أمن قواعد البيانات

أمن قواعد البيانات تستخدم أمن قواعد البيانات مجموعة واسعة من ضوابط أمن المعلومات، وذلك لحماية قواعد البيانات بما في ذلك البيانات أو تطبيقات قواعد البيانات أو الوظائف المخزنة وأنظمة قواعد البيانات وخوادم قواعد البيانات ووصلات الشبكة المرتبطة بها. وتتوافر أنواع وفئات مختلفة من الضوابط، مثل التقنية والإجرائية / الإدارية والفيزيائية. أمن قاعدة البيانات هو موضوع متخصص ضمن المجالات الأوسع لأمن الحاسوب وأمن المعلومات، وإدارة المخاطر.

وتشمل المخاطر الأمنية لنظم قواعد البيانات، على سبيل المثال:

أو الاستخدام غير المقصود أو إساءة الاستخدام من قبل مستخدمي قاعدة البيانات المأذون لهم، أو مدراء قواعد البيانات، أو مدراء الشبكات / الأنظمة أو المستخدمين غير المصرح لهم أو المخترقينم ثل الوصول غير المصرح  إلى البيانات الحساسة  أو الوظائف داخل قواعد البيانات أو التغييرات غير المناسبة في برامج قواعد البيانات أو الهياكل أو التشكيلات الأمنية.

  • إصابات البرامج الضارة التي تتسبب في حوادث مثل الوصول غير المصرح به أو التسرب أو الكشف عن البيانات الشخصية أو الملكية أو حذف أو تلف البيانات أو البرامج أو انقطاع أو عدم  القدرة على الوصول المرخص به إلى قاعدة البيانات والاعتداءات على أنظمة أخرى والفشل غير المتوقع لخدمات قواعد البيانات.

. أضرار مادية لخوادم قواعد البيانات الناجمة عن حرائق غرف الحاسوب أو الفيضانات، وارتفاع درجة الحرارة، والبرق، وتسرب السائل العرضي، والتصريف الثابت، والأعطال الإلكترونية / فشل المعدات والتقادم؛

  • عيوب في التصميم وأخطاء في البرمجة في قواعد البيانات والبرامج والنظم المرتبطة بها، وخلق ثغرات أمنية مختلفة (مثل تصعيد الامتياز غير المصرح به)، وفقدان البيانات / الفساد، وتدهور الأداء، وما إلى ذلك؛

تلف البيانات و / أو الخسارة الناجمة عن إدخال البيانات أو الأوامر غير الصالحة، والأخطاء في قواعد البيانات أو عمليات إدارة النظام، والتخريب / الضرر الجنائي الخ.

و دائمًا ما يقول روس  أندرسون بأن طبيعة قواعد البيانات الضخمة لا تكون خالية من سوء الاستخدام من قبل انتهاكات الأمن؛ إذا تم تصميم نظام يسهل الوصول إليه فيصبح النظام غير آمن. وإذا تم توصيله بالماء يصبح من المستحيل استخدامه مرة أخرى. وهذا ما يعرف أحياناً باسم قاعدة أندرسون.

العديد من الطبقات وأنواع مراقبة أمن المعلومات مناسبة لقواعد البيانات، بما في ذلك:

  • صلاحية التحكم صلاحية الدخول
  • التدقيق
  • المصادقة
  • التشفير
  • مراقبة النزاهة
  • النسخ الاحتياطية
  • أمن التطبيق
  • أمن قاعدة البيانات تطبيق الأسلوب الإحصائي

وقد تم تأمين قواعد البيانات إلى حد كبير ضد القراصنة من خلال تدابير أمن الشبكات مثل الجدران النارية، ونظم الكشف عن التسلل القائمة على الشبكة. وفي حين تظل ضوابط أمن الشبكات ذات قيمة في هذا الصدد، فإن تأمين نظم قواعد البيانات نفسها، والبرامج / الوظائف والبيانات الموجودة فيها، يمكن أن يصبح أكثر أهمية نظرا لأن الشبكات تفتح على نحو متزايد أمام النفاذ الواسع النطاق، ولا سيما النفاذ إليها من الإنترنت. وعلاوة على ذلك، كانت دائما ضوابط النظام والبرنامج والوظائف والوصول إلى البيانات، إلى جانب الوظائف المرتبطة بتحديد هوية المستخدم والتوثيق وإدارة الحقوق، مهمة للحد من أنشطة المستعملين والإداريين المرخص لهم، وفي بعض الحالات تسجيلها. وبعبارة أخرى، هذه هي النهج التكميلية لأمن قاعدة البيانات، التي تعمل في كلا الاتجاهين من الخارج إلى الداخل ومنالداخل إلى الخارج كما كانت من قبل.

وتضع العديد من المنظمات معاييرها الأمنية الخاصة «الأساسية» وتصاميمها بالتفصيل في تدابير الرقابة الأمنية الأساسية لأنظمة قواعد البيانات الخاصة بها. وقد تعكس هذه المتطلبات متطلبات أمن المعلومات العامة أوالالتزامات التي تفرضها سياسات أمن المعلومات المؤسسية والقوانين واللوائح المعمول بها على سبيل المثال المتعلقة بالخصوصية ولإدارة المالية وغيرها، إلى جانب ممارسات أمن قواعد البيانات الجيدة والمقبولة مثل التقيد المناسب بالنظم الساسية (، وربما توصيات أمنية من نظام قاعدة البيانات ذات الصلة وبائعي البرامج. وعادة ما تحدد التصاميم الأمنية لنظم قواعد بيانات معينة  المزيد من وظائف إدارة الأمن وإدارتها مثل الإدارة والإبلاغ عن حقوق وصول المستعملين وإدارة السجلات والتحليل وتكرار قاعدة البيانات / التزامن والنسخ الاحتياطية مع مختلف ضوابط أمن المعلومات التي يحركها العمل في قاعدة البيانات مثل التحقق من صحة إدخال البيانات وتدقيقها. وعلاوة على ذلك، تدمج عادة مختلف الأنشطة المتصلة بالأمن (الضوابط اليدوية) في الإجراءات والمبادئ التوجيهية وما إلى ذلك فيما يتعلق بتصميم قواعد البيانات وتطويرها واستخدامها وإدارتها وصيانتها.

الامتيازات

عدل

وهناك نوعان من الامتيازات

امتيازات النظام

عدل

تسمح امتيازات النظام للمستخدم بتنفيذ الإجراءات الإدارية في قاعدة بيانات. وتشمل هذه الامتيازات إنشاء قاعدة بيانات وإنشاء عمليات الإجراء،  إنشاء عرض قاعدة بيانات النسخ الاحتياطي إنشاء جدول إنشاء المشغل والتشغيل.

الامتيازات الكائنة

عدل

الامتيازات الكائنة تسمح باستخدام عمليات معينة على كائنات قاعدة البيانات كما هو مصرح به من قبل مستخدم آخر. ومن الأمثلة على ذلك: الاستخدام، التحديد، الإدراج، التحديث، والمراجع.

مدير الامتياز الأقل، وفصل الواجبات:

وتخضع قواعد البيانات للضوابط الداخلية، أي البيانات المستخدمة للإبلاغ العام، والتقارير السنوية، وما إلى ذلك، لفصل الواجبات، مما يعني أنه يجب الفصل بين المهام بين التنمية والإنتاج. يجب التحقق من صحة كل مهمة، من قبل شخص ثالث الذي لا يكتب التعليمات البرمجية الفعلية. يجب ألا يكون مطور قاعدة البيانات قادرا على تنفيذ أي شيء في الإنتاج بدون مراجعة مستقلة للوثائق أو التعليمات البرمجية للعمل الذي يتم تنفيذه. عادة، دور المطور هو تمرير التعليمات البرمجية إلى قاعدة البيانات. ومع ذلك، وبالنظر إلى التراجعات التي نتجت عن الانكماش الاقتصادي، قد لا تكون قاعده البيانات متاحة بسهولة. إذا لم يكن متضمنا قاعدة بيانات،  فمن المهم، على الأقل، لنظير لإجراء مراجعة التعليمات البرمجية. وهذا يضمن أن دور المطور منفصل بشكل واضح.

وثمة نقطة أخرى للرقابة الداخلية هي الالتزام بمبدأ توفير أقل قدر من الامتيازات، ولا سيما في الإنتاج. للسماح لمطوري البرامج بمزيد من الوصول لإنجاز عملهم، يكون من الأفضل استخدام انتحال الهوية للاستثناءات التي تتطلب امتيازات مرتفعة. في كثير من الأحيان المطورين قد يرفضون ذلكلأنها تحت مسمى «النفقات العامة»بينما هم على طريقهم إلى الترميز المجد. ومع ذلك، يرجى الانتباه إلى أنه يتعين على وكالات إدارة الأعمال القيام بكل ما يعتبر مسؤولا لأنهم هم المشرفون على البيانات بحكم الأمر الواقع في المنظمة ويجب عليهم الامتثال للوائح والقوانين.

تقييم أوجه الضعف لإدارة المخاطر

عدل

أحد أساليب تقييم أمن قاعدة البيانات ينطوي على إجراء تقييمات الضعف أو اختبارات الاختراق ضد قاعدة البيانات. يحاول الفاحصون العثور على الثغرات الأمنية التي يمكن استخدامها لهزيمة أو تجاوز الضوابط الأمنية، وكسر في قاعدة البيانات، وتسوية النظام وما إلى ذلك يمكن لمسؤولي قاعدة البيانات أو مسؤولي أمن المعلومات على سبيل المثال استخدام الضعف التلقائي بمسح للبحث عن سوء تكوين عناصر التحكم (غالبا ما يشار إليها «الانجراف») ضمن الطبقات المذكورة أعلاه مع نقاط الضعف المعروفة ضمن برنامج قاعدة البيانات. وتستخدم نتائج هذه المسحات لتصلب قاعدة البيانات تحسين الأمن وإغلاق نقاط الضعف المحددة، ولكن نقاط الضعف الأخرى غالبا ما تبقى غير معترف بها وغير مُعالجة.

في قاعدة البيانات يعتبر الأمن أمر بالغ الأهمية، والرصد المستمر لامتثال المعايير يحسن الأمن. يتطلب الامتثال الأمني من بين إجراءات أخرى، إدارة التصحيح ومراجعة وإدارة الأذونات (خاصة العامة)  للمعطيات داخل قاعدة البيانات. قد تتضمن كائنات قاعدة البيانات جدول أو أشياء أخرى مدرجة في ارتباط الجدول. يتم النظر في الأذونات الممنوحة لأوامراللغة والكائنات في هذه العملية. رصد الامتثال يشبه تقييم الضعف إلا أن نتائج تقييمات الضعف تقود عموما المعايير الأمنية التي تؤدي إلى برنامج الرصد المستمر. وبشكل أساسي، يعتبر تقييم نقاط الضعف إجراءًا أوليًا لتحديد المخاطر حيث يكون برنامج الامتثال هو عملية تقييم المخاطر الجارية.

وينبغي أن يأخذ برنامج الامتثال في عين  الاعتبار أي تبعيات على مستوى برمجية التطبيق لأن التغييرات على مستوى قاعدة البيانات قد يكون لها آثار على برمجية التطبيق أو خادم التطبيق.

التجريد

عدل

وقد تكون آليات المصادقة والتحويل على مستوى التطبيق وسيلة فعالة لتوفير التجريد من طبقة قاعدة البيانات. والفائدة الأساسية للاستخراج هي القدرة على تسجيل الدخول عبر قواعد بيانات ومنصات متعددة. يقوم نظام تسجيل الدخول الموحد بتخزين بيانات اعتماد مستخدم قاعدة البيانات والمصادقة على قاعدة البيانات نيابة عن المستخدم.

مراقبة نشاط قاعدة البيانات

طبقة أمان أخرى ذات طبيعة أكثر تعقيدا تشمل مراقبة نشاط قاعدة البيانات في الوقت الحقيقي، إما عن طريق تحليل حركة بروتوكول عبر الشبكة، أو من خلال مراقبة نشاط قاعدة البيانات المحلية على كل ملقم باستخدام عوامل برامج أو كليهما. استخدام وكلاء أو تسجيل الأصلي مطلوب لالتقاط الأنشطة المنفذة على الملقم، والتي عادة ما تشمل أنشطة مسؤول قاعدة البيانات. يسمح الوكلاء بقبول هذه المعلومات بطريقة لا يمكن تعطيلها من قبل مسؤول قاعدة البيانات، والذي لديه القدرة على تعطيل أو تعديل سجلات التدقيق الأصلي.

التدقيق الأصلي

بالإضافة إلى استخدام أدوات خارجية للرصد أو التدقيق، قدرات التدقيق لقاعدة البيانات الأصلية تتوفر أيضا للعديد من منصات قاعدة البيانات. يتم استخراج مسارات التدقيق المحلية على أساس منتظم وتحويلها إلى نظام أمني محدد حيث لا ينبغي لمديري قاعدة البيانات الوصول إليها. وهذا يضمن مستوى معين من الفصل بين الواجبات التي قد توفر دليلا على أن مسارات التدقيق الأصلية لم يتم تعديلها من قبل المشرفين المعتمدين، وينبغي أن تجري من قبل مجموعة قاعدة البيانات العليا ذات التوجه الأمني مع حقوق القراءة في الإنتاج. يؤثر تشغيل التأثيرات الأصلية على أداء الخادم. وبوجه عام، لا توفر مسارات مراجعة الحسابات الأصلية لقواعد البيانات ضوابط كافية لإنفاذ الفصل بين الواجبات؛ وبالتالي، فإن شبكة و / أو النواة على مستوى وحدة قدرات مضيف الرصد  توفر درجة أعلى من الثقة للطب الشرعي والحفاظ على الأدلة.

العملية والإجراءات

عدل

يتضمن برنامج أمان قاعدة بيانات جيد المراجعة المنتظمة للامتيازات الممنوحة لحسابات المستخدمين والحسابات المستخدمة بواسطة العمليات التلقائية. أما بالنسبة للحسابات الفردية، فإن نظام المصادقة ثنائي العوامل يحسن الأمن ولكنه يضيف التعقيد والتكلفة. تتطلب الحسابات المستخدمة من قبل العمليات الآلية ضوابط مناسبة حول تخزين كلمة المرور مثل تشفير كافية وضوابط الوصول للحد من خطر التسوية.

وبالاقتران مع برنامج أمن قاعدة بيانات سليم، يمكن للبرنامج المناسب لاستعادة القدرة على العمل بعد الكوارث أن يضمن عدم انقطاع الخدمة أثناء حادث أمني، أو أي حادث يؤدي إلى انقطاع في بيئة قاعدة البيانات الأولية. ومن الأمثلة على ذلك النسخ المتماثل لقواعد البيانات الأولية للمواقع الموجودة في مناطق جغرافية مختلفة

بعد وقوع حادث يمكن استخدام الطب الشرعي قاعدة البيانات لتحديد نطاق الخرق، وتحديد التغييرات المناسبة على النظم والعمليات.

 

مراجع

عدل