Карта сайта

Гарда БД

Гарда БД — система аудита сетевого доступа и защиты баз данных (БД). Система предназначена для защиты информации в базах данных (БД) предприятий, позволяет отслеживать неправомочное обращение к БД в соответствии с критериями и правилами анализа, задаваемыми сотрудниками отдела информационной безопасности. Система подключается пассивным образом к корпоративной сети и позволяет вести мониторинг обращений к БД в режиме реального времени. При обнаружении подозрительных операций сотрудников система уведомляет сотрудника отдела ИБ и протоколирует соответствующий запрос и ответ БД.

Система Гарда БД позволяет обеспечить выполнение требований Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Garda BD.jpg

Обеспечение информационной безопасности баз данных при использовании Гарды БД осуществляется за счет следующих возможностей системы:

  • позволяет формулировать критерии анализа и ставить их на контроль
  • информирует пользователя системы о наступлении подозрительных событий в соответствии с заранее сформированными критериями анализа
  • предоставляет доступ к данным аудита операций с БД, полученным в результате работы системы
  • предоставляет пользователю, обладающему соответствующими правами, возможности для настройки всех компонентов системы

Преимущества Гарда БД:

  • отсутствие влияния на производительность СУБД
  • невозможность вмешательства в работу аудита со стороны администраторов БД
  • контроль всех обращений и операций с БД независимо от пользователя и приложения (авторизация, доступ к данным, изменение схемы данных, изменение данных, изменение прав доступа и т.д.)
  • предоставление дополнительной статистической информации по каждому событию (дата / время события, объем передаваемых данных, логин, IP-адрес и порт источника / приемника и т.д.)
  • построение статистических отчетов, ведение журналов событий
  • независимость от топологии системы БД
  • контроль нескольких независимых БД с единого центра управления
  • высокие скорости обработки данных (1 Гбит/сек и выше)
  • удобный интерфейс с механизмом уведомления пользователей системы в режиме реального времени

Основные принципы работы системы
Защита баз данных и Аудит доступа к ним ведется за счет отслеживания подозрительных операций с БД. Подозрительные операции идентифицируются на основании заранее заданных технических параметров, или критериев анализа.

В системе реализованы следующие типы критериев анализа:

  • IP-адрес клиента
  • Имя пользователя в БД
  • Имя пользователя в ОС
  • Название клиентского приложения, используемого пользователем
  • Результат аутентификации (успешная / неуспешная)
  • Дата / время запроса
  • Имя объекта БД (таблицы, синонимы, представления, процедуры, функции)
  • Список запрашиваемых / передаваемых полей объекта БД
  • Объем данных ответа, превышающий указанную величину
  • Объем данных запроса, превышающий указанную величину
  • Тип команды SQL (SELECT/ALTER USER/DROP VIEW и др.)
  • Логические комбинации любых приведенных выше критериев

Некоторые общие примеры запросов для формирования политик доступа:

Пример 1: протоколировать все select-запросы на таблицы определенного списка от пользователей заданной группы когда запрос инициирован из приложений с определенными названиями.

Пример 2: протоколировать все select-запросы для которых объем ответа сервера составляет более 1024 kb.

Пример 3: протоколировать запросы с определенного доменного логина, приходящие в определенный период времени к определенной таблице.

Структура системы включает:

  • Один Анализатор на каждую БД
  • До двух сетевых интерфейсов на каждую БД
  • Одновременный мониторинг нескольких БД с одного Центра Управления