Мониторинг функционирования ис
Мониторинг системы получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля. Такими средствами могут быть различные системные утилиты или прикладные программы, выводящие информацию непосредственно на системную консоль или другое определенное для этой цели устройство. Отличительная особенность мониторинга — получение и анализ информации, осуществляемые в реальном времени.
Приведем перечень ситуаций возможного нарушения защиты, информацию о которых можно получить с помощью мониторинга:
в списке пользователей упомянуты такие, которые не должны в настоящее время работать в системе;
неожиданные события при загрузке системы;
нарушения физической защиты — неработоспособны или утеряны носители информации;
изменения в списке пользователей, допущенных к защищенным файлам;
появление в системных библиотеках выполняемых модулей, которые не были проверены;
обнаружение выполнения неизвестных программ при контроле системы;
добавление неизвестных имен к списку привилегированных пользователей;
в ИС обнаружены неизвестные устройства;
изменение характера работы пользователей.
Этот список может быть дополнен еще множеством других ситуаций. Для каждой ИС такой список индивидуален. Здесь приведены лишь наиболее часто встречающиеся ситуации, которые могут сигнализи-ровать об угрозе. Появление каждой из них должно быть тщательно и своевременно проанализировано во избежание потенциальной опасности.
Кроме того, средства контроля, как правило, фиксируют сведения о прошедшем событии. Например, большинство систем имеет средства протоколирования сеансов работы отдельных пользователей. Отчеты об этом помогут обнаружить:
неизвестные имена пользователей;
настораживающие характеристики сеансов — неурочные часы или дни работы, например чрезмерное использование ресурсов системы; источники некорректных входов в систему, узлы сети, удаленные терминалы и др.
Одним из основных средств контроля является системный журнал, способствующий предотвращению возможных нарушений.
В журнале оперативно фиксируются происходящие в системе события, например:
вводимые команды и имена выполняемых программ;
доступ к определенным наборам данных или устройствам и его параметры;
вход/выход пользователей из системы;
имя терминала или другого устройства, с которого был осуществлен ввод команды или запуск программы;
другие события.
Естественно, с помощью одного системного журнала не всегда удается определить источник нарушения, однако он, несомненно, позволяет значительно сузить круг подозреваемых.
Мониторинг функционирования системы и системный журнал дают умелому администратору мощное средство слежения за функциони-рованием системы. Однако изобилие информации, поступающее в результате мониторинга и анализа системного журнала, может быть эффективно обработано лишь при наличии у администратора специальных средств работы с этой информацией.
Устранение нарушений
Используя информацию, поступающую от пользователей, на основе мониторинга и записей системного журнала, оператор системы должен своевременно обнаруживать нарушения и предпринимать меры по их локализации и устранению. Если его знаний или полномочий недостаточно, такую работу выполняет администратор безопасности.
В случае установления попытки или факта проникновения в систему администратор безопасности или оператор обязан предпринять следующие меры:
локализовать нарушение;
установить личность нарушителя;
предотвратить дальнейшие нарушения;
попытаться устранить последствия нарушения.
Установить личность нарушителя очень просто с помощью соответствующего вида контроля, если он является пользователем данного узла сети. В этом случае имя нарушителя фиксируется в системном журнале вместе с характеристиками нарушения. Далее следуют организационные выводы.
Если нарушитель является пользователем другого узла сети, свои действия необходимо согласовывать с администратором защиты этого узла. Дело в том, что системный журнал данного узла может зафиксировать только точку входа в систему и характеристики входа. Так, если проникновение произошло с удаленного узла, то системный журнал зафиксирует только его имя. С помощью другой информации можно проследить вход в лучшем случае до соседнего узла, т.е. установить имя его пользователя, осуществившего вход на данный узел.
Установление нарушителя, осуществившего проникновение издалека с помощью сети, задача сложная и порой неразрешимая. Даже если удастся определить имя нарушителя, то, во-первых, сложно установить, кто скрывается за ним, а во-вторых, наказать его. Последняя задача иногда вообще нереальна. Он может находиться в другой организации, другом городе или за границей. Такие методы применяются лишь в самых крайних случаях, поскольку требуют много времени (до месяца и более), труда, привлечения дополнительных специалистов и, следовательно, денежных средств.
Всегда предпочтительнее использовать превентивные меры, чем потом тратить время и деньги на поиск нарушителя (а поиск может и не увенчаться успехом). Единственный надежный способ избежать этих сложностей — установить контроль за проникновением в ИС и постараться не допускать его.