Каталог прав
Описание раздела
Раздел Справочники \ Каталог прав содержит централизованный реестр привилегий и ролей, назначенных учётным записям в подключенных базах данных. Справочник позволяет анализировать права доступа, контролировать распределение привилегий и выявлять потенциальные риски безопасности.
Назначение раздела
- Инвентаризация привилегий — полный перечень прав доступа во всех подключенных СУБД
- Контроль ролей — отслеживание системных и пользовательских ролей (DBA, SYSDBA, SYSOPER и др.)
- Анализ привилегий на объекты — контроль прав на таблицы, процедуры и другие объекты БД
- Классификация УЗ — разделение привилегий по типам учётных записей (суперпользователь, техническая)
- Аудит прав доступа — мониторинг критичных привилегий (ALTER ANY TABLE, DROP ANY TABLE и др.)
Система фильтрации
Панель фильтров позволяет быстро находить нужные привилегии.
| Фильтр | Тип | Описание |
|---|---|---|
| Сервер БД | Текстовое поле | Поиск по IP-адресу или имени сервера |
| Экземпляр БД | Выпадающий список | Выбор экземпляра базы данных |
| Порт | Текстовое поле | Фильтрация по номеру порта |
| Тип СУБД | Выпадающий список | Фильтрация по типу СУБД (Oracle, MS SQL Server и др.) |
| Название привилегии | Текстовое поле | Поиск по названию привилегии или роли |
| Объект привилегии | Текстовое поле | Поиск по объекту, на который назначена привилегия |
| Тип УЗ | Выпадающий список | Фильтрация по типу учётной записи |
Кнопки управления:
- Очистить — сброс всех примененных фильтров
- Применить — активация установленных критериев фильтрации
Таблица привилегий
Основная таблица содержит детальную информацию о каждой привилегии.
Структура таблицы
| Колонка | Описание |
|---|---|
| Тип СУБД | Тип системы управления базами данных (Oracle, MS SQL Server и др.) |
| Сервер БД | IP-адрес или DNS-имя сервера базы данных |
| Экземпляр БД | Название экземпляра/базы данных |
| Порт | Номер TCP-порта подключения |
| Название привилегии | Название роли или привилегии (Роль DBA, Привилегия SELECT ANY TABLE и др.) |
| Объект привилегии | Объект БД, на который назначена привилегия |
| Дата создания | Дата и время создания записи о привилегии |
| Тип УЗ | Тип учётной записи (Суперпользователь, Техническая) |
| Описание | Текстовое описание привилегии |
| ID | Уникальный идентификатор привилегии в системе |
Типы привилегий
| Тип | Примеры | Описание |
|---|---|---|
| Роли | DBA, SYSDBA, SYSOPER, DB_OWNER | Предопределённые наборы привилегий |
| Системные привилегии | ALTER ANY TABLE, DROP ANY TABLE | Права на выполнение операций в БД |
| Объектные привилегии | SELECT, INSERT, UPDATE, DELETE | Права на конкретные объекты БД |
Управление таблицей
Экспорт данных:
- CSV — выгрузка списка привилегий в формате CSV
Настройки отображения:
- Количество строк — выбор числа записей на странице (по умолчанию 25)
Добавление признака
Для добавления нового признака (привилегии) в каталог нажмите кнопку "+ Добавить признак" в верхней части раздела.
Поля формы добавления
| Поле | Обязательное | Описание |
|---|---|---|
| Сервер БД | Да | IP-адрес или имя сервера базы данных |
| Экземпляр БД | Да | Название экземпляра базы данных |
| Порт | Да | Номер TCP-порта подключения |
| Название привилегии | Да | Название добавляемой привилегии или роли |
| Объект привилегии | Да | Объект БД, к которому относится привилегия |
| Тип УЗ | Да | Тип учётной записи (выбор из списка) |
| Тип СУБД | Да | Тип системы управления базами данных |
| Описание | Нет | Текстовое описание привилегии |
Кнопки управления:
- Отменить — закрытие диалога без сохранения
- Сохранить — сохранение нового признака в каталог
Ручное добавление признаков позволяет внести информацию о привилегиях, которые не были обнаружены автоматически, или создать записи для планируемых привилегий.
Массовые действия
Для выполнения действий над несколькими привилегиями одновременно:
- Отметьте чекбоксы напротив нужных записей в таблице (или выберите все через чекбокс в заголовке)
- Внизу появится панель с количеством выбранных записей и кнопкой "Удалить записи"
- Подтвердите удаление выбранных записей
Доступные массовые действия:
| Действие | Описание |
|---|---|
| Удалить записи | Удалить выбранные привилегии из каталога |
Удаление записей из каталога прав не отменяет фактические привилегии в базе данных. Для отзыва прав необходимо выполнить соответствующие команды непосредственно в СУБД.
Критичные привилегии
При анализе каталога прав особое внимание следует уделять критичным привилегиям, которые могут представлять риск безопасности:
| Привилегия | СУБД | Уровень риска | Описание |
|---|---|---|---|
| DBA | Oracle | Высокий | Полные административные права |
| SYSDBA | Oracle | Критический | Права администратора БД |
| SYSOPER | Oracle | Высокий | Права оператора БД |
| ALTER ANY TABLE | Oracle | Высокий | Изменение любой таблицы |
| DROP ANY TABLE | Oracle | Критический | Удаление любой таблицы |
| SELECT ANY TABLE | Oracle | Средний | Чтение любой таблицы |
| SYSADMIN | MS SQL Server | Критический | Полные права администратора |
| DB_OWNER | MS SQL Server | Высокий | Владелец базы данных |
| SECURITYADMIN | MS SQL Server | Высокий | Управление безопасностью |
Наличие критичных привилегий у пользовательских (не технических) учётных записей может свидетельствовать о нарушении принципа минимальных привилегий и требует дополнительного анализа.