Руководство по выработке правил разграничения доступа к ЭВМ



         

Глава 1 Аудирование


Аудирование - это важное средство, которое может быть использовано для повышения защищенности вашей организации. Оно не только позволяет вам идентифицировать, кто имел доступ к вашей АС (и мог что-нибудь сотворить с ней), но также показывает вам, как ваша АС использовалась санкционированными пользователями и атакующими. Кроме того, протоколирование действий, традиционное производимое АС, может стать бесценной подсказкой при ответе на вопрос, было ли осуществлено проникновение в вашу АС.

3.9.8.1.1 Проверка защищенности

Протоколирование показывает, как ваша АС используется каждый день. В зависимости от того, как сконфигурирована система протоколирования, ваши файлы-журналы могут содержать информацию о доступе к различным вычислительным ресурсам, что может соответствовать нормальному использованию АС. Отклонения от нормального использования могут быть результатом проникновения извне, использующего старое регистрационное имя. Появление отклонений при входах в АС, например, может служить первым признаком того, что происходит что-то необычное.

3.9.8.1.2 Проверка конфигурации программ

Одной из уловок, используемых атакующими для получения доступа к АС, является добавление так называемых троянских коней. Это программы, которые делают что-то полезное, или просто интересное (например, новая игра). Кроме этого, они делают что-либо неожиданное, например крадут пароли или копируют файлы без вашего ведома[25]. Представьте себе троянскую программу для входа в АС, которая выдает вам подсказку для ввода имени и пароля как обычно, но также записывает эту информацию в специальный файл, который атакующий может скопировать и потом прочитать. Представьте себе троянского редактора, который несмотря на права доступа, назначенные вашим файлам, копирует все из вашего каталога без вашего ведома.

Это указывает на необходимость управления конфигурацией программ, работающих в вашей АС, не тогда, когда они разрабатываются, а когда они используются. Для этого используется ряд технологий от проверки каждой программы каждый раз перед ее выполнением по некоторому правилу (например, алгоритму контрольной суммы) до простого сравнивания даты и времени выполняемых файлов.


Содержание  Назад  Вперед