الكاتبة : لطيفه عبد الله المحرج

الملخص

نظرا إلى التطور السريع في تكنولوجيا الحاسوب والإنترنت، والمزيد من أصول الشركات يتم تخزينها في شكل رقمي في قاعدة بيانات خاصة في شركة التجارة الإلكترونية.  هذه المقالة تركز على التهديدات الأمنية لنظام قاعدة البيانات المفتوحة في الشركات ، والاستراتيجيات التي ينبغي النظر فيها عند حماية قاعدة بيانات ، وكيفية حماية قاعدة بيانات عن طريق أربع طبقات مهمة.

1- المقدمة

أصبح من الواضح أن أصول الشركة معظمها مخزنة في شكل بيانات رقمية. الأصول قد تشمل منتجات من حقوق الملكية الفكرية للشركة ومعلومات سرية عن شركاء الأعمال والعملاء.تخزن البيانات في قواعد بيانات لشركة التجارة الإلكترونية. معظم هذه البيانات يتم فتحها على الانترنت للمديرين والعملاء.
أكثر نظم قواعد البيانات استخداما  أوراكل ""Oracle ، سايبيس ""Sybase , و MS SQL Server"" .
تعمل تكنولوجيا الإنترنت على إدارة أصول الشركة بشكل مرن, ولكنها تزيد الفرصة للمجرمين أو المخترقين على الوصول إلى أصول الشركة الرقمية.
ولذلك، فإن جميع الشركات تنفق المزيد والمزيد من الجهد لتأمين قاعدة بيانات ضد الاختراقات الضارة. و في نفس الوقت يجب أن يقدموا بياناتهم في أي وقت كان إلى أي من المستخدمين المصرح لهم.
أمن قاعدة البيانات ينبغي أن تكون جزءا رئيسيا من استراتيجيات الشركة (1)  .

الأساس في مخطط قاعدة البيانات في نظام التجارة الإلكترونية بالنسبة لتطبيقات الويب هو الوصول إلى قاعدة البيانات لتبادل المعلومات واسترجاعها. هناك عدة طبقات نطبقها عندما يصل الطلب على قاعدة بيانات في شبكة الإنترنت.  لحماية تلك الطبقات وتقوية امن قاعدة البيانات سأبحث في كل طبقة  و كيفية تأمين قاعدة البيانات على تلك الطبقات.

2- لماذا نحتاج إلى أمن قاعدة البيانات؟

تَستعمل كل الشركات أنظمة إدارة قاعدة البيانات لتخزين أصول معلوماتهم. كما تسمح الشركات للتطبيقات تبادل المعلومات والموارد التي سيتم الحصول عليها من شركاء الأعمال والعملاء .و في عالم الإنترنت و المعلومات تَحمل قواعد البيانات الأصول الثمينة للشركة و التي دائما تبقيها متوفرة على الإنترنت .
يتوجب على الشركة جعل المعلومات متاحة للاستخدام في أي وقت إلى أي من المستخدمين المصرح لهم، مثل العملاء والموظفين أو الشركاء التجاريين. كما على الشركات أن لا تترك فرصة واحدة للدخلاء بأي حال من الأحوال.
تستخدم الحكومات قاعدة البيانات أيضا لإدارة معلومات الموظفين و رواتبهم وغيرها ، والتي ينبغي أن تظل المعلومات سرية و خاصة  .البيانات المالية الحسّاسة، مثل السجلات التجارية، والمعاملات التجارية وغيرها، يجب أن نمنع الكشف عنها بأي شكل من الأشكال لمنافسي العمل، حتى من الموظفين داخل الشركة الغير مصرح لهم. و المعلومات التفصيلية للعملاء بما في ذلك الحسابات المالية ، وأرقام بطاقات الائتمان يجب أن تبقى سريه وخاصة .
المعلومات تعتبر من أموال الشركة.لذلك نجد هدف المخترقين هو اختراق قاعدة البيانات. وعند بناء البنية التحتية للأمن في الشركة ينبغي عدم تجاهل أمن قاعدة البيانات.قاعدة البيانات حرجة للغاية لمعظم المشاريع في الوقت الحاضر ، إن تدمير قاعدة بيانات يمكن أن يكون لها تأثير كارثي على الشركة .

3. التهديدات الأمنية على قاعدة البيانات

هناك أربعة أنواع من التهديدات على نظام قاعدة البيانات، وهي حجب الخدمة " "denial of service ، هجوم الالتقاط  " "sniff attack ، هجوم الخداع  "spoofing attack" ،وحصان طروادة "Trojan Horse" .

3.1 هجوم حجب الخدمة " "denial of service attack

هو جعل خادم قاعدة بيانات أبطأ كثيرا أو حتى غير متاحة للمستخدمين على الإطلاق. رغم أن هجوم حجب الخدمة لم يسفر عن الإعلان أو فقدان معلومات قاعدة البيانات، إلا انه يمكن يكلف كثير من خسارة الوقت والمال.

3.2  هجوم الالتقاط  " "sniff attack

لاستيعاب التجارة الإلكترونية وفائدة الأنظمة الموزعة ، فان قاعدة البيانات صممت لكي توزعَ في نمط خادم الزبون .
المهاجمون يمكن أن يستخدموا برامج ملتقطة يمكنها رصد والتقاط  تيارات البيانات من قاعدة البيانات ، والحصول على بعض المعلومات السرية ، مثل رقم بطاقة الائتمان لأحد العملاء .

3.3 هجوم الخداع " "spoofing attack

المهاجمون يستخدمون  تطبيق ويب قانونيِ لدخول قاعدة البيانات، وبعد ذلك يسترجع البيانات من قاعدة البيانات وعمل بعض الصفقات الغير قانونيه والسرقة .
ويكون كالتالي :
تقدم المهاجم بتقليد شخصية الخادم للشخص الذي يحاول الاتصال .مهما يقوم به المهاجم من عمل فإن الاتصال سيفشل . وعند انتهاء هذه العملية . يقوم المهاجم بفصل ( نظام التقليد ) ويصبح الضحية حر .
بعد ذلك يقوم الضحية بالاتصال بالخادم الحقيقي. وبدون أن يشعر بأي شيء غير طبيعي. في هذه الأثناء أصبح لدى المهاجم اسم المستخدم و كلمة السر  وسيستخدمها في  الدخول على قاعدة بيانات الشركة  .

3.4  حصان طروادة "Trojan Horse" 

حصان طروادة هو برنامج ضار يدرج في النظام. يستقر عادة في أنظمة التشغيل. حصان طروادة يمكنه تعديل قاعدة البيانات دون أن يلحظ ذلك من قبل المدير .
الدخيل أو حتى الموظفين الداخليين  يمكنهم وضع حصان طروادة في نظام قاعدة البيانات.

4. استراتيجيات لحماية قواعد البيانات

4.1 التصديق

الوصول إلى قاعدة بيانات هي مسألة التصديق .قاعدة بيانات يتم الوصول إليها عن طريق الشبكة الداخلية أو عن طريق الدخول عن بعد .كل عملية وصول إلى قاعدة البيانات سواء كانت ناجحة أم لا يجب أن تتم مراقبتها، وإتباع الإجراءات الملائمة لها ، مثل إغلاق الحساب الذي أقام عدة اتصالات غير ناجحة. على أية حال، إغلاق حساب واحد سيعطل عدد كبير أيضا من الاستخدامات الشرعية، مما يعرض لإمكانية استخدامه كهجوم حجب الخدمة " denial of service attack" .  احد الحلول لهذه المشكلة هو إرسال المعلومات إلى الطرف الحقيقي. وكلمة المرور للحساب ينبغي تغييرها بشكل دوري , واستخدام أسلوب قوي للتصديق والتحقق من الهوية  سوف يقلل الفرصة للمهاجمين (2) .

4.2 المراجعة والأدوات التحليلية

المراجعة هي عملية لضمان أن قاعدة البيانات لم يدخلها احد غير مصرح له. إستراتيجية مراجعة حسابات قاعدة البيانات يجب أن تتضمن عمليات المراقبة لتصديق سلامة قواعد العمل المتبعة   ضمن التطبيق. (3) .
كما أن بعض قواعد البيانات المضمنة تحتوي على إضافات لمراجعة الحسابات، إلا أنها معقدة ولا يمكن أن توفر معلومات كافية لمراجعة الحسابات.

5- كيفية حماية قاعدة بيانات التجارة الإلكترونية

كما في التكنولوجيات الأخرى, نظام قاعدة البيانات ليست نظاما معزولا بل يعتمد على كثير من الأنظمة الأخرى. لذا فأمن قاعدة بيانات هو تعاون بين العديد من الأنظمة.
الصورة التالية (الشكل رقم 1) هو مخطط عادي لشركة التجارة الإلكترونية. كما هو مبين في الصورة هناك أربع طبقات أساسية للدفاع عن نظام قاعدة البيانات. هذه الأنظمة هي نظام التشغيل الموجود في قاعدة بيانات .
جدار الحماية وهي آلية تستخدم عادة لمنع التسلل من خارج الشبكة.  خادم الويب وتطبيقات الويب  توفر خدمات متعددة للمستخدم النهائي قبل الوصول إلى قاعدة البيانات. طبقة الشبكة الوسط الذي يتم فيه نقل البيانات.(4)

شكل رقم (1) :  مخطط لشركة التجارة الإلكترونية

5.1 طبقة نظام التشغيل

أمن نظام التشغيل هو جانب هام جدا في إدارات قاعدة البيانات. بعض الميزات القوية من أنظمة قواعد البيانات قد تسبب في  تكوين ثغرة  لنظام التشغيل الأساسي. ولذلك، ينبغي للمرء أن يدرس بعناية شديدة العلاقات بين خواص قاعدة بيانات ونظام التشغيل الخاص بها.
المسئول يجب أن يكون إعدادات نظام التشغيل أو يعدل حجم المخزن((buffer  والوقت، وبالتالي سوف يجنب هجوم حجب الخدمة .
يزود أكثر باعة نظام التشغيل رقع نظام (system patches ) بحرية وبسرعة إذا وجد أي ضعف على النظام.
هناك شيء آخر، والتي غالبا ما يتم تجاهله من قبل المسئول هو تحديث لنظام التشغيل مع التصحيحات الأخيرة للقضاء على أحدث الثغرات في النظام.

5.2   طبقة الشبكة  

عندما تَتصل تطبيقات الويب بقاعدة البيانات أَو المكونات الموزعة الأخرى، البيانات يجب أن ترسل خلال    الشبكة بما في ذلك الشبكة المحلية والإنترنت.
هناك نوعان من بث الشبكة الرئيسية , من المستخدم إلى خادم الويب ومن تطبيق الويب إلى خادم قاعدة  بيانات الويب . كلتا هذه الاتصالات يجب أن تجعل آمنة.
لسوء الحظ المسئول يمكن أن يضمن أمن الشبكة في المجال المحلي، لكن شبكة الإنترنت خارج عن سيطرته.
كيفية حماية الاتصالات على شبكة غير آمنة؟ إحدى التقنيات القوية هي التشفير. البيانات المشفرة وغير قابل للقراءة من الصعب للغاية تخمين أو فكها حتى لو اعترضها المهاجمين.  يمكن الحصول على النص من خلال فك الشفرات بواسطة مفتاح معين.
هناك طريقتان لتطبيق نظام التشفير في قاعدة البيانات. الأولى هو استخدام خيارات تشفير التي توفرها منتجات قاعدة البيانات ، والطريقة الأخرى هي شراء منتجات التشفير من الباعة الموثوقين .

5.3  خادم الويب

برامج تطبيقات الويب تختلف تماما عن  برامج التطبيق المشتركة في مجال الأمن ، والبرامج المشتركة لا تحتاج ميزات الأمان ,  بينما برنامج تطبيق الويب يتعلق بالأمن كثيرا. الخلل في تطبيقات الويب يصعب اكتشافه.  خادم ويب واقع بين خادم التطبيق وجدار الحماية ، والتي تحمي من الاختراقات الخارجية  فهو يستخدم كوسيط للوصول إلى البيانات المسموح الوصول إليها .
واجهة المعابر العامة (CGI) هو بروتوكول قياسي لربط تطبيق برمجي خارجي مع خادم الويب . يستخدم بشكل واسع في تطبيقات البرامج على شبكة الإنترنت في الوقت الحاضر. فهو طريقة بسيطة لتمكين خادم الويب أداء وظائف متنوعة .
(CGI) يمكن أن يكون بسيط كعداد صفحات الويب . كما يمكن أن تكون معقدة مثل قراءة مدخلات من المستخدم البعيد ،ثم يمكن معالجة المدخلات لتكوين استعلام في قاعدة البيانات المحلية ، بعدها يقوم باسترجاع  قاعدة البيانات ،  و (CGI)  يقوم بإرجاع النتيجة للمستخدم.
ومع ذلك، فإنه أمر خطير لأن (CGI) تسمح لتطبيقات البرمجيات ليتم تنفيذها داخل خادم الويب (5) .
بيرل هي لغة شعبية للـ (CGI) لأنها سهلة لبناء التطبيقات وتحليل مدخلات المستخدم. ومع ذلك فان بيرل توفر بعض أوامر النظام القوية، والتي يمكن استخدامها من قبل المستخدمين لأغراض خبيثة .

5.4  جدار الحماية  

جدار الحماية هي الطبقة الأكثر أهمية لمنع التسلل من خارج النظام. يوجد في جدار الحماية ملفات لتعقب المهاجمين حيث يقوم بتسجيل أي دخول مشبوه .
جدار الحماية هي مجموعة أنظمة في مكان معين من الشبكة تشكل معاً تطبيقاً لجدار حماية. تلك  يمكن أن تتكون من جهاز واحد أو عدة أجهزة على سبيل المثال عدة جدران حماية وأنظمة لاكتشاف الاختراق وخوادم وكيله.

5.5  خادم قاعدة البيانات

خوادم قاعدة البيانات هي الأساس الذي تقوم عليه كل الأعمال الإلكترونية والمالية وتخطيط موارد المؤسسات وكثيرا ما تتضمن معلومات حساسة مأخوذة من شركاء الأعمال والعملاء.
من وظائف خادم قاعدة بيانات باستخدام الخدمة التي تقدمها أنظمة التشغيل.   بعض الممارسات الأمنية الجيدة هي :
• استخدام العديد من كلمات المرور للوصول إلى الخادم.
• استخدام كلمة مرور مختلفة للعمليات الأخرى.
• كل المعاملات على خادم قاعدة البيانات يجب أن تسجل في سجل .
• تغيير اسم المستخدم وكلمة السر. ولا نستخدم اسم المستخدم و كلمة السر الافتراضية .
• يجب عمل  نسخ احتياطية للنظام وذلك تفاديا لخسارة المعلومات في حال تعطل النظام بطريق الخطأ.

يجب أن يكون الملف الذي يدير الوصول إلى خدمة قاعدة البيانات محتفظ به  في نسخ متعددة. كل نسخة توكل إلى مجموعة معينة من المستخدمين. عضو واحد  من كل مجموعة فقط يمكنه الحصول على الملفات .

6. الخاتمة

وفي الختام نجد أن أصول الشركة أو المنظمة تخزن على شكل رقمي في قواعد البيانات على الانترنت. أمن قاعدة البيانات يشكل عنصرا حاسما في إدارة أصول المشاريع في هذه الأيام. كما أن حماية قاعدة البيانات هو حماية الوصول إلى المعلومات الحساسة للشركة وأصولها الرقمية.
أمن قواعد البيانات مثل أنظمة الأمن الأخرى تضمن سرية المعلومات وتوافرها ودقتها (صحتها). أمن قاعدة البيانات يمكن التحكم بها  في طبقات مختلفة. المراجعة فيها أمر بالغ الأهمية، ولكن من الصعب تحليلها. و الأدوات التحليلية سوف تكون عونا كبيرا في المستقبل.
هناك العديد من الطبقات لحماية قاعدة البيانات.  تلك الطبقات ينبغي أن تتعاون معا من أجل الحصول على الحماية الكافية. كما أن التصديق والتشفير يلعبان دورا هاما جدا في امن قاعدة البيانات .

7 - المراجع

 A-  Internet Security Systems, Securing Database Servers,
http://documents.iss.net/whitepapers/securingdbs.pdf
B-  Ghosh Anup K., Why Firewalls May Not Protect Your Corporate Assets, 1997
http://www.cigital.com/anup/firewall.html

C- White B.Gregory, computer system and network security, 1996
D- Tianmin Qu , Database Security in Assets of Companies ,   
http://www.tml.tkk.fi/Studies/T-   110.501/2001/papers/tianmin.qu.pdf
E-  Gardner Keith, Is your web server secure ,1999
http://www.gt.ed.net/keith/cgi/security.html

المصدر: مركز التميز لأمن المعلومات
ahmedkordy

خدمات البحث العلمي 01009848570

  • Currently 20/5 Stars.
  • 1 2 3 4 5
6 تصويتات / 5308 مشاهدة

أحمد السيد كردي

ahmedkordy
»

ابحث

تسجيل الدخول

عدد زيارات الموقع

30,767,793

أحمد السيد كردي

موقع أحمد السيد كردي يرحب بزواره الكرام free counters