Средства защиты информации
2.3. Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе.
Эти событий можно разделить на:
- внешние (вызванные действиями других сервисов)
- внутренние (вызванные действиями самого сервиса)
- клиентские (вызванные действиями пользователей и администраторов).
Аудит -- это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).
Реализация протоколирования и аудита решает следующие задачи:
- обеспечение подотчетности пользователей и администраторов;
- (обеспечение возможности реконструкции последовательности событий;
- о6наруженис попыток нарушении информационной безопасности;
- предоставление информации для выявления и анализа проблем.
Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.
При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:
* дата и время события;
* уникальный идентификатор пользователя
* результат действия (успех или неудача);
* источник запроса (например, имя терминала);
* имена затронутых объектов (например, открываемых или удаляемых файлов);
* описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).
Характерная особенность протоколирования и аудита -- зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации, а реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.