Статья:

Обработка данных аудита при работе с базами данных Oracle

Конференция: XLV Студенческая международная заочная научно-практическая конференция «Молодежный научный форум: технические и математические науки»

Секция: Технические науки

Выходные данные
Филиппов Н.С., Спиридонов А.А. Обработка данных аудита при работе с базами данных Oracle // Молодежный научный форум: Технические и математические науки: электр. сб. ст. по мат. XLV междунар. студ. науч.-практ. конф. № 5(45). URL: https://nauchforum.ru/archive/MNF_tech/5(45).pdf (дата обращения: 25.09.2018)
Лауреаты определены. Конференция завершена
Эта статья набрала 75 голосов
Мне нравится
Дипломы
лауреатов
Сертификаты
участников
Дипломы
лауреатов
Сертификаты
участников
на печатьскачать .pdfподелиться

Обработка данных аудита при работе с базами данных Oracle

Филиппов Никита Сергеевич
cтудeнт, Самарский университет, РФ, г. Caмapa
Спиридонов Александр Анатольевич
cтудeнт, Самарский университет, РФ, г. Caмapa
Додонов Михаил Витальевич
научный руководитель, канд. пед. наук, доц., Самарский университет, РФ, г. Caмapa

 

Важнейшей составляющей процесса обеспечения безопасности информационных систем является проведение квалифицированного аудита. Проведение независимого профессионального аудита дает возможность своевременно выявить существующие уязвимости и недостатки в системе обеспечения безопасности системы. Средства аудита выполняют фиксацию информации об актив­ности пользователей системы в словаре данных или специальном файле – журнале аудита. Конфигурационный файл и параметры команды активизации аудита определяют набор событий, которые фиксируются системой аудита.

Словарь данных каждой СУБД Oracle Database 11g содержит таблицу с именем AUD$, называемую аудиторским журналом базы данных. База данных хранит аудиторские записи именно в таблице AUD$, владельцем которой является SYS, и затем строит несколько DBA представлений на основе данной таблицы для упрощения запросов пользователей, администраторов и аудиторов.

Для обработки данных, накопленных в ходе аудита, обычно используются другие представления, строящиеся как выборки из DBA представлений и отличающиеся доступом: USER_AUDIT_TRAIL, USER_AUDIT_OBJECT, USER_AUDIT_SESSION, а также USER_AUDIT_STATEMENT.

Очевидно, что для всех перечисленных USER_ представлений в словаре данных присутствуют соответствующие представления с префиксом DBA_. В этих представлениях аккумулируется соответствующая сущности представления информация по всем пользователям системы.

 

Рисунок 1. Иерархия представлений и таблицы, содержащие данные аудиторского контроля

 

Представления все же имеют некую вспомогательные цель, основная информация хранится в таблице SYS.AUD$. Также эта информация может храниться в файле на диске. С точки зрения информационной безопасности предпочтительнее хранить данные на диске, так как при корректной настройке СУБД получить доступ к файлам на диске в случае компрометации СУБД гораздо сложнее, чем к таблице. Наряду с этим, гораздо практичнее хранить эту информацию непосредственно в базе данных, поскольку она представлена в удобном виде. Но это приводит к некоторым дополнительным действиям: в случае если журналы аудита хранятся в таблице SYS.AUD$, то необходимо ограничить доступ к данной таблице непривилегированным пользователям.

 

Рисунок 2. Часть таблицы SYS.AUD$ заполненная средствами детального аудита(FGA)

 

Наиболее полную информацию об аудите из представлений, доступных для непривилегированных пользователей, можно получить из представ­ления USER_AUDIT_TRAIL. Представление содержит сведения о совершенных действиях и их параметрах; таких как имя пользователя, совершившего операцию, под которым он зарегистрировался в операционной системе и СУБД, идентификатор экземпляра базы дан­ных, с которым работает данный пользователь, экземпляр его терминала, дата и время создания записи, владелец объекта и имя объекта, над которым совершались манипуляции, числовой код и название регистрируемого действия, привилегии доступа к объекту, которые были предоставлены или отозваны, дата и время завершения сессии поль­зователем.

Представление USER_AUDIT_SESSION предназначено для доступа к информации о регистрируемых сессиях и содержит записи с действиями CONNECT и DISCONNECT.

 

Рисунок 3. SQL-код представления USER_AUDIT_SESSION

 

Показанное на рисунке SQL-выражение представления показывает, что оно является не чем иным, как выборкой с условием на поле action, в котором содержится номер зафиксированного действия.

Представление USER_AUDIT_STATEMENT предназначено для доступа к информации о предоставлении и отзыве привиле­гий, выполнении пользователем команд GRANT OBJECT, REVOKE OBJECT, AUDIT OBJECT, NOAUDIT OBJECT, ALTER SYSTEM, SYSTEM AUDIT, SYSTEM NOAUDIT, AUDIT DEFAULT, NOAUDIT DEFAULT, SYSTEM GRANT, SYSTEM REVOKE, GRANT ROLE, REVOKE ROLE и других.

Представление USER_AUDIT_OBJECT предназначено для доступа к информации о регистрируемых событиях, связанных с конкретными объектами, в частности, с таблицами, представлениями, индексами, последовательностями, синонимами, процедурами, триггерами, табличными пространствами, ролями и пользователями.

Компания Oracle представляет продукт, дополнительный компонент Oracle Audit Vault, который автоматизирует процесс сбора и анализа информации, предназначенной для аудита, превращая данные аудита в основной ресурс безопасности, что помогает отвечать современным задачам по обеспечению безопасности и соблюдению законодательных норм. При помощи Oracle Audit Vault рассредоточенные данные аудита, предоставленные компонентами Oracle Database Auditing и Oracle Database Fine Grained Auditing, могут быть сконцентрированы в едином месте, где информация будет защищена, подвергнута анализу с использованием заранее заданных или созданных по заказу пользователя отчетов.

Согласно сертификату соответствия №3364, выданного ФСТЭКом России, сроком действия до 2 апреля 2018 года Oracle Audit Vault and Database Firewall является программным средством общего назначения со встроенными средствами защиты информации, не содержащей сведения, составляющие государственную тайну, реализующим функции идентификации и аутентификации, управления доступам и регистрации событий безопасности.

Были приведены основные средства и рекомендации по обработке аудита и мониторингу информационной системы для обнаружения возможных действий злоумышленника и расследованию инцидентов в процессе атаки на СУБД. Данные сведения помогут обнаружить большинство атак на СУБД Oracle Database 11g, а также попытки удаления следов пребывания злоумышленника путем модификации таблицы SYS.AUD$.

 

Список литературы:
1. Аверченков, В.И. Аудит информационной безопасности: учебник / В.И. Аверченков. – М: ФЛИНТА,2016. – 270 с.
2. Смирнов С.Н. Работаем с Oracle: Учебное пособие / С.Н. Смирнов, И.С. Задворьев. – 2-е изд., – М.: Гелиос АРВ, 2002. – 496 с.
3. Orman L.E. Database audit and control strategies / L.E. Orman // Information Technology and Management. – 2001. – Vol. 2, № 1. – P. 27–51.