Лекция 11. Регистрация и аудит
11.1 Определение и содержание регистрации и аудита информационных систем
Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:
· вход и выход субъектов доступа;
· запуск и завершение программ;
· выдача печатных документов;
· попытки доступа к защищаемым ресурсам;
· изменение полномочий субъектов доступа;
· изменение статуса объектов доступа и т. д.
Механизмы регистрации предназначены для получения и накопления (с целью последующего анализа) информации о состоянии ресурсов системы и о действиях субъектов, признанных администрацией АС потенциально опасными для системы. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, характер воздействий на систему, определить, как далеко зашло нарушение, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации.
Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".
Дополнительно, средства регистрации позволяют получать исчерпывающую статистику по использованию тех или иных ресурсов, межсетевому трафику, использованию сервисов, попыткам несанкционированного доступа, и т.п.
Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:
· обеспечение подотчетности пользователей и администраторов;
· обеспечение возможности реконструкции последовательности событий;
· обнаружение попыток нарушений информационной безопасности;
· предоставление информации для выявления и анализа проблем.
Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
Практическими средствами регистрации и аудита являются:
· различные системные утилиты и прикладные программы;
· регистрационный (системный или контрольный) журнал.
Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.
Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
При регистрации событий безопасности в системном журнале обычно фиксируется следующая информация:
• дата и время события;
• идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 10.
Рисунок 10 – Фрагмент журнала регистрации и аудита ОС.
Кроме записи сведений об определенных событиях в специальные журналы для последующего анализа средства регистрации событий могут обеспечивать и оперативное оповещение администраторов безопасности (при наличии соответствующих возможностей по передаче сообщений) о состоянии ресурсов, попытках НСД и других действиях пользователей, которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций.
Механизмы регистрации очень тесно связаны с другими защитными механизмами. Сигналы о происходящих событиях и детальную информацию о них механизмы регистрации получают от механизмов контроля (подсистем разграничения доступа, контроля целостности ресурсов и других).
В наиболее развитых системах защиты подсистема оповещения сопряжена с механизмами оперативного автоматического реагирования на определенные события. Могут поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):
• подача сигнала тревоги;
• извещение администратора безопасности;
• извещение владельца информации о НСД к его данным;
• снятие программы (задания) с дальнейшего выполнения;
• отключение (блокирование работы) терминала или компьютера, с которого были осуществлены попытки НСД к информации;
• исключение нарушителя из списка зарегистрированных пользователей и т.п.
Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).
Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.