امنیت بانک اطلاعاتی

امنیت بانک اطلاعاتی

امنیت بانک اطلاعاتی

بانک‌های اطلاعاتی معمولاً بخش مهمی از سازمان هستند.

سازمان‌ها معمولاً اطلاعات مالی و تراکنش‌های کسب‌وکاری، اطلاعات مربوط به مشتریان و کارمندان یا خیلی اطلاعات دیگر شرکت خود

را در بانک اطلاعاتی قرار می‌دهند.

تمام این اطلاعات در بانک اطلاعاتی ذخیره می‌شوند.

این بانک اطلاعاتی به توانایی‌های مدیر بانک اطلاعاتی واگذارشده است که آن فرد هیچ آموزش مسائل امنیتی را ندیده است.

امنیت و امانت‌داری بانک اطلاعاتی بخش‌های ضروری وضعیت امنیتی در سازمان هستند.

انسان‌ها عادت دارند که اطلاعات مهم خود را داخل گاوصندوق یا کشوهای ضد سرقت و ضد حریق قرار دهند که از سیستم قفل آنها اطمینان داشته باشند.

بانک‌های اطلاعاتی ریسک‌های بیشتری را متوجه ما می‌کنند.

با توجه به‌اندازه آنها که روزبه‌روز بزرگ‌تر می‌شوند مسائل امنیتی بانک‌های اطلاعاتی سطح وسیع‌تری را برای کاربران خطرآفرین مهیا می‌کنند تا به آن نفوذ و حمله نمایند.

واقعیت غم‌انگیز آن است که سازمان‌ها می‌توانند زمان و پول و نیروی انسانی زیادی صرف کنند تا دارایی‌های در معرض دید و برخط خود را امن نمایند.

وجود حتی یک نقطه‌ضعف در بانک اطلاعاتی می‌تواند آن را از سرویس‌دهی خارج نماید.

اهمیت امنیت بانک اطلاعاتی

با استناد به گزارش منتشر‌شده از دارک ریدینگ (Dark reading) هکرها می‌توانند در کمتر از ده ثانیه وارد بانک اطلاعاتی شوند و اطلاعات مهمی را برداشته و خارج شوند.

بر اساس تحقیقات در این زمینه، هنگام نفوذ به سیستم پایانه فروشگاهی (POS) به‌طور متوسط شش درصد از رکوردها در معرض خطر حمله هستند.

هنگام نفوذ به سرویس‌دهنده برنامه (Application server) حدود نوزده درصد رکوردها و هنگام نفوذ به بانک اطلاعاتی ۷۵ درصد از رکوردها در معرض خطر هستند.

با توجه به مطالب بیان‌شده نباید تعجب کرد اگر بگوییم بانک اطلاعاتی یک هدیه باارزش و کمیاب برای هکرها است.

با نگاهی به آسیب‌هایی که هکرها به بانک اطلاعاتی زده‌اند این تصویر جالب مشخص می‌شود که تعدادی از رکوردها از بانک اطلاعاتی بخاطر نفوذهای امنیتی دزدیده‌شده‌اند.

بانک‌های اطلاعاتی پیچیده هستند و مدیر بانک اطلاعاتی اغلب پیامدهای عدم تضمین امنیت و امانت‌داری بانک اطلاعاتی را نمی‌دانند.

حال اجازه دهید به ملزومات امنیتی بانک اطلاعاتی و مسائل امنیتی بانک اطلاعاتی چه چیزهایی هستند بپردازیم.

ببینیم سازمان‌ها چگونه می‌توانند به حفظ تمامیت و امنیت بانک اطلاعاتی خود بپردازند.

امنیت بانک اطلاعاتی چیست؟

امنیت بانک اطلاعاتی زیر چتر امنیت اطلاعات از محرمانگی و تمامیت و در دسترس بودن بانک‌های اطلاعاتی سازمان محافظت می‌کند.

محرمانگی بانک اطلاعاتی

محرمانگی جنبه خیلی مهم از امنیت بانک اطلاعاتی است و عموماً از طریق رمزنگاری انجام می‌شود.

رمزنگاری باید هم‌روی اطلاعاتی که در حال جریان و تغییر هستند انجام شوند و هم‌روی اطلاعاتی که ساکن هستند و تغییر نمی‌کنند.

امانت‌داری بانک اطلاعاتی

امانت‌داری جنبه حیاتی دیگر از امنیت بانک اطلاعاتی  است. زیرا ما را مطمئن می‌سازد که فقط افراد باصلاحیت و درست قادر خواهند بود اطلاعات مجوز داده‌شده سازمان را ببینند.

امانت‌داری از اطلاعات بانک اطلاعاتی از طریق اجرای سیستم کنترل دسترسی کاربران انجام می‌شود.

با استفاده از آن مجوزهایی برای اینکه چه کسی به چه اطلاعاتی باید دسترسی داشته باشد تعریف می‌شود.

به‌هرحال موضوع امانت‌داری خیلی راحت با اعطای مجوزها توسعه پیدا می‌کند.

پیاده‌سازی مکانیزم‌های امنیتی شبیه پروتکل‌های احراز هویت و یا تعیین قواعدی قوی برای رمز عبور یا اطمینان از اینکه شناسه‌های کاربری افرادی که از شرکت رفته‌اند حذف یا بلاک شده‌اند باعث خواهند شد تا امانت‌داری بانک اطلاعاتی را قوی کنیم.

در دسترس بودن بانک اطلاعاتی

دسترس‌پذیری اشاره به آن دارد که نیاز است بانک اطلاعاتی فعال بوده و سرویس‌دهی نماید. بانک‌های اطلاعاتی نیازمند آن هستند که فعال و اجرایی باشند و اجرایی بودن آنها قابل‌اعتماد باشد.

یعنی هرگاه که سازمان نیاز داشت تا از آن استفاده نماید بتواند از آن بهره‌برداری نماید.

البته زمان‌های خارج از دسترس بودن بانک اطلاعاتی را شرکت می‌تواند از قبل برنامه‌ریزی و مشخص نماید.

تهدیدات امنیتی بانک اطلاعاتی، حمله‌های خیلی معروف

ریسک‌های بانک اطلاعاتی از سازمانی به سازمان دیگر متفاوت است.

یعنی مخاطرات بانک اطلاعاتی با توجه به نوع سازمان و میزان اهمیت اطلاعاتی که در آن سازمان نگهداری می‌شوند تعیین و مشخص می‌گردند.

به‌طور خلاصه بیشتر بانک‌های اطلاعاتی فعال در شرکت به‌نوعی برای فعالیت شرکت مهم هستند.

این نکته بسیار حیاتی و مهم است که باید شیوه‌های امنیتی و دفاعی محکمی را برای مبارزه با حملات به بانک‌های اطلاعاتی وجود داشته باشد.

ابتدا باید ببینیم که چه نوع حملاتی می‌توانند به بانک‌های اطلاعاتی که به خوبی مراقبت امنیتی نمی‌شوند می‌توانند حادث شوند.

سپس باید به سمت ایجاد اطمینان خاطری حرکت کرد که ما را مطمئن سازد که آنها اتفاق نخواهند افتاد.

تزریق SQL (SQL injection):

یکی از بزرگ‌ترین نگرانی‌ها در خصوص امنیت بانک اطلاعاتی تزریق SQL است.

دقیقاً مثل برنامه‌های کاربردی تحت وب که ‌توانند روی هر بانک اطلاعاتی یا برنامه‌های کاربردی تحت وب که درواقع جلوی بانک اطلاعاتی قرار دارند راه‌اندازی شوند.

بااین‌حال با توجه به شیوع نفوذهای تزریق SQL در برنامه‌های کاربردی تحت وب و اینکه آنها چقدر برای استفاده آسان هستند، آنها از حمله‌های به بانک اطلاعاتی خیلی عمومی‌تر هستند.

تزریق SQL زمانی اتفاق می‌افتد که ورودی قبل از اینکه در بانک اطلاعاتی یا برنامه کاربردی تحت وب اجرا شود آلوده می‌گردد.

حمله‌کننده یک ورودی بد و آسیب‌رسان را درست می‌کنند که ممکن است به حمله‌کننده اجازه دسترسی به اطلاعات حساس را بدهد.

یا اینکه به آنها دسترسی‌های بیش‌ازحد مجاز بدهد.

در مواردی خاص برای بهره‌برداری‌های خطرناک به حمله‌کننده دسترسی‌هایی در سطح اجرای دستوراتی در بانک اطلاعاتی یا سیستم‌عامل آن بانک اطلاعاتی را می‌دهند.

بسیاری از سازمان‌ها پایگاه داده‎های بزرگی دارند که هکرها دوست دارند دست آنها را بگیرند و کمکشان کنند.

ایمن ماندن برای جلوگیری از حوادث شرم‎آور و پرهزینه ضروری است.

سرریز بافر (Buffer overflow):

مشکل امنیتی خیلی عمومی برای بانک اطلاعاتی زمانی اتفاق می‌افتد که برنامه‌ای خاص سعی می‌کند تا مقدار خیلی زیادی از اطلاعات را در حافظه بافر بانک اطلاعاتی کپی نماید.

آن برنامه مخرب با این کار باعث خواهد شد تا بافر سرریز نماید.

در نهایت اطلاعاتی که در حافظه بودند با این اطلاعات بیهوده بازنویسی شوند.

با این تفاسیر دیگر حافظه‌ای برای ادامه کارهای بانک اطلاعاتی وجود نخواهد داشت.

آسیب‌پذیری‌های سرریزی بافر تهدید خطرناکی برای بانک اطلاعاتی که اطلاعات حساسی را نگهداری می‌کنند موجب می‌شوند.

به‌طوری‌که می‌تواند به حمله‌کننده اجازه بهره‌برداری از آسیب‌پذیری را بدهد.

هکر بتواند مقادیر نامشخصی را به مقادیر مشخص و شناخته‌شده عوض کند یا اینکه منطق برنامه را بهم بریزد.

انکار خدمت (Denial of Service(DoS)):

این نوع از حمله‌ها اغلب از طریق سرریزی بافر، تخریب اطلاعات یا مصرف سایر منابع سرورها اتفاق می‌افتد.

حمله‌های انکار خدمت باعث خراب شدن سرورها می‌شوند و درنهایت بانک اطلاعاتی تا زمانی که حمله ادامه دارد از دسترس خارج خواهد بود.

افزایش حق دسترسی (Privilege escalation):

رفتار خطرناکی است که می‌تواند منجر به درج یا اصلاح یا حذف خطرناک اطلاعات گردد.

با توجه به حساسیت آن اطلاعات ، عمل مذکور می‌تواند سازمان را ویران نماید.

احراز هویت ضعیف (Weak authentication):

رفتار عام دیگری درزمینه امانت‌داری و امنیت بانک اطلاعاتی احراز هویت است.

زمانی که کاربر مخرب می‌تواند هویت یک کاربر قانونی را به سرقت ببرد.

یعنی دسترسی به اطلاعات محرمانه پیداکرده است و ریسک فراوانی وجود دارد.

تالیف و ترجمه: جناب آقای مهندس مهدی حجازی فر

در صورت تمایل برای کسب اطلاعات بیشتر با شماره تلفن مستقیم: ۰۲۱۸۶۱۱۱۷۲۵ ارتباط برقرار بفرمائید.

جهت استفاده از خدمت مرتبط با بانک اطلاعاتی و همچنین گرفتن مشاوره درزمینه انواع بانک اطلاعاتی در سازمان خود، فرم زیر را تکمیل بفرمائید:

• 
• 
• 
• 
•