Локальная безопасность

Аудит. Общие принципы.

Подсистемы аудита включают:

1. Средство определение политики аудита. Определив политику администратор задает перечень интересующих его событий.

2.Средство генерации сообщения аудита. Существуют специальные системные вызовы, которые используются как ядром, так и компонентами режима пользователей.

3. Средство хранения информации в журнале аудита.

Как правило, централизация в рамках отдельного компьютера или сети. При этом на узлах запускается отдельный фоновый процесс, который собирает всю информацию по сообщениям аудита.

Аккуратное несанкционированное проникновение предполагает доступ и замену информации в журнале аудита для скрытия следов проникновения.
Для защиты журнала аудита, его могут сохранять на удаленном компьютере или на альтернативном носителе.

Локальная безопасность связана с вопросами конфиденциальной безопасности в рамках отдельного узла.

Наиболее распространенный метод – шифровка данных на файловых системах.

Кроме того есть такие подходы по конфиденциальности, например использование специальных библиотек, поддержка криптосистемы непосредственно в прикладных программах.

Управление доступом к файлам на локальном узле не защищает от физического хищения носителей информации. Так хищение жесткого диска и подключение его к узлу, где злоумышленник является привилегированным пользователем, осуществляя доступ к конфиденциальной информации. Особо остро эта проблема стоит для ноутбуков. Противодействие физического хищения носителей – шифрование файлов непосредственно в файловой системе. Это осуществляется на уровне драйвера файловой системы.

Механизмы шифрования поддерживают файловой системы Unix и Windows. Под Unix-ом наиболее распространены 2 шифр. системы.: CFS и TCFS.

CFS реализовываются на уровне пользователя для отдельных файлов и каталогов. Несколько снижает скорость для доступа к данным.

TCFS – работает в режиме ядра. Обеспечивает более быстрый доступ к шифрованным данным и более высокую степень защиты. Для настройки TCFS необходимо изменять перекомпиляции ядра.

TCFS – поддерживает динамически подключаемые модули шифрования. Линия Windows NT поддерживают шифровочную систему EFS. Для этого используется специальный драйвер файловую систему, управляющий над драйвером NTFS.

EFS –гибридная криптосистема с несколькими уровнями шифрования:

1. Шифрование данных файла. Использует симметричный алгоритм. Ключ шифрования файлов генерируется случайно при каждой попытки зашифровать файл.

2. Шифрование ключа шифрование файла. Используется алгоритм с открытым ключом RSA. Каждый пользователь имеет сгенерированную пару RSA ключей. Ключ шифрования файла шифруется открытым RSA ключом и хранит в заголовке файла. Предусмотрена возможность дешифрации файла т.н. агентом восстановления (доверенное лицо) в случае потери ключа пользователем. Для этого в заголовке файла сохраняются копии ключа шифрования файла, зашифрованные открытым ключом агента восстановления.

3. Открытым ключом пользователя хранится в виде сертификата в хранилище сертификатов в домашнем каталоге пользователя на локальном узле. В этом же хранилище находятся сертификаты агента восстановления данного пользователя.

4. Закрытый ключ пользователя шифруется симметричным алгоритмом RC4 c помощью ключа, который система генерирует случайно и периодически изменяется. Этот ключ называется мастер ключ. Результат шифровки мастер ключом хранится в домашнем каталоге пользователя на локальном узле.

5. Для шифрования мастер-ключа используют симметричный алгоритм RC4 с ключом, длина которого превышает длину матер ключа. При этом используется ХЕШ – функция SH1 c использованием идентификатора безопасности пользователя и его пароля.

Дата добавления: 2013-12-12; Просмотров: 837; Нарушение авторских прав?; Мы поможем в написании вашей работы!