سامانههای مدیریت بانک اطلاعاتی (DBMS) اصلیترین مکانیزم ذخیرهسازی اطلاعات هستند و برای مقاصد مختلفی استفاده میشوند. بنابراین، تامین امنیت انبارهای داده (Data Warehouses) و بانکهای اطلاعاتی (Databases) از مهمترین وظایف کارشناسان امنیتی و مدیران بانکهای اطلاعاتی است. انبارهای داده یک مخزن مرکزی برای دادهها هستند و نوعی پایگاه داده هستند که بهطور خاص در ارتباط با پرسوجوهای سریع و تجزیهوتحلیل طراحی شدهاند. بنابراین، تمام نکاتی که در ارتباط با انبارهای داده وجود دارد در ارتباط با بانکهای اطلاعاتی نیز وجود دارد. در این مقاله، نکات مهمی که برای تامین امنیت بانکهای اطلاعاتی و انبارهای داده باید به آنها دقت کنید را بررسی خواهیم کرد تا بتوانید بانکهای اطلاعاتی یکپارچه و ایمنی را با حفظ عملکرد آنها پیادهسازی کنید.
محافظت از بانک اطلاعات به چه معنا است؟
منظور از محافظت از بانک اطلاعاتی، مجموعه اقداماتی است که سازمانها برای اطمینان از عدم دسترسی افراد غیرمجاز به اطلاعات و محافظت از بانکهای اطلاعاتی در برابر تهدیدات داخلی و خارجی انجام میدهند. تامین امنیت بانک اطلاعاتی، موارد مختلفی مثل محافظت از خود بانک اطلاعاتی، دادههای ذخیرهسازی شده در آن، سامانه مدیریت بانک اطلاعاتی و برنامههای کاربردی که قابلیت اتصال به بانکهای اطلاعاتی را دارند شامل میشوند. در چند سال گذشته، آمار نگرانکنندهای در ارتباط با نقض (Breach) اطلاعات و دسترسی غیرمجاز هکرها به اطلاعات منتشر شده است. این نقضهای دادهای به شهرت و اعتبار شرکتها خدشه وارد میکنند. بر همین اساس، کشورها، قوانین سختگیرانهای برای محافظت از اطلاعات تصویب کردهاند که شرکتها ملزم به رعایت آنها هستند. بهطور مثال، شرکتهای عضو اتحادیه اروپا ملزم به رعایت قانون و مقررات عمومی حفاظت از دادهها (GDPR) هستند و در صورت بیتوجهی به این قوانین مجبور هستند جریمههای سنگینی پرداخت کنند.
بانکهای اطلاعاتی با چه تهدیداتی روبرو هستند؟
از مهمترین تهدیدات سایبری پیرامون بانکهای اطلاعاتی باید به موارد زیر اشاره کرد:
اولین تهدیدی که پیرامون بانکهای اطلاعاتی قرار دارد، دسترسی غیرمجاز هکرها است. هکرها میتوانند مجوزهای دسترسی به بانکهای اطلاعاتی را تغییر دهند یا رکوردهای اطلاعاتی را دستکاری کنند.
دومین تهدید از جانب نرمافزارهای مخرب، اسکریپتها و بدافزارهایی است که به هکرها اجازه دسترسی غیرمجاز به سامانههای بانک اطلاعاتی را میدهند.
در شرکتهایی که مکانیزمهای امنیتی قدرتمندی برای محافظت از زیرساختها پیادهسازی نکردهاند، انجام فعالیتهای هکری باعث بروز مشکل سربار اضافی، عملکرد نادرست برنامههای مختلف و قطع دسترسی مدیر به سیستم میشود. بنابراین تهدید مهم دیگری که پیرامون بانکهای اطلاعاتی قرار دارد عدم دسترسی مدیر بانک اطلاعاتی یا افراد مرتبط با بانک اطلاعاتی است.
اگر سامانه یا سروری که بانک اطلاعاتی روی آن میزبانی شده است، آلوده به فایلهای مخربی باشد که از سیستم حذف نشدهاند، فایلهای مخرب ممکن است آسیبهای فیزیکی به سرور وارد کنند. این آسیب میتواند به معماری رید (Raid) هارددیسکها وارد شود یا باعث گرمای بیشازاندازه سامانه شود. در هر دو حالت خرابی فیزیکی دور از انتظار نیست.
تهدید دیگر پیرامون بانکهای اطلاعاتی، عامل داخلی دارد. بهطور مثال، کارمندی ممکن است در آستانه اخراج از شرکت باشد، از اینرو سعی میکند اطلاعات را دستکاری کرده یا عملکرد مکانیزمهای امنیتی را غیرفعال کند. در چنین شرایطی، بانکهای اطلاعاتی در معرض تهدیدات سایبری قرار میگیرند.
هکرها از روشهای مختلفی برای نفوذ به بانکهای اطلاعاتی و گذر از مکانیزمهای امنیتی استفاده میکنند. برای اطمینان از اینکه بانکهای اطلاعاتی امنیت نسبی داشته باشند، باید از روشها و مکانیزمهای مختلفی برای ایمنسازی آنها استفاده کنید. برای تامین امنیت بانکهای اطلاعاتی باید با مفاهیم مهم پیرامون آنها آشنا شوید.
محرمانگی در ارتباط با بانکهای اطلاعاتی
حفظ محرمانگی اطلاعات (Confidentiality) اصل مهمی است که باید به آن دقت کنید و از طریق رمزنگاری اطلاعات ذخیرهشده در بانک اطلاعاتی امکانپذیر است.
در دنیای بانکهای اطلاعاتی رمزنگاری به این صورت انجام میشود که تنها کاربران مجاز امکان خواندن دادهها را دارند و کاربران غیرمجاز قادر به مشاهده دادههای حساس نیستند. امروزه، الگوریتمهای رمزنگاری مختلفی مثل DES ،AES و Triple DES برای حفظ اصل محرمانگی در بانکهای اطلاعاتی استفاده میشوند.
یکپارچگی در ارتباط با بانکهای اطلاعاتی
یکپارچگی (Integrity) در ارتباط با بانک اطلاعاتی از طریق تنظیمات کنترلهای دسترسی کاربری (UAC) پیادهسازی میشود. بر مبنای اصل فوق، کاربران برای دسترسی به اطلاعات باید دسترسیهای مناسب داشته باشند. بهطور مثال، ممکن است به کارمندی اجازه مشاهده رکوردها و تغییر بخشهایی از اطلاعات، مثل جزئیات شماره تماس داده شود، اما کارمند دیگری دسترسیهای بیشتری مثل حذف رکوردهای اطلاعاتی داشته باشد. برای دستیابی به اصل یکپارچگی، به نکات مهم زیر دقت کنید:
پس از نصب بانک اطلاعاتی، گذرواژه پیشفرض آنرا تغییر دهید. همچنین، بررسیهای دورهای انجام دهید تا مطمئن شوید گذرواژه در خطر قرار نگرفته باشد.
آن گروه از حسابهای کاربری که استفاده نمیشوند را قفل کنید. اگر یک حساب کاربری دیگر استفاده نمیشود، آنرا حذف کنید.
خطمشیهای ویژهای برای گذرواژهها اتخاذ کنید. بهطور مثال، گذرواژه دسترسی حسابهای کاربری یا مدیریتی باید ماهانه تغییر کند.
بررسی نقشها و تنظیم دسترسیها مهم است. مطمئن شوید، کاربران تنها به مواردی دسترسی دارند که مجاز به استفاده از آنها هستند. درست است که فرآیند فوق زمانبر است، اما اگر دسترسیها بهدرستی تنظیم نشوند، افراد غیرمسئول دسترسیهای سطح بالایی به بانک اطلاعاتی خواهند داشت.
در شرکتهای کوچک تنها یک نفر مسئول مدیریت بانک اطلاعاتی است، اما در سازمانهای بزرگ چند مدیر روند نظارت بر بانک اطلاعاتی را انجام میدهند. از اینرو، در چنین محیطهایی باید وظایف میان مدیران بانک اطلاعاتی تقسیم شوند.
دسترسیپذیری در ارتباط با بانک اطلاعاتی
در یک محیط کارآمد، عملکرد بانک اطلاعاتی نباید متوقف شود و نرخ دسترسپذیری (Availability) در حد قابلقبول باشد. برای آنکه نرخ دسترسپذیری در سطح مطلوبی قرار داشته باشد، پیشنهاد میشود اقدامات زیر را انجام دهید:
محدود کردن میزان فضای ذخیرهسازی برای کاربران در بانک اطلاعاتی.
اعمال محدودیت در تعداد نشستهای (Sessions) موازی قابل اجرا برای هر کاربر بانک اطلاعاتی.
تهیه نسخه پشتیبان از دادهها در بازههای زمانی مختلف در راستای طرح بازیابی پس از فاجعه.
پیادهسازی مکانیزمهای امنیتی در بانک اطلاعاتی برای مقابله با آسیبهای امنیتی.
استفاده از بانکهای اطلاعاتی خوشهای که دسترسیپذیری را بهبود میبخشند.
کنترل دسترسی و رمزنگاری
کنترل دسترسی یکی از اصول مهم در ارتباط با ایمنسازی بانکهای اطلاعاتی است. در کنترل دسترسی، هر دادهای که از/به بانک اطلاعاتی وارد/خارج میشود، رمزنگاری شده و غیرقابل خواندن میشود؛ مگر اینکه سرور بانک اطلاعاتی در شبکهای امن قرار گرفته باشد و با شبکههای خارجی هیچ ارتباطی نداشته باشد و تعداد کمی از کاربران شناخته به آن دسترسی داشته باشند. در شرایطی که برخی سازمانها با این موضوع موافق نیستند و این مدل رمزنگاری را سختگیری بیشازاندازه میدانند، اما یکی از اصلیترین گامهایی است که برای افزایش امنیت پایگاه داده باید برداشته شود.
احراز هویت
احراز هویت (Authentication) یکی دیگر از اقدامات مهمی است که برای تامین امنیت بانک اطلاعاتی باید از آن استفاده شود. در فرآیند احراز هویت، درخواست یا محاوره ارسالی توسط کاربران بررسی میشود. مدیران بانک اطلاعاتی میتوانند از روشهای مختلف برای پیادهسازی احراز هویت استفاده کنند. یکی از این روشها احراز هویت چندعاملی (Multi-Factor) است. این فرآیند بر احراز هویت یک کاربر خاص و نحوه ورود او به سامانه متمرکز است. اگر از مکانیزم احراز هویت برای تعیین هویت کاربر در هنگام ورود به بانک اطلاعاتی استفاده نشود، هکرها میتوانند از آسیبپذیریها برای ورود به شبکه سازمان استفاده کنند و در ادامه از سد مکانیزمهای امنیتی عبور کنند و به بانکهای اطلاعاتی دسترسی پیدا کنند. البته، برای اعطای دسترسی و احراز هویت درست کاربر، میتوان از روشهایی مثل احراز هویت دو مرحلهای (Two-Factor) و احراز هویت از طریق نام کاربری و گذرواژه استفاده کرد.
صدور مجوز
صدور مجوز (Authorization) یکی دیگر از اقدامات مهمی است که باید به آن دقت کنید. این لایه امنیتی مشخص میکند یک کاربر شناختهشده برای سیستم به چه بخشهایی از بانک اطلاعاتی دسترسی داشته باشد. بهطور مثال، میتوان محدودیتهایی برای یک کاربر مشخص کرد و دسترسی او را تنها به یک نمای کلی از سیستم محدود کرد. صدور مجوز به مدیران بانک اطلاعاتی کمک میکند به هر کاربر تنها مجوزهایی که برای انجام کارها نیاز دارد تخصیص داده شود. با استفاده از فرآیند صدور مجوز هیچ فرد غیرمجازی نمیتواند به بخشهای مهم بانک اطلاعات دسترسی داشته باشد یا اطلاعات آن بخشها را مشاهده کند. میتوان سطح مجوز اختصاص داده شده به یک کاربر خاص را برای یک سازمان یا برنامه خاص، پیکربندی یا سفارشیسازی کرد.
محافظت از دادههای در حالت سکون
پس از اشتراکگذاری یا در دسترس قرار گرفتن دادهها توسط کاربر، این دادهها در بانکهای اطلاعاتی مستقر در سرور باقی میمانند. مدیران شبکه از اصطلاح «دادههای در حالت سکون» (Data At Rest) برای توصیف این مدل از دادهها استفاده میکنند. دادههایی که قرار است برای مدت زمان طولانی دستنخورده باقی بمانند. از اینرو، مهم است تا از الگوریتمهای رمزنگاری برای این دادهها استفاده شود. متاسفانه، برخی از شرکتها نسبت به این موضوع مهم سهلانگار هستند.
ممیزی و حسابرسی بانک اطلاعاتی
در صنعت امنیت سایبری اصل مهمی وجود دارد که میگوید امنیت یک مفهوم نسبی است و اگر سطح امنیت زیرساختها در وضعیت 99 درصد قرار داشته باشد، همان 1 درصد غیرایمن باید یک تهدید جدی در نظر گرفته شود. از اینرو، مدیران بانک اطلاعاتی از ممیزی (Auditing) و حسابرسی استفاده میکنند. ممیزی کمک میکند اطلاعات دقیقی در مورد بانک اطلاعاتی کسب کنیم. بهطور مثال، بررسی گزارشهای ثبتشده توسط بانک اطلاعاتی کمک میکند هرگونه نشانه مشکوکی که ممکن است به یک تهدید بالقوه تبدیل شود را شناسایی کنیم. مدیران بانک اطلاعاتی باید گزارشگیریهای ممیزی را مطالعه کنند و اطمینان حاصل کنند که سوابق همه تراکنشهای انجام شده روی بانکهای اطلاعاتی ثبت میشوند.
مفهوم بازیابی در امنیت بانک اطلاعاتی
بازیابی (Recovery) را نمیتوان بهعنوان یک اصل امنیتی در نظر گرفت، اما نقش مهمی در پایداری و تداوم فعالیتهای تجاری دارد. تهیه نسخههای پشتیبان از دادههایی که در بانک اطلاعاتی ذخیره میشوند ضروری است، زیرا اگر یک حمله هکری با موفقیت انجام شود، سیستم یا اطلاعات بهطور کامل از بین میروند. همچنین، باید اطمینان حاصل شود فایلهای پشتیبانی رمزنگاری شدهاند و حداقل دو نسخه از آنها در مکانهای مختلف موجود هستند.
برای ایمنسازی بانکهای اطلاعاتی چه ابزارهایی در دسترس هستند؟
هکرها میتوانند از روشهای مختلفی برای دسترسی غیرمجاز به اطلاعات مشتریان یک سازمان استفاده کنند. بهطور مثال، در چند سال گذشته، شرکتهای مهمی مثل یاهو، Slack، و Equifax با مشکل نقض دادهای روبرو شدند. همین مسئله باعث شد تا تقاضا برای نرمافزارهای امنیت سایبری و آزمایش برنامههای وبمحور افزایش پیدا کند. این ابزارها با هدف محافظت از دادههایی طراحی شدهاند که افراد با کسبوکارهای آنلاین بهاشتراک میگذارند. از ابزارهای مهمی که برای تامین امنیت بانکهای اطلاعاتی در دسترس قرار دارند باید به MSSQLMask، IBM Guardium، Scuba، Hexatier، Always Encrypted، AppDetectivePro، Gemalto SafeNet ProtectDB، Zenmap، BSQL Hacker، Imperva SecureSphere، SQLRecon، Mentis Suite، OScanner و DB Defence اشاره کرد.
بانکهای اطلاعاتی با چه مشکلات امنیتی روبرو هستند؟
بانکهای اطلاعاتی با آسیبپذیریهای مختلفی روبرو هستند. از اینرو، مدیران بانکهای اطلاعاتی باید در مورد این آسیبپذیریها شناخت کافی داشته باشند. در ادامه به چند مورد از این آسیبپذیریهای مهم اشاره میکنیم.
عدم انجام آزمایش امنیت قبل از مرحله استقرار
یکی از دلایل مهمی که باعث میشود هکرها در زمان کوتاهی موفق شوند بانکهای اطلاعاتی را هک کنند، عدم توجه به مرحله استقرار (Deployment) در فرآیند توسعه است. با وجود اینکه آزمایش کارکرد (Functional Testing) برای کسب اطمینان از عملکرد نهایی انجام میشود، اما در صورت انجام عمل غیرمجاز توسط بانک اطلاعاتی، این نوع از آزمایش اطلاعات خاصی ارائه نمیکند. بنابراین، قبل از استقرار، باید آزمایشهای مختلفی روی وبسایت انجام شود تا آسیبپذیریها شناسایی شوند.
رمزنگاری ضعیف و درآهم آمیختگی دادهها
برخی تیمهای توسعه و کارشناسان فعال در حوزه طراحی برنامههای کاربردی و وبمحور، بانک اطلاعاتی را بخشی از بکاند (BackEnd) در نظر میگیرند و بیشتر روی تهدیداتی که از جانب اینترنت متوجه بانکهای اطلاعاتی است متمرکز میشوند؛ این دیدگاه مشکل اساسی دارد. پروتکلها و رابطهای مختلفی در ارتباط با بانکهای اطلاعاتی وجود دارند که در صورت وجود ضعف امنیتی، هکرها میتوانند از آنها سوءاستفاده کنند. برای پیشگیری از بروز چنین شرایط بغرنجی، باید از پلتفرمهای ارتباطی رمزنگاریشده مثل SSL و TLS استفاده کرد.
سرقت نسخههای پشتیبان بانکهای اطلاعاتی
در حالت کلی، دو تهدید جدی پیرامون بانکهای اطلاعاتی قرار دارند که امنیت بانکهای اطلاعاتی را با چالش جدی روبرو میکنند. این تهدیدها ماهیت خارجی و داخلی دارند. در بیشتر موارد، یک شرکت با تهدیدهای داخلی مختلفی روبرو است که تعداد آنها بیشتر از تهدیدهای خارجی است. ابزارهای مختلفی برای محافظت از بانکهای اطلاعاتی در برابر تهدیدات خارجی وجود دارد، اما در ارتباط با تهدیدات داخلی باید روی تیزهوشی و نظارت مستمر بر عملکرد کارمندان متمرکز شوید. اگر کارمندان مسئولیتپذیری دارید و از نرمافزارهای امنیتی قدرتمندی استفاده میکنید، بازهم نمیتوانید بهطور قطعی و صددرصدی از وفاداری کارمندان اطمینان حاصل کنید. هر شخصی که امکان دسترسی به دادههای حساس را دارد، میتواند اطلاعات را سرقت کند و در جهت منافع خود، آنها را به رقبا بفروشد. برای افزایش امنیت بانکهای اطلاعاتی و رفع مشکلات اینچنینی، راهحلهایی مثل رمزنگاری آرشیوها، پیادهسازی استانداردهای امنیتی سفتوسخت برای دسترسی به فایلهای بانکهای اطلاعاتی و اعمال جریمه در صورت تخطی از قوانین در دستور کار قرار گیرد.
ضعف در طراحی بانکهای اطلاعاتی
آمارها نشان میدهند در بیشتر موارد، طراحی ضعیف عامل هک بانکهای اطلاعاتی است. بهطورکلی، هکرها میتوانند اطلاعات کاربری و اعتبارات مربوطه را بشکنند و سیستم را مجبور به اجرای کدهای مدنظر خود کنند. انجام اینکار پیچیده است، اما غیرممکن نیست. در واقع، هکرها از طریق ضعفهای پایه در طراحی به بانکهای اطلاعاتی دسترسی پیدا میکنند. برای حل این مشکل، میتوان با آزمایش امنیت بانک اطلاعاتی، دادهها را از دسترسی شخص ثالث حفظ کرد و امنیت را افزایش داد. همچنین، هر چه بانک اطلاعاتی سادهتر طراحی شود، احتمال شناسایی مشکلات راحتتر میشود.
زیرساخت پیچیده و ضعیف بانک اطلاعاتی
بهطور کلی، هکرها بر مبنای یک برنامه چند مرحلهای به بانکهای اطلاعاتی حمله میکنند و سعی میکنند ضعفی در زیرساخت بانک اطلاعاتی شناسایی کنند و از آن طریق سطح دسترسیها را ارتقاء دهند تا در نهایت مجوز مدیریتی دریافت کنند و قادر به انجام هر کاری باشند. دقت کنید، نرمافزارهای امنیت نمیتوانند بهطور کامل قابلیت محافظت از سیستم و شناسایی چنین دستکاریهایی را ارائه کنند، بنابراین بخشی از وظایف مدیر بانک اطلاعاتی بررسی گزارشها و بررسی موارد مشکوکی است که در فایلهای گزارش (Log) ثبت میشوند. همانگونه که اشاره شد، بهتر است زیرساخت کلی بانک اطلاعاتی پیچیدگی زیادی نداشته باشد، زیرا مانع از آن میشود تا ضعفها شناسایی شوند و متاسفانه ضعفها یا نادیده گرفته شده یا فراموش میشوند.
دسترسی بدون محدودیت کاربران اجرایی
تقسیم وظایف میان کاربران اجرایی این اطمینان را میدهد که تنها افراد مسئول دسترسی بدون محدویت خواهند داشت. با استفاده از این رویکرد، سرقت دادهها توسط افرادی که در فرآیند مدیریت بانک اطلاعاتی مشارکت ندارند دشوار خواهد بود. البته اگر امکان محدود کردن تعداد حسابهای کاربری مدیریتی وجود داشته باشد، شرایط بهتر میشود، زیرا شانس هکرها برای نفوذ به بانکهای اطلاعاتی را سختتر میکند. بنابراین، اگر قصد پیادهسازی یا مدیریت بانکهای اطلاعاتی در امور مالی را دارید به این نکته دقت کنید.
ناسازگاری
یکی دیگر از مواردی که امنیت بانک اطلاعاتی را متزلزل میکند، وجود ناسازگاری است. راهکار برونرفت از این مشکل، انجام آزمایشهای دورهای وبسایتها و برنامههای کاربردی است که قابلیت دسترسی به بانک اطلاعاتی را دارند. رویکرد فوق، ناسازگاری را کمتر میکند. در این حالت، اگر مغایرتی در سیستم شناسایی شد باید در کوتاهترین زمان برطرف شود.
برگرفته از سایت مجله
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.
 |
 |
 |
 |
 |
 |
 |
|
