Интерактивное оповещение аудиторов

Политика аудита

Политика аудита - это совокупность правил, определяющих то, ка­кие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обя­зательно регистрироваться следующие события:

- попытки входа/выхода пользователей из системы;

- попытки изменения списка пользователей;

- попытки изменения политики безопасности, в том числе и политики
аудита.

При определении политики аудита не следует ограничиваться реги­страцией событий из перечисленных классов. Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов. При этом политика аудита в значи­тельной мере определяется спецификой информации, хранимой и обраба­тываемой в операционной системе, и дать какие-либо рекомендации, не зная этой специфики, невозможно.

При выборе оптимальной политики аудита следует учитывать ожи­даемую скорость заполнения журнала аудита. Если политика аудита пре­дусматривает регистрацию слишком большого числа событий, это не толь­ко не повышает защищенность операционной системы, но, наоборот, сни­жает ее. Если новые записи добавляются в журнал аудита слишком часто, аудиторам будет трудно выделить в огромном объеме малоценной ин­формации те события, которые на самом деле представляют угрозу безо­пасности системы. Кроме того, чем быстрее заполняется журнал аудита, тем чаще его нужно очищать и тем больше вероятность временного выхода из строя операционной системы из-за переполнения журнала аудита.

Политику аудита не следует рассматривать как нечто неизменное, заданное раз и навсегда. Политика аудита должна оперативно реагиро­вать на изменения в конфигурации операционной системы, в характере хранимой и обрабатываемой информации, и особенно на выявленные по­пытки атаки операционной системы. Если, например, с помощью аудита было обнаружено, что имела место попытка преодолеть защиту операци­онной системы, но основные принципы реализации этой атаки остались неясными, целесообразно изменить политику аудита таким образом, что­бы при дальнейших попытках осуществлять аналогичные атаки аудиторы получали более подробную информацию.

В целом политика аудита - это своего рода искусство, и выбор оп­тимальной политики в значительной мере определяется опытом и интуи­цией аудитора.

В некоторых операционных системах подсистема аудита помимо записи информации о зарегистрированных событиях в специальный жур­нал предусматривает возможность интерактивного оповещения аудиторов об этих событиях. Когда аудитор начинает работу с операционной систе­мой одного из компьютеров сети, операционные системы других компью­теров получают соответствующие сообщения, после чего при каждой реги­страции события в журнале аудита одного из компьютеров сети копия ин­формации об этом событии передается на терминал, с которым работает аудитор.

Класс событий, регистрируемых в журнале аудита, не обязательно должен совпадать с классом событий, информация о которых передается аудиторам интерактивно. Целесообразно так организовать интерактивное оповещение аудиторов, чтобы аудиторы получали оповещение только о наиболее важных событиях - в противном случае аудиторам будет трудно выделить в сплошном потоке сообщений по-настоящему полезную ин­формацию.

Данная дополнительная функция подсистемы аудита позволяет ау­диторам более оперативно реагировать на попытки преодоления зло­умышленниками защиты операционной системы и тем самым повышает общую защищенность системы. С другой стороны, техническая реализа­ция этой функции весьма трудоемка, из-за чего интерактивное оповеще­ние аудиторов пока применяется редко.

Дата добавления: 2014-01-07; Просмотров: 369; Нарушение авторских прав?; Мы поможем в написании вашей работы!