Мгновенные снимки используются ESM для осуществления контроля целостности программной и информационной частей ОС и приложений и для отслеживания изменений в конфигурации системы. Мгновенные снимки содержат значения атрибутов объектов, специфичные для данной системы, такие как времена создания и модификации, контрольные суммы и права доступа к файлам, привилегии пользователей и т. п. Файлы, содержащие мгновенные снимки, создаются при первом запуске политики безопасности на контролируемой системе. В ходе последующих запусков состояние системы сравнивается с мгновенными снимками предыдущих состояний и все различия, обнаруженные в параметрах конфигурации и атрибутах системных объектов, рассматриваются в качестве потенциальных уязвимостей. Состояния объектов сравниваются с мгновенными снимками и сообщения обо всех отличиях посылаются Менеджеру, где они записываются в базу данных безопасности.
Каждый агент ESM создает несколько файлов мгновенных снимков под названиями: File, User, Group, Device и т. п. Файлы User, Group и Device содержат информацию о состоянии соответствующих системных объектов. Файл User содержит данные пользовательских бюджетов, включающие пользовательские полномочия и привилегии. Файл Group содержит данные о группах пользователей, включая полномочия и привилегии для группы, а также список членов группы. Файл Device содержит имена владельцев, права доступа и атрибуты устройств.
|
|
В отличие от других файлов мгновенных снимков File используется для сравнения со специальными шаблонами с целью обнаружения подозрительных изменений фалов, вирусов и троянских коней.
Специализированные модули безопасности, дополнительно устанавливаемые на агентов Oracle modules, Web modules и т. п., могут использовать собственные виды мгновенных снимков.
Рисунок 10. Результаты проверки системы на соответствие политике безопасности 3:с Strict при помощи ESM