Аудит базы данных

В настоящее время существует огромное количество информационных систем, содержащих базы данных (БД). Для разработчиков этих баз данных сложной задачей является отслеживание возможных изменений в базе. Еще более непростой задачей является создание такого решения для отслеживания этих изменений, которое бы не сильно влияло на производительность рабочих нагрузок и было бы простым в проектировании, реализации и управлении.

Аудит в контексте системы управления базой данных (СУБД) в общем случае может заключаться в сохранении информации обо всем, что происходит в базе данных. Это могут быть попытки авторизации пользователей, запросы к данным, приводящие или не приводящие к их изменению, и многое другое. В целом аудит, журнализация или контроль изменений структуры и данных БД обычно решают следующие задачи:

- получение информации о том, кто, когда и откуда производил изменения структуры БД и/или данных;

- отслеживание истории изменения структуры БД и/или данных;

- уведомление об изменениях структуры БД и/или данных.

Система аудита играет большую роль в отслеживании изменений в случае отказа системы и необходима для восстановления базы данных этой системы из резервной копии. В случае отказа или сигнала отката одной из транзакций журнал изменений, генерируемый системой аудита, сканируется, и все записи отменяемой транзакции извлекаются из журнала.

Большинство СУБД имеют ряд встроенных функций для отслеживания изменений данных и структуры базы данных. Тем не менее, каждая база данных уникальна, в каждой есть необходимость отслеживания определенных изменений и к каждой из них требуется свой подход к аудиту, поэтому в рамках ВКР существует потребность в анализе подходов к аудиту и выборе наиболее оптимального из них, а также в определении наиболее подходящей структуры журнала аудита для дальнейшего использования их в разработке подсистемы аудита БД конкретной информационной системы.

Целью данной выпускной квалификационной работы является разработка подсистемы аудита БД, которая предназначена для отслеживания изменений данных базы данных информационной системы сопровождения ремонта. Для реализации цели, изложенной выше, необходимо решить две ключевые задачи: теоретическую и практическую. Теоретическая задача подразумевает выбор оптимальных методов организации аудита базы данных и журнала аудита, которые будут использованы для решения практической задачи, заключающейся в программной реализации подсистемы аудита и интерфейса для работы с этой подсистемой. Для выполнения практической части работы необходимо также обосновать выбор СУБД и среды разработки приложения (интерфейса).

Такая подсистема аудита разрабатывается для определенной информационной системы сопровождения ремонта, но может распространяться и на сторонние системы, содержащие базы данных, реализованные с помощью выбранной впоследствии СУБД.

1. Обзор подходов к аудиту баз данных

Журнал, который отслеживает изменения в системе, называется журналом аудита, поскольку он является хранилищем информации, которая может быть использована для аудита системы. Концепция журнала аудита может быть применена и для базы данных. В базе данных можно настроить систему, которая записывает все вставки, обновления и удаления в указанный набор журнальных таблиц базы данных. Журналы аудита базы данных особенно полезны в случаях, когда много пользователей работают с одними и теми же таблицами данных.

2.1 Размещение журнала аудита в отдельном файле

Журнализация используется для повышения надежности хранения информации в базах данных. Одним из решений, принимаемых при создании базы данных, является определение структуры и выбор места размещения файлов данных и журнала.

Обязательный набор файлов для базы данных включает в себя файл, в котором содержатся данные и информация, касающаяся базы данных, и журнальный файл, в котором записываются все модификации базы данных [3]. Также могут быть созданы дополнительные файлы, в которых хранятся исключительно данные.

Журнал аудита может быть размещен в том же табличном пространстве, что и объекты базы данных, или в отдельном файле. Например, операционная система Windows позволяет СУБД перенаправлять записи в журнал событий приложения, который может быть отображен с помощью средства просмотра событий. В UNIX_системах для записи результатов аудита используется журнал демона Syslog. Привилегированный пользователь, такой как администратор баз данных, не имеет доступа к файловой системе, где регистрируются записи Syslog.

Создание журнала аудита средствами СУБД облегчает дальнейшую работу с ним, так как не требует сторонних инструментов. Однако лучшим решением является размещение журнальных файлов на физическом носителе, отличном от того, где находятся другие файлы базы данных [4].

Такой способ дает несколько преимуществ. Во_первых, информация, записанная в отдельных файлах, более надежна, поскольку для работы с такими файлами могут потребоваться права доступа, которых не имеют администраторы базы данных. С другой стороны, записи аудита можно просматривать в том случае, когда база данных недоступна. При аппаратном сбое или поломке физического носителя информация из журнала аудита будет сохранена и использована для восстановления базы данных.

Во_вторых, использование внешнего журнала аудита позволяет объединять и обрабатывать информацию из разных источников, включая СУБД и другие приложения. Журнальный файл может иметь стандартный формат, для чтения которого подходят распространенные на многих операционных системах инструменты.

2.2 Размещение журнала аудита в дополнительных таблицах

Способы отслеживания изменений данных следует рассматривать отдельно от аудита изменений структуры базы данных. Выбор решения для аудита изменений данных зависит от длительности хранения и от того, в каком объеме необходимо хранить информацию. Также необходимо учитывать степень журналирования: в некоторых случаях достаточно отслеживать только факт изменения данных, в других требуется сохранение нескольких параметров, таких как вид модификации, старые и новые значения и т.д.

В простейшем случае хранятся только последние изменения данных. При сохранении результатов аудита данных используются дополнительные таблицы, связанные с изменяемой таблицей отношением один_к_одному. Недостатком такого метода является невозможность фиксирования операции удаления данных. Подобным образом фиксируется и факт изменения данных.

Вышеизложенный метод усложняется путем разделения обработки трех операций INSERT, DELETE и UPDATE [5]. При этом полученная информация сохраняется в трех дополнительных таблицах для каждой таблицы базы данных. В первую таблицу записывается общая информация об изменениях (кем были внесены изменения, с какого компьютера, удачна ли была попытка изменения). Первая таблица связана с двумя другими отношением один-к-одному. Во вторую таблицу заносится полная строка данных при операциях вставка (INSERT) и удаление (DELETE). Третья таблица предназначена для фиксирования измененного значения при операции UPDATE. В результате получается наиболее подробный вариант аудита, без значительных потерь производительности. Недостатком является множество дополнительных таблиц.

Другим вариантом структуры журнала аудита является создание единой таблицы, в которой фиксируются все изменения [6]. Такая таблица может содержать первичный ключ модифицируемой таблицы, ее название, название измененного поля и его новое значение. В случае отслеживания изменения структуры базы данных таблица содержит тип события (создание, удаление или изменение объекта), тип объекта, название объекта. Данный метод позволяет реализовать универсальные для всех таблиц триггеры, но неэффективно расходует ресурсы системы, так как содержит много избыточной информации для каждой записи. Кроме того, возникает проблема записи значений различных типов в поле с фиксированным типом. Эта проблема может быть решена несколькими способами:

1) Запись всех изменений в одной колонке. При таком подходе общая таблица аудита может иметь столбец, в котором все значения модифицированных полей представляют одну строку, такую как XML_строка.

2) Запись в поле с универсальным типом (sql_variant). При таком подходе каждая запись таблицы аудита содержит значение измененного столбца для конкретной таблицы. Также используется явное или неявное приведение типов, однако при этом снижается скорость взаимодействия с журналом аудита.

Следующий метод предполагает копирование основной таблицы и запись всех изменений в созданную таблицу [7]. Копия содержит все поля основной таблицы, а также служебные поля, в которых может записываться информация о типе операции над данными, имени пользователя, совершившего операцию, дате изменения. В журнале аудита создается запись, даже если изменению подверглось всего одно поле в исходной таблице, что, как и в предыдущем случае, приводит к значительному увеличению занимаемого пространства на диске. Преимущества заключаются в более простой реализации просмотра данных в таблице аудита и повышенной скорости обработки запросов.

2.3 Обоснование выбора структуры журнала аудита

Структура журнала аудита выбирается на основе оценки важности следующих критериев:

- влияние аудита на производительность системы;

- необходимый размер журнала;

- скорость взаимодействия системы с журналом;

- возможность адаптации структуры журнала для новых функций аудита;

- сложность реализации с учетом особенностей базы данных, подлежащей аудиту.

В существующей базе данных сопровождения ремонта более семидесяти таблиц, следовательно, подсистема аудита должна оперативно обрабатывать тысячи записей. Поэтому основным критерием при выборе способа ведения журнала аудита для этой работы является высокая производительность. В итоге был выбран способ, основанный на разделении операций INSERT, DELETE, UPDATE и включающий три дополнительных таблицы для каждой таблицы базы данных.

3. Обоснование выбора ПО для разработки подсистемы аудита

3.1 Анализ и выбор СУБД

Под системой СУБД понимают программное обеспечение, с помощью которого можно управлять созданием и использованием баз данных. Как правило, СУБД обладает следующими основными функциями:

- определение данных (создание базы данных, указание типов и структуры данных и т.д.), которое обычно реализуется с помощью языка определения данных DDL;

- обработка данных (вставка, удаление, изменение данных в таблицах базы данных, организация запросов и т.д.), которая обычно реализуется с помощью языка манипулирования данными DML;

- поддержка безопасности и целостности данных (контроль запросов пользователя, обеспечение непротиворечивого состояния данных, хранимых в базе данных);

- резервное копирование и восстановление данных в случае различных сбоев.

На данный момент существует несколько классификаций СУБД: по модели данных (реляционные, иерархические, сетевые, объектно_ориентированные, объектно_реляционные), по степени распределенности (локальные и распределенные) и по способу доступа к базе данных (файл_серверные и клиент_серверные) [8].

Что касается классификации по первому признаку, то очевидно, что большинство разработчиков ориентируются на реляционные СУБД.

Между локальными и распределенными СУБД предпочтение чаще всего отдается распределенным. Особенностью локальных СУБД является то, что все ее части находятся на одном компьютере, т.е. чтобы нескольким пользователям одновременно работать с одной и той же базой данных, на каждом компьютере должна быть копия этой локальной базы данных. Существенным недостатком таких СУБД является проблема синхронизации копий данных, поэтому для совместной работы нескольких пользователей на разных компьютерах локальные СУБД не используются в отличии от распределенных СУБД, части которых могут размещаться на нескольких компьютерах.

По способу доступа к базе данных СУБД делятся на файл_серверные и клиент_серверные. У СУБД каждого их этих двух типов есть свои преимущества и недостатки и, соответственно, своя целевая аудитория.

В файл_серверных СУБД данные обычно располагаются в каталогах одного компьютера, который постоянно подключен к сети. СУБД же располагается на каждой рабочей станции, и доступ СУБД к данным реализуется через локальную сеть. Преимуществом таких СУБД является легкость их установки, простота использования, отсутствие потребности в дополнительном программном обеспечении и небольшая нагрузка на процессор файлового сервера. Но в связи с тем, что файл-серверные СУБД имеют несколько упрощенную архитектуру, они не имеют возможности поддерживать все функции СУБД, например, в них нет функции автоматического восстановления данных после возможных сбоев, не ведется журнал транзакций и т.п. К недостаткам таких СУБД можно также отнести высокую загруженность локальной сети и сложность обеспечения высокой надежности и безопасности данных. Следовательно, файл-серверные СУБД используются для решения относительно несложных задач, например, предполагающих небольшое количество пользователей или небольшое количество обрабатываемых данных. Тем не менее такие СУБД имеют довольно широкую область применения и используются для ведения персональных баз данных и в небольших организациях, расположенных чаще всего в одном здании, с небольшим количеством пользователей и невысокой частотой обновления данных. В таких условиях использование файл-серверных СУБД является вполне оправданным. На сегодняшний день существует довольно много файл-серверных СУБД, но наиболее распространенными из них являются Microsoft Access, Borland dBase, Corel Paradox, Microsoft FoxPro и др.

По описанным выше особенностям и недостаткам файл_серверных СУБД для крупных организаций их использование является неприемлемым. В этом случае целесообразно использовать клиент_серверные СУБД. Они позволяют клиенту и серверу обмениваться информацией следующим образом: клиент посылает запрос на сервер базы данных, который располагается на машине с данными, сервер базы данных в свою очередь принимает этот запрос, отыскивает в данных нужную информацию и передает ее клиенту. При этом большая часть вычислительной нагрузки ложится на сервер, следовательно, недостатком клиент_серверных СУБД являются повышенные требования к серверу. Также к минусам таких СУБД можно отнести сложность их установки и сопровождения, но для крупных предприятий, на которых и используются клиент_серверные СУБД, эти недостатки не играют особой роли. К тому же они обладают рядом значительных преимуществ. Одним из них является то, что такие СУБД гораздо менее требовательны к пропускной способности компьютерной сети и обладают большей производительностью, чем файл_серверные СУБД, так как сервер производит поиск данных по параметрам запросов, которые передает ему клиент, а результат выполнения этих запросов обычно намного меньше по объему, чем фрагменты файлов. Также к достоинствам клиент_серверных СУБД можно отнести удобство управления и возможность обеспечения таких важных для больших организаций характеристик, как высокая безопасность и надежность. Примерами клиент_серверных СУБД являются Oracle Database, MySQL, Interbase, Microsoft SQL Server и т.д.

В рамках данной выпускной квалификационной работы требуется разработать подсистему аудита базы данных для информационной системы крупного предприятия с большим количеством пользователей. База данных этой информационной системы содержит достаточно большое количество часто обновляемых данных. Поэтому для разработки подсистемы аудита этой базы данных будет целесообразно использовать реляционную распределенную СУБД, использующую клиент_серверные технологии.

В настоящее время абсолютными лидерами на рынке СУБД, отвечающих заданным параметрам, являются компании Oracle, Microsoft и IBM. Их общая доля на рынке составляет около 90%, а наиболее часто используемыми СУБД являются Oracle Database, IBM DB2 и Microsoft SQL Server [9].

Корпорация Oracle с начала ее основания специализировалась на создании реляционных СУБД. На данный момент Oracle занимает одну из лидирующих позиций на рынке СУБД и лидирует на платформах UNIX и Windows. Причиной популярности продуктов Oracle, в том числе и СУБД Oracle Database, являются высокие эксплуатационные характеристики СУБД. К ним можно отнести поддержку большого количества платформ, очень высокую надежность, высокую скорость обработки данных, наличие большого спектра средств разработки, администрирования и мониторинга, ориентацию на Интернет_технологии и многое другое. Однако минусами СУБД Oracle является высокая стоимость самой СУБД и ее сопровождения, потребность в высококвалифицированном персонале для поддержки базы данных, сложность администрирования и использования. Тем не менее все затраты на внедрение и освоения данной СУБД впоследствии окупаются надежной и эффективной работой.

DB2 является семейством систем управления реляционными базами данных, выпускаемых корпорацией IBM. Данная СУБД также является одним из постоянных лидеров на рынке СУБД, в частности по производительности, возможностям масштабирования, уровню технической реализации и т.д. Кроме того к достоинствам DB2 можно отнести мультиплатформенность, т.е. поддержку нескольких операционных систем, простоту управления и использования, расширяемость и наличие довольно хорошей бесплатной версии. Недостатками IBM DB2, как и Oracle является достаточно высокая стоимость СУБД и ее сопровождения.

В отличие от двух, представленных выше СУБД, СУБД Microsoft SQL Server ориентирована только на поддержку платформ Windows. Важными положительными характеристиками, которыми обладает SQL Server, является относительная простота администрирования и использования, быстродействие, высокие функциональные возможности сервера СУБД, масштабируемость (может быть применена как для небольших сетей, так и для сетей уровня предприятия), наличие средств автоматической настройки параметров конфигурации и т.д. К основным же недостаткам SQL Server можно отнести невозможность работы со всеми платформами, кроме Windows, программируемость и возможную нехватка средств работы.

В результате рассмотрения трех лидирующих СУБД, их основных характеристик, достоинств и недостатков, можно сделать вывод о том, что все они имеют очень широкие возможности и не уступают друг другу в таких важных характеристиках, как производительность, высокая скорость обработки данных и масштабируемость. Одной из наиболее важных отличительных особенностей Microsoft SQL Server от Oracle Database и IBM DB2 является то, что она не является мультиплатформенной, однако стоимость данной СУБД и ее сопровождения несколько ниже. Возможности же для аудита базы данных есть во всех трех, представленных выше СУБД: в них есть как поддержка хранимых процедур и триггеров, так и встроенных средств аудита, кроме того все три продукта имеют системы аудита, выпускаемые в виде отдельных продуктов, осуществляющие мониторинг данных по журналу транзакций.

Очевидно, что при выборе СУБД основным критерием является оценка того, насколько она удовлетворяет основным требованиям, предъявляемым к информационной системе и программному обеспечению. Разрабатываемую подсистему аудита планируется использовать на платформе Windows. И ввиду того, что Microsoft SQL Server не уступают другим СУБД, удовлетворяет требованиям информационной системы сопровождения ремонта и уже используется на предприятии, подсистема аудита базы данных для этой информационной системы будет разработана с использованием именно этой СУБД.

3.2 Выбор среды разработки

В ходе данной выпускной квалификационной работы кроме подсистемы аудита необходимо также разработать пользовательский интерфейс (приложение) для удобного просмотра результатов мониторинга данных базы данных и администрирования этой подсистемы.

Приложение будет реализовано с помощью такой среды разработки программного обеспечения, как Delphi XE2. Эта среда разработки используется для быстрой (RAD) разработки программного обеспечения для различных операционных систем. Язык Delphi сочетает в себе возможности объектно_ориентированного языка, мощную визуальную платформу для разработки, быструю компиляцию, подключение к разнородным базам данных и т.д. Одним из главных достоинств среды разработки Delphi является совокупность простоты языка и генерации машинного кода, за счет чего и достигается высокая скорость разработки приложений. Именно из_за этих плюсов, а также наличия всего необходимого для разработки интерфейса для подсистемы аудита базы данных, была выбрана среда разработки Delphi XE2.

4. Обзор встроенных в СУБД средств отслеживания изменений БД