Цитата:
Сообщение от
chans_max
если я правильно все понимаю, не ведет лог изменений сделаных напрямую в базе (я ведь прав???)
Прав.
Цитата:
Сообщение от
chans_max
сторонняя утилита виделась мне наиболее безболезненным вариантом выполнения задачи. Существование отдельной утилиты показалось мне вероятным ввиду явной не уникальности задачи.
Да, тогда копайте в инструменты, которые работают с самим SQL.
Но и они не дадут 100% гарантии, поскольку изменения можно записать на диск напрямую в указанный сектор
Цитата:
Сообщение от
chans_max
Зачем это надо? все очень просто, пришел аудитор и задал вопрос: у вас 3 человека с правами администратора как вы проследите что никто из них не внес изменений и не спровоцировал диверсию. Оно понятно что грамотного админа уличить в диверсии можно только при последновательном термо-ректальном анализе..., кроме как доверение тут ничегоне поделаеш но тем не менее. Если есть задача - значит должно быть и решение, Если есть решение - то значит кто-то его уже сделать и сделал лучше тебя (в 90%)... поэтому вопрос и встал.
Смотрите: аудитор задал вопрос не про "проследите", а про 3 человека.
Действительно ли только 3 человека имеют подобные полномочия?
Пересекаются ли полномочия этих людей во времени?
Думали ли вы о том, что некоторым людям даны излишние полномочия?
Кто будет виноват, если?
Т.е. аудитор спрашивал у вас скорее об административных мерах, а не об утилитке.
Что вы должны были ответить:
= права администратора только у 3 человек (другие не имеют подобных прав)
= права database creator у стольки то человек (другие не имеют подобных прав)
= права на непосредственную правку средствами SQL у стольки то человек (другие не имеют подобных прав)
= права на непосредственную правку при помощи Excel(!), Access(!) или других ODBC инструментов есть у стольки то человек (другие не имеют подобных прав)
= других возможностей несанкционированной правки данных нет(!)
по правам администраторов вы должны были ответить:
= администраторы работают круглосуточно, сменами по 8 часов.
= поэтому за несанкционированные изменения, выполненные любым образом с 8:00 по 16:00 отвечает Администратор1, с 16:00 по 24:00 отвечает Администратор2, а с 24:00 по 8:00 отвечает Администратор3
= меньшее количество администраторов невозможно для обеспечения заданного уровня надежности (хорошо бы ссылку на приказ)
Также вы должны были рассказать про мониторинг:
= в пересменку делается снапшот/бэкап
= такие-то настроечные таблицы сравниваются скриптом, при обнаружении расхождений алерт рассылается...
Что интересует аудитора: не гребанная(!) утилитка, а будут ли администраторы переводить стрелки друг на друга или для каждого администратора будет четко определена зона ответственности. В т.ч. уголовной.
Аудитора также интересует: есть ли у вас вообще процедура обнаружения несанкционированных изменений (для этого в вашей компании должно быть понимание какие изменения являются санкиоцнированными, а какие не являются)
Вот о чем спрашивает аудитор.
А не о "сторонней утилите".
Цитата:
Сообщение от
chans_max
Если ответа нет значит делать все буду своими ручками, для чего и открыл тему на sql.ru
Типичный программист
Вы что именно будете делать?
Вы напишете определение несанкционированных измений?
Вы напишите утилитку, которая будет записывать ВСЕ изменения? Не мучайтесь - она уже есть. Называется Transaction log. Вот только он большой очень. И никто туда не смотрит.
Вы лучше закройте возможность пользователям непосредственно править данные через Excel/Access
Еще раз: аудитор спрашивает не утилиту. аудитор спрашивает - есть ли у вас понимание и предусмотрели ли вы процедуры обнаружения несанкционированных изменений.
Ваш ответ четко показывает: понимания у вас нет. процедур тоже.