Аудит сервера баз данных - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяИБ-аутсорсингЗащита информацииБезопасность баз данныхАудит баз данныхАудит сервера баз данных

Аудит сервера баз данных

Защита баз данных
с помощью системы
СёрчИнформ Database Monitor
Аутсорсинг DLP
Защита информации
Защита информации в АСУ
Защита информации при передаче данных
Защита информации ограниченного доступа
Защита информации на жестком диске
Защита информации при использовании электронной почты
Защита информации в корпоративном и частном секторе
Защита информации в предпринимательской деятельности
Комплексная защита информации в корпоративных системах
Защита информации в корпоративной банковской среде
Защита информации в сетях
Защита информации в компьютерных сетях
Защита информации в локальных вычислительных сетях
Защита информации в VPN-сетях
Защита информации от несанкционированного доступа
Защита информации от несанкционированного доступа в сетях
Техническая защита информации
Техническая защита информации на предприятии
Инженерно-техническая защита информации
Инженерно-техническая защита информации на предприятии
Криптографическая защита информации
Защита информации в информационных системах
Защита информации в системах электронного документооборота (ЭДО)
Защита информации в автоматизированных информационных системах
Защита информации в ГИС
Защита информации в базах данных
Защита информации на компьютерах
Защита информации от копирования
Комплексная защита информации
Программно-аппаратная защита информации
Защита информации специальными программами
Контроль исполнения документов
Организация контроля исполнения документов
Автоматизированный контроль исполнения документов
Регламент контроля исполнения документов
Система контроля исполнения документов и поручений
Контроль исполнения конфиденциальных документов
Мониторинг ИТ инфраструктуры
Система мониторинга ИТ инфраструктуры
Мониторинг сетевой инфраструктуры
Мониторинг информационных систем
Мониторинг работоспособности системы
Защита онлайн-сервисов
Защита электронной почты
Защита от web угроз
Защита web приложений
Защита онлайн сервисов
Защита бизнеса от мошенничества
Защита от мошенничества с электронной подписью
Разработка требований к защите информации
Требования ФСТЭК по защите информации
Требования ФСБ по защите информации
Квалификационные требования защита информации
Разработка требований к информационной системе
Управление системами фильтрации электронной почты и веб-трафика
Фильтрация электронной почты
Электронная почта: правила фильтрации
Кому нужен ИБ-аутсорсинг?
DLP в облаке

Сервер базы данных или клиент-сервер – это аппаратное компьютерное оборудование с установленным на нем серверным программным обеспечением, предназначенное для управления базами данных. Серверное оборудование предназначено для хранения и обработки информации, а также для обеспечения доступа пользователей к этой информации. Создание баз данных и управление ими осуществляется с помощью специального программного обеспечения, которое называется системой управления базами данных (СУБД). Поэтому, когда идет речь об аудите сервера базы данных, подразумевается в первую очередь аудит СУБД. 

СУБД выполняет важную роль в работе любой организации. Большинство сотрудников, работающих с компьютерным оборудованием, использует доступ к базам данных для выполнения своих рабочих обязанностей. Поэтому независимо от размеров компании и количества ее работников в базы данных организации ежедневно вносятся изменения. С помощью СУБД сотрудники компании создают новые базы данных, изменяют содержимое существующих баз, удаляют устаревшие данные. 

В процессе работы с СУБД возникает риск утери или искажения важных данных. Поэтому для своевременного выявления ошибок и брешей в системе информационной безопасности необходим периодический аудит СУБД. Кроме этого, проверяется и само серверное оборудование на предмет работоспособности. 

Сущность и цели проведения аудита СУБД и серверного оборудования

Аудит СУБД – это проверка работоспособности и безопасности IT-системы организации. Он бывает внутренним и внешним. Внутренний аудит может проводить IT-отдел или отдел информационной безопасности. Для проведения внешнего аудита руководство организации приглашает сторонних специалистов. Выбор способа проведения аудита зависит от компетентности сотрудников компании и причин, по которым организовывается проверка. Например, если руководство организации подозревает, что кто-то из сотрудников компании занимается промышленным шпионажем, проводится внешний аудит.

Необходимость аудита базы данных объясняется тем, что она является информационным ядром организации. В ней хранятся корпоративные почтовые ящики, документы, 1С-бухгалтерия и другие важные данные. Поэтому служба информационной безопасности компании должна следить за сохранностью данных и периодически проводить проверку СУБД и серверного оборудования.

В процессе аудита СУБД проверяется работоспособность программного обеспечения, степень его защиты от внешних и внутренних угроз, эффективность работы СУБД. А под аудитом серверного оборудования подразумевается проверка всей аппаратуры на работоспособность, соответствие условий эксплуатации установленному регламенту, проверка защиты серверной комнаты от проникновения посторонних лиц. Однако проверять серверное оборудование достаточно с периодичностью 1-2 раза в год. А аудитом СУБД нужно заниматься регулярно. Тем более, для этого существует специальное программное обеспечение, автоматизирующее процесс аудита. 

Базы данных часто страдают от действий инсайдеров: сотрудники после конфликта с руководством удаляют из БД критически важные данные, взламывают базу, чтобы украсть данные клиентов на продажу. Как защититься? 

Основной целью проведения аудита является отслеживание изменений в структуре СУБД и содержимом баз данных. Кроме этого, в рамках аудита безопасности базы данных и проверки работоспособности СУБД осуществляется проверка средств защиты данных, корпоративной локальной сети, программного обеспечения и ПК пользователей. 

После аудита базы данных и серверного оборудования руководство организации получает отчет о том, какие уязвимости обнаружены в функционировании оборудования, какие были произведены исправления в настройках, с какой рациональностью используется вычислительная мощность оборудования. 

Программное обеспечение для проведения аудита

Для выбора программного обеспечения, подходящего для аудита, необходимо определить тип СУБД. В большинстве компаний используется клиент-серверная СУБД Microsoft SQL Server. Базы данных Microsoft SQL Server формируются, наполняются, изменяются и структурируются путем использования специального языка программирования – SQL. Впрочем, этот структурированный язык запросов лежит в основе практически всех существующих СУБД. Поэтому общие принципы проведения аудита, приведенные на примере Microsoft SQL Server, можно применить ко всем другим СУБД на серверном оборудовании. 

Программное обеспечение для аудита Microsoft SQL Server разрабатывается в соответствии с целями проверки. Например, программа NetWrix SQL Server Change Reporter позволяет:

  • зафиксировать изменения данных в таблицах БД, информации о пользователях, других объектах SQL Server;
  • зафиксировать программные ошибки и ошибочные действия пользователей, ведущие к утере или искажению важных данных;
  • автоматически исправить выявленные ошибки в соответствии с требованиями информационной безопасности;
  • составить отчет по результатам аудита с подробным описанием того, какой пользователь, когда и как внес изменения в массив данных;
  • настроить автоматическое проведение аудита через фиксированные промежутки времени с формированием отчетов о результатах проверок и динамике изменений.

Тем, кто уже знаком с СУБД Microsoft SQL Server может быть непонятно, зачем вообще использовать стороннее программное обеспечение для проведения аудита, если в Microsoft SQL Server есть встроенная подсистема аудита. 

Дело в том, что встроенная подсистема аудита Microsoft SQL Server не отвечает всем требованиям, которые выдвигаются к такого рода программному обеспечению. Эта подсистема была разработана в 2008 году, после чего разработчики внесли в нее несколько незначительных изменений. Поэтому она не может помочь системному администратору своевременно реагировать на изменения в массивах данных. Особенно это касается крупных компаний, в которых используются распределенные СУБД. 

Если же говорить о других видах СУБД, то с ними ситуация выглядит также. Например, в СУБД Oracle тоже есть встроенная подсистема аудита. Причем в отличие от встроенной подсистемы аудита Microsoft SQL Server она регулярно обновляется и обладает широким функционалом. Однако пользователям для настройки аудита СУБД Oracle все равно приходится использовать скрипты. Поэтому стороннее программное обеспечение активно используется всеми компаниями, независимо от типа установленной на серверном оборудовании СУБД. 

Принцип работы стороннего программного обеспечения обычно базируется на планировщике заданий. В нем прописывается алгоритм и указывается периодичность проведения проверок. После сбора и анализа данных программа автоматически отправляет отчет о проведенной проверке на указанный системным администратором email. Параллельно с этим происходит загрузка данных в базу данных SQL.  

В некоторых программных продуктах есть встроенная библиотека отчетов, работа которой базируется на SQL Reporting Services. Доступ к данным библиотеки имеют только зарегистрированные пользователи с правами администратора. 

Виды аудита и порядок использования встроенной подсистемы аудита

Мониторинг СУБД и серверного оборудования представляет собой совокупность мер для изучения аппаратных и программных элементов СУБД, определения уровня производительности, поиска уязвимых мест и описания способов их устранения. Для описания этого процесса и его разновидностей возьмем в качестве примера SQL Server 2008. 

Существует два варианта проведения аудита СУБД Microsoft SQL Server с помощью встроенной подсистемы аудита:

1. Быстрый. Утилиты SQL Server позволяют в короткие сроки (от 1 до 8 часов) провести сжатую проверку инфраструктуры системы. Такой способ проверки часто применяется для быстрого возобновления производительности оборудования и восстановления данных после несущественных сбоев, в случае недоступности важных служб: баз данных, email и пр.

2. Полноценный. Это полный мониторинг функционирования СУБД Microsoft SQL Server (длится 3-7 рабочих дней), который способствует обнаружению не только поверхностных, но и более серьезных проблем. 

Полноценная проверка включает:

  • подробный мониторинг аппаратных и программных элементов SQL Server;
  • сравнение конфигурации и задач, оценку надежности оборудования;
  • проверку обновлений серверного программного обеспечения до новейших версий;
  • оценку локальных конфигураций на SQL Server;
  • проверку информационной защиты СУБД;
  • составление подробного отчета о проведенном мониторинге. 

Мониторинг с помощью штатной системы отслеживания изменений SQL Server позволяет составить подробный отчет об эффективности и безопасности работы СУБД и серверного оборудования. В отчете перечисляются: 

  • выявленные программные ошибки и действия пользователей, ведущие к искажению или потере важных данных;
  • информация об изменениях, внесенных в данные о пользователях, структуру СУБД, логины и пароли системы, другие объекты SQL Server.

Чтобы провести полноценную проверку с помощью штатной системы отслеживания изменений SQL Server необходимо выбрать и запустить инструмент проверки его. Для SQL Server 2008 существует четыре инструмента, которые входят в штатную систему отслеживания изменений SQL Server. Это Change Tracking, Change Data Capture, SQL Server Audit и SQL Server Profiler. Каждый из названых инструментов выполняет свои задачи. 

Change Tracking

Change Tracking (CT) – это инструмент сбора статистики произошедших изменений. Данные проверки по каждому проверенному элементу СУБД отображаются в системных таблицах. Чтобы использовать этот инструмент, необходимо активировать его для всей СУБД и отдельно для каждого элемента, который нужно проверить. Запуск осуществляется следующим образом:

ALTER DATABASE ChangeTracking SET change_tracking = ON
(change_retention = 10 minutes, auto_cleanup = ON)
ALTER TABLE Orders enable change_tracking WITH (track_columns_updated = ON)

Change Data Capture

Change Data Capture (CDC) – это инструмент для фиксирования истории произошедших изменений, включая удаленные данные. Он работает асинхронно, фиксируя данные из журнала транзакций и сохраняя все версии ранее измененных данных. Как и Change Tracking, этот инструмент создает системные таблицы для отображения данных проверки по каждому проверенному элементу СУБД.

Чтобы использовать этот инструмент, необходимо запустить его активацию для всей СУБД и отдельно для каждого элемента, который нужно проверить. Запуск осуществляется следующим образом:

EXEC sys.sp_cdc_enable_db
EXEC sys.sp_cdc_enable_table
@source_schema = N'dbo',
@source_name = N'Orders',
@role_name = N'cdc',
@capture_instance = N'dbo_Orders',
@supports_net_changes = 1,
@index_name = 'id_idx',
@captured_column_list = null,
@FILEGROUP_NAME = null;

Все поля приведенного в примере шаблона, помеченные символом @, подлежат заполнению. 

Системные администраторы редко используют Change Data Capture для проведения аудита, так как этот инструмент не фиксирует пользователей, которые вносят изменения в структуру и содержание СУБД SQL Server. Исключение составляют администраторы, использующие скрипты для дополнения системной таблицы соответствующим столбцом с именем пользователя. 

SQL Server Audit

SQL Server Audit – это инструмент для фиксирования взаимодействий пользователей с серверным программным обеспечением. SQL Server Audit удобен за счет широкой сферы применения и удобной настройки фильтров. Особенно часто этот инструмент используется специалистами службы информационной безопасности, так как с его помощью можно отследить несанкционированные действия пользователей. 

Чтобы использовать этот инструмент, необходимо запустить его активацию на уровне сервера либо на уровне базы данных. В первом случае запуск осуществляется следующим образом:

CREATE server audit ServerAudit
TO FILE (filepath = `D:\Audit\`, maxsize = 1GB)
WITH (on_failture = CONTINUE)
ALTER server audit ServerAudit WITH (STATE=ON)

Для второго случая подойдет такой шаблон: 

USE MyDb
CREATE DATABASE audit specification SA_MyDb_Orders
FOR server audit ServerAudit
ADD (SELECT, UPDATE, INSERT, DELETE ON dbo.Orders BY PUBLIC),
ADD (SELECT, UPDATE, INSERT, DELETE ON dbo.OrderDetails BY PUBLIC)

Единственный нюанс использования этого инструмента состоит в том, что для его настройки необходимо скачать утилиту SQL Server Management Studio.

SQL Server Profiler

SQL Server Profiler – это инструмент для создания трассировок. На данный момент считается устаревшим и не применяется для проведения аудита. 

Контрольный журнал (Audit Trail), его функции и роль в проведении проверок

Журнал транзакций аудита SQL Server – это хронологическая запись событий проверок, содержащая данные для восстановления, анализа и проверки последовательности сред и событий, которые сопровождают действие или приводят к транзакции на протяжении всего аудита данных. Сисадмины могут просматривать и чистить журнал.   

Именно из этого журнала Change Tracking и Change Data Capture берут данные для проверки. Однако он играет роль не только источника данных для формирования отчетов. Его также можно использовать как самостоятельный инструмент для проверок. Например, после очистки журнала с помощью средства просмотра транзакций в нем появляется запись, где фиксируется время очистки и имя администратора. Эти данные могут стать исходной точкой при расследовании несанкционированных действий. 

Audit Trail уязвим перед хакерскими атаками и промышленным шпионажем. Например, можно атаковать контрольный журнал так: войти в систему под логином системного администратора и изменить цель проверки, в частности, приостановить запись в журнал данных о неправомерных транзакциях. Поэтому от целевых установок аудита SQL Server зависит, будут ли зафиксированы его изменения в журнале.  

Как часто нужно проводить проверку?

Некоторые пользователи считают, что аудит СУБД и серверного оборудования нужно проводить один раз в два года. Эксперты, придерживающиеся этой точки зрения, советуют отслеживать и фиксировать следующие изменения в информационной системе: количество пользователей, состав данных и отчетов. Проверять IT-систему нужно при обнаружении существенных изменений в показателях ее эффективности. 

Но есть и другая точка зрения, согласно которой в периодическом проведении аудита SQL Server нет необходимости. Это нужно делать только тогда, когда система перестает удовлетворять потребности пользователей. 

07.08.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.