امنیت بانک اطلاعاتی
امنیت بانک اطلاعاتی
امنیت بانک اطلاعاتی
بانکهای اطلاعاتی معمولاً بخش مهمی از سازمان هستند.
سازمانها معمولاً اطلاعات مالی و تراکنشهای کسبوکاری، اطلاعات مربوط به مشتریان و کارمندان یا خیلی اطلاعات دیگر شرکت خود
را در بانک اطلاعاتی قرار میدهند.
تمام این اطلاعات در بانک اطلاعاتی ذخیره میشوند.
این بانک اطلاعاتی به تواناییهای مدیر بانک اطلاعاتی واگذارشده است که آن فرد هیچ آموزش مسائل امنیتی را ندیده است.
امنیت و امانتداری بانک اطلاعاتی بخشهای ضروری وضعیت امنیتی در سازمان هستند.
انسانها عادت دارند که اطلاعات مهم خود را داخل گاوصندوق یا کشوهای ضد سرقت و ضد حریق قرار دهند که از سیستم قفل آنها اطمینان داشته باشند.
بانکهای اطلاعاتی ریسکهای بیشتری را متوجه ما میکنند.
با توجه بهاندازه آنها که روزبهروز بزرگتر میشوند مسائل امنیتی بانکهای اطلاعاتی سطح وسیعتری را برای کاربران خطرآفرین مهیا میکنند تا به آن نفوذ و حمله نمایند.
واقعیت غمانگیز آن است که سازمانها میتوانند زمان و پول و نیروی انسانی زیادی صرف کنند تا داراییهای در معرض دید و برخط خود را امن نمایند.
وجود حتی یک نقطهضعف در بانک اطلاعاتی میتواند آن را از سرویسدهی خارج نماید.
اهمیت امنیت بانک اطلاعاتی
با استناد به گزارش منتشرشده از دارک ریدینگ (Dark reading) هکرها میتوانند در کمتر از ده ثانیه وارد بانک اطلاعاتی شوند و اطلاعات مهمی را برداشته و خارج شوند.
بر اساس تحقیقات در این زمینه، هنگام نفوذ به سیستم پایانه فروشگاهی (POS) بهطور متوسط شش درصد از رکوردها در معرض خطر حمله هستند.
هنگام نفوذ به سرویسدهنده برنامه (Application server) حدود نوزده درصد رکوردها و هنگام نفوذ به بانک اطلاعاتی ۷۵ درصد از رکوردها در معرض خطر هستند.
با توجه به مطالب بیانشده نباید تعجب کرد اگر بگوییم بانک اطلاعاتی یک هدیه باارزش و کمیاب برای هکرها است.
با نگاهی به آسیبهایی که هکرها به بانک اطلاعاتی زدهاند این تصویر جالب مشخص میشود که تعدادی از رکوردها از بانک اطلاعاتی بخاطر نفوذهای امنیتی دزدیدهشدهاند.
بانکهای اطلاعاتی پیچیده هستند و مدیر بانک اطلاعاتی اغلب پیامدهای عدم تضمین امنیت و امانتداری بانک اطلاعاتی را نمیدانند.
حال اجازه دهید به ملزومات امنیتی بانک اطلاعاتی و مسائل امنیتی بانک اطلاعاتی چه چیزهایی هستند بپردازیم.
ببینیم سازمانها چگونه میتوانند به حفظ تمامیت و امنیت بانک اطلاعاتی خود بپردازند.
امنیت بانک اطلاعاتی چیست؟
امنیت بانک اطلاعاتی زیر چتر امنیت اطلاعات از محرمانگی و تمامیت و در دسترس بودن بانکهای اطلاعاتی سازمان محافظت میکند.
محرمانگی بانک اطلاعاتی
محرمانگی جنبه خیلی مهم از امنیت بانک اطلاعاتی است و عموماً از طریق رمزنگاری انجام میشود.
رمزنگاری باید همروی اطلاعاتی که در حال جریان و تغییر هستند انجام شوند و همروی اطلاعاتی که ساکن هستند و تغییر نمیکنند.
امانتداری بانک اطلاعاتی
امانتداری جنبه حیاتی دیگر از امنیت بانک اطلاعاتی است. زیرا ما را مطمئن میسازد که فقط افراد باصلاحیت و درست قادر خواهند بود اطلاعات مجوز دادهشده سازمان را ببینند.
امانتداری از اطلاعات بانک اطلاعاتی از طریق اجرای سیستم کنترل دسترسی کاربران انجام میشود.
با استفاده از آن مجوزهایی برای اینکه چه کسی به چه اطلاعاتی باید دسترسی داشته باشد تعریف میشود.
بههرحال موضوع امانتداری خیلی راحت با اعطای مجوزها توسعه پیدا میکند.
پیادهسازی مکانیزمهای امنیتی شبیه پروتکلهای احراز هویت و یا تعیین قواعدی قوی برای رمز عبور یا اطمینان از اینکه شناسههای کاربری افرادی که از شرکت رفتهاند حذف یا بلاک شدهاند باعث خواهند شد تا امانتداری بانک اطلاعاتی را قوی کنیم.
در دسترس بودن بانک اطلاعاتی
دسترسپذیری اشاره به آن دارد که نیاز است بانک اطلاعاتی فعال بوده و سرویسدهی نماید. بانکهای اطلاعاتی نیازمند آن هستند که فعال و اجرایی باشند و اجرایی بودن آنها قابلاعتماد باشد.
یعنی هرگاه که سازمان نیاز داشت تا از آن استفاده نماید بتواند از آن بهرهبرداری نماید.
البته زمانهای خارج از دسترس بودن بانک اطلاعاتی را شرکت میتواند از قبل برنامهریزی و مشخص نماید.
تهدیدات امنیتی بانک اطلاعاتی، حملههای خیلی معروف
ریسکهای بانک اطلاعاتی از سازمانی به سازمان دیگر متفاوت است.
یعنی مخاطرات بانک اطلاعاتی با توجه به نوع سازمان و میزان اهمیت اطلاعاتی که در آن سازمان نگهداری میشوند تعیین و مشخص میگردند.
بهطور خلاصه بیشتر بانکهای اطلاعاتی فعال در شرکت بهنوعی برای فعالیت شرکت مهم هستند.
این نکته بسیار حیاتی و مهم است که باید شیوههای امنیتی و دفاعی محکمی را برای مبارزه با حملات به بانکهای اطلاعاتی وجود داشته باشد.
ابتدا باید ببینیم که چه نوع حملاتی میتوانند به بانکهای اطلاعاتی که به خوبی مراقبت امنیتی نمیشوند میتوانند حادث شوند.
سپس باید به سمت ایجاد اطمینان خاطری حرکت کرد که ما را مطمئن سازد که آنها اتفاق نخواهند افتاد.
تزریق SQL (SQL injection):
یکی از بزرگترین نگرانیها در خصوص امنیت بانک اطلاعاتی تزریق SQL است.
دقیقاً مثل برنامههای کاربردی تحت وب که توانند روی هر بانک اطلاعاتی یا برنامههای کاربردی تحت وب که درواقع جلوی بانک اطلاعاتی قرار دارند راهاندازی شوند.
بااینحال با توجه به شیوع نفوذهای تزریق SQL در برنامههای کاربردی تحت وب و اینکه آنها چقدر برای استفاده آسان هستند، آنها از حملههای به بانک اطلاعاتی خیلی عمومیتر هستند.
تزریق SQL زمانی اتفاق میافتد که ورودی قبل از اینکه در بانک اطلاعاتی یا برنامه کاربردی تحت وب اجرا شود آلوده میگردد.
حملهکننده یک ورودی بد و آسیبرسان را درست میکنند که ممکن است به حملهکننده اجازه دسترسی به اطلاعات حساس را بدهد.
یا اینکه به آنها دسترسیهای بیشازحد مجاز بدهد.
در مواردی خاص برای بهرهبرداریهای خطرناک به حملهکننده دسترسیهایی در سطح اجرای دستوراتی در بانک اطلاعاتی یا سیستمعامل آن بانک اطلاعاتی را میدهند.
بسیاری از سازمانها پایگاه دادههای بزرگی دارند که هکرها دوست دارند دست آنها را بگیرند و کمکشان کنند.
ایمن ماندن برای جلوگیری از حوادث شرمآور و پرهزینه ضروری است.
سرریز بافر (Buffer overflow):
مشکل امنیتی خیلی عمومی برای بانک اطلاعاتی زمانی اتفاق میافتد که برنامهای خاص سعی میکند تا مقدار خیلی زیادی از اطلاعات را در حافظه بافر بانک اطلاعاتی کپی نماید.
آن برنامه مخرب با این کار باعث خواهد شد تا بافر سرریز نماید.
در نهایت اطلاعاتی که در حافظه بودند با این اطلاعات بیهوده بازنویسی شوند.
با این تفاسیر دیگر حافظهای برای ادامه کارهای بانک اطلاعاتی وجود نخواهد داشت.
آسیبپذیریهای سرریزی بافر تهدید خطرناکی برای بانک اطلاعاتی که اطلاعات حساسی را نگهداری میکنند موجب میشوند.
بهطوریکه میتواند به حملهکننده اجازه بهرهبرداری از آسیبپذیری را بدهد.
هکر بتواند مقادیر نامشخصی را به مقادیر مشخص و شناختهشده عوض کند یا اینکه منطق برنامه را بهم بریزد.
انکار خدمت (Denial of Service(DoS)):
این نوع از حملهها اغلب از طریق سرریزی بافر، تخریب اطلاعات یا مصرف سایر منابع سرورها اتفاق میافتد.
حملههای انکار خدمت باعث خراب شدن سرورها میشوند و درنهایت بانک اطلاعاتی تا زمانی که حمله ادامه دارد از دسترس خارج خواهد بود.
افزایش حق دسترسی (Privilege escalation):
رفتار خطرناکی است که میتواند منجر به درج یا اصلاح یا حذف خطرناک اطلاعات گردد.
با توجه به حساسیت آن اطلاعات ، عمل مذکور میتواند سازمان را ویران نماید.
احراز هویت ضعیف (Weak authentication):
رفتار عام دیگری درزمینه امانتداری و امنیت بانک اطلاعاتی احراز هویت است.
زمانی که کاربر مخرب میتواند هویت یک کاربر قانونی را به سرقت ببرد.
یعنی دسترسی به اطلاعات محرمانه پیداکرده است و ریسک فراوانی وجود دارد.
تالیف و ترجمه: جناب آقای مهندس مهدی حجازی فر
در صورت تمایل برای کسب اطلاعات بیشتر با شماره تلفن مستقیم: ۰۲۱۸۶۱۱۱۷۲۵ ارتباط برقرار بفرمائید.
جهت استفاده از خدمت مرتبط با بانک اطلاعاتی و همچنین گرفتن مشاوره درزمینه انواع بانک اطلاعاتی در سازمان خود، فرم زیر را تکمیل بفرمائید:
نوشتن نظر