Database -ийн аудитын талаар

Oracle DB-ийн эрхийн хязгаарлалт, мэдээлэл өөрчлөх, аюулгүй байдал зэргийг хэрхэн шалгадаг вэ?
DB-тай холбоотой эрсдэлүүд юу байдаг вэ? Хөгжүүлэгч нар нэг эрхээр нэвтэрч байгаа эсэхийг хэрхэн мэдэх вэ? DB-д аудит хийж байсан туршлагаасаа хуваалцаач.

2 Likes

Oracle DB-ийн эрхийн хязгаарлалт, мэдээлэл өөрчлөх, аюулгүй байдал зэргийг хэрхэн шалгадаг вэ?

  1. За эхний ээлжинд тухайн байгууллага дахь өгөгдлийн сангуудыг sensitive өгөгдөл агуулдаг байдлаар нь ангилах нь зүйтэй.
  2. Priority өндөртэй буюу байгууллагын чухал өгөгдөл /sensitive data/ хадгалагддаг өгөгдлийн сангуудад эрсдлийн үнэлгээ хийнэ.

Хандах эрхийн хувьд:

  • Ямар түвшиний ажилтанууд тухайн priority өндөртэй өгөгдлийн сангууд руу хандаж байна. Тус хандах эрхтэй ажилтануудын бүртгэл хөтлөлт цаг тухай бүрдээ шинэчлэгдэж, бүртгэгддэг эсэхийг шалгах.

  • Уг өгөгдлийн сан руу хандах эрх нь өгөгдөл эзэмшигчээр албан ёсоор баталгаажиж олгогдсон эсэхийг шалгах.

  • Sensitive өгөгдөл руу ямар шалтгаанаар хандаж байгаа эсэхийг тодруулах.

  • Тухайн хандалт ямар түвшиний үйлдлүүд хийх боломжтой байна. Жнь: устгах, засварлах гэх мэт.

  • Тус ажилтануудын өгөгдлийн сан руу хандах эрхийн хугацаа дууссан тохиолдолд цаг тухайнд хандах эрхийг хааж байгаа эсэх.

  • Мэдээлэл өөрчлөх: Өгөгдлийн сан дээр хийгдэж буй бүх үйлдлүүд дээр лог бичигдэж байгаа эсэхийг шалгах нь зүйтэй. Лог файл дээр анализ хийснээр хэн ямар өөрчлөлт хийж, хууль бус сөрөг үйлдэл хийсэн байна уу, үгүй юу гэдгийг тодорхойлох боломжтой юм.

  • Гэхдээ энд лог файлын хувьд нэг зүйлийг бас анхаарах ёстой. Өгөгдлийн сангийн лог файл руу хандах болон лог файлын менежментийг ямар түвшиний ажилтан хийж байгаа эсэхийг тодорхойлох нь маш чухал. Тус менежментийг өгөгдлийн сангийн администратор хийж болохгүйг анхаарна уу. Яагаад гэвэл өгөгдлийн сангийн администратор тус өгөгдлийн сангийн үйл ажиллагааг хариуцан ажиллаж байгаа тул ямар нэгэн байдлаар тухайн өгөгдлийн сан дээр сөрөг үйлдэл хийж болзошгүй. Иймэрхүү нөхцөл байдал үүссэн тохиолдолд өгөгдлийн сангийн администратор нь сөрөг үйлдэл хийсэн лог мэдээллийг лог файлаас устгах эрсдэл үүсэж болно. Иймээс өгөгдлийн сангийн лог файл руу өгөгдлийн сангийн администратор хандах эрхтэйг эсэхийг шалгах нь зүйтэй.

Хөгжүүлэгч нар нэг эрхээр нэвтэрч байгаа эсэхийг хэрхэн мэдэх вэ?

  • Хөгжүүлэгчдийг систем руу хандахдаа ямар эрхээр хандах эрхтэй байна гэдгийг хандах эрхийн бүртгэлтээс эхлээд мэдээллийг нь авч харах нь зүйтэй.

  • Дараа нь аудитор өөрийн биеэр хөгжүүлэгчид яг ямар эрхээр систем руу хандаж байгаа эсэхийг баталгаажуулах хэрэгтэй.

  • Яагаад гэвэл нэг хандах эрхээр олон хөгжүүлэгчид хандаад, програм дээр өөрчлөлт хийсэн тохиолдолд хэн нь өөрчлөлт хийсэн эсэхийг лог мэдээллээс тодорхойлох боломжгүй байдаг. Тиймээс аудитор нь тус эрсдлийн талаар удирдлагад нь сайн тайлбарлаж, ойлголтыг өгч, хөгжүүлэгч болгонд unique хандах эрх байлгах талаас нь чиглүүлэх хэрэгтэй.

Таны асуултанд тодорхой хэмжээгээр хариулахыг хичээлээ.

Баярлалаа.

3 Likes

Хөгжүүлэгч бол prod руу хандах хандах шаардлага уг нь байхгүй. Онцгой тохиолдолд select эрх байж болно. Тэрнээс бол change management-ээр бүх өөрчлөлт орох ёстой.

1 Like

Thank you for useful information.

1 Like