Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Можно назвать и другие события, например смену набора регистрируемых действий. Полный перечень событий, потенциально подлежащих регистрации, зависит от избранной политики безопасности и от общей специфики системы.
Если фиксировать все совершаемые операции, объем регистрационной информации, скорее всего, будет расти слишком быстро, а эффективно проанализировать ее будет невозможно. Для обеспечения гибкости построения системы аудита должно быть предусмотрено наличие средств выборочного протоколирования, способных «следить» не только за пользователями (особенно за подозрительными), но и за совершаемыми событиями.
С помощью этого метода можно держать под контролем пользователей, имеющих специфическую репутацию, и реконструировать прошедшие
230 Компьютерная безопасность и практическое применение криптографии
события. «Слежка» важна, в первую очередь, как профилактическое средство. Можно надеяться, что многие злоумышленники воздержатся от нарушений режима безопасности, поскольку знают, что их действия фиксируются. Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они произошли, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем.
При протоколировании события необходимо, по крайней мере, записывать информацию такого рода:
• дату и время события;
• уникальный идентификатор;
• отмечать пользователя, являющегося инициатором действия;
• тип события;
• результат действия (успех или неудача);
• источник запроса (например, имя терминала);
• имена затронутых объектов (например, открываемых или удаляемых файлов).
• описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);
• метки безопасности субъектов и объектов события.
При такой организации система аудита может фиксировать все события, связанные с функционированием прикладного и системного ПО. Анализ реализации подсистем аудита в современных ОС показывает, что ядро системы (являющееся доверенным) взаимодействует с прикладным ПО (работа которого подлежит аудиту) через интерфейс обращений к данному сервису ОС и является наиболее удобным местом для осуществления мониторинга и аудита (рис. 3.4). Ядро ОС при обращении к нему прикладного ПО фиксирует события, подлежащие аудиту, а подсистема аудита заносит их в журнал событий, хранящийся на жестком диске.
Генерировать события аудита может и прикладное ПО, но, в отличие от ядра ОС, данные действия не заносятся напрямую в журнал событий, а передаются в ядро системы,
которое отправляет их в буфер (отведенный рис 3.4, Местоположение под запись событий) и впоследствии зано- подсистемы аудита
сит в журнал событий. Примером событий, в архитектуре ОС
Интерфейс системных
вызовов. На данном уровне и располагается система аудита
Защита в локальных сетях
231
генерируемых прикладным ПО, может служить информация о старте или останове Web-сервера. Буфер системы аудита находится в монопольном владении ядра ОС. При осуществлении записи или чтения в данный буфер производится его блокировка с целью запрещения одновременного чтения из него и записи в него. К каждому событию, помещенному в буфер, дописывается метка времени, последовательный номер и идентификатор процесса, породившего данное событие.
Общая схема архитектуры построения системы аудита представлена на рис. 3.5.
Рис. 3.5. Архитектура системы аудита
Необходимо подчеркнуть важность не только сбора информации, но и ее регулярного и целенаправленного анализа. В этом плане выгодное положение занимают средства аудита СУБД, поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы.
3.3. Защита в локальных сетях
Прелюде чем перейти к рассмотрению раздела, связанного с безопасностью межсетевого взаимодействия, необходимо обратить внимание на то, что глобальные сети передачи данных представляют собой объединение локальных вычислительных систем (ЛВС), имеющих различную топологию построения и использующих разнообразные сетевые протоколы (TCP/IP, IPX/SPX, Netbios, DecNet и др.). Поэтому в данном разделе мы уделим внимание безопасности именно ЛВС. Отдельной проблемой является применение активных сетевых ресурсов - AD (в ОС Windows NT)
232 Компьютерная безопасность и практическое применение криптографии
и NDS (в ОС Novell NetWare). (Информацию по аспектам безопасности и использования этих служб можно найти на сайтах Microsoft и Novell.)
Вопрос безопасности на примере конкретных сетевых ОС, таких как Windows NT и Novell NetWare. В этой части будут затронуты специфические аспекты их функционирования в рамках локальных вычислительных сетей (ЛВС), а также проблемы сетевой безопасности, возникающие в данных ОС. Особенности защиты информации в современных ОС были рассмотрены ранее, проблемы же межсетевого взаимодействия изложены в следующих разделах.
О безопасности в локальных сетях уже сказано достаточно много, поэтому в настоящем разделе мы рассмотрим только основные моменты, связанные с сетевой безопасностью ЛВС, которые построены на описанных выше ОС.
