Средства мониторинга трафика запросов к БД (или Системы аудита и контроля действий пользователей) - класс продуктов, предлагающих решение для регистрации действий (активности) пользователей на уровне БД и анализа собранной информации. Это позволяет в режиме реального времени рассылать уведомления и подготавливать отчеты о том, кто получает доступ и к какой именно информации, а также как эти действия могут нарушить требования внешних регулирующих органов или внутренние правила безопасности.
Данные средства осуществляют контроль всего SQL-трафика, идущего от клиента к серверу, включая локальные запросы, а не только отдельных SQL-запросов, на которые настроены опции аудита СУБД. Таким образом, максимально снижается риск упустить какое-либо событие, связанное с БД. Любое обращение к БД фиксируется, затем анализируется на основе заведенных в системе правил (фильтров), и в случае их срабатывания формируется событие ИБ.
Правила позволяют не только отследить такие стандартные события, как факт входа/выхода в/из БД, обращение к данным, изменение структуры БД и т.п., но и позволяют осуществлять контроль по объему скаченных данных, по используемому приложению для обращения к БД. Таким образом, есть возможность отследить "слив" информации, кражу БД. Все правила легко задаются с помощью GUI и глубоких знаний SQL/PL-SQL не требуется. Также, есть возможность установить фильтры на наличие определенных слов, условий в SQL-запросах, определить список доверенных пользователей и источников запросов. Такую фильтрацию стандартными средствами СУБД сделать либо невозможно, либо для этого требуется писать сложные SQL-скрипты, как, наример, при использовании Oracle Fine-Grained Auditing.
Таким образом, данные средства позволяют в режиме реального времени ответить на вопросы: "Кто что сделал? когда? где? откуда? с помощью каких средств? и каков результат?", а также создавать различные отчеты для руководства и аудиторов при прохождении аудита на соответствие предъявляемым требованиям.
Подробнее о том, что представляют собой средства мониторинга, а также об основных их преимуществах и о примерах внедрения подобных средств читайте в статье Марии Датриевой, зам. начальника отдела проектирования и управления ИБ, ЗАО "Ай-Теко"
Вы хотите прокомментировать статью? Есть вопросы к автору? Хотите поделиться своей точкой зрения на рассматриваемую проблему? Пишите главному редактору журнала "Information Security/Информационная безопасность" Марии Калугиной (kalugina@groteck.ru)
По вопросам размещения рекламных материалов в журнале обращайтесь к руководителю проекта "Информационная безопасность" Наталье Рохмистровой (rohmistrova@groteck.ru). Тел.: (495) 609 32 31.