|
20.02.2009, 16:46 | #1 |
Administrator
|
если администратор изменяет что-то в Наве, то есть стандартный "Протокол Изменений".
если администратор меняет что-то в SQL Server (или данные непосредственно через SQL), то даже и не знаю... |
|
24.02.2009, 12:56 | #2 |
Участник
|
Мда это все-таки наверно на sql.ru надо обращатся. Неужели под навижн нет отдельной утилиты котороя бы вела логи действий админа в базе SQL?
|
|
24.02.2009, 14:03 | #3 |
Участник
|
|
|
24.02.2009, 14:32 | #4 |
Участник
|
Цитата:
Вам же ответили "Протокол Изменений" (Change Log) Вы ответ не поняли или вас не устраивает, что это встроенная функция? Вы хотите именно отдельную утилиту? Зачем? И почему только для админа? Мне кажется, что ты отвечаешь на вопрос, который еще не был задан |
|
24.02.2009, 15:32 | #5 |
Участник
|
Цитата:
Здраствуйте Mazzy, дело в том, что "Протокол Изменений" (Change Log), если я правильно все понимаю, не ведет лог изменений сделаных напрямую в базе (я ведь прав???) сторонняя утилита виделась мне наиболее безболезненным вариантом выполнения задачи. Существование отдельной утилиты показалось мне вероятным ввиду явной не уникальности задачи. Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал. Если ответа нет значит делать все буду своими ручками, для чего и открыл тему на sql.ru Всем большое спасибо. |
|
24.02.2009, 15:55 | #6 |
Участник
|
Цитата:
Сообщение от chans_max
Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.
У вас в компании все имеют доступ к бумаге для принтера. Как вы отследите кто ее спер себе домой или, еще коварнее, исчиркал ручкой и оставил в принтере? Ну сделайте так, что у вас 3 админа и только 1 из них имеет право (на бумаге) вносить изменения в базу. А остальные два только через него. |
|
24.02.2009, 16:37 | #7 |
Участник
|
Цитата:
Цитата:
Но и они не дадут 100% гарантии, поскольку изменения можно записать на диск напрямую в указанный сектор Цитата:
Сообщение от chans_max
Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.
Действительно ли только 3 человека имеют подобные полномочия? Пересекаются ли полномочия этих людей во времени? Думали ли вы о том, что некоторым людям даны излишние полномочия? Кто будет виноват, если? Т.е. аудитор спрашивал у вас скорее об административных мерах, а не об утилитке. Что вы должны были ответить: = права администратора только у 3 человек (другие не имеют подобных прав) = права database creator у стольки то человек (другие не имеют подобных прав) = права на непосредственную правку средствами SQL у стольки то человек (другие не имеют подобных прав) = права на непосредственную правку при помощи Excel(!), Access(!) или других ODBC инструментов есть у стольки то человек (другие не имеют подобных прав) = других возможностей несанкционированной правки данных нет(!) по правам администраторов вы должны были ответить: = администраторы работают круглосуточно, сменами по 8 часов. = поэтому за несанкционированные изменения, выполненные любым образом с 8:00 по 16:00 отвечает Администратор1, с 16:00 по 24:00 отвечает Администратор2, а с 24:00 по 8:00 отвечает Администратор3 = меньшее количество администраторов невозможно для обеспечения заданного уровня надежности (хорошо бы ссылку на приказ) Также вы должны были рассказать про мониторинг: = в пересменку делается снапшот/бэкап = такие-то настроечные таблицы сравниваются скриптом, при обнаружении расхождений алерт рассылается... Что интересует аудитора: не гребанная(!) утилитка, а будут ли администраторы переводить стрелки друг на друга или для каждого администратора будет четко определена зона ответственности. В т.ч. уголовной. Аудитора также интересует: есть ли у вас вообще процедура обнаружения несанкционированных изменений (для этого в вашей компании должно быть понимание какие изменения являются санкиоцнированными, а какие не являются) Вот о чем спрашивает аудитор. А не о "сторонней утилите". Цитата:
Вы что именно будете делать? Вы напишете определение несанкционированных измений? Вы напишите утилитку, которая будет записывать ВСЕ изменения? Не мучайтесь - она уже есть. Называется Transaction log. Вот только он большой очень. И никто туда не смотрит. Вы лучше закройте возможность пользователям непосредственно править данные через Excel/Access Еще раз: аудитор спрашивает не утилиту. аудитор спрашивает - есть ли у вас понимание и предусмотрели ли вы процедуры обнаружения несанкционированных изменений. Ваш ответ четко показывает: понимания у вас нет. процедур тоже. |
|
24.02.2009, 16:08 | #8 |
Участник
|
|
|