Регистрация (аудит) событий

Регистрация (аудит) событий осуществляется каждым реализованным в си­стеме механизмом защиты. С учетом включения в функциональную модель системы защиты уровня контроля (мониторинга) корректности выполнения функций защиты и контроля целостности имеет смысл принципиально из­менить концепцию сбора и обработки регистрационной информации.
Особенностью реализованной модели защиты с точки зрения построе­ния подсистемы регистрации (аудита) является введение в системе двух
уровней аудита.
* Аудит первого уровня. Этот аудит осуществляется уровнем авторизации пользователя при доступе к ресурсам системы, а также уровнем управле­ния доступом (разграничения прав доступа) пользователя к ресурсам. На этих уровнях ведется полный аудит действий пользователя системы. При этом фиксируются все действия, связанные как с правомерными, так и неправомерными попытками доступа пользователя к ресурсам защищае­мого объекта. Регистрируемыми фактами НСД здесь являются неправо­мерные (противоречащие реализуемой политике информационной безо­пасности) действия пользователя (как ошибочные, так и сознательные),
которые предотвращены механизмами защиты рассматриваемых уровней. » Аудит второго уровня. Осуществляется уровнем контроля (мониторин­га) корректности выполнения функций защиты и контроля целостно­сти. Аудит второго уровня уже фиксирует не все действия пользовате­ля, включая НСД, а только критичные факты НСД, связанные с преодолением злоумышленником механизмов защиты первых двух уров­ней рассматриваемой модели. По существу, на данном уровне осуще­ствляется мониторинг корректности функционирования разграничи­тельных механизмов защиты. При этом здесь уже речь идет не об ошибках пользователя, а об осознанных действиях нарушителя.
Таким образом, реализация уровневой модели защиты позволяет ввести уровневую модель аудита. При этом принципиально различается функци­ональное назначение уровней аудита. На первом уровне регистрируются все действия пользователей, в том числе и попытки НСД. Причем регис­трации подлежат как сознательные нарушения, так и нарушения, связан­ные с ошибками пользователей. На втором уровне регистрируются только
факты НСД, обусловленные сознательными нарушениями пользователей,
связанные с преодолением защиты первых двух уровней модели защиты (либо с некорректным функционированием данных уровней защиты).
Другими словами, рассматриваемый подход позволяет разделить регист­рируемые события на некритичные (аудит первого уровня) и критичные
(аудит второго уровня). При этом различаются как требования к опера­тивности обработки регистрационной информации уровней аудита, так
и вероятность регистрируемых событий на данных уровнях, а также объе­мы регистрируемой информации.
Так, на первом уровне аудита ведется непрерывная регистрация собы­тий, т.е. накапливаются большие объемы некритичной к оперативности обработки регистрационной информации. Подобную информацию адми­нистратор может получать на сервер по своему запросу в моменты ми­нимальной нагрузки на опорную сеть, а затем обрабатывать ее в рамках
проведения расследований по факту НСД.
Напротив, на втором уровне аудита регистрируется критичная к опера­тивности обработки информация по фактам НСД. Данные этого уровня
аудита должны поступать администратору безопасности немедленно и
обрабатываться в реальном времени. При этом данные обычно поступа­ют на специальный сервер ошибок — специальную программу сервера
безопасности, а их обработка производится либо автоматически, либо с
привлечением администратора безопасности.
Что касается мониторинга функционирования системы защиты, то от­метим, что здесь также реализуются два уровня мониторинга: мони­торинг корректности выполнения системой защиты своих функций и мониторинг активности системы защиты (возможности выполнения ею
своих функций).
Итак, мы можем сделать вывод, что включение в функциональную мо­дель защиты уровня контроля (мониторинга) корректности выполнения функций защиты и контроля целостности позволяет реализовать в систе­ме двухуровневую схему обработки данных регистрации событий (данных аудита). Это позволяет выделить лишь малую часть регистрационной ин­формации, к которой выставляются требования по обработке в реальном времени. Таким образом, реализация двухуровневой модели аудита значи­тельно повышает оперативность обработки регистрационной информации администратором безопасности и снижает нагрузку на трафик опорной сети
при реализации сетевой системы защиты.