Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности



         

Протоколирование и аудит


Протоколирование и аудит в системах ИБ обеспечивают возможности для реконструкции прошедших событий и их анализа с целью выявления нарушений, выработки мер к недопущению (исключению) деструктивных воздействий на объект защиты. Степень (объем) применения этого вида сервиса определяется политикой безопасности продукта или системы ИТ. С развитием и усложнением объектов защиты функции этого традиционного вида сервиса значительно расширились. В настоящее время протоколирование и аудит являются базовыми сервисами для формирования так называемых подсистем активного аудита [28,60]. В условиях отсутствия гарантированно защищенных ОС, невозможности практического пресечения организации скрытых каналов передачи данных, особенно для распределенных систем в Интернет, а также целого ряда других "объективных уязвимостей" в традиционном комплексе средств защиты, подсистемы активного аудита способны существенно повысить уровень безопасности продуктов и систем ИТ. Оперативно анализируя разноплановые результаты протоколов о состоянии подлежащего защите объекта, такая подсистема призвана оперативно обнаружить попытку (потенциальную угрозу) деструктивного воздействия и выработать меры по его предотвращению.

Перспективы создания эффективных подсистем активного аудита в значительной степени связаны с соединением в их составе всех достижений предшествующих продуктов, включая:

  • разработки, ориентированные на монокомпьютерные комплексы, где главную роль играют системные сенсоры, средства их анализа и выработки мер для адекватной реакции;

  • средства, ориентированные на распределенные структуры, сетевые сенсоры (на основе как пассивных, так и активных методов измерения), механизмы и модели анализа результатов, выработки оперативных мер противодействия деструктивным действиям извне.
  • Архитектура подобных комплексных систем активного аудита должна быть многоуровневой, где, например, результаты анализа на уровне отдельного компьютера или вычислительного узла, должны дополняться сведениями о состоянии сетевых межкомпьютерных взаимодействий, сетевых сервисов и т. п.




    Содержание    Вперед