Политика безопасности предполагает контроль за работой КС и её компонентов, который заключается в фиксировании и последующим анализе событий в специальных журналах – журналах аудита. Периодически журнал просматривается администратором операционной системы или специальным пользователем – аудитором, которые анализируют сведения, накопленные в нём.
Если обнаружится успешная атака, то очень важно выяснить, когда и как она была проведена, не исключено, что это можно будет сделать по журналу аудита.
К подсистеме аудита предъявляются следующие требования.
1.Только сама КС может добавлять записи в журнал аудита. Это исключит возможность компрометации аудитором других пользователей.
2. Ни один субъект доступа, в том числе и сама КС, не может редактировать или удалять записи в журнале.
3. Журнал могут просматривать только аудиторы, имеющие соответствующую привилегию.
4. Только аудиторы могут очищать журнал. После очистки в него обязательно вносится запись о времени и имени пользователя, очистившего журнал. Должна поддерживаться страховая копия журнала, создаваемая перед очисткой. При переполнении журнала операционная система прекращает работу и дальнейшая работа может осуществляться до очистки журнала только аудитором.
5. Для ограничения доступа должны применяться специальные средства защиты, которые предотвращают доступ администратора и его привилегии по изменению содержимого любого файла.
Желательно страховую копию журнала сохранять на WORM-CD, исключающих изменение данных.
Для обеспечения надёжной защиты операционной системы в журнале должны регистрироваться следующие события
- попытки входа/выхода пользователей из системы;
- попытки изменения списка пользователей;
- попытки изменения политики безопасности, в том числе и политики аудита.
Окончательный выбор набора событий, фиксируемых в журнале, возлагается на аудитора и зависит от специфики информации, обрабатываемой системой. Слишком большой набор регистрируемых событий, не повышает безопасность, а уменьшает, так как среди множества записей можно просмотреть записи, представляющие угрозы безопасности.