Опубликован: 01.04.2003 | Уровень: для всех | Доступ: платный
Лекция 11:

Протоколирование и аудит, шифрование, контроль целостности

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Аннотация: Описываются протоколирование и аудит, а также криптографические методы защиты. Показывается их место в общей архитектуре безопасности.
Ключевые слова: протоколирование, событие, сервис, аудит, подотчетность, нарушение информационной безопасности, детализация, доступность, оранжевая книга, тип события, имя терминала, метки безопасности, выборочное протоколирование, идентификация и аутентификация, регистрационная информация, центили, подозрительная активность, злоумышленная активность, автоматическое реагирование, соответствие политике безопасности, атака, активная атака, универсальные методы, экспертная система, сигнатура атаки, злоупотребление полномочиями, администратор безопасности, поведение, порог, долгосрочный профиль, краткосрочный профиль, ошибка первого рода, ошибка второго рода, пропуск атаки, ложная тревога, сигнатурный метод, сервис безопасности, информационный сервис, активный аудит, эшелонированная оборона, сенсор, сетевая ОС, анализ, решатель, интерфейс, менеджер, агент, криптографический сервис, представление, компьютерная криптография, криптография, шифрование, регулятор безопасности, контроль, место, симметричное шифрование, асимметричное шифрование, ключ, расшифрование, секретный ключ, распространение ключей, RSA, быстродействие, отправитель сообщения, открытый ключ, сочетания, сеанс, алгоритм, составной ключ, разделение обязанностей, права, значение, уязвимость, псевдослучайная последовательность, info, целостность, поток, электронная цифровая подпись, хэш-функция, односторонняя функция, дайджест, мощность множества, функция, выработка ЭЦП, проверка ЭЦП, ЭЦП, тождественное преобразование, Личность, защита информации, цифровой сертификат, удостоверяющий центр, глобальная служба каталогов, управление криптографическими ключами

Протоколирование и аудит

Основные понятия

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

  • обеспечение подотчетности пользователей и администраторов;
  • обеспечение возможности реконструкции последовательности событий;
  • обнаружение попыток нарушений информационной безопасности;
  • предоставление информации для выявления и анализа проблем.

Протоколирование требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой, расход ресурсов оставался в пределах допустимого. Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности ), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

Разумный подход к упомянутым вопросам применительно к операционным системам предлагается в "Оранжевой книге", где выделены следующие события:

  • вход в систему (успешный или нет);
  • выход из системы;
  • обращение к удаленной системе;
  • операции с файлами (открыть, закрыть, переименовать, удалить);
  • смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

  • дата и время события;
  • уникальный идентификатор пользователя – инициатора действия;
  • тип события;
  • результат действия (успех или неудача);
  • источник запроса (например, имя терминала);
  • имена затронутых объектов (например, открываемых или удаляемых файлов);
  • описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Еще одно важное понятие, фигурирующее в "Оранжевой книге", – выборочное протоколирование, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.

Характерная особенность протоколирования и аудита – зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как сдерживающее средство. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать все его действия, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Обнаружение попыток нарушений информационной безопасности – функция активного аудита, о котором пойдет речь в следующем разделе. Обычный аудит позволяет выявить подобные попытки с опозданием, но и это оказывается полезным. В свое время поимка немецких хакеров, действовавших по заказу КГБ, началась с выявления подозрительного расхождения в несколько центов в ежедневном отчете крупного вычислительного центра.

Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Непросто осуществить организацию согласованного протоколирования и аудита в распределенной разнородной системе. Во-первых, некоторые компоненты, важные для безопасности (например, маршрутизаторы), могут не обладать своими ресурсами протоколирования; в таком случае их нужно экранировать другими сервисами, которые возьмут протоколирование на себя. Во-вторых, необходимо увязывать между собой события в разных сервисах.

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Никита Гурьев
Никита Гурьев
Радомир Белоусов
Радомир Белоусов
Юрий Коробков
Юрий Коробков
Россия, Москва, МЭИ, 1998