Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Протоколювання і аудит






Підсистема протоколювання і аудиту [3] є обов'язковим компонентом будь-якої АС. Протоколювання, або реєстрація, є механізмом підзвітності системи забезпечення інформаційної безпеки, яка фіксує всі події, які відносяться до питань безпеки. У свою чергу, аудит – це аналіз протокольованої інформації з метою оперативного виявлення і запобігання порушень режиму інформаційної безпеки.

Системи виявлення вторгнень рівня хоста можна розглядати як системи активного аудиту.

Призначення механізму реєстрації і аудиту:

  • забезпечення підзвітності користувачів і адміністраторів;
  • забезпечення можливості реконструкції послідовності подій (що необхідні, наприклад, при розслідуванні інцидентів, пов'язаних з інформаційною безпекою);
  • виявлення спроб порушення інформаційної безпеки;
  • надання інформації для виявлення і аналізу технічних проблем, не пов'язаних з безпекою.

Протокольовані дані поміщаються в реєстраційний журнал, який є хронологічно впорядкованою сукупністю записів результатів діяльності суб'єктів АС, достатньою для відновлення, перегляду і аналізу послідовності дій з метою контролю кінцевого результату. Типовий запис реєстраційного журналу має містити інформацію про час настання події, її тип, хто (або що) ініціював настання події, результат її діяльності.

Оскільки системні журнали є основним джерелом інформації для подальшого аудиту і виявлення порушень безпеки, питанню захисту системних журналів від несанкціонованої модифікації слід приділити відповідний рівень захисту. Система протоколювання повинна бути спроектований таким чином, щоб жоден користувач (включаючи адміністраторів!) не міг довільним чином модифікувати записи системних журналів.

Не менш важливим є питання про порядок зберігання системних журналів. Оскільки файли журналів зберігаються на певному носії, неминуче виникає проблема переповнення максимально допустимого об'єму системного журналу. При цьому реакція системи може бути різною, наприклад:

o система може бути заблокована аж до усунення проблеми з доступним дисковим простором;

o можуть бути автоматично знищені записи системних журналів, що мають найдавнішу дату створення;

o система може продовжити функціонування, тимчасово припинивши протоколювання інформації.

Безумовно, останній варіант в більшості випадків є неприйнятним, і порядок зберігання системних журналів повинен бути чітко регламентований політикою безпеки організації.






© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.