Регистрация представляет собой механизм системы ОБИ, фиксирующий все события, касающиеся безопасности (вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытка доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т.д.). Для сертифицируемых по безопасности АС список контролируемых событий определен рабочим документом Гостехкомиссии РФ [51]. Эффективность системы ОБИ значительно повышается в случае дополнения регистрации аудитом – анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, оценивать работу пользователей и т.д.
Реализация механизма регистрации и аудита направлена на достижение следующих целей [15]: обеспечение подотчетности пользователей и администраторов; обеспечение возможности реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем. Кроме того, механизм регистрации и аудита является психологическим средством, напоминающим потенциальным нарушителям о неотвратимости возмездия за проступки и оплошности.
|
|
К практическим средствам регистрации и аудита относятся: 1) различные системные утилиты и прикладные программы; 2) регистрационный (системный или контрольный) журнал. Первая разновидность средств служит для мониторинга событий, происходящих в АС, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала. Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности выполнения в системе различных операций, процедур или совершения событий. Типовая запись регистрационного журнала представлена на рис.8.3.
Тип записи | Дата | Время | Терминал | Пользователь | Событие | Результат |
Рис.8.3. Типовая запись регистрационного журнала
Схема функционирования подсистемы регистрации в рамках сетевого фильтра системы проиллюстрирована на рис.8.4.
Процесс ведения регистрационного журнала состоит из четырех этапов: 1) сбор и хранение данных; 2) защита; 3) интеграция; 4) анализ.
На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.