Оперативное наблюдение и управление работой пользователей в ЛВС

Регистрация действий пользователей на рабочих станциях является одной из основных функций, реализованных в программно-аппаратном комплексе средств защиты информации от несанкционированного доступа <Аккорд> (ПАК СЗИ НСД <Аккорд>) версии 1.35. Благодаря очень мощной системе атрибутов администратор безопасности информации (АБИ) может очень четко отслеживать все действия пользователей не только на рабочих станциях, но и все запросы пользователей к ресурсам любого файлового сервера (к примеру, файлового сервера Novell NetWare).

При этом регистрация событий происходит в локальном журнале на рабочей станции. Для получения ясной картины о работе пользователя на рабочей станции АБИ достаточно просмотреть этот журнал, т. е. регистрация запросов пользователей к сетевым ресурсам не создаст никаких дополнительных затрат для файлового сервера.

Однако при всех положительных чертах ведения журналов на рабочих станциях существует один существенный недостаток: все попытки несанкционированного доступа (НСД) можно отследить только на основании ретроспективного анализа (АБИ собирает и анализирует все журналы с некоторой периодичностью, к примеру, раз в день). И помешать попыткам НСД иногда бывает уже поздно. Именно поэтому АБИ нуждался в инструменте оперативного наблюдения и управления работой пользователей на рабочих станциях, работающих под контролем ПАК СЗИ НСД <Аккорд> в составе ЛВС.

Основной функцией наблюдения следует признать оперативный анализ журналов регистрации событий на каждой конкретной станции. АБИ должен получать оперативную информацию обо всех попытках НСД. Кроме того, часто вызывает интерес сам факт доступа к некоторому ресурсу, расположенному как на рабочей станции, так и на файловом сервере. Для более детального анализа деятельности пользователя необходимо предоставить АБИ возможность получения локальных журналов с рабочих станций.

Во время работы с журналами для предотвращения попыток НСД АБИ должен иметь возможность блокировать средства ввода и вывода рабочей станции. И в качестве последней меры воздействия - возможность удаленной перезагрузки рабочей станции.

Все вышеперечисленные функции реализованы в программном продукте <Автоматизированное рабочее место администратора безопасности информации> (АРМ АБИ) в ПАК СЗИ НСД <Аккорд>. Для получения более подробной информации у АБИ есть возможность просмотра экрана рабочей станции. Кроме того, АБИ может работать в режиме эмуляции терминала. Особенностью оперативного анализа журналов является мощная система фильтров в сочетании с возможностью вывода событий выделенной станции в отдельное окно наблюдения.

В качестве протоколов передачи данных АРМ АБИ может использовать как ipx, так и netbios, обеспечивая тем самым аппаратную независимость от типа используемых сетевых карт и возможность работы в любой ЛВС. Корректная работа АРМ АБИ возможна как в ЛВС с выделенным сервером (к примеру, Novell NetWare), так и в одноранговой сети типа Windows. Более того, для оперативного наблюдения и управления работой пользователей АБИ достаточно обеспечить полноценное функционирование протоколов ipx или netbios на каждой рабочей станции без подключения к серверам.

Так как действия, выполняемые при удаленном управлении и наблюдении, весьма опасны для пользователей, моменты установления соединения между рабочей станцией и АРМ АБИ проводятся с использованием протокола усиленной аутентификации, что гарантирует подлинность как рабочей станции, так и АРМ АБИ. Поэтому в качестве сервисных функций АРМ АБИ добавлены функции усиленной аутентификации. Кроме того, все команды, посылаемые на рабочие станции, снабжаются кодом подтверждения достоверности, аналогичным электронной цифровой подписи, что гарантирует корректность данной команды.

Используя особенности работы ПАК СЗИ НСД <Аккорд>, АБИ может назначать права разграничения доступа для любого пользователя на любой рабочей станции в ЛВС, что является дополнительным достоинством АРМ АБИ.

Авторы: Леонтьев Д. Н.; Счастный Д. Ю.

Дата публикации: 01.01.1998

Библиографическая ссылка: Леонтьев Д. Н., Счастный Д. Ю. Оперативное наблюдение и управление работой пользователей в ЛВС Управление защитой информации. Мн.; М., 1998. Т. II. № 2. С. 162–163.

---