Подсистема регистрации представляет собой совокупность средств, используемых для регулярного сбора, фиксации и выдачи по запросам сведений о всех обращениях к защищаемым компьютерным ресурсам, а также доступе в вычислительную систему и выходе из нее.
Для защиты от сбоев и отказов регистрируются также сведения о всех действиях пользователей и программ по модификации данных на внешних информационных носителях.
Основной формой регистрации является программное ведение специальных регистрационных журналов, представляющих собой файлы на внешних носителях информации.
При регистрации сведений по обращению к вычислительной системе и ее ресурсам рекомендуется фиксировать:
• время поступления запроса;
• идентификатор пользователя, от имени которого выдан запрос;
• идентификатор компьютера (терминала), с которого поступил запрос;
• содержание сообщения в составе запроса;
• реквизиты защиты (полномочия пользователей, пароли, коды, ключи и др.), используемые при выполнении запроса;
• время окончания использования ресурса.
Имея такие сведения, в любой момент можно получить статистические данные относительно компьютеров (терминалов), пользователей и программ, запрашивающих доступ, а также сведения о результатах выполнения запросов и характере использования запрашиваемых ресурсов.
При регистрации всех действий пользователей и программ по модификации данных на внешних информационных носителях следует фиксировать все изменения как системной, так и несистемной информации между непротиворечивыми состояниями файловой Структуры и содержимого файлов. Это обеспечивает поддержание логической целостности данных на основе возможности их восстановления при возникновении сбоев и отказов программно-аппаратных средств вычислительной системы. Например, если при перемещении файла отказ произойдет между стадиями обновления информации в системной области и области данных диска, то возникшее противоречивое состояние файловой структуры без зарегистрированной информации по модификации данных можно будет устранить только отменой сделанных действий, что не позволит полностью восстановить перемещаемый файл.
Регистрационные журналы способствуют решению следующих задач:
• регулирования использования средств защиты в процессе функционирования вычислительной системы;
• фиксации всех нарушений правил обращения к защищаемым ресурсам;
• наблюдения за использованием реквизитов защиты (полномочий пользователей, паролей, ключей и т. д.);
• восстановления информации, и работоспособности вычислительной системы после возникновения сбоев и отказов программно-аппаратных средств;
• анализа процесса поддержания безопасности информации и процесса ее обработки с целью совершенствования системы защиты;
• настройки компонентов системы защиты и других компонентов вычислительной системы, особенно библиотек программ и элементов баз данных в соответствии с частотой их использования. Сам факт ведения регистрационных журналов в вычислительной системе оказывает психологическое воздействие на потенциальных нарушителей, удерживая их от злоумышленных действий.
В общем случае подсистема сигнализации предназначена для выполнения следующих функций:
• своевременного уведомления специалистов службы безопасности вычислительной системы (ВС) о несанкционированных действиях пользователей и программ, нарушении работоспособности
системы защиты, а также возникновении сбоев и отказов в работе программно-аппаратных средств;
• предупреждения пользователей ВС о необходимости соблюдения предосторожностей при работе с секретными данными.
Первый вид сигнализации осуществляется путем формирования и выдачи службе безопасности ВС специальных сигналов при обнаружении несанкционированных действий пользователей и программ, нарушении работоспособности системы защиты, а также возникновении сбоев и отказов в работе программно-аппаратных средств. Содержание такого сигнала должно включать:
• информацию о самом факте наступления соответствующего события;
• сообщение о месте, времени и характере события;
• информацию 6 пользователях, программах или устройствах, связанных с возникновением отслеживаемого события.
Сообщение сигнала, выводимое на печать или экран терминала, должно программно регистрироваться в специальном журнале учета и может сопровождаться звуковым и световым сопровождением.
Для пресечения злоумышленных действий важное значение имеет выигрыш во времени, необходимый для принятия соответствующих мер.
В то же время злоумышленник может почувствовать, что его несанкционированные действия обнаружены, и, прекратив эти действия, попытаться их скрыть. Если же в целях конспирации принимаемых мер не реагировать на злоумышленные действия, то может произойти утечка информации или злоумышленник попытается нарушить работоспособность системы.
В качестве выхода из такой ситуации предлагается создавать специальные программы, осуществляющие имитацию нормальной работы с нарушителем, предоставляя этим самым необходимое время для его задержания. В процессе имитации могут выполняться следующие действия:
• увеличение количества вопросов, задаваемых подозреваемому в диалоговом режиме при выполнении запроса;
• искусственная задержка времени перед каждым вопросом, задаваемым подозреваемому;
• указания повторить запуск, мотивируя это тем, что произошел программно-аппаратный сбой;
• выдача подозреваемому сообщения о том, что его запрос принят и поставлен в очередь.
Основными требованиями к таким программам имитации являются обеспечение требуемого времени работы с нарушителем, закрытие доступа к секретным сведениям закрытия и средствам поддержания работоспособности ВС, а также естественность. Последнее требование предполагает, что все задаваемые подозреваемому вопросы должны быть естественными и обычными в практике работы данной ВС.
Предупреждение пользователей о необходимости соблюдать предосторожности при работе с секретными данными осуществляется путем автоматического формирования и присвоения специального признака (грифа секретности) всем выдаваемым на печать или устройства отображения страницам документов (форм), содержащих защищаемую информацию. При этом, если в защищаемом документе (форме) используется несколько элементов данных с разными уровнями секретности, то гриф секретности документа (формы) определяется по максимальному уровню.
Важную роль играет также сигнализация, проводимая с помощью пользователей вычислительной системы. Для реализации данной сигнализации необходимо сообщение каждому пользователю после успешного подтверждения его подлинности при входе в компьютерную систему следующих сведений:
• даты и времени начала и окончания его последнего сеанса работы;
• количества неуспешных попыток установления сеанса работы при регистрации с его идентификатором со времени окончания его последнего сеанса работы, а также даты и времени совершения каждой из этих попыток.
Сведения о последнем сеансе работы, который пользователь не проводил, позволяют установить факт имевшего место несанкционированного сеанса работы, в процессе которого злоумышленник, узнав или подобрав пароль, маскировался под данного пользователя. В этом случае пользователю необходимо немедленно сообщить об этом факте службе безопасности, сменить пароль, а также выяснить и по возможности устранить причины и последствия случившегося несанкционированного действия.
Сведения об имевших место неуспешных попытках установления сеанса работы при регистрации с идентификатором пользователя со времени окончания его последнего сеанса работы дают возможность своевременно узнать о том, что кто-то пытается осуществить несанкционированный доступ, маскируясь под данного пользователя. В этом случае пользователю также следует сообщить об обнаруженных попытках несанкционированных действий службе безопасности и при необходимости принять меры для усиления зашиты.