МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра «Захист інформації»
/
ЗВІТ
до практичної роботи №2
ЗАГАЛЬНА АРХІТЕКТУРА І ПРИНЦИПИ РОБОТИ «КОНТУРУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM»
з курсу: “Менеджмент у сфері захисту інформації”
�
Львів 2019
Мета роботи – отримання навичок роботи з програмним забезпеченням «Контур інформаційної безпеки SearchInform», отримання інформації про контрольовані канали, способи контролю. Отримання навичок повнотекстового пошуку на прикладі пошуку схожих.
ОСНОВНІ ВІДОМОСТІ
Компоненти «Контуру інформаційної безпеки SearchInform», далі Контуру, перехоплюють документи користувачів. Перехоплення даних здійснюється або сервером NetworkSniffer, або агентами, які встановлені на цільові робочі станції користувачів:
сервер NetworkSniffer здійснює моніторинг мережевого трафіку і перехоплює користувацькі документи на рівні мережевого адаптера. Така схема реалізована для компонентів MailSniffer, IMSniffer, HTTPSniffer;
агенти встановлюються на робочі станції користувачів і перехоплюють документи користувачів безпосередньо на робочих станціях. Така схема роботи застосовується для компонентів SkypeSniffer, DeviceSniffer, PrintSniffer, «Сервер індексації робочих станцій».
В загальному випадку, перехоплена інформація поміщається в бази даних SQL-типу:
сервер NetworkSniffer (компоненти MailSniffer, IMSniffer, HTTPSniffer) поміщає перехоплені повідомлення та файли безпосередньо в бази даних;
агенти передають дані не безпосередньо в базу, а через сервери керування (компоненти SkypeSniffer, PrintSniffer і DeviceSniffer);
окремий випадок – компонент «Сервер індексації робочих станцій» (сервер ІРС). Агенти ІРС не поміщають документи в базу даних, а ведуть локальні протоколи файлової системи на робочих станціях користувачів.
Бази даних та файли на жорстких дисках робочих станцій не забезпечують швидкий доступ до даних, тому, для підвищення продуктивності системи, перехоплені документи індексуються. Індекс – об’єкт, що забезпечує швидкий пошук за текстом і формальними ознаками документів. Пошук здійснюється не за базами перехоплених документів, а за допомогою індексів.
Створені індекси забезпечують такі можливості пошуку за текстом перехоплених документів:
повнотекстовий пошук – пошук за ключовими словами і словосполученнями в тексті перехоплених документів. Використовуючи повнотекстовий пошук не враховується порядок слів і їх розміщення в документі.
фразовий пошук – пошук за ключовими словами з врахуванням їх розміщення один щодо одного. Дає змогу не враховувати документи, в яких ключові слова розкидані по всьому тексту.
пошук схожих – пошуковим запитом є цілий текст, з яким порівнюється кожен перехоплений документ.
За допомогою коректно налаштованих запитів можна виявити конфіденційні документи.
Для пошуку за допомогою індексів перехоплених документів використовуються пошукові клієнти – клієнти MailSniffer, IMSniffer, HTTPSniffer, PrintSniffer, DeviceSniffer, SkypeSniffer і SoftInform Search.
Перевірка перехоплених даних автоматизується за допомогою клієнт-серверного компонента AlertCenter, який дає змогу:
налаштовувати і зберігати пошукові запити, які використовуються для визначення документів, які містять конфіденційну інформацію;
налаштовувати розклад, за яким відбувається пошук конфіденційних документів;
отримувати повідомлення, якщо за запитами, які використовуються знайдені конфіденційні документи.
Налаштування AlertCenter і журнал інцидентів зберігаються в базі даних на основі Microsoft SQL Server.
Повідомлення містять посилання на перегляд перехоплених документів. Пошукові клієнти дають змогу переглянути усі перехоплені документи з можливістю зрізу за датою і користувачами домену.
ЗАВДАННЯ ДО ПРАКТИЧНОЇ РОБОТИ
Ознайомитися з інтерфейсом AlertCenter і MailSniffer.
Налаштувати в Alert Center розклад перевірок та адресу для повідомлень про інциденти.
Знайти в MailSniffer документи, що містять ключові слова, які можуть зустрічатися в резюме (резюме, досвід роботи...
