Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
основи Інформаційної безпеки 2.doc
Скачиваний:
26
Добавлен:
01.05.2019
Размер:
1.13 Mб
Скачать

9.1. Протоколювання й аудит. Основні поняття

Під протоколюванням розуміється збір і нагромадження інформації про події, що відбуваються в інформаційній системі. У кожного сервісу свій набір можливих подій, але в кожному разі їх можна розділити на зовнішні (викликані діями інших сервісів), внутрішні (викликані діями самого сервісу) і клієнтські (викликані діями користувачів й адміністраторів).

Аудит - це аналіз накопиченої інформації, проведений оперативно, у реальному часі або періодично (наприклад, раз на день). Оперативний аудит з автоматичним реагуванням на виявлені позаштатні ситуації називається активним.

Реалізація протоколювання й аудиту вирішує наступні завдання:

  • забезпечення підзвітності користувачів й адміністраторів;

  • забезпечення можливості реконструкції послідовності подій;

  • виявлення спроб порушень інформаційної безпеки;

  • надання інформації для виявлення й аналізу проблем. Протоколювання вимагає для своєї реалізації здорового глузду. Які події

реєструвати? З яким ступенем деталізації? На подібні питання неможливо дати універсальні відповіді. Необхідно стежити за тим, щоб, з одного боку, досягалися перераховані вище завдання, а, з іншого, витрата ресурсів залишилася в межах припустимого. Занадто велике або докладне протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але й ускладнює аудит, тобто не збільшує, а зменшує інформаційну безпеку.

Розумний підхід до згаданих питань стосовно операційних систем пропонується в "Помаранчевій книзі", де виділені наступні події:

  • вхід у систему (успішний чи ні);

  • вихід із системи;

  • звертання до вилученої системи;

  • операції з файлами (відкрити, закрити, перейменувати, видалити);

* зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня благонадійності користувача й т.п.).

При протоколюванні події рекомендується записувати, принаймні, наступну інформацію:

  • дата й час події;

  • унікальний ідентифікатор користувача - ініціатора дії;

тип події;

  • результат дії (успіх або невдача);

  • джерело запиту (наприклад, ім'я термінала);

  • імена порушених об'єктів (наприклад, відкритих або видалених файлів);

  • опис змін, внесених у бази даних захисту (наприклад, нова мітка безпеки об'єкта).

Ще одне важливе поняття, що фігурує в "Помаранчевій книзі", вибіркове протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.

Характерна риса протоколювання й аудиту - залежність від інших засобів безпеки. Ідентифікація й аутентифікація слугують відправною крапкою підзвітності користувачів, логічне керування доступом захищає конфіденційність і цілісність реєстраційної інформації. Можливо, для захисту залучаються й криптографічні методи.

Повертаючись до цілей протоколювання й аудиту, відзначимо, що забезпечення підзвітності важливо в першу чергу як стримуючий засіб. Якщо користувачі й адміністратори знають, що всі їхні дії фіксуються, вони, можливо, утримаються від незаконних операцій. Очевидно, якщо є підстави підозрювати якого-небудь користувача в нечесності, можна реєструвати всі його дії, аж до кожного натискання клавіші. При цьому забезпечується не тільки можливість розслідування випадків порушення режиму безпеки, але й виявлення некоректних змін (якщо в протоколі присутні дані до й після модифікації). Тим самим захищається цілісність інформації.

Реконструкція послідовності подій дозволяє виявити слабкість у захисті сервісів, знайти винуватця вторгнення, оцінити масштаби заподіяного збитку й повернутися до нормальної роботи.

Виявлення спроб порушень інформаційної безпеки - функція активного аудиту, про яку піде мова в наступному розділі. Звичайний аудит дозволяє виявити подібні спроби із запізненням, але й це виявляється корисним. У свій час вияв німецьких хакерів, що діяли за замовленням КДБ, почалася з виявлення підозрілої розбіжності в кілька центів у щоденному звіті великого обчислювального центру.

Виявлення й аналіз проблем можуть допомогти поліпшити такий параметр безпеки, як доступність. Виявивши вузькі місця, можна спробувати переконфігурувати або переналаштувати систему, знову виміряти продуктивність і т.д.

Непросто здійснити організацію погодженого протоколювання й аудиту в розподіленій різнорідній системі. По-перше, деякі компоненти, важливі для безпеки (наприклад, маршрутизатори), можуть не мати своїх ресурсів протоколювання; у такому випадку їх потрібно екранувати іншими сервісами, які візьмуть протоколювання на себе. По-друге, необхідно погоджувати між собою події в різних сервісах.