ВДОСКОНАЛЕННЯ НАВИКІВ РОБОТИ З «КОНТУРОМ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM». АТРИБУТНИЙ ПОШУК, ПОШУК ЗА ДОПОМОГОЮ СИНОНІМІВ. Практична робота з Менеджмент у сфері захисту інформації. Робота № 531129

Перехід до торгівельного партнера Binance

ВДОСКОНАЛЕННЯ НАВИКІВ РОБОТИ З «КОНТУРОМ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM». АТРИБУТНИЙ ПОШУК, ПОШУК ЗА ДОПОМОГОЮ СИНОНІМІВ

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

Захисту інформації

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2019

Тип роботи:

Практична робота

Предмет:

Менеджмент у сфері захисту інформації

Група:

КБУІ 22

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра «Захист інформації» / ЗВІТ до практичної роботи №5 ВДОСКОНАЛЕННЯ НАВИКІВ РОБОТИ З «КОНТУРОМ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ SEARCHINFORM». АТРИБУТНИЙ ПОШУК, ПОШУК ЗА ДОПОМОГОЮ СИНОНІМІВ з курсу: “Менеджмент у сфері захисту інформації” Львів 2019 Мета роботи – вдосконалення навиків роботи з «Контуром інформаційної безпеки Searchinform», вивчення способу атрибутного пошуку, пушуку за допомогою синонімів. ЗАВДАННЯ ДО ПРАКТИЧНОЇ РОБОТИ Загальні атрибути. Розглянути існуючі варіанти, налаштувати повідомлення за вказаним користувачем. MailSniffer. Налаштувати повідомлення за одержувачем повідомлень. HTTPSniffer. Налаштувати повідомлення за наявності прикріплених файлів. IMSniffer. Налаштувати повідомлення за ID одержувача. SkypeSniffer. Налаштувати повідомлення про конференції з кількістю учасників більше двох. DeviceSniffer. Налаштувати повідомлення про передавання файлів, що містять у назві слово «план». PrintSniffer. Налаштувати повідомлення про друк документів менше, ніж у двох примірниках. FTPSniffer. Налаштувати повідомлення за всіма фактами вихідного передавання. Налаштувати повідомлення з перехоплення зашифрованого файлу. Додати в словник синонімів не менше п’яти слів, які може використовувати людина, що натякає на можливість отримання хабара. Знайти в існуючій базі користувача, який обговорював питання отримання хабара. 1. SearchInform AlertCenter В будь-якій організації рано чи пізно виникає необхідність захисту від витоків інформації та контролю внутрішньокорпоративних інформаційних потоків. Навіть у невеликій організації, де працює всього два-три десятки співробітників, проаналізувати вручну усі дані, які збираються за день лише за одним каналом зв’язку, практично неможливо. Не говорячи про великі організації, де щодня співробітники отримують і передають сотні гігабайт інформації. Проблема посилюється й тим, що працівник, який переглядає дані, що передаються, може просто не зауважити важливе повідомлення про інцидент, а винний у порушенні політик інформаційної безпеки залишиться безкарним. Це зумовлює необхідність використання потужного інструменту, який здатний автоматизовано аналізувати усі перехоплені дані і повідомляти лише про дійсно важливі події в загальному потоці інформації. SearchInform AlertCenter (рис. 1) є основним інструментом аналізу перехоплених даних і виявлення фактів витоку конфіденційної інформації через такі канали зв’язку: е-mail, ICQ, голосові та текстові повідомлення Skype, пости на форумах або коментарі в блогах, зовнішні пристрої (USB/CD), документи, що відправляються на друк. SearchInform AlertCenter опитує всі компоненти «Контура інформаційної безпеки» і, за умови наявності певних ключових слів, фраз або навіть фрагментів тексту в перехопленій кожною з програм інформації, негайно дає про це знати особі, яка є відповідальною за інформаційну безпеку. Додаток містить в собі консоль сервера і клієнт AlertCenter, що дає змогу розмежувати доступ до оповіщення та налаштування між відповідальними за інформаційну безпеку співробітниками. Клієнтська частина SearchInform AlertCenter встановлюється на робочу станцію працівника служби захисту інформації. Серверну частину модуля рекомендується встановлювати на окремий комп’ютер. SearchInform AlertCenter із заданим розкладом опитує індекси «Контура інфомаційно безпеки». У випадку порушення заданих в AlertCenter політик безпеки відбувається негайне оповіщення співробітника служби захисту інформації про інцидент. / Рис. 1. Головне вікно програми SearchInform AlertCenter До переваг SearchInform AlertCenter належать: потужні пошукові можливості. Співробітник служби захисту інформації отримує можливість розслідувати інцидент з використанням пошукових інструментів «Контура інфомаційно безпеки». SearchInform AlertCenter дає змогу налаштовувати тривогу, використовуючи вид пошуку, який відповідає виявленню конкретного типу даних; здатність працювати в умовах високого навантаження у великих організаціях і державних структурах; аналітичні можливості, які є достатніми для ідентифікації будь-якої конфіденційної або критичної інформації, що циркулює у мережі; налаштування політик безпеки (рис. 2) для блокування переданих повідомлень і переміщення їх в карантин (рис. 3); можливість одночасного налаштування специфічних правил контентного аналізу, які прив’язані до існуючих політик інформаційної безпеки; автоматичне оповіщення працівника служби захисту інформації про всі виявлені інциденти (рис. 4); можливість перегляду документів, за якими спрацювали повідомлення безпосередньо з SearchInform AlertCenter. Переглядаючи результати спрацьовування за кожним «алертом» (сигналом тривоги) доступною є повна інформація за кількістю виявлених фактів спрацьовування, атрибутами перехоплених документів, про співробітників, які пов’язані з фактами передавання конфіденційної інформації тощо; зберігання відомостей про інциденти і налаштування програми в базі даних дає змогу в будь-який час переглядати інформацію про всі інциденти, які пов’язані з порушеннями політик безпеки; готові шаблони і вирази, а також база синонімів дають змогу заощадити час служби захисту інформації на первинне налаштування та нададуть можливість приступити до контролю дій співробітників відразу після встановлення «Контура інформаційної безпеки SearchInform» в організації. 1.1. Групи алертів Для гнучкого налаштування умов перевірки передбачена можливість створення окремих політик перевірки – «групи алертів» (рис. 5). Кожна окрема група має єдині налаштування за розкладом перевірок, відправлення повідомлень, білим списками і підключеним до групи баз даних для перевірок. Такий підхід дає змогу гнучкіше налаштовувати AlertCenter для конкретних завдань, суттєво скорочує час, який необхідний на аналіз однотипних інцидентів, які пов’язані з певними співробітниками, каналами передавання інформації тощо. У роботі з програмою можна економити час, відразу відкриваючи перехоплені документи у вікні SearchInform AlertCenter (рис. 6). Переглядаючи результати спрацьовування за кожним алертом доступною є повна інформація за кількістю виявлених інцидентів, атрибутами перехоплених документів, співробітниками, які пов’язані з фактами передавання конфіденційної інформації тощо. 1.2. Типи пошуку Для пошуку критичної інформації в проіндексованих документах, AlertCenter використовує такі типи запитів: повнотекстовий пошук; фразовий пошук; пошук схожих за змістом документів; пошук за атрибутами документів; пошук нерозпізнаних документів; складні запити; пошук за допомогою регулярних виразів; пошук за допомогою цифрових відбитків; пошук за допомогою словника. / Рис. 2. Вікно налаштування політик безпеки. Групи алертів / Рис. 3. Вікно роботи з переміщеними в карантин документами / Рис. 4. Вікно виявлення інцидентів / Рис. 5. Вікно налаштування груп алертів / Рис. 6. Вікно перегляду результатів перевірки Повнотекстовий пошук Повнотекстовий пошук – найпростіший для користувача вид пошуку, що дає змогу знаходити документи, які містять задані слова, їх різні форми і синоніми, незалежно від того, в якій частині документа вони знаходяться. До можливостей повнотекстового пошуку в SearchInform AlertCenter також відноситься використання морфології. Цей режим дає змогу ввести в пошуковий рядок одне слово, а пошук тексту буде здійснюватися за всіма його словоформами (наприклад, компанія – компанії – компанією – компанію – ... тощо). Враховуючи цей аспект, рекомендується встановлення морфологічної бази даних для мови, на якій буде здійснюватися пошук. Фразовий пошук Фразовий пошук (рис. 7) – це пошук в реченнях з можливістю обмеження відстані між словами запиту і фіксування порядку слів. SearchInform AlertCenter дає змогу використовувати синонімічні ряди для фразового пошуку. Вони допомагають здійснювати пошук з врахуванням всіх можливих відповідних за змістом комбінацій слів, які відповідають запиту. При цьому, якщо пошук здійснюється з використанням фрази, що містить в собі слова, для яких задані синоніми, тоді SearchInform AlertCenter автоматично здійснить перебір усіх можливих варіантів компонування слів і помістить усі документи, що містять їх в результати пошуку. Пошук схожих документів У випадку «пошуку схожих» (рис. 8) запитом використовується цілий текст і аналізується рівень відповідності проіндексованих документів тексту запиту. Даний тип запитів рекомендується використовувати для виявлення однотипних структурованих документів, що містять загальні елементи – звіти, рахунки, договори, резюме тощо. Пошук за атрибутами документів Використання пошуку за атрибутами документів (рис. 9) дає змогу відшукати документи за їх атрибутами (форматом, відправниками, одержувачами тощо). Це, в свою чергу, дає змогу дізнаватися в оповіщеннях про збіг атрибутів перехопленої інформації із заданими в алерті атрибутами. Так, наприклад, існує можливість відстежувати активність окремих доменних користувачів, IP адреси, визначені адреси електронної пошти, документи тощо. За допомогою такого виду пошуку також можна відстежувати копіювання або передавання файлів певних форматів. Наприклад, для проектних організацій таким форматом є файли, які створені в програмі AutoCad і така можливість надасть змогу їм уникнути витоку інформації з підприємства. Пошук нерозпізнаних документів В SearchInform AlertCenter можна налаштувати автоматичні повідомлення за документами, які не вдалося проіндексувати (рис. 10). В такому випадку можна шукати такі типи документів: нерозпізнані документи усіх форматів; нерозпізнані документи обраних форматів; нерозпізнані документи, за винятком файлів вибраних форматів. Складні запити Можливість створення складних запитів (рис. 11) дає змогу гнучко задавати умови, за якими буде здійснюватися пошук. Складні запити можуть містити в собі два і більше простих запитів, які об’єднані за допомогою логічних операторів. Їх доцільно застосовувати в тому випадку, якщо поставлене завдання неможливо вирішити за допомогою простих запитів. Складні запити дають змогу комбінувати до 26 простих текстових і атрибутних запитів за допомогою логічних операторів AND, OR, AND NOT. Так, наприклад, в SearchInform AlertCenter можливо задати умови, за яких буде перевірятися лише вихідна кореспонденція конкретного співробітника, в якій містяться документи певного типу. / Рис. 7. Вікно фразового пошуку / Рис. 8. Вікно «пошуку схожих» / Рис. 9. Вікно пошуку за атрибутами / Рис. 10. Вікно пошуку нерозпізнаних документів / Рис. 11. Вікно використання складних запитів Пошук за допомогою регулярних виразів Шаблони регулярних виразів дають можливість шукати дані за їх формою, а не поточному значенню (рис. 12). Шаблон дає змогу відшукати усі документи, що містять дані зазначеної структури. Використовуючи складні регулярні вирази (послідовність регулярних виразів), можна відстежити пересилання інформації з бази даних, яка містить велику кількість полів. Для цього створюються послідовність шаблонів, кожний з яких буде налаштований на окреме поле. Налаштування відбувається таким чином: мінімальна довжина послідовності – кількість шаблонів з послідовності, яка повинна бути знайдена для спрацьовування алерту (наприклад, з 6 полів бази в документі, що передається можуть бути наявними лише 4); мінімальна кількість послідовностей – кількість знайдених послідовностей, які є необхідними для спрацювання алерту (скільки записів з бази даних передавалося); мінімальна довжина пробілів у послідовності – кількість символів між окремими шаблонами послідовності (між записами з бази даних може бути наявним інший текст, наприклад, «номер паспорта»). / Рис. 12. Вікно пошуку за допомогою регулярних виразів Цифрові відбитки Технологія цифрових відбитків дає змогу виявляти наявність будь-якого з контрольованих документів в перехопленому трафіку (рис. 13). Технологія пошуку документів за допомогою цифрових відбитків була раніше успішно випробувана компанією SearchInform в засобі PlagiatInform, який призначений для виявлення плагіату в навчальних роботах, наукових працях, публіцистиці тощо. Цифрові відбитки дають змогу здійснювати пошук будь-яких за розміром і структурою документів, починаючи з різних фінансових звітів і закінчуючи персональними даними співробітників, акціонерів або клієнтів організації. Крім цього виявлення документів можливе навіть в тому випадку, якщо вони відрізняються від оригіналу, наприклад, коли документом є об’єднання декількох документів. Документи, пошук яких необхідно здійснити серед перехоплених даних, поміщаються в спеціальну директорію – сховище конфіденційних документів. SearchInform AlertCenter самостійно індексує їх вміст і створює цифровий відбиток для кожного з них, розміщуючи «знімок» в каталозі цифрових відбитків. При розширенні списку конфіденційних документів достатньо скопіювати нові в зазначене сховище, після чого SearchInform AlertCenter автоматично виконає всі наступні операції, які є необхідними для їх включення до списків пошуку. Завдяки тому, що в базі даних зберігаються не самі конфіденційні документи, а їх «знімки», унеможливлюється витік конфіденційної інформації в результаті несанкціонованого доступу до бази даних співробітників організації або сторонніх зловмисників. / Рис. 13. Вікно пошуку за допомогою цифрових відбитків Пошук за допомогою словника Спосіб пошуку за допомогою словника (рис. 14) дає змогу виявляти в перехоплених даних документи, що містять слова і словосполучення із заздалегідь сформульованого переліку (словника). При цьому можна вказати як відсоток слів із словника, що міститься в документі, так і відсоток документа, що міститься в словнику. Даний спосіб пошуку зручний, насамперед, для виявлення документів, які пов’язаних зі специфікою діяльності організації: звітів, бізнес-планів, технологічних розробок тощо. Пошук за допомогою словника синонімів Спеціально розроблений унікальний словник синонімів (рис. 15) – потужний засіб виявлення корупційних схем і «відкатів»: оскільки в переговорах про передавання хабара саме слово «хабар» зазвичай явно не фігурує, в словнику синонімів можуть бути перераховані інші слова для його позначення («подарунок», «подяка», «відкат» тощо), які SearchInform AlertCenter виявить у перехоплених даних. Вбудований в додаток словник може розширюватися за бажанням користувача шляхом включення нових слів, а також цілих тематичних розділів. / Рис. 14. Вікно пошуку за допомогою словника / Рис. 15. Вікно пошуку за допомогою словника синонімів

Практична робота Менеджмент у сфері захисту інформації

Nachtigall15

18.12.2019 19:12-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись