Презентация на тему Протоколирование и аудит

защищенности;
обеспечение отказоустойчивости;
обеспечение безопасного восстановления;
туннелирование;
управление.

информационной системе
внешние (вызванные действиями других сервисов)
внутренние (вызванные действиями самого

сервиса)
клиентские (вызванные действиями пользователей и администраторов)

или периодически (например, раз в день)
пассивный
активный (оперативный аудит с

автоматическим реагированием на выявленные нештатные ситуации)

событиях, происходящих в информационной системе.
У каждого сервиса свой

набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).
Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

подотчетности пользователей и администраторов;
обеспечение возможности реконструкции последовательности событий;
обнаружение попыток

нарушений информационной безопасности;
предоставление информации для выявления и анализа проблем.

пользователей и администраторов;
обеспечение возможности реконструкции последовательности событий;
обнаружение попыток нарушений

информационной безопасности;
предоставление информации для выявления и анализа проблем.

нет);
выход из системы;
обращение к удаленной системе;
операции с файлами (открыть,

закрыть, переименовать, удалить);
смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

следующую информацию:

дата и время события;
уникальный идентификатор пользователя – инициатора

действия;
тип события;
результат действия (успех или неудача);
источник запроса (например, имя терминала);
имена затронутых объектов (например, открываемых или удаляемых файлов);
описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

других средств безопасности. Идентификация и аутентификация служат отправной точкой

подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

информационной системы, являющееся злоумышленным (в соответствии с заранее определенной

политикой безопасности) или нетипичным (согласно принятым критериям).
Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее.
Активность, не соответствующую политике безопасности, целесообразно разделить на атаки, направленные на незаконное получение полномочий, и на действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности.
Атаки нарушают любую осмысленную политику безопасности. Иными словами, активность атакующего является разрушительной независимо от политики. Следовательно, для описания и выявления атак можно применять универсальные методы, инвариантные относительно политики безопасности, такие как сигнатуры и их обнаружение во входном потоке событий с помощью аппарата экспертных систем.

которых атака считается имеющей место, что вызывает заранее определенную

реакцию. Простейший пример сигнатуры – "зафиксированы три последовательные неудачные попытки входа в систему с одного терминала", пример ассоциированной реакции – блокирование терминала до прояснения ситуации.

обороны информационной системы. На границе контролируемой зоны они могут

обнаруживать подозрительную активность в точках подключения к внешним сетям (не только попытки нелегального проникновения, но и действия по "прощупыванию" сервисов безопасности). В корпоративной сети, в рамках информационных сервисов и сервисов безопасности, активный аудит в состоянии обнаружить и пресечь подозрительную активность внешних и внутренних пользователей, выявить проблемы в работе сервисов, вызванные как нарушениями безопасности, так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в принципе, способен обеспечить защиту от атак на доступность.