24.02.2009, 16:37
|
#8 |
|
Участник
|
Цитата:
Сообщение от chans_max
если я правильно все понимаю, не ведет лог изменений сделаных напрямую в базе (я ведь прав???)
Цитата:
Сообщение от chans_max
сторонняя утилита виделась мне наиболее безболезненным вариантом выполнения задачи. Существование отдельной утилиты показалось мне вероятным ввиду явной не уникальности задачи.
Но и они не дадут 100% гарантии, поскольку изменения можно записать на диск напрямую в указанный сектор  Цитата:
Сообщение от chans_max
Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.
Действительно ли только 3 человека имеют подобные полномочия? Пересекаются ли полномочия этих людей во времени? Думали ли вы о том, что некоторым людям даны излишние полномочия? Кто будет виноват, если? Т.е. аудитор спрашивал у вас скорее об административных мерах, а не об утилитке. Что вы должны были ответить: = права администратора только у 3 человек (другие не имеют подобных прав) = права database creator у стольки то человек (другие не имеют подобных прав) = права на непосредственную правку средствами SQL у стольки то человек (другие не имеют подобных прав) = права на непосредственную правку при помощи Excel(!), Access(!) или других ODBC инструментов есть у стольки то человек (другие не имеют подобных прав) = других возможностей несанкционированной правки данных нет(!) по правам администраторов вы должны были ответить: = администраторы работают круглосуточно, сменами по 8 часов. = поэтому за несанкционированные изменения, выполненные любым образом с 8:00 по 16:00 отвечает Администратор1, с 16:00 по 24:00 отвечает Администратор2, а с 24:00 по 8:00 отвечает Администратор3 = меньшее количество администраторов невозможно для обеспечения заданного уровня надежности (хорошо бы ссылку на приказ) Также вы должны были рассказать про мониторинг: = в пересменку делается снапшот/бэкап = такие-то настроечные таблицы сравниваются скриптом, при обнаружении расхождений алерт рассылается... Что интересует аудитора: не гребанная(!) утилитка, а будут ли администраторы переводить стрелки друг на друга или для каждого администратора будет четко определена зона ответственности. В т.ч. уголовной. Аудитора также интересует: есть ли у вас вообще процедура обнаружения несанкционированных изменений (для этого в вашей компании должно быть понимание какие изменения являются санкиоцнированными, а какие не являются) Вот о чем спрашивает аудитор. А не о "сторонней утилите". Цитата:
Сообщение от chans_max
Если ответа нет значит делать все буду своими ручками, для чего и открыл тему на sql.ru
Вы что именно будете делать? Вы напишете определение несанкционированных измений? Вы напишите утилитку, которая будет записывать ВСЕ изменения? Не мучайтесь - она уже есть. Называется Transaction log. Вот только он большой очень. И никто туда не смотрит. Вы лучше закройте возможность пользователям непосредственно править данные через Excel/Access Еще раз: аудитор спрашивает не утилиту. аудитор спрашивает - есть ли у вас понимание и предусмотрели ли вы процедуры обнаружения несанкционированных изменений. Ваш ответ четко показывает: понимания у вас нет. процедур тоже. |
|
|
Древовидный вид