Выявление вторжений. Аудит системы защиты

Даже самая лучшая система защиты рано или поздно будет взломана. Обнаружение попыток вторжения является важнейшей задачей системы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения.
Как правило, поведение взломщика отличается от поведения легального пользователя. Иногда эти различия можно выразить количественно, например подсчитывая число некорректных вводов пароля во время регистрации.

Основным инструментом выявления вторжений является запись данных аудита. Отдельные действия пользователей протоколируются, а полученный протокол используется для выявления вторжений.

Аудит, таким образом, заключается в регистрации специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы. К числу таких событий обычно причисляют следующие:

• вход или выход из системы;

• операции с файлами (открыть, закрыть, переименовать, удалить);

• обращение к удаленной системе;

• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. Следует предусматривать наличие средств выборочного протоколирования как в отношении пользователей, когда слежение осуществляется только за подозрительными личностями, так и в отношении событий. Слежка важна в первую очередь как профилактическое средство. Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются.

Помимо протоколирования, можно периодически сканировать систему на наличие слабых мест в системе безопасности. Такое сканирование может проверить разнообразные аспекты системы:

• короткие или легкие пароли;

• неавторизованные зеТ-ид/ программы, если система поддерживает этот механизм;

• неавторизованные программы в системных директориях;

• долго выполняющиеся программы;

• нелогичная защита как пользовательских, так и системных директорий и файлов. Примером нелогичной защиты может быть файл, который запрещено читать его автору, но в который разрешено записывать информацию постороннему пользователю;

• потенциально опасные списки поиска файлов, которые могут привести к запуску «троянского коня»;

• изменения в системных программах, обнаруженные при помощи контрольных сумм.

Любая проблема, обнаруженная сканером безопасности, может быть как ликвидирована автоматически, так и передана для решения менеджеру системы.

<< | >>
Источник: В.Е. Карпов К.А. Коньков. Основы операционных систем. 2005

Еще по теме Выявление вторжений. Аудит системы защиты:

  1. § 4. Правовое регулирование аудита в банковской системе
  2. Упражнение для выявления вашей основной защиты
  3. "Вторжение в личное пространство"
  4. 4. Бестактность, грубое вторжение в интимный мир детства – тягчайшее зло
  5. Статья 253. Проектирование или эксплуатация сооружений без систем защиты окружающей среды
  6. 10.3. Правовая защита информации, информационных ресурсов и информационных систем от угроз несанкционированного и неправомерного воздействия посторонних лиц
  7. Статья 363. Нарушение правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи или порядка или правил защиты информации, которая в них обрабатывается
  8. § 8. Основание защиты владения: Постановка проблемы. Теории защиты владения (п. 1313-1318)
  9. 14.2. Выявление самооговора
  10. § 39 Классификация договоров в отдельных видах. – Римская классификация. – Система прусского закона, французского и австрийского кодекса. – Система русского свода. – Система настоящего изложения.
  11. Тема 15 Правова система і система права. Система законодавства та систематизація нормативно-правових актів
  12. 14.3. Выявление инсценировки
  13. Глава 14 Выявление лжи и событий, связанных с ложью
  14. 6. Выявление суицидального больного
  15. Механизм выявления и разоблачения инсценировки
  16. Сейчас наша популяция сократилась до такого уровня, что нам всё труднее обеспечивать защиту Западного Побережья, которую мы до сих пор предоставляли, в то время как в самом близком будущем вам потребуется гораздо более эффективная защита.