Сбор, запись, хранение информации о событиях безопасности информационной системы.

Введение

Актуальность
Обеспечение комплексной защиты информации на предприятиях в настоящее время является актуальной задачей в силу того, что все большая часть технологических процессов предполагает использование систем обработки информации, что делает информационные системы дорогостоящим активом, нарушение функциональности которого может поставить под угрозу функционирование предприятий.
Стремительное развитие информационных и коммуникационных связано с необходимостью обмена большими массивами информации. Современное общество всецело зависит от информационных систем различного рода - от крупных информационных порталов банков и государственных служб до небольших прикладных систем, используемых в организациях.
Анализ событий, связанных с нарушением системы безопасности операционной системы, позволяет определять уязвимости, принимать меры к их устранению.
Цель работы заключается в анализе журналов событий безопасности ОС Windows.
Задачи работы:
- анализ основных видов и источников угроз информационным объектам в ОС Windows;
- анализ технологии ведения журналов безопасности ОС Windows;
- анализ функционала программных средств для анализа журнала событий информационной безопасности ОС Windows.
Объект исследования: информационная безопасность ОС Windows.
Предмет исследования: обработка данных о событиях информационной безопасности ОС Windows.

1.Общая характеристика обеспечения безопасности ОС Windows

В операционных системах семейства Windows поддерживаются тщательно продуманные модели безопасности, исключающие возможности получения несанкционированного доступа к файлам, процессам или отображению файлов. Защиту объектов можно провести из совместно используемых (разделяемых) объектов, и программисты располагают возможностями управления доступом к объектам с высоким уровнем детализации.
Операционная система Windows прошла регистрацию в Оранжевой книге Управления национальной безопасности США (National Security Agency Orange Book) в качестве системы, имеющей сертифицированный уровень безопасности С2, требующий проведения разграничительного контроля доступа с возможностями управления правами доступа к объектам на основании пользовательских идентификационных данных при попытке получения доступа к объектам. Также, система безопасности Windows имеет распространение на сетевую среду [8].
Тематика обеспечения безопасности объектов операционной системы является довольно обширной. Рассмотрим алгоритмы обеспечения API безопасности Windows для решения задач обеспечения защищенности объектов от несанкционированного доступа.
Для доступа к объектам в Windows используются атрибуты безопасности, которые могут устанавливаться автоматически или административно на уровне файловой системы.
В случае работы с файлами при проверке и изменении некоторых атрибутов безопасности объектов NTFS можно использовать проводник (Windows Explorer).
Практически для всех объектов, которые создаются посредством системных вызовов Create, предусматриваются параметры атрибутов безопасности (security attributes). Таким образом, программным способом возможно обеспечивать защиту файлов, процессов, потоков, событий, семафоров, именованных каналов и так далее. Первый этап обеспечения безопасности предполагает включение указателей на структуру SECURITY_ATTRIBUTES в вызове Create. По умолчанию установлено значение NULL для данного указателя или же используется структуру SECURITY_ATTRIBUTES при создании наследуемых дескрипторов. В процессе реализации системы защиты объекта большую роль играет компонент lpSecurityDescriptor, входящий в структуру SECURITY_ATTRIBUTES, который является указателем на дескриптор безопасности, содержащий данные о владельцах объекта и определяющий список пользователей доступны те или иные режимы работы с защищаемыми объектами.
Структура SECURITY_ATTRIBUTES включает следующие компоненты [7]:
type def struct _SECURITY_ATTRIBUTES {
DWORD nLength;
LPVOID lpSecurityDescriptor;
BOOL bInheritHandle;
} SECURITY ATTRIBUTES;
Значение параметра nLength по умолчанию установлено равным:
sizeof(SECURITY_ATTRIBUTES)
Параметр bInheritHandle осуществляет управление свойствами наследования дескрипторов объекта другими процессами.
Система безопасности платформ семейства Windows базируется на моделях безопасности в разрезе пользователей пользователя или групп пользователей. Для каждого пользователя, зарегистрированного в системе, зарегистрирована собственная учетная запись, содержащая персональные данные о пользователе. Эти данные используются сист