Регистрация событий и аудит
Регистрация событий или аудит событий безопасности, это фиксация в файле журнале событий которые могут представлять опасности для АС. Механизм регистрации событий содержит средства выборочного ознакомления с выборочной информацией, позволяют регистрировать действия только выделенных пользователей, а так же варьировать уровень детальностей регистрируемых событий для каждого пользователя.
Регистрация событий осуществляется в следующем порядке:
Для каждого пользователя администратор системы устанавливает уровень детальности журнала.
Ля любого уровня детальности в журнале отражаются параметры регистрации пользователя, доступ к устройствам, запуск задач, попытки нарушения правил разграничения доступа и их изменения.
Для низкого уровня детальности должны отражаться все попытки доступа к защищаемым дискам, каталогам, файлам, а также попытки изменения некоторых системных параметров.
Для высокого уровня детальности отражаются все попытки доступа к защищаемым каталогам.
В общем случае системный журнал содержит:
Идентификатор субъекта доступа
Тип операции
Объект доступа
Время регистрации события
Результат события
Программа инициализирующая событие(если есть)
Администраторы безопасности выделяют дополнительную категорию пользователей(аудиторы) имеющих право работать с журналом.
Криптографическая защита
Пасзи для обеспечения безопасности данных на локальном компьютере используют классические симметричные алгоритмы шифрования. ПАСЗИ предлагает несколько способов шифрования информации:
Шифрование по требованию- файлы редактируются в открытом виде. Готовый документ(файл) при записи на диск зашифровывается. Под зашифрованным файлом пользователь может поставить свою цифровую подпись.
Шифрование налету – в открытом виде информация присутствует только в оперативной памяти. Сохранение документа инициализирует процедуру шифрования. Процесс криптографического преобразования, протекают независимо от желания пользователя, скрытно для пользователя.
Для защиты информации может создаваться виртуальный жеский диск, внутри дискового пространства ЭВМ и подключаться только при необходимости работы только с конфиденциальными данными. Вся информация на нем автоматически шифруется. При подключении диска, пользователь должен ввести ключевую информацию в виде пароля, раздельно хранящихся ключей на внешних устройствах.
В большенстве случаев ключи хэшируются.
Выбираемые СЗИ должны поддерживать национальные стандарты шифрования и работать в реальном времени.
Контроль целостности
Многие СЗИ позволяют администратору безопасности назначить для проверки критичные области системы:
Проверка штатной комплектации
Наличие чужих комплектующих
Контроль критичных файлов системного ПО и пользователей
Контроль целостности программных средств и данных, осуществляется путём вычесления характеристик и сравнение их с контрольными характеристиками. Контрольные характеристики вычисляются при каждом изменении файлов. В ПАСЗИ используется контрольные суммы и циклические коды. Однако существует недостаток- алгоритм получения контрольных характеристик хорошо известен.
Для хэширования могут использоваться хэш-функции: ГОСТ Р 34.11-94
Зачастую используются две контрольные характеристики: стартовый вектор и хэш функция.
В дольшенстве ПАСЗИ контрольные характеристики хранятся не только на жестком диске, но и в ПЗУ идентификатора или средства защиты.
Управление политикой безопасности
Под управление политики безопасности понимается выполнение совокупности настроек различных параметров. В ОС семейства Windows настройки интегрируются в «локальную политику безопасности» и зачастую отражается в реестре.
Уничтожение остаточной информации
Зачастую при работе ОС оставляет технологический мусор. Согласно руководящим документам в зависимости от класса защищенности СВТ, система защиты должна затруднять или предотвращать доступ пользователя к остаточной информации . А также выполнять очиску оперативной и внешней памяти. Наличие технологического мусора вАС обусловлено сервисными функциями ОС.
Причины образования технологического уровня: 1.особенности файловой системы2.резервирование информации на случай сбоя ОС 3. Создание временных файлов спулинга или факс-модельной связи. 4. Создание буферных и теневых областей памяти. 5. Механизм виртуальной памяти(файл подкачки). 6. Обеспечение удобства пользователя (недавние документы и т.п). 7. Использование буфера для обмена данными между приложениями.
Для борьбы с остаточной информацией СЗИ имеет в своём составе ряд утилит, которые осуществляет очистку всех свободных областей жестких дисков, хвостов файлов (fileslacrs), файлов виртуальной памяти и неиспользованных каталогов. Перед выключением ПЭВМ производится очистка файла подкачки.
Особая функция СЗИ- гарантированное удаление файлов.
Некоторые СЗИ могут шифровать временные файлы,по средствам прозрачного шифрования.