В рамках данного дипломного проекта была создана программа, предоставляющая широкие возможности по просмотру и анализу журналов безопасности.

6.2.3.Структурная схема мониторинга нсд

На рис.6.1 показана схема функционирования системы мониторинга событий НСД. На ней отражено слежение за несанкционированным доступом к информации не только программным путем. Необходим также контроль несанкционированного вскрытия аппаратуры и проникновения в помещения. Вся эта информация должна попадать на АРМ администратора безопасности системы, который должен принимать адекватные меры при возникновении НСД.

Рис.6.1. Структурная схема системы мониторинга несанкционированного доступа

6.3.программа анализа журнала безопасности

6.3.1.Предпосылки к созданию программы

Системный журнал безопасности – огромный резервуар, хранящий многие килобайты записей о событиях в сети. Проводя тщательный анализ журнала, администратор безопасности может существенно повысить эффективность своей работы.

К сожалению, штатные средства Secret Net NT позволяют лишь просматривать содержимое журнала (при желании возможна выборка событий некоторой категории, событий за промежуток времени, а также связанных с конкретным пользователем или компьютером в сети). Анализ предоставленной информации целиком ложится на плечи администратора, хотя с этим гораздо эффективней могла бы справиться ЭВМ. Известно, что человек лучше воспринимает информацию, когда она представлена не в виде списков или таблиц, а в виде графиков и диаграмм, поэтому логичным было бы отображать результаты анализа журнала в виде именно в таком виде.

Вышесказанное подводит нас к необходимости создания приложения, реализующего эти функции.

6.3.2.выбор среды программирования

На текущий момент имеется несколько развитых языков программирования, позволяющих создавать полноценные программы, предназначенные для работы в среде Windows NT, но основными конкурирующими платформами стали Delphi и C++. В последнее время мы стали свидетелями прогресса в области программирования: появились программные продукты, реализующие концепцию быстрой графической разработки программ (rapid application development - RAD). Примерами таких сред программирования для C++ могут являться Optima++ фирмы Powersoft и C++Builder фирмы Borland[10].

C++ Builder для Windows 95 и Windows NT – выпущенное в 1997г. компанией Borland International новое средство быстрой разработки корпоративных информационных систем. Это средство сочетает в себе удобства визуальной среды разработки, объектно-ориентированный подход, разнообразные возможности повторного использования кода, открытую архитектуру и высокопроизводительный компилятор языка С++[11].

Рис.6.2.Интерфейс Borland C++ Builder.

Программирование в основном сводится к проектированию форм из элементов графической библиотеки компонентов (Visual Component Library). Разместив компоненты, программист устанавливает их свойства и “привязывает” программные фрагменты к определенным событиям.

Библиотека Visual Component Library содержит более ста компонентов. Помимо стандартных объектов пользовательского интерфейса Microsoft Windows имеются компоненты для: наиболее употребительных элементов управления Windows 95; элементов управления, связанных с базами данных; объектов баз данных, например, таблиц и транзакций; объектов для составления отчетов; компонентов Internet. Реализована и совместимость с элементами ActiveX.

В С++ Builder применена технология инкрементного построения проекта, впервые реализованная в Delphi. Проект может быть создан в фоновом режиме, параллельно с редактированием исходного текста, что значительно сокращает время, затрачиваемое на его разработку.

Отладчик С++ Builder полностью интегрирован в пакет. При исполнении программы разработчик имеет доступ к окнам контроля значений переменных, почкам прерываний, потокам, регистрам и стекам вызовов. В любой момент программу можно приостановить, внести изменения и частично перестроить проект. Конструктор форм и другие инструментальные средства продолжают функционировать во время выполнения программы, что позволяет в ходе отладки добавлять новые события[10].

Вышеперечисленные, а также многие другие достоинства пакета Borland C++ Builder, делают его очень удобной средой для разработки программ под Windows 95 и Windows NT, что стало решающим аргументом при выборе среды программирования для написания программы анализа системного журнала безопасности.

6.3.3.Функции программы

Программа должна быть способна проводить анализ файла журнала безопасности и на его основе выдавать в наглядном виде следующие результаты:

· общая информация (размер файла журнала, количество записей, дата первой и последней записи и т.д.);

· диаграмма, показывающая распределение количества событий НСД для каждого пользователя;

· диаграмма, показывающая распределение количества событий НСД для каждой рабочей станции;

· график динамики событий НСД по дням в пределах месяца;

· график динамики событий НСД по часам в пределах суток.

Кроме того, программа должна позволять просто просматривать журнал безопасности и предоставлять возможность фильтрации событий по пользователям, рабочим станциям, категориям событий, периоду времени.

6.3.4.Разработка интерфейса программы

ЗАКЛЮЧЕНИЕ

В данном дипломном проекте была рассмотрена проблема обеспечения безопасности информации в локальной вычислительной сети подразделения с заданной организационно-штатной структурой на базе Windows NT. Основным требованием, предъявляемым к проектируемой ЛВС, является безопасность данных.

В качестве логической структуры сети выбрана модель основного домена, как наиболее эффективная модель при имеющихся условиях.

Был проведен всесторонний анализ возможностей операционной системы Windows NT, в результате которого было установлено, что штатных средств обеспечения безопасности не достаточно. На основе предъявленных требований был сделан выбор дополнительного средства – программно-аппаратного комплекса Secret Net NT.

Рекомендуется применять совместно с программно-аппаратными и организационные меры предупреждения утечки закрытой информации. Это должно дать максимальный эффект.

При развитии системы, возможно, придется отказаться то модели основного домена, как не эффективной для сложных сетей с большим количеством машин и сильно разветвленной структурой групп пользователей. В качестве альтернативы может быть предложена модель многочисленных основных доменов, как наиболее актуальная для таких сетей.