Мониторинг функционирования ИС

 

Мониторинг системы  полу­чение и анализ информации о состоянии ресурсов си­стемы с помощью специальных средств контроля. Та­кими средствами могут быть различные системные утилиты или прикладные программы, выводящие ин­формацию непосредственно на системную консоль или другое определенное для этой цели устройство. Отли­чительная особенность мониторинга — получение и анализ информации, осуществляемые в реальном вре­мени.

Приведем перечень ситуаций возможного наруше­ния защиты, информацию о которых можно получить с помощью мониторинга:

 в списке пользователей упомянуты такие, которые не должны в настоящее время работать в системе;

 неожиданные события при загрузке системы;

 нарушения физической защиты — неработоспособ­ны или утеряны носители информации;

 изменения в списке пользователей, допущенных к защищенным файлам;

 появление в системных библиотеках выполняемых модулей, которые не были проверены;

 обнаружение выполнения неизвестных программ при контроле системы;

 добавление неизвестных имен к списку привилеги­рованных пользователей;

 в ИС обнаружены неизвестные устройства;

 изменение характера работы пользователей.

Этот список может быть дополнен еще множеством других ситуаций. Для каждой ИС такой список инди­видуален. Здесь приведены лишь наиболее часто встре­чающиеся ситуации, которые могут сигнализи-ровать об угрозе. Появление каждой из них должно быть тщатель­но и своевременно проанализировано во избежание потенциальной опасности.

Кроме того, средства контроля, как правило, фик­сируют сведения о прошедшем событии. Например, большинство систем имеет средства протоколирования сеансов работы отдельных пользователей. Отчеты об этом помогут обнаружить:

 неизвестные имена пользователей;

 настораживающие характеристики сеансов — не­урочные часы или дни работы, например чрезмерное использование ресурсов системы; источники некор­ректных входов в систему, узлы сети, удаленные тер­миналы и др.

Одним из основных средств контроля является системный журнал, способству­ющий предотвращению возможных нарушений.

В журнале оперативно фиксируются происходящие в системе события, например:

 вводимые команды и имена выполняемых программ;

 доступ к определенным наборам данных или устрой­ствам и его параметры;

 вход/выход пользователей из системы;

 имя терминала или другого устройства, с которого был осуществлен ввод команды или запуск програм­мы;

 другие события.

Естественно, с помощью одного системного журна­ла не всегда удается определить источник нарушения, однако он, несомненно, позволяет значительно сузить круг подозреваемых.

Мониторинг функционирования системы и систем­ный журнал дают умелому администратору мощное средство слежения за функциони-рованием системы. Однако изобилие информации, поступающее в резуль­тате мониторинга и анализа системного журнала, мо­жет быть эффективно обработано лишь при наличии у администратора специальных средств работы с этой информацией.

Устранение нарушений

 

Используя информацию, поступающую от пользовате­лей, на основе мониторинга и записей системного журнала, оператор системы должен своевременно об­наруживать нарушения и предпринимать меры по их локализации и устранению. Если его знаний или пол­номочий недостаточно, такую работу выполняет адми­нистратор безопасности.

В случае установления попытки или факта проник­новения в систему администратор безопасности или оператор обязан предпринять следующие меры:

 локализовать нарушение;

 установить личность нарушителя;

 предотвратить дальнейшие нарушения;

 попытаться устранить последствия нарушения.

Установить личность нарушителя очень просто с по­мощью соответствующего вида контроля, если он яв­ляется пользователем данного узла сети. В этом слу­чае имя нарушителя фиксируется в системном журнале вместе с характеристиками нарушения. Далее следуют организационные выводы.

Если нарушитель является пользователем другого узла сети, свои действия необходимо согласовывать с администратором защиты этого узла. Дело в том, что системный журнал данного узла может зафиксировать только точку входа в систему и характеристики входа. Так, если проникновение произошло с удаленного узла, то системный журнал зафиксирует только его имя. С помощью другой информации можно проследить вход в лучшем случае до соседнего узла, т.е. установить имя его пользователя, осуществившего вход на данный узел.

Установление нарушителя, осуществившего про­никновение издалека с помощью сети, задача сложная и порой неразрешимая. Даже если удастся определить имя нарушителя, то, во-первых, сложно установить, кто скрывается за ним, а во-вторых, наказать его. Пос­ледняя задача иногда вообще нереальна. Он может на­ходиться в другой организации, другом городе или за границей. Такие методы применяются лишь в самых крайних случаях, поскольку требуют много времени (до месяца и более), труда, привлечения дополнитель­ных специалистов и, следовательно, денежных средств.

Всегда предпочтительнее использовать превентив­ные меры, чем потом тратить время и деньги на поиск нарушителя (а поиск может и не увенчаться успехом). Единственный надежный способ избежать этих слож­ностей — установить контроль за проникновением в ИС и постараться не допускать его.