Регистрация и аудит

Разграничение доступа

После выполнения идентификации и аутентификации необхо­димо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования вы­числительных ресурсов, доступных в АС. Такой процесс называ­ется авторизацией, или разграничением доступа.

Обычно полномочия субъекта представляются списком ресур­сов, доступных пользователю, и правами по доступу к каждому ресурсу из списка. Альтернативой является присвоение пользова­телю и ресурсам определенных уровней конфиденциальности и построение системы разграничения доступа на этой основе. Пер­вый метод называется дискреционным, а метод, основанный н метках конфиденциальности, — мандатным.

При дискреционном методе разграничения доступа составля­ется таблица, строками которой являются пользователи системы, а столбцами — ресурсы. В ячейках таблицы указываются права доступа (чтение, запись и др.), как это показано в табл. 8.2.

При мандатном принципе разграничения доступа выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользова­теля задаются в соответствии с максимальным уровнем секретно сти, к которому он допущен. Пользователь имеет доступ по чте­нию ко всем данным, имеющим уровень (гриф) секретности не выше, чем он имеет. По записи он, наоборот, имеет доступ толь­ко к своему и более высоким грифам секретности.

Таблица 8.2. Фрагмент таблицы установления полномочий

Субъект Каталог c:\wavelel Программа jpegtran Принтер
Пользователь 1 cdrw е W
Пользователь 2 г   шс9:00до 17:00

Обозначения: с — создание, d — удаление, г — чтение, w — запись, е —\ выполнение.

Итак, разрешено чтение «вниз», запись «вверх». Отметим, что это справедливо для мандатной модели обеспечения конфиден­циальности. Для мандатной модели обеспечения целостности — все наоборот.

На практике обычно сочетают различные методы разграниче­ния доступа.

Подсистема регистрации должна обеспечить: подотчетность пользователей и администраторов; возможность реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем.

Так, согласно РД Гостехкомиссии, в АС класса 1Г (она пред­назначена для обработки служебной информации) должна быть реализована регистрация входа (выхода) субъектов доступа в си­стему (из системы) либо загрузки и инициализации операцион­ной системы и ее программной остановки (программного остано­ва). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

При этом в параметрах регистрации указываются:

• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

• результат попытки входа: успешная или неуспешная — не­санкционированная;

• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

• код или пароль, предъявленный при неуспешной попытке.

Кроме того, должна осуществляться регистрация выдачи пе­чатных (графических) документов на «твердую» копию. В па­раметрах регистрации указываются:

• дата и время выдачи (обращения к подсистеме вывода);

• спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

• краткое содержание (наименование, вид, шифр, код) и уро­вень конфиденциальности документа;

• идентификатор субъекта доступа, запросившего документ. Должна осуществляться регистрация запуска (завершения)

программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации ука­зываются:

• дата и время запуска;

• имя (идентификатор) программы (процесса, задания);

• идентификатор субъекта доступа, запросившего программу (процесс, задание);

• результат запуска (успешный, неуспешный — несанкциони­рованный).

Должна осуществляться регистрация попыток доступа про­граммных средств (программ, процессов, задач, заданий) к за­щищаемым файлам. В параметрах регистрации указываются:

• дата и время попытки доступа к защищаемому файлу с указа­нием ее результата: успешная, неуспешная — несанкционирован­ная;

• идентификатор субъекта доступа;

• спецификация защищаемого файла.

Должна осуществляться регистрация попыток доступа про­граммных средств к дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, катало­гам, файлам, записям, полям записей. В параметрах регистрации указываются:

• дата и время попытки доступа к защищаемому объекту с ука­занием ее результата: успешная, неуспешная — несанкциониро­ванная;

• идентификатор субъекта доступа;

• спецификация защищаемого объекта (логическое имя (но­мер)].

Должен проводиться учет всех защищаемых носителей ин­формации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Учет защищаемых носителей проводится в журнале (картоте­ке) с регистрацией их выдачи (приема).

Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произволь­ной записью в освобождаемую область памяти, ранее использо­ванную для хранения защищаемых данных (файлов).

Эффективность системы безопасности принципиально повы­шается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, опреде­лять слабые места в системе защиты, анализировать закономер­ности системы, оценивать работу пользователей и т.д.

Аудит — это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, один раз в день). Оперативный аудит с автоматическим ре­агированием на выявленные нештатные ситуации называется активным.

Реализация механизмов регистрации и аудита позволяет ре­шать следующие задачи обеспечения информационной безопас­ности:

• обеспечение подотчетности пользователей и администрато­ров;

• обеспечение возможности реконструкции последовательно­сти событий;

• обнаружение попыток нарушений информационной безопас­ности;

• предоставление информации для выявления и анализа про­блем.

Практическими средствами регистрации и аудита являются: различные системные утилиты и прикладные программы; регист­рационный (системный или контрольный) журнал.

Первое средство обычно дополняет мониторинг, осуществляе­мый администратором системы. Комплексный подход к протоко­лированию и аудиту обеспечивается при использовании регистра­ционного журнала.

Регистрационный журнал — это хронологически упорядочен­ная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, сопровождающих операции и про­цедуры, или приводящих к их выполнению, либо к совершению событий при транзакции с целью контроля конечного результата.

Обнаружение попыток нарушений информационной безопас­ности входит в функции активного аудита, задачами которого яв­ляется оперативное выявление подозрительной активности и пре­доставление средств для автоматического реагирования на нее. Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся июумышленным (в соответствии с заранее определенной полити­кой безопасности) или нетипичным (согласно принятым крите­риям). Например, подсистема аудита, отслеживая процедуру вхо­да (регистрации) пользователя в систему, подсчитывает количе­ство неудачных попыток входа. В случае превышения установ­ленного порога таких попыток подсистема аудита формирует сиг­нал о блокировке учетной записи данного пользователя.