4.3. Управление аудитом
Аудит позволяет отслеживать события, влияющие на безопасность информационной системы. С помощью аудита можно фиксировать действия определенных пользователей и групп, а также попытки неавторизованного доступа к системе, ее ресурсам и т.д. Можно выполнить аудит каждого события, но реализовать это непрактично, так как на систему ложится чрезмерная нагрузка. Кроме того, это приводит к появлению громадного файла журнала и необходимости его частого архивирования. Рассмотрим несколько типичных случаев проведения аудита.
1. Включение всего аудита. Вариант полного аудита может вводиться в том случае, если требования к безопасности достаточно высоки или необходима сертификация на уровне С2. Однако не стоит забывать, что в этом случае в журнал безопасности будет внесено громадное число записей. Альтернативой данному методу может быть фиксация только неудачных (неуспешных) событий, а успешные события не фиксируются.
2. Отключение аудита. Полное отключение аудита используется, если не предъявляется никаких требований к безопасности системы. Отключение аудита уменьшает накладные расходы и помогает упростить управление журналами. Но в большинстве случаев все-таки приходится заботиться о безопасности, поэтому вариант отключения аудита используется крайне редко.
3. Аудит проблемных пользователей. Некоторые пользователи по той или иной причине становятся сильной головной болью администратора. Иногда это происходит не столько из-за недостатков самого пользователя, сколько из-за проблем с его профилем, учетной записью и т.д. В других случаях это происходит именно из-за самого пользователя. Например, он часто неправильно вводит пароль или учетную запись, пытается зарегистрироваться в то время, когда не имеет на это права, хочет получить доступ к ресурсам, к которым не имеет доступа. В таких случаях требуется отслеживать события, связанные с этим пользователем. Также необходимо фиксировать информацию, необходимую для реализации отмены или срочного завершения его действий. Доступ к объектам следует отслеживать, чтобы определить, когда пользователь или группа пытается получить доступ к определённому ресурсу, файлу или папке.
4. Аудит администратора. Данный вид аудита используется не только для отслеживания действий администратора, но и для обнаружения неавторизованных использований административных полномочий.
-
Аудит важных файлов и папок. Данный аудит является наиболее распространенным. Кроме отслеживания простого доступа, как правило, отслеживается то, когда пользователи делают или пытаются предпринять определенные действия по отношению к объекту, такие как изменение разрешений или его присвоение. Это позволит отслеживать изменение файлов и папок и повысить их безопасность.
- Федеральное агентство по образованию
- Редактор м.Е. Цветкова
- 390005, Рязань, ул. Гагарина, 59/1.
- Введение
- 1. Функции, процедуры и объекты администрирования ис
- 1.1. Элементы ис, подвергаемые администрированию
- 1.2. Функции администрирования в сетевых ис
- 1.3. Задачи, решаемые при администрировании ис
- 1.4. Планирование и реализация эффективной рабочей среды
- 1.5. Технические и организационные службы администрирования
- 1.6. Администрирование ис на основе сетевых ос
- 2. Сетевые и коммуникационные службы
- 2.1. Основы протокола tcp/ip
- 2.1.2. Маска подсети
- 2.2. Служба dhcp
- 2.2.1. Назначение службы dhcp
- 2.2.2. Выделение ip-адреса
- 2.2.3. Компоненты dhcp
- 2.2.4. Процесс выдачи ip-адреса
- 2.2.5. Алгоритм выбора адреса
- 2.2.6. Обнаружение конфликтов ip-адресации
- 2.2.7. Обновление ip-адреса
- 2.2.8. Отклонение обновления и негативное подтверждение
- 2.2.9. Установка и настройка dhcp-сервера
- 2.2.10. Авторизация серверов dhcp
- 2.2.11. Создание области действий dhcp
- 2.2.12. Настройка конфигурационных параметров службы dhcp
- 2.2.13. Активация и деактивация dhcp
- 2.2.14. Документирование информации в журнале
- 2.2.15. Проверка и обновление конфигурации клиентов dhcp
- 2.3. Домены и разрешение имен
- 2.3.1. Система доменных имен
- 2.3.2. Dns и разрешение имен
- 2.3.3. Зоны dns
- 2.3.4. Серверы dns
- 2.3.5. Отказоустойчивость и распределение нагрузки
- 2.3.6. Установка первичного, вторичного и кэширующего серверов dns
- 2.3.7. Создание и трансферты зоны
- 2.3.8. Записи о ресурсах
- 3. Службы аудита и управления безопасностью
- 3.1. Необходимость защиты
- 3.2. Причины существования угроз
- 3.3. Каналы утечки информации
- 3.4. Способы защиты информации
- 3.5. Работа протокола Kerberos
- 3.6. Организация безопасности сети
- 4. Служба учета
- 4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.
- 4.2. Проверка отчетов, полученных при аудите
- 4.3. Управление аудитом
- 5. Службы контроля характеристик
- 5.1. Счетчики производительности
- 5.2. Мониторинг системы
- 5.3. Накладные расходы мониторинга
- 6. Архивирование и восстановление данных
- 6.1. Архивирование и его виды
- 6.2. Восстановление данных
- 6.3. Требования к архивированию и восстановлению
- Библиографический список
- Оглавление