Средства защиты информации

курсовая работа

2.3. Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе.

Эти событий можно разделить на:

- внешние (вызванные действиями других сервисов)

- внутренние (вызванные действиями самого сервиса)

- клиентские (вызванные действиями пользователей и администраторов).

Аудит -- это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

Реализация протоколирования и аудита решает следующие задачи:

- обеспечение подотчетности пользователей и администраторов;

- (обеспечение возможности реконструкции последовательности событий;

- о6наруженис попыток нарушении информационной безопасности;

- предоставление информации для выявления и анализа проблем.

Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

* дата и время события;

* уникальный идентификатор пользователя

* результат действия (успех или неудача);

* источник запроса (например, имя терминала);

* имена затронутых объектов (например, открываемых или удаляемых файлов);

* описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Характерная особенность протоколирования и аудита -- зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации, а реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Делись добром ;)