رفع مشکلات امنیت بانک اطلاعاتی
رفع مشکلات امنیت بانک اطلاعاتی
رفع مشکلات امنیت بانک اطلاعاتی : بانکهای اطلاعاتی اهداف خیلی جذابی برای رخنهگرها[۱] هستند. زیرا محتوی بانک اطلاعات حساس و باارزش است. محتویات بانکهای اطلاعاتی میتواند از داراییهای مالی و فکری تا اطلاعات شرکت و اشخاص باشد. مجرمان اینترنتی میتوانند از رخنه کردن به سرورهای شرکتها و آسیب رساندن به بانکهای اطلاعاتی که در حال اجرا هستند سود ببرند . بنابراین آزمودن امنیت بانکهای اطلاعاتی امری واجب و ضروری است.
درگذشته حوادث متعددی رخداده است که طی آن رخنهگرها شرکتهایی را که با اطلاعات شخصی افراد در ارتباط هستند مورد هدف قراردادند. وبسایتهایی مانند: Equifax, Facebook, Yahoo, Apple, Gmail, Slack, eBay از آن دسته هستند و در سالهای گذشته اطلاعاتشان مورد رخنه و نفوذ قرارگرفته است.
بنابراین اهمیت دارد که اگر کسبوکار برخط بود و مجبور به ثبت اطلاعات مشتریان بودیم، نکات امنیتی رعایت گردد و از نرمافزارهای امنیت اینترنتی استفاده گردد. چناچه معیارهای امنیتی به درستی لحاظ گردند آنگاه رخنهگرها قادر خواهند بود بهراحتی به دادهها و مستندات بانکهای اطلاعاتی برخط دسترسی پیدا کنند. کسبوکارهای اروپایی اگر با General Data Protection Regulation (GDPR)[2] همسو و موافق باشند آنگاه کمک زیادی به حفظ اطلاعات کاربران خواهد کرد.
قصد داریم در این مقاله به ده مورد آسیبپذیریهای عمومی که در سامانههای بانک اطلاعاتی مشاهدهشده است بپردازیم، همچنین توصیههایی برای اجتناب و دوری از آنها جهت رفع مشکلات امنیت بانک اطلاعاتی بیان خواهیم کرد.
۱. عدم تست امنیت قبل از عملیاتی کردن بانک اطلاعاتی[۳]
رفع مشکلات امنیت بانک اطلاعاتی : یکی از مهمترین دلایل ضعف پایگاه داده سهلانگاری در مرحله استقرار پایگاه داده است. اگرچه در مرحله استقرار پایگاه داده آزمایش عملکردی برای اطمینان از عملکرد عالی پایگاه داده انجام میشود ولی این نوع آزمایش نمیتواند به شما نشان دهد که آیا پایگاه کاری را انجام میدهد که قرار نیست انجام دهد.
بنابراین این موضوع مهم است که شما قبل از اتمام مرحله استقرار نرمافزار و بانک اطلاعاتی امنیت بانک اطلاعاتی خود را با آزمونهای مختلفی انجام دهید.
۲. ترکیب رمزگذاری ضعیف و نقض دادهها[۴]
احتمال دارد که به بانک اطلاعاتی بهعنوان بخش درونی تنظیمات خود نگاه کنید و بیشتر توجه شما روی تهدیدات ناشی از اینترنت یا لایه بیرونی نرمافزار باشد. این کار نمیتواند واقعاً کارساز یا خوب و اساسی باشد. به این دلیل که رابطهای شبکه داخل بانک اطلاعاتی وجود دارند که رخنهگرها میتوانند بهراحتی با استفاده از این رابطها، بانک اطلاعاتی را ردیابی نمایند. این موضوع در صورتی اتفاق خواهد افتاد که امنیت نرمافزاری ضعیفی پیادهسازی شده باشد.
برای اینکه دچار چنین مشکلاتی نشویم بهتر است که از پلتفرمهای ارتباطی رمزگذاری شده امن، مانند SSL[5] یا TLS[6] استفاده گردد.
۳. ضعف نرمافزار امنیت سایبری معادل با شکسته شدن بانک اطلاعاتی[۷]
رفع مشکلات امنیت بانک اطلاعاتی : بر اساس یک تجربه در جهان واقعی نمایندگان سازمان اعتراف کردند که ۱۴۷ میلیون نفر مصرفکننده داده آنها به خطر افتاده است، بنابراین ضعف نرمافزار امنیتی عواقب بسیار وحشتناکی خواهد داشت.
مثال ذکرشده ثابت میکند امنیت سایبری چقدر مهم است. متأسفانه مشاهده میشود اکثر کسبوکارها به خاطر کمبود منابع یا زمان برای انجام آزمایش امنیت داده، خود را بهزحمت نمیاندازند و وصلههای منظم برای آنها تهیه نمیکنند. بنابراین بانک اطلاعاتی را مستعد نشت داده میکند.
۴. سرقت نسخه پشتیبان بانک اطلاعاتی[۸]
نوع دیگری از تهدیدات بانک اطلاعاتی وجود دارد که داخلی است! مواردی وجود دارد که کسبوکارها با تهدیدات داخلی بیش از تهدیدات خارجی دستوپنجه نرم میکنند. مهم نیست که چه نوع نرمافزار امنیتی استفاده میشود، همچنین مهم نیست که چقدر خوب هستند و پاسخگوی نیاز میباشند. هرکسی که به اطلاعات حساس و مهم دسترسی داشته باشد میتواند آن را به سرقت ببرد و به کسبوکارهای رقیب بفروشد تا سودی عایدش شود. بههرحال راهی برای کاهش خطرات وجود دارد. استانداردهای امنیتی محکم و سختی را پیادهسازی کنید. در صورت تخطی و تخلف افراد را جریمه کنید. از نرمافزار امنیتی سایبری استفاده کنید، آگاهی کارشناسان را از طریق جلسات راهنمایی یا مشاورههای شخصی افزایش دهید.
۵. نقص در ویژگیهای به عنوان یک مساله امنیتی پایگاه داده[۹]
رفع مشکلات امنیت بانک اطلاعاتی : بعضیاوقات ویژگیها و خصوصیات بانک اطلاعاتی میتواند نقطهضعفهایی برای آن به وجود آورد که از آن نقطهضعف مورد رخنه واقع شوند. رخنهگرها از این طریق میتوانند به مدارک معتبری دسترسی پیدا کنند و سیستم را مجبور کنند که کد دلخواه آنها را اجرا کند. هرچند این موضوع پیچیده به نظر میرسد، ولی درواقع دسترسی از طریق نقص اساسی اتفاق میافتد که در ذات ویژگیهای بانک اطلاعاتی وجود دارند.
بانک اطلاعاتی میتواند با انجام آزمونهای امنیتی از دسترسی شخص ثالث در امان بماند. همچنین ساختار عملکردی سادهتر شانس بیشتری را برای اطمینان از محافظت خوب هرکدام از ویژگیهای بانک اطلاعاتی را فراهم میسازد.
۶. زیرساخت بانک اطلاعاتی پیچیده و ضعیف[۱۰]
بهطورکلی رخنهگرها کنترل پایگاه داده را با یک حرکت بهدست نمیآورند. آنها بازی Hopscotch را انتخاب میکنند. بهنحویکه بازی را ادامه داده تا ضعفهای زیرساختی خاصی پیدا کنند و از آنها به نفع خودشان استفاده کنند.
آنها یک سلسله حملات را شروع میکنند تا اینکه بالاخره به بطن موضوع برسند. نرمافزار امنیتی قادر نیست که سامانه را بهطور کامل از چنین دستکاریهایی محافظت کند. حتی اگر توجه خود را به نقص ویژگی خاصی هم معطوف بدارید، مهم است که زیرساختهای کلی پایگاه داده بیشازحد پیچیده نباشند.
در صورت پیچیدگی بالای سامانه، احتمال دارد به علت فراموش یا بیتوجهی کنترل یا رفع نقاط ضعف انجام نشود. بنابراین مهم است که همه بخشها به یک اندازه نسبت به کنترل و تفکیک سامانههای خود جهت تمرکززدایی و کاهش خطرات احتمالی اقدام نمایند.
۷. دسترسی بالا و بدون نیاز ادمین که باعث ضعف حفاظت اطلاعات خواهد شد[۱۱]
رفع مشکلات امنیت بانک اطلاعاتی : تقسیمبندی هوشمند وظایف بین مدیر بانک اطلاعاتی و کاربران، این اطمینان خاطر را فراهم میسازد که دسترسیهای محدود فقط به کاربران کمتجربه دادهشده است. با این کار کاربرانی که مدیر بانک اطلاعاتی نیستند اگر بخواهند که هر گونه اطلاعاتی را به سرقت ببرند سختی و مشقت زیادی را تجربه خواهند کرد.
اگر بتوان تعداد حسابهای کاربری را محدود کرد، حرکتی خوب و شایسته خواهد بود تا رخنهگرها با مشکلاتی مواجه شوند و نتوانند روی بانک اطلاعاتی کنترل داشته باشند. کم کردن حسابهای کاربران میتواند روی هر کسبوکاری اتفاق بیافتد ولی آن معمولاً روی کسبوکارهای مالی اتفاق میافتد.
بنابراین علاوه بر اینکه خوب است اقداماتی درزمینه مراقبت از اینکه چه کسی به دادههای حساس دسترسی دارد انجام دهیم، بلکه باید آزمون نرمافزار بانک اطلاعاتی را هم قبل از عملیاتی کردن سامانه بانک اطلاعاتی انجام دهیم.
۸. آزمون امنیت وبسایت جهت پرهیز از تزریق SQL[12]
آزمون امنیت تزریق SQL، سد معبری اصلی در مسیر حفاظت بانک اطلاعاتی است. تزریقها به برنامه کاربردی حمله میکنند و مدیران پایگاه داده مجبور به پاک کردن کثیفیها از کدهای مخرب و متغیرهایی است که داخل رشتهها درجشدهاند.
آزمونهای امنیتی برنامه کاربردی وب و اجرای فایروال بهترین گزینهها برای محافظت از بانک اطلاعاتی وب هستند. هرچند که این مشکل بزرگ برای کسبوکارهای برخط است، آن یک چالش امنیتی بزرگ موبایلی نیست، که این امر یک مزیت بزرگ برای مالکینی است که فقط نسخه موبایلی برنامه کاربردی خود رادارند.
۹. مدیریت ناکافی کلیدها[۱۳]
رفع مشکلات امنیت بانک اطلاعاتی : رمزنگاری اطلاعات حساس بسیار خوب است، اما توجه کنید که دقیقاً چه کسی دسترسی به کلید دارد. ازآنجاییکه کلیدها معمولاً در حافظه ثانویه و دیسک شخصی ذخیره میشوند، متأسفانه به سرقت رفتن آن توسط اشخاص دیگر کار آسانی است. اگر چنین ابزارهای امنیتی مهم نرمافزاری را بدون مراقبت رها کرد، باعث میشود سیستم شما در برابر حمله آسیبپذیر شود.
۱۰. بی نظمی ها در بانکهای اطلاعاتی[۱۴]
ناسازگاریها مسبب آسیبپذیریها هستند. امنیت وبسایت را آزمایش کنید، از محافظت از داده در آن بهطور منظم اطمینان حاصل کنید. در صورت مشاهده هرگونه مغایرت، باید ASAP حذف گردد. توسعهدهندگان باید از هرگونه تهدیدی که ممکن است بانک اطلاعاتی را متأثر کند آگاه باشند. اگرچه این کار سادهای نیست اما از راه ردیابی مناسب، اطلاعات میتوانند بهصورت امن نگهداری شوند.
علیرغم آگاهی از نیاز به آزمایش امنیتی، بسیاری از مشاغل هنوز در اجرای آن کوتاهی میکنند. اشتباهات مهلک معمولاً در حین مراحل توسعه رخ میدهند ولی همچنین در حین ادغام برنامهها یا نصب وصلهها و بهروزرسانی بانک اطلاعاتی هم اتفاق میافتند. مجرمان اینترنتی از این ناکامیها سود میبرند و درنتیجه کسبوکار در معرض خطر و ریسک خواهد بود.
[۱] Hacker
[۲] آییننامه عمومی حفاظت از دادهها (GDPR) سختترین قانون حفظ حریم خصوصی و امنیتی در جهان است.
[۳] No security testing before deployment
[۴] poor encryption and data breaches come together
[۵] Secure Sockets Layer
[۶] Transport Layer Security
[۷] Feeble cybersecurity software = Broken database
[۸] Stolen database backups
[۹] Flaws in features as a database security issue
[۱۰] Weak and complex DB infrastructure
[۱۱] Limitless administration access = Poor data protection
[۱۲] Test website security to avoid SQL injection
[۱۳] Inadequate key management
[۱۴] Irregularities in databases
تالیف و ترجمه: جناب آقای مهندس مهدی حجازی فر
در صورت تمایل برای کسب اطلاعات بیشتر با شماره تلفن مستقیم: ۰۲۱۸۶۱۱۱۷۲۵ ارتباط برقرار بفرمائید.
جهت استفاده از خدمت مرتبط با بانک اطلاعاتی و همچنین گرفتن مشاوره درزمینه انواع بانک اطلاعاتی در سازمان خود، فرم زیر را تکمیل بفرمائید:
نوشتن نظر