Заметки курса
Наблюдай и властвуй
Аудит или наблюдение является обязательным и важным процессом при построении защищенной системы. Для того, чтобы лучше понять, что и когда лучше использовать, предлагаю обратить внимание на следующие ресурсы. Базовой составляющей наблюдения за системой является системный аудит. Подробнее, о его настройке можно прочитать здесь: Несколько дополнительных материалов:
Результатом работы системного аудита является набор журналов (логов), содержащих подробную информацию о событиях. Для работы с журналами можно использовать штатное средство анализа? такое как средство настройки и просмотра журналов Windows, или дополнительные инструменты:
На следующем уровне процесса наблюдения используются различные системы мониторинга. Одним из штатных средств системы мониторинга для Windows является Системный монитор и Счётчики производительности. Подробнее об этих средствах рекомендую прочитать здесь:
Порой, за той же производительностью можно наблюдать и с помощью более подручного средства - окна Диспетчера задач. Хорошей заменой привычному диспетчеру задач, позволяющей более глубоко мониторить и анализировать происходящее с процессами, является утилита Process Explorer. С целью хранения и проведения централизованной аналитики событий, необходимо решить задачу консолидации событий или логов. Существуют штатные средства для работы с журналами Windows: так и средства, которые могут работать не только для Windows:Для обработки данных логов с целью их последующего анализа, рекомендуется использовать специализированные средства. Одно из основных для платформы Windows является LogParser: Наконец, если говорить о специализированных системах мониторинга, то предложил бы вашему вниманию начать с информации простых wiki статей: или воспользоваться подборкой (обзором) инструментария: Более 60 инструментов для мониторинга Windows В качестве итога, замечу, что наша жизнь (как и жизнь любых систем) имеет множество закономерностей, наблюдая за которыми появляется возможность предугадать и оказаться в нужное время в нужном месте. Так что наблюдайте с пользой и удовольствием. |
Общие понятия - опасность и безопасность
На последней встрече обсуждались общие понятия информационной безопасности и процесса построения защищенной системы. Данный вопрос требует глубокой проработки и понимания, поэтому к нему придется возвращаться не раз. Для более глубокого погружения в тему. предлагаю изучить материалы презентации "Общие понятия безопасности", просмотреть ресурсы, рекомендуемые в конце презентации и просмотреть статью и комментарии к ней (особенно комментарии) на "Хабре". Статья в сочетании с большим количеством комментариев объёмна, но советую прочитать все мнения хотя бы за несколько подходов. Цель прочтения статьи - познакомится с противоречивостью определений и методов в зависимости от выбранного контекста. Для закрепления материала и ориентирования в общих понятиях, для классификации факторов риска, угроз и средств обеспечения защиты от них, предлагаю самостоятельно (или в компании с коллегами) заполнить несколько таблиц: |
По следам маски
На последней встрече нами бурно обсуждались вопросы IP адресации, разновидностей IP адресаций и маски. Особенно много вопросов возникло вокруг такого понятия как маска подсети. На эту тему было сказано много слов и задано много вопросов. Один из главных: зачем же указывается маска на конечном узле и на что это может повлиять? Однозначно ответить нельзя, т.к. необходимо знать дополнительные характеристики сети - настройки маршрутизаторов, операционных систем и даже, возможно, программных систем. Поэтому ответ будет носить предположительный характер: операционная система может использовать информацию о маске для того, чтобы принимать решение о направлении пакетов - на узел или на шлюз. В большинстве же случаев маска используется в таблицах маршрутизации. Я порекомендую несколько ресурсов, которые помогут более глубоко освоить понятие маски подсети и её предназначение: |
1-3 of 3