Протоколирование и аудит, шифрование, контроль целостности Оглавление

Протоколирование и аудит, шифрование, контроль целостности Оглавление

Протоколирование
и аудит, шифрование, контроль целостности 1

Источник 1

Пролог 1

1. Протоколирование
и аудит [] 2

1.1. Основные
понятия 2

1.2. Активный
аудит 4

2. Криптография:
шифрование [] 7

3. Криптография:
контроль целостности [] 11

3.1. Цифровые
сертификаты 13

Литература 14

Источник

Основы информационной безопасности.
В.А. Галатенко. 11. Лекция: Протоколирование
и аудит, шифрование, контроль целостности
[http://www.intuit.ru/department/security/secbasics/class/free/11/]

Пролог

Программно-технический уровень : сервисы
безопасности

К вспомогательным
относятся сервисы безопасности (мы уже
сталкивались с ними при рассмотрении
стандартов и спецификаций в области
ИБ); среди них нас в первую очередь будут
интересовать универсальные, высокоуровневые,
допускающие использование различными
основными и вспомогательными сервисами.
Далее мы рассмотрим следующие сервисы:

идентификация
и аутентификация;

управление
доступом;

протоколирование и аудит;

шифрование;

контроль целостности;

экранирование;

анализ
защищенности;

обеспечение
отказоустойчивости;

обеспечение
безопасного восстановления;

туннелирование;

управление.

1. Протоколирование и аудит[]

1.1. Основные понятия

Подпротоколированием
понимается сбор и накопление информации
о событиях, происходящих в информационной
системе.У каждого
сервиса свой набор возможных событий,
но в любом случае их можно разделить навнешние(вызванные
действиями других сервисов),внутренние(вызванные действиями
самого сервиса) иклиентские(вызванные действиями
пользователей и администраторов).

Аудит– это анализ накопленной
информации, проводимый оперативно, в
реальном времени или периодически(например, раз в день).Оперативный
аудит с автоматическим реагированием
на выявленные нештатные ситуации
называется активным.

Реализация протоколирования
и аудита решает следующиезадачи:

  • обеспечениеподотчетности
    пользователей и администраторов;

  • обеспечение
    возможности
    реконструкции последовательности
    событий;

  • обнаружение
    попыток нарушений информационной
    безопасности;

  • предоставление
    информации для выявления и анализа
    проблем.

Протоколирование требует
для своей реализации здравого смысла.Какие события
регистрировать?С какой степеньюдетализации? На
подобные вопросы невозможно дать
универсальные ответы. Необходимо следить
за тем, чтобы, с одной стороны, достигались
перечисленные выше цели, а, с другой,
расход ресурсовоставался
в пределах допустимого.Слишком
обширное или подробное протоколированиене только снижает производительность
сервисов (что отрицательно сказывается
на доступности), но изатрудняет
аудит, то есть не увеличивает, ауменьшает информационную
безопасность.

Разумный подход к упомянутым
вопросам применительно к операционным
системам предлагается в «Оранжевой
книге», где выделены следующиесобытия:

  • вход
    в систему (успешный или нет);

  • выход
    из системы;

  • обращение
    к удаленной системе;

  • операции
    с файлами(открыть, закрыть,
    переименовать, удалить);

  • смена привилегийили иных атрибутов безопасности (режима
    доступа, уровня благонадежности
    пользователя и т.п.).

При протоколировании
событиярекомендуется
записывать, по крайней мере, следующую
информацию:

  • дата
    и время события;

  • уникальный
    идентификатор пользователя–
    инициатора действия;

  • тип
    события;

  • результат
    действия(успех или неудача);

  • источник
    запроса(например, имя терминала);

  • имена
    затронутых объектов(например,
    открываемых или удаляемых файлов);

  • описание
    изменений, внесенных в базы данных
    защиты(например, новая метка
    безопасности объекта).

Еще одно важное понятие,
фигурирующее в «Оранжевой книге»,
–выборочное
протоколирование, какв
отношении пользователей(внимательно
следить только за подозрительными),
так ив отношении
событий.

Характерная особенность
протоколирования и аудита –зависимость
от других средств безопасности.Идентификация и
аутентификация служат отправной
точкой подотчетности пользователей,логическое управление
доступомзащищает конфиденциальность
и целостность регистрационной информации.
Возможно, для защиты привлекаются икриптографическиеметоды.

Возвращаясь к целям
протоколирования и аудита, отметим, что
обеспечение подотчетности важно в
первую очередь каксдерживающее
средство.Если
пользователи и администраторы знают,
что все их действия фиксируются, они,
возможно, воздержатся от незаконных
операций.Очевидно, если есть
основания подозревать какого-либо
пользователя в нечестности, можнорегистрировать всеегодействия,
вплоть до каждого нажатия клавиши. При
этом обеспечивается не тольковозможность
расследования случаев нарушения
режима безопасности, но и
откат некорректных изменений(если
в протоколе присутствуют данные до и
после модификации). Тем самым защищается
целостность информации.

Реконструкция последовательности
событийпозволяетвыявить слабости в
защите сервисов,найти
виновникавторжения,оценить
масштабыпричиненного ущерба ивернуться к нормальной
работе.

Обнаружение
попыток нарушений информационной
безопасности –функция
активного аудита, о котором пойдет
речь в следующем разделе.Обычный
аудит позволяет выявить подобные попытки
с опозданием, но и это оказывается
полезным.В свое время
поимка немецких хакеров, действовавших
по заказу КГБ, началась с выявления
подозрительного расхождения в несколько
центов в ежедневном отчете крупного
вычислительного центра.

Выявление
и анализ проблеммогут помочьулучшитьтакой
параметр безопасности, какдоступность.
Обнаружив узкие места, можно попытатьсяпереконфигурироватьилиперенастроитьсистему, снова
измерить производительность и т.д.

Непростоосуществить организацию согласованного
протоколирования и аудитав
распределенной разнородной системе.
Во-первых, некоторыекомпоненты,
важные для безопасности (например,
маршрутизаторы),могут
не обладать своими ресурсамипротоколирования;
в таком случае их нужно экранировать
другими сервисами, которые возьмут
протоколирование на себя. Во-вторых,
необходимоувязывать
между собой события в разных сервисах.

Leave a Comment