حسابرسی در ویندوز 7. عملکرد حسابرسی کاربر. راه حل های نرم افزار InfoWatch

حاشیه نویسی: سخنرانی نهایی آخرین توصیه ها را برای اجرای ابزارهای فنی محافظت از اطلاعات محرمانه ارائه می دهد ، به طور مفصل ویژگی ها و اصول راه حل های InfoWatch را شرح می دهد

راه حل های نرم افزار InfoWatch

هدف از این دوره آشنایی با جزئیات فنی عملکرد محصولات InfoWatch نیست ، بنابراین ما آنها را از سمت بازاریابی فنی در نظر خواهیم گرفت. محصولات InfoWatch مبتنی بر دو فناوری اساسی است - فیلتر کردن محتوا و ممیزی از عملکرد کاربر یا سرپرستان در محیط کار. بخش جدایی ناپذیر از راه حل یکپارچه InfoWatch یک مخزن اطلاعات است که از سیستم اطلاعات و یک کنسول مدیریت امنیتی داخلی داخلی خارج شده است.

فیلتر کردن محتوا از کانالهای جریان اطلاعات

اصلی ترین ویژگی تمایز فیلتر محتوای محتوای InfoWatch استفاده از هسته مورفولوژیکی است. بر خلاف فیلتر سنتی امضای ، فناوری فیلتر محتوا InfoWatch دارای دو مزیت است - عدم حساسیت به رمزگذاری مقدماتی (جایگزینی یک شخصیت با شخصیت دیگر) و عملکرد بهتر. از آنجا که هسته با کلمات کار نمی کند ، اما با اشکال ریشه ای ، به طور خودکار ریشه های حاوی رمزگذاری های مختلط را قطع می کند. همچنین ، کار با ریشه ، که از هر زبان کمتر از ده هزار نفر وجود دارد و نه با فرم های کلمه ای ، که از این تعداد حدود یک میلیون زبان وجود دارد ، به شما امکان می دهد نتایج قابل توجهی را در مورد تجهیزات نسبتاً غیرمولد نشان دهید.

اقدامات کاربر حسابرسی

برای نظارت بر اقدامات کاربر با اسناد در یک ایستگاه کاری ، InfoWatch چندین رهگیر را در یک عامل در یک ایستگاه کاری ارائه می دهد - رهگیر برای عملیات پرونده ، عملیات چاپ ، عملیات داخل برنامه ها ، عملیات با دستگاه های متصل.

انبار اطلاعاتی که از طریق کلیه کانال ها سیستم اطلاعات را ترک کرده است.

InfoWatch مخزنی از اطلاعات را ارائه داده است که سیستم اطلاعات را ترک کرده است. اسنادی که از تمام کانالهای منتهی به خارج از سیستم منتقل می شوند - ایمیل ، اینترنت ، چاپ و رسانه قابل جابجایی در برنامه ذخیره سازی * (تا سال 2007 - ماژول) ذخیره می شوند. سرور ذخیره سازی مانیتور ترافیک) مشخص کردن تمام خصوصیات - نام و موقعیت کاربر ، پیش بینی های الکترونیکی وی (آدرس IP ، حساب یا آدرس پستی) ، تاریخ و زمان کار ، نام و ویژگی های اسناد. تمام اطلاعات برای تجزیه و تحلیل از جمله محتوا در دسترس است.

اقدامات مرتبط

به نظر می رسد معرفی روشهای فنی محافظت از اطلاعات محرمانه بدون استفاده از روشهای دیگر ، در درجه اول سازمانی ، بی اثر است. ما قبلاً برخی از آنها را مرور کرده ایم. اکنون ما در مورد سایر اقدامات لازم با جزئیات بیشتری صحبت می کنیم.

الگوهای رفتاری متجاوز

با به کارگیری سیستمی برای نظارت بر اقدامات با اطلاعات محرمانه ، علاوه بر کارکرد ساختمان و قابلیت های تحلیلی ، می توانید از دو جهت دیگر توسعه یابید. اولین ادغام سیستم های محافظت در برابر تهدیدات داخلی و خارجی است. حوادث سالهای اخیر نشان می دهد که بین مهاجمان داخلی و خارجی توزیع نقش ها وجود دارد و ترکیب اطلاعاتی از سیستم های نظارت بر تهدیدات خارجی و داخلی امکان کشف واقعیت های چنین حملاتی ترکیبی را فراهم می آورد. یكی از نكات تماس امنیت بیرونی و داخلی مدیریت حقوق دسترسی بویژه در زمینه شبیه سازی نیاز تولید برای افزایش حقوق كاركنان بی پروا و خرابكاران است. هرگونه درخواست دسترسی به منابعی که از وظایف رسمی برخوردار نیستند ، باید فوراً شامل مکانیزم حسابرسی برای اقدامات با این اطلاعات باشد. حتی حل مشکلاتی که ناگهان و بدون دسترسی به منابع به وجود می آیند ، حتی ایمن تر است.

مثالی از زندگی می گذاریم. مدیر سیستم درخواستی را از رئیس بخش بازاریابی دریافت کرد تا دسترسی به سیستم مالی را باز کند. به عنوان توجیهی برای درخواست ، به وظیفه مدیر کل تحقیقات بازاریابی فرآیندهای خرید کالاهای تولیدی شرکت پیوست شد. از آنجا که سیستم مالی یکی از منابع محافظت شده است و مدیر کل اجازه دستیابی به آن را می دهد ، رئیس دپارتمان امنیت اطلاعات در مورد برنامه یک راه حل جایگزین نوشت - دسترسی ندهید ، اما داده ناشناس (بدون نشان دادن مشتری) داده ها را به یک پایگاه داده ویژه برای تجزیه و تحلیل ارسال کنید. وی در پاسخ به اعتراضات بازاریاب اصلی مبنی بر اینکه وی از این راه راحت کار نمی کند ، مدیر از وی سؤال "پیشانی" را پرسید: "چرا به اسامی مشتریان احتیاج دارید - آیا می خواهید پایه را ادغام کنید؟" بعد از آنکه همه به سر کار رفتند. این که آیا این یک اقدام برای سازماندهی نشت اطلاعات بود ، هرگز نمی دانیم ، اما هرچه بود ، سیستم مالی شرکت ها محافظت می شد.

جلوگیری از نشت در آماده سازی

جهت دیگر در توسعه سیستم نظارت بر حوادث داخلی با داشتن اطلاعات محرمانه ، ساختن سیستم پیشگیری از نشت است. الگوریتم عملکرد چنین سیستمی همانند راه حلها برای جلوگیری از هجوم است. اول ، یک الگوی متجاوز ساخته می شود و "امضای نقض" روی آن شکل می گیرد ، یعنی توالی اقدامات متخلف. اگر چندین عمل کاربر همزمان با امضای تخلف انجام شود ، مرحله بعدی کاربر پیش بینی می شود ، اگر همزمان با امضا باشد ، زنگ خطر صادر می شود. به عنوان مثال ، یک سند محرمانه باز شد ، بخشی از آن انتخاب شده و در بافر کپی شده ، سپس یک سند جدید ایجاد شده است و محتویات بافر در آن کپی می شود. سیستم فرض می کند: اگر متعاقباً یک سند جدید بدون برچسب "محرمانه" ذخیره شود ، این اقدام به سرقت است. درایو USB هنوز وارد نشده است ، نامه ای ایجاد نشده است ، و سیستم به افسر امنیت اطلاعات که تصمیم می گیرد کارمند را متوقف کند یا پیگیری کردن اطلاعات به کجا می رسد ، اطلاع می دهد. به هر حال ، از مدلها (در منابع دیگر - "پروفایلهای") از رفتار متجاوز استفاده می شود ، نه تنها با جمع آوری اطلاعات از نمایندگان نرم افزار. اگر ماهیت نمایش داده های پایگاه داده را تجزیه و تحلیل کنید ، همیشه می توانید یک کارمند را که در تلاش است اطلاعات خاصی را توسط مجموعه ای از پرس و جوهای متوالی به پایگاه داده بدست آورد ، شناسایی کنید. لازم است فوراً آنچه را كه او با این درخواست ها انجام می دهد را ردیابی كنیم ، آیا او آنها را ذخیره می كند ، آیا رسانه های قابل جابجایی وصل می شوند و غیره

سازمان ذخیره سازی اطلاعات

اصول ناشناس ماندن و رمزگذاری داده ها پیش شرط لازم برای ساماندهی ذخیره سازی و پردازش است و دسترسی از راه دور با استفاده از پروتکل ترمینال بدون اینکه بتواند هیچ اطلاعاتی در رایانه ای که درخواست از آن تهیه شده است ، ترتیب داده شود.

ادغام با سیستم های تأیید اعتبار

دیر یا زود مشتری برای حل مشکلات پرسنل باید از سیستمی برای نظارت بر اقدامات با اسناد محرمانه استفاده کند - به عنوان مثال اخراج کارمندان بر اساس واقعیت های مستند شده توسط این سیستم یا حتی تعقیب و گریز افراد تحت لوای نشت. با این وجود ، تمام آنچه که سیستم مانیتورینگ در اختیار شما قرار می دهد شناسه الکترونیکی مزاحمان است - آدرس IP ، حساب ، آدرس ایمیل و غیره. برای متهم کردن قانونی یک کارمند ، باید این شناسه را به شخص متصل کنید. در اینجا یکپارچه ساز بازار جدیدی را معرفی می کند - معرفی سیستم های تأیید اعتبار - از نشانه های ساده گرفته تا بیومتریک پیشرفته و شناسه های RFID.

بعضی اوقات اتفاقاتی رخ می دهد که ما را ملزم به پاسخگویی به یک سؤال می کند "چه کسی این کار را کرد؟" این می تواند "به ندرت ، اما به موقع" اتفاق بیفتد ، بنابراین باید از قبل برای پاسخ به سوال آماده شوید.

تقریباً در همه جا ، بخش های پروژه ، حسابداری ، برنامه نویسان و دسته های دیگر از کارمندان مشغول به کار هستند که روی گروهی از اسناد ذخیره شده در یک پوشه عمومی (به اشتراک گذاشته) در یک سرور پرونده یا در یکی از ایستگاه های کاری کار می کنند. ممکن است اتفاق بیفتد که شخصی یک سند یا فهرست مهم را از این پوشه حذف کند ، در نتیجه ممکن است کار کل تیم از بین برود. در این حالت ، چندین سوال پیش از سرپرست سیستم پیش می آید:

چه موقع و چه زمانی مشکل به وجود آمده است؟

نزدیکترین نسخه پشتیبان برای بازیابی اطلاعات از چیست؟

شاید یک خرابی سیستم وجود داشته باشد که می تواند دوباره اتفاق بیفتد؟

ویندوز دارای یک سیستم است حسابرسی به شما امکان می دهد تا اطلاعات مربوط به زمان ، چه کسی و با کمک کدام اسناد برنامه را ردیابی و وارد شوید. به طور پیش فرض ، حسابرسی درگیر نیست - ردیابی به خودی خود به درصد مشخصی از قدرت سیستم نیاز دارد و اگر همه چیز را به صورت ردیف ضبط کنید ، بار بسیار بزرگ خواهد شد. علاوه بر این ، به دور از همه اقدامات کاربر ممکن است ما را مورد علاقه خود قرار دهد ، بنابراین ، سیاست های حسابرسی به شما امکان می دهد فقط موارد وقایع را که برای ما بسیار مهم هستند ، ردیابی کنید.

سیستم حسابرسی در کلیه سیستم عامل ها یکپارچه است مایکروسافتپنجره هاNT: Windows XP / Vista / 7 ، Windows Server 2000/2003/2008. متأسفانه ، در سیستم های Windows Home Series ، ممیزی کاملاً پنهان است و پیکربندی آن بسیار دشوار است.

چه مواردی باید پیکربندی شود؟

برای فعال کردن حسابرسی ، به عنوان سرپرست در رایانه ای که دسترسی به اسناد مشترک را فراهم می کند وارد شوید و دستور را اجرا کنید شروع کنید→ اجرا کن→ gpedit.msc. در تنظیمات رایانه ، پوشه را گسترش دهید تنظیمات Windows→ تنظیمات امنیتی→ سیاست های محلی→ سیاستهای حسابرسی:

روی خط مشی کلیک کنید دسترسی به شیء حسابرسی (دسترسی حسابرسی به اشیاء) و علامت تیک را انتخاب کنید موفقیت. این پارامتر مکانیزم ردیابی دسترسی موفقیت آمیز به پرونده ها و رجیستری را فعال می کند. در واقع ، زیرا ما فقط علاقه مند به تلاش های موفق برای حذف پرونده ها یا پوشه ها هستیم. حسابرسی را فقط روی رایانه هایی که اشیاء تحت نظارت در آن ذخیره شده اند ، فعال کنید.

به سادگی فعال کردن خط حسابرسی کافی نیست ، ما همچنین باید به پوشه هایی که می خواهید دسترسی به آنها نظارت داشته باشید ، اشاره کنیم. به طور معمول ، این اشیاء پوشه های اسناد مشترک (مشترک) و پوشه هایی با برنامه های تولید یا بانک اطلاعاتی (حسابداری ، ذخیره سازی و غیره) هستند - یعنی منابعی که چندین نفر با آنها کار می کنند.

از قبل نمی توان حدس زد که چه کسی پرونده را حذف می کند ، بنابراین ردیابی برای همه مشخص شده است. تلاش های موفق برای حذف اشیاء ردیابی شده توسط هر کاربر ثبت می شود. با خصوصیات پوشه مورد نیاز تماس بگیرید (اگر چندین پوشه وجود دارد ، سپس همه آنها به نوبه خود) و بر روی تب امنیت → پیشرفته → حسابرسی ردیابی موضوع را اضافه کنید هر کس تلاشهای موفقیت آمیز او حذف و حذف زیر پوشه ها و پرونده ها:

رویدادها می توانند بسیار زیاد ثبت شوند ، بنابراین باید اندازه سیاههها را نیز تنظیم کنید امنیت (ایمنی)که در آن ثبت خواهد شد. برای
این دستور را انجام دهید شروع کنید→ اجرا کن→ eventvwr. mSC. در پنجره ای که ظاهر می شود ، با ویژگی های Security Security تماس بگیرید و پارامترهای زیر را مشخص کنید:

حداکثر اندازه ورود \u003d 65536 KB (برای ایستگاه های کاری) یا 262144 KB (برای سرورها)

رویدادها را در صورت لزوم مرور کنید.

در حقیقت ، این آمار دقیق نیستند ، اما برای هر مورد خاص به صورت تجربی انتخاب می شوند.

پنجره ها 2003/ XP)?

کلیک شروع کنید→ اجرا کن→ eventvwr.msc امنیت چشم انداز→ فیلتر

• منبع رویداد: امنیت؛
• دسته: دسترسی به اشیاء؛
• انواع رویدادها: ممیزی موفقیت؛
• شناسه رویداد: 560؛

لیست رویدادهای فیلتر شده را مرور کرده و با توجه به زمینه های زیر در هر رکورد:

• هدف - شینام. نام پوشه یا پرونده مورد نظر؛
• تصویرفایلنام. نام برنامه ای که پرونده با آن حذف شده است.
• دسترسی دارد. مجموعه ای از حقوق درخواست شده

یک برنامه می تواند چندین نوع دسترسی را به طور همزمان از سیستم درخواست کند - به عنوان مثال ، حذف+ همگام سازی یا حذف+ خواندن_ کنترل. حق مهمی برای ما است حذف.

بنابراین ، چه کسی اسناد را حذف کرد (پنجره ها 2008/ ویستا)?

کلیک شروع کنید→ اجرا کن→ eventvwr.msc و برای مشاهده مجله باز کنید امنیت این ژورنال می تواند پر از وقایع باشد که هیچ ارتباط مستقیمی با مشکل ندارند. با کلیک راست بر روی Log Security ، این دستور را انتخاب کنید چشم انداز→ فیلتر و نمای را با معیارهای زیر فیلتر کنید:

• منبع رویداد: امنیت؛
• دسته: دسترسی به اشیاء؛
• انواع رویدادها: ممیزی موفقیت؛
• شناسه رویداد: 4663؛

عجله نکنید که همه حذف ها را بدخواه تفسیر کنید. این عملکرد اغلب در حین کار عادی برنامه ها ، به عنوان مثال با اجرای یک دستور استفاده می شود. صرفه جویی (صرفه جویی) بسته برنامه مایکروسافتدفتر ابتدا یک پرونده موقت جدید ایجاد کنید ، سند را در آن ذخیره کنید و سپس نسخه قبلی فایل را حذف کنید. به طور مشابه ، بسیاری از برنامه های پایگاه داده ، در هنگام راه اندازی ، ابتدا یک فایل قفل موقت ایجاد می کنند (. لک), سپس هنگام خروج از برنامه ، آن را حذف کنید.

در عمل ، من نیز باید با اقدامات مخرب کاربر مقابله کردم. به عنوان مثال ، یک کارمند مورد اختلاف یک شرکت خاص ، هنگامی که از محل کار خود برکنار شد ، تصمیم گرفت با حذف پرونده ها و پوشه هایی که به آن مربوط بودند ، تمام نتایج کار خود را از بین ببرد. وقایع از این نوع به وضوح قابل مشاهده است - آنها ده ها صدها ورودی در ثانیه را در پرونده امنیتی ایجاد می کنند. البته ، بازیابی اسناد از سایهکپی می کند (کپی سایه) یا هر روز بایگانی که به طور خودکار ایجاد می شود دشوار نیست ، اما در عین حال می توانم به سؤالات "چه کسی این کار را کرد؟" پاسخ دهم. و "چه زمانی این اتفاق افتاد؟"

ویکتور چوتوف
هلدینگ INFORMSVYAZ مدیر پروژه

پیش نیازهای اجرای سیستم

اولین مطالعه علنی تهدیدات داخلی برای امنیت اطلاعات توسط Infowatch (در سال 2006) ، که در سال 2007 انجام شد ، نشان داد که تهدیدات داخلی کمتر از 56.5٪ از موارد خارجی (بدافزار ، اسپم ، هکرها و غیره) رایج نیست. .d.) در عین حال ، اکثریت قریب به اتفاق (77٪) ناشی از سهل انگاری خود کاربران (عدم رعایت توضیحات شغلی یا غفلت از وسایل اساسی محافظت از اطلاعات) است.

پویایی اوضاع در دوره 2006-2008 منعکس شده در شکل 1

کاهش نسبی درصد نشت ناشی از سهل انگاری به دلیل اجرای جزئی سیستم های پیشگیری از نشت اطلاعات (از جمله سیستم های نظارت بر فعالیت کاربر) است که از درجه حفاظت نسبتاً بالایی در برابر نشت های تصادفی برخوردار هستند. علاوه بر این ، این امر به دلیل افزایش مطلق تعداد سرقت های عمدی اطلاعات شخصی است.

با وجود تغییر در آمار ، هنوز هم می توان با اطمینان ادعا کرد که اولویت مبارزه با نشت غیرعمد اطلاعات است ، زیرا مقابله با چنین نشتی آسانتر ، ارزانتر است و در نتیجه بیشتر حوادث را پوشش می دهد.

علاوه بر این ، سهل انگاری کارکنان ، با توجه به تجزیه و تحلیل نتایج تحقیقات Infowatch و Perimetrix برای سالهای 2004-2008 ، رتبه دوم را در بین خطرناکترین تهدیدها قرار داده است (نتایج تحقیقات خلاصه در شکل 2 ارائه شده است) ، و ارتباط آن با پیشرفت نرم افزار و سخت افزار همچنان ادامه دارد. سیستم های خودکار (ع) از شرکت ها.

بنابراین ، معرفی سیستم هایی برای از بین بردن احتمال تأثیر منفی یک کارمند بر روی IS در شرکت سازمانی (از جمله برنامه های نظارت) ، ارائه شواهد و مواد برای کارکنان سرویس IS برای بررسی این حادثه ، خطر نشت ناشی از سهل انگاری را از بین می برد و باعث کاهش چشمگیر نشت تصادفی می شود ، و همچنین تا حدودی عمدی را کاهش می دهد. درنهایت ، این اقدام باید فرصتی برای کاهش چشمگیر اجرای تهدیدات متخلفین داخلی فراهم کند.

حسابرسی مدرن AS از عملکرد کاربر. مزایا و معایب

سیستم های خودکار برای ممیزی (نظارت) اقدامات کاربر (ASADP) از AS ، که معمولاً به عنوان محصولات نرم افزاری مانیتورینگ نامیده می شوند ، برای اطمینان از رعایت آن از "سرپرستان امنیتی AS (سرویس IS سازمان) در نظر گرفته شده است" - "خصوصیات یک سیستم محاسباتی که به شما امکان می دهد فعالیت کاربر را ضبط کنید و همچنین شناسه هایی بصورت منحصر به فرد تنظیم کنید. درگیر در رویدادهای خاص کاربران به منظور جلوگیری از نقض خط مشی امنیتی و / یا اطمینان از مسئولیت برخی اقدامات. "

خاصیت مشاهده ACS ، بسته به کیفیت اجرای آن ، به یک طریق یا روش دیگر امکان کنترل انطباق کارکنان سازمان با سیاست امنیتی آن را می دهد و قوانینی را برای بهره برداری ایمن بر روی رایانه ها وضع می کند.

استفاده از محصولات نرم افزاری نظارتی ، از جمله در زمان واقعی ، به گونه ای طراحی شده است که:

• شناسایی و بومی سازی کلیه موارد تلاش برای دسترسی غیرمجاز به اطلاعات محرمانه با یک نشانه دقیق از زمان و محل کار شبکه که چنین تلاشی انجام شده است.
• کشف حقایق نصب غیرمجاز نرم افزار؛
• شناسایی همه موارد استفاده غیرمجاز از سخت افزار اضافی (به عنوان مثال ، مودم ، چاپگر ، و غیره) با تجزیه و تحلیل واقعیت های راه اندازی برنامه های تخصصی غیر مجاز نصب شده.
• شناسایی همه موارد تایپ کردن بر روی کلیدها و اصطلاحات مهم صفحه کلید ، تهیه اسناد مهم ، انتقال آن به اشخاص ثالث منجر به خسارت مادی خواهد شد.
• دسترسی به سرورها و رایانه های شخصی را کنترل کنید.
• کنترل مخاطبین هنگام گشت و گذار در اینترنت.
• انجام تحقیقات مرتبط با تعیین صحت ، کارآیی و کفایت پاسخ پرسنل به تأثیرات خارجی.
• تعیین میزان کارگاههای رایانه ای سازمان (براساس ساعت روز ، روز هفته و غیره) به منظور سازماندهی علمی کار کاربر.
• نظارت بر موارد استفاده از رایانه های شخصی پس از ساعت ها و شناسایی هدف از چنین استفاده هایی.
• اطلاعات قابل اعتماد لازم را بدست آورید ، براساس آن تصمیماتی در مورد تعدیل و بهبود سیاست IS سازمان و غیره اتخاذ می شود.

اجرای این توابع با معرفی ماژول ها-عوامل (سنسورها) در ایستگاه های کاری و بلندگوهای AS با نظرسنجی بیشتر از وضعیت یا دریافت گزارش از آنها حاصل می شود. گزارشات در کنسول سرپرست امنیتی پردازش می شوند. برخی سیستم ها به سرورهای میانی (نقاط تلفیقی) مجهز هستند که مناطق و گروه های امنیتی آنها را پردازش می کنند.

تجزیه و تحلیل سیستماتیک از راه حل های موجود در بازار (StatWin ، مدیر پیکربندی Tivoli ، کنترل از راه دور Tivoli ، عملیات OpenView ، "Uryadnik / Enterprise Guard" ، Insider) به ما امکان شناسایی تعدادی از خصوصیات خاص را داد ، و به آنها نوید دهنده ASADP می دهد شاخص های عملکرد آن را در مقایسه با نمونه های مورد مطالعه افزایش می دهد. .

در حالت کلی ، در کنار عملکردی نسبتاً گسترده و بسته گسترده ای از گزینه ها ، از سیستم های موجود می توان برای ردیابی فعالیت تنها بلندگوهای جداگانه بر اساس رای گیری اجباری چرخشی (اسکن) همه بلندگوهای مشخص شده (و خصوصاً کاربران AWP) استفاده کرد.

در عین حال ، توزیع و مقیاس AS جدید مدرن ، از جمله تعداد نسبتاً زیادی از ایستگاههای کاری ، فناوریها و نرم افزارها ، روند نظارت بر کار کاربر را بطور چشمگیری پیچیده می کند و هر یک از دستگاه های شبکه می توانند هزاران پیام ممیزی تولید کنند که به مقادیر کاملاً زیادی از اطلاعات رسیده و به اطلاعات بسیار زیادی نیاز دارند که غالباً تکثیر هستند. پایگاه داده این ابزارها ، از جمله موارد دیگر ، منابع قابل توجهی در شبکه و سخت افزار را مصرف می کنند ، یک AS مشترک را بارگیری می کنند. به نظر می رسد آنها در پیکربندی مجدد سخت افزار و نرم افزار شبکه های رایانه ای انعطاف پذیر نیستند ، قادر به سازگاری با انواع ناشناخته تخلفات و حملات شبکه نیستند ، و اثربخشی تشخیص نقض سیاست های امنیتی توسط آنها تا حد زیادی به فرکانس اسکن توسط مدیر امنیتی عناصر AC بستگی دارد.

یکی از راه های افزایش بهره وری از این سیستم ها افزایش مستقیم فرکانس اسکن است. در ارتباط با افزایش قابل توجه بار محاسباتی در ایستگاه کاری مدیر و همچنین رایانه های ایستگاه های کاری کاربر و همچنین با افزایش ترافیک شبکه محلی ، این امر به ناچار منجر به کاهش کارآیی در انجام آن دسته از کارهای اساسی که برای آن در نظر گرفته شده است خواهد شد.

علاوه بر مشکلات مرتبط با تجزیه و تحلیل مقدار زیادی از داده ها ، در سیستم های مانیتورینگ موجود محدودیت های جدی در کارآیی و صحت تصمیمات اتخاذ شده وجود دارد که ناشی از عامل انسانی است که توسط توانایی های فیزیکی مدیر به عنوان یک اپراتور انسانی تعیین می شود.

حضور در سیستم های مانیتورینگ موجود از امکان اطلاع رسانی در مورد اقدامات آشکار غیر مجاز کاربران در زمان واقعی ، به طور کلی مشکل را حل نمی کند ، زیرا این امکان را به شما می دهد تا فقط انواع تخلف (روش امضا) را که قبلاً شناخته شده بود ، ردیابی کنید و قادر به مقاومت در برابر انواع جدیدی از تخلفات نیست.

توسعه و استفاده در سیستم های حفاظت از اطلاعات از روشهای گسترده تهیه آن ، که افزایش سطح حفاظت از آن را به دلیل "انتخاب" اضافی منابع محاسباتی از بلندگوها فراهم می کند ، از توانایی بلندگوها برای حل مشکلی که برای آن در نظر گرفته شده ، می کاهد و / یا هزینه آن را افزایش می دهد. عدم موفقیت این رویکرد در بازار در حال رشد فناوری های فناوری اطلاعات کاملاً مشهود است.

سیستم خودکار حسابرسی (نظارت) اقدامات کاربر. خواص امیدوارکننده

از نتایج تجزیه و تحلیل فوق ، ضرورت آشکار به دادن خصوصیات زیر به سیستمهای نظارت امیدوارکننده وجود دارد:

• اتوماسیون به استثنای کارهای معمول "دستی"؛
• ترکیبی از تمرکز (بر اساس ایستگاه کاری خودکار یک مدیر امنیتی) با مدیریت در سطح عناصر فردی (برنامه های رایانه ای هوشمند) یک سیستم نظارت بر عملکرد کاربران AS.
• مقیاس پذیری ، که امکان افزایش ظرفیت سیستم های نظارت و گسترش قابلیت های آنها را بدون افزایش چشمگیر منابع محاسباتی لازم برای عملکرد مؤثر آنها فراهم می کند.
• سازگاری با تغییرات در ترکیب و ویژگیهای نیروگاههای هسته ای و همچنین ظهور انواع جدیدی از نقض سیاست امنیتی.

ساختار کلی ASADP AS ، که دارای ویژگی های متمایز است ، که می تواند در AS برای اهداف و لوازم مختلفی اجرا شود ، در شکل ارائه شده است. 3

ساختار فوق شامل مؤلفه های اصلی زیر است:

• سنسورهای مؤلفه نرم افزار ، واقع در برخی از عناصر AS (در ایستگاههای کاری کاربران ، سرورها ، تجهیزات شبکه ، ابزارهای محافظت از اطلاعات) ، که برای رفع و پردازش داده های حسابرسی در زمان واقعی استفاده می شوند.
• پرونده های ثبت نام حاوی اطلاعات واسط در مورد کار کاربران؛
• پردازش داده ها و مؤلفه های تصمیم گیری که از طریق پرونده های ثبت اطلاعات از سنسورها دریافت می کنند ، آن را تجزیه و تحلیل می کنند و در مورد اقدامات بعدی تصمیم گیری می کنند (برای مثال ، وارد کردن برخی اطلاعات به پایگاه داده ، اطلاع مقامات ، ایجاد گزارش ها و غیره)؛
• بانک اطلاعاتی حسابرسی (DB) شامل اطلاعات مربوط به کلیه رویدادهای ثبت شده ، که براساس آن گزارشهایی تولید می شود و وضعیت NPP برای هر دوره زمانی مشخص تحت نظارت قرار می گیرد.
• مؤلفه های تولید گزارش و سوالات بر اساس اطلاعات ثبت شده در بانک اطلاعات حسابرسی و فیلتر سوابق (براساس تاریخ ، توسط شناسه کاربر ، توسط ایستگاه کاری ، توسط رویدادهای امنیتی و غیره).
• مؤلفه ای از رابط سرور امنیتی ، که برای مدیریت عملکرد ASADP AS با ایستگاه کاری ، مشاهده و چاپ اطلاعات ، ایجاد انواع سؤالات پایگاه داده و تولید گزارش استفاده می شود ، که امکان نظارت بر زمان واقعی فعالیت های فعلی کاربران AS و ارزیابی سطح فعلی امنیت منابع مختلف را فراهم می کند.
• مؤلفه های اضافی ، به ویژه مؤلفه های نرم افزاری پیکربندی سیستم ، نصب و قرار دادن حسگرها ، بایگانی و رمزگذاری اطلاعات و غیره

پردازش اطلاعات در ASADP AS مراحل زیر را شامل می شود:

• رفع اطلاعات ثبت نام توسط سنسورها؛
• جمع آوری اطلاعات از سنسورهای فردی؛
• تبادل اطلاعات بین نمایندگان ذیربط سیستم؛
• پردازش ، تجزیه و تحلیل و همبستگی وقایع ضبط شده.
• ارائه اطلاعات پردازش شده به یک فرم عادی (در قالب گزارش ها ، نمودارها و غیره) به سرپرست امنیتی.

به منظور به حداقل رساندن منابع محاسباتی لازم ، افزایش پنهان کاری و قابلیت اطمینان سیستم ، می توان اطلاعات را در عناصر مختلف AS ذخیره کرد.

براساس وظیفه دادن ASADP AS به طور اساسی جدید (در مقایسه با سیستم های موجود برای ممیزی کار کاربران AS) خاصیت اتوماسیون ، تلفیق تمرکز و عدم تمرکز ، مقیاس پذیری و انطباق پذیری ، یکی از راهکارهای ممکن برای ساخت آن ، فناوری مدرن سیستم های هوشمند چند عامل است که با توسعه یک جامعه یکپارچه اجرا می شود عوامل مختلف (برنامه های مستقل هوشمند که عملکردهای مشخصی را برای کشف و خنثی کردن اقدامات کاربر بر خلاف سیاست امنیتی انجام می دهند) و سازماندهی تعامل آنها.

برای ممیزی دسترسی به پرونده ها و پوشه ها در Windows Server 2008 R2 ، شما باید عملکرد حسابرسی را فعال کنید ، همچنین پوشه ها و پرونده هایی را که باید دسترسی به آنها ثبت شود ، مشخص کنید. پس از تنظیم ممیزی ، ورود به سیستم سرور اطلاعاتی درباره دسترسی و سایر رویدادها به پرونده ها و پوشه های منتخب خواهد داشت. شایان ذکر است که دسترسی به پرونده ها و پوشه ها فقط با استفاده از سیستم پرونده NTFS قابل بررسی است.

حسابرسی را برای اشیاء سیستم فایل در Windows Server 2008 R2 فعال کنید

دسترسی حسابرسی به پرونده ها و پوشه ها با استفاده از خط مشی های گروهی فعال و غیرفعال است: خط مشی های دامنه برای یک دامنه Active Directory یا سیاست های امنیتی محلی برای سرورهای مستقل. برای فعال کردن حسابرسی روی سرور جداگانه ، باید کنسول مدیریت محلی را باز کنید شروع -\u003eهمهبرنامه ها -\u003eاداریابزارها -\u003eمحلیامنیتخط مشی. در کنسول سیاست محلی ، باید درخت سیاست محلی را گسترش دهید ( محلیسیاست های) و یک مورد را انتخاب کنید حسابرسی خط مشی.

در قسمت سمت راست ، مورد را انتخاب کنید حسابرسیهدف - شیدسترسی و در پنجره ظاهر شده ، مشخص کنید که چه نوع رویدادهای دسترسی به پرونده و پوشه باید ثبت شود (دسترسی موفقیت آمیز / ناموفق):

پس از انتخاب تنظیمات لازم ، کلیک کنید خوب

پرونده ها و پوشه هایی را انتخاب کنید که دسترسی به آنها ثابت شود

پس از فعال شدن ممیزی دسترسی به پرونده ها و پوشه ها ، لازم است اشیاء خاص سیستم فایل را انتخاب کنید ، ممیزی دسترسی به آنها انجام خواهد شد. مانند مجوزهای NTFS ، تنظیمات حسابرسی به طور پیش فرض برای کلیه اشیاء کودک به ارث می رسد (مگر اینکه در غیر این صورت پیکربندی شده باشد). به همان روشی که هنگام اختصاص حق دسترسی به پرونده ها و پوشه ها ، وراثت تنظیمات حسابرسی برای همه و فقط اشیاء انتخاب شده می توانند فعال شوند.

برای پیکربندی حسابرسی برای یک پوشه / پرونده خاص ، باید بر روی آن راست کلیک کرده و Properties را انتخاب کنید ( خصوصیات) در پنجره Properties ، به برگه Security ( امنیت) و دکمه را فشار دهید پیشرفته. در پنجره تنظیمات امنیتی پیشرفته ( پیشرفتهامنیتتنظیمات) به برگه حسابرسی بروید ( حسابرسی) تنظیم ممیزی به طور طبیعی نیاز به حقوق سرپرست دارد. در این مرحله ، پنجره حسابرسی لیستی از کاربران و گروههایی را نشان می دهد که حسابرسی برای این منبع فعال است:

برای افزودن کاربران یا گروههایی که دسترسی آنها به این شیء برطرف خواهد شد ، روی دکمه کلیک کنید اضافه کردن ... و نام این کاربران / گروه ها را مشخص کنید (یا مشخص کنید هر کس - برای دسترسی به حسابرسی برای همه کاربران):

بلافاصله پس از اعمال این تنظیمات در ورود به سیستم سیستم امنیتی (می توانید آن را در ضربه محکم و ناگهانی پیدا کنید) کامپیوترمدیریت -\u003eنمایشگر رویدادها) ، با هر دسترسی به اشیایی که حسابرسی برای آنها فعال است ، ورودی های مربوطه نمایان می شوند.

از طرف دیگر ، رویدادها را می توان با استفاده از cmdlet PowerShell مشاهده و فیلتر کرد - دریافت-رویداد به عنوان مثال ، برای نمایش همه وقایع با eventid 4660 ، دستور را اجرا کنید:

Get-EventLog امنیت | ؟ ($ _. eventid -eq 4660)

نکته. می توان اقدامات خاصی را برای هر رویدادی در سیاهه ویندوز اختصاص داد ، از جمله ارسال ایمیل یا اجرای اسکریپت. نحوه پیکربندی این موضوع در مقاله توضیح داده شده است:

UPD از 08/06/2012 (با تشکر از مفسران).

در ویندوز 2008 / ویندوز 7 ، ابزار ویژه ای برای مدیریت حسابرسی ظاهر شد حسابرسی. لیست کاملی از انواع شیء که در آن می توانید ممیزی را فعال کنید با استفاده از دستور قابل مشاهده است:

Auditpol / لیست / زیر مجموعه: *

همانطور که مشاهده می کنید ، این اشیاء به 9 دسته تقسیم می شوند:

• سیستم
• ورود به سیستم / ورود به سیستم
• دسترسی به شی
• استفاده از امتیاز
• ردیابی دقیق
• تغییر سیاست
• مدیریت حساب
• دسترسی به DS
• ورود به حساب

و هرکدام به ترتیب به زیر شاخه ها تقسیم می شوند. به عنوان مثال ، دسته Audit از Object Access شامل زیر مجموعه ای از File System می شود و برای فعال کردن حسابرسی برای اشیاء سیستم فایل بر روی رایانه ، دستور را اجرا کنید:

Auditpol / مجموعه / زیر مجموعه: "سیستم فایل" / شکست: فعال / موفقیت: را فعال کنید

طبق دستور قطع شده است:

Auditpol / مجموعه / زیر مجموعه: "سیستم فایل" / عدم موفقیت: غیرفعال کردن / موفقیت: غیرفعال کردن

آن اگر ممیزی زیرمجموعه های غیر ضروری را غیرفعال کنید ، می توانید میزان حجم گزارش و تعداد رویدادهای غیر ضروری را به میزان قابل توجهی کاهش دهید.

بعد از اینکه حسابرسی دسترسی به پرونده ها و پوشه ها فعال شد ، باید اشیاء مشخصی را تعیین کنید که ما آنها را کنترل خواهیم کرد (در خصوصیات پرونده ها و پوشه ها). به خاطر داشته باشید که به طور پیش فرض ، تنظیمات حسابرسی برای کلیه اشیاء کودک به ارث می رسد (مگر اینکه مشخص شده باشد).

نیاز به اجرای سیستمهای حسابرسی از اقدامات کاربر در سازمانها در هر سطح ، با مطالعه شرکتهای درگیر در تجزیه و تحلیل امنیت اطلاعات ، قانع کننده است.

به عنوان مثال ، یک مطالعه توسط آزمایشگاه کسپرسکی نشان داد که دو سوم حوادث امنیت اطلاعات (67٪) از جمله ، با اقدامات کارمندان کم اطلاع یا بی احتیاط ایجاد شده است. علاوه بر این ، طبق بررسی ESET ، 84٪ از شرکتها خطرات مرتبط با عامل انسانی را دست کم می گیرند.

محافظت در برابر تهدیدات مرتبط با کاربر "از درون" نیاز به تلاش بیشتر از محافظت در برابر تهدیدات خارجی دارد. برای مقابله با "آفات" از خارج ، از جمله ویروس ها و حملات هدفمند به شبکه سازمان ، اجرای نرم افزار یا مجموعه نرم افزاری سخت افزاری مناسب کافی است. امنیت سازمان شما از یک مهاجم داخلی به سرمایه گذاری های جدی تری در زیرساخت های امنیتی و تحلیل عمیق نیاز دارد. کار تحلیلی شامل شناسایی انواع تهدیدهایی که برای تجارت بسیار مهم هستند ، و همچنین ترسیم "پرتره از متخلفین" ، یعنی تعیین اینکه چه چیزی بر اساس شایستگی ها و اختیارات کاربر می تواند وارد کند.

ممیزی اقدامات کاربر نه تنها با درک دقیقاً کدام "شکاف" در سیستم امنیتی اطلاعات سریعاً بسته می شود بلکه با مسئله پایداری تجارت به طور کلی ارتباط دارد. شرکت هایی که برای بهره برداری مداوم راه اندازی شده اند باید این نکته را در نظر بگیرند که با عارضه و افزایش روند فرآیند انفورماتیک و اتوماسیون تجاری ، تعداد تهدیدات داخلی فقط افزایش می یابد.

علاوه بر نظارت بر اقدامات یک کارمند عادی ، لازم است عملیات "سوپرایزرها" - کارمندان دارای حقوق ممتاز و بر همین اساس ، فرصتهای گسترده تری برای تحقق تصادفی یا عمدی تهدیدات نشت اطلاعات مورد بررسی قرار گیرد. این کاربران شامل سرپرست سیستم ، سرورهای بانک اطلاعاتی و توسعه دهندگان نرم افزار داخلی هستند. در اینجا می توانید متخصصان درگیر IT و کارمندان مسئول امنیت اطلاعات را اضافه کنید.

اجرای سیستمی برای نظارت بر اقدامات کاربران در شرکت به شما امکان می دهد تا به سرعت در مورد فعالیت های کارمندان ضبط و پاسخ دهید. نکته مهم: سیستم حسابرسی باید فراگیر باشد. این بدان معناست که باید اطلاعات مربوط به فعالیت های یک کارمند عادی ، مدیر سیستم یا مدیر ارشد در سطح سیستم عامل ، استفاده از برنامه های تجاری ، در سطح دستگاه های شبکه ، دسترسی به پایگاه های داده ، اتصال رسانه های خارجی و غیره مورد تجزیه و تحلیل قرار گیرد.

سیستم های حسابرسی یکپارچه مدرن به شما امکان می دهد از شروع خاموش کردن رایانه (ایستگاه کاری ترمینال) کلیه مراحل عملکرد کاربر را کنترل کنید. درست است ، در عمل آنها سعی می کنند از کنترل کامل جلوگیری کنند. اگر کلیه عملیات در سیاهههای مربوط به حسابرسی ثبت شود ، بار زیرساختهای سیستم اطلاعاتی سازمان بارها افزایش می یابد: ایستگاههای کاری "آویزان" می شوند ، سرورها و کانالها تحت فشار کامل کار می کنند. پارانویا در مورد امنیت اطلاعات با کند کردن روند کار به میزان قابل توجهی می تواند به مشاغل آسیب برساند.

یک متخصص صالح امنیت اطلاعات قبل از هر چیز تعیین می کند:

• چه اطلاعاتی در شرکت با ارزش تر است ، زیرا بیشتر تهدیدات داخلی با آن در ارتباط است.
• چه کسی و در چه سطحی می تواند به داده های ارزشمند دسترسی داشته باشد ، یعنی حلقه ای از نقض کنندگان بالقوه را تشریح می کند.
• اقدامات حفاظت فعلی تا چه اندازه قادر به مقاومت در برابر اقدامات عمدی و / یا تصادفی کاربران است.

به عنوان مثال ، متخصصان امنیت اطلاعات از بخش مالی خطرناکترین تهدیدات نشت اطلاعات پرداخت و سوء استفاده از دسترسی را در نظر می گیرند. در بخش های صنعتی و حمل و نقل بیشتر از نشت دانش و رفتار ناعادلانه کارگران می ترسند. نگرانی های مشابهی در بخش IT و تجارت از راه دور وجود دارد که مهمترین آنها تهدیدات نشت پیشرفت های خودمان ، اسرار تجاری و اطلاعات پرداخت است.

به عنوان تخریب "TYPical" برجسته ترین تجزیه و تحلیل آنالیز تجزیه و تحلیل:

• مدیریت ارشد: انتخاب واضح است - وسیع ترین اختیارات ممکن ، دسترسی به با ارزش ترین اطلاعات. در عین حال ، مسئولان امنیتی غالباً از این دست به نقض قوانین داعش چشم بسته می شوند.
• کارمندان بی دین : برای تعیین میزان وفاداری ، متخصصان امنیت اطلاعات شرکت باید اقدامات یک کارمند فردی را تحلیل کنند.
• مدیران: متخصصان دارای دسترسی ممتاز و مرجع پیشرفته و دارای دانش عمیق از صنعت فناوری اطلاعات ، وسوسه می شوند که به اطلاعات مهم دسترسی غیرمجاز داشته باشند.
• کارمندان پیمانکار / برون سپاری : مانند مدیران ، متخصصان خارج از کشور ، با دانش گسترده ، می توانند تهدیدات مختلفی را از درون سیستم اطلاعات مشتری تحقق بخشند.

تعیین مهمترین اطلاعات و محتمل ترین مهاجمان به ساختن سیستم کنترل کاربر ، نه کل ، بلکه انتخابی کمک می کند. این سیستم "اطلاعات را خالی می کند" و متخصصان امنیت اطلاعات را از کار بیش از حد نجات می دهد.

علاوه بر نظارت انتخابی ، نقش مهمی در سرعت بخشیدن به سیستم ، بهبود کیفیت آنالیز و کاهش بار روی زیرساخت ها توسط معماری سیستم های حسابرسی ایفا می کند. سیستم های مدرن برای حسابرسی از عملکرد کاربران دارای ساختار توزیع شده هستند. در پایان ایستگاه های کاری و سرورها ، عوامل حسگر نصب شده اند که وقایع از یک نوع خاص را تجزیه و تحلیل کرده و داده ها را به مراکز تلفیق و ذخیره سازی انتقال می دهند. سیستم های تجزیه و تحلیل برای اطلاعات ضبط شده مطابق پارامترهای مندرج در سیستم ، در حسابرسی ، واقعیت هایی از فعالیت مشکوک یا غیر طبیعی را مشاهده می کنند که نمی توان فوراً به تلاش برای اجرای تهدید نسبت داد. این حقایق به سیستم پاسخگویی منتقل می شوند ، که مدیر امنیتی را از تخلف آگاه می کند.

اگر سیستم حسابرسی بتواند به طور مستقل با تخلف مقابله کند (معمولاً در چنین سیستمهای امنیتی اطلاعاتی روش امضای پاسخ به یک تهدید ارائه می شود) ، تخلف به صورت خودکار متوقف می شود و کلیه اطلاعات لازم درباره متخلف ، اقدامات وی و موضوع تهدید در یک پایگاه داده ویژه قرار می گیرد. در این حالت ، کنسول امنیت امنیتی از خنثی کردن تهدید خبر می دهد.

اگر سیستم روش هایی برای پاسخ دهی خودکار به فعالیت مشکوک را در اختیار شما نگذارد ، تمام اطلاعات برای خنثی کردن تهدید یا تجزیه و تحلیل پیامدهای آن به کنسول سرپرست IS برای عملیات دستی منتقل می شود.

هر سیستم نظارت بر سازماندهی باید عملکرد خود را تنظیم کند:

ممیزی از استفاده از ایستگاه های کاری ، سرورها و همچنین زمان (توسط ساعت ها و روزهای هفته) فعالیت کاربر روی آنها. در این روش ، مصلحت استفاده از منابع اطلاعاتی برقرار می شود.