В системном журнале содержатся следующие сведения:
· дата и время события (колонка "Время");
· пользователь, в течение работы которого произошло событие (колонка "Пользователь");
· рабочая станция, на которой произошло событие (колонка "Компьютер");
· категория события (колонка "Категория");
· описание события (колонка "Сообщение").
При отображении содержимого системного журнала записи каждого типа выделены своим цветом: обычные события регистрации имеют черный цвет, вход пользователя в систему - зеленый, события НСД - красный, события расширенной регистрации - фиолетовый, сетевые события - зеленый и т.д.[3].
Проводя анализ системного журнала безопасности, администратор может выявить пользователей, наиболее часто совершающих попытки несанкционированного доступа. На основе этих данных может быть сделан вывод о преднамеренном или случайном характере НСД в случае каждого пользователя.
В рамках данного дипломного проекта была создана программа, предоставляющая широкие возможности по просмотру и анализу журналов безопасности.
6.2.3.Структурная схема мониторинга нсд
На рис.6.1 показана схема функционирования системы мониторинга событий НСД. На ней отражено слежение за несанкционированным доступом к информации не только программным путем. Необходим также контроль несанкционированного вскрытия аппаратуры и проникновения в помещения. Вся эта информация должна попадать на АРМ администратора безопасности системы, который должен принимать адекватные меры при возникновении НСД.
Рис.6.1. Структурная схема системы мониторинга несанкционированного доступа
6.3.программа анализа журнала безопасности
6.3.1.Предпосылки к созданию программы
Системный журнал безопасности – огромный резервуар, хранящий многие килобайты записей о событиях в сети. Проводя тщательный анализ журнала, администратор безопасности может существенно повысить эффективность своей работы.
К сожалению, штатные средства Secret Net NT позволяют лишь просматривать содержимое журнала (при желании возможна выборка событий некоторой категории, событий за промежуток времени, а также связанных с конкретным пользователем или компьютером в сети). Анализ предоставленной информации целиком ложится на плечи администратора, хотя с этим гораздо эффективней могла бы справиться ЭВМ. Известно, что человек лучше воспринимает информацию, когда она представлена не в виде списков или таблиц, а в виде графиков и диаграмм, поэтому логичным было бы отображать результаты анализа журнала в виде именно в таком виде.
Вышесказанное подводит нас к необходимости создания приложения, реализующего эти функции.
6.3.2.выбор среды программирования
На текущий момент имеется несколько развитых языков программирования, позволяющих создавать полноценные программы, предназначенные для работы в среде Windows NT, но основными конкурирующими платформами стали Delphi и C++. В последнее время мы стали свидетелями прогресса в области программирования: появились программные продукты, реализующие концепцию быстрой графической разработки программ (rapid application development - RAD). Примерами таких сред программирования для C++ могут являться Optima++ фирмы Powersoft и C++Builder фирмы Borland[10].
C++ Builder для Windows 95 и Windows NT – выпущенное в 1997г. компанией Borland International новое средство быстрой разработки корпоративных информационных систем. Это средство сочетает в себе удобства визуальной среды разработки, объектно-ориентированный подход, разнообразные возможности повторного использования кода, открытую архитектуру и высокопроизводительный компилятор языка С++[11].