السلام عليكم و رحمة الله و بركاته ........ أهلا ومرحبا بكم في ساحة التنمية البشرية والتطوير الإداري

الأحد، 25 سبتمبر، 2011

أمن قواعد البيانات

الكاتبة : مريم مجيد عبدالرحمن الكنهل

pdf





الملخص:

في الوقت الحاضر ومع التطور الهائل في عالم الحاسوب والإنترنت, والاعتماد الكلي على قواعد البيانات
الرقمية, أصبح أمن وحماية قواعد البيانات من أهم القضايا التي يواجهها مالكي هذه البيانات.في هذه المقالة سنتناول الحديث عن مفهوم أمن قواعد البيانات , والعناصر التي يجب توافرها لضمان أمن هذه القواعد وكذلك سوف نتطرق إلى الأخطار التي تهدد أمن هذه البيانات, وسوف نتحدث كذلك عن أمان ملقم قاعدة البيانات والأمان عند مستوى النظام وختاما سوف نتكلم بصوره مختصره عن هندسة الأمان في قاعدة البيانات أوراكل.


كلمات رئيسية(مفتاحيه):

قواعد بيانات, حماية, أمان, أمن, هندسة الأمان لقواعد البيانات, حماية قواعد البيانات.


المقدمة:

مع تطور أساليب الاختراق والقرصنة , ومع زيادة الاعتماد على قواعد البيانات المرتبطة بالانترنت, أصبحت حماية قواعد البيانات من التحديات التي تواجهها  المنشآت والمؤسسات المختلفة لاسيما مع تزايد أحداث وجرائم السرقات الإلكترونية.
وإليك نبذه توضح خطورة هذه الاختراقات:
•    في عام 1986م قام شخص كولومبي بسرقة خط تيليكس وإرسال رسائل إلى مجموعه من الدول مما أدى إلى نقل 13.5 مليون دولار من أرصدة الحكومة الكولومبية.
•    في عام 1994م قام مجموعه من القراصنة الروس بنقل وتحويل 10 ملايين دولار إلى حسابات مصرفيه في مختلف دول العالم.
•    في عام 1999م ,اختراق شاب روسي شبكة شركة ( (CD Universe وسرقة 300.000 بطاقة ائتمانه لزبائن هذه الشركة.
•    في عام 2000م , قدرت عدد المواقع والنظم الحكومية المخترقة بالولايات المتحدة وحدها 155 موقعا ونظاما موزعه على 32 هيئه فدراليه.
•    في عام 2002 م اختراق شبكة حاسوب (  (Dacow Securities وبيع ماقيمته 21.7 من أسهم هذه الشركة بصوره غير قانونيه.
•    في عام 2003م لوثت الدودة"Slammer"75 ألف حاسب آلي متصل بالإنترنت خلال عشر دقائق.
•    في عام 2007 م, قدرت حوالي 94 مليون سرقه لأرقام بطاقات الائتمان التي تستخدم للشراء على شبكة الانترنت.
•    في عام 2007م هجوم قرصان تركي على موقع منظمة الأمم المتحدة على شبكة الانترنت.

جميع هذه الحقائق توضح تعدد أساليب وطرق المخترقين والحاجة الماسة لأمن قواعد البيانات التي سنتحدث عنها بشئ من التفصيل في هذه المقالة.


مالمقصود بقواعد البيانات:

هي مجموعه من البيانات المترابطة بشكل متبادل والتي تدار بواسطة تطبيقات خاصة.


ماذا نقصد بأمن قواعد البيانات:

يعد أمن قواعد البيانات  من أهم خصائص نظم إدارة قواعد البيانات ويقصد به حماية هذه القواعد من الدخول الغير مصرح به عليها وحمايتها من التلف أو الضياع , ومن الجدير بالذكر أن معظم النظم الإدارية  لقواعد البيانات تتضمن برامج خاصة تدعم هذه المقاصد.


العناصر التي يجب توافرها لضمان أمن قواعد البيانات:


1-السرية(:(confidentiality

والمقصود بمصطلح السرية هو منع كشف المعومات أو الإطلاع عليها للأشخاص الغير مصرح لهم.
ويعد كشف المعلومات السرية إحدى المخاطر التي يواجهها مالكي قواعد البيانات.


2-التكامل (Integrity) "السلامة":

والمقصود بهذا المصطلح هو حماية البيانات من التغيير والتعديل من قبل الأشخاص الغير مصرح لهم.
ويعد هذا العنصر من إحدى المخاطر التي يواجهها مالكي قواعد البيانات.
ومن أمثلة ذلك:
-عندما تقوم إحدى الفيروسات بتعديل أو إتلاف إحدى القواعد البيانية فإنه يؤدي إلى إنهاك تكامل "سلامة" تلك القواعد.
-عند قيام موظفين إحدى الشركات بالعبث ببيانات الشركة كرفع مرتبات بعض الموظفين فإنه يؤدي إلى انتهاك تكامل "سلامة" تلك القواعد.


3-التوافر(Availability):

والمقصود بهذا المصطلح هو توفر البيانات للأشخاص المصرح لهم عند الحاجة إليها.
ويعد حرمان صاحب المعلومات من الوصول إليها عند الحاجة من المخاطر التي يواجهها مالكي قواعد البيانات.


الأخطار التي تهدد أمن قواعد البيانات:

أولا-البرمجيات الخبيثة ((Malicious Code:

وهي عبارة عن برامج تم إعدادها من قبل مبرمجين وذلك لغرض إلحاق الضرر بالبيانات المستهدفة كتخريبها وإزالتها أو السيطرة عليها وإلحاق الضرر بها.
وتتميز هذه البرامج بقدرتها على التناسخ والانتشار والانتقال من مكان لآخر.
ويمكن تقسيم هذه البرامج إلى عدة أنواع وذلك بحسب سلوكها ومنها:

1-الفيروسات(Viruses):
هي برامج خبيثة تم إعدادها بهدف إحداث الخلل بالأنظمة الحاسوبية وذلك عن طريق إرفاق نفسها ببرنامج مضيف لتتمكن من الانتشار.
وتتفاوت خطورة هذه الفيروسات بحسب المهمة التي تقوم بها فمنها مايؤدي إلى إتلاف الأنظمة والبرامج الحاسوبية ومنها مايهدف إلى التشويش والإزعاج ولا يؤثر على الأنظمة والبرامج الحاسوبية.

2-الديدان(Worms):
هي برامج حاسوبيه خبيثه تنتشر عاده بدون تدخل المستخدم ولا تحتاج إلا برنامج أو ملف مضيف وتتميز بسرعة التكاثر والانتقال وبصغر الحجم.
ومن الأمثلة على ذلك: كل من البرنامج الدودي ((Sasser, والبرنامج الدودي (Blaster).

3- حصان طروادة (Trojan Horse):
وهي برامج حاسوبيه تبدو بالظاهر بأنها مفيدة لكنها في حقيقة الأمر عبارة عن برامج هدفها الإضرار والتخريب.

4-الباب الخلفي Backdoor)):
وهي عبارة عن الثغرات الموجودة بقصد أو غير قصد في أنظمة التشغيل ,ويعد هذا النوع هو الأخطر والأكثر شيوعا لدى المخترقين حيث تمكنهم من القدرة على الدخول والسيطرة على الأجهزة كليا أو جزئيا وذلك بحسب البرنامج المستخدم.


ثانيا- الاختراق ((Penetration:

ويعرف الاختراق بالقدرة إلى الوصول إلى أهداف معينه بطريقه غير مشروعه, وذلك عن طريق الثغرات الموجودة في أنظمة تلك الأهداف.
وتتنوع دوافع المخترقين فمنهم من يتخذ الاختراق لدافع سياسي وعسكري أو لدافع شخصي أو لدافع تجاري أو لدوافع انتقاميه وإلى غير ذلك من الدوافع.
ويمكن تقسيم الاختراقات إلى ثلاثة أقسام وذلك بحسب الطريقة المستخدمة:
1- محاولة التعرض للبيانات أثناء انتقالها ومحاولة فك شفراتها إذا كانت مشفره,ويستخدم المخترقون هذه الطريقة للقيام بعدة أعمال كالقيام بكشف الأرقام السرية للبطاقات البنكية وبطاقات الإئتمان.
2- اختراق الأجهزة الرئيسية (المزودات) للمنشات والمؤسسات,وغالبا ما تتم عن طريق انتحال الشخصية  وهي ماتدعى بأسلوب المحاكاة ((spoofing.
3- اختراق الأجهزة الشخصية, وهي طريقه جدا شائعة وذلك لتعدد برامج الاختراق وسهولة استخدامها.



ثالثا: التجسس (Espial):

وهو أسلوب يشبه في حد ذاته الاختراق إلا أن الغرض منه هو معرفة محتويات الأنظمة المستهدفة دون الإضرار بها,وغالبا ما تتم عن طريق نوع من الفيروسات الذي يقوم بإرسال نسخ من المعلومات والبيانات أو التمكين من الدخول إلى الأنظمة ومعرفة محتوياتها.



أمان ملقم قاعدة البيانات (الخادم Server ):

الأمان المادي:
•    وضع الملقم داخل غرفه مغلقه بحيث لا يسمح بالوصول إليه إلا الأشخاص المصرح لهم.
•    استخدام أجهزة مراقبه كأنظمة المراقبة عبر الفيديو.
•    أجهزة أمان "التأشيرة" وتتعدد هذه الأجهزة من بطاقات ومفاتيح تستخدم من أجل الوصول إلى أجهزة التشفير من كلمات مرور وغيرها.
•    استخدام الأجهزة البيولوجية- كفحص بصمة الأصبع أو مسح شبكة العين.
•    سياسة تواجد أكثر من شخص في غرفة الخادم وخاصة عند عمل شخص مباشره على الملقم.
•    سياسة تفتيش الموظفين عند المغادرة من مقر المنشأة.

أمان الشبكة:
•    التأكد من ضمان أمان الشبكة وضمان جميع الأجهزة المتصلة بها.والأخذ بعين الاعتبار إمكانية المقتحمين من الحصول على اتصال شبكي بالملقم  وأخذ الاحتياطات اللازمة عند اتصال العملاء أو الملقمات الأخرى (كملقم البرامج).


الأمان عند مستوى النظام:
عندما تصبح الشبكة آمنه يصبح التركيز على النظام الذي سيقوم بتشغيل النظام DBMS
ويتضمن الأمان عند مستوى النظام التدابير التالية:
•    "تثبيت الحد الأدنى من نظام التشغيل"[6] , ويتم ذلك بتجنب خيارات التثبيت النموذجية واستخدام خيارات التثبيت المخصص . على سبيل المثال في ملقمات الإنتاج يونيكس من المستحسن الاعتياد على إزالة الأداة make  ومصرفات اللغة C  بعد انتهاء التثبيت, وذلك حتى لا يتمكن القراصنة من تثبيت برامجهم وذلك لعدم العثور على الأدوات المطلوبة لعمليات التثبيت.
•    "تغيير كلمات المرور الافتراضية"[6]  , حيث يتم تغييرها إلى كلمات جديدة  من الصعب معرفتها.
•    "استعمال خدمات نظام التشغيل الدنيا"[6], وذلك بحذف أو إيقاف خدمات التشغيل الغير مطلوبة.
•    "تثبيت الحد الأدنى من النظام "DBMS[6]  ,حيث أنه كلما كانت ميزات نظام DBMS قليله كلما قل وجود نقاط الضعف وبالتالي يقل التعرض للمشاكل .
•    "تطبيق الترقيعات الأمنية في الوقت المناسب"[6],ويتم ذلك بمراجعة التنبيهات الأمنية عند الإعلان عنها وتطبيق التدابير المضادة لها.

هندسة الأمان في أوراكل:

أمان قاعدة البيانات في أوراكل
شكل (1) : يوضح أمان قاعدة البيانات في أوراكل ( مأخوذة من كتابdatabase demystified)))



•    "التواجد (instance)"[6] :حيث يدير كل تواجد قاعدة بيانات واحده.
•    "قاعدة البيانات ("(Database[6]  :هي مجموعه من الملفات حيث يديرها تواجد أوراكل واحد .
•    "المستخدم(User)"[6] :ويقصد بالمستخدم أي الحساب في قاعدة البيانات,حيث بتم التحقق من الحساب خارجيا (من قبل نظام التشغيل)وكذلك داخليا عبر (النظام DBMS ). ويقسم المستخدمون إلى قسمين :
-    المستخدم SYSويعرف بأنه مالك التواجد في أوراكل حيث يحتوي على العناصر التي يستخدمها أوراكل لإدارة التواجد.
-    المستخدم System ويعرف بأنه مالك قاعدة البيانات في أوراكل حيث يحتوي على العناصر التي يستخدمها أوراكل لإدارة قاعدة البيانات.
-    حسابات مستخدمين خاصة عند طلب ذلك.
•    "الخطة (" (Schema[6]  :هي مجموعة كائنات لقاعدة البيانات تخص مستخدم معين, وتتميز بأن أسماء الخطط والمستخدمين متماثلة, حيث يبين الشكل 1 الخطط التي يمتلكها المستخدمون Emplyees و Product  وMgr 125  .
•    "الامتيازات("(privileges[6] :لكل مستخدم في نظام أوراكل يتم منحه مجموعه من الامتيازات ,وتنقسم الامتيازات إلى امتيازات النظام وامتيازات الكائن ويقصد بامتيازات النظام أي الامتيازات التي يتم تطبيقها على مستوى قاعدة البيانات وأما امتيازات الكائن فتتيح القيام بعمليات معينه على كائنات معينه.

وتتميز قواعد البيانات قي أوراكل بالقدرة الكبيرة على التعامل مع الشبكات وتحديد صلاحية كل مستخدم بعزل عمله أو دمجه حسب الحاجة وكذلك بامتيازها بالسرية التامة بحيث يصعب الدخول إلى البيانات إلا عن طريق الدخول إلى البرنامج نفسه بالإضافة إلى إمكانيتها الضخمة في إعداد النسخ الإحتياطيه وفي إصلاح البيانات.


الخاتمة:

وفي الختام فإننا نجد ما لأمن قواعد البيانات من أهمية بالغه وخصوصا في وقتنا الحالي ومع الاعتماد الكبير على هذه القواعد في تخزين المعلومات الرقمية ,وتزداد أهمية ذلك مع زيادة حساسية البيانات المراد حمايتها.
ومع التقدم التقني الكبير الذي نشهده في عصرنا الحالي وما واكبه من تقدم في طرق الهجوم والتجسس والاختلاس الالكتروني ,الذي أدى إلى زيادة العبء الملقى على أصحاب المنشات المختلفة في توفير الحماية لبياناتها وذلك باستخدام بعض الوسائل والطرق التي يمكن إتباعها, وقد تطرقنا إلى جزء منها في هذه المقالة, كما تجدر الإشارة إلى أهمية  أخذ أمن قواعد البيانات بعين الاعتبار عند إنشاء هذه القواعد و وضع السياسات  والإجراءات التي تضمن أمانها بالشكل المطلوب.


المراجع:


[1]M. Ciampa, "Security+ Guide to Network Security Fundamentals", 2nd edition, Thomson, 2005.
[2]أمن المعلومات بلغه ميسره, تأليف د.خالد الغثبر + د. محمد القحطاني 1429هـ -2009 م, الطبعة الأولى.
[3]http://www.hometechanswers.com/pc-security/computer-virus.html, Computer Security, Types of Computer Virus - Viruses - Worms – Trojans.
Database Security in Oracle8i, An Oracle Technical White Paper, November [4]
.1999
[5]DATABASE SECURITY TECHNICAL IMPLEMENTATION GUIDE Version 7, Release 1, 29 OCTOBER 2004, Developed by DISA for the DOD.
[6] Author: Andy Opel, book: Database Demystified

ليست هناك تعليقات:

إرسال تعليق

أهم المشاركات