Файловый архив студентов. Файловый архив студентов.
1297 вузов, 5034 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Сумский государственный университет
Предмет:
Веб-дизайн
Файл:
Курсач ВЕБ / curs.bog / lec / lecii / 10_ua_3_.doc
Скачиваний:
5
Добавлен:
30.05.2020
Размер:
166.4 Кб
Скачать
►Содержание►

Інформаційна безпека Протоколювання і аудит, шифрування, контроль цілісності План

1 Протоколювання і аудит

2 Активний аудит

2.1 Основні поняття

2.2 Функціональні компоненти і архітектура

2.3 Шифрування

4 Контроль цілісності

5 Цифрові сертифікати

1 Протоколювання і аудит

Основні поняття

Під протоколюванням розуміється збір і накопичення інформації про події, що відбуваються в інформаційній системі. У кожного сервісу свій набір можливих подій, але у будь-якому випадку їх можна розділити на зовнішні (викликані діями інших сервісів), внутрішні (викликані діями самого сервісу) і клієнтські (викликані діями користувачів і адміністраторів).

Аудит - це аналіз накопиченої інформації, що проводиться оперативно, в реальному часі або періодично (наприклад, раз на день). Оперативний аудит з автоматичним реагуванням на виявлені нештатні ситуації називається активним.

Реалізація протоколювання і аудиту вирішує наступні задачі:

  • забезпечення підзвітності користувачів і адміністраторів;

  • забезпечення можливості реконструкції послідовності подій;

  • виявлення спроб порушень інформаційної безпеки;

  • надання інформації для виявлення і аналізу проблем.

Протоколювання вимагає для своєї реалізації здорового глузду. Які події реєструвати? З яким ступенем деталізації? На подібні питання неможливо дати універсальні відповіді. Необхідно стежити за тим, щоб, з одного боку, досягалися перераховані вище цілі, а, з іншою, витрата ресурсів залишалася в межах допустимого. Дуже обширне або докладне протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але і утрудняє аудит, тобто не збільшує, а зменшує інформаційну безпеку.

Розумний підхід до згаданих питань стосовно операційних систем пропонується в "Оранжевій книзі", де виділені наступні події:

  • вхід в систему (успішний чи ні);

  • вихід з системи;

  • звернення до видаленої системи;

  • операції з файлами (відкрити, закрити, перейменувати, видалити);

  • зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня благонадійності користувача і т.п.).

При протоколюванні події рекомендується записувати, принаймні, наступну інформацію:

  • дата і час події;

  • унікальний ідентифікатор користувача - ініціатора дії;

  • тип події;

  • результат дії (успіх або невдача);

  • джерело запиту (наприклад, ім’я терміналу);

  • імена об’єктів, що торкнулися (наприклад, файлів, що відкриваються або видаляються);

  • опис змін, внесених в бази даних захисту (наприклад, нова мітка безпеки об’єкту).

Ще одне важливе поняття, що фігурує в "Оранжевій книзі", - вибіркове протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.

Характерна особливість протоколювання і аудиту - залежність від інших засобів безпеки. Ідентифікація і аутентифікація служать відправною крапкою підзвітності користувачів, логічне управління доступом захищає конфіденційність і цілісність реєстраційної інформації. Можливо, для захисту притягуються і криптографічні методи.

Повертаючись до цілей протоколювання і аудиту, відзначимо, що забезпечення підзвітності важливе в першу чергу як стримуюче засіб. Якщо користувачі і адміністратори знають, що всі їх дії фіксуються, вони, можливо, утримаються від незаконних операцій. Очевидно, якщо є підстави підозрювати якого-небудь користувача в нечесності, можна реєструвати всі його дії, аж до кожного натиснення клавіші. При цьому забезпечується не тільки можливість розслідування випадків порушення режиму безпеки, але і відкіт некоректних змін (якщо в протоколі присутні дані до і після модифікації). Тим самим захищається цілісність інформації.

Реконструкція послідовності подій дозволяє виявити слабкості в захисті сервісів, знайти винуватця вторгнення, оцінити масштаби заподіяного збитку і повернутися до нормальної роботи.

Виявлення спроб порушень інформаційної безпеки - функція активного аудиту, про який піде мова в наступному розділі. Звичайний аудит дозволяє виявити подібні спроби із запізненням, але і це виявляється корисним. Свого часу піймання німецьких хакерів, що діяли за замовленням КДБ, почалося з виявлення підозрілої розбіжності в декілька центів в щоденному звіті крупного обчислювального центру.

Виявлення і аналіз проблем можуть допомогти поліпшити такий параметр безпеки, як доступність. Знайшовши вузькі місця, можна спробувати переконфігурувати або перенастроювати систему, знову зміряти продуктивність і т.д.

непросто здійснити організацію злагодженого протоколювання і аудиту в розподіленій різнорідній системі. По-перше, деякі компоненти, важливі для безпеки (наприклад, маршрутизатори), можуть не володіти своїми ресурсами протоколювання; у такому разі їх потрібно екранувати іншими сервісами, які візьмуть протоколювання на себе. По-друге, необхідно пов’язувати між собою події в різних сервісах.

Соседние файлы в папке lecii
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности