Этапы регистрации и методы аудита событий информационной системы
Тема 4. Регистрация и аудит
Введение
Цели изучения темы
· изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.
Требования к знаниям и умениям
Студент должен знать:
· защитные свойства механизма регистрации и аудита;
· методы аудита безопасности информационных систем.
Студент должен уметь:
· использовать механизмы регистрации и аудита для анализа защищенности системы.
Ключевой термин
Ключевой термин: регистрация.
Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
Ключевой термин: аудит.
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Второстепенные термины
· подотчетность системы безопасности;
· регистрационный журнал;
· подозрительная активность.
Структурная схема терминов
Тема 4. Регистрация и аудит
Введение
Цели изучения темы
· изучить сущность и механизм реализации "регистрации" и "аудита" в целях повышения защищенности информационных систем.
Требования к знаниям и умениям
Студент должен знать:
· защитные свойства механизма регистрации и аудита;
· методы аудита безопасности информационных систем.
Студент должен уметь:
· использовать механизмы регистрации и аудита для анализа защищенности системы.
Ключевой термин
Ключевой термин: регистрация.
Регистрация основана на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
Ключевой термин: аудит.
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Второстепенные термины
· подотчетность системы безопасности;
· регистрационный журнал;
· подозрительная активность.
Структурная схема терминов
Определение и содержание регистрации и аудита информационных систем
Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:
· вход и выход субъектов доступа;
· запуск и завершение программ;
· выдача печатных документов;
· попытки доступа к защищаемым ресурсам;
· изменение полномочий субъектов доступа;
· изменение статуса объектов доступа и т. д.
Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".
Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.
Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:
· обеспечение подотчетности пользователей и администраторов;
· обеспечение возможности реконструкции последовательности событий;
· обнаружение попыток нарушений информационной безопасности;
· предоставление информации для выявления и анализа проблем.
Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
Практическими средствами регистрации и аудита являются:
· различные системные утилиты и прикладные программы;
· регистрационный (системный или контрольный) журнал.
Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.
Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1.
Рисунок 4.1.
Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).
Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.
Этапы регистрации и методы аудита событий информационной системы
Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:
1. Сбор и хранение информации о событиях.
2. Защита содержимого журнала регистрации.
3. Анализ содержимого журнала регистрации.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.
Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.
Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.
Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.
Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.
Выводы по теме
1. Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защите, анализировать закономерности системы, оценивать работу пользователей.
2. Механизм регистрации основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности.
3. Аудит системных событий – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день).
4. Механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.
5. Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
6. Регистрация событий, связанных с безопасностью информационной системы, включает как минимум три этапа: сбор и хранение информации о событиях, защита содержимого журнала регистрации и анализ содержимого журнала регистрации.
7. Методы аудита могут быть статистические и эвристические.
8. Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: "Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации".