Протоколирование и аудит

Содержание

Слайд 2

Каналы утечки информации

Каналы утечки информации

Слайд 4

Сервисы безопасности

идентификация и аутентификация;
управление доступом;
протоколирование и аудит;
шифрование;
контроль целостности;
экранирование;
анализ защищенности;
обеспечение отказоустойчивости;
обеспечение безопасного восстановления;
туннелирование;
управление.

Сервисы безопасности идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль

Слайд 5

Протоколирование

сбор и накопление информации о событиях, происходящих в информационной системе
внешние (вызванные действиями

Протоколирование сбор и накопление информации о событиях, происходящих в информационной системе внешние
других сервисов)
внутренние (вызванные действиями самого сервиса)
клиентские (вызванные действиями пользователей и администраторов)

Слайд 6

Аудит

анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз

Аудит анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например,
в день)
пассивный
активный (оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации)

Слайд 7

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной
системе.
У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Слайд 8

Реализация протоколирования и аудита преследует следующие главные цели:
обеспечение подотчетности пользователей и администраторов;
обеспечение

Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности пользователей и
возможности реконструкции последовательности событий;
обнаружение попыток нарушений информационной безопасности;
предоставление информации для выявления и анализа проблем.

Слайд 9

Реализация протоколирования и аудита решает следующие задачи:
обеспечение подотчетности пользователей и администраторов;
обеспечение возможности

Реализация протоколирования и аудита решает следующие задачи: обеспечение подотчетности пользователей и администраторов;
реконструкции последовательности событий;
обнаружение попыток нарушений информационной безопасности;
предоставление информации для выявления и анализа проблем.

Слайд 10

Протоколированию подлежат следующие события:
вход в систему (успешный или нет);
выход из системы;
обращение к

Протоколированию подлежат следующие события: вход в систему (успешный или нет); выход из
удаленной системе;
операции с файлами (открыть, закрыть, переименовать, удалить);
смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Слайд 11

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:
дата и время

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию: дата и
события;
уникальный идентификатор пользователя – инициатора действия;
тип события;
результат действия (успех или неудача);
источник запроса (например, имя терминала);
имена затронутых объектов (например, открываемых или удаляемых файлов);
описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Слайд 12

Характерная особенность протоколирования и аудита – зависимость от других средств безопасности. Идентификация

Характерная особенность протоколирования и аудита – зависимость от других средств безопасности. Идентификация
и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

Слайд 13

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным
(в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).
Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее.
Активность, не соответствующую политике безопасности, целесообразно разделить на атаки, направленные на незаконное получение полномочий, и на действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности.
Атаки нарушают любую осмысленную политику безопасности. Иными словами, активность атакующего является разрушительной независимо от политики. Следовательно, для описания и выявления атак можно применять универсальные методы, инвариантные относительно политики безопасности, такие как сигнатуры и их обнаружение во входном потоке событий с помощью аппарата экспертных систем.

Слайд 14

Сигнатура атаки – это совокупность условий, при выполнении которых атака считается имеющей

Сигнатура атаки – это совокупность условий, при выполнении которых атака считается имеющей
место, что вызывает заранее определенную реакцию. Простейший пример сигнатуры – "зафиксированы три последовательные неудачные попытки входа в систему с одного терминала", пример ассоциированной реакции – блокирование терминала до прояснения ситуации.

Слайд 15

Средства активного аудита могут располагаться на всех линиях обороны информационной системы. На

Средства активного аудита могут располагаться на всех линиях обороны информационной системы. На
границе контролируемой зоны они могут обнаруживать подозрительную активность в точках подключения к внешним сетям (не только попытки нелегального проникновения, но и действия по "прощупыванию" сервисов безопасности). В корпоративной сети, в рамках информационных сервисов и сервисов безопасности, активный аудит в состоянии обнаружить и пресечь подозрительную активность внешних и внутренних пользователей, выявить проблемы в работе сервисов, вызванные как нарушениями безопасности, так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в принципе, способен обеспечить защиту от атак на доступность.
Имя файла: Протоколирование-и-аудит.pptx
Количество просмотров: 56
Количество скачиваний: 0