Чем занимаются сотрудники?

© ИА Клерк.Ру, аналитический отдел /

Любой руководитель хотел бы знать, чем занимаются его сотрудники в рабочее время, за что они получают заработную плату

А.Ю.Щеглов

Мы уже привыкли, что задача контроля рабочего времени сотрудников предприятия решается средствами видеонаблюдения, обеспечивающими защиту периметра и помещений. Когда же речь заходит о контроле работы сотрудников предприятия на вычислительных средствах корпоративных автоматизированных систем обработки информации, решение задач защиты периметра становится уже не столь актуально. В этих приложениях уже необходимо осуществлять контроль действий санкционированных пользователей (которым разрешен доступ в помещения и к соответствующим вычислительным средствам). А вот как они используют данные средства в рамках выполнения своих служебных обязанностей?

Например, какую долю времени сотрудник уделяет собственно выполнению своих служебных обязанностей, с какой целью и в каком объеме пользуется сервисами внешней сети, например, Интернет, какую информацию передает по электронной почте, какую информацию и с какой целью набирает в текстовом редакторе и т.д.

 

 

А ведь во многом именно эта информация о сотруднике позволяет сделать вывод о его лояльности и трудолюбии. Может быть, он вообще напрасно получает заработную плату и уже давно саботирует свои обязанности? Для решения всей рассмотренной совокупности задач в корпоративной сети предприятия может быть реализовано компьютерное наблюдение за действиями пользователей. Рассмотрим в чем оно состоит и как может быть реализовано (на примере разработки ЗАО «НПП «Информационные технологии в бизнесе»: «Система оперативного слежения (СОС) «Панцирь» для ОС Windows 2000/XP/2003»).

Что такое компьютерное наблюдение?

Для обработки информации на вычислительном средстве (на компьютере), для работы с компьютерными ресурсами, пользователю необходимо средство отображения – монитор. Экранная копия представляет собой моментальное отображение (снимок) действий пользователя на компьютере. С учетом же того, что решение подавляющей части задач на компьютере невозможно без средства отображения (монитора), контроль действий пользователей на защищаемых объектах корпоративной сети предприятия, как правило, возлагаемый на администратора безопасности, может осуществляться визуально, посредством сбора и обработки экранных копий (снимков), что и представляет собою задачу компьютерного наблюдения.

Общие требования к реализации системы компьютерного наблюдения?

Приступая к созданию компьютерной системы наблюдения за действиями пользователя, прежде всего, необходимо определиться с тем, каковы могут быть требования к подобной системе. Попробуем их сформулировать:

• Система реализуется для использования в корпоративной сети, в которой одновременно может работать несколько десятков, а то и сотен пользователей. Т.е. одновременно может потребоваться контролировать действия нескольких пользователей на различных компьютерах в сети. Следовательно, система компьютерного наблюдения должна иметь сетевую архитектуру и позволять получать администратору экранные копии с контролируемых компьютеров на сервер безопасности – некоторый отдельный компьютер, на котором должен быть реализован АРМ администратора безопасности. Во-вторых, АРМ администратора безопасности должен позволять одновременно отображать экранные копии, получаемые с нескольких (в пределе, с неограниченного числа) компьютеров;

• Систему компьютерного наблюдения мы позиционируем, как элемент защиты информации, основу которой априори должна составлять возможность оперативного реагирования на зафиксированные критичные события. Подобное возможно только в том случае, когда контроль осуществляется в реальном масштабе времени;

• Ввиду того, что в крупномасштабной корпоративной сети может потребоваться одновременно осуществлять наблюдение за большим числом пользователей, что не позволит одновременно наглядно отображать экранные копии с их компьютеров на одном мониторе АРМа администратора, должен быть предусмотрен режим автоматического сбора экранных копий с указанных компьютеров на сервер безопасности с возможностью их последующего просмотра по запросу администратора (интерактивный режим обработки);

• Экранные копии сами по себе имеют достаточно большие объемы, их сбор одновременно с большого числа контролируемых компьютеров может существенно повлиять на загрузку опорной сети, следовательно, должны предусматриваться мероприятия, призванные снижать данное влияние. К подобным мероприятиям можно отнести следующее:

• Нет необходимости осуществлять контроль в реальном времени всех действий пользователя. Обычно интерес представляет наблюдение за его работой с вполне определенными приложениями, например, с сетевыми приложениями (доступ во внешнюю сеть). Поэтому одним из условий осуществления контроля в реальном времени является активность конкретного приложения, уточним, активность соответствующего окна работы с приложением (на компьютере одновременно может быть запущено несколько приложений, но окно только одного приложения всегда активно – это окно того приложения, с которым непосредственно и взаимодействует пользователь);

• При контроле работы пользователя с приложением в общем случае нет необходимости в осуществлении непрерывного контроля (такая функция может понадобиться, но в исключительном случае, который рассмотрим далее), достаточно осуществлять контроль с каким-либо временным интервалом. Поскольку данный интервал для различных приложений может сильно отличаться, то целесообразно иметь возможность его задания (изменения) в каждом конкретном случае;

• При обнаружении некорректных (опасных) действий пользователя, администратору может потребоваться осуществление более детального контроля. С этой целью администратору должен предоставляться инструментарий выборочного непрерывного контроля действий пользователя на отдельном компьютере;

• Одной из важнейших задач системы компьютерного наблюдения является реализация функции учета рабочего времени (сбор статистики работы) пользователей на компьютере. Это должно осуществляться по средством сбора и анализа статистики работы пользователя с приложениями, что корректно может быть реализовано по средством сбора и анализа статистики активности окон приложений.

Реализация системы компьютерного наблюдения

В качестве примера реализации системы компьютерного наблюдения рассмотрим «Систему оперативного слежения (СОС) «Панцирь» для ОС Windows 2000/XP/2003». Интерфейс АРМа администратора, реализуемого на сервере безопасности, представлен на Рис.1.

Рис.1. Интерфейс АРМа администратора

Система позволяет осуществлять в реальном времени одновременный контроль (удаленное отображение на экране сервера) экранных копий с любого количества компьютеров в составе корпоративной сети предприятия, что осуществляется в отдельном окне АРМа администратора безопасности, см. Рис.2 (в каком-то смысле это напоминает системы видеонаблюдения, где на одном мониторе в соответствующих «квадратах» одновременно отображаются различные контролируемые объекты).

В данном окне интерфейса программы могут быть сгруппированы несколько (в общем случае – любое количество, все зависит от монитора сервера безопасности) изображений экранных копий с различных удаленных компьютеров, которые будут обновляться в реальном времени при появлении нового снимка. Открытые окна могут быть различным способом сгруппированы, для каждого окна можно выбирать режим просмотра: в натуральную величину, либо в масштабируемом по величине окна программы виде.

Это же окно используется и в том случае (для тех контролируемых компьютеров), когда экранные копии не отображаются в реальном времени, а автоматически собираются на сервере, с целью их последующего просмотра администратором в интерактивном режиме (по его запросу). При выборе пункта «Открыть скриншот» будет предложено выбрать изображение для просмотра (данные изображения сохраняются в различных каталогах для различных компьютеров, в каждом файле хранится свой скриншот, наименование файла содержит время получения скриншота на сервер). Переход между изображениями в каталоге можно осуществить кнопками «Page UP», «Page Down».

Рис. 2. Окно отображения экранных копий

Теперь несколько слов о настройке данной системы.

В разделе интерфейса «Снимки экрана» (см. Рис.3) для выбранного (в интерфейсе системы, см. Рис.1) компьютера, можно осуществить настройку формата снимков экрана (того формата, в котором снимки будут отправляться на сервер, что также введено для возможности снижения нагрузки на опорную сеть), а так же осуществить задание списка процессов и/или заголовков рабочих окон, при работе которых (активности окон) будет происходить съемка скриншотов (само собой, что эти и иные настройки системы могут осуществляться удаленно – с сервера безопасности). Экранная копия будет сниматься и отправляться на сервер только в том случае, если окно указанного процесса (приложения), либо непосредственно указанное в интерфейсе окно (заголовок окна), активно (пользователь непосредственно работает с окном указанного приложения).

Для задания интервала (периода) снятия экранных копий (после снятия, экранная копия в реальном времени отправляется на сервер), а также для задания режима, при котором съем копий будет осуществлять только при активности окон отдельных процессов, должен быть использован интерфейс, приведенный на Рис.4.

Рис. 3. Интерфейс «Снимки экрана»

Рис.4. Пункт меню «Свойства»

Учет рабочего времени пользователя системой реализуется посредством сбора статистики и анализа активности процессов и приложений (точнее говоря, активности окон, соответствующих данных процессам – одновременно на компьютере может быть запущено несколько процессов, но всегда только одно окно, непосредственно с которым работает пользователь, является активным).

При запуске данной процедуры контроля, системой регистрируется активность окон (и смена активных окон) в процессе всего времени функционирования контролируемого вычислительного средства (пока администратором активизирована соответствующая процедура контроля). Отображение файл аудита смены активности окон представлено на Рис.5.

Возможности фильтрации и представления собранной статистики учета рабочего времени сотрудников предприятия на вычислительных средствах корпоративной сети проиллюстрированы на Рис.6 – Рис.9.

Используя возможности рассматриваемой подсистемы контроля, можно получить статистику по работе пользователя с отдельной программой за интересующий интервал времени, см. Рис.6 (все зарегистрированные системой запускаемые программы и соответствующие им заголовки окон отображаются в интерфейсе, см. Рис.7, где можно осуществить выбор контролируемой программы). При этом отобразится продолжительность работы пользователя с данной программой в течение заданного времени, и процент времени работы пользователя с данной программой, см. Рис.6.

Рис.5. Отображение файла аудита системы

Рис.6. Отображение статистики работы пользователя с выбранной программой

Рис.7. Отображение запускаемых на компьютере процессов (приложений)

Кроме того, администратор имеет возможность получить полную статистику по работе пользователя на компьютере за заданный интервал времени, что настраивается из интерфейса, см. Рис.6. При этом отобразится продолжительность работы пользователя с каждой программой в течение контролируемого времени (соответственно, будут отображаться только те программы, которые запускались), и процент времени работы пользователя с каждой программой, см. Рис.8. Полученную статистику можно отобразить в виде диаграммы, см. Рис.9. Подобный анализ может быть проведен для каждого пользователя (для каждой учетной записи) на каждом контролируемом компьютере.

Рис.8. Отображение статистики работы пользователя за заданный интервал времени

Рис.9. Отображение статистики работы пользователя за заданный интервал времени в виде диаграммы

И, буквально в двух словах, по поводу реализации функции непрерывного наблюдения за пользователем в реальном времени. Как ранее отмечали, это весьма ресурсоемкая функция, которую целесообразно использовать при обнаружении некорректных действий пользователя, либо когда его действия необходимо контролировать непрерывно. Реализуется эта функция отдельной программой.

Данная программа позволяет в реальном времени удаленно непрерывно отображать на сервере монитор контролируемого компьютера. Для реализации данного контроля необходимо в интерфейсе, см. Рис.1, выбрать контролируемый компьютер и из соответствующего меню запустить данную программу.

В порядке замечания отметим, что рассматриваемая система обладает и иными (весьма широким диапазоном) возможностями, предоставляемыми администратору для удаленного контроля действий пользователей и для удаленного реагирования на некорректные действия пользователя (завершение/запуск процесса, блокирование текущего сеанса, запрет доступа к файловому объекту и т.д.), однако рассмотрение подобных возможностей выходит за рамки настоящей работы.

В заключение отметим, что компьютерное наблюдение – это вполне самостоятельная задача контроля и защиты информации, причем, как собственно в своей постановке, так и в реализуемых подходах к решению. Ее решение позволяет получить объективную оценку как эффективности использования вычислительных средств предприятия, так и объективную характеристику сотрудника предприятия, в том числе, оценить его лояльность, позволяя дать ответ на вопрос, интересующий практически любого руководителя предприятия: «Чем занимаются сотрудники в рабочее время и за что они получают заработную плату?».

Автор – доктор технических наук, профессор. ЗАО «НПП «Информационные технологии в бизнесе».

Статья получена: Клерк.Ру

загрузка...