 |
Регистрация действий пользователей
|
|
|
|
Подсистема регистрации представляет собой совокупность средств, используемых для регулярного сбора, фиксации и выдачи по запросам сведений о всех обращениях к защищаемым компьютерным ресурсам, а также доступе в вычислительную систему и выходе из нее.
Для защиты от сбоев и отказов регистрируются также сведения о всех действиях пользователей и программ по модификации данных на внешних информационных носителях.
Основной формой регистрации является программное ведение специальных регистрационных журналов, представляющих собой файлы на внешних носителях информации.
При регистрации сведений по обращению к вычислительной системе и ее ресурсам рекомендуется фиксировать:
• время поступления запроса;
• идентификатор пользователя, от имени которого выдан запрос;
• идентификатор компьютера (терминала), с которого поступил запрос;
• содержание сообщения в составе запроса;
• реквизиты защиты (полномочия пользователей, пароли, коды, ключи и др.), используемые при выполнении запроса;
• время окончания использования ресурса.
Имея такие сведения, в любой момент можно получить статистические данные относительно компьютеров (терминалов), пользователей и программ, запрашивающих доступ, а также сведения о результатах выполнения запросов и характере использования запрашиваемых ресурсов.
При регистрации всех действий пользователей и программ по модификации данных на внешних информационных носителях следует фиксировать все изменения как системной, так и несистемной информации между непротиворечивыми состояниями файловой Структуры и содержимого файлов. Это обеспечивает поддержание логической целостности данных на основе возможности их восстановления при возникновении сбоев и отказов программно-аппаратных средств вычислительной системы. Например, если при перемещении файла отказ произойдет между стадиями обновления информации в системной области и области данных диска, то возникшее противоречивое состояние файловой структуры без зарегистрированной информации по модификации данных можно будет устранить только отменой сделанных действий, что не позволит полностью восстановить перемещаемый файл.
|
|
|
Регистрационные журналы способствуют решению следующих задач:
• регулирования использования средств защиты в процессе функционирования вычислительной системы;
• фиксации всех нарушений правил обращения к защищаемым ресурсам;
• наблюдения за использованием реквизитов защиты (полномочий пользователей, паролей, ключей и т. д.);
• восстановления информации, и работоспособности вычислительной системы после возникновения сбоев и отказов программно-аппаратных средств;
• анализа процесса поддержания безопасности информации и процесса ее обработки с целью совершенствования системы защиты;
• настройки компонентов системы защиты и других компонентов вычислительной системы, особенно библиотек программ и элементов баз данных в соответствии с частотой их использования. Сам факт ведения регистрационных журналов в вычислительной системе оказывает психологическое воздействие на потенциальных нарушителей, удерживая их от злоумышленных действий.
В общем случае подсистема сигнализации предназначена для выполнения следующих функций:
• своевременного уведомления специалистов службы безопасности вычислительной системы (ВС) о несанкционированных действиях пользователей и программ, нарушении работоспособности
системы защиты, а также возникновении сбоев и отказов в работе программно-аппаратных средств;
|
|
|
• предупреждения пользователей ВС о необходимости соблюдения предосторожностей при работе с секретными данными.
Первый вид сигнализации осуществляется путем формирования и выдачи службе безопасности ВС специальных сигналов при обнаружении несанкционированных действий пользователей и программ, нарушении работоспособности системы защиты, а также возникновении сбоев и отказов в работе программно-аппаратных средств. Содержание такого сигнала должно включать:
• информацию о самом факте наступления соответствующего события;
• сообщение о месте, времени и характере события;
• информацию 6 пользователях, программах или устройствах, связанных с возникновением отслеживаемого события.
Сообщение сигнала, выводимое на печать или экран терминала, должно программно регистрироваться в специальном журнале учета и может сопровождаться звуковым и световым сопровождением.
Для пресечения злоумышленных действий важное значение имеет выигрыш во времени, необходимый для принятия соответствующих мер.
В то же время злоумышленник может почувствовать, что его несанкционированные действия обнаружены, и, прекратив эти действия, попытаться их скрыть. Если же в целях конспирации принимаемых мер не реагировать на злоумышленные действия, то может произойти утечка информации или злоумышленник попытается нарушить работоспособность системы.
В качестве выхода из такой ситуации предлагается создавать специальные программы, осуществляющие имитацию нормальной работы с нарушителем, предоставляя этим самым необходимое время для его задержания. В процессе имитации могут выполняться следующие действия:
• увеличение количества вопросов, задаваемых подозреваемому в диалоговом режиме при выполнении запроса;
• искусственная задержка времени перед каждым вопросом, задаваемым подозреваемому;
• указания повторить запуск, мотивируя это тем, что произошел программно-аппаратный сбой;
• выдача подозреваемому сообщения о том, что его запрос принят и поставлен в очередь.
Основными требованиями к таким программам имитации являются обеспечение требуемого времени работы с нарушителем, закрытие доступа к секретным сведениям закрытия и средствам поддержания работоспособности ВС, а также естественность. Последнее требование предполагает, что все задаваемые подозреваемому вопросы должны быть естественными и обычными в практике работы данной ВС.
|
|
|
Предупреждение пользователей о необходимости соблюдать предосторожности при работе с секретными данными осуществляется путем автоматического формирования и присвоения специального признака (грифа секретности) всем выдаваемым на печать или устройства отображения страницам документов (форм), содержащих защищаемую информацию. При этом, если в защищаемом документе (форме) используется несколько элементов данных с разными уровнями секретности, то гриф секретности документа (формы) определяется по максимальному уровню.
Важную роль играет также сигнализация, проводимая с помощью пользователей вычислительной системы. Для реализации данной сигнализации необходимо сообщение каждому пользователю после успешного подтверждения его подлинности при входе в компьютерную систему следующих сведений:
• даты и времени начала и окончания его последнего сеанса работы;
• количества неуспешных попыток установления сеанса работы при регистрации с его идентификатором со времени окончания его последнего сеанса работы, а также даты и времени совершения каждой из этих попыток.
Сведения о последнем сеансе работы, который пользователь не проводил, позволяют установить факт имевшего место несанкционированного сеанса работы, в процессе которого злоумышленник, узнав или подобрав пароль, маскировался под данного пользователя. В этом случае пользователю необходимо немедленно сообщить об этом факте службе безопасности, сменить пароль, а также выяснить и по возможности устранить причины и последствия случившегося несанкционированного действия.
Сведения об имевших место неуспешных попытках установления сеанса работы при регистрации с идентификатором пользователя со времени окончания его последнего сеанса работы дают возможность своевременно узнать о том, что кто-то пытается осуществить несанкционированный доступ, маскируясь под данного пользователя. В этом случае пользователю также следует сообщить об обнаруженных попытках несанкционированных действий службе безопасности и при необходимости принять меры для усиления зашиты.
|
|
|
