ЗАГАЛЬНА АРХІТЕКТУРА І ПРИНЦИПИ РОБОТИ «КОНТУРУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM». Практична робота з Менеджмент у сфері захисту інформації. Робота № 531125

Перехід до торгівельного партнера Binance

ЗАГАЛЬНА АРХІТЕКТУРА І ПРИНЦИПИ РОБОТИ «КОНТУРУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM»

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

Захисту інформації

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2019

Тип роботи:

Практична робота

Предмет:

Менеджмент у сфері захисту інформації

Група:

КБУІ 22

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра «Захист інформації» / ЗВІТ до практичної роботи №2 ЗАГАЛЬНА АРХІТЕКТУРА І ПРИНЦИПИ РОБОТИ «КОНТУРУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM» з курсу: “Менеджмент у сфері захисту інформації” Львів 2019 Мета роботи – отримання навичок роботи з програмним забезпеченням «Контур інформаційної безпеки SearchInform», отримання інформації про контрольовані канали, способи контролю. Отримання навичок повнотекстового пошуку на прикладі пошуку схожих. ОСНОВНІ ВІДОМОСТІ Компоненти «Контуру інформаційної безпеки SearchInform», далі Контуру, перехоплюють документи користувачів. Перехоплення даних здійснюється або сервером NetworkSniffer, або агентами, які встановлені на цільові робочі станції користувачів: сервер NetworkSniffer здійснює моніторинг мережевого трафіку і перехоплює користувацькі документи на рівні мережевого адаптера. Така схема реалізована для компонентів MailSniffer, IMSniffer, HTTPSniffer; агенти встановлюються на робочі станції користувачів і перехоплюють документи користувачів безпосередньо на робочих станціях. Така схема роботи застосовується для компонентів SkypeSniffer, DeviceSniffer, PrintSniffer, «Сервер індексації робочих станцій». В загальному випадку, перехоплена інформація поміщається в бази даних SQL-типу: сервер NetworkSniffer (компоненти MailSniffer, IMSniffer, HTTPSniffer) поміщає перехоплені повідомлення та файли безпосередньо в бази даних; агенти передають дані не безпосередньо в базу, а через сервери керування (компоненти SkypeSniffer, PrintSniffer і DeviceSniffer); окремий випадок – компонент «Сервер індексації робочих станцій» (сервер ІРС). Агенти ІРС не поміщають документи в базу даних, а ведуть локальні протоколи файлової системи на робочих станціях користувачів. Бази даних та файли на жорстких дисках робочих станцій не забезпечують швидкий доступ до даних, тому, для підвищення продуктивності системи, перехоплені документи індексуються. Індекс – об’єкт, що забезпечує швидкий пошук за текстом і формальними ознаками документів. Пошук здійснюється не за базами перехоплених документів, а за допомогою індексів. Створені індекси забезпечують такі можливості пошуку за текстом перехоплених документів: повнотекстовий пошук – пошук за ключовими словами і словосполученнями в тексті перехоплених документів. Використовуючи повнотекстовий пошук не враховується порядок слів і їх розміщення в документі. фразовий пошук – пошук за ключовими словами з врахуванням їх розміщення один щодо одного. Дає змогу не враховувати документи, в яких ключові слова розкидані по всьому тексту. пошук схожих – пошуковим запитом є цілий текст, з яким порівнюється кожен перехоплений документ. За допомогою коректно налаштованих запитів можна виявити конфіденційні документи. Для пошуку за допомогою індексів перехоплених документів використовуються пошукові клієнти – клієнти MailSniffer, IMSniffer, HTTPSniffer, PrintSniffer, DeviceSniffer, SkypeSniffer і SoftInform Search. Перевірка перехоплених даних автоматизується за допомогою клієнт-серверного компонента AlertCenter, який дає змогу: налаштовувати і зберігати пошукові запити, які використовуються для визначення документів, які містять конфіденційну інформацію; налаштовувати розклад, за яким відбувається пошук конфіденційних документів; отримувати повідомлення, якщо за запитами, які використовуються знайдені конфіденційні документи. Налаштування AlertCenter і журнал інцидентів зберігаються в базі даних на основі Microsoft SQL Server. Повідомлення містять посилання на перегляд перехоплених документів. Пошукові клієнти дають змогу переглянути усі перехоплені документи з можливістю зрізу за датою і користувачами домену. ЗАВДАННЯ ДО ПРАКТИЧНОЇ РОБОТИ Ознайомитися з інтерфейсом AlertCenter і MailSniffer. Налаштувати в Alert Center розклад перевірок та адресу для повідомлень про інциденти. Знайти в MailSniffer документи, що містять ключові слова, які можуть зустрічатися в резюме (резюме, досвід роботи тощо). Здійснити в MailSniffer повнотекстовий пошук з використанням алгоритму пошуку схожих і різними рівнями релевантності. Порівняти результати з отриманими в п. 3. Створити та налаштувати в AlertCenter пошуковий запит відповідно до отриманих результатів. Самостійно повторити пункти 3, 4, 5 для документів, що містять список співробітників. Постановка завдання. Електронна пошта – однин з найпопулярніших і зручних засобів ділового спілкування на цей час. Проте, нею активно користуються й інсайдери, і величезна частка конфіденційної інформації витікає саме за допомогою електронної пошти. Знайти ж щось необхідне у величезній кількості електронних повідомлень, які отримані та відправлені до навіть невеликої організації за один день, є досить складним завданням. Вирішення завдання. SearchInform MailSniffer (рис. 10) призначений для перехоплення поштового трафіку на рівні мережевих протоколів і на агентах, які встановлені на робочих станціях співробітників, індексування отриманих повідомлень і здійснення пошуку за ними. Це дає змогу відстежити витік конфіденційної інформації. Програма дає змогу відслідковувати переписку, отриману/відправлену користувачами не лише за допомогою поштових клієнтів (Microsoft Outlook, The Bat!, Outlook Express тощо), а й через Web-інтерфейс (gmail.com, yahoo.com, mail.ru, yandex.ru тощо). Існує режим інтеграції з поштовими серверами. Можливості SearchInform MailSniffer: архів усієї поштової бази організації. Вміст всіх перехоплених листів (включаючи не лише тіло листа, але й атрибути, приєднані файли) індексується і поміщається в сховище, створюється своєрідний архів всієї поштової бази організації. І навіть якщо корпоративний поштовий сервер вийде з ладу, що зумовлює величезні часові витрати на відновлення, тоді дані перехоплені MailSniffer-ом будуть своєрідною резервною копією всієї поштової бази організації, тобто, є засобом забезпечення живучості; широкі пошукові можливості. За усіма надісланими і отриманими листами MailSniffer може проводити повнотекстовий пошук з врахуванням морфології і словника синонімів. Також підтримується фразовий пошук з врахуванням відстані між словами в пошуковому запиті; / Рис. 10. Головне вікно програми SearchInform MailSniffer використання технології «пошук схожих». Як пошуковий запит використовується фрагмент тексту. Вміст повідомлень, за якими ведеться пошук, аналізується і в результатах пошуку знайдені повідомлення ранжуються в релевантному порядку із зазначенням відсотка схожості; функція «Історія листування». Дає змогу подивитися всю переписку співробітника з адресатом. Відображатися будуть всі листи, які були відправлені на вказану адресу і отримані з неї. Вся переписка буде показана в хронологічному порядку; масштабованість – можливість роботи з великими об’ємами даних і трафіку; Алгоритм роботи Усі повідомлення, які надсилаються або отримуються з робочих станцій, перехоплюються комутатором з функцією дзеркалювання і надсилаються до NetworkSniffer Server. NetworkSniffer – платформа для перехоплення поштового трафіку та повідомлень IM-клієнтів (ICQ, MSN, QIP тощо), яка працює з різними мережевими протоколами (POP3, SMTP, ICQ, MSN) (рис. 11). Далі інформація передається в базу даних SQL, а потім у SearchInform Server. Перехоплені і відстежені документи індексуються за допомогою SearchInform Server. SearchInform Server надсилає проіндексовану інформацію в AlertCenter і NetworkSniffer Client. У випадку виявлення збігів, AlertCenter негайно надсилає відповідальному працівнику повідомлення. Для повноцінного перегляду підозрілих документів, необхідною є клієнтська програма NetworkSniffer. / Рис. 11. Алгоритм роботи SearchInform MailSniffer, де: 1. перехоплення локального трафіку; 2. перехоплення інтернет трафіку; 3. збереження перехоплених документів в базі даних SQL; 4. передавання інформації в SearchInform Server; 5. індексування інформації; 6. передавання інформації в NetworkSniffer Client; 7. передавання інформації в AlertCenter; 8. перегляд документів в клієнті NetworkSniffer; 9. оповіщення у випадку виявлення підозрілих документів. ВИСНОВКИ В рамках даної лабораторної роботи отримано навички роботи з програмним забезпеченням «Контур інформаційної безпеки SearchInform», інформація про контрольовані канали, способи контролю. Отримано навички повнотекстового пошуку на прикладі пошуку схожих. За допомогою прогами MailSniffer проведено пошук в імейл-листах ключових слів, які можуть бути частиною конфіденційної інформації. Ці дані збережено як SQL у програмі Alert Center.

Практична робота Менеджмент у сфері захисту інформації

Nachtigall15

18.12.2019 19:12-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись