МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра «Захист інформації»
/
ЗВІТ
до практичної роботи №5
ВДОСКОНАЛЕННЯ НАВИКІВ РОБОТИ З «КОНТУРОМ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM».
АТРИБУТНИЙ ПОШУК, ПОШУК ЗА ДОПОМОГОЮ СИНОНІМІВ
з курсу: “Менеджмент у сфері захисту інформації”
Львів 2019
Мета роботи – вдосконалення навиків роботи з «Контуром інформаційної безпеки Searchinform», вивчення способу атрибутного пошуку, пушуку за допомогою синонімів.
ЗАВДАННЯ ДО ПРАКТИЧНОЇ РОБОТИ
Загальні атрибути. Розглянути існуючі варіанти, налаштувати повідомлення за вказаним користувачем.
MailSniffer. Налаштувати повідомлення за одержувачем повідомлень.
HTTPSniffer. Налаштувати повідомлення за наявності прикріплених файлів.
IMSniffer. Налаштувати повідомлення за ID одержувача.
SkypeSniffer. Налаштувати повідомлення про конференції з кількістю учасників більше двох.
DeviceSniffer. Налаштувати повідомлення про передавання файлів, що містять у назві слово «план».
PrintSniffer. Налаштувати повідомлення про друк документів менше, ніж у двох примірниках.
FTPSniffer. Налаштувати повідомлення за всіма фактами вихідного передавання.
Налаштувати повідомлення з перехоплення зашифрованого файлу.
Додати в словник синонімів не менше п’яти слів, які може використовувати людина, що натякає на можливість отримання хабара.
Знайти в існуючій базі користувача, який обговорював питання отримання хабара.
1. SearchInform AlertCenter
В будь-якій організації рано чи пізно виникає необхідність захисту від витоків інформації та контролю внутрішньокорпоративних інформаційних потоків. Навіть у невеликій організації, де працює всього два-три десятки співробітників, проаналізувати вручну усі дані, які збираються за день лише за одним каналом зв’язку, практично неможливо. Не говорячи про великі організації, де щодня співробітники отримують і передають сотні гігабайт інформації.
Проблема посилюється й тим, що працівник, який переглядає дані, що передаються, може просто не зауважити важливе повідомлення про інцидент, а винний у порушенні політик інформаційної безпеки залишиться безкарним. Це зумовлює необхідність використання потужного інструменту, який здатний автоматизовано аналізувати усі перехоплені дані і повідомляти лише про дійсно важливі події в загальному потоці інформації.
SearchInform AlertCenter (рис. 1) є основним інструментом аналізу перехоплених даних і виявлення фактів витоку конфіденційної інформації через такі канали зв’язку: е-mail, ICQ, голосові та текстові повідомлення Skype, пости на форумах або коментарі в блогах, зовнішні пристрої (USB/CD), документи, що відправляються на друк.
SearchInform AlertCenter опитує всі компоненти «Контура інформаційної безпеки» і, за умови наявності певних ключових слів, фраз або навіть фрагментів тексту в перехопленій кожною з програм інформації, негайно дає про це знати особі, яка є відповідальною за інформаційну безпеку.
Додаток містить в собі консоль сервера і клієнт AlertCenter, що дає змогу розмежувати доступ до оповіщення та налаштування між відповідальними за інформаційну безпеку співробітниками.
Клієнтська частина SearchInform AlertCenter встановлюється на робочу станцію працівника служби захисту інформації. Серверну частину модуля рекомендується встановлювати на окремий комп’ютер. SearchInform AlertCenter із заданим розкладом опитує індекси «Контура інфомаційно безпеки». У випадку порушення заданих в AlertCenter політик безпеки відбувається негайне оповіщення співробітника служби захисту інформації про інцидент.
/
Рис. 1. Головне вікно програми SearchInform AlertCenter
До переваг SearchInform AlertCenter належать:
потужні пошукові можливості. Співробітник служби захисту інформації отримує можливість розслідувати інцидент з використанням пошукових інструментів «Контура інфомаційно безпеки». SearchInform AlertCenter дає змогу налаштовувати тривогу, використовуючи вид пошуку, який відповідає виявленню конкретного типу даних;
здатність працювати в умовах високого навант...