Наши друзья
|
Регистрация (аудит) событий
Регистрация (аудит) событий осуществляется каждым реализованным в системе механизмом защиты. С учетом включения в функциональную модель системы защиты уровня контроля (мониторинга) корректности выполнения функций защиты и контроля целостности имеет смысл принципиально изменить концепцию сбора и обработки регистрационной информации.
Особенностью реализованной модели защиты с точки зрения построения подсистемы регистрации (аудита) является введение в системе двух
уровней аудита.
* Аудит первого уровня. Этот аудит осуществляется уровнем авторизации пользователя при доступе к ресурсам системы, а также уровнем управления доступом (разграничения прав доступа) пользователя к ресурсам. На этих уровнях ведется полный аудит действий пользователя системы. При этом фиксируются все действия, связанные как с правомерными, так и неправомерными попытками доступа пользователя к ресурсам защищаемого объекта. Регистрируемыми фактами НСД здесь являются неправомерные (противоречащие реализуемой политике информационной безопасности) действия пользователя (как ошибочные, так и сознательные),
которые предотвращены механизмами защиты рассматриваемых уровней. » Аудит второго уровня. Осуществляется уровнем контроля (мониторинга) корректности выполнения функций защиты и контроля целостности. Аудит второго уровня уже фиксирует не все действия пользователя, включая НСД, а только критичные факты НСД, связанные с преодолением злоумышленником механизмов защиты первых двух уровней рассматриваемой модели. По существу, на данном уровне осуществляется мониторинг корректности функционирования разграничительных механизмов защиты. При этом здесь уже речь идет не об ошибках пользователя, а об осознанных действиях нарушителя.
Таким образом, реализация уровневой модели защиты позволяет ввести уровневую модель аудита. При этом принципиально различается функциональное назначение уровней аудита. На первом уровне регистрируются все действия пользователей, в том числе и попытки НСД. Причем регистрации подлежат как сознательные нарушения, так и нарушения, связанные с ошибками пользователей. На втором уровне регистрируются только
факты НСД, обусловленные сознательными нарушениями пользователей,
связанные с преодолением защиты первых двух уровней модели защиты (либо с некорректным функционированием данных уровней защиты).
Другими словами, рассматриваемый подход позволяет разделить регистрируемые события на некритичные (аудит первого уровня) и критичные
(аудит второго уровня). При этом различаются как требования к оперативности обработки регистрационной информации уровней аудита, так
и вероятность регистрируемых событий на данных уровнях, а также объемы регистрируемой информации.
Так, на первом уровне аудита ведется непрерывная регистрация событий, т.е. накапливаются большие объемы некритичной к оперативности обработки регистрационной информации. Подобную информацию администратор может получать на сервер по своему запросу в моменты минимальной нагрузки на опорную сеть, а затем обрабатывать ее в рамках
проведения расследований по факту НСД.
Напротив, на втором уровне аудита регистрируется критичная к оперативности обработки информация по фактам НСД. Данные этого уровня
аудита должны поступать администратору безопасности немедленно и
обрабатываться в реальном времени. При этом данные обычно поступают на специальный сервер ошибок — специальную программу сервера
безопасности, а их обработка производится либо автоматически, либо с
привлечением администратора безопасности.
Что касается мониторинга функционирования системы защиты, то отметим, что здесь также реализуются два уровня мониторинга: мониторинг корректности выполнения системой защиты своих функций и мониторинг активности системы защиты (возможности выполнения ею
своих функций).
Итак, мы можем сделать вывод, что включение в функциональную модель защиты уровня контроля (мониторинга) корректности выполнения функций защиты и контроля целостности позволяет реализовать в системе двухуровневую схему обработки данных регистрации событий (данных аудита). Это позволяет выделить лишь малую часть регистрационной информации, к которой выставляются требования по обработке в реальном времени. Таким образом, реализация двухуровневой модели аудита значительно повышает оперативность обработки регистрационной информации администратором безопасности и снижает нагрузку на трафик опорной сети
при реализации сетевой системы защиты. |