Структура автоматизированного управления средствами вычислительной техники. Цели изучения темы

^

Тема 4.4. Регистрация и аудит

4.4.

Цели изучения темы

• 
  

Студент должен знать:

• 
  
• 
  методы аудита безопасности информационных систем .

Студент должен уметь:

• 
  

^ Ключевой термин

Ключевой термин: регистрация.

Ключевой термин: аудит.

Второстепенные термины

• 
  
• 
  регистрационный журнал;
• 
  подозрительная активность.

Структурная схема терминов

^

Тема 4.4. Регистрация и аудит

4.4.1. Введение

Цели изучения темы

• 
  изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.

Требования к знаниям и умениям

Студент должен знать:

• 
  защитные свойства механизма регистрации и аудита;
• 
  методы аудита систем.

Студент должен уметь:

• 
  использовать механизмы регистрации и аудита для анализа защищенности системы.

^ Ключевой термин

Ключевой термин: регистрация.

Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.

Ключевой термин: аудит.

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

Второстепенные термины

• 
  подотчетность системы безопасности;
• 
  регистрационный журнал;
• 
  подозрительная активность.

Структурная схема терминов

^

4.4.2. Определение и содержание регистрации и аудита информационных систем

Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:

• 
  вход и выход субъектов доступа;
• 
  запуск и завершение программ;
• 
  выдача печатных документов;
• 
  попытки доступа к защищаемым ресурсам;
• 
  изменение полномочий субъектов доступа;
• 
  изменение статуса объектов доступа и т. д.

Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.

Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:

• 
  обеспечение подотчетности пользователей и администраторов;
• 
  обеспечение возможности реконструкции последовательности событий;
• 
  обнаружение попыток нарушений информационной безопасности ;
• 
  предоставление информации для выявления и анализа проблем.

Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.

Практическими средствами регистрации и аудита являются:

• 
  различные системные утилиты и прикладные программы;
• 
  регистрационный (системный или контрольный) журнал.

Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

^ Регистрационный журнал

Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1 .

Рисунок 4.4.1.

Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).

Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.
^

4.4.3. Этапы регистрации и методы аудита событий информационной системы

Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:

1. 
   Сбор и хранение информации о событиях.
2. 
   Защита содержимого журнала регистрации.
3. 
   Анализ содержимого журнала регистрации.

На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.

Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.

Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.

^ Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.

^ Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.
^

4.4.4. Выводы по теме

1. 
   Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей.
2. 
   Механизм регистрации основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
3. 
   Аудит системных событий – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день).
4. 
   Механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
5. 
   ^ Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
6. 
   Регистрация событий, связанных с безопасностью информационной системы, включает как минимум три этапа: сбор и хранение информации о событиях, защита содержимого журнала регистрации и анализ содержимого журнала регистрации.
7. 
   Методы аудита могут быть статистические и эвристические.
8. 
   Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".

^

4.4.5. Вопросы для самоконтроля

1. 
   На чем основан механизм регистрации?
2. 
   Какие события, связанные с безопасностью, подлежат регистрации?
3. 
   Чем отличаются механизмы регистрации и аудита?
4. 
   Дайте определение аудита событий информационной системы.
5. 
   Что относится к средствам регистрации и аудита?
6. 
   Что такое регистрационный журнал? Его форма.
7. 
   Что понимается под подозрительной активностью?
8. 
   Какие этапы предусматривают механизмы регистрации и аудита?
9. 
   Охарактеризуйте известные методы аудита безопасности информационных систем.

^

4.4.6. Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Основные:

1. 
   Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет

Регистрация и аудит

Наименование параметра	Значение
Тема статьи:	Регистрация и аудит
Рубрика (тематическая категория)	Государство

Регистрация представляет собой механизм системы ОБИ, фиксирующий всœе события, касающиеся безопасности (вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытка доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т.д.). Важно заметить, что для сертифицируемых по безопасности АС список контролируемых событий определœен рабочим документом Гостехкомиссии РФ . Эффективность системы ОБИ значительно повышается в случае дополнения регистрации аудитом – анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, оценивать работу пользователœей и т.д.

Реализация механизма регистрации и аудита направлена на достижение следующих целœей : обеспечение подотчетности пользователœей и администраторов; обеспечение возможности реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем. Вместе с тем, механизм регистрации и аудита является психологическим средством, напоминающим потенциальным нарушителям о неотвратимости возмездия за проступки и оплошности.

К практическим средствам регистрации и аудита относятся: 1) различные системные утилиты и прикладные программы; 2) регистрационный (системный или контрольный) журнал. Первая разновидность средств служит для мониторинга событий, происходящих в АС, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала. Регистрационный журнал - ϶ᴛᴏ хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности выполнения в системе различных операций, процедур или совершения событий. Типовая запись регистрационного журнала представлена на рис.8.3.

Рис.8.3. Типовая запись регистрационного журнала

Схема функционирования подсистемы регистрации в рамках сетевого фильтра системы проиллюстрирована на рис.8.4.

Процесс ведения регистрационного журнала состоит из четырех этапов: 1) сбор и хранение данных; 2) защита; 3) интеграция; 4) анализ.

На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.

Регистрация и аудит - понятие и виды. Классификация и особенности категории "Регистрация и аудит" 2017, 2018.

Рисунок 4.4.1.

Определение и содержание регистрации и аудита информационных систем

Структурная схема терминов

Второстепенные термины

Ключевой термин

Цели изучения темы

Введение

Тема 4.4. Регистрация и аудит

Структурная схема терминов

Второстепенные термины

Ключевой термин

Требования к знаниям и умениям

Цели изучения темы

Введение

Студент должен знать:

Студент должен уметь:

Ключевой термин: регистрация.

Ключевой термин: аудит.

· регистрационный журнал;

· подозрительная активность.

· изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.

Студент должен знать:

· защитные свойства механизма регистрации и аудита;

· методы аудита безопасности информационных систем.

Студент должен уметь:

· использовать механизмы регистрации и аудита для анализа защищенности системы.

Ключевой термин: регистрация.

Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.

Ключевой термин: аудит.

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

· подотчетность системы безопасности;

· регистрационный журнал;

· подозрительная активность.

Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:

· вход и выход субъектов доступа;

· запуск и завершение программ;

· выдача печатных документов;

· попытки доступа к защищаемым ресурсам;

· изменение полномочий субъектов доступа;

· изменение статуса объектов доступа и т. д.

Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".

Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.

Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.

Практическими средствами регистрации и аудита являются:

· различные системные утилиты и прикладные программы;

· регистрационный (системный или контрольный) журнал.

Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.

Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1.

Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).

Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.

Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:

1. Сбор и хранение информации о событиях.

2. Защита содержимого журнала регистрации.

3. Анализ содержимого журнала регистрации.

На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.

Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.

Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.

Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.

Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.

Вопросы для самоконтроля

Выводы по теме

Мандатное и дискретное управление доступом

В ГОСТе Р 50739-95 . и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:

· дискретное управление доступом;

· мандатное управление доступом.

Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.

При внимательном рассмотрении можно заметить, что дискретное управление доступом есть ничто иное, как произвольное управление доступом (по "Оранжевой книге США"), а мандатное управление реализует принудительное управление доступом.

1. Определение полномочий (совокупность прав) субъекта для последующего контроля санкционированного использования им объектов информационной системы осуществляется после выполнения идентификации и аутентификации подсистема защиты.

2. Существуют следующие методы разграничения доступа:

· разграничение доступа по спискам;

· использование матрицы установления полномочий;

· разграничение доступа по уровням секретности и категориям;

· парольное разграничение доступа.

3. При разграничении доступа по спискам задаются соответствия: каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.

4. Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы.

5. При разграничении по уровню секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.

6. Парольное разграничение основано на использовании пароля доступа субъектов к объектам.

7. В ГОСТе Р 50739-95 "Средства вычислительной техники . Защита от несанкционированного доступа к информации" и в документах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа: дискретное управление доступом и мандатное управление доступом.

8. Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами.

9. Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности.

1. Перечислите известные методы разграничения доступа.

2. В чем заключается разграничение доступа по спискам?

3. Как используется матрица разграничения доступа?

4. Опишите механизм разграничения доступа по уровням секретности и категориям.

5. Какие методы управления доступа предусмотрены в руководящих документах Гостехкомиссии?

6. Поясните механизм дискретного управления доступом?

7. Сравните дискретное и мандатное управление доступом.

Основные:

1. Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.

2. Грязнов Е., Панасенко С. Безопасность локальных сетей – Электрон. журнал "Мир и безопасность" № 2, 2003. – Режим доступа к журн.: www.daily.sec.ru .

3. Котухов М. М., Марков А. С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998.

4. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

Регистрация представляет собой механизм подотчетности системы ОБИ, фиксирующий все события, касающиеся безопасности, такие как: вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытки доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т. д. Эффективность системы ОБИ принципиально повышается в случае дополнения регистрации аудитом – анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.

Реализация механизма регистрации и аудита преследует следующие цели:

Обеспечение подотчетности пользователей и администраторов;

Обеспечение возможности реконструкции последовательности событий;

Обнаружение попыток нарушений информационной безопасности;

Предоставление информации для выявления и анализа проблем.

Кроме того, механизм регистрации и аудита является психологическим средством, напоминающим потенциальным нарушителям о неотвратимости возмездия за проступки и оплошности.

Практическими средствами регистрации и аудита могут быть следующие:

Различные системные утилиты и прикладные программы,

Регистрационный (системный или контрольный) журнал (audit trail).

Первое средство является обычно дополнением к мониторингу, осуществляемому администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата. Типовая запись регистрационного журнала представлена на рис. 2.11.

Терминал

Пользователь

Результат

Рис. 2.11. Типовая запись регистрационного журнала

Процесс ведения регистрационного журнала состоит из четырех этапов:

1. Сбор и хранение;

2. Защита;

3. Интеграция;

4. Анализ.

На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.

Регистрируемые данные должны быть защищены, в первую очередь от несанкционированной модификации и, возможно, раскрытия. Дополнительные требования по безопасности определяются концентрацией информации обо всей АС, множеством сегментов АС с различными уровнями доступа, разницей зон административной ответственности и др.

Этап интеграции необходим для объединения и согласования форматов регистрируемых данных из различных систем. Некоторые системы не имеют механизмов контроля и регистрации данных. Возможно, здесь придется разработать программы дополнительного контроля данных и программы трансформации данных в единый формат.

Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления НСД.

Статистические методы. Здесь накапливаются среднестатистические параметры функционирования подсистем (исторический профиль трафика) и сравниваются с текущими. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз. Например, так выявляются: сбои в работе сервера из-за лавинного потока запросов (queue storm), быстро распространяемый компьютерный вирус, нарушитель, маскирующийся под легального пользователя, но ведущий себя иначе («маскарад») и др.

Эвристические методы. В данном случае в логических правилах системы поддержки принятия решений закодированы известные сценарии НСД, характеристики наблюдаемой системы, сигнализирующие о нарушениях, или модели действий, по совокупности приводящие к НСД. Понятно, что данные методы идентифицируют только известные угрозы, определенные в базе знаний системы поддержки принятия решений.