Контроль целостности программных и информационных ресурсов

Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации. 

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса;

• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

• средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);

• средствами электронной цифровой подписи.

Контролируемые ресурсы:

• файлы и каталоги;

• элементы реестра;

• сектора дисков;

Контролируемые параметры:

• содержимое ресурса;

• списки управления доступом;

• атрибуты файлов;

Алгоритмы контроля:

• сравнение с эталоном;

• вычисление контрольных сумм (сигнатур);

• формирование ЭП и имитовставок;

Время контроля:

• до загрузки ОС;

• при наступлении событий;

• по расписанию.

Обнаружение атак

Обнаружение вторжений (атак) -  это процесс мониторинга событий, происходящих в АС, с целью поиска признаков нарушений безопасности.

Выше было сказано, что нарушением безопасности (просто нарушением или атакой) называется реализация угрозы безопасности (наступление соответствующего события).

Например, просматривая журнал регистрации событий и обнаружив там большое количество неудачных попыток аутентификации за короткий промежуток времени (Рис.  1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном случае, определённое число неудачных попыток аутентификации за определённый период времени — это и есть признак нарушения безопасности.

Теоретически, поиск признаков атак может выполняться вручную (в этом случае он сводится к рассмотренному выше анализу собранной средствами регистрации информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть механизма обнаружения атак состоит именно в автоматизации данного процесса.

Таким образом, система (средство) обнаружения вторжений (атак) -  это программное (или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения атак.

Попытки аутентификации

Для приведённого выше примера с журналом это означает, что система будет непрерывно осуществлять мониторинг журнала «Security» и при обнаружении там определённого количества записей, свидетельствующих о попытках аутентификации за единицу времени, будет произведено соответствующее оповещение (Рис.  1.7.14).

Консоль системы обнаружения атак

Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance».

В частности, Джеймс Андерсен предложил автоматизировать анализ результатов работы механизма регистрации   событий с целью сокращения  времени реагирования на нарушения.

Таким образом, появившись как дополнительная «надстройка» над механизмом регистрации событий, обнаружение атак стао вполне самостоятельным защитным механизмом.

В настоящее время системы обнаружения атак осуществляют поиск признаков нарушений в следующих источниках:

• сетевой трафик;

• журналы событий;

• действия субъектов системы.

Более подробно средства обнаружения атак будут рассмотрены ниже.