Аудит базы данных – это процедура трассировки потоков данных в БД для проверки работы компонентов, обнаружения и устранения ошибок. По результатам проведения аудита можно сформировать перечень мероприятий, направленных на повышение стабильности системы и защиты от несанкционированного доступа, кибератак. Без работы аудиторов владелец БД рискует потерять ценную информацию, которая хранится на выделенных серверах.

Задачи аудита баз данных

Комплексная проверка включает следующие этапы:

1. Формирование перечня действий для повышения эффективности работы элементов БД.
2. Обновление баз до состояния, актуального на момент проведения оценки.
3. Аудит ошибок в системе, из-за которых все пользователи, либо отдельные группы, не способные получить нужные данные.
4. Полное устранение ошибок, вызывающих нестабильную работу БД.
5. Оптимизация времени на получение доступа, повышение скорости отклика БД на действия пользователей.

Работа начинается с рассмотрения целей аудита. К настоящему времени руководители организаций могут заказать комплексный или выборочный аудит базы данных SQL. Первый вариант хоть и обходится дороже, но в иерархии считается более предпочтительным. Он позволяет получить развернутые данные аудита об актуальном состоянии системы, наличии ошибок, неправильном выполнении событий. Выборочный аудит проводится для проверки работы исполнительных файлов на ответственном объекте или группе объектов в случае, когда другие компоненты системы работают исправно или недавно доработаны.

Результаты аудита

На основе глубокого аудита данных SQL можно:

• дать независимую оценку уровня безопасности инфобазы;
• проконтролировать все данные, которые задействовали пользователи, убедиться в их целостности;
• составить перечень слабых мест, совершенствование которых повысит уровень безопасности базы данных;
• разработать перечень рекомендаций по дальнейшей эксплуатации БД с максимальной защитой хранящейся информации.

В рамках процедуры формируется журнал аудита, который содержит полный перечень событий, нуждающихся в проверке. 

Комплексный независимый аудит помогает проверить, были ли:

• случаи, когда с учетной записи администратора предоставлялось право доступа третьим лицам;
• посторонние вмешательства в структуру файлов, хранящихся в БД;
• ситуации, когда в доступе к базе данных было отказано пользователям, которым в админпанели это разрешено;
• совершены действия, напрямую угрожающие безопасности БД;
• попытки выполнить действия от имени пользователя, не имеющего прав доступа к ценной информации;
• предприняты действия, направленные на изменение программного комплекса или серверных настроек.

Для формирования результатов аудита специалисты используют два файла – Audit Logs и Audit Trail. В каждом хранится перечень записей в БД, составленных в хронологическом порядке, необходимых для подтверждения факта внесения изменений в базу. При проведении аудита можно проверить, какие действия совершал конкретный пользователь, сформировать перечень файлов, которые могли украсть или отредактировать. При обнаружении правок, после аудита остается восстановить предыдущую версию документа через бэкап.

Когда нужна помощь экспертов 

Каждый руководитель должен понимать, что задачи, выполняемые аудитом, практически невозможно решить самостоятельно, без помощи экспертов. Для полного аудита необязательно вызывать специалистов в компанию. Достаточно выдать аудитору временные права доступа, чтобы он проверил SQL server, а также оказал другие услуги в рамках аудита.

Преимущества внешнего аудита очевидны:

1. Над выполнением аудита работает команда технических специалистов экспертного уровня.
2. При возникновении непредвиденных инцидентов аудиторы отреагируют оперативно.
3. Благодаря регулярному проведению аудита поддерживается эффективность и стабильность информационной системы.
4. Эксперты досконально ориентируются в правильной последовательности действий, тем самым выполняя аудит в максимально сжатые сроки.
5. После аудита IT-инфраструктура начнет работать с увеличенной производительностью.
6. Руководитель уменьшит финансовые издержки на сопровождение. Передав аудит на аутсорс, можно отказаться от привлечения собственного штата экспертов.
7. Система мониторинга состояния БД работает в круглосуточном режиме. При обнаружении действий, которые не должны выполняться, эксперты отключат учетную запись хранения.

Практический анализ работы аудиторов

В последнее время большую популярность набирает БД Azure Database от Microsoft. Причин несколько – общая стабильность, удобство аудита, широкие возможности интеграции, «облачная» работа.

Для аудита БД используется инструмент log analytics workspace, который включает проверку каждого действия, выполненного в системе. Специалисты вносят записи аудита в отчет, отражающий перечень действий, совершенных сотрудниками со служебным доступом к БД. Обнаружив попытки несанкционированного доступа, аудиторы сообщают об инциденте заказчику.

Владельцы БД могут заказать различные виды аудита – комплексный и выборочный. 

Эксперты проверяют:

• список и дату установленных обновлений;
• состояние управляющих файлов системы управления БД;
• каждый оперативный журнал;
• все словари базы данных;
• каждое табличное пространство;
• набор использованных типов данных, индексов.

При проверке данных аудиторы могут обнаружить:

• блокировки и ошибки;
• превышение допустимого времени ожидания;
• другие неестественные процессы.

При аудите анализируются словари базы на предмет фрагментации и количества объектов. Аудиторы проверяют временные, служебные табличные переменные, а также переменные, которые содержат информацию о размере блоков, их соответствия рекомендованным значениям, характеристики роста количества файлов. Это позволяет оценить качество работы БД, определить зависимость стабильности работы от состояния табличного пространства.

На финальном этапе аудита специалисты проверяют системные логи с данными о типах файлов БД, отвечающих за обнаружение неиспользуемых индексов. На практике бывают ситуации, когда в результате аудита обнаруживаются файлы с устаревшими типами данных. При аудите эксперты должны предложить рекомендации по их конвертации, которая повышает общую производительность системы.

Как правильно выбрать аудитора для БД?

Возможность проведения аудита базы данных предоставляется двум категориям исполнителей:

1. Юридические лица, оформившие членство в саморегулируемой организации (СРО) аудиторов.
2. Физические лица с наличием действующего квалификационного аттестата аудитора и документа, подтверждающего членство в СРО аудиторов.

При выборе исполнителя необходимо:

• оценить опыт работы с другими клиентами в этой сфере. Лучше искать специалистов через коллег и друзей по области. Найдя кандидата, стоит проанализировать его клиентов, по возможности – связаться с ними для получения рекомендаций, комментариев по ранее выполненному аудиту.
• согласовать гарантийные обязательства исполнителя. При внесении необдуманных изменений в структуру базы данных система перестанет работать быстро, безопасно и надежно. Перед заключением договора о проведении аудита необходимо определить меру ответственности исполнителя. В противном случае есть риск остановить делопроизводство и прочие процессы внутри предприятия.
• оценить уровень сервиса. Тут нужно обратить внимание на спектр оказываемых услуг, предусмотренных аудитом, возможность регулярно узнавать новую полезную информацию и профессионализм команды экспертов.

Современным компаниям без аудита баз данных не обойтись. От его своевременности зависит стабильность и безопасность работы предприятия. 

09.12.2019