В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Д.т.н., проф. А.Ю.Щеглов
ЗАО "НПП "Информационные технологии в бизнесе"
Трудно себе представить руководителя, которого бы не интересовало, каким образом сотрудниками используются корпоративные вычислительные средства в рамках выполнения ими своих служебных обязанностей? Например, какую долю времени сотрудник уделяет собственно выполнению своих служебных обязанностей, с какой целью и в каком объеме он пользуется сервисами внешней сети, например, Интернет, какую информацию передает по электронной почте, какую информацию и с какой целью набирает в текстовом редакторе и т.д. А ведь во многом именно эта информация о сотруднике позволяет сделать вывод о его лояльности и трудолюбии.
Для обработки информации на вычислительном средстве пользователю необходимо средство отображения – монитор. Так как решение подавляющей части задач на компьютере невозможно без средства отображения, контроль действий пользователей на компьютерах корпоративной сети предприятия, который может возлагаться на администратора безопасности, может осуществляться визуально, посредством сбора и соответствующей обработки экранных копий (моментальных снимков) мониторов компьютеров в составе корпоративной сети предприятия.
Общие требования к реализации системы контроля.
Приступая к созданию системы наблюдения за действиями пользователей, посредством сбора и обработки экранных копий, прежде всего, необходимо определиться с требованиями к подобной системе контроля. Попробуем их сформулировать:
Реализация системы контроля.
В качестве примера реализации системы контроля рассмотрим "Систему оперативного слежения (СОС) "Панцирь" для ОС Windows 2000/XP/2003".
В порядке замечания отметим, что данная система на правах отдельной подсистемы контроля включена в состав «Комплексной системы защиты информации (КСЗИ) "Панцирь-К» для ОС Windows 2000/XP/2003".
Интерфейс АРМа администратора, реализуемого на сервере безопасности, представлен на Рис.1.
Рис.1. Интерфейс АРМа администратора
Система позволяет осуществлять в реальном времени одновременный контроль (удаленное отображение на экране сервера) экранных копий с любого количества компьютеров в составе корпоративной сети предприятия, что осуществляется в отдельном окне АРМа администратора безопасности, см. Рис.2 (в каком-то смысле это напоминает системы видео-наблюдения, где на одном мониторе в соответствующих "квадратах" одновременно отображаются различные контролируемые объекты).
В данном окне интерфейса программы могут быть сгруппированы несколько (в общем случае – любое количество, все зависит от монитора сервера безопасности) изображений экранных копий с различных удаленных компьютеров, которые будут обновляться в реальном времени при появлении нового снимка. Открытые окна могут быть различным способом сгруппированы, для каждого окна можно выбирать режим просмотра: в натуральную величину, либо в масштабируемом по величине окна программы виде.
Это же окно используется и в том случае (для тех контролируемых компьютеров), когда экранные копии не отображаются в реальном времени, а автоматически собираются на сервере, с целью их последующего просмотра администратором в интерактивном режиме (по его запросу). При выборе пункта "Открыть скриншот" будет предложено выбрать изображение для просмотра (данные изображения сохраняются в различных каталогах для различных компьютеров, в каждом файле хранится свой скриншот, наименование файла содержит время получения скриншота на сервер). Переход между изображениями в каталоге можно осуществить кнопками "Page UP", "Page Down".
Рис. 2. Окно отображения экранных копий
Теперь несколько слов о настройке данной системы.
В разделе интерфейса "Снимки экрана" (см.Рис.3) для выбранного (в интерфейсе системы, см. Рис.1) компьютера, можно осуществить настройку формата снимков экрана (того формата, в котором снимки будут отправляться на сервер, что также введено для возможности снижения нагрузки на опорную сеть), а так же осуществить задание списка процессов и/или заголовков рабочих окон, при работе которых (активности окон) будет происходить съемка скриншотов (само собой, что эти и иные настройки системы могут осуществляться удаленно – с сервера безопасности). Экранная копия будет сниматься и отправляться на сервер только в том случае, если окно указанного процесса (приложения), либо непосредственно указанное в интерфейсе окно (заголовок окна), активно (пользователь непосредственно работает с окном указанного приложения).
Для задания интервала (периода) снятия экранных копий (после снятия, экранная копия в реальном времени отправляется на сервер), а также для задания режима, при котором съем копий будет осуществлять только при активности окон отдельных процессов, должен быть использован интерфейс, приведенный на Рис.4.
Рис. 3. Интерфейс «Снимки экрана»
Рис.4. Пункт меню «Свойства»
Учет рабочего времени пользователя системой реализуется посредством сбора статистики и анализа активности процессов и приложений (точнее говоря, активности окон, соответствующих данных процессам – одновременно на компьютере может быть запущено несколько процессов, но всегда только одно окно, непосредственно с которым работает пользователь, является активным).
При запуске данной процедуры контроля, системой регистрируется активность окон (и смена активных окон) в процессе всего времени функционирования контролируемого вычислительного средства (пока администратором активизирована соответствующая процедура контроля). Отображение файл аудита смены активности окон представлено на Рис.5.
Возможности фильтрации и представления собранной статистики учета рабочего времени сотрудников предприятия на вычислительных средствах корпоративной сети проиллюстрированы на Рис.6 – Рис.9.
Используя возможности рассматриваемой подсистемы контроля, можно получить статистику по работе пользователя с отдельной программой за интересующий интервал времени, см. Рис.6 (все зарегистрированные системой запускаемые программы и соответствующие им заголовки окон отображаются в интерфейсе, см. Рис.7, где можно осуществить выбор контролируемой программы). При этом отобразится продолжительность работы пользователя с данной программой в течение заданного времени, и процент времени работы пользователя с данной программой, см. Рис.6.
Рис.5. Отображение файла аудита системы
Рис.6. Отображение статистики работы пользователя с выбранной программой
Рис.7. Отображение запускаемых на компьютере процессов (приложений)
Кроме того, администратор имеет возможность получить полную статистику по работе пользователя на компьютере за заданный интервал времени, что настраивается из интерфейса, см. Рис.6. При этом отобразится продолжительность работы пользователя с каждой программой в течение контролируемого времени (соответственно, будут отображаться только те программы, которые запускались), и процент времени работы пользователя с каждой программой, см. Рис.8. Полученную статистику можно отобразить в виде диаграммы, см.Рис.9. Подобный анализ может быть проведен для каждого пользователя (для каждой учетной записи) на каждом контролируемом компьютере.
Рис.8. Отображение статистики работы пользователя за заданный интервал времени
Рис.9. Отображение статистики работы пользователя за заданный интервал времени в виде диаграммы
И, буквально в двух словах, по поводу реализации функции непрерывного наблюдения за пользователем в реальном времени. Как ранее отмечали, это весьма ресурсоемкая функция, которую целесообразно использовать при обнаружении некорректных действий пользователя, либо когда его действия необходимо контролировать непрерывно. Реализуется эта функция отдельной программой.
Данная программа позволяет в реальном времени удаленно непрерывно отображать на сервере монитор контролируемого компьютера. Для реализации данного контроля необходимо в интерфейсе, см. Рис.1, выбрать контролируемый компьютер и из соответствующего меню запустить данную программу.
В порядке замечания отметим, что рассматриваемая система контроля обладает и иными (весьма широким диапазоном) возможностями, предоставляемыми администратору для удаленного контроля действий пользователей и для удаленного реагирования на некорректные действия пользователя (завершение/запуск процесса, блокирование текущего сеанса, запрет доступа к файловому объекту и т.д.), однако рассмотрение подобных возможностей системы выходит за рамки настоящей работы.
В заключение, еще раз, акцентируем внимание читателя на том, что в работе рассматривается средство контроля. Оно, как и иные средства, основу которых составляет реализация механизмов контроля – сигнатурные анализаторы, средства "теневого копирования" и т.д., а не реализация разграничительной политики доступа к ресурсам, к средствам защиты может быть отнесено "с большой натяжкой", по сути, решают иные задачи. Однако, на практике подобный контроль может быть весьма полезен, в частности, применение рассмотренного в работе средства позволяет получить объективную оценку, как эффективности использования вычислительных средств предприятия, так и объективную характеристику сотрудника предприятия, в том числе, оценить его лояльность, дав ответ на вопрос, интересующий практически любого руководителя предприятия: "Чем занимаются сотрудники в рабочее время и за что они получают заработную плату?".
Опубликовано: Сайт ITSec.Ru-2008