امنیت پایگاه داده: تهدیدات و چالش‌ها

مقدمه

امنیت پایگاه داده را می‌توان محافظت از محرمانگی/حساسیت داده ذخیره شده در یک مخزن در نظر گرفت. لایه‌های امنیتی مختلفی در پایگاه داده وجود دارد. این لایه‌ها عبارتند از: مدیر بخش مدیریت پایگاه داده، افسر امنیت (security officer)، توسعه دهندگان و کارمندان. مهاجم می‌تواند امنیت پایگاه داده را در هر کدام از این لایه‌ها به خطر اندازد.

مهاجمین

مهاجمین به سه دسته تقسیم می‌شوند:
۱. مزاحمین
مزاحم کاربری غیرمجاز است که به صورت غیرقانونی به سیستم رایانه دسترسی دارد و بدنبال استخراج اطلاعات باارزش است.
 
۲. کارمندان داخلی
کارمند داخلی کسی است که متعلق به گروهی از کاربران معتمد است اما از دسترسی خود استفاده نابجا می‌کند و تلاش دارد به اطلاعاتی علاوه بر آنچه که بدان نیاز دارد دست یابد.
 
۳. مدیر
مدیر کسی است که مجوز مدیریت سیستم رایانه‌ای را دارد اما از این مجوز به صورت غیرقانونی و برخلاف خط مشی امنیتی سازمان برای جاسوسی در DBMS و بدست آوردن اطلاعات باارزش استفاده می‌کند.

مهاجم بعد از شکستن سطوح محافظتی، تلاش بر انجام یکی از حملات می‌کند:

حملات


۱. حملات مستقیم
حمله مستقیم به معنی مورد حمله قرار دادن هدف به صورت مستقیم است. این حملات، حملات مشهودی هستند و فقط در صورتی که پایگاه داده هیچگونه مکانیزم محافظتی را پیاده سازی نکرده باشد موفق خواهد بود. اگر این حمله موفق نباشد، مهاجم از طریق حملات غیرمستقیم وارد می‌شود.
 
۲. حملات غیرمستقیم
حملات غیرمستقیم، حملاتی هستند که مستقیماً روی هدف اجرا نمی‌شوند اما از طریق یکسری شیء میانی دیگر، می‌توان به اطلاعاتی از یا درباره هدف رسید. ردیابی این حملات مشکل است.
همچنین، حملات روی پایگاه داده می‌تواند به حملات فعال (attack) و غیرفعال (passive) تقسیم بندی شود:

الف) حمله غیرفعال:
مهاجم در حمله غیرفعال داده‌ای را که در پایگاه داده است فقط مشاهده می‌کند. حمله غیرفعال می‌تواند به صورت یکی از روش‌های زیر انجام شود:
۱. نشت استاتیک:
در این نوع حمله، بوسیله مشاهده تصویر لحظه‌ای (snapshot) در زمانی خاص، می‌توان اطلاعاتی را درباره مقادیر متن ساده (plaintext) بدست آورد.
 
۲. نشت پیوندی:
در اینجا، بوسیله برقراری ارتباط بین مقادیر پایگاه داده با مکان آن مقادیر در ایندکس، اطلاعاتی درباره مقادیر متن ساده قابل دستیابی است.
 
۳. نشت پویا:
در این نوع، تغییراتی که در بازه‌های زمانی روی پایگاه داده انجام می‌شود، قابل مشاهده و تحلیل است و می‌توان اطلاعاتی را درباره مقادیر متن ساده بدست آورد.
ب)حملات فعال:
در حمله فعال، مقادیر پایگاه داده واقعی تغییر یافته است. این نوع حملات بدلیل فریب کاربر پیچیده‌تر هستند. به برخی از روش‌های انجام این نوع حمله در ذیل اشاره می‌شود:
۱.  کلاهبرداری (spoofing):
در این نوع حمله، مقدار متن رمز بوسیله یک مقدار تولید شده جایگزین شده است.
 
۲. پیوند زدن (splicing):
در اینجا، مقدار متن رمز بوسیله متن رمزی متفاوت جایگزین می‌شود.
 
۳. تکرار:
تکرار نوعی از حمله است که در آن مقدار متن رمز با یک متن رمز قبلی جایگزین می‌شود.
در ادامه تهدیدات و چالش‌های مختلف در امنیت پایگاه داده بحث می‌شود.
 

تهدیدات امنیتی روی پایگاه داده


‌أ- استفاده نابجا از دسترسی‌های اضافی
زمانی که کاربران (یا برنامه‌های کاربردی) علاوه بر آنچه بدان نیاز دارند مجوزهای دسترسی به پایگاه داده دارند، ممکن است از این مجوزها برای اهداف بدخواهانه استفاده کنند. به طور مثال، کاربری باید فقط امکان تغییر اطلاعات تماس کارمندان را داشته باشد اما ممکن است از دسترسی اضافه‌‌تری برای تغییر اطلاعات حقوقی کارمندان هم برخوردار باشد.
 
‌ب- استفاده نابجا از دسترسی‌های قانونی
استفاده نابجا از دسترسی‌های قانونی زمانی است که کاربر مجاز، از حقوق دسترسی قانونی که روی پایگاه داده دارد برای اهداف غیرمجاز استفاده می‌کند. به طور مثال، این استفاده نابجا می‌تواند به شکل انجام فعالیتی غیرقانونی توسط کاربران، مدیران شبکه یا مدیر سیستم و یا سوء استفاده از داده‌های حساس باشد.

منبع
1393/12/26
elibugy
700
حامیان جویشگر
  • Karapost - کاراپست
  • nozhan - نوژان
  • Elearnever - آکادمی مجازی ایرانیان
  • گروه کاربران لینوکس اصفهان
  • شهرک علمی و تحقیقاتی اصفهان