sistēmu efektivitāti, ir tieša skenēšanas biežuma palielināšana. Tas neizbēgami novedīs pie to pamatuzdevumu veikšanas efektivitātes samazināšanās, kuriem faktiski šī AS ir paredzēta, jo būtiski palielināsies skaitļošanas slodze gan administratora darbstacijā, gan lietotāju darbstaciju datoros, kā arī tāpat kā ar satiksmes pieaugumu lokālais tīkls AC.

Papildus problēmām, kas saistītas ar liela datu apjoma analīzi, esošajām uzraudzības sistēmām ir nopietni ierobežojumi pieņemto lēmumu efektivitātē un precizitātē, ko izraisa cilvēciskais faktors, ko nosaka administratora kā cilvēka operatora fiziskās iespējas.

Esošajās uzraudzības sistēmās iespēja paziņot par acīmredzamām lietotāju neatļautām darbībām reāllaikā neatrisina problēmu kopumā, jo tā ļauj izsekot tikai iepriekš zināmiem pārkāpumu veidiem (paraksta metode), kā arī nespēj novērst jaunus pārkāpumu veidus.

Plašu metožu izstrāde un izmantošana informācijas drošības nodrošināšanai informācijas drošības sistēmās, paredzot tās aizsardzības līmeņa paaugstināšanu, papildus skaitļošanas resursa “izvēles” dēļ no AS, samazina AS spēju risināt problēmas. uzdevumiem, kuriem tas paredzēts, un/vai palielina tā izmaksas. Šīs pieejas neveiksme strauji augošajā IT tehnoloģiju tirgū ir diezgan acīmredzama.

Automatizēta sistēma lietotāju darbību auditēšanai (uzraudzībai). Daudzsološi īpašumi

No iepriekš sniegtajiem analīzes rezultātiem izriet acīmredzama nepieciešamība piešķirt daudzsološām monitoringa sistēmām šādas īpašības:

automatizācija, novēršot parastās “manuālās” darbības;
centralizācijas kombinācija (pamatojoties uz automatizētu drošības administratora darbstaciju) ar pārvaldību līmenī atsevišķi elementi(intelektuāls datorprogrammas) AS lietotāju darba uzraudzības sistēmas;
mērogojamība, kas ļauj palielināt uzraudzības sistēmu kapacitāti un paplašināt to iespējas, būtiski nepalielinot to efektīvai darbībai nepieciešamos skaitļošanas resursus;
spēju pielāgoties izmaiņām AS sastāvā un īpašībās, kā arī jauna veida drošības politikas pārkāpumu rašanās.

ASADP AS vispārināta struktūra, kurai ir atzīmētas atšķirīgās iezīmes, kuras var realizēt AS dažādiem mērķiem un piederumi, parādīti attēlā. 3.

Dotā struktūra ietver šādas galvenās sastāvdaļas:

programmatūras komponenti-sensori, kas novietoti uz dažiem skaļruņu sistēmas elementiem (lietotāju darbstacijās, serveros, tīkla iekārtas, informācijas drošības rīki), ko izmanto audita datu ierakstīšanai un apstrādei reāllaikā;
reģistrācijas faili, kas satur starpposma informāciju par lietotāju darbu;
datu apstrādes un lēmumu pieņemšanas komponentes, kas caur reģistrācijas failiem saņem informāciju no sensoriem, analizē to un pieņem lēmumus par turpmākajām darbībām (piemēram, kādas informācijas ievadīšana datu bāzē, amatpersonu apziņošana, atskaišu veidošana utt.);
audita datubāze (DB), kurā ir informācija par visiem reģistrētajiem notikumiem, uz kuras pamata tiek veidoti ziņojumi un uzraudzīts AS stāvoklis jebkurā noteiktā laika periodā;
komponenti atskaišu un sertifikātu ģenerēšanai, pamatojoties uz audita datubāzē ierakstīto informāciju un filtrēšanas ierakstiem (pēc datuma, pēc lietotāja ID, pēc darbstacijas, pēc drošības notikumiem utt.);
drošības administratora saskarnes komponents, kas kalpo, lai kontrolētu ASADP AS darbību ar tās darbstaciju, apskatītu un izdrukātu informāciju, izveidotu dažādi veidi datu bāzes vaicājumi un atskaišu ģenerēšana, ļaujot reāllaikā uzraudzīt AS lietotāju aktuālās darbības un novērtēt dažādu resursu pašreizējo drošības līmeni;
papildu komponenti, jo īpaši programmatūras komponenti sistēmas konfigurēšanai, sensoru uzstādīšanai un novietošanai, informācijas arhivēšanai un šifrēšanai utt.

Informācijas apstrāde ASADP AS ietver šādus posmus:

reģistrācijas informācijas ierakstīšana ar sensoriem;
informācijas vākšana no atsevišķiem sensoriem;
informācijas apmaiņa starp attiecīgajiem sistēmas aģentiem;
reģistrēto notikumu apstrāde, analīze un korelācija;
apstrādātās informācijas prezentēšana drošības administratoram normalizētā formā (atskaišu, diagrammu u.c. veidā).

Lai samazinātu nepieciešamos skaitļošanas resursus, palielinātu sistēmas slepenību un uzticamību, informāciju var uzglabāt dažādos AS elementos.

Pamatojoties uz uzdevumu piešķirt principiāli jaunas (salīdzinājumā ar esošajām sistēmām AS lietotāju darba auditēšanai) automatizācijas īpašības, centralizācijas un decentralizācijas, mērogojamības un pielāgojamības kombināciju, šķiet, ka viena no iespējamām tās izveides stratēģijām ir modernās tehnoloģijas inteliģentas vairāku aģentu sistēmas, kas ieviestas, attīstot integrētu aģentu kopienu dažādi veidi(inteliģentas autonomas programmas, kas īsteno noteiktas funkcijas, lai noteiktu un novērstu lietotāja darbības, kas ir pretrunā ar drošības politiku) un organizētu to mijiedarbību.

Lai pārbaudītu piekļuvi failiem un mapēm Windows Server 2008 R2, jums ir jāiespējo audita funkcija, kā arī jānorāda mapes un faili, kuriem jāreģistrē piekļuve. Pēc audita iestatīšanas servera žurnālā būs informācija par piekļuvi un citiem notikumiem atlasītajos failos un mapēs. Ir vērts atzīmēt, ka piekļuves failiem un mapēm auditu var veikt tikai sējumos ar NTFS failu sistēmu.

Iespējot failu sistēmas objektu auditēšanu sistēmā Windows Server 2008 R2

Failu un mapju piekļuves audits ir iespējots un atspējots, izmantojot grupas politikas: domēna politika domēnam Active Directory vai vietējās drošības politikas atsevišķiem serveriem. Lai iespējotu auditēšanu atsevišķā serverī, ir jāatver pārvaldības konsole vietējais politiķis Sākt ->VisiProgrammas ->AdministratīvāRīki ->VietējaisDrošībaPolitika. Vietējās politikas konsolē ir jāpaplašina vietējās politikas koks ( VietējaisPolitikas) un atlasiet elementu AuditsPolitika.

Labajā panelī ir jāizvēlas elements AuditsObjektsPiekļuve un parādītajā logā norādiet, kāda veida piekļuves notikumi failiem un mapēm ir jāreģistrē (veiksmīga/neveiksmīga piekļuve):

Pēc vajadzīgā iestatījuma izvēles noklikšķiniet uz LABI.

Failu un mapju izvēle, kurām tiks reģistrēta piekļuve

Pēc audita piekļuves failiem un mapēm aktivizēšanas jums ir jāizvēlas konkrēti objekti failu sistēma, kurai piekļuve tiks pārbaudīta. Tāpat kā NTFS atļaujas, audita iestatījumi pēc noklusējuma tiek mantoti visiem pakārtotajiem objektiem (ja vien nav konfigurēts citādi). Tāpat kā piešķirot piekļuves tiesības failiem un mapēm, audita iestatījumu pārmantošanu var iespējot visiem vai tikai atlasītajiem objektiem.

Lai iestatītu auditēšanu konkrētai mapei/failam, jānoklikšķina uz tā ar peles labo pogu noklikšķiniet peli un izvēlieties Properties ( Īpašības). Rekvizītu logā dodieties uz cilni Drošība ( Drošība) un nospiediet pogu Papildu. Papildu drošības iestatījumu logā ( PapilduDrošībaIestatījumi) dodieties uz cilni Audits ( Auditēšana). Audita iestatīšanai, protams, ir nepieciešamas administratora tiesības. Šajā posmā audita logā tiks parādīts to lietotāju un grupu saraksts, kuriem ir iespējota šī resursa auditēšana:

Lai pievienotu lietotājus vai grupas, kuru piekļuve šim objektam tiks reģistrēta, noklikšķiniet uz pogas Pievienot… un norādiet šo lietotāju/grupu vārdus (vai norādiet Visi– lai pārbaudītu visu lietotāju piekļuvi):

Tūlīt pēc šo iestatījumu lietošanas uz sistēmas žurnāls Drošība (to var atrast papildprogrammā DatorsVadība -> Event Viewer), katru reizi, kad piekļūstat objektiem, kuriem ir iespējota auditēšana, tiks parādīti atbilstoši ieraksti.

Alternatīvi, notikumus var skatīt un filtrēt, izmantojot PowerShell cmdlet − Get-EventLog Piemēram, lai parādītu visus notikumus ar eventid 4660, palaidiet komandu:

Get-EventLog drošība | ?($_.eventid -eq 4660)

Padoms. Var tikt piešķirts jebkuram pasākumam Windows žurnāls noteiktas darbības, piemēram, sūtīšana e-pasts vai skripta izpilde. Kā tas tiek konfigurēts, ir aprakstīts rakstā:

UPD no 06.08.2012 (Paldies komentētājam).

Operētājsistēmā Windows 2008/Windows 7 tika ieviesta audita pārvaldība īpaša lietderība auditpol. Pilns saraksts Objektu veidus, kuriem var iespējot auditēšanu, var redzēt, izmantojot komandu:

Auditpol /saraksts /apakškategorija:*

Kā redzat, šie objekti ir sadalīti 9 kategorijās:

Sistēma
Pieteikšanās/atteikšanās
Objekta piekļuve
Privilēģiju izmantošana
Detalizēta izsekošana
Politikas maiņa
Kontu pārvaldība
DS piekļuve
Pieteikšanās kontā

Un katrs no tiem attiecīgi ir sadalīts apakškategorijās. Piemēram, objekta piekļuves audita kategorija ietver apakškategoriju Failu sistēma, un, lai datorā iespējotu failu sistēmas objektu auditēšanu, palaidiet komandu:

Auditpol /set /subcategory:"Failu sistēma" /failure:iespējot /veiksme:iespējot

Tas ir attiecīgi atspējots ar komandu:

Auditpol /set /subcategory:"Failu sistēma" /failure:disable /success:atspējot

Tie. Ja atspējojat nevajadzīgu apakškategoriju auditēšanu, varat ievērojami samazināt žurnāla apjomu un nevajadzīgo notikumu skaitu.

Pēc tam, kad ir aktivizēta piekļuve failiem un mapēm, jums ir jānorāda konkrētie objekti, kurus mēs pārraudzīsim (failu un mapju rekvizītos). Ņemiet vērā, ka pēc noklusējuma audita iestatījumi tiek mantoti visiem pakārtotajiem objektiem (ja nav norādīts citādi).

Dažreiz notiek notikumi, kuros mums ir jāatbild uz jautājumu. "kas to izdarīja?" Tas var notikt "reti, bet precīzi", tāpēc jums vajadzētu iepriekš sagatavoties atbildei uz jautājumu.

Gandrīz visur ir dizaina nodaļas, grāmatvedības nodaļas, izstrādātāji un citas darbinieku kategorijas, kas strādā kopā ar dokumentu grupām, kas glabājas publiski pieejamā (koplietotā) mapē failu serverī vai vienā no darbstacijām. Var gadīties, ka kāds no šīs mapes izdzēš kādu svarīgu dokumentu vai direktoriju, kā rezultātā var tikt zaudēts veselas komandas darbs. Šajā gadījumā pirms sistēmas administrators Rodas vairāki jautājumi:

Kad un kurā laikā radās problēma?

No kura šim laikam tuvākā rezerves kopija vai dati ir jāatjauno?

Varbūt bija sistēmas kļūme, kas var atkārtoties?

Windows ir sistēma Audits, kas ļauj izsekot un reģistrēt informāciju par to, kad, kurš un ar kādiem programmas dokumentiem tika izdzēsti. Pēc noklusējuma Audits nav iespējots - pašai izsekošana prasa noteiktu sistēmas jaudas procentu, un, ja visu ierakstīsit, slodze kļūs pārāk liela. Turklāt ne visas lietotāju darbības var mūs interesēt, tāpēc audita politikas ļauj mums izsekot tikai tiem notikumiem, kas mums patiešām ir svarīgi.

Audita sistēma ir iebūvēta visā OS MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Diemžēl sērijveida sistēmās Windows Home audits ir paslēpts dziļi, un to ir pārāk grūti konfigurēt.

Kas jākonfigurē?

Lai iespējotu auditēšanu, piesakieties ar administratora tiesībām datorā, kas nodrošina piekļuvi koplietotiem dokumentiem, un palaidiet komandu Sākt→Skrien→gpedit.msc. Sadaļā Datora konfigurācija izvērsiet mapi Windows iestatījumi→ Drošības iestatījumi→ Vietējās politikas→ Audita politikas:

Veiciet dubultklikšķi uz politikas Audita objekta piekļuve (Objekta piekļuves audits) un atzīmējiet izvēles rūtiņu Panākumi. Šis iestatījums nodrošina mehānismu, lai uzraudzītu veiksmīgu piekļuvi failiem un reģistram. Patiešām, mūs interesē tikai veiksmīgi mēģinājumi izdzēst failus vai mapes. Iespējot auditēšanu tikai datoros, kuros tiek tieši glabāti uzraudzītie objekti.

Nepietiek tikai ar audita politikas iespējošanu, mums arī jānorāda, kuras mapes mēs vēlamies pārraudzīt. Parasti šādi objekti ir kopīgu (koplietotu) dokumentu mapes un mapes ar ražošanas programmām vai datu bāzēm (grāmatvedība, noliktava utt.) - tas ir, resursi, ar kuriem strādā vairāki cilvēki.

Nav iespējams iepriekš uzminēt, kurš tieši izdzēsīs failu, tāpēc izsekošana ir norādīta visiem. Jebkura lietotāja veiksmīgie mēģinājumi dzēst uzraudzītos objektus tiks reģistrēti. Izsauciet vajadzīgās mapes rekvizītus (ja šādas mapes ir vairākas, tad visas pēc kārtas) un cilnē Drošība → Papildu → Auditēšana pievienot objekta izsekošanu Visi viņa veiksmīgie piekļuves mēģinājumi Dzēst Un Dzēst apakšmapes un failus:

Var reģistrēt diezgan daudz notikumu, tāpēc jums vajadzētu arī pielāgot žurnāla izmēru Drošība(Drošība), kurā tie tiks ierakstīti. Priekš
palaist šo komandu Sākt→ Skrien→ eventvwr. msc. Parādītajā logā izsauciet drošības žurnāla rekvizītus un norādiet šādus parametrus:

Maksimālais žurnāla izmērs = 65536 K.B.(darbstacijām) vai 262144 K.B.(serveriem)

Pārrakstīt notikumus pēc vajadzības.

Faktiski norādīto skaitļu precizitāte netiek garantēta, bet tiek izvēlēta empīriski katram konkrētajam gadījumam.

Windows 2003/ XP)?

Klikšķis Sākt→ Skrien→ eventvwr.msc Drošība. Skatīt→ Filtrs

Pasākuma avots:Drošība;
Kategorija: Objektu piekļuve;
Pasākumu veidi: veiksmes audits;
Pasākuma ID: 560;

Pārlūkojiet filtrēto notikumu sarakstu, katrā ierakstā pievēršot uzmanību šādiem laukiem:

ObjektsVārds. Mapes vai faila nosaukums, kuru meklējat;
AttēlsFailsVārds. Programmas nosaukums, kas izdzēsa failu;
Pieejas. Pieprasītā tiesību kopa.

Programma var pieprasīt vairākus piekļuves veidus no sistēmas vienlaikus - piemēram, Dzēst+ Sinhronizēt vai Dzēst+ Lasīt_ Kontrole. Nozīmīgas tiesības mums ir Dzēst.

Tātad, kurš izdzēsa dokumentus (Windows 2008/ Vista)?

Klikšķis Sākt→ Skrien→ eventvwr.msc un atveriet žurnālu, lai to skatītu Drošība.Žurnāls var būt piepildīts ar notikumiem, kas nav tieši saistīti ar problēmu. Ar peles labo pogu noklikšķiniet uz drošības žurnāla un atlasiet Skatīt→ Filtrs un filtrējiet savu skatījumu pēc šādiem kritērijiem:

Pasākuma avots: Drošība;
Kategorija: Objektu piekļuve;
Pasākumu veidi: veiksmes audits;
Pasākuma ID: 4663;

Nesteidzieties interpretēt visus svītrojumus kā ļaunprātīgus. Šo funkciju bieži izmanto normālas programmas darbības laikā – piemēram, izpildot komandu Saglabāt(Saglabāt), pakotnes programmas MicrosoftBirojs vispirms izveidojiet jaunu pagaidu failu, saglabājiet tajā dokumentu un pēc tam izdzēsiet to iepriekšējā versija failu. Tāpat daudzas datu bāzes lietojumprogrammas vispirms izveido pagaidu bloķēšanas failu, kad tiek palaists (. lck), pēc tam izdzēsiet to, izejot no programmas.

Man praksē ir nācies saskarties ar lietotāju ļaunprātīgām darbībām. Piemēram, kāda uzņēmuma konfliktējošs darbinieks, aizejot no darba, nolēma iznīcināt visus sava darba rezultātus, izdzēšot failus un mapes, ar kurām viņš bija saistīts. Šāda veida notikumi ir skaidri redzami – tie drošības žurnālā ģenerē desmitiem, simtiem ierakstu sekundē. Protams, atjaunojot dokumentus no ĒnaKopijas (Ēna Spīrsa) vai katru dienu automātiski izveidots arhīvs nav grūti, bet tajā pašā laikā es varētu atbildēt uz jautājumiem "Kas to izdarīja?" un "Kad tas notika?"