Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
moustache_answers.doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
690.69 Кб
Скачать

29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.

Основні поняття

Під протоколюванням розуміється збір і накопичення інформації про події, що відбуваються в інформаційній системі. У кожного сервісу свій набір можливих подій, але в будь-якому випадку їх можна розділити на зовнішні (викликані діями інших сервісів), внутрішні (викликані діями самого сервісу) і клієнтські (викликані діями користувачів та адміністраторів).

Аудит - це аналіз накопиченої інформації, що проводиться оперативно, в реальному часі або періодично (наприклад, раз на день). Оперативний аудит з автоматичним реагуванням на виявлені нештатні ситуації називається активним.

Реалізація протоколювання і аудиту вирішує наступні завдання:

  • забезпечення підзвітності користувачів та адміністраторів;

  • забезпечення можливості реконструкції послідовності подій;

  • виявлення спроб порушень інформаційної безпеки;

  • надання інформації для виявлення й аналізу проблем.

Протоколювання вимагає для своєї реалізації здорового глузду. Які події реєструвати? З яким ступенем деталізації? На подібні питання неможливо дати універсальні відповіді. Необхідно стежити за тим, щоб, з одного боку, досягалися перераховані вище мети, а, з іншого, витрати ресурсів залишався в межах допустимого. Занадто велике або докладний протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але й утрудняє аудит, тобто не збільшує, а зменшує інформаційну безпеку.

Розумний підхід до згаданих питань стосовно до операційних систем пропонується в "Помаранчевої книзі", де виділені наступні події:

  • вхід в систему (успішний чи ні);

  • вихід із системи;

  • звернення до віддаленої системи;

  • операції з файлами (відкрити, закрити, перейменувати,видалити);

  • зміна привілеїв чи інших атрибутів безпеки (режиму доступу, рівня благонадійності користувача і т.п.).

При протоколюванні події рекомендується записувати, принаймні, таку інформацію:

  • дата і час події;

  • унікальний ідентифікатор користувача - ініціатора дії;

  • тип події;

  • результат дії (успіх або невдача);

  • джерело запиту (наприклад, ім'я терміналу);

  • імена порушених об'єктів (наприклад, відкритих або файлів, що видаляються);

  • опис змін, внесених до бази даних захисту (наприклад, нова мітка безпеки об'єкта).

Ще одне важливе поняття, яке фігурує в "Помаранчевої книзі", - вибіркове протоколювання, як щодо користувачів (уважно стежити тільки за підозрілими), так і щодо подій.

Характерна особливість протоколювання і аудиту - залежність від інших засобів безпеки. Ідентифікація та автентифікація служать відправною точкою підзвітності користувачів, логічне керування доступом захищає конфіденційність і цілісність реєстраційної інформації. Можливо, для захисту залучаються і криптографічні методи.

Повертаючись до цілей протоколювання і аудиту, відзначимо, що забезпечення підзвітності важливо в першу чергу як стримуючий засіб. Якщо користувачі і адміністратори знають, що всі їхні дії фіксуються, вони, можливо, утримаються від незаконних операцій. Очевидно, якщо є підстави підозрювати будь-якого користувача в нечесності, можна реєструвати всі його дії, аж до кожного натискання клавіші. При цьому забезпечується не тільки можливість розслідування випадків порушення режиму безпеки, але і відкат некоректних змін (якщо в протоколі присутні дані до і після модифікації). Тим самим захищається цілісність інформації.

Реконструкція послідовності подій дозволяє виявити слабкості у захисті сервісів, знайти винуватця вторгнення, оцінити масштаби завданих збитків та повернутися до нормальної роботи.

Виявлення спроб порушень інформаційної безпеки - функція активного аудиту, про який піде мова в наступному розділі. Звичайний аудит дозволяє виявити подібні спроби з запізненням, але і це виявляється корисним. Свого часу піймання німецьких хакерів, що діяли на замовлення КДБ, почалася з виявлення підозрілого розбіжності в кілька центів в щоденному звіті великого обчислювального центру.

Виявлення та аналіз проблем можуть допомогти поліпшити такий параметр безпеки, як доступність. Виявивши вузькі місця, можна спробувати переконфігурувати або переналаштувати систему, знову виміряти продуктивність і т.д.

Непросто здійснити організацію узгодженого протоколювання і аудиту в розподіленої різнорідної системі. По-перше, деякі компоненти, важливі для безпеки (наприклад, маршрутизатори), можуть не володіти своїми ресурсами протоколювання; в такому випадку їх потрібно екранувати іншими сервісами, які візьмуть протоколювання на себе. По-друге, необхідно погоджувати між собою події у різних сервісах.

-------------------------------------------------- -----------------------------------------

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]