Универсальные механизмы защиты, имеющиеся в арсенале специалистов по безопасности, обладают своими достоинствами и недостатками и могут применяться в различных вариациях и совокупностях в конкретных методах и средствах защиты. Повышать уровень стойкости системы защиты за счет применения, более совершенных физических и технических средств можно только до уровня стойкости персонала из ядра безопасности системы.
Для обеспечения высокого уровня безопасности разработаем метод контроля основанный на комбинации маскирования и аудитинга. Встроенный механизм аудитинга позволяет фиксировать в специальных файлах любые действия любых пользователей. Различают внешний и внутренний аудит. Первый – это разовое мероприятие, проводимое по инициативе руководителя организации. Внутренний представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите».
Встроенный механизм аудитинга позволяет фиксировать в специальных файлах (журналах) любые действия любых пользователей. Для обеспечения работы механизма аудитинга дополнительно вводятся два новых типа пользователей - "заведующий безопасностью " и "аналитик по вопросам безопасности". Первый конфигурирует механизм аудитинга, при необходимости включает или выключает его и т.д. Второй имеет право просматривать журнал действий пользователя. Конфигурирование механизма аудитинга подразумевает:
указание действий, которые в обязательном порядке будут фиксироваться в журналах для любого пользователя;
указание пользователей, для которых надо (или, наоборот, не надо) фиксировать те или иные действия;
указание действий, которые надо протоколировать для того или иного пользователя.
Следует отметить, что никто, кроме заведующих безопасностью базы данных и системных администраторов не может знать, включен в данный момент времени аудитинг или нет. А если аудитинг включен, то невозможно узнать, протоколируется ли то или иное действие для того или иного пользователя, или нет.
Для того, чтобы можно было использовать аудитинг, необходимо выполнить следующие действия:
Определить список пользователей, имеющих право управлять аудитингом и просматривать журнал аудитинга;
Определить, что будет фиксировать в журнале механизм аудита (определить протоколируемые действия пользователей);
Сконфигурировать механизм аудита
Запустить механизм аудитинга.
Схема аудитинга представлена на рисунке 1.
Рисунок 1 – Схема аудитинга.
Контроль в реальном времени подразумевает возможность подключиться к рабочему столу и отслеживать активность конкретного сотрудника.
Основная угроза компаниям сейчас исходит изнутри. Задача служб безопасности во многом заключается в том, чтобы развернуть в компании "прозрачную" систему контроля, которая бы не формировала у сотрудников негативной реакции, не создавала неудобств и в то же время была эффективной. Решаться эта задача должна на трех уровнях - техническом, организационном и психологическом.
Целью исследования является повышение эффективности и качества контроля за приложениями пользователя.
Успех или неудача масштабного применения систем защиты информации зависит от наличия в них развитых средств управления режимами работы защитными механизмами, и реализации функций, позволяющих существенно упрощать процессы установки, настройки и эксплуатации средств защиты.
Одна из основных задач - защита информационных ресурсов с ограниченным доступом от внешнего и внутреннего нарушителя. В настоящее время приоритет угрозы постепенно перемещается из-за периметра во внутреннюю защищаемую (контролируемую) зону.
Существует множество программ, позволяющих осуществить защиту информации пользователей (Lan Agent, StaffCop, StatWin, DLP Guard Workstation и другие). Данная автоматизированная система позволяет вести контроль запуска программ в реальном времени, заблокировать запуск нежелательных программ, ведет мониторинг, формирует аналитические отчеты по активности работы на компьютере, в конкретных программах.
Есть возможность удаленно управлять настройками, а также контролировать дистанционно в скрытом режиме.
Архитектура программы такова, что пользователь может работать независимо от администраторской части. Обмен информацией производится по протоколу TCP/IP. В данном случае необходимо знать только IP-адрес компьютера.
СПИСОК ЛИТЕРАТУРЫ
В.И. Аверченков, Аудит информационной безопасности, 1-е издание, - ФЛИНТА, 2011.
В.С. Рыжов, Построение распределенных объектно-ориентированных интегрированных информационных систем обеспечения безопасности предприятия, -Москва, 2012.
М.Ю. Рытов, Разработка системы технической защиты информации, - ФЛИНТА, 2011 – 120-155 с.