Руководство по выработке правил разграничения доступа к ЭВМ

Меняйте график наблюдения


Задача наблюдения за АС не является настолько устрашающей, как это может показаться. Системные администраторы могут выполнять многие из команд, используемых для наблюдения, на протяжении всего дня в свободное время (например, во время телефонного разговора), а не в фиксированное время, специально выделенное для наблюдения за АС. Выполняя команды часто, вы скоро научитесь узнавать "нормальные" результаты, и будете легко замечать нестандартные ситуации. Кроме того, запуская различные команды наблюдения в разное время в течение всего дня, вы усложняете для злоумышленника предсказание ваших действий. Например, если злоумышленник знает, что каждый день в 17:00 система проверяется на предмет того, все ли завершили работу с АС, он просто подождет, пока проверка не закончится, а потом опять войдет в АС. Но злоумышленник не может предугадать, когда системный администратор введет команду отображения всех работающих пользователей, и поэтому подвергается гораздо большему риску быть обнаруженным.

Несмотря на преимущества, которые дает регулярное наблюдение за АС, некоторые злоумышленники могут быть осведомлены о стандартных механизмах входа в АС, используемых в СВТ, которые они атакуют. Они будут активно вмешиваться в их работу и пытаться отключить механизмы наблюдения. Поэтому регулярное наблюдение полезно при обнаружении злоумышленников, но не дает никакой гарантии, что ваша АС защищена. Так что не стоит рассматривать наблюдение как непогрешимый метод обнаружения незаконного использования АС.

| |



Содержание раздела