- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Протоколювання та аудит
Основні поняття
Протоколювання – це процес збирання і накопичення інформації про події, що відбуваються в інформаційній системі.
У кожного сервісу свій набір можливих подій, але у будь-якому випадку їх можна розділити на:
зовнішні (викликані діями інших сервісів);
внутрішні (викликані діями самого сервісу);
клієнтські (викликані діями користувачів і адміністраторів).
Аудит– це аналіз накопиченої інформації, що здійснюється оперативно, у реальному часі або періодично.
Оперативний аудит з автоматичним реагуванням на виявлені нештатні ситуації називається активним.
Протоколювання й аудит дозволяють розв’язати такі задачі:
забезпечення підзвітності користувачів і адміністраторів. Якщо користувачі і адміністратори знають, що все їх дії фіксуються, вони, можливо, утримаються від незаконних операцій. Очевидно, якщо є підстави підозрювати якого-небудь користувача в нечесності, можна реєструвати всі його дії, аж до кожного натиснення клавіші. При цьому забезпечується не тільки можливість розслідування випадків порушення режиму безпеки, але і відміна некоректних змін (якщо в протоколі присутні дані до і після модифікації). Тим самим захищається цілісність інформації;
забезпечення можливості реконструкції послідовності подій,що дозволяє виявити слабкості в захисті сервісів, знайти винуватця вторгнення, оцінити масштаби заподіяного збитку і повернутися до нормальної роботи;
виявлення спроб порушень інформаційної безпеки– функція активного аудиту. Звичайний аудит дозволяє виявити подібні спроби із запізненням, але і це виявляється корисним;
надання інформації для виявлення та аналізу проблемможе допомогти поліпшити такий параметр безпеки, як доступність. Виявивши вузькі місця, можна спробувати переконфігурувати або перенастроїти систему.
Дуже докладне протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але й ускладнює аудит, тобто не збільшує, а зменшує ІБ.
У “Помаранчевій книзі” рекомендується протоколювати такі події:
вхід в систему (успішний чи ні);
вихід з системи;
звернення до віддаленої системи;
операції з файлами (відкрити, закрити, перейменувати, видалити);
зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня благонадійності користувача і т.п.).
При протоколюванні події рекомендується записувати, таку інформацію:
дата і час події;
унікальний ідентифікатор користувача, що є ініціатором дії;
тип події;
результат дії (успіх або невдача);
джерело запиту (наприклад, ім’я терміналу);
імена об'єктів, які використовували (наприклад, відкритих файлів);
опис змін, внесених до баз даних захисту (наприклад, нова мітка безпеки об’єкту).
Ще одне важливе поняття, що фігурує в “Помаранчевій книзі”, – вибіркове протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.
Активний аудит
Завдання активного аудиту – оперативно виявляти підозрілу активність і надавати засоби для автоматичного реагування на неї.
Підозріла активність – це поведінка користувача або компоненту інформаційної системи, що є зловмисною відповідно до певної політики безпеки або нетиповою згідно з прийнятими критеріями.
Активність, яка не відповідає політиці безпеки, це або атаки, спрямовані на незаконне отримання повноважень, або дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки.
Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність, що атакує, є руйнівною незалежно від політики. Отже, для опису і виявлення атак можна застосовувати універсальні методи, інваріантні щодо політики безпеки, такі як сигнатури і їх виявлення у вхідному потоці подій за допомогою апарату експертних систем.
Сигнатура атаки – це сукупність умов, при виконанні яких атака вважається такою, що має місце, та викликає певне реагування.
Приклад сигнатури – “зафіксовано три послідовні невдалі спроби входу в систему з одного терміналу”, як результат асоційованої реакції – блокування терміналу до прояснення ситуації.
Дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки, називаються зловживанням повноваженнями.
Зловживання повноваженнями можливі через неадекватності засобів розмежування доступу вибраній політиці безпеки. Прикладом зловживань є неетична поведінка суперкористувача, що проглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна виявити подібні події і повідомити про них адміністратору безпеки, хоча для цього необхідні відповідні засоби політики безпеки.
Стосовно засобів активного аудиту розрізняють помилки першого і другого роду: пропуск атактапомилкові тривоги, відповідно. Небажаність помилок першого роду очевидна. Помилки другого роду не менш неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак.
Переваги сигнатурного підходу:
висока продуктивність;
мала кількість помилок другого роду;
обґрунтованість рішень.
Основний недолік – невміння виявляти невідомі атаки і варіації відомих атак.
Нетипова поведінка виявляється статистичними методами. У простому випадку застосовують систему порогів, перевищення яких є підозрілим. У розвиненіших системах здійснюється зіставлення довготривалих характеристик роботи з короткостроковими.
Основні переваги статистичного підходу:
універсальність і обґрунтованість рішень,
потенційна здатність виявляти невідомі атаки, тобто мінімізація кількості помилок першого роду.
Недоліками цього підходу є:
відносно висока частка помилок другого роду,
невідстеженість у разі, коли неправомірна поведінка є типовою,
невідстеженість у разі, коли типова поведінка плавно міняється від легального до неправомірного,
невідстеженість у разі, коли типової поведінки немає (як показує статистика, таких користувачів приблизно 5-10%).
Засоби активного аудиту можуть розташовуватися на всіх лініях оборони ІС. На межі контрольованої зони вони можуть виявляти підозрілу активність у точках підключення до зовнішніх мереж. У мережі, в рамках інформаційних сервісів і сервісів безпеки, активний аудит в змозі виявити і присікти підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані порушеннями безпеки та апаратно-програмними помилками. Отже, активний аудит здатний забезпечити захист від атак на доступність.