эвм13
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
DLP-СИСТЕМА КИБ SEARCHINFORM
Отчет по лабораторной работе №13
по дисциплине «Защита информации в компьютерных сетях»
Студенты гр. 739-1
_______Климанов М.Д.
_______Северьянова А.Д.
12.06.2022
Доцент кафедры
КИБЭВС, к.т.н
_______Новохрестов А.К.
__.__.2022
Томск 2022
Введение
Цель работы: освоить основные приемы использования программного комплекса SearchInform для перехвата и поиска утечек конфиденциальной информации.
Ход работы
Установим
возможность
доступа к
индексу
«Fingerprint_01» только
пользователям операционной системы, которые относятся к
группе «Администраторы»
(рисунок 1).
Рисунок 1 - Добавление группы «Администраторы»
Проведём редактирование фильтра перехвата информации. Добавим пользователей ivanov и bublik. Далее настроим фильтрацию перехватываемых данных по сетевой маске и MAC- адресам для всех контролируемых протоколов. Затем настроим фильтр запрещающий перехват данных по протоколу HTTP для пользователя ivanov и почтовую фильтрацию (рисунки 2 - 3).
Создадим фильтр по почтовым адресам для сообщений больше 10000 байт (рисунок 4).
Рисунок
2 – Фильтры
Рисунок 3 – Настройка протоколов
Рисунок 4 – Фильтр по почтовым адресам
Также укажем соответствие пользователя 123 почтовому адресу 123@ukr.net (рисунок 5).
Рисунок 5 - Соответствие адреса пользователю
Затем создаем фильтр по протоколу HTTP, определив поиск наличия в содержимом слова «взятка» (рисунок 6).
Рисунок 6– Фильтрация HTTP
Создадим фильтр монитора группы
пользователей «NTAUTHORITY\SYSTEM»
и пользователя
«ivanov» (рисунки
7 -8).
Рисунок 7 – Перехват для выбранных пользователей
Рисунок 8 – Создание расписания
В AlertCenter Client откроем ветвь «Политика безопасности». Изменим параметры политики безопасности «05_подозрительная почта» Затем создадим политику безопасности «test» (рисунки 9 -11).
Рисунок 9 – Индикация параметров политики безопасности «05_подозрительная почта»
Рисунок 10 – Просмотр выявленных нарушений политики
Рисунок 11 – Политика безопасности «test»
Откроем программу MonitorSniffer клиент, предварительно выполнив подготовительные действия. Затем просмотрим снимок экрана и перечень процессов, запущенных в момент записи снимка (рисунки 12 -13).
Рисунок 12 – Отображение снимка
Рисунок 13 – Поиск снимков по имени компьютера
Создадим политику безопасности «test2» и произведём поиск инцидентов с помощью разных критериев поиска (рисунки 14 - 15).
Рисунок
14 –
Политика
безопасности
«test2»
Рисунок 15 – Атрибут «Дата перехвата»
Создадим
политику
безопасности
«test3» и
произведём
поиск инцидентов
с помощью
критерия «Поиск
похожих». Затем
создадим новый
каталог индексов
образцов цифровых
отпечатков и
найдём инциденты
с помощью
критерия «Поиск
по цифровым
отпечаткам»
(рисунки 16 -19).
Рисунок 16 – Политика безопасности «test3»
Рисунок
17 – Поиск с помощью критерия «Поиск
похожих»
Рисунок 18 – Результат поиска цифровых отпечатков
Рисунок
19 – Поиск
с помощью
критерия «Поиск
по цифровым
отпечаткам»
Создадим политику безопасности «test4» и произведём поиск инцидентов с помощью разных параметров критерия «Фразовый поиск». Затем добавим в словарь синонимов новые синонимы (рисунки 20 -22).
Рисунок
20 –
Политика
безопасности
«test4»
Рисунок 21 – Поиск с помощью параметра «Точное совпадение»
Рисунок 22 – Поиск с помощью параметра «Поиск с морфологией»
Создадим регулярные выражения и выполним поиск инцидентов с помощью них (рисунки 23 – 25).
Рисунок 23 – Создание нового регулярного выражения
Рисунок
24 –
Поиск с
помощью
регулярного
выражения «\+[0-9-]+»
Рисунок 25 – Поиск с помощью регулярного выражения «-?\d+»
Заключение
В ходе выполнения данной лабораторной работы были освоены основные приемы использования программного комплекса SearchInform для перехвата и поиска утечек конфиденциальной информации.