- •Федеральное агентство по образованию
- •Редактор м.Е. Цветкова
- •390005, Рязань, ул. Гагарина, 59/1.
- •Введение
- •1. Функции, процедуры и объекты администрирования ис
- •1.1. Элементы ис, подвергаемые администрированию
- •1.2. Функции администрирования в сетевых ис
- •1.3. Задачи, решаемые при администрировании ис
- •1.4. Планирование и реализация эффективной рабочей среды
- •1.5. Технические и организационные службы администрирования
- •1.6. Администрирование ис на основе сетевых ос
- •2. Сетевые и коммуникационные службы
- •2.1. Основы протокола tcp/ip
- •2.1.2. Маска подсети
- •2.2. Служба dhcp
- •2.2.1. Назначение службы dhcp
- •2.2.2. Выделение ip-адреса
- •2.2.3. Компоненты dhcp
- •2.2.4. Процесс выдачи ip-адреса
- •2.2.5. Алгоритм выбора адреса
- •2.2.6. Обнаружение конфликтов ip-адресации
- •2.2.7. Обновление ip-адреса
- •2.2.8. Отклонение обновления и негативное подтверждение
- •2.2.9. Установка и настройка dhcp-сервера
- •2.2.10. Авторизация серверов dhcp
- •2.2.11. Создание области действий dhcp
- •2.2.12. Настройка конфигурационных параметров службы dhcp
- •2.2.13. Активация и деактивация dhcp
- •2.2.14. Документирование информации в журнале
- •2.2.15. Проверка и обновление конфигурации клиентов dhcp
- •2.3. Домены и разрешение имен
- •2.3.1. Система доменных имен
- •2.3.2. Dns и разрешение имен
- •2.3.3. Зоны dns
- •2.3.4. Серверы dns
- •2.3.5. Отказоустойчивость и распределение нагрузки
- •2.3.6. Установка первичного, вторичного и кэширующего серверов dns
- •2.3.7. Создание и трансферты зоны
- •2.3.8. Записи о ресурсах
- •3. Службы аудита и управления безопасностью
- •3.1. Необходимость защиты
- •3.2. Причины существования угроз
- •3.3. Каналы утечки информации
- •3.4. Способы защиты информации
- •3.5. Работа протокола Kerberos
- •3.6. Организация безопасности сети
- •4. Служба учета
- •4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.
- •4.2. Проверка отчетов, полученных при аудите
- •4.3. Управление аудитом
- •5. Службы контроля характеристик
- •5.1. Счетчики производительности
- •5.2. Мониторинг системы
- •5.3. Накладные расходы мониторинга
- •6. Архивирование и восстановление данных
- •6.1. Архивирование и его виды
- •6.2. Восстановление данных
- •6.3. Требования к архивированию и восстановлению
- •Библиографический список
- •Оглавление
4.3. Управление аудитом
Аудит позволяет отслеживать события, влияющие на безопасность информационной системы. С помощью аудита можно фиксировать действия определенных пользователей и групп, а также попытки неавторизованного доступа к системе, ее ресурсам и т.д. Можно выполнить аудит каждого события, но реализовать это непрактично, так как на систему ложится чрезмерная нагрузка. Кроме того, это приводит к появлению громадного файла журнала и необходимости его частого архивирования. Рассмотрим несколько типичных случаев проведения аудита.
1. Включение всего аудита. Вариант полного аудита может вводиться в том случае, если требования к безопасности достаточно высоки или необходима сертификация на уровне С2. Однако не стоит забывать, что в этом случае в журнал безопасности будет внесено громадное число записей. Альтернативой данному методу может быть фиксация только неудачных (неуспешных) событий, а успешные события не фиксируются.
2. Отключение аудита. Полное отключение аудита используется, если не предъявляется никаких требований к безопасности системы. Отключение аудита уменьшает накладные расходы и помогает упростить управление журналами. Но в большинстве случаев все-таки приходится заботиться о безопасности, поэтому вариант отключения аудита используется крайне редко.
3. Аудит проблемных пользователей. Некоторые пользователи по той или иной причине становятся сильной головной болью администратора. Иногда это происходит не столько из-за недостатков самого пользователя, сколько из-за проблем с его профилем, учетной записью и т.д. В других случаях это происходит именно из-за самого пользователя. Например, он часто неправильно вводит пароль или учетную запись, пытается зарегистрироваться в то время, когда не имеет на это права, хочет получить доступ к ресурсам, к которым не имеет доступа. В таких случаях требуется отслеживать события, связанные с этим пользователем. Также необходимо фиксировать информацию, необходимую для реализации отмены или срочного завершения его действий. Доступ к объектам следует отслеживать, чтобы определить, когда пользователь или группа пытается получить доступ к определённому ресурсу, файлу или папке.
4. Аудит администратора. Данный вид аудита используется не только для отслеживания действий администратора, но и для обнаружения неавторизованных использований административных полномочий.
-
Аудит важных файлов и папок. Данный аудит является наиболее распространенным. Кроме отслеживания простого доступа, как правило, отслеживается то, когда пользователи делают или пытаются предпринять определенные действия по отношению к объекту, такие как изменение разрешений или его присвоение. Это позволит отслеживать изменение файлов и папок и повысить их безопасность.
5. Службы контроля характеристик
Уровень обслуживания – это способность лиц, ответственных за информационные системы, постоянно поддерживать в этих системах максимальный уровень готовности и максимальное время наработки на отказ. Во многих фирмах уровень обслуживания понимают как гарантию и контроль качества ИС. Для обеспечения высокого уровня обслуживания необходимо, чтобы специалисты ИС постоянно следили за всей системой. Это необходимо для того, чтобы не пропустить сигналы о неполадках в ее работе. Обнаружение неполадок – это определение или прогнозирование тех мест в системе, где происходят отказы. В случае выявления отказа все усилия идут на выполнение аварийно-восстановительных работ. Согласно исследованиям фирмы Forrester Research на обнаружение неполадок используется около 40 % информационных ресурсов. Кроме того, 20 % ресурсов, имеющихся в распоряжении сотрудника, отвечающего за ИС, уходит на управление производительностью системы.
Разобраться в мониторинге производительности помогут три основных понятия: пропускная способность, очереди и время ответа.
Пропускная способность – это количество работы, сделанной в единицу времени. Пропускная способность возрастает, когда возрастает количество компонентов или уменьшается время выполнения задания. Пропускная способность зависит от ресурсов. Примерами ресурсов являются время и свободное пространство. Участок с самой медленной работой определяет пропускную способность всей системы. Пропускная способность является показателем производительности.
Очередь. Очереди образуются, если запросы на ресурсы неравномерно распределены во времени. Когда образуется очередь, считают, что образуется “узкое место”. Поиск узких мест в системе является главным в мониторинге производительности и выявлении неисправности, а также в обнаружении неполадок. Если узких мест нет, то систему можно считать здоровой. Но не исключается возможность скорого появления каких–либо узких мест.
Когда в компьютерных системах образуются очереди и узкие места, эти системы уже ни на что не реагируют. Новые запросы на ресурсы процессоров и дисков застопориваются. Когда не удовлетворяются запросы на какие–либо службы, работа информационной системы начинает разваливаться.
Время ответа – это количество времени, прошедшего между началом события (например, запросом на чтение) и ответом системы на него. При увеличении нагрузки на систему время ответа будет расти, потому что система реагирует на другие события и у нее недостаточно ресурсов для того, чтобы обработать новые запросы. Время ответа обычно находят, разделив длину очереди на пропускную способность ресурса.