القائمة الرئيسية

الصفحات

تعديل المشاركة

تقنيات امن المعلومات المحسنة في قاعدة البيانات اوراكل

عمار الاضرعي
(0)

 تطبيق تقنيات امن المعلومات المحسنة في قاعدة البيانات اوراكل

استخدام التشفير

1- تقدم الأوراكل إمكانية تشفير حقول مخصصة من البيانات في الجداول وذلك بغرض منع الوصول الغير مخول الى البيانات المشفرة في حال تم تسريب نسخة من بيانات العميل الى خارج بيئة العمل وتضمن هذه التقنية عدم استرجاع الجداول التي تحتوي على أعمدة مشفرة الى قواعد بيانات أخرى في حالة عدم وجود او تطابق المفتاح الأمني المستخدم للتشفير

2- التشفير في الأساس يكون للحقول التي تحتوي على بيانات حساسة بالنسبة للشركة او المؤسسة مثل كلمات المرور وأرقام حسابات البنوك ومبالغ العمليات وأرقام بطائق التأمين الصحي 

3- نقترح ان يتم استخدام التشفير على حقل إضافي يتم أضافته في كل الجداول وذلك للحماية من استرجاع النسخ الاحتياطية في قواعد بيانات أخرى

4- في حال استخدام التشفير لن يستطيع المستخدم تصدير البيانات باستخدام EXP وانما باستخدام EXPDB وهذه تعتبر ميزة أخرى لما للاداة الأولى من عيوب وقصور تم معالجتها وتوسيع الوظائف في الأداة الثانية.

5- متطلبات استخدام التشفير في قاعدة البيانات

a. مفتاح التشفير:يتم انشاء مفتاح التشفير من قبل أداة إضافية في الاوراكل ORACLE WALLET MANAGER ويتم تخزين هذا المفتاح مشفرا باستخدام كلمة مرور من المستخدم كملف في القرص الصلب وتسمح هذه الأداة بنسخ المفتاح احتياطيا الى اكثر من مكان, وأيضا قد يتم انشاء هذا المفتاح باستخدام الشهائد الرقمية -وفي هذه الحالة بالإمكان ان تتولى الشركة مهمة اصدار الشهادات الرقمية للعملاء

b. ربط قاعدة البيانات مع مفتاح التشفير ويتم الربط باستخدام كلمة مرور أيضا .

c. إضافة حقول مشفرة على مستوى الجداول ويتطلب ذلك تحديد خوارزمية التشفير المستخدمة مع إمكانية تغيير كلمة مرور التشفير على مستوى كل عملية

6- لن تتغير الإجراءات العادية للتعامل مع البيانات المشفرة حيث ان التشفير يكون للتخزين فقط اما اثناء الاستعراض او الاضافة والتعديل فستكون بيانات عادية وتتولى قاعدة البيانات مهمة التشفير وفك التشفير بدون تدخل المستخدم 

7- محاذير استخدام هذه التقنية

a. الحذر الوحيد هو إمكانية فقدان مفتاح التشفير او نسيان كلمات المرور المستخدمة لتشفير مفتاح التشفير او المستخدمة للربط بين قاعدة البيانات ومفتاح التشفير 

b. ولتفادي المحذورات السابقة بالإمكان تطبيق مايلي

i. ابلاغ العميل بضرورة نسخ مفتاح التشفير الى اكثر من مكان ويكون احد هذه الأماكن مستقل تماما عن بيئة العمل 

ii. توفير إمكانية لرفع مفاتيح التشفير لقواعد بيانات العملاء الى نظام إدارة علاقات العملاء الخاص بالشركة

iii. كلمة المرور الخاصة بتشفير المفتاح تكون خاصة بالعميل فقط ويتم إدخالها من قبل العميل وتوثيقها مكتوبة والاحتفاظ بها في مكان امن 

iv. كلمة المرور الخاصة بربط مفتاح التشفير مع قاعدة البيانات تكون كلمة مرور عامة ويتم تخزينها مشفرة في المستخدم العام لانة سيتم الاحتياج لها عند كل مرة يتم فيها تشغيل قاعدة البيانات

v. يضاف الى عقود المبيعات الخاصة بالنظام الذي يستخدم التشفير ان كلمات المرور الخاصة بمفتاح التشفير تكون مسئولية العميل ولا تتحمل الشركة أي مسئولية عن فقدانها , وكذلك على ان الشركة تقدم خدمة اختيارية لتخزين مفاتيح التشفير للبيانات في نظامها العام للمساعدة في الاحتفاظ بالمفاتيح في مكان امن 

8- يتم تطبيق هذه التقنية بشكل خاص بالاعتماد على طبيعة نشاط العميل مثل البنوك والصرافة والشركات الكبيرة ويكون ذلك بعقد إضافي توضح فية كل الميزات والمحاذير وتحديد مسئولية كل طرف وتوفير الاجراء اللازم في النظام عند تطبيق التشفير وهو بإضافة حقل مشفر وتصنيف الحقول ذات الأهمية العالية التي يمكن تشفيرها أيضا وتوفير ميزة ربط قاعدة البيانات مع مفتاح التشفير عند بدء تشغيل قاعدة البيانات

قواعد البيانات الافتراضية 

1- تقدم الاوراكل تقنية خاصة بحماية البيانات في الجداول من القراءة او الكتابة للمستخدمين الغير مخولين وتسمى هذه التقنية VIRTUAL PRIVATE DATABASE VPD

2- يتم تطبيق وإدارة هذه التقنية من قبل النظام الذي يستخدم قاعدة البيانات وذلك بغرض التوفيق بين صلاحيات مستخدمي قاعدة البيانات وصلاحيات مستخدمي التطبيق

3- الفجوة الكبيرة بين مستخدمي قاعدة البيانات ومستخدمي النظام حيث انه بالإمكان التحكم بصلاحيات مستخدمي قاعدة البيانات على مستوى قاعدة البيانات والتطبيق ولكن مستخدمي التطبيق يضل تطبيق صلاحياتهم مقصورة على التطبيق فقط وعند الوصول الى قاعدة البيانات لايتم تطبيق أي صلاحية

4- هذه التقنية تزيل الفجوة السابقة واصبح بلامكان التحكم بصلاحيات أوسع للقراءة والكتابة لمستخدمين التطبيق على مستوى قاعدة البيانات أولا ومن ثم على مستوى التطبيق .

5- استخدام هذه التقنية يقلل من العبث بالبيانات في حال تم الوصول الى قاعدة البيانات من الأدوات التي تستخدم لادارة قاعدة البيانات

6- استخدام هذه التقنية يوفر إمكانية لمنع الوصول الى البيانات عند اختراق قاعدة البيانات او الوصول لها من نظام او تطبيق غير مصرح

7- هذه التقنية توفر مستوى امن او دفاع إضافي عند محاولة المستخدم تجاوز الصلاحيات المحددة في النظام وبالتالي سوف يتم منعه من قاعدة البيانات

8- تطبيق قواعد البيانات الافتراضية

a. تعتمد قواعد البيانات الافتراضية على المعلومات التي سيتم توفيرها في الجلسات الخاصة بالمستخدمين .

b. وبالتالي لابد من توسيع الاعتماد على البيانات في الجلسات واسناد كل المعلومات الضرورية التي سيتم الاعتماد عليها لتحديد مستوى الوصول للبيانات مثل رقم مستخدم التطبيق والشاشة التي تستخدم هذه الجلسة وكذلك اللغة ومفتاح الأمان الخاص بالنظام 

c. يتم انشاء سياسة وصول يتم تطبيقها على  جدول معين في قاعدة البيانات وربط هذه السياسة مع الدالة الخاصة بتقييم الصلاحيات.

d. يتم انشاء FUNCTION خاصة بتطبيق الصلاحيات ويتم في هذه الدوال فحص معلومات المستخدم الحالي بناء على المعلومات المخزنة في الجلسات ومن ثم اختيار الاجراء المناسب ويتم تحديد الاجراء بإضافة شروط إضافية على الاستعلام لتطبيق صلاحيات إضافية 

e. القيمة العائدة من الدوال السابقة هي الشروط الإضافية والذي ستقوم قاعدة البيانات تلقائيا بدمجها بكل الاستعلامات او الإضافة والحذف والتعديل 

f. يتم تطبيق هذه التقنية على مستوى الجدول ويستطيع المستخدم ان يحمي البيانات على مستوى الصفوف او الاعمدة

g. يتم تطبيق سياسات الوصول التي تم تعريفها على كل المستخدمين ماعدا المستخدمين الذين يملكون صلاحية SYSDBA

تصنيف وتقسيم البيانات

1- تقدم الاوراكل تقنية ORACLE LABEL SECURITY لغرض تقسيم وتصنيف البيانات المخزنة في جداول قاعدة البيانات على أساس امني.

2- يستخدم هذا التقسيم بغرض تحديد مستوى حساسية البيانات في هذا الصف وبناء على هذا التقسيم سوف يتم تحديد معايير الوصول المناسبة

3- تستخدم الاوراكل مستويات متعددة لتقسيم وتصنيف البيانات وبالتالي تتيح للمطور تطبيق مستويات وصول متعددة بناء على مستوى حساسية البيانات والمستوى الأمني للمستخدم.

4- لم يعد استخدام هذه التقنية اجراء إضافيا في الأنظمة ا وانها تقنية غير محبذة ولكنها أصبحت جزءا من المعيار العالمي لمتطلبات التحكم بالوصول للبيانات في قاعدة البيانات وبالأخص في المؤسسات الحكومية

5- تقدم الاوراكل ثلاثة مستويات أساسية لتصنيف وتقسيم البيانات بما يتلائم مع حجم المؤسسة وتعدد أنشطتها واختلاف مستوى الحساسية في البيانات وهي

6- المستويات LEVELS: وتعتبر المستوى الأول من التصنيف الأمني وتستخدم للتعبير عن مستوى الحساسية الأمنية للبيانات مثل سري وسري للغاية ومهم وعادي

7- COMPARTMENTSالتصنيفات: وتعتبر المستوى الثاني من التصنيف الأمني وتستخدم للتعبير عن تصنيف البيانات على أساس وضيفي او ارتباطات البيانات مثل نوع العملية 

8- GROUPS: وتعتبر المستوى الثالث من التصنيف الأمني وتستخدم للتعبير عن تقسيم البيانات على أساس هيكلي  او جغرافي مثل الفروع والأنشطة والمخازن

9- يتم تصنيف المستوى الأمني للصفوف باستخدام LABEL وهو عبارة عن سلسلة نصية مكونة من ثلاثة اقسام تعبر عن المستوى و التصنيفات و المجموعات حيث انة يمكن تعريف LABELS الملصقات بعدد الاحتمالات الممكنة للدمج بين الثلاثة المستويات الأمنية المذكورة سابقا 

10- يتم ربط المستخدمين بالمستويات الأمنية المعرفة مسبقا وتحديد صلاحية القراءة والكتابة كما يلي

a. ربط المستخدمين بالمستويات : يتم تحديد اعلى مستوى للكتابة وادنى مستوى وكذلك اعلى مستوى للقراءة وتحديد المستوى الافتراضي على مستوى الجلسة والسجل

b. ربط المستخدمين بالتصنيفات: يتم تحديد تصنيفات الكتابة وتصنيفات القراءة والتصنيفات الافتراضية على مستوى الجلسة والسجل

c. ربط المستخدمين بالمجموعات: يتم تحديد مجموعات الكتابة ومجموعات القراءة والمجموعات الافتراضية على مستوى الجلسة والسجل

d. ربط المستخدمين مع الملصقات: يتم تحديد اعلى وادنى ملصق للكتابة والقراءة وكذلك الملصقات الافتراضية على مستوى الجلسة والسجل

11- تقدم الاوراكل إمكانية تغيير المستخدم على مستوى الجلسة وذلك للتعامل مع المستخدمين الوكلاء PROXY USERS وذلك لاستخدامهم للتعبير عن مستخدمين النظام

12- يتم تعريف سياسات امنية مختلفة ويتم تحديد هوية السياسة الأمنية من خلال تعريف مستويات التصنيف والملصقات وربطها مع المستخدمين حيث تعتبر السياسة الأمنية هي العنصر الأساس في هذه التقنية

13- يتم تطبيق السياسات الأمنية المعرفة مسبقا على مستوى المستخدم في قاعدة البيانات وبالتالي سوف تؤثر على كل الجداول او على مستوى جدول محدد

14- عند محاولة المستخدم الوصول الى البيانات سوف يتم تطبيق السياسة الأمنية المرتبطة بالجدول حيث تستخدم قاعدة البيانات TRIGGERS و VPD لفرض وتطبيق السياسة الأمنية على البيانات المطلوبة

15- تقدم هذه التقنية إمكانية تصنيف الإجراءات والحزم البرمجية والدوال المخزنة في قاعدة البيانات على أساس امني حيث تمكنها من تنفيذ عملها بغض النضر عن السياسة الأمنية المفروضة على مستوى الجدول وتستخدم هذه الفكرة لتلك الدوال التي تستخدم للعد او التجميع او إجراءات الصيانة وحزم العمل الداخلي للنظام حيث انة لاينتج عن هذه المكونات تسريب للبيانات

16- هذه التقنية لايتم اعدادها بشكل افتراضي عند تحميل الاوراكل وانشاء قاعدة البيانات ولكنها تتطلب إجراءات خاصة وبسيطة لتفعيلها

17- بعد تفعيل هذه التقنية يتم انشاء مستخدم في قاعدة البيانات خاص بها ويحتوي على كل الدوال والحزم البرمجية اللازمة لاعداد وتشغيل هذه التقنية وأيضا تحتوي على جداول أساسية وجداول عرض تلخص الاعدادت الخاصة بالسياسات والتصنيفات الأمنية والملصقات

18- يعتبر استخدام هذه التقنية مؤثرا وعاملا أساسيا في قياس الأداء لعمليات قاعدة البيانات وبالتالي يفضل الاعتماد عليها في حالة ان VPD لاتلبي المتطلبات الأمنية وأيضا على مستوى محدود من الجداول .

19- يتم تطبيق السياسات الأمنية على كل المستخدمين ماعدا المستخدمين الذين يملكون صلاحية SYSDBA

20- متطلبات تطبيق هذه التقنية:تعتبر كل النقاط السابقة هي متطلبات التقنية في قاعدة البيانات اما على مستوى النظام فلابد من 

a. انشاء سياسة واضحة لتقسيم البيانات وكيفية تصنيفها بمعنى ان نحدد المستويات والتصنيفات والمجموعات

b. ربط مستخدمين النظام مع التصنيفات الأمنية وتحديد صلاحية القراءة والكتابة

c. توليد الملصقات بالاعتماد على مستويات التقسيم الامني

d. إدارة السياسات الأمنية وتفعيلها او توقيفها على مستوى الجداول

e. التعديل في الاستيراد والتصدير للبيانات عند عمل النسخ الاحتياطي حيث يتطلب ذلك مستخدما خاصا يملك كل الصلاحيات لانة يتم تطبيق السياسات الأمنية على النسخ الاحتياطي وبالتالي لن يتم تصدير الا تلك الصفوف التي يستطيع المستخدم قرائتها

f. اما في حالة الاستيراد فإنة لايمكن تصدير محتويات المستخدم الخاص بهذه التقنية مما يتعذر انشائة في قاعدة البيانات الجديدة ولابد من توفير الية إضافية لتصدير كل مايخص التصنيف الأمني والملصقات والسياسات كملف SCRIPT ومن ثم تطبيقة اول على قاعدة البيانات التي يتم الاستيراد اليها ومن ثم استعادة النسخة الاحتياطية

g. التعديل على جمل الادخال والتعديل لتتضمن قيم الملصقات المرتبطة بالبيانات المحددة لان الملصق الأمني سوف يصبح عمودا في الجدول الذي يطبق السياسة الأمنية ولابد من تعبئتة بقيمة محددة لكي تتم عملية الادخال او التعديل

h. تعريف مستخدمين النظام كمستخدمين في قاعدة البيانات وكلاء للمستخدمين الحقيقين وذلك لسهولة تطبيق السياسات الأمنية بحسب المستخدم الوكيل.


author-img
خريج بكالوريوس حاسوب قسم نظم المعلومات الإدارية خبير في مجال التسويق والتجارة الإلكترونية مهتم بالتدوين وكتابه المحتوى الذي اتمنى ان يستفيد منه كل من يزور هذه المدونه

أخر المواضيع من قسم : أمن المعلومات

تعليقات

إرسال تعليق

التنقل السريع