Как отслеживать копирование файлов базы?

Question

[AntohaRomaha]

Добрый день.
Есть задача - защитить все файлы баз данных. Каким софтом можно отслеживать локальное копирование, копирование на флешку, копирование по сети, а так же выгрузку в Интернет? Интересуют только определенные файлы, довольно большого размера с определенным расширением.
Надо мониторить Windows Server 2008 R2, и NAS Netgear, там линукс с веб-мордой стоит. Вот на них лежат базы, надо взять под контроль.
Есть шлюз на FreeBSD 10.2 - но по нему можно остлеживать, полагаю, только выгрузку в Интернет.

Answer 1

[AntohaRomaha]

Буду пробовать staffcop

Answer 2

[alexxandr]

файлы бд и бэкапы на отдельный NAS и запретить к нему доступ всем, кроме приложений, работающих с бд.

Answer 3

[АртемЪ]

Никак
Кто может читать, может и копировать, поэтому запретить копирование, значит запретить чтение и соответственно всякую работу с БД.

Самое простое - дать права на чтение только программе которая работает с БД, а всем остальным запретить.

Comments

[apreobr]

Самый простой вариант (а кстати, как разрешить доступ не пользователю, а конкретной программе?) это найти в программе файловый диалог, например "Сохранить как..." и через него получить доступ к файловой системе. У программы доступ на чтение есть, копируй@вставляй, уноси гусей.

[АртемЪ]

apreobr: По поводу как разрешить конкретной программе - запускайте эту программу под пользователем у которого есть права на чтение и запись.

По поводу диалога - если правильно все сделано, диалог не поможет.

[АртемЪ]

Вот к примеру 1с -
С базой должен работать пользователь Вася - запрещаем ему доступ к папке где хранится БД.
Заводим пользователя BD - даем этому пользователю доступ к папке с БД, и к своему профилю, больше никуда.

В итоге сервер БД имеет все необходимые права на папку с БД, а пользователь Вася запускает интерфейс от своего имени, который общается с сервером БД.
Если Вася вызовет диалог "Сохранить как" то он откроется с правами Васи, т.к интерфейс запущен от имени пользователя Вася.

[apreobr]

АртемЪ: а если база файловая? :)

[АртемЪ]

apreobr: Ну так же и с файловыми.
Пользователь работает с тонким клиентом или с браузером, а с самой файловой базой работает веб сервер, или серверная dll.

[apreobr]

Соглашусь и пойду писать тонкий клиент под 7.7

[АртемЪ]

apreobr: Ну с семеркой редко кто работает, мало осталось таких.
А если стал вопрос о защите данных, то ради такого дела можно и софт обновить, и MSSQL прикупить.
А у мелких клиентов работающих с файловой таких вопросов не возникает, я такого не видел.

[apreobr]

АртемЪ: просто я чего и зацепился, у меня как раз такой кейс был: семёрка с файловой бд, пол сотни клиентов через рдп, директор-параноик и одинэсник, утверждающий, что при переносе базы на sql всему куёкн.

[АртемЪ]

apreobr: Файловая с полусотней юзеров? А как же блокировки?
Один работает с таблицей, остальные 49 нервно курят?

[apreobr]

АртемЪ: там понапередописана конфигурация была чуть более, чем полностью. Но точно файловая и точно никто не курил. Видать, какие-то хитрости с блокировками.

[AntohaRomaha]

Ну нас mssql уже стоит. Так то все равно база в файле содержится, только в другом формате.

[АртемЪ]

AntohaRomaha: Разница есть.
У вас с файлом базы работает SQL сервер - от имени пользователя который имеет право на чтение и запись в этот файл.

А вот пользователь 1с с этим файлом не работает и у него можно отобрать права на чтение и запись в этот файл.

Answer 4

[other_letter]

Получатели инфы кто? Ваши работники или конечные подльзователи? Если первое - проще, наверное, отслеживать у них. Если второе... Пожалуй, и не знаю...

Answer 5

[Армянское Радио]

Это умеет делать (частично) аудит файлов в windows. Ну или secret net какой-нибудь.

А вообще, права доступа настройте как следует. Негоже сотрудникам доступ ко файлам баз иметь.

Answer 6

[mace-ftl]

отсюда ptraffer.ru/analiz-trafika/69-control-usb

Answer 7

[apreobr]

Запрет копирования конкретных файлов имеет смысл только как одна из многих точек защиты. Базу можно вытащить через почту, заархивировав в многотомный архив с нестандартным расширением и скопировав по сети на компьютер, которому разрешен доступ к публичным мэйл-серверам. Ближе всего к универсальному решению - разграничение прав доступа.
— У нас было 2 контроллера домена, 75 групповых политик, 5 журналов учёта доступа, половина схемы ИБ предприятия и целое множество утилит для блокировки USB, а также антивирусник, DIP, ящик видеокамер, запрет доступа к файлам по расширению и и начальник отдела безопасности. Не то что бы это был необходимый запас для того, чтобы защитить базу данных. Но если начал заниматься ИБ, становится трудно остановиться. Единственное что вызывало у меня опасение - это расширения. Нет ничего более беспомощного, безответственного и испорченного, чем фильтрация доступа по расширению. Я знал, что рано или поздно мы перейдем и на эту дрянь.

Answer 8

[nApoBo3]

Защитить от копирования файловую базу данных без промежуточного слоя в общем случае невозможно. Можно несколько затруднить данную операцию. Но если пользователь может работать с данной базой, то может и скопировать.