Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
суббота.docx
Скачиваний:
10
Добавлен:
21.12.2018
Размер:
327.62 Кб
Скачать

Регистрация событий (аудит)

Регистрация событий - фиксация в файле-журнале событий, которые могут представлять опасность для АС.

Регистрация событий как механизм защиты предназначена для решения двух основных задач: расследование инцидентов, произошедших с применением АС, и предупреждение компьютерных преступлений. При этом вторая задача может по степени важности выйти на первое место - если недобросовестный сотрудник организации знает о том, что все его действия в АС протоколируются, он воздержится от совершения действий, которые не входят в круг его функциональных обязанностей.

В связи с тем, что журналы аудита событий используются при расследовании происшествий, должна обеспечиваться полная объективность информации, фиксируемой в журналах.

Для обеспечения объективности необходимо выполнение следующих требований к системе регистрации событий:

    • только сама система защиты может добавлять записи в журнал;

    • ни один субъект доступа, в том числе сама система защиты, не имеет возможности редактировать отдельные записи;

    • в АС кроме администраторов, регистрирующих пользователей и устанавливающих права доступа, выделяется дополнительная категория - аудиторы;

    • только аудиторы могут просматривать журнал;

    • только аудиторы могут очищать журнал;

    • полномочия администратора и аудитора в рамках одного сеанса несовместимы;

    • при переполнении журнала система защиты аварийно завершает работу.

Средствами ОС семейства Windows могут регистрироваться следующие категории событий:

    • вход/выход пользователей из системы;

    • изменение списка пользователей;

    • изменения в политике безопасности;

    • доступ субъектов к объектам;

    • использование опасных привилегий;

    • системные события;

    • запуск и завершение процессов.

Вместе с тем при определении количества регистрируемых событий, следует вести речь об адекватной политике аудита, т. е. такой политике, при которой регистрируются не все возможные категории событий, а только действительно значимые и необходимые.

Так, на примере операционных систем семейства Windows, можно сформулировать следующую адекватную политику аудита:

    • вход и выход пользователей регистрировать всегда;

    • доступ субъектов к объектам регистрировать только в случае обоснованных подозрений злоупотребления полномочиями;

    • регистрировать применение опасных привилегий;

    • регистрировать только успешные попытки внесения изменений в список пользователей;

    • регистрировать изменения в политике безопасности;

    • не регистрировать системные события;

    • не регистрировать запуск и завершение процессов, кроме случая обоснованных подозрений, например, вирусных атак.

Механизм защиты регистрация событий позволяет организовать выполнение требования 8: в целях профилактики и расследования возможных инцидентов автоматически должна вестись регистрация в специальных электронных журналах наиболее важных событий, связанных с доступом пользователей к защищаемой информации и компьютерной системе в целом.

Специальным образом организованная регистрация бумажных документов, распечатываемых в АИС, гарантирует выполнение требования 9.

Криптографическая защита

Когда речь идет о защите важной, критичной информации от НСД, а угрозой является реальный человек и существует вероятность физического доступа злоумышленника к носителям этой информации, криптографическое преобразование выходит на первое место.

Шифрование данных делает бесполезными их хищение или несанкционированное копирование. Если данные и программы их обработки хранятся в памяти ПЭВМ в зашифрованном виде, то извлечь интересующую информацию из украденного накопителя или полученной физической копии жесткого диска злоумышленнику будет весьма затруднительно, а при стойком криптоалгоритме - практически невозможно. Ничего, кроме кажущейся случайной последовательности символов, он не увидит.

Присутствующая в АИС система шифрования данных обеспечивает выполнение требований 2 и 7: надежно защищает конфиденциальную информацию от утечки, вызванной несовершенством операционных систем, возможными недостатками реализации механизмов ограничения и разграничения доступа, борется с "технологическим мусором".

Криптография существует уже несколько тысячелетий (тайнопись).

Ее основной задачей является обратимое преобразование открытого текста в некоторую, кажущуюся случайной, последовательность символов. Процесс преобразования множества открытых сообщений в закрытый (зашифрованный) текст называется зашифрованием. Обратный процесс называется расшифрованием.

Цикл «шифрование – расшифрование» должен привести к получению открытого сообщения тождественного равного исходному (условие обратимости криптографического преобразования).

Дешифрование - процесс нахождения открытого документа, на основании анализа некоторого зашифрованного сообщения при неизвестной функции расшифрования или ключе криптографического преобразования.

Именно дешифрованием занимаются злоумышленники, которые тем или иным способом получили в свое владение копии зашифрованных сообщений.

Одним из наиболее криптостойких симметричных алгоритмов криптопреобразования по праву считается шифрование по ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразвания":

  • длина ключа составляет 256 бит,

  • использует 32 раунда шифрования и имеет 4 режима работы: простая замена, гаммирование, гаммирование с обратной связью, выработка имитовставки.

В России при обработке информации, составляющей государственную тайну, регламентировано использовать только отечественный стандарт шифрования.

Аппаратно-программные СЗИ, противодействующие НСД и предназначенные для обеспечения безопасности данных, хранящихся на локальном компьютере, используют классические симметричные алгоритмы шифрования, так как охраняемые данные не предназначены для передачи по открытым каналам связи, и проблемы распространения ключей в этом случае не существует. Каждый пользователь формирует для себя личный симметричный ключ и сам несет за него ответственность. Применение такой схемы шифрования обеспечивает большую скорость при меньшей длине ключа.

СЗИ предлагают несколько вариантов шифрования информации:

  • При шифровании "по требованию" - сообщения, документы, базы данных и т. д. редактируются в открытом виде. Готовый документ, каталог или подкаталог зашифровывается, например, для того, чтобы обеспечить его безопасное хранение на жестком диске ПЭВМ или безопасную передачу. Пользователь может поставить под таким зашифрованным документом свою цифровую подпись.

  • При шифровании "на лету" - в открытом виде информация существует только в оперативной памяти ПЭВМ. Сохранение документа автоматически вызывает программу его шифрования. Такой метод называется "прозрачным шифрованием", поскольку процессы криптографического преобразования протекают независимо от желания пользователя.

Удачным решением защиты информации является организация виртуального зашифрованного диска, который создается внутри дискового пространства ПЭВМ и "подключается" только при необходимости работы с конфиденциальными данными.

О существовании такого диска (и подключении), не знает никто кроме владельца. Виртуальный диск представляет собой специальным образом организованный файл и располагается в любом каталоге файловой системы.

После "подключения" виртуального диска операционная система может работать с ним как с любым другим логическим диском. Вся информация, размещаемая на виртуальном диске, автоматически зашифровывается. Такое шифрование принято называть "прозрачным с организацией виртуального диска".

Примеры СЗИ, работающие с виртуальными дисками – SecretNet, АУРА, ЩИТ-РЖД.

Структура файла-образа виртуального диска содержит заголовок, непосредственно данные и ключ шифрования данных, который в свою очередь хранится в зашифрованном виде. При подключении диска пользователь должен ввести "ключевую информацию" в виде простого пароля и кодовых последовательностей, раздельно хранящихся в специальном файл-ключе и (или) во внешней памяти.

Введенная пользователем информация суммируется по схеме "И".

Совокупная ключевая последовательность (комплексный пароль) подвергается операции хэш-преобразования, в результате которой формируется "ключ кодирования ключа".

С помощью полученного "ключа кодирования ключа" и стойкого медленного алгоритма шифрования вычисляется ключ кодирования данных. Данные шифруются на основе быстрого симметричного алгоритма и ключа, который не хранится в компьютере в открытом виде, а формируется каждый раз при подключении логического диска.

Для формирования стойкого ключа СЗИ поддерживают программно и/или аппаратно достаточное количество различных вариантов внешних носителей ключевой информации. Среди них ключевые дискеты, пластиковые карты, ключи Touch Memory и т.д.

Кроме шифрования данных СЗИ могут шифровать и таблицы расположения данных. Конечно, существуют специальные программы, которые восстанавливают файловую систему на основании анализа дискового пространства.

Однако, даже если злоумышленник готов к такой работе восстановление таблиц расположения данных потребует от него определенного времени и как правило останутся следы на атакуемом компьютере.

При выборе СЗИ, осуществляющего шифрование данных, необходимо учитывать стойкость применяемого криптографического преобразования (XOR 32 и ГОСТ 28147-89)

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.