در دنیای امروز بسیاری از کسب و کارها بر مبنای اطلاعات بنا شده است، اهمیت دسترسی به اطلاعات بر هیچکس پوشیده نیست و محافظت همه جانبه از اطلاعت امری اجتناب ناپذیر.
- باید مراقب بود اطلاعات توسط افراد غیر مجاز مورد استفاده قرار نگیرید
- باید مراقب بود هرکس فقط به اطلاعاتی که مورد نیازش است دسترسی داشته باشد
- باید مراقب بود اطلاعات به صورت غیر مجاز دستکاری نشود
و بسیاری از بایدهای دیگر وجود راهکارهای محافظت از اطلاعات را ضروری مینماید. بدیهی است محافظت از اطلاعات باید در لایهها و سطوح مختلفی از جمله در شبکه، سیستم عامل و نرم افزار و غیره انجام پذیرد. اما موضوع مورد نظر در این بخش معرفی برخی راهکارهای ارائه شده توسط اوراکل برای محافظت از بانک اطلاعاتی است که در ادامه به آن پرداخته میشود.
امنیت در اوراکل
امنیت در لایه بانک اطلاعاتی نیازمند یک استراتژی و برنامه مدون و دقیق است که بر اساس آن نیازهای امنیتی شناخته شده و برای هریک راهکار مناسب پیاده سازی شود.
رعایت نکات امنیتی در پیکربندی بانک اطلاعاتی، اعطای دسترسی مناسب به کاربران، اطمینان از پیکربندیهای مناسب برای اتصلات، رمز نگاری حساس، نصب وصلههای امنیتی از جمله وظایف مدیران بانک اطلاعاتی برای پاسخگویی به نیازهای امنیتی میباشد.
به شواهد آمار بانک اطلاعاتی اوراکل یکی از قدرتمند ترین بانکهای اطلاعاتی به لحاظ تواناییهای امنیتی میباشد. این بانک با ارائه مجموعه وسیعی از امکانات بسیاری از نیازهای امنیتی را تا حد بسیار زیادی پوشش میدهد. بکارگیری دقیق این راهکارها میتواند درصد بالایی از امنیت را بدنبال داشته باشد. در ادامه به معرفی برخی از این راهکارها پرداخته شده است.
- Oracle ADVANCE SECURITY
Oracle Advance Security یکی از گزینههای نگارش Enterprise اوراکل میباشد. این راهکار همانطور که در شکل زیر نشان داده شده است 3 امکان زیر در اختیار قرار میدهد.
- 1.Transparent Data Encryption
Transparent Data Encryption که به اختصار بنام TDE نیز شناخته میشود یک راه کار ساده و شفاف (Transparent) برای رمز نگاری یا Encryption اطلاعات حساس میباشد. از مهمترین مزیتهای این راهکار عدم نیاز به تغییر در برنامه کاربردی (Application)است. در این روش اطلاعات مورد نظر قبل از نوشته شدن در دیسک رمز نگاری شده و قبل از خواندن رمز گشایی میشوند. استفاده از این راهکار تاثیر بسیار ناچیزی در کارایی بانک اطلاعاتی خواهد داشت.
TDE الگوریتمهای استاندارد شامل AES, Triple DES را پشتیبانی میکند. نگارش اولیه TDE در اوراکل 10gR2معرفی شده که در آن رمزنگاری برای جداول و ستونهای آنها ممکن بود. در اوراکل 11gR1 رمزنگاری درسطحTablespace نیز پشتیبانی شد که به علت سادگی و عدم وابستگی به نوع ستونهای جداول استفاده از آن توصیه شده و پیش فرض اوراکل میباشد.
- 2.Network encryption
با استفاده از این امکان میتوان اطلاعات ارسالی بین سرور بانک اطلاعاتی و کلاینتها را با الگوریتمهای استاندارد مانند AES, Triple DES و RC4 رمز نگاری نمود. این مکانیزم همچنین از Secure Sockets Layer (SSL) پشتیبانی مینماید.
- 3.Strong authentication
رمزهای عبور معمولی عموما مکانیزمهای سختگیرانه ای برای اعتبارسنجی نیستد. Strong Authentication با استفاده از مفاهیم امنیتی مانند Ticket ،card، PIN entry و Token عملیات اعتبارسنجی را انجام میدهد. برخی تکنیکهای Strong Authentication اجازه میدهند که اعتبارسنجی چند فاکتوره را بکار ببریم. Oracle Advance Security انواع مختلفی از تکنیکهای Strong Authentication را پشتیبانی میکند از جمله
- Kerberos
- PKI (certificate-based authentication and encryption)
- RADIUS (Remote Authentication Dial-In User Service)
2. Oracle Databese Vault
تحقیقات نشان میدهد بیش از 80درصد دسترسیهای غیر مجاز به اطلاعات از طریق کارمندان داخلی شرکتها انجام میشود همچنین 65 در صد تهدیدات داخلی شناسایی نمیشوند.Oracle Database vault عمومیترین راه کار برای مقابله و جلوگیری از تهدیدات داخلی و کاهش خطرات آن میباشد. از جمله کاربردهای آن جلوگیری از دسترسی کاربران با دسترسی بالا در سطح دیتابیس (DBA)بدون دسترسی از طریق Application میباشد.
با استفاده از این راهکار امکان تعریف دسترسیهای مجزا و تفکیک وظایف فراهم میگردد به بیان دیگر با بکارگیری آن به طور دقیق تعیین میگردد چه کسی، چه زمانی، کجا و چگونه میتواند به اطلاعات دسترسی داشته باشد. در شکل زیر نمایش داده شده است که DBA بانک اطلاعاتی نمیتواند برخی از کارها را که از وظایف او تفکیک شده است را انجام دهد.
3. Virtual Private Database
این راهکار در اوراکل 8i معرفی گردید. با استفاده از آن امکان سیاستگذاری برای دسترسی به دادهها در سطح سطرها و ستونهای جداول فراهم میگردد. به بیان دیگر میتوان برای هر کاربر تعیین کرد به چه بخشی از دادههای موجود در Tableها، Viewها و Synonymها دسترسی داشته باشد. بعنوان مثال میتوان برای یک کاربر تعریف نمود در جدول مربوط به حقوق کارمندان در صورت استفاده از دستورSelect فقط به اطلاعات برخی از کاربران خاص دسترسی داشته باشد و حقوق سایر کارمندان برای او نمایش داده نشود. همچنین با استفاده از این راهکار میتوان دسترسی به دادهها را به ساعت خاصی در روز محدود نمود بعنوان مثال کاربران فقط در ساعت اداری به دادهها دسترسی داشته باشند.
با فرض پیاده سازی VDP، در شکل زیر کاربر در جدول dept فقط به دادههایی که depno آنها برابر 30 میباشد دسترسی دارد. بر همین اساس علی رغم اجرای دستور Select * from Dept فقط دادههایی را در نتیجه مشاهده مینماید که Deptno آنها برابر 30 است.
4. Oracle Label Security
از این امکان بعنوان یک ابزار قدرتمند و در عین حال ساده برای کنترل دسترسی به دادههای جداول پس از طبقه بندی و برچسب زدن بر روی انها استفاده میگردد. با این روش سطرهای حاوی دادههای حساس را میتوان از دسترس افراد حتی با داشتن دسترسی بر روی جداول بانک اطلاعاتی خارج ساخت. به بین دیگر هر کاربر در صورت پرس و جو از جدول فقط دادههایی را که به طبقه بندی آن دسترسی دارد را مشاهده مینماید.
5. Oracle Secure Backup
این ابزار یک سیستم مدیریت یکپارچه برای تهیه backup حفاظت شده بر رویTape میباشد که از مزایای آن میتوان به موارد زیر اشاره نمود
- ایجاد Backup امن با استفاده از مکانیزم کدگذاری256 AES در سطح سیستم عامل
- یکپارچگی با محیط Oracle Enterprise Manger و RMAN
- بهبود کارایی پشتیبان گیری بین 10 تا 25%
6. ORACLE AUDIT VAULT AND DATABASE FIREWALL
اولین خط تدافعی برای بانک اطلاعاتی بوده و امکان ممیزی (Audit) یکپارچه را بین سیستم عامل و بانک اطلاعاتی فراهم مینماید.
از مزایای آن میتوان به موارد زیر اشاره نمود
- شناسایی و جلوگیری از حملات SQL injection
- محیط کاربری آسان برای مشاهده و تحلیل نتایج ممیزیها
- شناسایی خودکار فعالیتهای بدون مجوز که امنیت را تهدید مینماید
ورود به سایت