Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
Защита информации
Файл:
Secret Net - Admin Guides for Security Server / System Log - Admin Guide / System Log - Admin Guide.pdf
Скачиваний:
111
Добавлен:
02.05.2014
Размер:
2.3 Mб
Скачать
►Содержание►

Система Secret Net. Руководство по администрированию. Книга третья

Права доступа к системным журналам

Доступ к записям системных журналов должен быть предоставлен определенным сотрудникам, ответственным за управление системой защиты. Эти сотрудники должны пройти специальную подготовку и обладать достаточными навыками использования программ работы с журналами, чтобы правильно оценивать возможные последствия управляющих воздействий. Кроме того, сведения, содержащиеся в журналах, имеют прямое отношение к безопасности, и утечка этой информации может привести к нежелательным последствиям для организации.

Права на запуск программ работы с журналами (программы просмотра журналов, программы редактирования правил сжатия и программы обработки конфликтов обратной синхронизации) определяются ролью сотрудника в управлении системой защиты. Чтобы сотрудник имел доступ к записям системных журналов, назначьте ему одну из следующих ролей:

Администратор безопасности – эта роль предоставляет сотруднику все права на локальное и централизованное управление системой защиты;

Оператор системы защиты – эта роль позволяет сотруднику осуществлять мониторинг и оперативное управление компьютерами системы защиты;

Аудитор системы защиты – эта роль предоставляет сотруднику только права доступа к записям системных журналов.

Роль в управлении системой защиты назначается сотруднику впрограмме Администратор, см.

Главу 4 документа “Secret Net. Подсистема управления. Руководство по администрированию. Книга первая”.

Регистрируемая информация

Информация о произошедших событиях накапливается в ЦБД системы защиты и хранится в специальных системных журналах. Каждому событию соответствует запись журнала, которая состоит из определенного набора полей, описывающих это событие.

Журнал представляет собой таблицу записей. События регистрируются в следующих журналах:

Журнал событий;

Журнал НСД;

Системный журнал;

Журнал аудита;

Журнал конфликтов обратной синхронизации.

Журнал событий

Журнал событий содержит записи о большинстве произошедших событий, включая события несанкционированного доступа (НСД). В этот журнал поступают записи из локальных журналов безопасности Клиентов Secret Net. Т. е. Журнал событий централизованно хранит информацию о событиях, произошедших на каждом защищаемом компьютере.

Записи локального журнала безопасности поступают в Журнал событий в следующих случаях:

в момент начала или завершения работы пользователя на компьютере;

10

Глава 1. Системные журналы

при выполнении контекстного запроса записей Журнала событий в программе мониторинга (см. Главу 4 документа “Secret Net. Подсистема управления. Ру-

ководство по администрированию. Книга вторая”).

После того, как записи локального журнала поступили в Журнал событий, они удаляются из локального журнала Клиента Secret Net.

Записи Журнала событий содержат большее число полей, описывающих событие, чем аналогичные записи локального журнала Клиента Secret Net. К имеющейся информации о событии добавляются сведения об источнике события, времени его регистрации в ЦБД и другая служебная информация. Перечень полей, составляющих запись Журнала событий, представлен в Приложении (см. Табл. 9).

Журнал НСД

Журнал НСД содержит записи о событиях несанкционированного доступа, произошедших на защищаемых компьютерах. События НСД регистрируются и в Журнале НСД, и в Журнале событий. Однако контролировать попытки несанкционированного доступа к защищаемым ресурсам удобнее с помощью Журнала НСД по следующим причинам:

как правило, Журнал НСД содержит гораздо меньше записей, чем Журнал событий за тот же период времени. Журнал НСД содержит сведения только о попытках несанкционированного доступа;

запись о событии НСД автоматически добавляется в Журнал НСД сразу после регистрации этого события на компьютере. Та же запись добавляется в Журнал событий только через некоторое время (см. предыдущий параграф).

Как и в Журнале событий, запись Журнала НСД содержит большее число полей по сравнению с записью о том же событии в локальном журнале Клиента Secret Net. Перечень полей, составляющих запись Журнала НСД, представлен в Приложении

(см. Табл. 10).

Системный журнал

В Системном журнале регистрируются события, относящиеся к запуску процессов на сервере безопасности (резервное копирование ЦБД, архивирование журналов и др.). Сведения, содержащиеся в этом журнале, необходимы администратору для контроля функционирования сервера безопасности. Перечень полей, составляющих запись Системного журнала, представлен в Приложении (см. Табл. 11).

Журнал аудита

Журнал предназначен для регистрации сведений об использовании программ подсистемы управления администраторами безопасности. В этом журнале регистрируются все действия с объектами системы защиты (создание объектов, установка связей между ними, изменение параметров объектов). Кроме того, Журнал аудита хранит записи о событиях установки, обновления и удаления ПО Клиентов Secret Net. Хранящаяся в журнале информация позволяет главному администратору безопасности и аудитору системы защиты контролировать изменения параметров системы. Перечень полей, составляющих запись Журнала аудита, представлен в Приложении (см. Табл. 12).

Журнал конфликтов обратной синхронизации

Журнал предназначен для регистрации произошедших конфликтов обратной синхронизации. Такие конфликты возникают при попытке одновременного сохранения в ЦБД системы защиты измененных параметров одного и того же объекта. Например: администратор безопасности в программе Администратор, выполнил настройку па-

11

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности