КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов). К числу регистрируемых событий относятся: - вход в систему; - выход из системы; - обращение к удаленным системам; - операции с файлами; - смена привилегий или иных атрибутов безопасности. Полный перечень событий, потенциально подлежащих регистрации, зависит от специфики системы и избранной политики безопасности. Перечислим информацию, которую нужно регистрировать: - дату и время; - ID пользователя; - тип события (вход, выход); - результат действия (успех или неудача); - источник запроса; - имена затронутых объектов; - запись изменений в БД защиты; - метки безопасности. Аудит - это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени, или периодически (например, раз в день). Реализация протоколирования и аудита преследует следующие главные цели: 1. Обеспечение подотчетности пользователей и администраторов. Обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации. 2. Обеспечение возможности реконструкции последовательности событий. Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе. 3. Обнаружение попыток нарушений информационной безопасности. Обнаружение попыток нарушений информационной безопасности - тема сложная, требующая, вообще говоря, привлечения методов искусственного интеллекта. Как выявлять подозрительные события? Иногда это легко (что может быть подозрительнее последовательности неудачных входов в систему?), иногда сложно (некто больше обычного пользуется модемом, чтобы передать за пределы организации конфиденциальную информацию). В любом случае, организуя оперативный или периодический аудит, следует сформулировать для себя или для программы критерии отбора записей, требующих детального анализа. При правильной постановке подобная деятельность может существенно усилить защиту. 4. Предоставление информации для выявления и анализа проблем. Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д. Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой стороны, расход ресурсов не выходил за разумные рамки. Слишком обширное или детальное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность. Еще одна особенность протоколирования и аудита - зависимость от других средств безопасности. Идентификация и аутентификация служит отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы. Трудной проблемой является организация согласованного протоколирования и аудита в распределенной разнородной системе. Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирование на себя. Во-вторых, необходимо увязывать между собой события в разных сервисах. Без импорта регистрационной информации в базу данных и применения SQL-средств это не представляется возможным.
Дата добавления: 2014-01-06; Просмотров: 1717; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |