Open Library - открытая библиотека учебной информации

Открытая библиотека для школьников и студентов. Лекции, конспекты и учебные материалы по всем научным направлениям.

Категории

Архитектура Протоколирование и аудит
просмотров - 378

Под протоколированиемпринято понимать сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователœей и администраторов). К числу регистрируемых событий относятся:

- вход в систему;

- выход из системы;

- обращение к удаленным системам;

- операции с файлами;

- смена привилегий или иных атрибутов безопасности.

Полный перечень событий, потенциально подлежащих регистрации, зависит от специфики системы и избранной политики безопасности.

Перечислим информацию, которую нужно регистрировать:

- дату и время;

- ID пользователя;

- тип события (вход, выход);

- результат действия (успех или неудача);

- источник запроса;

- имена затронутых объектов;

- запись изменений в БД защиты;

- метки безопасности.

Аудит - это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени, или периодически (к примеру, раз в день).

Реализация протоколирования и аудита преследует следующие главные цели:

1.Обеспечение подотчетности пользователœей и администраторов. Обеспечение подотчетности важно в первую очередь как средство сдерживания. В случае если пользователи и администраторы знают, что всœе их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

2.Обеспечение возможности реконструкции последовательности событий. Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причинœенного ущерба и вернуться к нормальной работе.

3.Обнаружение попыток нарушений информационной безопасности. Обнаружение попыток нарушений информационной безопасности - тема сложная, требующая, вообще говоря, привлечения методов искусственного интеллекта. Как выявлять подозрительные события? Иногда это легко (что может быть подозрительнее последовательности неудачных входов в систему?), иногда сложно (некто больше обычного пользуется модемом, чтобы передать за пределы организации конфиденциальную информацию). В любом случае, организуя оперативный или периодический аудит, следует сформулировать для себя или для программы критерии отбора записей, требующих детального анализа. При правильной постановке подобная деятельность может существенно усилить защиту.

4.Предоставление информации для выявления и анализа проблем. Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места͵ можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой стороны, расход ресурсов не выходил за разумные рамки. Слишком обширное или детальное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

Еще одна особенность протоколирования и аудита - зависимость от других средств безопасности. Идентификация и аутентификация служит отправной точкой подотчетности пользователœей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

Трудной проблемой является организация согласованного протоколирования и аудита в распределœенной разнородной системе.

В первую очередь, некоторые компоненты, важные для безопасности (к примеру, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирование на себя.

Во-вторых, крайне важно увязывать между собой события в разных сервисах. Без импорта регистрационной информации в базу данных и применения SQL-средств это не представляется возможным.