امنیت پایگاه داده
-(77 Body)  Print
Responsive image

در سال های اخیر، حوادث امنیتی که منجر به افشای اطلاعات حساس شده اند، با حجم بیشتری رخ داده  و گزارشات متعدد نشان می دهد شدت این رخدادها در حال افزایش است. این در حالی است که حجم قابل توجهی از این اطلاعات در سطح پایگاه های داده  ذخیره شده و این موضوع بیش از گذشته اهمیت پیاده سازی کنترل های امنیتی در سطح سرویس دهنده های پایگاه داده را نشان می دهد. گزارش حوادث امنیتی و ارتباط آن به پیامد حوادث بر امنیت داده ها نشان می دهد، در صورت نفوذ به پایگاه های اطلاعاتی بیشترین سطح افشا، سرقت و دستکاری اطلاعات به صورت غیرمجاز رخ داده است. نکته قابل توجه اینکه در بسیاری از موارد، کارکنان سازمان و کاربران داخلی به صورت تعمدی یا در اثر خطای انسانی و در کل به دلیل نبود ممیزی صحیح عامل اصلی این حوادث بوده اند و این نشان می دهد امنیت پایگاه داده نیازمند کنترل های امنیتی، فراتر از کنترل دسترسی و احرازهویت است. وقوع یک نفوذ به یک پایگاه داده حساس همچون سیستم پردازش اطلاعات کارت های بانکی در صنعت پرداخت و یا اطلاعات سوابق پزشکی، نه تنها به صورت مستقیم به منافع سازمان لطمه وارد می کند، بلکه جرایم و تبعات سنگینی را مطابق با الزامات نظارتی و قانونی به همراه خواهد داشت. لذا همواره به سازمان ها توصیه می شود به ارزیابی وضعیت امنیتی خود در پایگاه های داده پرداخته و پس از شناخت شکاف های امنیتی موجود، اقدامات اصلاحی و کنترل های بازدارنده لازم را در لایه های مختلف پیاده سازی نمایند.

پایگاه های داده، به عنوان یک دارایی از پیچیدگی ذاتی بالایی برخوردارند. بسیاری از متخصصین امنیتی فاقد دانش و تجربه کافی در زمینه شناسایی مخاطرات امنیتی مرتبط با پایگاه های داده هستند. بنابراین به صورت پیش فرض، مسئولیت امنیتی این بخش برعهده راهبران پایگاه داده (DBA) می باشد. با توجه به گزارش فارستر(Forrester)، تنها 5-10% از زمان و تمرکز کاری راهبران صرف مقوله امنیت می شود. بر اساس این گزارش، بیش از 90% سازمان ها بیش از یک نوع سرویس دهنده پایگاه داده را پشتیبانی نموده و صدها یا هزاران پایگاه اطلاعاتی عملیاتی در سازمان های بزرگ به صورت عملیاتی یافت می شود. در عین حال، روش اجرایی پیا ده سازی امنیت در سطح پایگاه داده، به دلیل برنامه های کاربردی که آن ها را مورد استفاده قرار می دهند، تابع ملاحظات خاصی است.

 

در قدم اول، جهت تعیین راهبرد و مسیر راه محافظت از پایگاه های داده، نیاز به بکارگیری استانداردها و بهروش ها می باشد. این منابع بایستی به عنوان رهنمودهایی برای راه اندازی، پیکربندی و عملیاتی سازی سامانه و در محیطی امن بکارگرفته شوند. تدوین و اجرای خط مشی های امنیتی، بکارگیری استانداردها و بهروش ها، تفکیک وظایف و تامین دسترسی پذیری در موفقیت طرح امنیت شبکه بسیار حایز اهمیت هستند.

 

از چهار اصل اساسی در تحقق امنیت پایگاه های داده می توان به این ترتیب نام برد: 

  1. ایجاد یک زیربنای مستحکم بر پایه کنترل دسترسی، احرازهویت، مجازشماری
  2. پویش و طبقه بندی اطلاعات و در نهایت مدیریت وصله های امنیتی (Patch Management)
  3. بکارگیری کنترلهای پیشگیرانه از جمله پوشش داده (Data Masking)، رمزنگاری و مدیریت تغییرات
  4. پیاده سازی زیرساخت تشخیص نفوذ از طریق ممیزی، پایش، نظارت و ارزیابی امنیتی مستمر

با توجه به مدل تهدیدات موثر بر پایگاه های داده، کنترل های امنیتی یاد شده بایستی در تمامی لایه ها از جمله شبکه، وب، برنامه های کاربردی، کانال های مدیریت پایگاه داده و ترمینال های کاری مورد توجه قرار گیرد. با این وجود موثرترین مکانیزم های امنیتی تا حد امکان نزدیک به پایگاه های  اطلاعاتی پیاده سازی می شوند. با پیاده سازی اصل دفاع در عمق، در مواجهه با تهدیدات و مهاجمین داخلی که به راحتی امکان عبور از کنترل های لایه های خارجی تر را دارند، می توان از پایگاه های داده محافظت کرد. 

دستاوردهایی که بایستی در پیادهسازی امنیت در پایگاه داده محقق شود :

  1. پیاده سازی سطوح دسترسی متناسب با وظیفه مندی و مبتنی بر اصل حداقل امتیاز و مطابق با الزامات نظارتی
  2. انطباق با استانداردهای امنیتی PCI DSS، HIPPA، SOX، FIPS، Common Criteria
  3. پیکربندی امنیتی جهت بهره برداری در محیط عملیاتی
  4. تفکیک محیطها و داده ها جهت ارزیابی تغییرات، محافظت از داده و پیاده سازی کنترلهای محافظت از نشتی همچون Data Masking
  5. رمزنگاری سلسله مراتبی جهت محافظت از محرمانگی داده در طی تمامی فازهای تولید، تثبیت، بازیابی و تبادل
  6. ممیزی عملکرد برنامه های کاربردی، راهبران و کاربران با سطوح دسترسی مختلف و حفظ استقلال و استمرار آن
  7. پایش مستمر فعالیتها و رویدادها در سطح پایگاه داده و آمادگی برای اجرای واکنش امنیتی
  8. ارزیابی امنیتی و شناسایی آسیب پذیریها جهت یکپارچگی با فرآیند مدیریت وصله های امنیتی
امروزه ابزارها در زمینه امنیت پایگاه داده نقش قایل توجهی ایفا مینمایند. در یک دستهبندی کلی تجهیزات امنیتی در حوزه پایگاه‌ داده به دو دسته DAM و DBF تقسیم میشوند که در ادامه به معرفی و بررسی ویژگیهای آنها پرداخته شده اشت.

راهکارهای پایش مستمر پایگاه داده ها (DAM) و فایروال پایگاهداده (DBF)

راهکارهای DAM، بیش از یک دهه است که برای پایش فعالیت ها و مدیریت هشدارها و گزارش دهی بکارگرفته شده اند. با این وجود هیچ زمانی به اندازه دوران حاضر این راهکارها بالغ و در عین حال موثر نبوده اند. رویدادهایی همچون ورود و دسترسی راهبران پایگاه داده، اعمال تغییرات، سطح دسترسی های بیش از نیاز اعطا شده به کاربران و اساساً هر نوع رویدادی در سطح پایگاه داده قابل ردگیری و گزارش دهی خواهد بود. هر چند کارایی این راهکارها، به نوع و پیکربندی ابزارهای مورد استفاده نیز بستگی دارد. بایستی توجه داشت یکی از ویژگی های جالب در مورد راهکار DAM، تفکیک اطلاعات ممیزی و هشدارها خارج از سرویس دهنده پایگاه داده است و این امر مانع دستکاری این اطلاعات به صورت غیرمجاز توسط کاربران تحت پایش خواهد بود. قابلیت دیگر، امکان ارسال هشدارها به صورت Real-time است، بنابراین به محض نقض خط مشی های امنیتی تعبیه شده، می توان از واکنش لازم برای رسیدگی به حادثه امنیتی بهره برداری نمود.  

به صورت کلی میتوان درآمد امنیتی ناشی از بکارگیری ابزارها و تجهیزات را در این شاخص های کلیدی برشمرد:

  1. فراهم سازی دید 100% از وضعیت دسترسی به داده ها در پایگاه داده
  2. امکان پایش کاملا مستقل فعالیت راهبران پایگاه داده
  3. تحلیل امنیتی دستورات SQL
  4. همبستگی در شناسایی حوادث امنیتی به صورت Real-time
  5. اجرای ممیزی رویدادها مرتبط با حوادث امنیتی
  6. پشتیبانی از عملیات تحلیل جرایم رایانه ای

ضمن اینکه میتوان، با توسعه ابزارها و استقرار در محیطهای بزرگ سازمانی به توانمندیهای زیر دست یافت:

  1. مسدودکردن دسترسی در صورت تشخیص حملات و مخاطرات
  2. گزارش دهی در مورد مجازشماری(Authorization) کاربران سطح پایگاه داده
  3. شناسایی داده های حساس
  4. پوشایی داده های حساس به صورت پویا در سطح پایگاه داده
  5. مدیریت و ارزیابی آسیب پذیریهای امنیتی
  1. شناسایی فرآیندهای تغییر، نگهداری و راهبری سرویس های داده ای شامل اجرای مصاحبه های تخصصی
  2. ممیزی فعالیت های راهبران و کاربران پایگاه های داده و پیاده سازی زیرساخت پایش مستمر
  3. پیاده سازی زیرساخت تشخیص نفوذ از طریق ممیزی، پایش، نظارت و ارزیابی امنیتی مستمر
  4. پیاده سازی، پیکربندی و بهینه سازی فایروالهای لایه پایگاه داده (DBF) و پایش مستمر پایگاه داده(DAM)
  5. پیاده سازی راهکارهای رمزنگاری و پوشش گذاری بدون اعمال تغییرات در برنامه های کاربردی موجود جهت محافظت از محرمانگی و صحت داده در طی تمامی فازهای تولید، تثبیت، بازیابی و تبادل
  6. اجرای برنامه ممیزی و انطباق سنجی پایگاه های داده مطابق با قوانین نظارتی همچون شاپرک و استانداردهای امنیت داده شامل HIPPA، PCI DSS، FIPS
  7. پیکربندی امنیتی (Hardening) سرویس دهنده های پایگاه داده

اغلب سازمان‌ها در تامین امنیت پایگاه های داده با چالش های جدی مواجه هستند و این امر مسجل شده که روشهای امنیتی برای محافظت از تهدیدات رو به افزایش کافی نیستند و البته نمیتوان هیچ مشکلی عدم از کارمندان ناراضی، فرآیند های مبهم و غیرشفاف، نبود ممیزی کافی، ضعف در طراحی سیستم های اطلاعاتی و مشکلات زیرساختی و البته افزایش انگیزه مهاجمین خارجی را نادیده گرفت. ثامن ارتباط عصر در این زمینه راهکار جامعی را به سازمان ها ارایه می‌دهد تا قادر باشند با رفع این مخاطرات، امنیت داده های باارزش خود را تامین نمایند.

 

  • تهران-خیابان گاندی جنوبی- خیابان پانزدهم- پلاک 25
  • درخواست دمو محصول و ارائه خدمات: 87137330-021
    دفتر مرکزی: 87137000-021
  • info[@]samenea.com
اینستاگرام آپارات آراس اس تلگرام لینکدین