بلاگ

راهنمای پیشگیری و رفع آسیب پذیری پایگاه داده


در این مقاله با دو مجموعه اقدامات امنیتی برای محافظت از بانک‌های اطلاعاتی آشنا می‌شویم. بخش اول به مجموعه اقداماتی اشاره دارد که باید توسط سرپرستان بانک‌های اطلاعاتی و کارشناسان امنیتی انجام شود. بخش دوم به مجموعه اقداماتی اشاره دارد که باید توسط توسعه‌دهندگان نرم‌افزارها و به ویژه‌ توسعه‌دهندگان وب مورد توجه قرار گیرد تا هکرها به سواستفاده از آسیب‌پذیری‌ها یا پیکربندی‌های اشتباه نپردازند. با توسعه شبکه آداکهمراه باشید.

داده‌ها ارزشمندترین دارایی‌های هر سازمانی هستند که باید همانند سرمایه‌های نقدی به بهترین شکل مدیریت و از آن‌ها محافظت شود. به‌طور معمول، بخشی یا تمام داده‌های تجاری یک سازمان اهمیت تاکتیکی دارند و باید تنها افراد خاصی به آن‌ها دسترسی داشته یا از جزییات آن‌ها مطلع باشند. در حالی کلی، وظیفه تامین امنیت بانک‌های اطلاعاتی بر عهده سرپرستان بانک‌های اطلاعاتی است و کارشناسان امنیتی تا حدودی می‌توانند از بانک‌های اطلاعاتی در برابر مخاطرات امنیتی محافظت کنند. اما در خط مقدم این جریان، دو گروه از متخصصان قرار دارند:

گروه اول متخصصانی هستند که بانک‌های اطلاعاتی را طراحی می‌کنند که باید شناخت کاملی با مفاهیم امنیتی این حوزه داشته باشند تا بانک‌های اطلاعاتی یکپارچه، پرسرعت و کارآمدی را آماده کنند. گروه دوم، توسعه‌دهندگانی هستند که برنامه‌های کاربردی وب‌محور یا دسکتاپ‌محور را طراحی می‌کنند که قرار است با بانک‌های اطلاعاتی ارتباط برقرار کرده، اطلاعاتی را واکشی کرده یا فرآیندهای اعتبارسنجی را انجام دهند. اگر توسعه‌دهنده برنامه کاربردی اطلاعات دقیقی در ارتباط با مکانیزم‌های اعتبارسنجی، پیاده‌سازی عبارات با قاعده و آسیب‌پذیری‌ها نداشته باشد، به هکرها اجازه می‌دهد به ساده‌ترین شکل به اطلاعات حساس دسترسی پیدا کرده، آن‌ها را سرقت کنند یا دستکاری کنند.

مشاوره و طراحی شبکه در توسعه شبکه آداک(ایران اچ پی)
توسعه شبکه آداکبا تکیه بر دانش، تخصص و تجربه متخصصین خود، نیازهای مشتریان خصوصی و دولتی خود را بررسی و تحلیل می‌کند و خدمات خود را در زمینه مشاوره، طراحی، پیاده‌سازی، نظارت و پشتیبانی شبکه‌های کامپیوتری ارایه می‌دهد.

دریافت مشاوره طراحی شبکه

لزوم توجه به امنیت پایگاه داده

دنیای امنیت به سرعت در حال حرکت است، به‌طوری که با آسیب‌پذیری‌های جدید و بردارهای مختلف حمله، جامعه توسعه‌دهندگان را مجبور کرده است به‌طور مداوم به دنبال کسب اطلاعات بیشتر است. گیت‌هاب (GitHub) بزرگ‌ترین مخزن کدنویسی در جهان که تیمی از بزرگ‌ترین توسعه‌دهندگان نرم‌افزاری و کارشناسان امنیتی آن‌را مدیریت می‌کنند، این تغییرات را به دقت بررسی می‌کنند و همواره به‌روزترین توصیه‌های امنیتی را به توسعه‌دهندگان و برنامه‌نویسان می‌دهند تا آگاهی لازم در ارتباط با مخاطرات امنیتی که پیرامون نرم‌افزارها و به‌ویژه بانک‌های اطلاعاتی وجود دارد کسب کنند. با این‌حال، برای موفقیت در انجام پروژ‌ه‌ها نباید دانش خود را محدود به گیت‌هاب کنید.

در همین ارتباط، گیت‌هاب به عنوان یکی از بزرگ‌ترین مخازن کدنویسی فعال جهان تصمیم گرفته است، مخزنی متشکل از توصیه‌های امنیتی را برای توسعه‌دهندگان نرم‌افزار آماده کرده و کمک می‌کند تا اطلاعات خود در مورد رخنه‌های امنیتی مستتر در کتابخانه‌ها و چارچوب‌ها را با یکدیگر به‌اشتراک قرار دهند. به‌طوری که اعضای این تیم یا سایر متخصصانی که عضو گیت‌هاب هستند، هر زمان آسیب‌‌پذیری یا وصله‌ای برای یک رخنه شناسایی کردند به شکل رایگان با سایر توسعه‌دهندگان به اشتراک قرار دهند.

پایگاه داده‌ای که گیت‌هاب با توسعه‌دهندگان به اشتراک قرار داده یک مخزن باز و عمومی است که متشکل از مجموعه‌ای از آسیب‌پذیری‌های مرتبط با فناوری‌های مختلف است که تحت مجوز Creative Commons در دسترس آحاد مردم قرار گرفته است.

این پایگاه داده بزرگ‌ترین مخزن آسیب‌پذیری‌های مرتبط با وابستگی‌های (Dependencies) نرم‌افزاری در جهان است که توسط یک تیم اختصاصی متشکل از توسعه‌دهندگان گیت‌هاب به شکل تمام وقت نگهداری می‌شود. این پایگاه داده به نشانی در اختیار متخصصان قرار دارد. 

محافظت از پایگاه‌های داده کار ساده‌ای نیست، زیرا بخش عمده‌ای از حمله‌های سایبری به واسطه سوء استفاده از ساده‌ترین آسیب‌پذیری‌ها پیاده‌سازی می‌شوند. شرکت‌هایی که تنها به اصول اولیه مباحث امنیتی بسنده کنند، بیشترین آسیب را متحمل می‌شوند، زیرا امروزه حمله‌های سایبری به بانک‌های اطلاعاتی اشکال پیچیده‌تری به خود گرفته‌اند که راه‌کارهای سنتی امنیتی قادر به شناسایی آن‌ها نیستند.

پیشنهاد مطالعه

به گفته آلکس رستاکر مدیر تیم امنیتی AppSec’s Team SHATTER تمامی بانک‌های اطلاعاتی مورد استفاده در سازمان‌های بزرگ و کوچک با مجموعه نسبتا مشخصی از آسیب‌پذیری‌ها روبرو هستند. به‌طوری که اگر سرپرستان بانک‌های اطلاعاتی، توسعه‌دهندگان یا کارشناسان امنیتی به دقت به این آسیب‌پذیری‌ها رسیدگی کنند بخش عمده‌ای از حمله‌های سایبری ناکام باقی می‌مانند.

آمارها نشان می‌دهند که مدیران پایگاه داده به ندرت وقت خود را صرف ایمن‌سازی بانک‌های اطلاعاتی می‌کنند و بیشتر روی مباحث عملیاتی، نگه‌داری و پشتیبان‌گیری از اطلاعات متمرکز هستند. کارشناسان بانک‌های اطلاعاتی باید به‌طور مستمر به‌روزرسانی‌های امنیتی ارائه شده برای DBMSها را دریافت و نصب کنند تا آسیب‌پذیری‌های پیرامون بانک‌های اطلاعاتی کمتر شود. علاوه بر این، توسعه‌دهندگان یا مدیران بانک‌های اطلاعاتی باید مراقب اعتبارنامه‌های پیش‌فرض یا ضعیفی باشند که برای ورود به سیستم از آن‌ها استفاده می‌شود.

حدود نیمی از آسیب‌پذیری‌هایی که روتاکر و تیمش شناسایی کرده‌اند، به‌طور مستقیم یا غیرمستقیم به شیوه‌های مدیریت وصله‌های ضعیف در محیط پایگاه داده مربوط می‌شوند. آمارها نشان می‌دهند، متاسفانه تنها ۳۸ درصد مدیران پایگاه داده در سه ماهه اول انتشار وصله‌های امنیتی آن‌ها را نصب می‌کنند و تقریباً یک سوم یک سال یا بیشتر طول می‌کشد تا وصله را روی سامانه‌ها نصب کنند.

پیشنهاد مطالعه

امنیت پایگاه داده چیست؟

امنیت پایگاه داده، مجموعه اقدامات و فرآیندهایی است که از پایگاه داده در برابر تهدیدات عمدی یا تصادفی محافظت می‌کنند. چالش‌های امنیتی نه تنها در مورد داده‌های موجود در پایگاه داده سازمانی است، بلکه مبحث شکستن مکانیزم‌های امنیتی، آسیب به بخش‌های مختلف یک سامانه یا شبکه و در نهایت ساختار پایگاه داده را شامل می‌شود. در نتیجه، مقوله امنیت پایگاه داده، سخت‌افزار (NASها یا SANهایی که اطلاعات را میزبانی می‌کنند)، مولفه‌های نرم‌افزاری، داده‌ها و حتا منابع انسانی را در بر می‌گیرد. برای آن‌که بتوانیم از یک بانک اطلاعاتی به درستی محافظت کنیم به کنترل‌های مناسبی نیاز داریم که برای این منظور طراحی شده‌اند. به‌طور کلی، توسعه‌دهندگان نرم‌افزار در بحث امنیت پایگاه داده باید شرایط زیر را در نظر بگیرند:

  1. سرقت و کلاهبرداری (Theft and fraudulent)
  2. از دست دادن محرمانگی (Loss of confidentiality or secrecy)
  3. از دست رفتن حریم خصوصی داده‌ها (Loss of data privacy)
  4. از دست رفتن دسترس‌پذیری داده‌ها (Loss of availability of data)
  5. از دست دادن یکپارچگی داده‌ها (Loss of data integrity)

تمامی مشکلات امنیتی که بانک‌های اطلاعاتی با آن‌ها روبرو هستند پیرامون این مباحث قرار دارد. از این‌رو، سازمان‌ها باید برای به حداقل رساندن مخاطرات امنیتی یا آسیب‌هایی که ممکن است به داده‌های یک پایگاه داده وارد شود به این مباحث دقت نظر ویژه‌ای داشته باشند. در بیشتر موارد این چالش‌ها به‌طور مستقیم با هم مرتبط هستند، به‌طوری که حمله‌ای که باعث از دست رفتن یکپارچگی داده‌ها می‌شود، دسترس‌پذیری و محرمانگی آن‌ها را نیز تحت‌الشعاع خود قرار می‌دهد.

پیشنهاد مطالعه

تهدید چیست؟

هر رویدادی که عمداً یا سهواً، باعث شود آسیبی جدی به پایگاه داده وارد شود، به‌طوری که تأثیر نامطلوبی بر ساختار پایگاه داده و در نتیجه سازمان داشته باشد یک تهدید شناخته می‌شود. یک تهدید ممکن است توسط رویدادی رخ دهد که توسط یک شخص یا مجموعه فعالیت‌هایی که او انجام داده به وجود آمده و به پایگاه داده آسیب وارد کند. 

میزان خسارتی که یک سازمان به‌واسطه یک تهدید متحمل می‌شود به مجموعه اقدامات متقابل و طرح‌های اضطراری بستگی دارد که اجرا می‌شوند. به‌طور مثال، شما یک نقص سخت‌افزاری دارید که باعث خراب شدن عملکرد NAS می‌شود. در این حالت تمام فعالیت‌های پردازشی باید متوقف شود تا زمانی‌که مشکل حل شود. این مشکل به‌وضوح اصل دسترس‌پذیری داده‌ها را نقض می‌کند.

کنترل‌های مبتنی بر سامانه‌های هوشمند

روش‌های مختلف مقابله با تهدیدات در سیستم‌های رایانه‌ای از کنترل‌های فیزیکی تا رویه‌های مدیریتی را شامل می‌شود. علیرغم طیف وسیعی از کنترل‌های نظارتی که طراحی شده‌اند، شایان ذکر است که امنیت DBMS‌ها در وضعیت خوبی قرار دارد، البته به شرطی که به‌درستی پیکربندی شوند. امروزه بانک‌های اطلاعاتی بزرگ تجاری و منبع باز کنترل‌های امنیتی زیر را ارائه می‌کنند:

  1. مجوز دسترسی (Access authorization)
  2. کنترل‌های دسترسی (Access controls)
  3. بازدیدها (Views)
  4. پشتیبان‌گیری و بازیابی اطلاعات (Backup and recovery of data)
  5. یکپارچگی داده (Data integrity)
  6. رمزگذاری داده‌ها (Encryption of data)
  7. پشتیبانی از فناوری رید (RAID technology)

کنترل دسترسی چیست؟

به مجموعه اصول و مکانیزم‌هایی اشاره دارد که مجموعه مجوزها و امتیازهایی را به کاربران ارائه می‌دهد تا به بانک‌های اطلاعاتی دسترسی داشته باشند. هر یک از بانک‌های اطلاعاتی به روشی مختلف این‌کار را انجام می‌دهند. یک امتیاز به کاربر اجازه می‌دهد تا به برخی از اشیا پایگاه داده دسترسی داشته یا آن‌ها را ایجاد کند یا برخی از ابزارهای DBMS را اجرا کند. این مجوزها به‌منظور انجام وظایف خاص شغلی به کارمندان یک سازمان اعطا می‌شود. پایگاه‌های داده انواع مختلفی از کنترل‌های دسترسی را ارائه می‌دهند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

۱. کنترل دسترسی اختیاری (DAC)

۲. کنترل دسترسی اجباری (MAC)

پیشنهاد مطالعه

پشتیبان‌گیری و بازیابی

هر سیستم مدیریت پایگاه داده باید امکانات پشتیبان برای کمک به بازیابی پایگاه داده پس از خرابی ارائه دهد. تهیه نسخه‌های پشتیبان از پایگاه داده و فایل‌های گزارش در دوره‌های منظم و برای اطمینان از اینکه کپی‌ها در یک مکان امن هستند، همیشه مناسب است. در این حالت، در صورت بروز مشکلی که پایگاه داده را غیرقابل استفاده می‌کند، نسخه پشتیبان و جزئیات ثبت شده در فایل گزارش برای بازگرداندن پایگاه داده به آخرین وضعیت ممکن استفاده می‌شود.

خدمات تعمیرات سرور، مشاوره و اجرای شبکه در فالنیک
توسعه شبکه آداکبا دارا بودن بزرگ‌ترین لابراتوار تعمیر سرور و تجهیزات شبکه و کارشناسان متخصص، آماده خدمت‌رسانی برای تعمیر انواع سرورهای ایستاده و رک مونت است. تمامی ابزار موردنیاز برای تعمیر و تست تجهیزات شبکه در مرکز سرور توسعه شبکه آداکدر اختیار مهندسین توسعه شبکه آداکقرار دارد.

درخواست تعمیر سرور


}
},{
“@type”: “Question”,
“name”: “کنترل دسترسی چیست؟”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: ” ”
}
}]
}

نویسنده : حمیدرضا تائبی



منبع

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *