Информационная безопасность

• должен осуществляться автоматический учет создаваемых защищаемых файлов, инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом; маркировка должна отражать уровень конфиденциальности объекта; должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки, учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи/приема;
• должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.

Функционирование подсистемы контроля для UNIX-подобных систем
Подсистема контроля регистрирует события в системе, связанные с секретностью, записывая их в контрольный журнал, который затем можно просмотреть. В контрольных журналах, выдаваемых подсистемой, можно фиксировать проникновение в систему и неправильное использование ресурсов. Контроль позволяет просматривать собранные данные для изучения образцов доступа к объектам и наблюдения за действиями отдельных пользователей и их процессов. Попытки нарушения защиты и механизмов авторизации контролируются.
В любом случае реагирование на несанкционированные действия (не принципиально — со стороны пользователя или процесса) включают:
1. Сигнализацию о НСД (желательно с документированием данного факта);
2. Имитацию выполнения запрещенного действия (или задержку в работе) для определения места подключения нарушителя и характера его действий;
3. При невозможности выполнения п.2 — блокировку работы системы
(отключение терминала, группы терминалов, элементов ИВС и т.п.) или отказ в запросе.

Подсистема контроля дает высокую степень гарантии обнаружения попыток обойти механизмы обеспечения безопасности. Поскольку события, связанные с секретностью, контролируются и поддаются учету вплоть до выявления конкретного пользователя, подсистема контроля служит сдерживающим средством для пользователей, пытающихся неправильно воспользоваться системой.
Подсистема контроля использует системные вызовы и утилиты для классификации действий пользователей, подразделяя их на типы событий. Это можно использовать для выборочной генерации и редукции контроля.
Большинство систем защиты имеют в своем распоряжении средства управления системным журналом (audit trail). Как было показано выше, системный журнал является составной частью монитора ссылок и служит для контроля соблюдения политики безопасности. Он является одним из основных средств контроля, помогающим администратору предотвращать возможные нарушения в связи с тем, что:
• способен оперативно фиксировать происходящие в системе события;
• может помочь выявить средства и априорную информацию, использованные злоумышленником для нарушения;