Аудит в ЗОСРВ КПДА.10964-01

Все события безопасности, включая определенные в требованиях РД СВТ по третьему классу и РД АС по классу защищенности 1Б, отображаются и хранятся в журнале аудита.

Сбор событий безопасности происходит благодаря запуску из образа защищенной версии ядра и запущенной (также из образа) утилите auditlogger_ksz. Графическое отображение событий осуществляется в панели управления КСЗ (ПУ КСЗ) в оболочке Photon, либо из командной строки консольной утилитой auditprinter_ksz.

Но запись всех событий безопасности может быть не всегда удобна, например, при обращении к объектам, имеющим владельца root, и от имени пользователя root, к объектам, не имеющим грифа, и при работе под учетной записью пользователя с уровнем доверия «0». В этом случае в журнал записывается много неинформативных событий. Запись таких событий в журнал может осложнить поиск нужной информации в нем, а также сильно увеличивает объем хранимых данных, что для систем с ограниченным объемом памяти может быть критично.

Поэтому, при отсутствии передачи специальных параметров ядру, по умолчанию включается так называемый базовый режим аудита, т.е. такой, в котором в журнал записываются все события безопасности, кроме попыток доступа к объектам от имени суперпользователя root, а также имеющих владельца root, попыток доступа к объектам без грифа и от имени пользователей с уровнем доверия «0».

Исходя из этого, введены два дополнительных режима аудита – расширенный и дополненный. Расширенный режим аудита (опция «А») включает регистрацию событий доступа к объектам без грифа и от имени учетной записи с уровнем доверия «0». Режим дополненного аудита (опция «r») включает запись событий обращения к объектам под учетной записью root, а также к объектам, имеющим владельца root.