WWW.PROGRAMMA.X-PDF.RU
БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Учебные и рабочие программы
 

«Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015 УДК: 004.4 ББК: 32.97-018.2 Князева Г.В. МОНИТОРИНГ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ КАК ЧАСТЬ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ...»

Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015

УДК: 004.4

ББК: 32.97-018.2

Князева Г.В.

МОНИТОРИНГ ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЯ КАК ЧАСТЬ СИСТЕМЫ

КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ

Knyazeva G.V.

THE MONITORING OF USER ACTIONS AS A PART OF THE INTEGRATED

SECURITY OF COMPUTER SYSTEMS

Ключевые слова: информационная безопасность, блокировка USB-портов, защита информации от утечки, мониторинг действий пользователей, конфиденциальная информация.

Keywords: information security, blocking USB-ports, protection against a leakage of information, monitoring user activities, confidential information.

Аннотация: мониторинг действий пользователей корпоративной сети в организации – не только одно из основных средств информационной безопасности фирмы, но и важный инструмент контроля трудовой дисциплины коллектива.

Abstract: the monitoring of user activities in the corporate network in the organization is not just one of the principal means of information security firm, but also an important tool for monitoring team labor discipline.

Компьютеры и компьютерные сети сейчас используются повсеместно. Хорошо, если вновь поступающий на работу сотрудник ознакомлен с основными правилами безопасности при работе в сети, с правилами работы с конфиденциальной информацией.

Но зачастую специалисты технических отделов не принимают никакого участия при приеме на работу новых сотрудников, а первичный и, чаще всего, формальный инструктаж проводит сотрудник отдела кадров. Поэтому стоит ли удивляться, когда компьютерные системы оказываются мишенью незаконного проникновения (попытки хакеров проник-нуть в систему из спортивного интереса, месть рассерженных служащих, взлом мошенниками для незаконной наживы и т.д.)?

Цель данного исследования – опреде-лить, какими средствами можно отследить действия пользователя в корпоративной компьютерной сети предприятия для уменьшения рисков утечки служебной информа-ции.

В настоящее время под компьютер-ными преступлениями подразумеваются:

неправомерный доступ к компьютерной информации (статья 272 УК РФ); создание, использование и распространение вредонос-ных программ для ЭВМ (статья 273 УК РФ);

нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (статья 274 УК РФ);

хищение, подделка, уничтожение компьютерной информации и др.

Аналитический Центр компании InfoWatch1 провел глобальное исследование утечек конфиденциальной информации в I полугодии 2014 г. и опубликовал следующие данные:

1. В I полугодии 2014 года в мире зафиксировано, обнародовано в СМИ и зарегистрировано Аналитическим центром InfoWatch 654 случая утечки конфиденциальной информации, что на 32% превы-шает количество утечек, зарегистрирован-ных за аналогичный период 2013 года.

2. Россия занимает второе место по количеству опубликованных утечек.

Количество «российских» утечекпо сравнению с 2013 годом выросло более чем вдвое – в исследуемый период зарегистри-ровано 96 случаев утечки конфиденциаль-ной информации из российских компаний и государственных организаций.

Http://www.infowatch.ru/analytics Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015

3. Во всем мире скомпрометировано более 450 млн записей, в том числе финансовые и персональные данные.

4. В 71% случаев виновными в утечке информации оказались сотрудники компаний.

В 3% случаев - высшие руководители организаций.

5. К непосредственным утечкам данных относятся 83% случаев компромета-ции информации, 11% зафиксированных утечек сопряжены с использованием сотрудниками служебного положения для получения личной выгоды, в 5% утечек произошли вследствие превышения сотрудниками прав доступа к информации.

6. Больше всего утечек информации связано с персональными данными – в 89% случаев утекает именно эта информация.

В 2014 году российская картина утечек данных все стремительнее приближается к американской. Перевод документооборота в электронную форму провоцирует в нашей стране распростране-ние такого вида преступления, как «кража личности» использование чужих персональных данных (ПДн) в собственных целях. Если раньше мы об этом читали только в иностранных СМИ, сегодня хищение чужих ПДн с целью мошенничества – обычная практика российских преступников.

Пример использования персональных данных.

Бывшая сотрудница банка «Хоум Кредит эдн Финанс» оформила фиктивные кредиты более чем на миллион рублей, воспользовавшись чужими персональными данными. Всего было выявлено девять фиктивных договоров на суммы от 220 до 300 тысяч рублей, все они, по данным следствия, с мая по сентябрь 2012 года оформлялись одним менеджером по продаже финансовых услуг. После внутренней проверки банк подал в полицию заявление с просьбой возбудить дело в отношении в целях мошенничества2.

Развертывание систем комплексной безопасности является обязательным требованием для предприятий, работающих с конфиденциальной информацией.

Одним из важных компонентов таких комплексов является система контроля действий пользователя — программный или программно-аппаратный комплекс, позволяющий осуществлять мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.

Необходимость возникновения таких систем была обусловлена увеличением инсайдерских угроз3. Согласно иссле-дованию IDC4, 30-40% из проводимого на рабочем месте времени сотрудники компаний тратят на задачи, не связанные с выполнением рабочих обязанностей. Каждый работодатель заинтересован в повышении эффективности работы коман-ды, а для этого необходимо получить ин-формацию о том, чем занимаются сотрудники в рабочее время.

Программное обеспечение для мониторинга пользователей, как правило, имеет следующие составляющие:

кейлоггер: программа, занимаю-щаяся перехватом нажатий клавиш;

скриншоты экрана: позволяют увидеть, чем сотрудник занимается за компьютером;

видеозапись экрана: позволяет в режиме реального времени отслеживать http://www.evening-kazan.ru/articles/bank-obvinil-menedzhera-v-moshennichestve.html Инсайдерские угрозы — это вредоносные для организации угрозы, которые исходят от людей внутри организации, таких как работники, бывшие работники, подрядчики или деловые партнеры, у которых есть информация о методах безопасности внутри организации, данных и компьютерных системах. Угроза может включать мошенничества, кражи конфиденциальной и коммерчески ценной информации, воровство интеллектуальной собственности, либо саботаж компьютерных систем.

IDC – ведущий поставщик информации и консультационных услуг, организатор мероприятий на рынках информационных технологий, телекоммуникаций и потребительской техники. IDC помогает профессионалам ИТ, руководителям и инвесторам принимать обоснованные решения о закупке техники и выборе бизнес-стратегии.

Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015 действия сотрудника;

контроль приложений: запись того, сколько времени, с какими приложениями работает пользователь.

Мониторинг действий пользователей включает в себя:

мониторинг рабочего стола;

мониторинг процессов;

мониторинг доступа к USB;

мониторинг интернет-активности;

мониторинг локальных действий.

Мониторинг рабочего стола реализ-уется двумя способами - администратор видит всё то, что в данный момент видит пользователь, или просматривает сохранён-ные снимки экрана. Они могут быть использованы как вещественные доказа-тельства нарушения трудового договора. Существует много других способов получить снимок экрана, например, программа Greenshot5.

Мониторинг процессов отслеживает запущенные приложения, сохраняя различ-ные параметры: время запуска, время работы, время активности на экране и т.д. Это позволяет оценить эффективность использования рабочего времени работ-ником, отследить вирусную атаку, которая может повредить корпоративную информацию. Большинство систем позво-ляет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удалённо. Существует множество вариантов получения списка процессов. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows.

Мониторинг доступа к USB. Съёмные usb-носители представляют серьёзную угрозу конфиденциальной информации. Большинство систем наблюдения предоставляют возможность блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования usb-устройств. Это предотвращает как утечку информации, так и проникновение вирусов на рабочий компьютер. Часто, при разрешённом доступе, всё, что копируется на съёмный носитель, сохраняется в другом месте и может быть использовано для расследования нарушений политики компании.

B Windows технически это реали-зуется несколькими способами:

полное блокирование через реестр;

полное блокирование, через запрет записи в файлов %SystemRoot%\Inf\Usbstor.pnf, %SystemRoot%\Inf\Usbstor.inf;

частичная блокировка и фильтрация возможна через написание USB-драйвера.

Мониторинг интернет-активности. Интернет - серьёзный канал утечки конфиденциальных данных, поэтому системы контроля за действиями пользователей отслеживают многие аспекты интернет активности работника.

Мониторинг посещаемых веб-сайтов позволяет выявить нецелевое использование рабочего времени, отслеживать поисковые запросы сотрудника (из них можно отследить ищет ли он другие вакансии или не относящуюся к работе информацию). Сохраняются Url, заголовки посещённых страниц, время их посещения. Некоторыми системами реализуется возможность наблюдения в режиме реального времени за открытыми сайтами.

Социальные сети. Помимо не целевой траты рабочего времени на социальные сети, через них может утекать конфиденциальная информация. Поэтому система может Greenshot is a free and open source screenshot program for microsoft windows. It is developed by thomas braun, jens klingen and robin krom and published under gnu general public license. The development project is hosted bysourceforge.

Greenshot's feature set mainly targets project managers, testers and developers. It is used to create full or partial screenshots. The captured screenshot can be annotated and edited using the built-in image editor before exporting it either to an image file, email attachment, printer or clipboard.

Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015 сохранять набор данных: просматриваемые профили, переписки, а также отправляемые туда фотографии.

IM. Чтобы предотвратить или потом доказать утечку информации, перехва-тываются и сохраняются сообщения большинства популярных IM-протоколов и мессенджеров (ICQ, Skype). Это делается как программными средствами, так и через анализ трафика проходящего через шлюз.

Мониторинг электронной почты. Для этого ведётся полное журналирование всех сообщений электронной почты. Чаще всего это делается путём перехвата сообщений локального почтового клиента, однако возможен и перехват сообщений отправляемых через web-клиент. Техни-чески, такой вид мониторинга может быть реализован двумя способами:

1. Перехват непосредственно сетевого трафика программно или аппаратно. Это работает до тех пор, пока не используется защищенное интернет соединение, например, SSL.

2. Перехват содержания web-форм, полей ввода и прочего. При таком методе наблюдения скрыть передаваемое сообще-ние практически невозможно.

Мониторинг локальных действий. Основные локальные действия пользователя тоже контролируются.

Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK), кроме этого могут быть записаны название окна, в которое производился ввод, язык раскладки и т.д. Это позволяет контролировать использо-вание конфиденциальной информации, восстанавливать забытые пароли. Для Windows кейлоггеры создаются с помощью так называемых хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия, вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В unix-подобных системах, использующих Хсервер, кейлогеры реализуются по средствам функции XQueryKeymap из библиотеки Xlib.

Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда, сопутствующую информацию. Это позволяет предотвратить потерю информации, даёт возможность обнаружить разглашение конфиденциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer, для Linux это делается через Xlib. Так же есть платформонезави-симые средства управления буфером обмена, например, Qt.

Запоминаются все действия с файла-ми: копирование, удаление, редактирование, и программа, через которое действие совершено. Это позволяет установить, какие файлы использовал сотрудник для своей работы, и выявить вирусную атаку. Для Windows программно это реализуется подменой стандартных функций чтения/записи файла в соответствующих динамических библиотеках (DLL). В Linux этого можно достичь, перехватывая системные вызовы.

Печать файлов. Через принтер может утечь конфиденциальная информация, достаточно распечатать важный документ и вынести с предприятия, поэтому сохраняются названия печатаемых файлов, времени и даты печати. Также печатаемые файлы могут сохраняться, как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler API6, позволяющий управлять очередью печати. Для Linux теневое копирование файлов печати реализуется с помощью CUPS.

Тестирование безопасности проверяет фактическую реакцию защитных механизмов, встроенных в систему, на проникнове-ние. В ходе тестирования безопасности испытатель играет роль взломщика. Ему разрешено все:

попытки узнать пароль с помощью внешних средств;

The Print Spooler API contains the functions and data structures that applications use to manage the Windows print spooler and the printers and print jobs that it controls.

Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015 атака системы с помощью специальных утилит, анализирующих защиты;

подавление, ошеломление систе-мы (в надежде, что она откажется обслуживать других клиентов);

целенаправленное введение ошибок в надежде проникнуть в систему в ходе восстановления;

просмотр несекретных данных в надежде найти ключ для входа в систему.

При неограниченном времени и ресурсах хорошее тестирование безопас-ности взломает любую систему. Задача проектировщика системы — сделать цену проникновения более высокой, чем цена получаемой в результате информации.

Одним из решений для мониторинга действий пользователя можно рекомен-довать использование специальных прог-раммных комплексов.

В качестве программы для тести-рования сети рекомендуется использовать СканерВС. Загрузочное окно программы представлено на рисунке 1.

Рисунок 1 - Загрузочное окно программы Сканер-ВС Сканер-ВС - универсальный инстру-мент, содержащий целый арсенал средств для выполнения внутреннего или внешнего аудита сетей, тестирования проникнове-нием, перехвата и анализа трафика с помощью технологии ARP-спуфинга (возможен перехват шифрованного HTTPS-трафика посредством подмены сертифика-та), проверки стойкости сетевых и локальных паролей, а также поиска остаточной информации на жестких дисках и других носителях вне зависимости от файловой структуры. Сканер-ВС позволяет определять топологию корпоративной сети, производить инвентаризацию вычислительных ресурсов, проводить проверку защищенности беспроводных сетей Wi-Fi, контролировать появление сетевых серви-сов и проверять на прочность брандмауэры, системы обнаружения вторжений и прочие средства защиты. Для имитации различных видов атак используется обновляемая международная база, включающая свыше 17 тысяч уязвимостей.

Сканер-ВС не требует изменения конфигурации IT-инфраструктуры и поставляется разработчиком в виде загрузочного DVD- или USB-накопителя с операционной системой и предустанов-ленным программным обеспечением для всестороннего тестирования защищенности информационных комплексов. Решение может применяться в качестве мобильного места администратора информационной безопасности, а также как средство расследования инцидентов IT-безопасности и для мониторинга сети. Продукт имеет сертификаты Министерства обороны Российской Федерации (Минобороны России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Вестник Волжского университета имени В.Н. Татищева № 1 (23) 2015 Подведем некоторые итоги данного исследования.

Защита безопасности – актуальная тема, включающая несколько направлений.

Пользователь, как главное действующее лицо корпоративной информационной системы, может умышленно или неумыш-ленно нанести ущерб безопасности данным.

Следовательно, мониторинг действий поль-зователя является важной частью комплексной системы безопасности компьютер-ных систем. Применение специальных программных средств может поднять на новый качественный уровень систему комплексной безопасности предриятия.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Альтман, Е.А. Компьютерные сети на базе оборудования фирмы Cisco / Е.А. Альтман. - Омск: Омский гос. университет путей сообщения, 2007. - 32 с.

2. Горбачевская, Е.Н., Краснов, С.А. Анализ структуры системы информационной безопасности предприятия с централизованной авторизацией пользователей // Вестник Волжского университета имени В.Н. Татищева. - №4(22). - С. 63-74.

3. Жадаев, А.Г. Как защитить компьютер на 100%. – СПб.: Питер, 2014. – 304 с.

4. Низамутдинов, М.Ф. Тактика защиты и нападения на Web-приложения. – СПб.:

БХВ-Петербург, 2005. – 432 с.

5. Эминов, Б.Ф., Эминов, Ф.И. Безопасное управление ресурсами и пользователями в корпоративных информационных сетях: Учебное пособие. - Казань: Новое знание, 2007. – 80 с.

6. Википедия. http://www.ru.wikipedia.org.

7. Wikipedia. http://www.en.wikipedia.org.

8. Глобальное исследование утечек конфиденциальной информации в 2014 году.

http://www.infowatch.ru/report2014

9. Сеть разработчиков Microsoft. http://msdn.microsoft.com/.



 

Похожие работы:

«Рабочая программа по учебному предмету ОБЖ 9 класс 2014 год ПОЯСНИТЕЛЬНАЯ ЗАПИСКА Рабочая учебная программа «Основы безопасности жизнедеятельности» для учащихся 9 класса представляет собой часть образовательной области ОБЖ и предназначена для обучающихся основной школы. общее количество часов 34. Изучение тематики данной программы направлено на достижение следующих целей: воспитание ответственного отношения к окружающей природной среде, к личному здоровью как индивидуальной и общественной...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «Крымский федеральный университет имени В. И. Вернадского» ТАВРИЧЕСКАЯ АКАДЕМИЯ КАФЕДРА ЭКОНОМИЧЕСКОЙ КИБЕРНЕТИКИ I Международная научно-практическая конференция «Проблемы информационной безопасности» 26-28 февраля 2015 год Симферополь Гурзуф I Международная научно-практическая конференция Проблемы информационной безопасности Проблемы информационной...»

«Пояснительная записка. I. В современном мире опасные и чрезвычайные ситуации природного, техногенного и социального характера стали объективной реальностью в процессе жизнедеятельности каждого человек. Они несут угрозу его жизни и здоровью, наносят ущерб окружающей природной среде и обществу. В настоящее время вопросы обеспечения безопасности стали одной из насущных потребностей каждого человека, общества и государства. Анализ трагических последствий различных опасных и чрезвычайных ситуаций...»

«МИНИСТЕРСТВО ПО ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ РЕСПУБЛИКИ БЕЛАРУСЬ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ ОБРАЗОВАНИЯ «КОМАНДНО-ИНЖЕНЕРНЫЙ ИНСТИТУТ» СОГЛАСОВАНО УТВЕРЖДАЮ Начальник Первый заместитель начальника Департамента по надзору за Государственного учреждения безопасным ведением работ в образования промышленности председатель «Командно-инженерный институт» предметной комиссии на МЧС Республики Беларусь полковник внутренней службы государственном комплексном по специальности безопасность».Полевода Г.Г. Решко...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «Московский государственный лингвистический университет» Евразийский лингвистический институт в г. Иркутске (филиал) «УТВЕРЖДАЮ» Директор МГЛУ ЕАЛИ доктор филологических наук, профессор А. М. Каплуненко ПРОГРАММА ВСТУПИТЕЛЬНОГО ИСПЫТАНИЯ НА ПРОГРАММЫ БАКАЛАВРИАТА по дисциплине Математика Направление подготовки 10.03.01Информационная...»

«Районная целевая программа повышения безопасности дорожного движения в Троицком муниципальном районе Челябинской области на 2013 -2015 годы. ПАСПОРТ Районной целевой Программы повышения безопасности дорожного движения в Троицком муниципальном районе Челябинской области на 2013-2015 годы. Наименование районная целевая Программа повышения безопасности Программы дорожного движения в Троицком муниципальном районе Челябинской области на 2013-2015 годы (далее именуется – Программа) Заказчик...»

«Адатпа Дипломды жобада рт сндіру дабылыны автоматталан жйесі зірленді. Макро жне шаын рылымдар, технологиялы жне функциялы кестелер арастырылды, SCADA бекетті жйесіні WinCC бадарламалы амсыздандыруында дайындалды. Жеке тапсырма бойынша техника – экономикалы крсеткіштері жне міртішілік ауіпсіздігі мселелері бойынша біратар есептерді шешімі келтірілді. Аннотация В дипломном проекте разработана система пожарной сигализаций и автоматического пожаротушения. Разработаны макрои микро структуры,...»

«1. Цели и задачи изучения дисциплины «Технология и безопасность взрывных работ»1.1. Цели изучения дисциплины В соответствии с ФГОСом одной из целей изучения дисциплины «Технология и безопасность взрывных работ» является подготовка к области профессиональной деятельности специалиста, включающей научное и инженерное обеспечение деятельности человека в породных массивах недр Земли при эксплуатационной разведке, строительстве подземных объектов, добыче полезных ископаемых, связанных с разрушением...»

«Пояснительная записка Рабочая программа учебного предмета «Основы безопасности жизнедеятельности» разработана в соответствии с требованиями Федерального компонента среднего общего образования, утвержденного приказом Минобразования России Об утверждении федерального компонента государственных стандартов начального общего, основного общего и среднего (полного) общего образования от 5 марта 2004 г. № 1089, с учетом авторской программы, разработанной В. Н. Латчуком (руководитель), С. К. Мироновым,...»

«Министерство сел ьс ко т хозяйства Российской Федерации ФГБОУ НПО Ставропольский ГАУ_ Концепция комплексной программы обеспечения безопасности ПРИНЯТО: УТВЕРЖ ДАЮ Ректор На заседании Ученого совета Трухачев ФГБОУ ВПО Ставропольский ГАУ 11ротокол № 5 от 04 июня 2013г. 2013г. Концепция комплексной программы обеспечения безопасности федерального государственного бюджетного образовательною учреждении высшего профессиональною образования «Ставропольский государственный аграрный университет» на 2 0...»







 
2016 www.programma.x-pdf.ru - «Бесплатная электронная библиотека - Учебные, рабочие программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.