امنیت بانک های اطلاعاتی

مقدمه:

امروزه اهمیت و کاربرد روزافزون سیستمهای اطلاعاتی بر کسی پوشیده نیست و از آن جا که حیات این سیستمها وابسته به حجم انبوهی از دادهاست، نیازبه استفاده از سیستمهای مدیریت پایگاه داده انکار ناپذیر می باشد. چون داده ها از ارزش بسیار بالایی برخوردار هستند تهاجمات زیادی برای تخریب و یا دسترسی غیر مجاز به آنها صورت می گیرد و بنابراین نیاز به روشهایی است که بتواند امنیت را در پایگاههای داده برقرار سازد. به طور کلی امنیت پایگاه داده به مجموعه سیاستها و مکانیزمهایی گفته می شودکه محرمانگی، جامعیت و دسترس پذیری را برای داده ها به وجود آورده و آنها را در برابر حملات عناصر داخلی و خارجی محافظت نماید. هرچند که این موضوع در کشورهای توسعه یافته جزو مباحث روز بوده و به پیشرفتهای بسیار نائل شده‌اند. هنوز این مبحث در کشورایران بسیار نوپا و جوان است .

بانک های اطلاعاتی ، در دسترس همگان :

یکی از ضعف های سایت های ایرانی دسترسی آسان کاربران به بانک های اطلاعاتی آنهاست . شاید بسیاری از برنامه نویسان نسبت به رفع ضعف های امنیتی ناشی از تزریق دستورات SQL اقدام کرده باشند . اما زمانی که بانک های اطلاعاتی خود را به سهولت در اختیار کاربران قرار می دهند . آنگاه یک کاربر به سادگی می تواند از طریق دریافت بانک اطلاعاتی نام کاربری و کلمه عبور سایت را بدست آورده و وارد مدیریت سایت شود .
متاسفانه گاهی در این بانک های اطلاعاتی اطلاعات گرانبهایی نیز گنجاده شده است که ارزشمند تر از ورود به بخش مدیریت آن سایت است . برای نمونه در یکی از سایتهای اینترنتی ایرانی که اقدام به فروش online کارتهای اینترنتی کرده است به سادگی با دریافت بانک اطلاعاتی توانستم به بیش از 500 کلمه عبور و نام کاربری کارتهای اینترنت و فون تو فون دسترسی پیدا کنم .
متاسفانه منشا این مشکل و ضعف نه برنامه نویسان سایت بلکه میزبانان سایت ها هستند . عدم ایجاد شاخه ای مختص بانک های اطلاعات در خارج از دایرکتوری وب باعث آن می شود که صاحبان سایتها به ناچار بانک های اطلاعاتی خود را در جایی بر روی دایرکتوری وب خود قرار دهند . در چنین حالتی نیز بانک اطلاعاتی قابل دریافت از طریق پروتکل http می باشد .
چندین سایت معتبر ایرانی که شاید از نظر ارزش اطلاع رسانی دارای ارزش بالایی نیز باشند جزو سایتهایی هستند که دارای این ضعف بزرگ می باشند در زیر نام چند سایت را که بانک های اطلاعاتی آنها به سهولت در دسترس همگان است را معرفی می کنم اما برای حفظ امنیت این سایت ها از گفتن آدرس بانک اطلاعاتی آنها خودداری می کنم چون بانک های اطلاعاتی این سایتها دارای اهمیت ویژه ای می باشند :
- http://www.jahaneghtesad.com
- http://www.irannewsdaily.com
- http://www.kanoonparvaresh.com
- http://www.akunews.com
اما یک سایت دیگر نیز دارای این مشکل می باشد اما از آنجهت که در بانک اطلاعاتی آن مطلب مهمی را پیدا نکردم برای نمونه و آشنایی بیشتر خوانندگان آدرس کامل بانک اطلاعاتی آن را معرفی می کنم:
- http://www.iranagahi.com/mdbdir/iranagahi.mdb
شاید عدم دقت به نکات ساده و نه نکات پیچیده سایت های ایرانی را از این ناامنی که از آن رنج می برند نجات دهد که بدون شک منجر به نجات اطلاع رسانی و کمک به ارتقا سطح دانش اطلاع رسانی کشور خواهد شد .
اما از سوی دیگر این نقطه ضعف تنها در مورد بانک های اطلاعاتی مبتنی بر فایل وجود دارد و در بانک های اطلاعاتی همچون MS SQL و MySql ما شاهد چنین ضعف هایی نیستیم .
پس برای بالابردن سطح ایمنی سایت خود در صورتی که با اطلاعات مهمی سر و کار دارید به شما توصیه می کنم که از بانک های اطلاعاتی مبتنی بر فایل استفاده نکنید .
اما در مورد سایتهایی که مجبور به استفاده از چنین بانک های اطلاعاتی می باشند توصیه می کنم که از نوشتن کلمه های عبور به صورت Text در بانک اطلاعاتی خودداری کنند و از اسکریپت های Encode کردن کلمه عبور استفاده نمایند .
الگوریتم های زیادی برای encode کردن کلمه های عبور وجود دارند اما شاید بسیاری از آنها به سادگی قابل فهم باشند و تاثیر چندانی بروی کار شناسایی کلمه عبور توسط نفوذگر نداشته بانشد . پس توصیه می کنم از الگوریتم هایی استفاده کنید که برگشت ناپذیر می باشند تا امکان دسترسی نفوذگر به اصل کلمه عبور از مسیر بازگشت در الگوریتم را از وی سلب کنید .
برخی از دوستان با ارسال نامه و یا در سایتهایشان انتقاد کرده اند که مسائل مطرح شده توسط من روش های هک نیست ! جالب است بدانید بر طبق گزارشی تزریق توسط SQL در سال گذشته منجر به نفوذ در بیش از 180 سایت بزرگ خارجی بوده است . نفوذگران برای ورود به سایت ها از نقاط ضعف آنها استفاده می کنند و این مهم نیست که این نقطه ضعف امکان تزریق SQL باشد یا قابلیت دریافت بانک اطلاعاتی و یا وجود پورت های باز بر روی سرور میزبان ! نفوذ گر به دنبال ساده ترین راهها نفوذ هست . نفوذ را هیچگاه پیچیده تصور نکنید .

مرکز داده

دولت امریکا به منظور ارتقای ضریب ایمنی مراکز اطلاعاتی خود بانک‌های اطلاعاتی و کارگزاران شبکه ( Servers ) خود را در مکان‌های با ا منیت بالا نگهداری می‌کند. بعضی از این اماکن محوطه‌های وسیعی در اعماق کوههای راکی، در نقاط پنهانی از اعماق صحرا ها ی نوادا وآریزونا، در زیر یخچال‌های آلاسکا و در اعماق اقیانوس‌ها می‌باشند.

این نقاط با شدیدترین تدابیر امنیتی حفاظت می‌شو ند از طرف دیگر پیش‌بینی‌های ایمنی تهدیدات فیزیکی ، از جمله آتش سوزی و بلایای طبیعی را به حداقل رسانده است. تجهیزات حفاظتی ، امکان دستبرد و یا آسیب هوشمندانه فیزیکی را کاهش داده است. در این اماکن خطوط متعدد فیبرنوری با پهنای باند بالا بالاترین سرعت انتقال داده و اطلاعات را تأمین می‌کنند. تجهیزات پرسرعت مانند سوپر کامپیوترها ( Main Frame ) و پردازنده‌های بسیار سریع و موازی بالاترین سرعت دسترسی را در اختیار می‌گذارند. سیستم‌های پیشرفتة تنظیم دما و حرارت، تنظیم رطوبت و کنترل ترکیبات هوای محیط بهینه‌ترین شرایط را برای کار تجهیزات مهیا می‌ سازند و تجهیزات مانیتورینگ دقیق، لحظه به لحظه وضعیت‌های مختلف را کنترل و بازنگری می‌کن ن د. بناهای مستحکم در اعماق زمین نه تنها توان تحمل شدیدترین زلزله‌ها را دارند، بلکه در مقابل قویترین بمب‌های هسته‌ای موجود آسیبی نمی‌بینند. سیستم‌های پشتیبان، از اطلاعات در فواصل زمانی مشخص بر طبق آخرین تکنیک‌های موجود نسخه‌های پشتیبان تهیه می‌کنند. ژنراتورها و مولد های قوی برق( UPS )، آمادة تأمین نیروی برق لازم در صورت بروز اختلال می‌باشند و پوشش‌های مخصوص، تجهیزات را از تهدید امواج مختلف از قبیل امواج ماکروویو و یا میدان‌های الکترومغناطیسی خارج ی یا تولید شده از خود تجهیزات محافظت می‌کنند.

به هر یک از این مراکز، مرکز داده‌ای ( Data Center ) گفته می‌شود. در کنار هر مرکز داده‌ای دو مــــرکـــز دیـــگـــر آمـــادة انجام عملیــات می‌باشنــــد. یــکـــی مرکز بازیافت اطلاعات آسیب دیده ( Disaster Recovery center ) است که فعالیت‌های آنها در قالب کلی بازیافت داده ( Data Recovery ) می‌گنجد که خود مقولة بسیار مهمی است که از ضروری‌ترین نیازهای هر ارگان و تشکل مرتبط با اطلاعات می‌باشد.

مرکز دوم مرکز کنترل و فرمان است که مدیریت انسانی مرکز داده‌ای را به عهده دارد ، در این مرکز افرادی با تخصص بالا و با دستمزدهای بسیار بالا کار می‌کنند. بانک‌ها اطلاعاتی و سرورهای مربوط به زیرساخت‌های این کشور از قبیل شبکة برق، آب و نیز اطلاعات شرکت‌ها ی دولتی ی ا خصوصی‌ حساس مثل شرکت‌های اسلحه‌سازی و یا اطلاعات بانک‌ها در این مراکز نگهداری می‌شود.

ایدة مرکز داده ( Data Center ) در سطوح پایین‌تر و با درجه حساسیت کمتر نیز پیاده شده است. به طوری که امروزه شرکت‌هایی وجود دارند که با فراهم آوردن اماکنی که بعضی از امتیازات فوق را دارند در ازای دریافت اجاره‌بها اطلاعات فردی یا سازمان‌ها را میزبانی می‌کنند و خدمات مورد نظر آنها را با کیفیتی بسیار بهتر در اختیار مشتریان قرار می‌ د هند. سایت‌های خارجی دفتر در چبه صورت خلاصه مزایای استفاده از مراکز داده عبارتند از:

نین محیط‌هایی قرار داده شده‌اند.

•  امنیت فیزیکی بالا

•  امنیت الکترونیکی بالا

•  مقابله با افزونگی و تکرار اطلاعات

•  ارائة بالاترین سرعت پردازش در یک مکان

•  ارائة بالاترین سرعت انتقال اطلاعات

•  خرید تنها یک نسخه از نرم‌افزارها

•  پشتیبانی متمرکز

اگر از مراکز داده استفاده نشود و هر سازمانی بانک اطلاعاتی خود را در شبکه داشته باشد، به تعداد سازمان‌ها نیاز به تیم پشتیبانی جداگانه، نرم‌افزار جداگانه، سخت‌افزار جداگانه، پهنای باند جداگانه، امنیت جداگانه و ... خواهیم داشت که سر بار هزینه‌ای بالایی دارد.

به نظر می‌رسد ایدة Data Center به دلیل تأمین کارایی و امنیت بالا و جلوگیری از افزونگی، سهولت نگهداری و مدیریت و بسیاری جنبه‌های فنی دیگر ، در تحقق اهدافی همچون دولت الکترونیکی، ایده‌ای کارساز باشد.

امنیت بانکهای اطلاعاتی‌
امروزه ادامه حیات و عملکرد موفقیت‌آمیز سازمانها, بستگی کامل به داده‌ها و اطلاعاتی دارد که‌در اختیار دارند. تصور ادامه فعالیت سازمانهای این عصر، بدون اطلاعاتی که بتوانند به آن اتکا کنندغیرممکن است‌. این ذخیره‌های ارزشمند در بانکهای اطلاعاتی گوناگونی ذخیره می‌شوند و مثل هر اندوخته گرانبهای دیگری نیازمند مراقبت و محافظت دائمی هستند.
گرچه در حال حاضر بانکهای تجاری با بکارگیری فن آوریهای نوین, دارای سرویس‌های دائمی وشبانه روزی هستند, ولی تصور کنید که در شروع یک روز کاری, مسئولین مربوطه با این پیام روبرو شوندکه اطلاعات موجود در بانکهای اطلاعاتی را از دست داده‌اند یا دریابند که این مخازن اطلاعاتی حاوی‌اطلاعات نادرستی هستند, درصورت عدم برنامه ریزی دقیق و امکان بازیافت اطلاعات، ادامه کار عادی‌سازمان مختل خواهد شد.  در تأمین امنیت بانکهای اطلاعاتی و اطلاعات ارزشمند آنها مراحل مختلفی باید در نظر گرفته شوند.
 
جمع آوری داده‌ها:
 در این مرحله، چگونگی جمع آوری اطلاعات و داده‌ها و نحوه کسب آنان و جلوگیری از انتشار اطلاعات, بایستی توسط مسئولین مربوطه مورد بررسی عمیق قرار گیرد تا اطلاعاتی لازم, کافی, بجاوصحیح جمع‌آوری گردد.
 
ویرایش داده‌ها:
 ویرایش کافی اطلاعات، تائید و صحت آنها سبب می‌شود که بانکهای اطلاعاتی ار طریق استفاده از داده‌های صحیح و مناسب تکمیل شوند و اطلاعات از سازگاری و جامعیتی مناسب برخوردار گردند. در این مرحله می‌توان با بکارگیری روش‌های ویرایشی, از وارد شدن اطلاعاتی که خارج از محدوده لازم‌هستند، جلوگیری نمود و یا حتی از وقوع برخی خرابکاریها یا دستکاریها پیش‌گیری کرد.
 
بهنگام نگهداشتن داده‌ها:
 بانک‏های اطلاعاتی در صورتی قابل استفاده هستند که حاوی اطلاعاتی بهنگام, سازگار و جامع‌باشند. مسئولین نگهداری آنها باید تمهیدات لازم را در این مورد بکار گیرند, در اختیار داشتن اطلاعاتی‌ناقص و قدیمی, تفاوت چندانی با دراختیار نداشتن اطلاعات ندارد.
 
تهیه نسخه‌های پشتیبانی: 
 تهیه نسخه‌های پشتیبانی کافی و مناسب در دوره‌های زمانی از پیش تعیین شده نقش عمده‌ای درحفاظت و ایمنی بانکهای اطلاعاتی بازی می‌کند و در صورت فقدان اطلاعات, مدت غیرفعال شدن‌سیستم را می‌تواند به حداقل ممکن برساند.
 
تدوین برنامه‌های بازیابی جهت بکارگیری در هنگام وقوع حوادث و مشکلات:
 مسئولین نگهداری بانکهای اطلاعاتی بایستی آمادگی لازم را برای مقابله با مشکلات احتمالی‌داشته باشند و قبل از وقوع حوادث پیش بینی‌های لازم را نموده باشند, حتی بصورت آزمایشی اقدام به‌انجام مراحل مختلف بازیابی اطلاعات نمایند.
 
تهیه گزارشات کنترلی حفاظتی دوره‌ای:
 از اطلاعات جمع آوری شده در بانکهای اطلاعاتی بایستی بصورت دوره‌ای گزارشاتی تهیه شود تا مسئولین حفاظت و ایمنی با بررسی موارد مشکوک و غیرعادی به حل مسائل بپردازند. بررسی محدوده‌قابل قبول اقلام اطلاعاتی موجود یا تغییرات بیش از حدود قابل پیش بینی, از جمله مواردی است که‌می‌تواند در شناسایی خرابکاریها یا دستکاری‌های عمدی یا خطاهای ناشی از عملکرد غلط برنامه‌هاکمک کند.
 
حفاظت بانکهای اطلاعاتی در شبکه‌های کامپیوتری:
 کمتر بخشی از جامعه مثل بخش مالی با مسأله حفاظت اطلاعات روبروست‌. چنین بخش‌هایی باید در مقابل سرقت و یا خطا محافظت شوند. از طرفی با جهانی شدن شبکه‌های اطلاع رسانی وارتباطات کامپیوترها با یکدیگر از طریق شبکه‌های جهانی، بسیاری از شرکتها و سازمانها با مقوله دیگری‌از حفاظت اطلاعات روبرو شده یا خواهند شد و آن مسأله حفاظت اطلاعات موجود در شبکه محلی, در قبال دسترسی‌های غیرمجاز خارج از شبکه مورد نظر می‌باشد.
 حفاظت داده‌های حساس در هنگام نقل و انتقال‌های الکترونیکی:
 برخی از اطلاعات حساس مثل شماره‌های حسابهای بانکی افراد, اطلاعات شخصی حساس,شماره‌های شناسایی و رمزهای ورود، حین نقل و انتقالهای الکترونیکی می‌توانند مورد تجاوز قرار گیرند,بکاربردن احتیاطهای لازم در این زمینه‌ها از اهمیت بالایی برخوردار است‌.
 
تهیه گزارش اعمال [1] تغییرات:
 تدوین برنامه هایی برای ردیابی و ثبت چگونگی اجرای برنامه‌ها و اعمال تغییرات در بانکهای اطلاعاتی, می‌تواند کمک مناسبی برای مسئولین حفاظت باشد.
 
سیستم مدیریت بانک اطلاعاتی[2]:
 معرفی سیستمی جهت مدیریت بانک اطلاعاتی یک اثر پایدارکننده و تحکیم بخش برروی بانکهای ‌اطلاعاتی داشته است‌. و نقطه دستیابی متمرکزی به داده‌ها فراهم شده است‌. زیرا همه‌درخواست‌های دستیابی و اعمال تغییرات در داده‌ها بوسیله این سیستم اجرا می‌شود, این درجه از کنترل, تسهیلاتی را برای مدیریت داده‌ها و افزایش حفاظت آنها فراهم می‌آورد.  مدیر بانک اطلاعاتی برای کنترل بانک ا طلاعاتی از روالهای مهمی باید استفاده‌کند که برخی ازآنها به‌ شرح زیر می‌باشند:
 
 · کنترل روی تعریف داده‌ها[3] - وظیفه این روال اطمینان از تطابق داده با تعریف آن در طول مدت‌ نگهداری آن است‌.
  ·کنترل دستیابی [4] - وظیفه این روال حفاظت داده از دستیابی توسط اشخاص غیرمجاز است‌.
  ·ردیابی[5] - وظیفه این روال ردیابی و بازرسی برای اطمینان از محرمانه بودن داده‌های‌ نگهداری ‌شده است‌. دستیابی بوسیله مکانیزم کنترل دستیابی صورت‌می‌گیرد وحوادث مرتبط با آن‌می‌تواند بوسیله این روال توسط مدیر بانک اطلاعاتی درصورت لزوم بررسی و پیگیری و بازبینی گردد.
  ·کنترل بروز بودن[6] - این روال اطمینان می‌دهد که کاربر با مجوز مناسب مقادیر داده را تغییر دهد.دو سطح مجاز به این منظور وجود دارد سطح اول اضافه کردن داده و سطح دوم اصلاح و حذف داده است‌.
·  کنترل همزمانی[7]  این روال بوسیله کنترل برنامه‌های همزمان ‌که عمل به روز رسانی را اجرا می‌کنند، تمامیت و درستی بانک اطلاعاتی را فراهم می‌سازد.
 مخاطرات بانک اطلاعاتی[8] :
    فن آوری بانک اطلاعاتی, فعالیتهای جدیدی را در سازمان معرفی می‌کند. این فعالیتها شامل وظایف مدیر بانک اطلاعاتی  نیز می‌‌شود‌. تغییر فعالیتها و وظایف, به معنی پذیرفتن بعضی از مخاطرات است‌. همراه‌با مزایای فراوان این فن‌آوری, مخاطرات استفاده از آن نیز مطرح می‌شود که از آنجمله می‌توان به موارد زیر اشاره نمود:
 
· ورود داده‌های ناصحیح یا ناقص به بانک اطلاعاتی
 ·عدم ورود داده‌ها طبق زمانبندی و توالی مربوطه
 ·عدم تشخیص خطاهای مرتبط با یکپارچگی بانک اطلاعاتی
 ·اجرای نادرست برنامه تغییرات در بانک اطلاعاتی
 ·وجود مشکلات و خرابی‌های ناشناخته در بانک اطلاعاتی
 ·قطع زنجیرها[9] یا نشانه‌گرهای[10] اطلاعاتی
 ·از دست دادن بخشی از بانک اطلاعاتی در هنگام سازماندهی مجدد آن
 
ارزش رکوردها[11]:
 شناسایی اطلاعات حیاتی هر سازمان برای بقای آن ضروری است. این اطلاعات فقط شامل رکوردهای اطلاعات مدیریتی, حسابداری و مالی نمی‌‌باشد, بلکه شامل اطلاعات محرمانه تجاری نیز هست. به منظور تعیین این اطلاعات حیاتی پاسخ به این سئوال می‌تواند راهگشا باشد:
 
" اگر سوابق اطلاعاتی غیر قابل دسترس یا استفاده شوند، آیا سازمان/ اداره/ واحد قادر به ادامه فعالیت خود خواهد بود ؟"
به همین منظور [12] NFPA ، رکوردها را به چهار دسته زیر تقسیم کرده است:
·  رکـوردهای حیاتی ( کلاس I ): این رکوردها در عملیات نقش کلیدی دارند, غیرقابل‌ جایگزینی‌ هستند یا بلافاصله بعد از هر حادثه‌ای مورد نیاز می‌باشند, و نمی‌توان آنهارا بسرعت‌بازیابی‌نمود.
 ·  رکـوردهای مهم  (کلاس  II) : این رکوردها در عملیات نقش کلیدی دارند, اما می‌توان آنها را درزمان لازم بازیابی نمود.
 ·  رکوردهای مفید   (کلاس III) : از دست دادن این رکوردها موجب گرفتاری و دردسر است, اما از دست دادن آنها از عملیات جلوگیری نمی‌نماید و قابل بازیابی می‌باشند.
 ·  رکوردهای غیرلازم (کلاس : ( IVنیازی به بازیابی آنها درصورت ازدست‌دادنشان نمی‌باشد. 
 
فهرست کنترل مدیریت رکوردها و امنیت بانک اطلاعاتی :
 
(جدول 1) فهرست کنترل مدیریت رکوردها و امنیت بانکهای اطلاعاتی را ارائه می‌نماید.
 

 

 

جدول 1- مدیریت رکوردها و امنیت بانک اطلاعاتی

1. Log
2. Database Managment System (DBMS)
3. Control over the data definition
4. Access Control
5. Audet trail
6. Update Control
7. Concurrency Control
8. Database Risks
9. Chains
10.‎Pointers
11.Value of Records
12.National Fire Protection Association

 

محدودیت‌های جدید برای سرپرستان پایگاه‌های داده 

Analysts Forrester Researcher پیش بینی کرده است که تهیه کنندگان، محصولات امنیتی برای داده‌ها را طی 12 تا 24 ماه آینده ارایه خواهند داد تا عملکرد و فعالیت‌های سرپرستان پایگاه داده را کنترل کنند.

Forrester Research همچنین خاطر نشان کرده است که سرپرستان پایگاه داده همیشه دسترسی کاملی به تمامی داده‌های موجود در پایگاه داده خواهند داشت، حتی اگر این داده‌ها در دسته‌ی داده‌های خصوصی و مهم و حساس قرار داشته باشند.

اما با تمرکز امروز شرکت‌ها بر روی امنیت شدیدتر و بیشتر برای آی‌تی، Forrester گفته است که لازم است کنترلی بر روی دسترسی سرپرستان پایگاه‌های داده به داده‌های شخصی و خصوصی نظیر داده‌های مالی، داده‌های مربوط به سلامت افراد و یا کارت‌های اعتباری وجود داشته باشد.

پیش بینی شده است که طی 12 تا 24 ماه آینده، سیستم مدیریت پایگاه داده و تهیه کنندگان third-party محصولاتی را عرضه خواهند کرد که بر روی نقش داده‌های با چندین حق امتیاز و مزیت و ابزارهای امنیتی مربوطه که دسترسی سرپرستان را محدود می‌کند، تمرکز دارند.

Forrester به کاربران توصیه کرده است که از پایگاه‌های داده‌ای استفاده کنند که دارای داده‌های خصوصی بوده و دارای محدودیت‌هایی برای تعداد سرپرستانی است که مدیریت چنین محیط‌هایی را بر عهده دارند.

Forrester انتظار دارد که نقش مدیر امنیتی داده‌ها به کسانی واگذار شود که در مقابل امنیت پایگاه داده احساس مسئولیت کرده و به داده‌های شخصی و خصوصی نیز دسترسی نداشته باشند.