Программно-технические меры защиты информации
Содержание лекции
1. Сервисы безопасности
Программно-технические меры защиты информации
Программно-технические меры защиты информации
Сервисы безопасности
Сервисы безопасности
Сервисы безопасности
Сервисы безопасности
2. Антивирусная защита
Профили защиты средств антивирусной защиты
Антивирусная защита
Антивирусная защита
Антивирусная защита
Антивирусная защита
Антивирусная защита
Антивирусная защита
Антивирусная защита
Антивирусная защита
Антивирусная защита
2.1 Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
Типы вредоносных программ
2.2 Принципы обнаружения вредоносных программ
Антивирусная защита
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
Принципы обнаружения вредоносных программ
2.3 Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
Выбор антивирусных средств
3. Межсетевое экранирование
Руководящий документ
Межсетевое экранирование
Межсетевое экранирование
Межсетевое экранирование
Межсетевое экранирование
Межсетевое экранирование
Межсетевое экранирование
4. Системы предотвращения утечки информации
Системы предотвращения утечки информации
Системы предотвращения утечки информации
Системы предотвращения утечки информации
Системы предотвращения утечки информации
Системы предотвращения утечки информации
Системы предотвращения утечки информации Анализ формальных признаков информации
Системы предотвращения утечки информации Анализ содержимого передаваемой информации
Системы предотвращения утечки информации Компоненты DLP-системы:
Системы предотвращения утечки информации Компоненты DLP-системы:
Системы предотвращения утечки информации Компоненты DLP-системы:
5. Протоколирование и аудит
Протоколирование и аудит
Протоколирование и аудит
Протоколирование и аудит
Протоколирование и аудит
Протоколирование и аудит
708.97K
Category: informaticsinformatics

12. Программно-технические_меры_защиты_информации

1. Программно-технические меры защиты информации

1

2. Содержание лекции

1. Сервисы безопасности
2. Антивирусная защита
2.1 Типы вредоносных программ
2.2 Принципы обнаружения вредоносных
программ
2.3 Выбор антивирусных средств
3. Межсетевое экранирование
4. Системы предотвращения утечки информации
5. Протоколирование и аудит
2

3. 1. Сервисы безопасности

3

4. Программно-технические меры защиты информации

Программно-технические меры защиты
информации - меры обеспечения защиты
информации, основывающиеся на применении
алгоритмов, программ, технических средств и решений
Предназначены для обеспечения:
• Целостности
• Конфиденциальности
• Доступности
4

5. Программно-технические меры защиты информации

Являются наиболее сильным и, как правило, последним
эшелоном защиты информации от действий
нарушителя
Направлены на обепечение безопасности:
• Объектов информационных систем;
• Программ обработки информации;
• Каналов связи и телекоммуникационных сетей;
• Информационных услуг.
5

6. Сервисы безопасности

Сервис безопасности – набор функций, реализуемых
системой защиты информации для обеспечения
защищенности АС.
hddfhm.com
6

7. Сервисы безопасности

Основные сервисы безопасности:
• Идентификация и аутентификация;
• Разграничение доступа;
• Протоколирование и аудит;
• Межсетевое экранирование и туннелирование;
• Криптографическая защита;
• Контроль целостности;
• Защита от вредоносного ПО;
• Резервное копирование и восстановление;
• Защита от утечек информации;
• Управление.
7

8. Сервисы безопасности

По отношению к угрозам безопасности информации
сервисы безопасности можно разделить на:
• Превентивные – препятствующие реализации угроз
• Меры обнаружения нарушений безопасности
информации
• Меры, локализующие нарушения безопасности
информации
• Меры по выявлению нарушителя
• Меры восстановления безопасности информации
8

9. Сервисы безопасности

На основе сервисов безопасности строится общая
система обеспечения безопасности информации
(СОБИ), состоящая из отдельных подсистем:
• Подсистема поддержки доверенной информационной
среды
• Подсистема идентификации и аутентификации
• Подсистема контроля доступа
• Подсистема защиты потоков
• Подсистема протоколирования и аудита
• Подсистема управления СОБИ
9

10. 2. Антивирусная защита

10

11. Профили защиты средств антивирусной защиты

fstec.ru
11

12. Антивирусная защита

ФСТЭК
Антивирусная защита – защита информации и
компонентов информационной системы (ИС) от
вредоносных компьютерных программ (вирусов)
(обнаружение вредоносных компьютерных программ
(вирусов), блокирование, изолирование «зараженных»
объектов, удаление вредоносных компьютерных
программ (вирусов) из «зараженных» объектов).
12

13. Антивирусная защита

Данный сервис безопасности направлен на защиту
информационной системы от различных вредоносных
программ (не тольковирусов)
remont-pc.kiev.ua
13

14. Антивирусная защита

Вредоносная программа – программа, используемая
для осуществления несанкционированного доступа к
информации или воздействия на информацию или
ресурсы информационной системы
14

15.

Антивирусная защита
Статья 273 УК РФ. Создание, использование и
распространение вредоносных компьютерных
программ
Feib.ru
15

16. Антивирусная защита

Вредоносная программа – программа, заведомо
предназначенная для несанкционированного
уничтожения, блокирования, модификации,
копирования компьютерной информации или
нейтрализации средств защиты компьютерной
информации
Feib.ru
16

17. Антивирусная защита

Вредоносные программы, в частности вирусы, могут
угрожать следующим аспектам безопасности
информации:
• Конфиденциальности,
• Целостности,
• Доступности.
17

18. Антивирусная защита

Вредоносные программы могут попадать в ИС
различными путями:
При посещении сайтов сети Интернет
При загрузке файлов из сети Интернет
При запуске программ в ИС
При получении писем электронной почты
При подключении внешних носителей информации.
18

19. Антивирусная защита

Примеры воздействия вредоносных программ наИС:
• Похищение конфиденциальной информации из
пользовательских файлов;
Предоставление нарушителю доступа к ресурсам ИС;
Блокирование пользовательских данных;
Блокирование работы ИС;
Перехват информации, вводимой с клавиатуры;
Сбор информации о действиях пользователя
19

20. Антивирусная защита

Угроза использования нарушителем вредоносных
программ актуальна для любой ИС, обладающей
какими-либо из следующих признаков:
• Имеется доступ в сеть Интернет;
• Пользователи могут подключать внешние носители
данных к аппаратному обеспечению ИС;
• Система является многопользовательской,
пользователи могут разрабатывать или запускать
программное обеспечение.
20

21. Антивирусная защита

Антивирусная защита необходима почти для любой ИС,
особенно при наличии доступа к сети Интернет.
Даже при отсутствии информации, представляющей
ценность, нарушитель может использовать
вредоносное ПО для получения доступа к ресурсам ИС
и ее дальнейшего использования для реализации
других угроз безопасности информации, в том числе и в
других ИС.
21

22. 2.1 Типы вредоносных программ

22

23. Типы вредоносных программ

Вирус – вредоносная программа, отличительной
особенностью которой является способностью к
созданию собственных копий, как правило, в пределах
одного зараженного ПК
Сетевой червь – вредоносная программа,
распространяющаяся по компьютерной сети, на основе
создания своих копий на ранее незараженных узлах
сети
23

24. Типы вредоносных программ

Классы вредоносных программ:
• Вирусы и черви;
• Троянские программы;
• Вредоносные утилиты;
• Программы, создающие уязвимости;
• Демонстраторы назойливой рекламы.
24

25. Типы вредоносных программ

Вирусы и черви
• Обладают способностью к несанкционированному
саморазмножению, причем у созданных копий такая
возможность сохраняется;
• Вирусы (Viruses) размножаются путем переноса
зараженных объектов пользователем;
• Черви (Worms) используют для заражения других
компьютеров сетевые ресурсы и сервисы.
25

26. Типы вредоносных программ

Троянские программы
• Реализуют несанкционированные действия,
направленные на нарушение безопасности
информационной системы;
• В отличие от вирусов и червей не создают
собственные копии;
• Классифицируются по виду вредоносного
воздействия на информационную систему.
26

27. Типы вредоносных программ

Троянские программы
• Бэкдоры (Backdoor) – предоставляют нарушителю
возможность скрытого управления зараженной
системой;
• Эксплоиты (Exploit) – создают дополнительные
уязвимости в системе;
• Руткиты (Rootkit) – позволяют скрывать вредоносных
объектов в системе от пользователя и стандартных
служб системы.
27

28. Типы вредоносных программ

Троянские программы
• Загрузчики – загружают в систему другие
вредоносные программы или их новые версии;
• Блокировщики – блокируют работу системы и, как
правило, требуют выкуп с ее владельца;
• Шифровальщики – шифруют пользовательские
файлы и, как правило, требуют выкуп с их
владельца;
• Другие типы троянских программ.
28

29. Типы вредоносных программ

Вредоносные утилиты
• Программмы, разработанные для автоматизации
реализации угроз информационной безопасности;
• Как правило, не реализуют угрозы в отношении
зараженной системы;
• Используются нарушителями для организации
вредоносных воздействий на другие системы.
29

30. Типы вредоносных программ

Вредоносные утилиты
Примеры:
• Конструкторы – программы для упрощенного содания
новых вредоносных программ;
• Программы для проведения атак типа «Отказ в
обслуживании»;
• Спуферы (Spoofer) – программы для подделки
адресов отправителей сетевых пакетов;
• Флудеры (Flooder) – программы для создания
бесполезных сообщений в сетевых каналах.
30

31. Типы вредоносных программ

Программы, создающие уязвимости (Riskware)
• Не являются вредоносными программами, но
содержат функционал, который может использовать
нарушитель;
• При злоумышленном использовании могут вызывать
нарушение работы системы, несанкционированные
копирование, уничтожение или модификацию
информации.
31

32. Типы вредоносных программ

Демонстраторы назойливой рекламы
• Демонстрируют пользователю назойливые
рекламные сообщения, зачастую затрудняя работу в
системе;
• Собирают данные об активности пользователя для
таргетирования рекламы;
• Могут входить в состав бесплатного и условнобесплатного программного обеспечения;
• Могут попасть в систему при посещении некоторых
веб-сайтов.
32

33. 2.2 Принципы обнаружения вредоносных программ

33

34. Антивирусная защита

ФСТЭК
Средство антивирусной защиты (САВЗ) –
программное средство, реализующее функции
обнаружения компьютерных программ либо иной
компьютерной информации, предназначенных для
несанкционированного уничтожения, блокирования,
модификации, копирования компьютерной информации
или нейтрализации средств защиты информации, а
также реагирования на обнаружение этих программ и
информации.
34

35. Принципы обнаружения вредоносных программ

Основные принципы:
• Сигнатурный анализ;
• Анализ поведения программы.
35

36. Принципы обнаружения вредоносных программ

Сигнатурный анализ
• Заключается в поиске известных участков кода
программы (сигнатур) в исследуемых файлах;
• Сигнатуры создаются поставщиком антивирусного
средства и должны постоянно обновляться для
соответствия актуальным вредоносным программам.
36

37. Принципы обнаружения вредоносных программ

Сигнатурный анализ
При обнаружении сигнатуры программа принимает
решение о том, что файл является зараженным, и,
запрашивая подтвержение пользователя или нет,
может:
• Удалить файл;
• Изолировать файл (поместить в карантин);
• Предпринять попытку исправления («лечения»)
файла.
37

38. Принципы обнаружения вредоносных программ

Сигнатурный анализ
• Обладает высокой точностью при обнаружении
известных вредоносных программ (сразу
определяется тип программы);
• Требует больших усилий по постоянной разработке
сигнатур, обновлению баз сигнатур;
• Не позволяет обнаруживать новые вредоносные
программы и модифицированные известные
вредоносные программы.
38

39. Принципы обнаружения вредоносных программ

Анализ поведения программы
Анализ поведения;
Анализ кода программы (эвристический анализ);
Эмуляция кода;
Запуск с ограниченными полномочиями;
Виртуализация окружения.
39

40. Принципы обнаружения вредоносных программ

Анализ поведения
• Основывается на перехвате и анализе всей
активности программы в защищаемой системе;
• Оценивается обращение к объектам, попытки
сетевых соединений, изменения собственных прав и
т. п.;
• На основе типичных сценариев поведения
вредоносного ПО принимается решение о
вредоносности исследуемой программы.
40

41. Принципы обнаружения вредоносных программ

Анализ кода программы (эвристическийанализ)
• Заключается в поиске в коде исполняемого объекта
участков, отвечающих за конкретные вредоносные
действия;
• Направлен на обнаружение вредоносных программ,
сигнатуры которых еще отсутствуют в базах сигнатур.
41

42. Принципы обнаружения вредоносных программ

Анализ кода программы (эвристическийанализ)
• Основывается на анализе известных вирусов и
знаниях о методах их модификации нарушителями;
• Может быть обойден путем использования новых
приемов модификации вирусов;
• Эффективен при наличии во вредоносных
программах действий, не используемых в легальных
программах.
42

43. Принципы обнаружения вредоносных программ

Анализ кода программы (эвристическийанализ)
• Склонен к значительному количеству ложных
срабатываний;
• Исправление «зараженного» объекта вызывает
затруднение.
43

44. Принципы обнаружения вредоносных программ

Эмуляция кода
• Заключается в запуске исследуемой программы в
среде эмуляции с целью отслеживания возможных
вредоносных действий;
• Снимает угрозу с реальных объектов
информационной системы;
• Требует значительных ресурсов системы для
реализации;
• Существуют технологии обнаружения эмуляции.
44

45. Принципы обнаружения вредоносных программ

Запуск с ограниченными полномочиями
(Sandboxing)
• Заключается в запуске в выделенной среде с
ограничением прав доступа, доступного дискового
пространства и т.д.;
• Снимает угрозу с реальных объектов
информационной системы;
• Направлен на обнаружение ранее неизвестных
вредоносных программ.
45

46. Принципы обнаружения вредоносных программ

Виртуализация окружения
• Заключается в перехвате запросов исследуемой
программы на запись и записи в выделенную область
– буфер, очищаемое при завершении работы
системы;
• Направлена на обнаружение ранее неизвестных
вредоносных программ;
• Не защищает от чтения с диска.
46

47. 2.3 Выбор антивирусных средств

47

48. Выбор антивирусных средств

• Пользовательские требования к средству
антивирусной защиты информации
– Наличие различных компонентов защиты
– Наличие возможности настройки
– Поддержка со стороны поставщика
• Влияние на работу системы
• Качество обнаружения вредоносных программ
48

49. Выбор антивирусных средств

Определение качества обнаружения вредоносных
программ
Рекомендация:
• Основа – тесты различных лабораторий,
специализирующихся на оценке качества САВЗ
• Сравнение результатов оценки нескольких
лабораторий, выбор тех, которые специализируются
на тестах, отвечающих потребностям системы
пользователя
49

50. Выбор антивирусных средств

Виды тестов САВЗ:
1. Процент обнаруженных угроз
a. Статическое тестирование - сканирование
каталога, в котором находятся зараженные и
обычные файлы (обычно сотни или тысячи).
Идеальный антивирус должен обнаружить
100% зараженных файлов, не допустив ни
одного ложного срабатывания.
50

51. Выбор антивирусных средств

Виды тестов САВЗ:
1. Процент обнаруженных угроз
b. Динамическое тестирование – проверка
реакции исследуемого средства на посещение
«зараженных» сайтов, почтовых вложений.
Проверяются различные защитные свойства
исследуемого средства, а также реакция на
наиболее актуальные угрозы.
51

52. Выбор антивирусных средств

Виды тестов САВЗ:
2. Процент ложных срабатываний – обычно
вычисляется одновременно с проведением теста на
процент обнаруженных угроз
52

53. Выбор антивирусных средств

Виды тестов САВЗ:
3. Тест эвристических технологий и поведенческого
анализа – проверка способности исследуемого
средства обнаруживать неизвестные угрозы
a) Ретроспективный тест;
b) Тест по специально подготовленным образцам.
53

54. Выбор антивирусных средств

Виды тестов САВЗ:
4. Процент удаленных вредоносных файлов – тест на
процент полностью удаленных файлов вредоносных
программ среди обнаруженных угроз;
5. Процент вылеченных файлов – тест на процент
«вылеченных» файлов среди обнаруженных
«зараженных» файлов;
6. Тесты на ресурсоемкость – проверка влияния
работы средтва на работу системы;
54

55. Выбор антивирусных средств

Виды тестов САВЗ:
7. Тест в экстремальных условиях – проверка
работоспособности антивируса при установке в
«зараженную» систему или при атаках на сам
антивирус;
8. Удобство использования – оценка удобства
пользовательского интерфейса, наличия или
отсутствия рекламы;
9. Тест скорости реакции – оценка времени
добавления сигнатур новых вирусов вбазу;
55

56. Выбор антивирусных средств

Некоторые лаборатории, проводящие тесты САВЗ:
Основной координатор - Организация по
стандартизации тестирования средств защиты от
вредоносных программ (Anti-Malware Testing Standards
Organization, AMTSO).
• Некоммерческая международная организация;
• Включает разработчиков и поставщиков САВЗ,
лаборатории, тестировщиков и исследователей.
amtso.org
56

57. Выбор антивирусных средств

Некоторые лаборатории, проводящие тесты САВЗ:
AV-Comparatives:
• Австрия;
• Проводит множество различных тестов с
подробными отчетами.
av-comparatives.org
57

58. Выбор антивирусных средств

Некоторые лаборатории, проводящие тесты САВЗ:
AV-Test:
• Германия;
• Проводит различные тесты множества антивирусов
для разных операционных систем.
av-test.org
58

59. Выбор антивирусных средств

Некоторые лаборатории, проводящие тесты САВЗ:
Virus Bulletin:
• Великобритания;
• Специализация на статических тестах с отчетом в
формате «прошел»/«не прошел».
virusbulletin.com
59

60. Выбор антивирусных средств

Некоторые лаборатории, проводящие тесты САВЗ:
AV-Lab:
• Польша;
• Проводит тестирования в условиях, приближенных к
реальным, есть отчеты на английском языке.
ru.clipartlogo.com
60

61. 3. Межсетевое экранирование

61

62. Руководящий документ

Средства вычислительной техники.
Межсетевые экраны.
Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного
доступа к информации
fstec.ru
62

63. Межсетевое экранирование

ФСТЭК
Межсетевой экран (МЭ) – локальное
(однокомпонентное) или функциональнораспределенное средство (комплекс), реализующее
контроль за информацией, поступающей в АС и/или
выходящей из АС, которое обеспечивает защиту АС
посредством фильтрации информации, т. е. ее анализа
по совокупности критериев и принятия решения о ее
распространении в (из) АС.
63

64. Межсетевое экранирование

Межсетевое экранирование - функция межсетевого
экрана, позволяющая поддерживать безопасность
объектов внутренней области, игнорируя
несанкционированные запросы из внешней области
blognat.ru
64

65. Межсетевое экранирование

Функции межсетевого экранирования:
• Разграничение межсетевого доступа субъектов одной
сети к объектам другой сети путем фильтрации
передаваемых данных;
• Контроль информационных потоков между сетями и
преобразование передаваемых данных;
• Регистрация событий, связанных с процессами
разграничения доступа, в частности фиксация всех
несанкционированных попыток доступа к
информации;
• Сигнализация о ситуациях, требующих немедленной
реакции.
65

66. Межсетевое экранирование

Межсетевой экран действует на основе определенных
правил, описывающих параметры сетевыхпакетов
Каждое правило устанавливает действие (пропуск или
блокирование) пакета на основе того или иного
параметра – протокола, адреса и порта отправителя,
адреса и порта получателя и др.
66

67. Межсетевое экранирование

На основе расположения МЭ делятся на:
• Внешние – отделяющие локальную сеть от
общедоступной сети;
• Внутренние – разделяющие отдельные сегменты
сети, принадлежащей АС.
Также МЭ классифицируются по уровню
функционирования на основе семиуровневой модели
OSI.
67

68. Межсетевое экранирование

Ограничения межсетевого экранирования:
• Не защищает от угроз, реализуемых на основе
уязвимостей программного обеспечения;
• Не защищает от загрузки пользователями
вредоносного ПО;
• Не защищает от других угроз со стороны внутреннего
нарушителя – главным образом, утечки информации.
68

69. 4. Системы предотвращения утечки информации

69

70. Системы предотвращения утечки информации

Предотвращение утечек информации (англ. Data Leak
Prevention, DLP) – сервис безопасности, включающий
технологии и системы предотвращения утечек
конфиденциальной информации из ИС.
70

71. Системы предотвращения утечки информации

DLP-система – программное или программноаппаратное средство, обеспечивающее предотвращение
утечки информации из ИС путем анализа исходящей из
нее информации и блокирования передачи при
обнаружении в передаваемых данных
конфиденциальной информации.
71

72. Системы предотвращения утечки информации

Основная задача DLP-системы – предотвращение
передачи конфиденциальной информации из
информационной системы
Могут решаться и второстепенные задачи
72

73. Системы предотвращения утечки информации

Дополнительные задачи DLP-систем:
• Архивирование пересылаемой информации для
дальнейшего исследования;
• Блокирование передачи не только
конфиденциальной, но и простонежелательной
информации (спам, письма, нарушающие деловой
этикет, массовые рассылки и т. д.);
• Предотвращение использования сотрудниками
ресурсов системы в личныхцелях;
• Другие задачи.
73

74. Системы предотвращения утечки информации

Распознавание конфиденциальной информации
осуществляется следующими способами:
• На основе формальных признаков информационных
объектов;
• На основе анализа содержимого передаваемых
сообщений.
74

75. Системы предотвращения утечки информации Анализ формальных признаков информации

Примеры признаков:
• Грифы документов, специальные метки;
• Контрольные суммы файлов.
• Требуется предварительная обработка информации;
• Минимизация ложных срабатываний системы;
• Вероятны пропуски конфиденциальной информации.
75

76. Системы предотвращения утечки информации Анализ содержимого передаваемой информации

• Не требует предварительной обработки информации;
• Способен обнаруживать конфиденциальную
информацию при умеренной модификации;
• Высокая вероятность ложных срабатываний.
Рекомендация – комбинирование методов.
76

77. Системы предотвращения утечки информации Компоненты DLP-системы:

• Сервер управления – служит для:
– объединения всех элементов в единую систему,
– определения принципов обнаружения
конфиденциальной информации,
– управления DLP-системой.
77

78. Системы предотвращения утечки информации Компоненты DLP-системы:

• Модули контроля передаваемой информации в
сетевых каналах:
– Обеспечивают обнаружение и блокировку
конфиденциальной информации в сети.
78

79. Системы предотвращения утечки информации Компоненты DLP-системы:

• Модули для рабочих станций и серверов:
– Контролируют присутствие конфиденциальной
информации на носителях информации;
– Контролируют манипуляции пользователя с
конфиденциальной информацией – копирование
на внешние носители, помещение в буфер
обмена, снятие экранных снимков.
79

80. 5. Протоколирование и аудит

80

81. Протоколирование и аудит

Инцидент информационной безопасности
(компьютерный инцидент) – любое событие, не
обязательно злоумышленное, заключающееся в
нарушении безопасности (любого ее аспекта)
инфомации или информационной системы.
В отличие от понятия «компьютерного преступления»
понятие «инцидент» не предполагает обязательное
наличие злого умысла и является более широким
В определенной мере, инцидент – это результат
реализации угрозы безопасности информации
81

82. Протоколирование и аудит

Протоколирование – фиксирование информации о
событиях, происходящих в информационной системе
Аудит – дальнейший анализ зафиксированной
информации с целью расследования инцидентов и
повышения защищенности ИС
82

83. Протоколирование и аудит

При протоколировании в интересах обеспечения
безопасности информации фиксируется информация
не о всех событиях, а только о событиях, касающихся
безопасности информации и ИС:
• вход и выход субъектов доступа,
• запуск и завершение программ,
• печать документов,
• попытка доступа к защищаемым ресурсам,
• изменение полномочий субъектов доступа.
83

84. Протоколирование и аудит

При протоколировании рекомендуется сохранять
следующие параметры событий:
дата и время события,
идентификатор субъекта, инициировавшего событие,
тип события,
результат действия (успех или неудача),
источник запроса,
имена затронутых объектов,
описание изменений, внесенных в базы данных
средств защиты информации.
84

85. Протоколирование и аудит

Этапы протоколирования и аудита:
1. Сбор и хранение данных – протоколирование;
2. Защита собранных данных от модификации
(обеспечение целостности);
3. Интеграция – приведение данных к единому
формату, исключение дублирующих записей и т. д.;
4. Анализ собранных и интегрированных данных –
аудит.
85
English     Русский Rules