Гарда БД — система аудита сетевого доступа к серверам баз данных. Система позволяет отслеживать неправомочное обращение к базе данных (БД) предприятия в соответствии с критериями и правилами анализа, задаваемыми сотрудниками отдела информационной безопасности (ИБ). Система подключается пассивным образом к корпоративной сети и позволяет вести мониторинг обращений к БД в режиме реального времени. При обнаружении подозрительных операций над БД система уведомляет сотрудника отдела ИБ и протоколирует соответствующий запрос.

Система Гарда БД позволяет обеспечить выполнение требований Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Система Гарда БД:

• Позволяет формулировать критерии анализа и ставить их на контроль.
• Информирует пользователя системы о наступлении подозрительных событий в соответствии с заранее сформированными критериями анализа.
• Предоставляет доступ к данным аудита операций с БД, полученным в результате работы системы.
• Предоставляет пользователю, обладающему соответствующими правами, возможности для настройки всех компонентов системы.

Преимущества системы

• Отсутствие влияния на производительность СУБД.
• Невозможность вмешательства в работу аудита со стороны администраторов БД.
• Контроль всех обращений и операций с БД независимо от пользователя и приложения (авторизация, доступ к данным, изменение схемы данных, изменение данных, изменение прав доступа и т.д.).
• Предоставление дополнительной статистической информации по каждому событию (дата / время события, объем передаваемых данных, логин, IP-адрес и порт источника / приемника и т.д.).
• Построение статистических отчетов, ведение журналов событий.
• Независимость от топологии системы БД.
• Контроль нескольких независимых БД с единого центра управления.
• Высокие скорости обработки данных (1 гбит/сек и выше).
• Удобный интерфейс с механизмом уведомления пользователей системы в режиме реального времени.

Основные принципы работы системы

Мониторинг, или аудит, доступа к БД ведется за счет отслеживания подозрительных операций с БД. Подозрительные операции идентифицируются на основании заранее заданных технических параметров, или критериев анализа. В системе реализованы следующие типы критериев анализа:

• IP-адрес клиента
• Имя пользователя в БД
• Имя пользователя в ОС
• Название клиентского приложения, используемого пользователем
• Результат аутентификации (успешная / неуспешная)
• Дата / время запроса
• Имя объекта БД (таблицы, синонимы, представления, процедуры, функции)
• Список запрашиваемых / передаваемых полей объекта БД
• Объем данных ответа, превышающий указанную величину
• Объем данных запроса, превышающий указанную величину
• Тип команды SQL (SELECT/ALTER USER/DROP VIEW и др.)
• Логические комбинации любых приведенных выше критериев.

Некоторые общие примеры запросов для формирования политик доступа:

Пример 1: протоколировать все select-запросы на таблицы определенного списка от пользователей заданной группы когда запрос инициирован из приложений с определенными названиями.

Пример 2: протоколировать все select-запросы для которых объем ответа сервера составляет более 1024 kb.

Пример 3: протоколировать запросы с определенного доменного логина, приходящие в определенный период времени к определенной таблице.

Структура системы включает:

• Один Анализатор на каждую БД
• До двух сетевых интерфейсов на каждую БД
• Одновременный мониторинг нескольких БД с одного Центра Управления