Методы мониторинга несанкционированных действий

Политика безопасности предполагает контроль за работой КС и её компонентов, который заключается в фиксировании и последующим анализе событий в специальных журналах – журналах аудита. Периодически журнал просматривается администратором операционной системы или специальным пользователем – аудитором, которые анализируют сведения, накопленные в нём.

Если обнаружится успешная атака, то очень важно выяснить, когда и как она была проведена, не исключено, что это можно будет сделать по журналу аудита.

К подсистеме аудита предъявляются следующие требования.

1.Только сама КС может добавлять записи в журнал аудита. Это исключит возможность компрометации аудитором других пользователей.

2. Ни один субъект доступа, в том числе и сама КС, не может редактировать или удалять записи в журнале.

3. Журнал могут просматривать только аудиторы, имеющие соответствующую привилегию.

4. Только аудиторы могут очищать журнал. После очистки в него обязательно вносится запись о времени и имени пользователя, очистившего журнал. Должна поддерживаться страховая копия журнала, создаваемая перед очисткой. При переполнении журнала операционная система прекращает работу и дальнейшая работа может осуществляться до очистки журнала только аудитором.

5. Для ограничения доступа должны применяться специальные средства защиты, которые предотвращают доступ администратора и его привилегии по изменению содержимого любого файла.

Желательно страховую копию журнала сохранять на WORM-CD, исключающих изменение данных.

Для обеспечения надёжной защиты операционной системы в журнале должны регистрироваться следующие события

- попытки входа/выхода пользователей из системы;

- попытки изменения списка пользователей;

- попытки изменения политики безопасности, в том числе и политики аудита.

Окончательный выбор набора событий, фиксируемых в журнале, возлагается на аудитора и зависит от специфики информации, обрабатываемой системой. Слишком большой набор регистрируемых событий, не повышает безопасность, а уменьшает, так как среди множества записей можно просмотреть записи, представляющие угрозы безопасности.