Главная страница
Навигация по странице:

  • Структурная схема терминов

    		•

    Практическая работа. Курс лекций. Раздел Информационная безопасность и уровни ее обеспечения 5 Тема Понятие "информационная безопасность" 6 1 Введение 6 1 Проблема информационной безопасности общества 7


    Скачать 1.23 Mb.
    НазваниеКурс лекций. Раздел Информационная безопасность и уровни ее обеспечения 5 Тема Понятие "информационная безопасность" 6 1 Введение 6 1 Проблема информационной безопасности общества 7
    АнкорПрактическая работа
    Дата13.01.2023
    Размер1.23 Mb.
    Формат файлаdoc
    Имя файла00056e9a-2e927fae.doc
    ТипКурс лекций
    #885554
    страница20 из 22
    1   ...   14   15   16   17   18   19   20   21   22

    Тема 4.4. Регистрация и аудит

    4.4.1. Введение


    Цели изучения темы

    • изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.

    Требования к знаниям и умениям

    Студент должен знать:

    • защитные свойства механизма регистрации и аудита;

    • методы аудита безопасности информационных систем.

    Студент должен уметь:

    • использовать механизмы регистрации и аудита для анализа защищенности системы.

    Ключевой термин

    Ключевой термин: регистрация.

    Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.

    Ключевой термин: аудит.

    Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

    Второстепенные термины

    • подотчетность системы безопасности;

    • регистрационный журнал;

    • подозрительная активность.

    Структурная схема терминов


    4.4.2. Определение и содержание регистрации и аудита информационных систем


    Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:

    • вход и выход субъектов доступа;

    • запуск и завершение программ;

    • выдача печатных документов;

    • попытки доступа к защищаемым ресурсам;

    • изменение полномочий субъектов доступа;

    • изменение статуса объектов доступа и т. д.

    Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".

    Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.

    Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

    Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:

    • обеспечение подотчетности пользователей и администраторов;

    • обеспечение возможности реконструкции последовательности событий;

    • обнаружение попыток нарушений информационной безопасности;

    • предоставление информации для выявления и анализа проблем.

    Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.

    Практическими средствами регистрации и аудита являются:

    • различные системные утилиты и прикладные программы;

    • регистрационный (системный или контрольный) журнал.

    Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

    Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.

    Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1.

    Рисунок 4.4.1.



    Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.

    Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).

    Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.

    4.4.3. Этапы регистрации и методы аудита событий информационной системы


    Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:

    1. Сбор и хранение информации о событиях.

    2. Защита содержимого журнала регистрации.

    3. Анализ содержимого журнала регистрации.

    На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.

    Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.

    Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.

    Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.

    Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.

    4.4.4. Выводы по теме


    1. Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей.

    2. Механизм регистрации основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.

    3. Аудит системных событий – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день).

    4. Механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.

    5. Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.

    6. Регистрация событий, связанных с безопасностью информационной системы, включает как минимум три этапа: сбор и хранение информации о событиях, защита содержимого журнала регистрации и анализ содержимого журнала регистрации.

    7. Методы аудита могут быть статистические и эвристические.

    8. Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".

    4.4.5. Вопросы для самоконтроля


    1. На чем основан механизм регистрации?

    2. Какие события, связанные с безопасностью, подлежат регистрации?

    3. Чем отличаются механизмы регистрации и аудита?

    4. Дайте определение аудита событий информационной системы.

    5. Что относится к средствам регистрации и аудита?

    6. Что такое регистрационный журнал? Его форма.

    7. Что понимается под подозрительной активностью?

    8. Какие этапы предусматривают механизмы регистрации и аудита?

    9. Охарактеризуйте известные методы аудита безопасности информационных систем.

    4.4.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)


    Основные:

    1. Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.

    2. Грязнов Е., Панасенко С. Безопасность локальных сетей – Электрон. журнал "Мир и безопасность" №2, 2003. – Режим доступа к журн.: www.daily.sec.ru.

    3. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

    4. Медведовский И. Д., Семьянов П. В., Леонов Д. Г., Лукацкий А. В. Атака из Internet. – М.: Солон-Р, 2002.

    5. Карпов Е. А., Котенко И. В., Котухов М. М., Марков А. С., Парр Г. А., Рунеев А. Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей / Под редакцией И. В. Котенко. – СПб.: ВУС, 2000.

    6. www.jetinfo.ru.
    1   ...   14   15   16   17   18   19   20   21   22

    написать администратору сайта