2_3_2008
.pdf
нелегко |
.1 Подобного рода «игра ума» не столь |
Понятие виртуальный (от лат. virtualis |
|||
безобидна, как кажется. Накопление таких |
– возможный) – устоявшийся термин, при- |
||||
определений неизбежно ведет к терминоло- |
меняющийся в квантовой теории поля для |
||||
|
гической и понятийной путанице, искусствен- |
характеристики частиц, находящихся в про- |
|||
ному делению отнюдь не безграничного на- |
межуточном состоянии, или в состоянии не- |
||||
|
учного потенциала на весьма искусственные |
определенности. Не вдаваясь в подробности, |
|||
«школы», отличающиеся не принципиальны- |
речь идет о частицах, и координаты которых, |
||||
ми подходами, не методологией исследования, |
и сам факт их существования на данный мо- |
||||
а лишь неким «научным жаргоном». Это, по |
мент можно назвать только с определенной |
||||
мнению автора, создает лишние, причем ис- |
вероятностью. |
||||
кусственные, трудности как для научного про- |
Как известно, в соответствии с положе- |
||||
цесса, так и для учебного, для внедрения раз- |
ниями |
классического криминалистического |
|||
|
работок в практику. |
учения все следы совершения любого престу- |
|||
|
Такого рода терминологические нова- |
пления делятся на две основные группы: |
|||
ции базируются на представлении о неких |
– «материальные» – зафиксированные |
||||
принципиальных отличиях компьютерной |
в виде изменения внешней среды и объектов |
||||
преступности от всего, что было до сих пор. |
ее образующих; |
||||
|
Это достаточно распространенное заблужде- |
– «идеальные» – оставшиеся в памяти |
|||
ние: смешивать технологию и методологию. |
преступника, соучастников и свидетелей. |
||||
Трудно не поддаться «революционным» ис- |
Исследователи, употребляющие дан- |
||||
кушениям, объявляющим новую эру в кри- |
ный термин, полагают, что анализ состава |
||||
минологии, криминалистике, вообще в науке |
и особенностей строения среды совершения |
||||
и жизни («электронная цивилизация» и т. п.). |
преступлений в сфере компьютерной инфор- |
||||
Нелегко заметить, что, несмотря на относи- |
мации приводит к радикальному изменению |
||||
тельную сложность инструментария ИТ, ни- |
соотношения материальных и идеальных сле- |
||||
чего принципиально нового ни в жизни, ни в |
дов в пользу последних. |
||||
криминалистике не произошло и в обозримом |
Автору представляется, что если зате- |
||||
будущем вряд ли произойдет. Конечно, появи- |
вать «ревизию» основополагающих понятий |
||||
лись новые конкретные способы совершения |
учения о следах, то гораздо больше резона |
||||
преступлений. Отсюда – безусловная потреб- |
усомниться в существовании следов идеаль- |
||||
ность в конкретных же методах выявления и |
ных. Что такое идеальные? Зачем тогда пи- |
||||
фиксации специфичных следов этих престу- |
сать во введениях к рефератам «…в качестве |
||||
плений, конкретных экспертных методиках |
методологической основы автор опирался на |
||||
и т. п. |
Но не более того. Принципы крими- |
материалистическую диалектику»? Здесь не |
|||
налистического учения о следах при этом от- |
присутствуют ни диалектика, ни, тем более, |
||||
нюдь не меняются. Остаются воздействующий |
материализм. Давайте вспомним, что даже |
||||
объект, некий объект, передающий это воз- |
законодатель определяет носитель информа- |
||||
|
действие, объект, на котором остается след |
ции как «физическое лицо или материаль- |
|||
(отражение). Так было, есть и будет. И все эти |
ный объект и т.д.». След даже в памяти вполне |
||||
предметы, процессы, следы могут быть только |
материален! |
||||
материальными и никакими иными (не сле- |
Существуют ли вообще идеальные объ- |
||||
|
дует при этом забывать, что физические поля |
екты? Безусловно. Например, задуманное, но |
|||
тоже материальны). |
не реализованное намерение дать свидетель- |
||||
|
Здесь мы снова вынуждены вернуться |
ские показания по компьютерному преступле- |
|||
к терминологии. В качестве довольно ярко- |
нию. Но следы даже этого «явления» в памяти |
||||
|
го примера разберем получившее достаточно |
человека опять-таки материальны. Это пони- |
|||
широкое распространение понятие «вирту- |
мает любой полуграмотный киллер, являю- |
||||
альный след». На наш взгляд, это типичное |
щийся |
стихийным материалистом. Только |
|||
|
contradicto in adjecto (в переводе с латинского: |
уничтожение носителя информации – кон- |
|||
противоречие между определяемым словом и |
трольный выстрел – гарантирует окончатель- |
||||
определением). |
ное «стирание» этих следов. |
||||
|
Зададимся двумя вопросами: может ли |
Вернемся к аргументации сторонников |
|||
след быть виртуальным, и, если он действи- |
изменения терминологии. Они полагают, что |
||||
тельно виртуальный, то является ли он следом |
виртуальные следы существуют de facto на |
||||
в криминалистическом смысле? |
материальном носителе, но не доступны непо- |
||||
|
|
|
|
средственному восприятию. Это действитель- |
|
|
1 Здесь и далее ни в коем случае не берутся под сомнение |
но так. |
|
||
|
теоретическиеипрактическиерезультатыисследований |
|
|
||
|
как таковые. Речь идет только о терминологии. |
|
|
||
|
|
71 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
|||
Но что из этого следует? Следы на фо- и процесса, что еще не повод для пересмотра
топленке тоже недоступны непосредствен- |
методологии и понятийного аппарата, а лишь |
|
ному восприятию. Отпечаток пальца может |
причина для совершенствования конкретных, |
|
быть незаметен без соответствующего ин- |
реальных, практических методик и методов. |
|
струмента. Однако это не повод считать их |
Это огромное поле деятельности, работы здесь |
|
нематериальными. |
достаточно для всех. Давайте и будем зани- |
|
Данные (следы) подвергаются все бо- |
маться этим, а не изобретением новых слов |
|
лее сложным преобразованиям. С помощью |
и понятий. |
|
бронзового зубила на камне или гусиного пера |
Библиографический список |
|
на бумаге человек непосредственно наносил |
||
символы в явном (визуально читаемом) виде. |
1. Мусаева У.А. Розыскная деятель- |
|
Пишущая машинка как техническое устрой- |
ность следователя по делам о преступлениях |
|
ство уже в какой-то мере «отделила» пользо- |
в сфере компьютерной информации [Текст] : |
|
вателя от носителя информации. Человек не |
дис. … канд. юр. наук. – М., 2002. |
|
создает символы непосредственно, он лишь |
2. Леонов Ф.П. Библиография по |
|
нажимает клавиши. Перфокарты и перфолен- |
проблемам информационного права и про- |
|
ты СПМ и первых ЭВМ – носители уже иного |
тиводействия |
компьютерной преступности |
рода. С одной стороны, их можно читать непо- |
[Текст] // Управление защитой информации. |
|
средственно (визуально), с другой – их коды |
– 2006. – Т. 10. – № 3. |
|
«понятны» компьютеру. Наконец, чисто «ма- |
3. Черкасов В.Н. Понятийный ап- |
|
шинные» носители: магнитные ленты и диски, |
парат информатики и право [Текст] // |
|
лазерные диски и пр. Что же изменилось в ко- |
Информационная безопасность и компьютер- |
|
нечном счете? Имеется носитель (всегда мате- |
ные технологии в деятельности правоохрани- |
|
риальный, с чем никто не спорит), на котором |
тельных органов : межвуз. сб. – Саратов, 2005. |
|
под воздействием некого механизма (в широ- |
– ISBN 5-7485-0294-1. |
|
ком смысле – от чисто механического до лю- |
4. Черкасов В.Н. Кто живет в «кибер- |
|
бых физических полей и химических процес- |
пространстве»? [Текст] // Информационная |
|
сов) остаются некие следы, которые иначе как |
безопасность |
и компьютерные технологии |
материальными быть тоже не могут. |
в деятельности правоохранительных органов: |
|
Виртуальные следы, бесспорно, могут |
межвуз. сб. – Саратов, 2005. – ISBN 5-7485- |
|
быть трудно обнаружимы, неоднозначно ин- |
0294-1. |
|
терпретируемы и т.п. Но, снимая отпечаток |
5. Черкасов В.Н. Понятия и термины в |
|
пальца, его тоже можно испортить, а фото- |
информатике.Проблемыпонимания[Текст]// |
|
пленку засунуть вместо проявителя в банку |
Проблемы системного подхода при изучении |
|
с кислотой или просто засветить. Важно дру- |
естественно научных дисциплин слушателями |
|
гое. Тем или иным способом, с помощью того |
гуманитарных специальностей: мат. межвуз. |
|
или иного инструмента (химических реакций, |
конф. – Саратов, 2004. – ISBN 5-7485-0242-9. |
|
электромагнитных или каких-то иных воз- |
6. Черкасов В.Н. Давайте разберемся |
|
действий) материальный след на носителе не- |
«попонятиям»[Текст]//Защитаинформации. |
|
обходимо превратить в материальный же, но |
Инсайд. – 2005. – № 4. |
|
непосредственно воспринимаемый человеком, |
7. Мещеряков В.А. Основы методики |
|
то есть в изображение, звук, запах, тактильное |
расследования преступлений в сфере компью- |
|
ощущение. |
терной информации [Текст] : дис. … д-ра юр. |
|
В чем же отличие следов на компьютер- |
наук. – Воронеж, 2001. |
|
ных носителях от иных следов? По сути – ни |
|
|
в чем! Только в сложности инструмента |
|
|
72 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
методы и средства защиты информации
Аудит изменений в СУБД «Ред База Данных»
© симаков роман Александрович |
© стародубов Дмитрий Николаевич |
|||
|
ассистент кафедры «Ин |
|||
кандидат технических |
формационные |
систе |
||
наук, директор по произмы» Муромского |
ин |
|||
водству ООО «Ред Софт |
ститута |
Владимирского |
||
Муром» |
госу дарственного уни |
|||
|
верситета |
|
||
+7(920)900-65-02 |
+7(920)624-13-92 |
|||
dmitry.starodubov@red-soft.biz |
||||
roman.simakov@red-soft.biz |
||||
|
|
|
||
Статья рассматривает вопросы аудита событий, происходящих в СУБД «Ред База Данных». Приводятся практические примеры использования разработанных инструментов. Статья показывает место СУБД в построении информационной системы, удовлетворяющей заданному классу безопасности.
Ключевые слова: база данных, защита информации, аудит, СУБД,.
Вопрос защиты информации в современных компьютерных системах стоит достаточно остро. В особенности это
касается баз данных, в которых, собственно,
ихранится в большинстве случаев основной объем данных информационной системы. Различные системы управления базами данных (СУБД) предлагают схожий набор механизмов по обеспечению защиты хранимых данных – авторизованный доступ пользователей по имени / паролю, передача паролей по сети в зашифрованном виде, назначение пользователям ролей для доступа к данным.
Еще одной составляющей механизма безопасности как в СУБД, так и в компьютерных системах вообще, является ведение журнала доступа к контролируемым данным
иобъектам, т.е. аудит событий. Аудит обычно является частью системы обнаружения вторжений (IDS, Intrusion detection system)
СовременныеСУБД,такиекакOracle,Microsoft SQL Server, PostgreSQL предлагают средства регистрации пользовательской активности: присоединение к базе данных и отключение от нее, выполнение запросов по выборке и изменению данных и метаданных и т.д.
Всвободно распространяемой СУБД
Firebird(основаннойнакодеBorlandInterbase)
регистрация событий, к сожалению, практически не развита. В лог-файл Firebird – fire-
bird.log – записываются только сообщения об ошибках, произошедших на сервере, в результате чего анализ инцидентов безопасности существенно затруднен.
В качестве решения подобной проблемы предлагается сохранять информацию о запросах в самой БД с использованием триггеров, срабатывающих на изменение данных. Для этого в отслеживаемую базу данных добавляются одна или несколько таблиц, в которых будет храниться информация о событиях. Затем создается несколько триггеров, которые будут срабатывать на изменение данных и записывать информацию об этих изменениях
втаблицы лога. Такой подход обладает следующими преимуществами и недостатками
(табл . 1).
Как видно из приведенной таблицы, недостатки хранения сведений аудита внутри БД перевешивают преимущества такого подхода. Поэтому сотрудниками компании «Ред Софт»
врамках развития отечественной промышленной СУБД «Ред База Данных», исходный код которой основан на ярде Firebird, было разработано дополнение, добавляющее функционал регистрации событий безопасности
–FBTrace1.
1 Изначальный исходный код дополнения написан Николаем Самофатовым.
|
|
73 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
|||
|
|
Таблица 1 |
|
|
|
|
|
|
Преимущества |
Недостатки |
|
|
|
|
|
|
+ Использование стандартных инстру |
– Триггеры позволяют регистрировать очень |
|
|
ментов работы с БД, входящих в стандарт |
ограниченный спектр событий – вставка, из- |
|
|
SQL и предоставляемых любым сервером |
менение, удаление записей (в Firebird 2.1 до- |
|
|
баз данных (нет необходимости в моди |
бавились триггеры на подключение к БД / |
|
|
фикации кода Firebird) |
отключение от нее и запуск / завершение |
|
|
+ Хранение сведений о событиях в ба |
транзакции) |
|
|
зе данных позволяет при их анализе ис |
– Если кто-то получит доступ к базе данных, то |
|
|
пользовать возможности языка SQL – |
он может получить доступ и к таблицам жур- |
|
|
фильтрацию, поиск, и сортировку |
налов |
|
|
|
– Повреждение или удаление БД ведет к по- |
|
|
|
тере информации из журнала |
|
|
|
– При подробной регистрации событий раз- |
|
|
|
мер БД существенно увеличивается |
|
|
|
|
|
|
Возможность разработки дополне- |
После этого обмен между ядром и функциями |
|
ний, расширяющих функциональность СУБД |
дополнения идет через интерфейс дополне- |
||
Firebird, реализуется с использованием меха- |
ния – в данном случае – менеджер FBTrace. |
||
низма плагинов. Общая схема работы с поль- |
Ему передаются уведомления о происходящих |
||
зовательским плагином показана на рис. 1. |
в сервере событиях, которые он перенаправ- |
||
|
При подключении к любой базе данных |
ляет в сам плагин, где и происходит непосред- |
|
Firebird запускает менеджер плагинов, кото- |
ственная регистрация события. |
||
рый ищет доступные дополнения и подключа- |
Разработанное расширение – FBTrace |
||
ет их. После этого плагин инициализируется |
– позволяет вести запись в журнал событий |
||
– ядро СУБД подключает библиотеку функ- |
(лог) для каждой базы данных на сервере, на- |
||
ций, в которой находится реализация плагина. |
чиная с момента ее создания или присоедине- |
||
ния к ней, и до момента отсоединения от нее |
|||
Рис. 1. Работа СУБД Firebird с подключаемым расширением
74 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
или ее удаления. По умолчанию лог-файлы размещаются в том же каталоге, что и отсле живаемая база данных.
Ведется регистрация событий следующих типов:
– начало и окончание ведения аудита для БД;
– присоединение к БД и отсоединение от
нее;
– присоединение к сервису и отсоединение от него;
– старт сервиса и запрос к нему; – проверка предъявленного фактора ау-
тентификации (пароль, сертификат); – подготовка, выполнение и освобож-
дение SQL-запроса к БД, а также выборка записей;
– компиляцияивыполнениеBLR-иDYN- запросов (откомпилированные SQL-запросы во внутреннем представлении сервера);
– выполнение хранимой процедуры; – установка значения контекстной пе
ременной; – начало и завершение транзакции.
Для каждого события, кроме предъявления фактора аутентификации, в журнал аудита сохраняется следующая информация:
– дата, время и тип события; – идентификатор процесса, вызвавшего
событие; – результат (успешно, неуспешно, не
санкционированно); – сведения о соединении: путь к БД,
идентификатор соединения, пользователь, от имени которого совершается действие, протокол соединения, имя компьютера, с которого установлено соединение.
Кроме того, для каждого события в журнале сохраняется специфичная для данного типа события информация (табл. 2).
Подобный набор регистрируемой информации позволяет подробно отслеживать активность пользователей на сервере баз данных.
Кроме параметров каждого события в журнал также сохраняется результат, с которым это событие было завершено. Существует три возможных способа завершения: успешно, неуспешно и несанкционировано.
Несанкционированным считается любое действие, при котором не была пройдена аутентификация или на которое у пользователя не было соответствующих прав (например, попытка изменения структуры таблицы без прав на это).
Неуспешным считается любое другое действие, которое не было выполнено в результате какой-либо ошибки (например, не-
соответствие типов при добавлении данных в таблицу или попытка чтения данных из несуществующей таблицы).
Используя информацию о способе завершения регистрируемых событий, можно быстро обнаружить попытки выполнения нехарактерных для пользователей действий. При этом необязателен просмотр всей информации в журнале, размер которого может быть очень значителен в зависимости от набора регистрируемых событий и активности работы с базой данных.
Плагин FBTrace реализуется в виде разделяемой библиотеки функций, кото-
рая доступна как в Windows- (fbtrace.dll), так и в Unix-системах (fbtrace.so). Для настройки работы системы аудита используется конфи гурационный файл (fbtrace.conf). Настраивать можно следующие параметры:
enable = 0/1 – включение аудита: 0 –
аудит не ведется (по умолчанию), 1 – ведется. format = 0/1 – формат лог-файла: 0 –
текстовый (по умолчанию), 1 – бинарный. time_threshold = <число> – мини-
мальный предел времени, при котором регистрируются события выполнения запросов. Если запрос выполняется меньше указанного здесь значения, то запись об операции не помещается в лог. Значение по умолчанию
– 100 мс.
max_sql_length = <число> – макси мальная длина текста SQL-запроса в лог-фай ле, в байтах. Значение по умолчанию – 300 байт.
max_blr_length = <число> – макси мальная длина BLR-запроса, сохраняемого в лог, в байтах. Значение по умолчанию – 500 байт.
max_dyn_length = <число> – макси мальная длина DYN-запроса, сохраняе мого в лог, в байтах. Значение по умолчанию – 500 байт.
max_arg_length = <число> – макси-
мальная длина одного параметра запроса / процедуры в лог-файле. Значение по умолчанию – 80 байт.
Для четырех вышеописанных параметров максимальная длина записи в лог-файле составляет 64Кб. Если длина записи будет больше указанного в параметре значения, то запись будет обрезана.
max_arg_count = <число> – макси-
мальное количество параметров запроса / процедуры, которое заносится в лог-файл. Значение по умолчанию – 30. Параметры, номера которых больше указанного здесь значения, отображаться не будут.
|
|
75 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
|||
|
|
Таблица 2 |
|
Сведения, регистрируемые для разных типов событий |
|||
|
|
|
|
Тип события |
|
Информация, сохраняемая в журнал |
|
присоединение к БД |
этоподключениексуществующейБДилисоздаетсяно- |
|
|
|
вая база данных? |
|
|
|
|
|
|
фактор аутентификации |
тип фактора; |
|
|
|
сам предъявленный фактор |
|
|
|
|
|
|
присоединение к сервису |
имя сервиса |
|
|
отсоединение от сервиса |
|
|
|
|
|
|
|
старт сервиса |
имя сервиса; |
|
|
|
параметры, переданные при старте |
|
|
запрос к сервису |
имя сервиса; |
|
|
|
содержимое запроса |
|
|
|
|
|
|
установка значения контекстной |
сведения о транзакции; |
|
|
переменной |
пространство имен (namespace), для которого устанав- |
|
|
|
ливается переменная; |
|
|
|
имя переменной; |
|
|
|
устанавливаемое значение |
|
|
|
|
|
|
выполнение хранимой процедуры |
сведения о транзакции; |
|
|
|
имя процедуры; |
|
|
|
входные параметры; |
|
|
|
время выполнения; |
|
|
|
статистика производительности |
|
|
|
|
|
|
старт и завершение транзакции |
идентификатор транзакции; |
|
|
|
параметры транзакции (уровень изоляции, режим бло- |
|
|
|
кировки); |
|
|
|
способ завершения транзакции – подтверждение (com- |
|
|
|
mit) или откат (rollback) |
|
|
|
|
|
|
подготовка SQL-запроса |
сведения о транзакции; |
|
|
|
идентификатор запроса; |
|
|
|
текст запроса; |
|
|
|
время подготовки запроса (в мс); |
|
|
|
план выполнения |
|
|
|
|
|
|
выполнение SQLили BLR-запроса |
сведения о транзакции; |
|
|
|
идентификатор запроса; |
|
|
|
время выполнения запроса (в мс); |
|
|
|
статистика производительности; |
|
|
|
параметры запроса; |
|
|
|
текст запроса |
|
|
|
|
|
|
выполнение |
сведения о транзакции; |
|
|
DYN-запроса |
содержимое запроса (в текстовом виде для текстового |
|
|
|
лога, в бинарном – для бинарного); |
|
|
|
время выполнения запроса (в мс) |
|
|
|
|
|
|
компиляция |
сведения о транзакции; |
|
|
BLR-запроса |
идентификатор запроса; |
|
|
|
текст запроса (в текстовом виде для текстового лога, в |
|
|
|
бинарном – для бинарного); |
|
|
|
время подготовки запроса (в мс) |
|
|
|
|
|
|
max_log_size = <число> – |
задает |
include_filter = <регулярное выра- |
|
максимальный размер log-файлов в мегабай- |
жение> – этот параметр определяет те виды |
||
тах. Если значение параметра не задано или |
SQL-запросов, которые будут включаться в |
||
равно 0, то размер файла журнала не ограни- |
лог-файл. По умолчанию – не чувствителен |
||
чен. Значение по умолчанию – 0. Если зада- |
к регистру. Под фильтр подпадают только те |
||
но значение, отличное от нуля, то при дости- |
значения, которые удовлетворяют синтакси- |
||
жении лог-файла данного размера он будет |
су регулярных выражений (в соответствии с |
||
переименован. |
|
POSIX 1003.2). Значение по умолчанию – пу- |
|
|
|
сто, то есть в лог будут включены все запросы. |
|
76 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
exclude_filter = <регулярное выраже- |
enabled = 1 |
|
|
||
ние> – определяет виды SQL-запросов, кото- |
format = 0 |
|
|
||
рые не включаются в лог-файл. Аналогично |
log_connections = 1 |
|
|
||
include_filter. Значение по умолчанию – пусто. |
log_statements = 1 |
|
|
||
|
|
|
|
||
log_auth_factors = 0/1 – определяет, |
[^.*\\(empbuild|employee|emp)\.fdb$]: |
||||
записывать ли события проверки предъявлен- |
|||||
enabled = 1 |
|
|
|||
ных факторов аутентификации. |
|
|
|||
format = 1 |
|
|
|||
log_connections = 0/1 – определяет, |
|
|
|||
log_filename = d:\log\employee.log |
|
||||
записывать ли события присоединения к БД / |
|
||||
Первая секция отвечает за регистра- |
|||||
отсоединения от нее. |
|||||
цию событий для баз test.fdb: формат журна- |
|||||
log_transactions = 0/1 – определяет, |
|||||
ла – текстовый, регистрируются соединения и |
|||||
записывать ли события начала и завершения |
подготовка |
/освобождение запросов, лог-файл |
|||
транзакций. |
|||||
– test.fdb.fbtrace_text в каталоге базы. Вторая |
|||||
log_statements = 0/1 – определяет, за- |
|||||
секция задает аудит баз данных вида empbuild. |
|||||
писывать ли события подготовки и освобожде- |
fdb, employee.fdb, emp.fdb: формат журнала – |
||||
ния SQL-запросов к БД. |
бинарный, события от всех баз данных будут |
||||
log_context = 0/1 – определяет, запи- |
|||||
сохранятьсявфайлd:\log\employee.log.Другие |
|||||
сывать ли события изменений значений кон- |
базы данных отслеживаться не будут. |
|
|||
текстных переменных. |
Таким образом, можно настроить типы |
||||
log_execute = 0/1 – определяет, запи- |
|||||
регистрируемых событий, объем информации, |
|||||
сывать ли события выполнения запросов / вы- |
попадающей в лог-файл и |
отслеживаемые |
|||
борки записей. |
базы данных. Применение регулярных выра- |
||||
log_procedures = 0/1 – определяет, за- |
|||||
жений для фильтрации SQL-запросов позво- |
|||||
писывать ли события выполнения хранимых |
ляет записывать в лог-файл только интересу- |
||||
процедур. |
|||||
ющие запросы, облегчая анализ получаемого |
|||||
log_blr_requests = 0/1 – определяет, |
|||||
журнала. |
|
|
|
||
записывать ли события непосредственного |
Разработанное дополнение позволяет |
||||
выполнения BLR-запросов. |
|||||
создавать файлы журналов в текстовом либо |
|||||
log_dyn_requests = 0/1 – определяет, |
|||||
бинарном виде (контролируется параметром |
|||||
записывать ли события прямого выполнения |
конфигурации format). В первом случае соз |
||||
DYN-запросов. |
|||||
дается текстовый файл, содержащий форма |
|||||
log_services = 0/1 – определяет, запи- |
|||||
тированный текст записей вида: |
|
||||
сывать ли события вызовов сервисов. |
2008-09-24T23:25:00.4530 (3116:00DBCFAC) |
||||
Для всех перечисленных параметров 1 |
|||||
TRACE_INIT |
|
|
|||
означает включение, а 0 – отключение данной |
D:\TEMP\TEST.FDB |
|
|
||
возможности.Поумолчаниюрегистрациявсех |
2008-09-24T23:25:00.6560 (3116:00DBCFAC) |
||||
событий аудита отключена. |
|||||
log_filename = <строка> – имя лог- |
CREATE_DATABASE |
|
|
||
файла. Если этот параметр не задан, лог-файл |
D:\TEMP\TEST.FDB |
(ATT_1, |
sysdba, |
||
XNET:HOME) |
|
|
|||
создаётся в той же папке, где находится БД и |
|
|
|||
будет иметь имя вида <имя_базы.fbtrace_text> |
2008-09-24T23:25:49.0460 (3116:00DBCFAC) |
||||
или <имя_базы.fbtrace_bin> в зависимости от |
|||||
формата лога. |
PREPARE_STATEMENT |
|
|
||
D:\TEMP\TEST.FDB (ATT_1, sysdba, |
|||||
Для каждой базы данных может быть за- |
|||||
XNET:HOME) |
|
|
|||
дан свой набор настроек с помощью определе- |
|
(TRA_5, READ_COMMITTED | |
|||
ния в файле конфигурации секций вида: |
NO_REC_VERSION | WAIT) |
|
|
||
logged_database.fdb: |
Statement 013FDEF8: |
|
|
||
[^.*[\/](test|tst)\.fdb$]: |
---------------------------------------------------------- |
||||
В первом случае прямо указывается имя |
create table tab1(t1 int, t2 float) |
|
|
||
базы данных, для которой будут действовать |
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ |
||||
параметры конфигурации. Во втором слу- |
0 ms |
|
|
|
|
|
|
|
|
||
чае для указания базы данных используется |
2008-09-24T23:26:03.5150 (3116:00DBCFAC) |
||||
регулярное выражение, под которое подпадут |
|||||
базы test.fdb и tst.fdb, находящиеся в любом |
FREE_STATEMENT |
(ATT_1, |
sysdba, |
||
каталоге. |
D:\TEMP\TEST.FDB |
||||
XNET:HOME) |
|
|
|||
В следующем примере конфигурации |
|
|
|||
задаются две секции аудита. |
Statement 013FDEF8: |
|
|
||
test.fdb: |
---------------------------------------------------------- |
||||
|
|
77 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
|||
create table tab1(t1 int, t2 float)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2008-09-24T23:26:03.5150 (3116:00DBCFAC) DETACH_DATABASE
D:\TEMP\TEST.FDB (ATT_1, sysdba, XNET:HOME)
2008-09-24T23:26:03.5150 (3116:00DBCFAC) TRACE_FINI
D:\TEMP\TEST.FDB
Для анализа такого файла не нужно дополнительных программных средств – можно воспользоваться любым текстовым редактором. Но большое количество записей, избыточность информации и плохие возможности для поиска и фильтрации делают данный формат не совсем удобным в случае большого количества регистрируемых событий при активной работе с БД.
Поэтому был разработан бинарный формат хранения журнала аудита, при котором в лог-файл записываются все события, происходящие в базе данных в виде пакетов двоичных данных. При этом избыточность отсутствует, так как в лог-файл не заносится дублирующая информация. Например, в вышеприведенном отрывке текстового журнала для события освобождения запроса (FREE_ STATEMENT) для удобства чтения сохраняется информация о базе данных, параметрах соединения и о содержимом запроса, хотя
достаточно было бы хранения идентификатора запроса. В бинарном журнале подобные дублирующие данные не хранятся, поскольку он не предназначен для непосредственного просмотра.
Для анализа двоичных журналов аудита используется возможность подключения к БД Firebird внешнего файла, имеющего определенную структуру, в виде особой таблицы. Данный инструмент имеет ряд достаточно серьезных ограничений, например, не поддерживаются записи, в которых может быть различное количество полей или поля в которых имеют переменную длину. Кроме того, в такой таблице поддерживаются далеко не все типы данных Firebird.
Поэтому были внесены изменения в код Firebird, который отвечает за работу с внешними таблицами. Вводится понятие адаптера
– программного механизма, который отвечает за анализ и разбор внешних файлов, передавая ядру СУБД данные в приемлемом для дальнейшей работы виде. С использованием этой концепции был создан адаптер для бинарных журналов FBTrace, который позволяет подключать их к базе данных Firebird в виде внешней таблицы.
В результате становится возможным использование стандартных инструментов SQL по фильтрации и поиску данных для анализа журнала аудита. Поскольку лог-файл подклю-
Рис. 2. Подключенный к базе данных журнал аудита
78 |
Информационная безопасность регионов. 2008. № 2 (3) |
|
чен в виде внешней таблицы, он не увеличивает размер файла базы данных. Изменить записи в журнале также нельзя, так как внешняя таблица создается только для чтения. Таким образом, возможность повреждения бинарного журнала с помощью SQL-запросов исключена.
На рис. 2 приведен пример двоичного журнала, подключенного к базе данных в виде внешней таблицы (таблица открыта в прило-
жении IB Expert).
Описанная система аудита полностью реализована в СУБД «Ред База Данных», которая в настоящее время проходит испытания для получения сертификата системы, соответствующей пятому классу защищенности от несанкционированного доступа, согласно утвержденной классификации ФСТЭК (http:// www.fstec.ru/_razd/_ispo.htm). Кроме того,
рассматриваетсявопросвнедренияизменений, связанных с подсистемой регистрации событий, в открытый исходный код СУБД Firebird.
КНИЖНАЯ ПОЛКА
Информационное обеспечение правоохранительной деятельности: проблемы, тенденции, перспективы. Сборник научных статей. – Калининград: Калининградский ЮИ МВД России, 2007. – 244 с.
ISBN 5-93919-031-6
Всборнике научных статей, посвященном памяти выдающегося криминалиста современности, Заслуженного деятеля науки Российской Федерации , доктора юридических наук, профессора Р.С. Белкина, исследуются современные проблемы, тенденции и перспективы развития информационного обеспечения правоохранительной деятельности в России и зарубежных странах.
Вработахнашлиотражениевзглядыпредставителейнауки
ипрактических работников на проблему информационного обеспечения деятельности сотрудников органов предварительного следствия, оперативных подразделений и других служб государственных органов, занимающихся проблемами противодействия преступности.
Сборник научных статей будет весьма интересен и полезен научнымработникам,преподавателям,аспирантамиадъюнктам образовательных учреждений системы Министерства внутрен-
них дел Российской Федерации, других правоохранительных структур, юридических вузов и факультетов, практическим работникам правоохранительных органов.
|
|
79 |
|
|
|
||
Научно-практический журнал. ISSN 1995-5731 |
|||
|
|||
исторические очерки и Персоналии
использование источников информации в государственном управлении
© Чернышев Борис Васильевич
Заслуженный работник высшей школы Российской Федерации, доктор исторических наук, профессор,
начальник кафедры истории и философии Саратовского юридического института МВД России
(845-2) 379-176, cbvif.1948@mailu.r
Рассматриваются «технологии» использования правителями России источников информации не в интересах научного обоснования принимаемых политических решений, а в целях сохранения, укрепления верховной власти. До сих пор в государственном управлении отсутствует единая информационноаналитическая структура общегосударственного масштаба, а в работе с фактами текущей истории применяются такие сталинские анахронизмы, как «двойная статистика», «лакировка действительности».
Ключевые слова: информация, система государственного управления.
нформация является основным |
Примерные источники информации ру- |
Иисходным материалом для подго- |
ководителей государства показаны на рисунке. |
товки и принятия государственных решений. |
Видно, что руководители имели возможность |
Какими источниками располагали руководи- |
доступа к широкому кругу источников, одна- |
тели страны? Достаточно ли полной и досто- |
ко навыков подобной работы у них не было, |
верной была получаемая ими информация? |
поэтому немногие отваживались погружаться |
Как она использовалась? |
в такой огромный поток информации. |
Источники информации руководителей государства
80 |
Информационная безопасность регионов. 2008. № 2 (3) |
|