کارشناسان امنیت در هنگام محافظت از داده‌ها به چه نکاتی باید دقت کنند؟

محافظت از بانک اطلاعات به چه معنا است؟ 

منظور از محافظت از بانک اطلاعاتی، مجموعه اقداماتی است که سازمان‌ها برای اطمینان از عدم دسترسی افراد غیرمجاز به اطلاعات و محافظت از بانک‌های اطلاعاتی در برابر تهدیدات داخلی و خارجی انجام می‌دهند. تامین امنیت بانک اطلاعاتی، موارد مختلفی مثل محافظت از خود بانک اطلاعاتی، داده‌های ذخیره‌سازی شده در آن، سامانه مدیریت بانک اطلاعاتی و برنامه‌های کاربردی که قابلیت اتصال به بانک‌های اطلاعاتی را دارند شامل می‌شوند. در چند سال گذشته، آمار نگران‌کننده‌ای در ارتباط با نقض (Breach) اطلاعات و دسترسی غیرمجاز هکرها به اطلاعات منتشر شده‌ است. این نقض‌های داده‌ای به شهرت و اعتبار شرکت‌ها خدشه وارد می‌کنند. بر همین اساس، کشورها، قوانین سخت‌گیرانه‌ای برای محافظت از اطلاعات تصویب کرده‌اند که شرکت‌ها ملزم به رعایت آن‌ها هستند. به‌طور مثال، شرکت‌های عضو اتحادیه اروپا ملزم به رعایت قانون و مقررات عمومی حفاظت از داده‌ها (GDPR) هستند و در صورت بی‌توجهی به این قوانین مجبور هستند جریمه‌های سنگینی پرداخت کنند. 

بانک‌های اطلاعاتی با چه تهدیداتی روبرو هستند؟ 

از مهم‌ترین تهدیدات سایبری پیرامون بانک‌های اطلاعاتی باید به موارد زیر اشاره کرد: 

•  اولین تهدیدی که پیرامون بانک‌های اطلاعاتی قرار دارد، دسترسی غیرمجاز هکرها است. هکرها می‌توانند مجوزهای دسترسی به بانک‌های اطلاعاتی را تغییر دهند یا رکوردهای اطلاعاتی را دستکاری کنند. 
•  دومین تهدید از جانب نرم‌افزارهای مخرب، اسکریپت‌ها و بدافزارهایی است که به هکرها اجازه دسترسی غیرمجاز به سامانه‌های بانک اطلاعاتی را می‌دهند.
•  در شرکت‌هایی که مکانیزم‌های امنیتی قدرتمندی برای محافظت از زیرساخت‌ها پیاده‌سازی نکرده‌اند، انجام فعالیت‌های هکری باعث بروز مشکل سربار اضافی، عملکرد نادرست برنامه‌های مختلف و قطع دسترسی مدیر به سیستم می‌شود. بنابراین تهدید مهم دیگری که پیرامون بانک‌های اطلاعاتی قرار دارد عدم دسترسی مدیر بانک‌ اطلاعاتی یا افراد مرتبط با  بانک اطلاعاتی است. 
•  اگر سامانه یا سروری که بانک اطلاعاتی روی آن میزبانی شده است، آلوده به فایل‌های مخربی باشد که از سیستم حذف نشده‌اند، فایل‌های مخرب ممکن است آسیب‌های فیزیکی به سرور وارد کنند. این آسیب می‌تواند به معماری رید (Raid) هارددیسک‌ها وارد شود یا باعث گرمای بیش‌از‌اندازه سامانه شود. در هر دو حالت خرابی فیزیکی دور از انتظار نیست. 
•  تهدید دیگر پیرامون بانک‌های اطلاعاتی، عامل داخلی دارد. به‌طور مثال، کارمندی ممکن است در آستانه اخراج از شرکت باشد، از این‌رو سعی می‌کند اطلاعات را دستکاری کرده یا عملکرد مکانیزم‌های امنیتی را غیرفعال کند. در چنین شرایطی، بانک‌های اطلاعاتی در معرض تهدیدات سایبری قرار می‌گیرند. 

هکرها از روش‌های مختلفی برای نفوذ به بانک‌های اطلاعاتی و گذر از مکانیزم‌های امنیتی استفاده می‌کنند. برای اطمینان از این‌که بانک‌های اطلاعاتی امنیت نسبی داشته باشند، باید از روش‌ها و مکانیزم‌های مختلفی برای ایمن‌سازی آن‌ها استفاده کنید. برای تامین امنیت بانک‌های اطلاعاتی باید با مفاهیم مهم پیرامون آن‌ها آشنا شوید. 

محرمانگی در ارتباط با بانک‌های اطلاعاتی

حفظ محرمانگی اطلاعات (Confidentiality) اصل مهمی است که باید به آن دقت کنید و از طریق رمزنگاری اطلاعات ذخیره‌شده در بانک اطلاعاتی امکان‌پذیر است. 

در دنیای بانک‌های اطلاعاتی رمزنگاری به این صورت انجام می‌شود که تنها کاربران مجاز امکان خواندن داده‌ها را دارند و کاربران غیرمجاز قادر به مشاهده داده‌های حساس نیستند. امروزه، الگوریتم‌های رمزنگاری مختلفی مثل DES ،AES  و Triple DES برای حفظ اصل محرمانگی در بانک‌های اطلاعاتی استفاده می‌شوند.

یکپارچگی در ارتباط با بانک‌های اطلاعاتی 

یکپارچگی (Integrity) در ارتباط با بانک اطلاعاتی از طریق تنظیمات کنترل‌های دسترسی کاربری (UAC) پیاده‌سازی می‌شود. بر مبنای اصل فوق، کاربران برای دسترسی به اطلاعات باید دسترسی‌های مناسب داشته باشند. به‌طور مثال، ممکن است به کارمندی اجازه مشاهده رکوردها و تغییر بخش‌هایی از اطلاعات، مثل جزئیات شماره تماس داده شود، اما کارمند دیگری دسترسی‌های بیش‌تری مثل حذف رکوردهای اطلاعاتی داشته باشد. برای دستیابی به اصل یکپارچگی، به نکات مهم زیر دقت کنید: 

•  پس از نصب بانک اطلاعاتی، گذرواژه پیش‌فرض آن‌را تغییر دهید. همچنین، بررسی‌های دوره‌ای انجام دهید تا مطمئن شوید گذرواژه در خطر قرار نگرفته باشد. 
•  آن گروه از حساب‌های کاربری که استفاده نمی‌شوند را قفل کنید. اگر یک حساب کاربری دیگر استفاده نمی‌شود، آن‌را حذف کنید. 
• خط‌مشی‌های ویژه‌ای برای گذرواژه‌ها اتخاذ کنید. به‌طور مثال، گذرواژه دسترسی حساب‌های کاربری یا مدیریتی باید ماهانه تغییر کند. 
•  بررسی نقش‌ها و تنظیم دسترسی‌ها مهم است. مطمئن شوید، کاربران تنها به مواردی دسترسی دارند که مجاز به ‌استفاده از آن‌ها هستند. درست است که فرآیند فوق زمان‌بر است، اما اگر دسترسی‌ها به‌درستی تنظیم نشوند، افراد غیرمسئول دسترسی‌های سطح بالایی به بانک اطلاعاتی خواهند داشت. 
•  در شرکت‌های کوچک تنها یک نفر مسئول مدیریت بانک اطلاعاتی است، اما در سازمان‌های بزرگ چند مدیر روند نظارت بر بانک اطلاعاتی را انجام می‌دهند. از این‌رو، در چنین محیط‌هایی باید وظایف میان مدیران بانک اطلاعاتی تقسیم شوند.

دسترسی‌پذیری در ارتباط با بانک اطلاعاتی 

در یک محیط کارآمد، عملکرد بانک اطلاعاتی نباید متوقف شود و نرخ دسترس‌پذیری (Availability) در حد قابل‌قبول باشد. برای آن‌که نرخ دستر‌س‌پذیری در سطح مطلوبی قرار داشته باشد، پیشنهاد می‌شود اقدامات زیر را انجام دهید: 

•  محدود کردن میزان فضای ذخیره‌سازی برای کاربران در بانک اطلاعاتی.
•  اعمال محدودیت در تعداد نشست‌های (Sessions) موازی قابل اجرا برای هر کاربر بانک اطلاعاتی.
•  تهیه نسخه پشتیبان از داده‌ها در بازه‌های زمانی مختلف در راستای طرح بازیابی پس از فاجعه. 
•  پیاده‌سازی مکانیزم‌های امنیتی در بانک اطلاعاتی برای مقابله با آسیب‌های امنیتی.
•  استفاده از بانک‌های اطلاعاتی خوشه‌ای که دسترسی‌پذیری را بهبود می‌بخشند. 

کنترل دسترسی و رمزنگاری

کنترل دسترسی یکی از اصول مهم در ارتباط با ایمن‌سازی بانک‌های اطلاعاتی است. در کنترل دسترسی، هر داده‌ای که از/به بانک اطلاعاتی وارد/خارج می‌شود، رمزنگاری شده و غیرقابل خواندن می‌شود؛ مگر این‌که سرور بانک اطلاعاتی در شبکه‌ای امن قرار گرفته باشد و با شبکه‌های خارجی هیچ ارتباطی نداشته باشد و تعداد کمی از کاربران شناخته به آن دسترسی داشته باشند. در شرایطی که برخی سازمان‌ها با این موضوع موافق نیستند و این مدل رمزنگاری را سخت‌گیری بیش‌از‌اندازه می‌دانند، اما یکی از اصلی‌ترین گام‌هایی است که برای افزایش امنیت پایگاه داده باید برداشته شود. 

احراز هویت 

احراز هویت (Authentication) یکی دیگر از اقدامات مهمی است که برای تامین امنیت بانک اطلاعاتی باید از آن استفاده شود. در فرآیند احراز هویت، درخواست یا محاوره ارسالی توسط کاربران بررسی می‌شود. مدیران بانک اطلاعاتی می‌توانند از روش‌های مختلف برای پیاده‌سازی احراز هویت استفاده کنند. یکی از این روش‌ها احراز هویت چندعاملی (Multi-Factor) است. این فرآیند بر احراز هویت یک کاربر خاص و نحوه ورود او به سامانه متمرکز است. اگر از مکانیزم احراز هویت برای تعیین هویت کاربر در هنگام ورود به بانک اطلاعاتی استفاده نشود، هکرها می‌توانند از آسیب‌پذیری‌ها برای ورود به شبکه سازمان استفاده کنند و در ادامه از سد مکانیزم‌های امنیتی عبور کنند و به بانک‌های اطلاعاتی دسترسی پیدا کنند. البته، برای اعطای دسترسی و احراز هویت درست کاربر، می‌توان از روش‌هایی مثل احراز هویت دو مرحله‌ای (Two-Factor) و احراز هویت از طریق نام کاربری و گذرواژه استفاده کرد.

صدور مجوز 

صدور مجوز (Authorization) یکی دیگر از اقدامات مهمی است که باید به آن دقت کنید. این لایه امنیتی مشخص می‌کند یک کاربر شناخته‌شده برای سیستم به چه بخش‌هایی از بانک اطلاعاتی دسترسی داشته باشد. به‌طور مثال، می‌توان محدودیت‌هایی برای یک کاربر مشخص کرد و دسترسی او را تنها به یک نمای کلی از سیستم‌ محدود کرد. صدور مجوز به مدیران بانک اطلاعاتی کمک می‌کند به هر کاربر تنها مجوزهایی که برای انجام کارها نیاز دارد تخصیص داده شود. با استفاده از فرآیند صدور مجوز هیچ فرد غیرمجازی نمی‌تواند به بخش‌های مهم بانک اطلاعات دسترسی داشته باشد یا اطلاعات آن بخش‌ها را مشاهده کند. می‌توان سطح مجوز اختصاص داده شده به یک کاربر خاص را برای یک سازمان یا برنامه خاص، پیکربندی یا سفارشی‌سازی کرد.

محافظت از داده‌های در حالت سکون 

پس از اشتراک‌گذاری یا در دسترس قرار گرفتن داده‌ها توسط کاربر، این داده‌ها در بانک‌های اطلاعاتی مستقر در سرور باقی می‌مانند. مدیران شبکه از اصطلاح «داده‌های در حالت سکون» (Data At Rest) برای توصیف این مدل از داده‌ها استفاده می‌کنند. داده‌هایی که قرار است برای مدت زمان طولانی دست‌نخورده باقی بمانند. از این‌رو، مهم است تا از الگوریتم‌های رمزنگاری برای این داده‌ها استفاده شود. متاسفانه، برخی از شرکت‌ها نسبت به این موضوع مهم سهل‌انگار هستند. 

ممیزی و حسابرسی بانک اطلاعاتی

در صنعت امنیت سایبری اصل مهمی وجود دارد که می‌گوید امنیت یک مفهوم نسبی است و اگر سطح امنیت زیرساخت‌ها در وضعیت 99 درصد قرار داشته باشد، همان 1 درصد غیرایمن باید یک تهدید جدی در نظر گرفته شود. از این‌رو، مدیران بانک اطلاعاتی از ممیزی (Auditing) و حسابرسی استفاده می‌کنند. ممیزی کمک می‌کند اطلاعات دقیقی در مورد بانک اطلاعاتی کسب کنیم. به‌طور مثال، بررسی گزارش‌های ثبت‌شده توسط بانک اطلاعاتی کمک می‌کند هرگونه نشانه مشکوکی که ممکن است به یک تهدید بالقوه تبدیل شود را شناسایی کنیم. مدیران بانک اطلاعاتی باید گزارش‌گیری‌های ممیزی را مطالعه کنند و اطمینان حاصل کنند که سوابق همه تراکنش‌های انجام شده روی بانک‌های اطلاعاتی ثبت می‌شوند. 

مفهوم بازیابی در امنیت بانک اطلاعاتی

بازیابی (Recovery) را نمی‌توان به‌عنوان یک اصل امنیتی در نظر گرفت، اما نقش مهمی در پایداری و تداوم فعالیت‌های تجاری دارد. تهیه نسخه‌های پشتیبان از داده‌هایی که در بانک اطلاعاتی ذخیره می‌شوند ضروری است، زیرا اگر یک حمله هکری با موفقیت انجام شود، سیستم یا اطلاعات به‌طور کامل از بین می‌روند. همچنین، باید اطمینان حاصل شود فایل‌های پشتیبانی رمزنگاری شده‌اند و حداقل دو نسخه از آن‌ها در مکان‌های مختلف موجود هستند.

برای ایمن‌سازی بانک‌های اطلاعاتی چه ابزارهایی در دسترس هستند؟ 

هکرها می‌توانند از روش‌های مختلفی برای دسترسی غیرمجاز به اطلاعات مشتریان یک سازمان استفاده کنند. به‌طور مثال، در چند سال گذشته، شرکت‌های مهمی مثل یاهو، Slack، و Equifax با مشکل نقض داده‌ای روبرو شدند. همین مسئله باعث شد تا تقاضا برای نرم‌افزارهای امنیت سایبری و آزمایش برنامه‌های وب‌محور افزایش پیدا کند. این ابزارها با هدف محافظت از داده‌هایی طراحی شده‌اند که افراد با کسب‌و‌کارهای آنلاین به‌اشتراک می‌‌گذارند. از ابزارهای مهمی که برای تامین امنیت بانک‌های اطلاعاتی در دسترس قرار دارند باید به MSSQLMask، IBM Guardium، Scuba، Hexatier، Always Encrypted، AppDetectivePro، Gemalto SafeNet ProtectDB، Zenmap، BSQL Hacker، Imperva SecureSphere، SQLRecon، Mentis Suite، OScanner و DB Defence اشاره کرد. 

بانک‌های اطلاعاتی با چه مشکلات امنیتی روبرو هستند؟ 

بانک‌های اطلاعاتی با آسیب‌پذیری‌های مختلفی روبرو هستند. از این‌رو، مدیران بانک‌های اطلاعاتی باید در مورد این آسیب‌پذیری‌ها شناخت کافی داشته باشند. در ادامه به چند مورد از این آسیب‌پذیری‌های مهم اشاره می‌کنیم.

عدم انجام آزمایش امنیت قبل از مرحله استقرار

یکی از دلایل مهمی که باعث می‌شود هکرها در زمان کوتاهی موفق شوند بانک‌های اطلاعاتی را هک کنند، عدم توجه به مرحله استقرار (Deployment) در فرآیند توسعه است. با وجود این‌که آزمایش کارکرد (Functional Testing) برای کسب اطمینان از عملکرد نهایی انجام می‌شود، اما در صورت انجام عمل غیرمجاز توسط بانک اطلاعاتی، این نوع از آزمایش اطلاعات خاصی ارائه نمی‌کند. بنابراین، قبل از استقرار، باید آزمایش‌های مختلفی روی وب‌سایت انجام شود تا آسیب‌پذیری‌ها شناسایی شوند. 

رمزنگاری ضعیف و درآهم آمیختگی داده‌ها 

برخی تیم‌های توسعه و کارشناسان فعال در حوزه طراحی برنامه‌های کاربردی و وب‌محور، بانک اطلاعاتی را بخشی از بک‌اند (BackEnd) در نظر می‌گیرند و بیشتر روی تهدیداتی که از جانب اینترنت متوجه بانک‌های اطلاعاتی است متمرکز می‌شوند؛ این دیدگاه مشکل اساسی دارد. پروتکل‌ها و رابط‌های مختلفی در ارتباط با بانک‌های اطلاعاتی وجود دارند که در صورت وجود ضعف امنیتی، هکرها می‌توانند از آن‌ها سوء‌استفاده کنند. برای پیشگیری از بروز چنین شرایط بغرنجی، باید از پلتفرم‌های ارتباطی رمزنگاری‌شده مثل SSL و TLS استفاده کرد. 

سرقت نسخه‌های پشتیبان بانک‌های اطلاعاتی 

در حالت کلی، دو تهدید جدی پیرامون بانک‌های اطلاعاتی قرار دارند که امنیت بانک‌های اطلاعاتی را با چالش جدی روبرو می‌کنند. این تهدیدها ماهیت خارجی و داخلی دارند. در بیشتر موارد، یک شرکت با تهدیدهای داخلی مختلفی روبرو است که تعداد آن‌ها بیشتر از تهدیدهای خارجی است. ابزارهای مختلفی برای محافظت از بانک‌های اطلاعاتی در برابر تهدیدات خارجی وجود دارد، اما در ارتباط با تهدیدات داخلی باید روی تیزهوشی و نظارت مستمر بر عملکرد کارمندان متمرکز شوید. اگر کارمندان مسئولیت‌پذیری دارید و از نرم‌افزارهای امنیتی قدرتمندی استفاده می‌کنید، بازهم نمی‌توانید به‌طور قطعی و صددرصدی از وفاداری کارمندان اطمینان حاصل کنید. هر شخصی که امکان دسترسی به داده‌های حساس را دارد، می‌تواند اطلاعات را سرقت کند و در جهت منافع خود، آن‌ها را به رقبا بفروشد. برای افزایش امنیت بانک‌های اطلاعاتی و رفع مشکلات این‌چنینی، راه‌حل‌هایی مثل رمزنگاری آرشیوها، پیاده‌سازی استانداردهای امنیتی سفت‌وسخت برای دسترسی به فایل‌های بانک‌های اطلاعاتی و اعمال جریمه در صورت تخطی از قوانین در دستور کار قرار گیرد. 

ضعف در طراحی بانک‌های اطلاعاتی

آمارها نشان می‌دهند در بیشتر موارد، طراحی ضعیف عامل هک بانک‌های اطلاعاتی است. به‌طورکلی، هکرها می‌توانند اطلاعات کاربری و اعتبارات مربوطه را بشکنند و سیستم را مجبور به اجرای کدهای مدنظر خود کنند. انجام این‌کار پیچیده است، اما غیرممکن نیست. در واقع، هکرها از طریق ضعف‌های پایه در طراحی به بانک‌های اطلاعاتی دسترسی پیدا می‌کنند. برای حل این مشکل، می‌توان با آزمایش امنیت بانک اطلاعاتی، داده‌ها را از دسترسی شخص ثالث حفظ کرد و امنیت را افزایش داد. همچنین، هر چه بانک اطلاعاتی ساده‌تر طراحی شود، احتمال شناسایی مشکلات راحت‌تر می‌شود. 

زیرساخت پیچیده و ضعیف بانک اطلاعاتی

به‌طور کلی، هکرها بر مبنای یک برنامه چند مرحله‌ای به بانک‌های اطلاعاتی حمله می‌کنند و سعی می‌کنند ضعفی در زیرساخت بانک اطلاعاتی شناسایی کنند و از آن طریق سطح دسترسی‌ها را ارتقاء دهند تا در نهایت مجوز مدیریتی دریافت کنند و قادر به انجام هر کاری باشند. دقت کنید، نرم‌افزار‌های امنیت نمی‌توانند به‌طور کامل قابلیت محافظت از سیستم و شناسایی چنین دستکاری‌هایی را ارائه کنند، بنابراین بخشی از وظایف مدیر بانک اطلاعاتی بررسی گزارش‌ها و بررسی موارد مشکوکی است که در فایل‌های گزارش (Log) ثبت می‌شوند. همان‌گونه که اشاره شد، بهتر است زیرساخت کلی بانک اطلاعاتی پیچیدگی زیادی نداشته باشد، زیرا مانع از آن می‌شود تا ضعف‌ها شناسایی شوند و متاسفانه ضعف‌ها یا نادیده گرفته شده یا فراموش می‌شوند. 

دسترسی بدون محدودیت کاربران اجرایی

تقسیم وظایف میان کاربران اجرایی این اطمینان را می‌دهد که تنها افراد مسئول دسترسی بدون محدویت خواهند داشت. با استفاده از این رویکرد، سرقت داده‌ها توسط افرادی که در فرآیند مدیریت بانک اطلاعاتی مشارکت ندارند دشوار خواهد بود. البته اگر امکان محدود کردن تعداد حساب‌های کاربری مدیریتی وجود داشته باشد، شرایط بهتر می‌شود، زیرا شانس هکرها برای نفوذ به بانک‌های اطلاعاتی را سخت‌تر می‌کند. بنابراین، اگر قصد پیاده‌سازی یا مدیریت بانک‌های اطلاعاتی در امور مالی را دارید به این نکته دقت کنید. 

ناسازگاری 

یکی دیگر از مواردی که امنیت بانک اطلاعاتی را متزلزل می‌کند، وجود ناسازگاری است. راهکار برون‌رفت از این مشکل، انجام آزمایش‌های دوره‌ای وب‌سایت‌ها و برنامه‌های کاربردی است که قابلیت دسترسی به بانک اطلاعاتی را دارند. رویکرد فوق، ناسازگاری را کمتر می‌کند. در این حالت، اگر مغایرتی در سیستم شناسایی شد باید در کوتاه‌ترین زمان برطرف شود.