Перейти к содержанию

Визуальный оперативный контроль пользователей


Рекомендуемые сообщения

Уважаемые коллеги, вопросы от разработчика средств защиты.

Два вопроса.

1. Сейчас мы пытаемся усилить свои средства защиты механизмами контроля действий пользователей на защищаемых компьютерах. Один из подобных механизмов состоит в оперативном визуальном контроле действий пользователей. Краткое описание ниже. Вопрос. Насколько по вашему мнению данная функция полезна и будет востребована?

2. Поделись своим опытом (как разработчикам, нам это важно). Какие функции контроля вам бы пригодились и были бы полезными?

 

Краткое описание подсистемы.

Для обработки информации на защищаемом объекте пользователю необходимо средство отображения – монитор. Экранная копия представляет собой моментальное отображение (снимок) действий пользователя на компьютере. Следовательно, контроль действий пользователей на защищаемых объектах корпоративной сети предприятия, как правило, возлагаемый на администратора безопасности, может осуществляться визуально, по средством сбора и обработки экранных копий (снимков).

Таким образом, основной задачей визуального оперативного контроля действий пользователей можно считать оперативный сбор (в реальном времени) на сервер безопасности (АРМ администратора безопасности) экранных копий (снимков) с защищаемых компьютеров в сети.

Если говорить о подходах к решению, то, в первую очередь, следует понимать, что основной проблемой реализации подобного контроля становится существенное возрастание загрузки связного ресурса, что в значительной мере может снизить пропускную способность канала связи корпоративной сети.

С учетом требований к минимизации нагрузки на сеть, раелизована следующая совокупность решений задачи:

1. Периодический (синхронный) визуальный контроль. Данный контроль состоит в том, что для контролируемых рабочих станций устанавливается расписание получения экранных копий на сервер (например, 1 раз в минуту, в такие-то дни, в такое-то время). Экранные копии поступают на сервер безопасности в реальном времени. Данный способ может использоваться для общего контроля действий пользователей на защищаемых компьютерах. Недостатком этого способа является то, что не может устанавливаться малый интервал контроля одновременно для многих компьютеров в сети.

2. Асинхронно-синхронный визуальный контроль. Данный подход предполагает реализацию причинного запуска механизма контроля. В качестве причины предлагается рассматривать два события (их совокупность) – запущенный процесс (приложение) и активность окна соответствующего приложения на мониторе. В этих условиях механизм контроля запускается. Для запущенного же при заданных условиях контроля устанавливается расписание получения экранных копий на сервер (например, 1 раз в 10 секунд). Экранные копии поступают на сервер безопасности в реальном времени. Данный способ может использоваться уже для контроля действий пользователей с конкретными приложениями (например, с электронной почтой и др., причем, как с одним, так и с несколькими). В отличие от предыдущего подхода, здесь без существенного увеличения загрузки сети можно установить более детальный контроль (можно установить небольшой интервал времени выдачи экранных копий (снимков) на сервер безопасности) действий пользователей для критичных приложений.

3. Асинхронный (разовый по запросу администратора) визуальный контроль. Данный подход реализует возможность получения экранной копии с контролируемых компьютеров в реальном времени по запросу администратора (на запрос администратора выдается один текущий снимок экрана).

4. Асинхронный (непрерывный) визуальный контроль. Данный подход реализует возможность отображения на сервере безопасности в реальном времени экрана контролируемого компьютера. Запускается контроль администратором и непрерывное в реальном времени отображение экрана на мониторе сервера безопасности осуществляется до момента отключения контроля администратором.

 

Предлагаемые альтернативные способы запуска контроля функционально независимы, поэтому могут осуществляться одновременно (параллельно).

С учетом того, что, с одной стороны, может возникнуть возможность просмотра экранных копий (снимков) повторно (по запросу администратора), с другой стороны, данные снимки могут послужить доказательной базой несанкционированных действий пользователя, снимки не только отображаются на мониторе сервера безопасности, но и сохраняются (кроме способа непрерывного визуального контроля) в базе сервера безопасности. Эта база формируется следующим образом. Для каждого контролируемого объекта создается свой каталог для хранения снимков, снимок представляет собою файл, имя которого содержит дату и время его формирования). Таким образом, администратор имеет возможность просмотра сохраненных снимков по дате и по времени (соответственно, просмотра сохраненных снимков за интересующий его период времени).

 

Ссылка на комментарий
Поделиться на другие сайты

По мне так абсолютно избыточное решение. Хотя, возможно, свой круг пользователей у него и будет (хотя для меня это сомнительно).

Большинство задач контроля решается более привычными, штатными средствами, imho.

Если только использовать для контроля над работой "низкоуровневых" операторов. Типа кассиров и операционистов.

Доступ к "нежелательным" ресурсам проще просто ограничить/запретить.

Контролировать последовательность действий... не знаю. И так есть чем.

А программу для снятия информации эта система не отследит. Та может работать "в темную", без отображения информации, и гнать данные, скажем, через "синезубый" адаптер, подключенный по USB.

И не проще ли использовать существующие средства удаленного администрирования?

Ссылка на комментарий
Поделиться на другие сайты

Я не разработчик, и даже не админ. Но из сказанного мне стало ясно, что для того, чтобы "обезвредить" эту систему, мне достаточно обеспечить обрыв на линии сети, или попросту перегрузить ее. Вероятно, существует также возможность заложить в отправку обойму заранее подготовленных скриншотов. Еще одна мысль, которая пришла в голову - попросту изменить системное время компьютера перед входом в ОС.

 

Не слишком ли просто? Может, имеет смысл обеспечить зашифрованное хранение скриншотов на компьютерах пользователей, или их дублирование с кольцом автоудаления в 1-2 суток? И что-то придумать с часами?

Ссылка на комментарий
Поделиться на другие сайты

ИТБ, ПМСМ толку от вариантов 1-3 мало. Ухлопаете денег на разработку и в результате накопите гигабайты картинок. Для чего? Вопросы:

1. кто картинки будет лопатить (автомат поисковые системы по картинкам мне неведомы);

2. даже за минимальный предлагаемый интервал - 10 сек многое можно натворить, не уследите;

3. контроль электронной почты решается путем архивирования исходящих на Вашем почтовом сервере, и, уверяю этот массив намного удобней в работе хотя бы из того, что подлежит индексированию;

4. сеть забьете однозначно. А также, если введете тотальный контроль (а выборочный в такой системе делает ее еще более бессмысленной) ускорите износ оборудования. ХДД, например "любят" постоянно работать с Много Файлов Небольших :)

 

А вариант №4 мне нравится. У любого автоматизатора эт должно быть в загашнике. Только называеся по-разному: у Вас - "Асинхронный (непрерывный) визуальный контроль", а в быту - Радмин или в этом роде. :)

Ссылка на комментарий
Поделиться на другие сайты

Спасибо коллеги,

одно маленькое замечание.

Не смотрите на это средство как на средство защиты, защита это иной вопрос,

может осуществляться иными средствами встроенными или добавочными.

И не смотрите на это решение как на самодостаточное - это всего лишь одна из подсистем.

Мы говорим лишь о функции контроля, давайте предполагать, что необходимая защита этой опции имеется.

Кроме того, у нас два вопроса - второй, а что нужно в части контроя?

Ссылка на комментарий
Поделиться на другие сайты

to ИТБ, если средства защиты уже есть, то речь может идти об он-лайн контроле выборочно либо по сигналу. В принципе подойдет любое средство удаленного администрированиия, передающее контроллеру вид рабочего стола винд. Это уже упомянутый Радмин либо еще есть (совсем небольшое):

 

http://prdownloads.sourceforge.net/vnc-tig..._mirror=surfnet

 

P.S. Мышью не шевелить во время наблюдения! :) :)

Ссылка на комментарий
Поделиться на другие сайты

Спасибо коллеги,

одно маленькое замечание.

Не смотрите на это средство как на средство защиты, защита это иной вопрос,

может осуществляться иными средствами встроенными или добавочными.

И не смотрите на это решение как на самодостаточное - это всего лишь одна из подсистем.

Мы говорим лишь о функции контроля, давайте предполагать, что необходимая защита этой опции имеется.

Кроме того, у нас два вопроса - второй, а что нужно в части контроя?

9151[/snapback]

Контроль для рабочих мест, имеющих доступ в инет - решается контент-анализаторами. Если по простому, то просмотром логом (бедный офицер безопасности при этом часто получает риск стать импотентом =)

Действия, связанные с нарушениями сетевой безопасности (сканирование и т.п.) - IDS.

Использование неразрешенного софта блокируется убиением админских прав у пользователя.

Текущий контроль может осуществляться средствами удаленного администрирования.

Только вопрос -что именно контролировать?

Если недозволенные действия - см. выше.

Если логику действий оператора при работе с разрешенными системами...

 

Что нужно контролировать... Вот тут и нужна модель, причем для каждой организации своя.

Если на вскидку...

а) авторов оставленных на расшаренных принтерах распечаток

б) расшаренные ресурсы в локальной сети

в) метаданные в отправляемых документах (и что-бы режим правок в отправлямом письме не забывали выключать)

г) мобилы включенные через USB и блютуз (ну это решается и так)

д) наличие троянов на машинах сети

е) наличие на включенных в сеть машинах "теней" конфидециальных документов, просто удаленных пользователем

е) использование CD-привода как подставки для кофе...

 

Ссылка на комментарий
Поделиться на другие сайты

Для того чтобы запереть различные носители (включая дисководы CD/DVD-ROM, а также устройства, подключаемые через интерфейсы USB, Bluetooth, Firewire и Wi-Fi). можно воспользоваться GFI EndPointSecurity

 

скрины _ttp://www.gfi.com/endpointsecurity/esecscreenshots.htm

рус. _ttp://sysadmin.mail.ru/new.php?id=2515

 

Могу задарить полную версию форумчанину it2b с количеством постов не менее 40. Можно обратиться через бабу Асю или личку.

 

ПС: согласен с Lang, что это абсолютно избыточное решение. Хотя, возможно, свой круг пользователей у него и будет (хотя для меня это сомнительно).

Ссылка на комментарий
Поделиться на другие сайты

Кстати флешку можно запереть и так:

Откройте редактор реестра (regedit)

Найдите ветку

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

Если ее нет, создайте ее.

В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1.

Закройте regedit.exe

Все. Теперь доступ к aflash дискам будет только для чтения (readonly)

 

источник _ttp://www.n-admin.com/n27-2772.html

Ссылка на комментарий
Поделиться на другие сайты

IMO: Вопрос не в программах удаленного администрирования (их достаточно много), а в том, чтоб они были встроены в СЗИ

 

В принципе достаточно действительно сделать анализ функций программ удаленного администрирования и перенести/реализовать их функции

 

По дополнительному функционалу:

- наиболее остро стоит вопрос совместимости и корректной работы СЗИ (когда СЗИ подвешивает или существенно тормозмт сеть - это "не есть хорошо")

- актуальным продолжает оставаться вопрос контент-анализа почты и сообщений отправляемых через Web-интерфейс (пока из отечественных только Дозор-Джет [только почта] и "дочка" Касперского) - вот в этом случае может пригодиться автоматическое включение снимков экрана (а может и не пригодиться - т.к. достаточно будет просто блокировать/недопустить утечку и "просигналить" о попытке отправки)

- остается актуальным выполнение требования Закона "О коммерческой тайне" в части учета осведомленности и индексировании сведений (обрабатываемых в АС), составляющих коммерческую тайну

- и самый "больной" вопрос - распределение/разграничение доступа, индексирования информации, учета осведомленности и т.д. в базах данных

 

О разделении полномочий администраторов, контролем за их действиями и управлением вывода на внешние/отчуждаемые носители и твердую копию уже обсуждалось.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...