Структура автоматизированного управления средствами вычислительной техники. Цели изучения темы
Тема 4.4. Регистрация и аудит
4.4.
Цели изучения темы
Студент должен знать:
методы аудита безопасности информационных систем .
Ключевой термин: регистрация.
Ключевой термин: аудит.
Второстепенные термины
регистрационный журнал;
подозрительная активность.
^
Тема 4.4. Регистрация и аудит
4.4.1. Введение
Цели изучения темы
изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.
Студент должен знать:
защитные свойства механизма регистрации и аудита;
методы аудита систем.
использовать механизмы регистрации и аудита для анализа защищенности системы.
Ключевой термин: регистрация.
Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
Ключевой термин: аудит.
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Второстепенные термины
подотчетность системы безопасности;
регистрационный журнал;
подозрительная активность.
^
4.4.2. Определение и содержание регистрации и аудита информационных систем
Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:
вход и выход субъектов доступа;
запуск и завершение программ;
выдача печатных документов;
попытки доступа к защищаемым ресурсам;
изменение полномочий субъектов доступа;
изменение статуса объектов доступа и т. д.
Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:
обеспечение подотчетности пользователей и администраторов;
обеспечение возможности реконструкции последовательности событий;
обнаружение попыток нарушений информационной безопасности ;
предоставление информации для выявления и анализа проблем.
Практическими средствами регистрации и аудита являются:
различные системные утилиты и прикладные программы;
регистрационный (системный или контрольный) журнал.
^ Регистрационный журнал
Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1 .
Рисунок 4.4.1.
Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).
Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.
^
4.4.3. Этапы регистрации и методы аудита событий информационной системы
Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:
Сбор и хранение информации о событиях.
Защита содержимого журнала регистрации.
Анализ содержимого журнала регистрации.
Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.
^ Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.
^
Эвристические методы
используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.
^
4.4.4. Выводы по теме
Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей.
Механизм регистрации основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
Аудит системных событий – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день).
Механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
^ Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
Регистрация событий, связанных с безопасностью информационной системы, включает как минимум три этапа: сбор и хранение информации о событиях, защита содержимого журнала регистрации и анализ содержимого журнала регистрации.
Методы аудита могут быть статистические и эвристические.
Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".
4.4.5. Вопросы для самоконтроля
На чем основан механизм регистрации?
Какие события, связанные с безопасностью, подлежат регистрации?
Чем отличаются механизмы регистрации и аудита?
Дайте определение аудита событий информационной системы.
Что относится к средствам регистрации и аудита?
Что такое регистрационный журнал? Его форма.
Что понимается под подозрительной активностью?
Какие этапы предусматривают механизмы регистрации и аудита?
Охарактеризуйте известные методы аудита безопасности информационных систем.
4.4.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)
Основные:
Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет
Регистрация и аудит
Наименование параметра | Значение |
Тема статьи: | Регистрация и аудит |
Рубрика (тематическая категория) | Государство |
Регистрация представляет собой механизм системы ОБИ, фиксирующий все события, касающиеся безопасности (вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытка доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т.д.). Важно заметить, что для сертифицируемых по безопасности АС список контролируемых событий определен рабочим документом Гостехкомиссии РФ . Эффективность системы ОБИ значительно повышается в случае дополнения регистрации аудитом – анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, оценивать работу пользователей и т.д.
Реализация механизма регистрации и аудита направлена на достижение следующих целей : обеспечение подотчетности пользователей и администраторов; обеспечение возможности реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем. Вместе с тем, механизм регистрации и аудита является психологическим средством, напоминающим потенциальным нарушителям о неотвратимости возмездия за проступки и оплошности.
К практическим средствам регистрации и аудита относятся: 1) различные системные утилиты и прикладные программы; 2) регистрационный (системный или контрольный) журнал. Первая разновидность средств служит для мониторинга событий, происходящих в АС, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала. Регистрационный журнал - ϶ᴛᴏ хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности выполнения в системе различных операций, процедур или совершения событий. Типовая запись регистрационного журнала представлена на рис.8.3.
Рис.8.3. Типовая запись регистрационного журнала
Схема функционирования подсистемы регистрации в рамках сетевого фильтра системы проиллюстрирована на рис.8.4.
Процесс ведения регистрационного журнала состоит из четырех этапов: 1) сбор и хранение данных; 2) защита; 3) интеграция; 4) анализ.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрация и аудит - понятие и виды. Классификация и особенности категории "Регистрация и аудит" 2017, 2018.
Рисунок 4.4.1.
Определение и содержание регистрации и аудита информационных систем
Структурная схема терминов
Второстепенные термины
Ключевой термин
Цели изучения темы
Введение
Тема 4.4. Регистрация и аудит
Структурная схема терминов
Второстепенные термины
Ключевой термин
Требования к знаниям и умениям
Цели изучения темы
Введение
Студент должен знать:
Студент должен уметь:
Ключевой термин: регистрация.
Ключевой термин: аудит.
· регистрационный журнал;
· подозрительная активность.
· изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.
Студент должен знать:
· защитные свойства механизма регистрации и аудита;
· методы аудита безопасности информационных систем.
Студент должен уметь:
· использовать механизмы регистрации и аудита для анализа защищенности системы.
Ключевой термин: регистрация.
Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
Ключевой термин: аудит.
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
· подотчетность системы безопасности;
· регистрационный журнал;
· подозрительная активность.
Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:
· вход и выход субъектов доступа;
· запуск и завершение программ;
· выдача печатных документов;
· попытки доступа к защищаемым ресурсам;
· изменение полномочий субъектов доступа;
· изменение статуса объектов доступа и т. д.
Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".
Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:
· обеспечение подотчетности пользователей и администраторов;
· обеспечение возможности реконструкции последовательности событий;
· обнаружение попыток нарушений информационной безопасности;
· предоставление информации для выявления и анализа проблем.
Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
Практическими средствами регистрации и аудита являются:
· различные системные утилиты и прикладные программы;
· регистрационный (системный или контрольный) журнал.
Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.
Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1.
Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).
Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.
Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:
1. Сбор и хранение информации о событиях.
2. Защита содержимого журнала регистрации.
3. Анализ содержимого журнала регистрации.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.
Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.
Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.
Вопросы для самоконтроля
Выводы по теме
Мандатное и дискретное управление доступом
В ГОСТе Р 50739-95 . и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:
· дискретное управление доступом;
· мандатное управление доступом.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
При внимательном рассмотрении можно заметить, что дискретное управление доступом есть ничто иное, как произвольное управление доступом (по "Оранжевой книге США"), а мандатное управление реализует принудительное управление доступом.
1. Определение полномочий (совокупность прав) субъекта для последующего контроля санкционированного использования им объектов информационной системы осуществляется после выполнения идентификации и аутентификации подсистема защиты.
2. Существуют следующие методы разграничения доступа:
· разграничение доступа по спискам;
· использование матрицы установления полномочий;
· разграничение доступа по уровням секретности и категориям;
· парольное разграничение доступа.
3. При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
4. Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы.
5. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.
6. Парольное разграничение основано на использовании пароля доступа субъектов к объектам.
7. В ГОСТе Р 50739-95 "Средства вычислительной техники . Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа: дискретное управление доступом и мандатное управление доступом.
8. Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами.
9. Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.
1. Перечислите известные методы разграничения доступа.
2. В чем заключается разграничение доступа по спискам?
3. Как используется матрица разграничения доступа?
4. Опишите механизм разграничения доступа по уровням секретности и категориям.
5. Какие методы управления доступа предусмотрены в руководящих документах Гостехкомиссии?
6. Поясните механизм дискретного управления доступом?
7. Сравните дискретное и мандатное управление доступом.
Основные:
1. Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.
2. Грязнов Е., Панасенко С. Безопасность локальных сетей – Электрон. журнал "Мир и безопасность" № 2, 2003. – Режим доступа к журн.: www.daily.sec.ru .
3. Котухов М. М., Марков А. С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998.
4. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.
Регистрация представляет собой механизм подотчетности системы ОБИ, фиксирующий все события, касающиеся безопасности, такие как: вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытки доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т. д. Эффективность системы ОБИ принципиально повышается в случае дополнения регистрации аудитом – анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Реализация механизма регистрации и аудита преследует следующие цели:
Обеспечение подотчетности пользователей и администраторов;
Обеспечение возможности реконструкции последовательности событий;
Обнаружение попыток нарушений информационной безопасности;
Предоставление информации для выявления и анализа проблем.
Кроме того, механизм регистрации и аудита является психологическим средством, напоминающим потенциальным нарушителям о неотвратимости возмездия за проступки и оплошности.
Практическими средствами регистрации и аудита могут быть следующие:
Различные системные утилиты и прикладные программы,
Регистрационный (системный или контрольный) журнал (audit trail).
Первое средство является обычно дополнением к мониторингу, осуществляемому администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.
Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата. Типовая запись регистрационного журнала представлена на рис. 2.11.
Терминал |
Пользователь |
Результат |
Рис. 2.11. Типовая запись регистрационного журнала
Процесс ведения регистрационного журнала состоит из четырех этапов:
1. Сбор и хранение;
2. Защита;
3. Интеграция;
4. Анализ.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрируемые данные должны быть защищены, в первую очередь от несанкционированной модификации и, возможно, раскрытия. Дополнительные требования по безопасности определяются концентрацией информации обо всей АС, множеством сегментов АС с различными уровнями доступа, разницей зон административной ответственности и др.
Этап интеграции необходим для объединения и согласования форматов регистрируемых данных из различных систем. Некоторые системы не имеют механизмов контроля и регистрации данных. Возможно, здесь придется разработать программы дополнительного контроля данных и программы трансформации данных в единый формат.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления НСД.
Статистические методы. Здесь накапливаются среднестатистические параметры функционирования подсистем (исторический профиль трафика) и сравниваются с текущими. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз. Например, так выявляются: сбои в работе сервера из-за лавинного потока запросов (queue storm), быстро распространяемый компьютерный вирус, нарушитель, маскирующийся под легального пользователя, но ведущий себя иначе («маскарад») и др.
Эвристические методы. В данном случае в логических правилах системы поддержки принятия решений закодированы известные сценарии НСД, характеристики наблюдаемой системы, сигнализирующие о нарушениях, или модели действий, по совокупности приводящие к НСД. Понятно, что данные методы идентифицируют только известные угрозы, определенные в базе знаний системы поддержки принятия решений.