КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Требования к аудиту
|
|
|
|
Тема 4. Аудит ОС
4.1. Понятие аудита. Требования к подсистеме аудита
Процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами.
Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами.
1. Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. Например, то, что пользователь в процессе входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же имело место на самом деле - ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз - это явная ошибка. Если же пользователь пытался угадать собственный пароль 20 -30 раз - это явная попытка подбора пароля.
2. Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Журнал аудита дает такую возможность, накапливая информацию о важных событиях, связанных с безопасностью системы.
3. Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе подсистемы аудита не исключено, что вся необходимая информация содержится в журнале аудита.
|
|
|
Большинство экспертов по компьютерной безопасности сходятся во мнении, что привилегия работать с подсистемой аудита не должна предоставляться администраторам операционной системы. Другими словами, множество администраторов и множество аудиторов не должны пересекаться. При этом создается ситуация, когда администратор не может выполнять несанкционированные действия без того, чтобы это тут же не стало известно аудиторам, что существенно повышает защищенность системы от несанкционированных действий администраторов.
Подсистема аудита операционной системы должна удовлетворять следующим требованиям.
1. Только сама операционная система может добавлять записи в журнал аудита. Если предоставить это право какому-то физическому пользователю, этот пользователь получит возможность компрометировать других пользователей, добавляя в журнал аудита соответствующие записи.
2. Ни один субъект доступа, в том числе и сама операционная система, не имеет возможности редактировать или удалять отдельные записи в журнале аудита.
3. Только пользователи-аудиторы, обладающие, соответствующей привилегией, могут просматривать журнал аудита.
4. Только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Операционная система должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.
5. При переполнении журнала аудита операционная система аварийно завершает работу ("зависает"). После перезагрузки работать с системой могут только аудиторы. Операционная система переходит к обычному режиму работы только после очистки журнала аудита.
|
|
|
Для ограничения доступа пользователей к журналу аудита недостаточно использования обычных средств разграничения доступа. Дело в том, что в подавляющем большинстве операционных систем администраторы, используя свои привилегии, могут прочитать и изменить содержимое любого файла операционной системы. Поэтому для ограничения доступа к журналу аудита должны применяться специальные средства защиты.
Хотя операционные системы не требуют обязательного сохранения журнала аудита перед очисткой, это желательно делать. Наиболее удобно сохранять старые журналы аудита на WORM-дисках, поскольку эти диски допускают только однократную запись информации, и информация, записанная на такой диск, может быть стерта только при физическом повреждении диска.
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 2208; Нарушение авторских прав?; Мы поможем в написании вашей работы!