Title Nadzor nad radom korisnika u relacijskim bazama podataka
Title (english) Monitoring Of Users' Actions In Relational Databases
Author Ognjen Orel
Mentor Mirta Baranović (mentor)
Committee member Mladen Varga (predsjednik povjerenstva)
Committee member Mirta Baranović (član povjerenstva)
Committee member Slaven Zakošek (član povjerenstva)
Granter University of Zagreb Faculty of Electrical Engineering and Computing (Department of Applied Computing) Zagreb
Defense date and country 2008-11-26, Croatia
Scientific / art field, discipline and subdiscipline TECHNICAL SCIENCES Computing
Universal decimal classification (UDC ) 004 - Computer science and technology. Computing. Data processing
Abstract Tijekom više desetljeća postojanja raznih informacijskih sustava, postalo je jasno da podaci koje oni sadrže mogu biti vrlo vrijedna imovina. Svaku vrijednost je potrebno zaštititi na prikladan način, pa se tako radi i s podacima. U ovom kontekstu govori se o zaštiti informacija kako od vanjskih upada, tako i od neovlaštenog korištenja informacija od strane zaposlenika tvrtke ili administratora sustava. Da bi to bilo moguće, potrebno je nadzirati rad korisnika sustava. Jedan od mehanizama potvrde ispravnosti sigurnosnih mjera jest snimanje traga (eng. auditing). Trag u kojem je snimljeno što je tko, kada i kako radio na sustavu nudi mogućnost provedbe analiza koje mogu potvrditi ili opovrgnuti sigurnosne protokole. Sve veća važnost zaštite informacija dolazi od povećane svjesnosti svih korisnika informacijskih sustava o važnosti zaštite osobnih podataka. Upravo je to bila motivacija mnogih država da uspostave razne zakonske norme koje propisuju snimanje traga kao mehanizam provjere zaštićenosti podataka. Pregled ovih normi dan je u drugom poglavlju. Obzirom da se većina informacijskih sustava bazira na bazama podataka, sustav za upravljanje bazama podataka i same baze podataka su ono mjesto na koje je potrebno usmjeriti pozornost pri nadzoru korisničke aktivnosti. Uvodne definicije pojmova vezanih u teoriju baza podataka, te razmatranja principa raspodjele dužnosti pri snimanju traga i zaštiti snimljenog traga čine treće poglavlje. Prema načinu na koji se dolazi do informacije koja čini trag koji se može snimiti, moguće je odrediti nekoliko metoda za snimanje traga: snimanje unutar klijentske aplikacije, snimanje unutar baze podataka, snimanje unutar sustava za upravljanje bazama podataka, te snimanje izvan sustava za upravljanje bazama podataka. Načini funkcioniranja, prednosti i nedostatci ovih metoda prikazani su u četvrtom poglavlju. Također su prikazane i mogućnosti snimanja traga nekih komercijalnih sustava za upravljanje bazama podataka. Pojedini događaji u radu sustava za upravljanje bazama podataka koji su zanimljivi za snimanje traga su obrađeni u petom poglavlju: prijava i odjava korisnika za rad, rad izvan uobičajenih obrazaca, podaci o klijentskim aplikacijama, DDL naredbe, SQL pogreške koje sustav prijavljuje korisnicima, izmjene programskog kôda objekata u bazama, izmjene podataka o korisnicima i dozvolama, korisnički sinonimi i podaci o replikaciji baza podataka, SQL naredbe za izmjenu podataka, SELECT naredbe, te izmjene definicija snimanja traga. U šestom pogavlju detaljno je razrađena i prikazana ideja i implementacija snimanja traga izmjena podataka unutar baza podataka, metodom prilagodbe okidača. Radi se o automatiziranoj izmjeni i održavanju postojećih i dodavanju novih okidača unutar baze podataka za koju se obavlja snimanje traga. Definicija snimanja traga nalazi se unutar proširenja rječnika baze podataka. Snimljeni trag privremeno se smješta u povijesne relacije unutar radne baze podataka, a periodički se preseljava u za to namijenjene relacije u posebnoj bazi podataka, koja može biti smještena i na izvodjenom poslužitelju. Diskutirana su moguća proširenja. Primjena snimljenog traga koji nastaje na opisani način u forenzičkim i sigurnosnim analizama opisana je u sedmom poglavlju rada. Opisane su ideje i implementacije triju takvih analiza. Diskutirana su moguća proširenja. Osmo poglavlje prikazuje funkcioniranje opisanog načina snimanja traga i prikazanih analiza u tri živa informacijska sustava – ISVU, ISOHEP i Mozvag, dok posljednje poglavlje donosi zaključak rada.
Abstract (english) During the several decades of existence of various information systems, it has become obvious that the data can be a very valuable asset. Each property should be taken care of, and the data should not be different. Protecting data from the external attacker is necessary, but also from the company's employees or system administrators. To confirm that security measures are set correctly, auditing is often used. The audit trail that contains information of who, when and how worked on the system can be used to verify or decline security protocols. Increasing importance of data protection is also influenced by increased users’ awareness of how valuable personal data could be. That was the motivation for many countries to impose legislative regulations for protection of personal data. Some of these regulations are shown in the second chapter. As most of the information systems rely on databases, the database management system and the database itself is the main focus spot to attend to while monitoring the users’ activity. Introductory definitions, as well as some considerations of segregation of duties principle and audit trail protection are part of the third chapter. Considering the origin of the audit trail, there are several methods of database auditing: auditing inside of client application, auditing inside the database, auditing inside of database management system and external auditing. Functioning, advantages and disadvantages of these methods are shown in the fourth chapter. Auditing capabilities of a several commercial database management systems are also displayed. There are several events that should be considered while deciding what should be audited in the database management system. These events are discussed in the fifth chapter: logging in and out of the system, logging in after the working hours, client application information, DDL operations, SQL errors generated by users, changes in stored procedures and triggers, changes of user data and permissions, private synonyms, data replication, data changes, SELECT operations and audit rules definitions. The idea and the implementation of auditing of data changes by adjusting the database triggers is shown in detail in the sixth chapter. The auditing is managed by automated changes and maintenance of existing triggers inside the audited database, as well as creation of new ones. Definition of auditing is stored in additional table in the database's extended system catalog. The audit trail is temporarily stored in history tables inside a working database, and is periodically transferred to dedicated history tables in a history database that could be set up on a different server. Possible extensions of this audit model are also discussed. Usage of the audit trail, that is created by this audit method in a forensic and safety analysis, is described in the chapter seven. Ideas and implementations of three analysis methods are described. Possible extensions are also discussed. Chapter eight shows the application of proposed audit method in three different production information systems – ISVU, ISOHEP and Mozvag. Chapter nine concludes the paper.
Keywords
Sigurnost sustava za upravljanje bazama podataka
Snimanje traga u bazama podataka
Nadzor korisničke aktivnosti
Automatizirana izmjena objekata u bazama podataka
Analiza snimljenog traga
Keywords (english)
Database Management System Security
Database Auditing
User Activity Monitoring
Automated changing of database objects
Audit Trail Analisys
Language croatian
URN:NBN urn:nbn:hr:168:516722
Project Number: 036-0361983-2012 Title: Semantička integracija heterogenih izvorišta podataka Leader: Mirta Baranović Jurisdiction: Croatia Funder: MZOS Funding stream: ZP
Study programme Title: Postgraduate master programe in computing Study programme type: university Study level: postgraduate Academic / professional title: magistar inženjer računarstva (magistar inženjer računarstva)
Catalog URL http://lib.fer.hr/cgi-bin/koha/opac-detail.pl?biblionumber=32999
Type of resource Text
Extent 90 str.
File origin Born digital
Access conditions Closed access
Terms of use
Created on 2020-03-19 10:56:16