Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Томский Государственный Университет Систем Управления и Радиоэлектроники
Предмет:
Защита информации в компьютерных сетях
Файл:

6 семак / 13 лаба

.docx
Скачиваний:
9
Добавлен:
23.02.2024
Размер:
10.72 Mб
Скачать

Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

DLP-система КИБ SearchInform

Отчет по лабораторной работе №13

по дисциплине «Защита информации в компьютерных сетях»

Студент гр. 711-2

_______ А. А. Калинин

_______Е. П. Толстолес

______.2024

Руководитель

Преподаватель каф. КИБЭВС

_______ К. И. Цимбалов

______.2024

Томск 2024

Введение

Цель работы: освоить основные приемы использования программного комплекса SearchInform для перехвата и поиска утечек конфиденциальной информации.

Задачи:

  1. Изучить теоретический материал;

  2. Выполнить подготовительные задания;

  3. Выполнить индивидуальные задания;

4) Написать и защитить отчёт о проделанной работе.

1 Ход работы

1.1 Определение списка пользователей, данные которых будут перехватываться системой

После установки и первоочередной настройки программного комплекса SearchInform, перейдем запуску сервера AlertCenter (рисунок 1.1).

Рисунок 1.1 – Запуск сервера AlertCenter

Далее проведем редактирование фильтра перехвата информации, после чего будут перехватываться данные пользователей ivanov, bublik и konev для всех контролируемых протоколов (рисунки 1.2 – 1.5).

Рисунок 1.2 – Вход в режим добавления фильтра для всех контролируемых протоколов

Рисунок 1.3 – Окно выбора пользователей для фильтра

Рисунок 1.4 – Подтверждение настройки фильтра

Рисунок 1.5 - Индикация разрешающих фильтров по пользователям для всех контролируемых протоколов

Далее необходимо настроить фильтрацию перехватываемых данных по сетевой маске и MAC- адресам для всех контролируемых протоколов (рисунки 1.6 – 1.9).

Рисунок 1.6 – Первый этап добавления разрешающей фильтрации по параметрам сети

Рисунок 1.7 – Указание сетевой маски и прослушиваемых портов

Рисунок 1.8 – Указание MAC- адреса и прослушиваемых портов

Рисунок 1.9 – Созданные фильтры для всех контролируемых протоколов

Далее были созданы разрешающий и запрещающий фильтры для пользователей ivanov и polyk (рисунки 1.10 – 1.11).

Рисунок 1.10 – Разрешающий фильтр по протоколу HTTP для пользователя ivanov

Рисунок 1.11 – Фильтр разрешающий перехват данных по протоколу POP3 для пользователя polyk

После необходимо создать, а затем удалить прокси фильтр (рисунок 1.12), фильтр по почтовым адресам для сообщений больше 10000 байт (рисунок 1.13), указать соответствие пользователя 123 почтовому адресу 123@ukr.net (рисунок 1.14).

Рисунок 1.12 – Прокси фильтр

Рисунок 1.13 – Фильтр по почтовым адресам

Рисунок 1.14 – Установленное соответствие

Далее был создан список определения масок почтовых адресов пользователей (рисунок 1.15). Затем были создан фильтр по почте пользователей, определив поиск наличия в теме письма слова «коррупция» (рисунок 1.16) и фильтр по протоколу HTTP, определив поиск наличия в содержимом слова «взятка» (рисунок 1.17).

Рисунок 1.15 – Введенная маска

Рисунок 1.16 – Созданный фильтр для слова «коррупция»

Рисунок 1.17 - Фильтрация HTTP

Далее было открыто окно SearchInform EndpointSniffer, удалены из фильтрации по всем протоколам данные пользователя «Админ» (рисунок 1.18), создан фильтр монитора группы пользователей «NT AUTHORITY\SYSTEM» и пользователя «ivanov», фильтрация которого осуществляется с 10.00 до 23.00, кроме субботы и воскресенья (рисунки 1.19 - 1.20).

Рисунок 1.18 – Созданный фильтр для пользователя «Админ»

Рисунок 1.19 – Пользователи в фильтре монитора

Рисунок 1.20 – Фильтр монитора группы и пользователя «ivanov»

Затем был произведен переход в NetworkSniffer Administrator для настройки расписания обновления индексов Network_POST (рисунок 1.21).

Рисунок 1.21 – Расписание

В AlertCenter Client откроем ветвь «Политика безопасности». Изменим параметры политики безопасности «05_подозрительная почта» и создадим политику безопасности «Тест1» (рисунки 1.22 – 1.24).

Рисунок 1.22 – Параметры политики безопасности «05_подозрительная почта»

Рисунок 1.23 – Выявленные нарушения политики

Рисунок 1.24 – Политика безопасности «test»

1.2 Реализация оперативного контроля за действиями пользователей

Далее откроем программу MonitorSniffer клиент, предварительно выполнив подготовительные действия, просмотрим снимок экрана и перечень процессов, запущенных в момент записи снимка (рисунки 1.25 – 1.26).

Рисунок 1.25 – Отображение снимка

Рисунок 1.26 – Поиск снимков по имени компьютера

1.3 Поиск конфиденциальной информации без проведения синтаксического анализа

Сначала нужно создать политику безопасности «Тест2» и произвести поиск инцидентов с помощью разных критериев поиска (рисунки 1.27 – 1.28).

Рисунок 1.27 – Политика безопасности «Тест2»

Рисунок 1.28 – Критерий «АтрибутДатаПерехвата»

1.4 Настройка программного комплекса SearchInform для поиска конфиденциальной информации на основе подобия текстовых фрагментов

Создадим политику безопасности «test3» и произведём поиск инцидентов с помощью критерия «Поиск похожих». Затем создадим новый каталог индексов образцов цифровых отпечатков и найдём инциденты с помощью критерия «Поиск по цифровым отпечаткам» (рисунки 1.29 – 1.32).

Рисунок 1.29 – Политика безопасности «Тест3»

Рисунок 1.30 – Поиск с помощью критерия «Поиск похожих»

Рисунок 1.31 – Результат поиска цифровых отпечатков

1.5 Настройка программного комплекса SearchInform для поиска конфиденциальной информации на основе подобия текстовых фрагментов

Далее нужно создать политику безопасности «Тест4» и произвести поиск инцидентов с помощью разных параметров критерия «Фразовый поиск», а затем добавить в словарь синонимов новые синонимы (рисунки 1.32 - 1.34).

Рисунок 1.32 – Политика безопасности «Тест4»

Рисунок 1.33 – Поиск с помощью параметра «Точное совпадение»

Рисунок 1.34 - Поиск с помощью параметра «Поиск с морфологией»

Затем нужно создать регулярные выражения и выполнить поиск инцидентов с их помощью (рисунки 1.35 – 1.37).

Рисунок 1.36 - Создание нового регулярного выражения

Рисунок 1.37 - Поиск с помощью регулярного выражения «\+[0-9-]+»

Рисунок 1.38 - Поиск с помощью регулярного выражения «-?\d+»

Заключение

В результате выполнения данной лабораторной работы были освоены основные приемы использования программного комплекса SearchInform для перехвата и поиска утечек конфиденциальной информации, выполнены подготовительные и индивидуальные задания.

Отчет составлен согласно ОС ТУСУР 2021.

Соседние файлы в папке 6 семак
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности