رفع مشکلات امنیت بانک اطلاعاتی

رفع مشکلات امنیت بانک اطلاعاتی : بانک‌های اطلاعاتی اهداف خیلی جذابی برای رخنه‌گرها[۱] هستند. زیرا محتوی بانک اطلاعات حساس و باارزش است. محتویات بانک‌های اطلاعاتی می‌تواند از دارایی‌های مالی و فکری تا اطلاعات شرکت و اشخاص باشد. مجرمان اینترنتی می‌توانند از رخنه کردن به سرورهای شرکت‌ها و آسیب رساندن به بانک‌های اطلاعاتی که در حال اجرا هستند سود ببرند . بنابراین آزمودن امنیت بانک‌های اطلاعاتی امری واجب و ضروری است.

درگذشته حوادث متعددی رخ‌داده است که طی آن رخنه‌گرها شرکت‌هایی را که با اطلاعات شخصی افراد در ارتباط هستند مورد هدف قراردادند. وب‌سایت‌هایی مانند: Equifax, Facebook, Yahoo, Apple, Gmail, Slack, eBay از آن دسته هستند و در سال‌های گذشته اطلاعاتشان مورد رخنه و نفوذ قرارگرفته است.

بنابراین اهمیت دارد که اگر کسب‌وکار برخط بود و مجبور به ثبت اطلاعات مشتریان بودیم، نکات امنیتی رعایت گردد و از نرم‌افزارهای امنیت اینترنتی استفاده گردد. چناچه معیارهای امنیتی به درستی لحاظ گردند آنگاه رخنه‌گرها قادر خواهند بود به‌راحتی به داده‌ها و مستندات بانک‌های اطلاعاتی برخط دسترسی پیدا کنند. کسب‌وکارهای اروپایی اگر با General Data Protection Regulation (GDPR)[2]  همسو و موافق باشند آنگاه کمک زیادی به حفظ اطلاعات کاربران خواهد کرد.

قصد داریم در این مقاله به ده مورد آسیب‌پذیری‌های عمومی که در سامانه‌های بانک اطلاعاتی مشاهده‌شده است بپردازیم، همچنین توصیه‌هایی برای اجتناب و دوری از آنها جهت رفع مشکلات امنیت بانک اطلاعاتی بیان خواهیم کرد.

۱. عدم تست امنیت قبل از عملیاتی کردن بانک اطلاعاتی[۳]

رفع مشکلات امنیت بانک اطلاعاتی : یکی از مهم‌ترین دلایل ضعف پایگاه داده سهل‌انگاری در مرحله استقرار پایگاه داده است. اگرچه در مرحله استقرار پایگاه داده آزمایش عملکردی برای اطمینان از عملکرد عالی پایگاه داده انجام می‌شود ولی این نوع آزمایش نمی‌تواند به شما نشان دهد که آیا پایگاه کاری را انجام می‌دهد که قرار نیست انجام دهد.

بنابراین این موضوع مهم است که شما قبل از اتمام مرحله استقرار نرم‌افزار و بانک اطلاعاتی امنیت بانک اطلاعاتی خود را با آزمون‌های مختلفی انجام دهید.

۲. ترکیب رمزگذاری ضعیف و نقض داده‌ها[۴]

احتمال دارد که به بانک اطلاعاتی به‌عنوان بخش درونی تنظیمات خود نگاه کنید و بیشتر توجه شما روی تهدیدات ناشی از اینترنت یا لایه بیرونی نرم‌افزار باشد. این کار نمی‌تواند واقعاً کارساز یا خوب و اساسی باشد. به این دلیل که رابط‌های شبکه داخل بانک اطلاعاتی وجود دارند که رخنه‌گرها می‌توانند به‌راحتی با استفاده از این رابط‌ها، بانک اطلاعاتی را ردیابی نمایند. این موضوع در صورتی اتفاق خواهد افتاد که امنیت نرم‌افزاری  ضعیفی پیاده‌سازی شده باشد.

برای اینکه دچار چنین مشکلاتی نشویم بهتر است که از پلتفرم‌های ارتباطی رمزگذاری شده امن، مانند SSL[5] یا TLS[6] استفاده گردد.

۳. ضعف نرم‌افزار امنیت سایبری معادل با شکسته شدن بانک اطلاعاتی[۷]

رفع مشکلات امنیت بانک اطلاعاتی : بر اساس یک تجربه در جهان واقعی نمایندگان سازمان اعتراف کردند که ۱۴۷ میلیون نفر مصرف‌کننده داده آنها به خطر افتاده است، بنابراین ضعف نرم‌افزار امنیتی عواقب بسیار وحشتناکی خواهد داشت.

مثال ذکرشده ثابت می‌کند امنیت سایبری چقدر مهم است. متأسفانه مشاهده می‌شود اکثر کسب‌وکارها به خاطر کمبود منابع یا زمان برای انجام آزمایش امنیت داده، خود را به‌زحمت نمی‌اندازند و وصله‌های منظم برای آنها تهیه نمی‌کنند. بنابراین بانک اطلاعاتی را مستعد نشت داده می‌کند.

۴. سرقت نسخه پشتیبان بانک اطلاعاتی[۸]

نوع دیگری از تهدیدات بانک اطلاعاتی وجود دارد که داخلی است! مواردی وجود دارد که کسب‌وکارها با تهدیدات داخلی بیش از تهدیدات خارجی دست‌وپنجه نرم می‌کنند. مهم نیست که چه نوع نرم‌افزار امنیتی استفاده می‌شود، همچنین مهم نیست که چقدر خوب هستند و پاسخگوی نیاز می‌باشند. هرکسی که به اطلاعات حساس و مهم دسترسی داشته باشد می‌تواند آن را به سرقت ببرد و به کسب‌وکارهای رقیب بفروشد تا سودی عایدش شود. به‌هرحال راهی برای کاهش خطرات وجود دارد. استانداردهای امنیتی محکم و سختی را پیاده‌سازی کنید. در صورت تخطی و تخلف افراد را جریمه کنید. از نرم‌افزار امنیتی سایبری استفاده کنید، آگاهی کارشناسان را از طریق جلسات راهنمایی یا مشاوره‌های شخصی افزایش دهید.

۵. نقص در ویژگی‌های به عنوان یک مساله امنیتی پایگاه داده[۹]

رفع مشکلات امنیت بانک اطلاعاتی : بعضی‌اوقات ویژگی‌ها و خصوصیات بانک اطلاعاتی می‌تواند نقطه‌ضعف‌هایی برای آن به وجود آورد که از آن نقطه‌ضعف مورد رخنه واقع شوند. رخنه‌گرها از این طریق می‌توانند به مدارک معتبری دسترسی پیدا کنند و سیستم را مجبور کنند که کد دلخواه آنها را اجرا کند. هرچند این موضوع پیچیده به نظر می‌رسد، ولی درواقع دسترسی از طریق نقص اساسی اتفاق می‌افتد که در ذات ویژگی‌های بانک اطلاعاتی وجود دارند.

بانک اطلاعاتی می‌تواند با انجام آزمون‌های امنیتی از دسترسی شخص ثالث در امان بماند. همچنین ساختار عملکردی ساده‌تر شانس بیشتری را برای اطمینان از محافظت خوب هرکدام از ویژگی‌های بانک اطلاعاتی را فراهم می‌سازد.

۶. زیرساخت بانک اطلاعاتی پیچیده و ضعیف[۱۰]

به‌طورکلی رخنه‌گرها کنترل پایگاه داده را با یک حرکت به‌دست نمی‌آورند. آنها بازی Hopscotch را انتخاب می‌کنند. به‌نحوی‌که بازی را ادامه داده تا ضعف‌های زیرساختی خاصی پیدا کنند و از آنها به نفع خودشان استفاده کنند.

آنها یک سلسله حملات را شروع می‌کنند تا اینکه بالاخره به بطن موضوع برسند. نرم‌افزار امنیتی قادر نیست که سامانه را به‌طور کامل از چنین دست‌کاری‌هایی محافظت کند. حتی اگر توجه خود را به نقص ویژگی خاصی هم معطوف بدارید، مهم است که زیرساخت‌های کلی پایگاه داده بیش‌ازحد پیچیده نباشند.

در صورت پیچیدگی بالای سامانه، احتمال دارد به علت فراموش یا بی‌توجهی کنترل یا رفع نقاط ضعف انجام نشود. بنابراین مهم است که همه بخش‌ها به یک اندازه نسبت به کنترل و تفکیک سامانه‌های خود جهت تمرکززدایی و کاهش خطرات احتمالی اقدام نمایند.

۷. دسترسی بالا و بدون نیاز ادمین که باعث ضعف حفاظت اطلاعات خواهد شد[۱۱]

رفع مشکلات امنیت بانک اطلاعاتی : تقسیم‌بندی هوشمند وظایف بین مدیر بانک اطلاعاتی و کاربران، این اطمینان خاطر را فراهم می‌سازد که دسترسی‌های محدود فقط به کاربران کم‌تجربه داده‌شده است. با این کار کاربرانی که مدیر بانک اطلاعاتی نیستند اگر بخواهند که هر گونه اطلاعاتی را به سرقت ببرند سختی و مشقت زیادی را تجربه خواهند کرد.

اگر بتوان تعداد حساب‌های کاربری را محدود کرد، حرکتی خوب و شایسته خواهد بود تا رخنه‌گرها با مشکلاتی مواجه شوند و نتوانند روی بانک اطلاعاتی کنترل داشته باشند. کم کردن حساب‌های کاربران می‌تواند روی هر کسب‌وکاری اتفاق بیافتد ولی آن معمولاً روی کسب‌وکارهای مالی اتفاق می‌افتد.

بنابراین علاوه بر اینکه خوب است اقداماتی درزمینه مراقبت از اینکه چه کسی به داده‌های حساس دسترسی دارد انجام دهیم، بلکه باید آزمون نرم‌افزار بانک اطلاعاتی را هم قبل از عملیاتی کردن سامانه بانک اطلاعاتی انجام دهیم.

۸. آزمون امنیت وب‌سایت جهت پرهیز از تزریق  SQL[12]

آزمون امنیت تزریق SQL، سد معبری اصلی در مسیر حفاظت بانک اطلاعاتی است. تزریق‌ها به برنامه کاربردی حمله می‌کنند و مدیران پایگاه داده مجبور به پاک کردن کثیفی‌ها از کدهای مخرب و متغیرهایی است که داخل رشته‌ها درج‌شده‌اند.

آزمون‌های امنیتی برنامه کاربردی وب و اجرای فایروال بهترین گزینه‌ها برای محافظت از بانک اطلاعاتی وب هستند. هرچند که این مشکل بزرگ برای کسب‌وکارهای برخط است، آن یک چالش امنیتی بزرگ موبایلی نیست، که این امر یک مزیت بزرگ برای مالکینی است که فقط نسخه موبایلی برنامه کاربردی خود رادارند.

۹. مدیریت ناکافی کلیدها[۱۳]

رفع مشکلات امنیت بانک اطلاعاتی : رمزنگاری اطلاعات حساس بسیار خوب است، اما توجه کنید که دقیقاً چه کسی دسترسی به کلید دارد. ازآنجایی‌که کلیدها معمولاً در حافظه ثانویه و دیسک شخصی ذخیره می‌شوند، متأسفانه به سرقت رفتن آن توسط اشخاص دیگر کار آسانی است. اگر چنین ابزارهای امنیتی مهم نرم‌افزاری را بدون مراقبت رها کرد، باعث می‌شود سیستم شما در برابر حمله آسیب‌پذیر شود.

۱۰. بی نظمی ها در بانکهای اطلاعاتی[۱۴]

ناسازگاری‌ها مسبب آسیب‌پذیری‌ها هستند. امنیت وب‌سایت را آزمایش کنید، از محافظت از داده در آن به‌طور منظم اطمینان حاصل کنید. در صورت مشاهده هرگونه مغایرت، باید ASAP حذف گردد. توسعه‌دهندگان باید از هرگونه تهدیدی که ممکن است بانک اطلاعاتی را متأثر کند آگاه باشند. اگرچه این کار ساده‌ای نیست اما از راه ردیابی مناسب، اطلاعات می‌توانند به‌صورت امن نگهداری شوند.

علی‌رغم آگاهی از نیاز به آزمایش امنیتی، بسیاری از مشاغل هنوز در اجرای آن کوتاهی می‌کنند. اشتباهات مهلک معمولاً در حین مراحل توسعه رخ می‌دهند ولی همچنین در حین ادغام برنامه‌ها یا نصب وصله‌ها و به‌روزرسانی بانک اطلاعاتی هم اتفاق می‌افتند. مجرمان اینترنتی از این ناکامی‌ها سود می‌برند و درنتیجه کسب‌وکار در معرض خطر و ریسک خواهد بود.

[۱] Hacker

[۲] آیین‌نامه عمومی حفاظت از داده‌ها (GDPR) سخت‌ترین قانون حفظ حریم خصوصی و امنیتی در جهان است.

[۳] No security testing before deployment

[۴] poor encryption and data breaches come together

[۵] Secure Sockets Layer

[۶] Transport Layer Security

[۷] Feeble cybersecurity software = Broken database

[۸] Stolen database backups

[۹] Flaws in features as a database security issue

[۱۰] Weak and complex DB infrastructure

[۱۱] Limitless administration access = Poor data protection

[۱۲] Test website security to avoid SQL injection

[۱۳] Inadequate key management

[۱۴] Irregularities in databases

تالیف و ترجمه: جناب آقای مهندس مهدی حجازی فر

در صورت تمایل برای کسب اطلاعات بیشتر با شماره تلفن مستقیم: ۰۲۱۸۶۱۱۱۷۲۵ ارتباط برقرار بفرمائید.

جهت استفاده از خدمت مرتبط با بانک اطلاعاتی و همچنین گرفتن مشاوره درزمینه انواع بانک اطلاعاتی در سازمان خود، فرم زیر را تکمیل بفرمائید:

• 
• 
• 
• 
•