Четверг, Июль 8th, 2010

Информационная безопасность

? может помочь определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации.

Содержимое системного журнала и других наборов данных, хранящих информацию о результатах контроля, должны подвергаться периодическому просмотру и анализу (аудит) с целью проверки соблюдения политики безопасности
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние — вызванные действиями других сервисов, внутренние — вызванные действиями самого сервиса, и клиентские — вызванные действиями пользователей и администраторов.
Аудит — это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически. Реализация протоколирования и аудита преследует следующие главные цели :
обеспечение подотчетности пользователей и администраторов; обеспечение возможности реконструкции последовательности событий;
обнаружение попыток нарушений информационной безопасности;
предоставление информации для выявления и анализа проблем

Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой, расход ресурсов не выходил за разумные рамки.
Слишком обширное или детальное протоколирование не только снижает производительность сервисов, что отрицательно сказывается на доступности, но и затрудняет аудит, уменьшая, а не увеличивая информационную безопасность. Разумный подход к данному вопросу предлагается в «Оранжевой книге». Еще одна особенность протоколирования и аудита — зависимость от других средств безопасности.
Идентификация и аутентификация служит отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.
Учет действий программ и пользователей. Регистрация системных событий
В операционной системе Windows NT ведется три журнала аудита:
? журнал безопасности представляет собой файл с именем SecEvent.evt,
? системный журнал (SysEvent.evt),
? журнал приложений (AppEvent.evt),
расположенные в поддиректории system32/config системной директории.
Формат этих файлов недокументирован. Информация хранится в журнале аудита в открытом виде, защита журнала аудита организуется исключительно средствами подсистемы разграничения доступа. Поэтому администраторы Windows NT обязательно должны убедиться, что никто, кроме аудиторов, не имеет доступа к файлу журнала аудита.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Экрит продукция кольцевые клапаны.

Категория: Лекции