Соображения по регистрации событий
Независимо от того, насколько тщательно в организации проводится контроль за безопасностью, большая часть нарушений всплывает только после того, как они были сделаны. В большинстве случаев администратор замечает признаки нарушений без чьей-либо помощи. Один из методов, применяемых администраторами при наблюдении за работой системы, заключается в проверке журналов, которые создаются в системе и в основных пакетах программного обеспечения. В журналах, создаваемых этими компонентами, фиксируются все операции, которые пользователи выполняют в системе или сети, а также фиксируются все ошибочные и успешные попытки доступа к системе.
Правила регистрации довольно сложны, поскольку невозможно составить общую формулировку, удовлетворяющую любой конфигурации системы. В тех случаях, когда считается непрактичным регистрировать каждую операцию, выполняемую в компьютерной системе, необходимо обеспечить поддержку сервисных систем, обслуживающих базы данных. В правилах может быть сказано, что в журналы должны заноситься все важные события, но кто может сказать, какие события являются "важными" для каждой сети и системы? Кроме того, для некоторых систем в отдельных организациях ведение журналов может быть необязательно. Например, в сервере, обслуживающем печать, функции регистрации могут быть отключены, поскольку вспомогательные системы печати могут хранить эту информацию в ином месте.
При рассмотрении правил регистрации событий необходимо разработать формулировку, которая предписывает регистрировать в журналах события, имеющие отношение к безопасности. Таким образом можно гарантировать, что для юридических разбирательств имеется информация, в которой зафиксированы факты нарушения безопасности. Ясно, что это может быть далеко не вся информация, используемая в таких случаях, но такая информация необходима. Дополнительные соображения по этому вопросу выглядят так.
- Журналы регистрации должны обеспечивать их проверку теми же системными средствами, какими создаются записи в этих журналах.
- Журналы регистрации должны предоставлять достаточно информации для обеспечения идентификации и отслеживания всех привилегированных операций системы.
- Журналы регистрации должны включать записи, фиксирующие подключение нового пользователя, а также все его действия, которые имеют отношение к безопасности.
- Что касается баз данных, то журналы регистрации могут понадобиться при восстановлении запорченной производственной информации.
В правилах регистрации событий нужно еще описать, как должна обрабатываться информация из журналов. Это очень важный процесс в технологии контроля безопасности, поэтому в правилах должны быть определены инструкции по обработке содержащейся в журналах информации. Этим будет гарантирована доступность содержимого журналов для администраторов. Некоторые полагают, что эти правила слишком обобщены, и что администраторы в них не нуждаются. Автор книги предполагает, что не все могут самостоятельно сделать необходимые выводы, поэтому рекомендует все-таки включить такие формулировки в правила. Обобщенный набор формулировок может выглядеть следующим образом.
Администраторы должны регулярно просматривать системные и другие журналы регистрации.
Просматривать файлы журналов могут только пользователи, которым даны на это права.
Администраторы должны предпринять необходимые меры предосторожности, чтобы исключить отключение заполнения журналов, их исправление или удаление.
При обнаружении нарушений этих правил или безопасности сетей администраторы должны выполнить установленные процедуры.
В отношении последней формулировки правил нужно сказать, что несмотря на легкость создания процедур обработки журнальных записей, их очень сложно реализовывать. Проблема заключается не в сборе информации, что относительно просто, а в том, что это действительно искусство – методическая работа с регистрационными записями и определение с их помощью, что же произошло на самом деле. Это требует большого опыта и времени.
И. наконец, в правилах необходимо оговорить, что делать с системными журналами по прошествии времени. Администраторы понимают, что записи в журналах должны циклически обновляться и даже удаляться из системы, чтобы дать возможность системе фиксировать новые события. Для такого управления работой с журналами должны быть разработаны правила, определяющие порядок замены и обновления журналов. При разработке этих правил нужно учитывать наличие в системе свободного дискового пространства и других системных ресурсов, а также требования к продолжительности хранения журналов.
Правила обновления могут меняться в зависимости от рода деятельности организаций, а также от разновидности журналов. Например, финансовые организации могут хранить записи о финансовых сделках сроком до 10 лет. чтобы можно было в будущем провести аудит. Кроме того, может потребоваться разработка правил обслуживания носителей, на которых записаны эти регистрационные журналы. Эти правила могут походить на правила создания резервных копий, которые обсуждалась в главе 2 "Определение целей политики".