Перейти к содержанию

Визуальный оперативный контроль пользователей


Рекомендуемые сообщения

Уважаемые коллеги, вопросы от разработчика средств защиты.

Два вопроса.

1. Сейчас мы пытаемся усилить свои средства защиты механизмами контроля действий пользователей на защищаемых компьютерах. Один из подобных механизмов состоит в оперативном визуальном контроле действий пользователей. Краткое описание ниже. Вопрос. Насколько по вашему мнению данная функция полезна и будет востребована?

2. Поделись своим опытом (как разработчикам, нам это важно). Какие функции контроля вам бы пригодились и были бы полезными?

 

Краткое описание подсистемы.

Для обработки информации на защищаемом объекте пользователю необходимо средство отображения – монитор. Экранная копия представляет собой моментальное отображение (снимок) действий пользователя на компьютере. Следовательно, контроль действий пользователей на защищаемых объектах корпоративной сети предприятия, как правило, возлагаемый на администратора безопасности, может осуществляться визуально, по средством сбора и обработки экранных копий (снимков).

Таким образом, основной задачей визуального оперативного контроля действий пользователей можно считать оперативный сбор (в реальном времени) на сервер безопасности (АРМ администратора безопасности) экранных копий (снимков) с защищаемых компьютеров в сети.

Если говорить о подходах к решению, то, в первую очередь, следует понимать, что основной проблемой реализации подобного контроля становится существенное возрастание загрузки связного ресурса, что в значительной мере может снизить пропускную способность канала связи корпоративной сети.

С учетом требований к минимизации нагрузки на сеть, раелизована следующая совокупность решений задачи:

1. Периодический (синхронный) визуальный контроль. Данный контроль состоит в том, что для контролируемых рабочих станций устанавливается расписание получения экранных копий на сервер (например, 1 раз в минуту, в такие-то дни, в такое-то время). Экранные копии поступают на сервер безопасности в реальном времени. Данный способ может использоваться для общего контроля действий пользователей на защищаемых компьютерах. Недостатком этого способа является то, что не может устанавливаться малый интервал контроля одновременно для многих компьютеров в сети.

2. Асинхронно-синхронный визуальный контроль. Данный подход предполагает реализацию причинного запуска механизма контроля. В качестве причины предлагается рассматривать два события (их совокупность) – запущенный процесс (приложение) и активность окна соответствующего приложения на мониторе. В этих условиях механизм контроля запускается. Для запущенного же при заданных условиях контроля устанавливается расписание получения экранных копий на сервер (например, 1 раз в 10 секунд). Экранные копии поступают на сервер безопасности в реальном времени. Данный способ может использоваться уже для контроля действий пользователей с конкретными приложениями (например, с электронной почтой и др., причем, как с одним, так и с несколькими). В отличие от предыдущего подхода, здесь без существенного увеличения загрузки сети можно установить более детальный контроль (можно установить небольшой интервал времени выдачи экранных копий (снимков) на сервер безопасности) действий пользователей для критичных приложений.

3. Асинхронный (разовый по запросу администратора) визуальный контроль. Данный подход реализует возможность получения экранной копии с контролируемых компьютеров в реальном времени по запросу администратора (на запрос администратора выдается один текущий снимок экрана).

4. Асинхронный (непрерывный) визуальный контроль. Данный подход реализует возможность отображения на сервере безопасности в реальном времени экрана контролируемого компьютера. Запускается контроль администратором и непрерывное в реальном времени отображение экрана на мониторе сервера безопасности осуществляется до момента отключения контроля администратором.

 

Предлагаемые альтернативные способы запуска контроля функционально независимы, поэтому могут осуществляться одновременно (параллельно).

С учетом того, что, с одной стороны, может возникнуть возможность просмотра экранных копий (снимков) повторно (по запросу администратора), с другой стороны, данные снимки могут послужить доказательной базой несанкционированных действий пользователя, снимки не только отображаются на мониторе сервера безопасности, но и сохраняются (кроме способа непрерывного визуального контроля) в базе сервера безопасности. Эта база формируется следующим образом. Для каждого контролируемого объекта создается свой каталог для хранения снимков, снимок представляет собою файл, имя которого содержит дату и время его формирования). Таким образом, администратор имеет возможность просмотра сохраненных снимков по дате и по времени (соответственно, просмотра сохраненных снимков за интересующий его период времени).

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 18
  • Создана
  • Последний ответ

По мне так абсолютно избыточное решение. Хотя, возможно, свой круг пользователей у него и будет (хотя для меня это сомнительно).

Большинство задач контроля решается более привычными, штатными средствами, imho.

Если только использовать для контроля над работой "низкоуровневых" операторов. Типа кассиров и операционистов.

Доступ к "нежелательным" ресурсам проще просто ограничить/запретить.

Контролировать последовательность действий... не знаю. И так есть чем.

А программу для снятия информации эта система не отследит. Та может работать "в темную", без отображения информации, и гнать данные, скажем, через "синезубый" адаптер, подключенный по USB.

И не проще ли использовать существующие средства удаленного администрирования?

Ссылка на комментарий
Поделиться на другие сайты

Я не разработчик, и даже не админ. Но из сказанного мне стало ясно, что для того, чтобы "обезвредить" эту систему, мне достаточно обеспечить обрыв на линии сети, или попросту перегрузить ее. Вероятно, существует также возможность заложить в отправку обойму заранее подготовленных скриншотов. Еще одна мысль, которая пришла в голову - попросту изменить системное время компьютера перед входом в ОС.

 

Не слишком ли просто? Может, имеет смысл обеспечить зашифрованное хранение скриншотов на компьютерах пользователей, или их дублирование с кольцом автоудаления в 1-2 суток? И что-то придумать с часами?

Ссылка на комментарий
Поделиться на другие сайты

ИТБ, ПМСМ толку от вариантов 1-3 мало. Ухлопаете денег на разработку и в результате накопите гигабайты картинок. Для чего? Вопросы:

1. кто картинки будет лопатить (автомат поисковые системы по картинкам мне неведомы);

2. даже за минимальный предлагаемый интервал - 10 сек многое можно натворить, не уследите;

3. контроль электронной почты решается путем архивирования исходящих на Вашем почтовом сервере, и, уверяю этот массив намного удобней в работе хотя бы из того, что подлежит индексированию;

4. сеть забьете однозначно. А также, если введете тотальный контроль (а выборочный в такой системе делает ее еще более бессмысленной) ускорите износ оборудования. ХДД, например "любят" постоянно работать с Много Файлов Небольших :)

 

А вариант №4 мне нравится. У любого автоматизатора эт должно быть в загашнике. Только называеся по-разному: у Вас - "Асинхронный (непрерывный) визуальный контроль", а в быту - Радмин или в этом роде. :)

Ссылка на комментарий
Поделиться на другие сайты

Спасибо коллеги,

одно маленькое замечание.

Не смотрите на это средство как на средство защиты, защита это иной вопрос,

может осуществляться иными средствами встроенными или добавочными.

И не смотрите на это решение как на самодостаточное - это всего лишь одна из подсистем.

Мы говорим лишь о функции контроля, давайте предполагать, что необходимая защита этой опции имеется.

Кроме того, у нас два вопроса - второй, а что нужно в части контроя?

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...