Для оперативного управления в системе защиты Secret Net NT предусмотрена возможность блокировки, выключения и перезагрузки любой рабочей станции системы[3].
В системном журнале содержится список всех событий, которые произошли на рабочей станции, в соответствии с установленным режимом регистрации. При перезагрузке (начальной загрузке) рабочей станции, подключении любого пользователя с этой станции к сети, либо по требованию администратора системный журнал перемещается на сервер управления доступом и хранится в базе данных на сервере. После этого его содержимое можно анализировать при помощи утилиты NetAdmin. Имеется возможность просмотреть системный журнал полностью или запросить выборку событий. Выборка может быть сделана по имени компьютера, имени пользователя и дате (интервалу дат).
В системном журнале содержатся следующие сведения:
· дата и время события (колонка "Время");
· пользователь, в течение работы которого произошло событие (колонка "Пользователь");
· рабочая станция, на которой произошло событие (колонка "Компьютер");
· категория события (колонка "Категория");
· описание события (колонка "Сообщение").
При отображении содержимого системного журнала записи каждого типа выделены своим цветом: обычные события регистрации имеют черный цвет, вход пользователя в систему - зеленый, события НСД - красный, события расширенной регистрации - фиолетовый, сетевые события - зеленый и т.д.[3].
Проводя анализ системного журнала безопасности, администратор может выявить пользователей, наиболее часто совершающих попытки несанкционированного доступа. На основе этих данных может быть сделан вывод о преднамеренном или случайном характере НСД в случае каждого пользователя.
В рамках данного дипломного проекта была создана программа, предоставляющая широкие возможности по просмотру и анализу журналов безопасности.
На рис.6.1 показана схема функционирования системы мониторинга событий НСД. На ней отражено слежение за несанкционированным доступом к информации не только программным путем. Необходим также контроль несанкционированного вскрытия аппаратуры и проникновения в помещения. Вся эта информация должна попадать на АРМ администратора безопасности системы, который должен принимать адекватные меры при возникновении НСД.
Рис.6.1. Структурная схема системы мониторинга несанкционированного доступа
Системный журнал безопасности – огромный резервуар, хранящий многие килобайты записей о событиях в сети. Проводя тщательный анализ журнала, администратор безопасности может существенно повысить эффективность своей работы.
К сожалению, штатные средства Secret Net NT позволяют лишь просматривать содержимое журнала (при желании возможна выборка событий некоторой категории, событий за промежуток времени, а также связанных с конкретным пользователем или компьютером в сети). Анализ предоставленной информации целиком ложится на плечи администратора, хотя с этим гораздо эффективней могла бы справиться ЭВМ. Известно, что человек лучше воспринимает информацию, когда она представлена не в виде списков или таблиц, а в виде графиков и диаграмм, поэтому логичным было бы отображать результаты анализа журнала в виде именно в таком виде.
Вышесказанное подводит нас к необходимости создания приложения, реализующего эти функции.
На текущий момент имеется несколько развитых языков программирования, позволяющих создавать полноценные программы, предназначенные для работы в среде Windows NT, но основными конкурирующими платформами стали Delphi и C++. В последнее время мы стали свидетелями прогресса в области программирования: появились программные продукты, реализующие концепцию быстрой графической разработки программ (rapid application development - RAD). Примерами таких сред программирования для C++ могут являться Optima++ фирмы Powersoft и C++Builder фирмы Borland[10].
C++ Builder для Windows 95 и Windows NT – выпущенное в 1997г. компанией Borland International новое средство быстрой разработки корпоративных информационных систем. Это средство сочетает в себе удобства визуальной среды разработки, объектно-ориентированный подход, разнообразные возможности повторного использования кода, открытую архитектуру и высокопроизводительный компилятор языка С++[11].
Рис.6.2.Интерфейс Borland C++ Builder.
Программирование в основном сводится к проектированию форм из элементов графической библиотеки компонентов (Visual Component Library). Разместив компоненты, программист устанавливает их свойства и “привязывает” программные фрагменты к определенным событиям.
Библиотека Visual Component Library содержит более ста компонентов. Помимо стандартных объектов пользовательского интерфейса Microsoft Windows имеются компоненты для: наиболее употребительных элементов управления Windows 95; элементов управления, связанных с базами данных; объектов баз данных, например, таблиц и транзакций; объектов для составления отчетов; компонентов Internet. Реализована и совместимость с элементами ActiveX.
В С++ Builder применена технология инкрементного построения проекта, впервые реализованная в Delphi. Проект может быть создан в фоновом режиме, параллельно с редактированием исходного текста, что значительно сокращает время, затрачиваемое на его разработку.
Отладчик С++ Builder полностью интегрирован в пакет. При исполнении программы разработчик имеет доступ к окнам контроля значений переменных, почкам прерываний, потокам, регистрам и стекам вызовов. В любой момент программу можно приостановить, внести изменения и частично перестроить проект. Конструктор форм и другие инструментальные средства продолжают функционировать во время выполнения программы, что позволяет в ходе отладки добавлять новые события[10].
Вышеперечисленные, а также многие другие достоинства пакета Borland C++ Builder, делают его очень удобной средой для разработки программ под Windows 95 и Windows NT, что стало решающим аргументом при выборе среды программирования для написания программы анализа системного журнала безопасности.
Программа должна быть способна проводить анализ файла журнала безопасности и на его основе выдавать в наглядном виде следующие результаты:
· общая информация (размер файла журнала, количество записей, дата первой и последней записи и т.д.);
· диаграмма, показывающая распределение количества событий НСД для каждого пользователя;
· диаграмма, показывающая распределение количества событий НСД для каждой рабочей станции;
· график динамики событий НСД по дням в пределах месяца;
· график динамики событий НСД по часам в пределах суток.
Кроме того, программа должна позволять просто просматривать журнал безопасности и предоставлять возможность фильтрации событий по пользователям, рабочим станциям, категориям событий, периоду времени.
В данном дипломном проекте была рассмотрена проблема обеспечения безопасности информации в локальной вычислительной сети подразделения с заданной организационно-штатной структурой на базе Windows NT. Основным требованием, предъявляемым к проектируемой ЛВС, является безопасность данных.
В качестве логической структуры сети выбрана модель основного домена, как наиболее эффективная модель при имеющихся условиях.
Был проведен всесторонний анализ возможностей операционной системы Windows NT, в результате которого было установлено, что штатных средств обеспечения безопасности не достаточно. На основе предъявленных требований был сделан выбор дополнительного средства – программно-аппаратного комплекса Secret Net NT.
Рекомендуется применять совместно с программно-аппаратными и организационные меры предупреждения утечки закрытой информации. Это должно дать максимальный эффект.