защищает конфиденциальность и
целостность регистрационной информации. Возможно, для защиты
привлекаются и криптографические методы.
Возвращаясь к целям
протоколирования и аудита, отметим, что обеспечение подотчетности важно в
первую очередь как сдерживающее средство. Если пользователи и администраторы
знают, что все их действия фиксируются, они, возможно, воздержатся от
незаконных операций. Очевидно, если есть основания подозревать какого-либо
пользователя в нечестности, можно регистрировать все его действия, вплоть до
каждого нажатия клавиши. При этом обеспечивается не только возможность
расследования случаев нарушения режима безопасности, но и откат некорректных
изменений (если в протоколе присутствуют данные до и после модификации). Тем
самым защищается целостность информации.
Реконструкция последовательности
событий позволяет выявить слабости в защите сервисов, найти виновника
вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной
работе.
Обнаружение попыток нарушений
информационной безопасности - функция активного аудита, о котором пойдет речь в
следующем разделе. Обычный аудит позволяет выявить подобные попытки с
опозданием, но и это оказывается полезным. В свое время поимка немецких
хакеров, действовавших по заказу КГБ, началась с выявления подозрительного
расхождения в несколько центов в ежедневном отчете крупного вычислительного
центра.
Выявление и анализ проблем могут
помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие
места, можно попытаться переконфигурировать или перенастроить систему, снова
измерить производительность
и т.д.
Непросто осуществить организацию
согласованного протоколирования и аудита в распределенной разнородной системе.
Во-первых, некоторые компоненты, важные для безопасности (например,
маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком
случае их нужно экранировать другими сервисами, которые возьмут
протоколирование на себя. Во-вторых, необходимо увязывать между собой события в
разных сервисах.
Активный аудит
Основные понятия
Под подозрительной активностью
понимается поведение пользователя или компонента информационной системы,
являющееся
злоумышленным (в соответствии с заранее определенной
политикой безопасности) или нетипичным (согласно принятым критериям).
Задача активного аудита -
оперативно выявлять подозрительную активность и предоставлять средства для автоматического
реагирования на нее.
Активность, не соответствующую
политике безопасности, целесообразно разделить на атаки, направленные на
незаконное получение полномочий, и на действия, выполняемые в рамках имеющихся
полномочий, но нарушающие политику безопасности.
Атаки нарушают любую осмысленную
политику безопасности. Иными словами, активность атакующего является
разрушительной независимо от политики. Следовательно, для описания и выявления
атак
Главная / безопасность пк / методы защиты информации 