امروزه اهمیت و کاربرد روزافزون سیستمهای اطلاعاتی بر کسی پوشیده نیست و از آن جا که حیات این سیستمها وابسته به حجم انبوهی از دادهاست، نیازبه استفاده از سیستمهای مدیریت پایگاه داده انکار ناپذیر می باشد.
چون داده ها از ارزش بسیار بالایی برخوردار هستند تهاجمات زیادی برای تخریب و یا دسترسی غیر مجاز به آنها صورت می گیرد و بنابراین نیاز به روشهایی است که بتواند امنیت را در پایگاههای داده برقرار سازد.
به طور کلی امنیت پایگاه داده به مجموعه سیاستها و مکانیزمهایی گفته می شودکه محرمانگی، جامعیت و دسترس پذیری را برای داده ها به وجود آورده و آنها را در برابر حملات عناصر داخلی و خارجی محافظت نماید.
هرچند که این موضوع در کشورهای توسعه یافته جزو مباحث روز بوده و به پیشرفتهای بسیار نائل شدهاند.
هنوز این مبحث در کشورایران بسیار نوپا و جوان است .
بانک های اطلاعاتی ، در دسترس همگان :
یکی از ضعف های سایت های ایرانی دسترسی آسان کاربران به بانک های اطلاعاتی آنهاست .
شاید بسیاری از برنامه نویسان نسبت به رفع ضعف های امنیتی ناشی از تزریق دستورات SQL اقدام کرده باشند .
اما زمانی که بانک های اطلاعاتی خود را به سهولت در اختیار کاربران قرار می دهند .
آنگاه یک کاربر به سادگی می تواند از طریق دریافت بانک اطلاعاتی نام کاربری و کلمه عبور سایت را بدست آورده و وارد مدیریت سایت شود .
متاسفانه گاهی در این بانک های اطلاعاتی اطلاعات گرانبهایی نیز گنجاده شده است که ارزشمند تر از ورود به بخش مدیریت آن سایت است .
برای نمونه در یکی از سایتهای اینترنتی ایرانی که اقدام به فروش online کارتهای اینترنتی کرده است به سادگی با دریافت بانک اطلاعاتی توانستم به بیش از 500 کلمه عبور و نام کاربری کارتهای اینترنت و فون تو فون دسترسی پیدا کنم .
متاسفانه منشا این مشکل و ضعف نه برنامه نویسان سایت بلکه میزبانان سایت ها هستند .
عدم ایجاد شاخه ای مختص بانک های اطلاعات در خارج از دایرکتوری وب باعث آن می شود که صاحبان سایتها به ناچار بانک های اطلاعاتی خود را در جایی بر روی دایرکتوری وب خود قرار دهند .
در چنین حالتی نیز بانک اطلاعاتی قابل دریافت از طریق پروتکل http می باشد .
چندین سایت معتبر ایرانی که شاید از نظر ارزش اطلاع رسانی دارای ارزش بالایی نیز باشند جزو سایتهایی هستند که دارای این ضعف بزرگ می باشند در زیر نام چند سایت را که بانک های اطلاعاتی آنها به سهولت در دسترس همگان است را معرفی می کنم اما برای حفظ امنیت این سایت ها از گفتن آدرس بانک اطلاعاتی آنها خودداری می کنم چون بانک های اطلاعاتی این سایتها دارای اهمیت ویژه ای می باشند :
- http://www.jahaneghtesad.com
- http://www.irannewsdaily.com
- http://www.kanoonparvaresh.com
- http://www.akunews.com
اما یک سایت دیگر نیز دارای این مشکل می باشد اما از آنجهت که در بانک اطلاعاتی آن مطلب مهمی را پیدا نکردم برای نمونه و آشنایی بیشتر خوانندگان آدرس کامل بانک اطلاعاتی آن را معرفی می کنم:
- http://www.iranagahi.com/mdbdir/iranagahi.mdb
شاید عدم دقت به نکات ساده و نه نکات پیچیده سایت های ایرانی را از این ناامنی که از آن رنج می برند نجات دهد که بدون شک منجر به نجات اطلاع رسانی و کمک به ارتقا سطح دانش اطلاع رسانی کشور خواهد شد .
اما از سوی دیگر این نقطه ضعف تنها در مورد بانک های اطلاعاتی مبتنی بر فایل وجود دارد و در بانک های اطلاعاتی همچون MS SQL و MySql ما شاهد چنین ضعف هایی نیستیم .
پس برای بالابردن سطح ایمنی سایت خود در صورتی که با اطلاعات مهمی سر و کار دارید به شما توصیه می کنم که از بانک های اطلاعاتی مبتنی بر فایل استفاده نکنید .
اما در مورد سایتهایی که مجبور به استفاده از چنین بانک های اطلاعاتی می باشند توصیه می کنم که از نوشتن کلمه های عبور به صورت Text در بانک اطلاعاتی خودداری کنند و از اسکریپت های Encode کردن کلمه عبور استفاده نمایند .
الگوریتم های زیادی برای encode کردن کلمه های عبور وجود دارند اما شاید بسیاری از آنها به سادگی قابل فهم باشند و تاثیر چندانی بروی کار شناسایی کلمه عبور توسط نفوذگر نداشته بانشد .
پس توصیه می کنم از الگوریتم هایی استفاده کنید که برگشت ناپذیر می باشند تا امکان دسترسی نفوذگر به اصل کلمه عبور از مسیر بازگشت در الگوریتم را از وی سلب کنید .
برخی از دوستان با ارسال نامه و یا در سایتهایشان انتقاد کرده اند که مسائل مطرح شده توسط من روش های هک نیست !
جالب است بدانید بر طبق گزارشی تزریق توسط SQL در سال گذشته منجر به نفوذ در بیش از 180 سایت بزرگ خارجی بوده است .
نفوذگران برای ورود به سایت ها از نقاط ضعف آنها استفاده می کنند و این مهم نیست که این نقطه ضعف امکان تزریق SQL باشد یا قابلیت دریافت بانک اطلاعاتی و یا وجود پورت های باز بر روی سرور میزبان !
نفوذ گر به دنبال ساده ترین راهها نفوذ هست .
نفوذ را هیچگاه پیچیده تصور نکنید .
یکی از ضعف های سایت های ایرانی دسترسی آسان کاربران به بانک های اطلاعاتی آنهاست .
متاسفانه گاهی در این بانک های اطلاعاتی اطلاعات گرانبهایی نیز گنجاده شده است که ارزشمند تر از ورود به بخش مدیریت آن سایت است .
برای نمونه در یکی از سایتهای اینترنتی ایرانی که اقدام به فروش online کارتهای اینترنتی کرده است به سادگی با دریافت بانک اطلاعاتی توانستم به بیش از 500 کلمه عبور و نام کاربری کارتهای اینترنت و فون تو فون دسترسی پیدا کنم .
متاسفانه منشا این مشکل و ضعف نه برنامه نویسان سایت بلکه میزبانان سایت ها هستند .
در چنین حالتی نیز بانک اطلاعاتی قابل دریافت از طریق پروتکل http می باشد .
چندین سایت معتبر ایرانی که شاید از نظر ارزش اطلاع رسانی دارای ارزش بالایی نیز باشند جزو سایتهایی هستند که دارای این ضعف بزرگ می باشند در زیر نام چند سایت را که بانک های اطلاعاتی آنها به سهولت در دسترس همگان است را معرفی می کنم اما برای حفظ امنیت این سایت ها از گفتن آدرس بانک اطلاعاتی آنها خودداری می کنم چون بانک های اطلاعاتی این سایتها دارای اهمیت ویژه ای می باشند : - http://www.jahaneghtesad.com - http://www.irannewsdaily.com - http://www.kanoonparvaresh.com - http://www.akunews.com اما یک سایت دیگر نیز دارای این مشکل می باشد اما از آنجهت که در بانک اطلاعاتی آن مطلب مهمی را پیدا نکردم برای نمونه و آشنایی بیشتر خوانندگان آدرس کامل بانک اطلاعاتی آن را معرفی می کنم: - http://www.iranagahi.com/mdbdir/iranagahi.mdb شاید عدم دقت به نکات ساده و نه نکات پیچیده سایت های ایرانی را از این ناامنی که از آن رنج می برند نجات دهد که بدون شک منجر به نجات اطلاع رسانی و کمک به ارتقا سطح دانش اطلاع رسانی کشور خواهد شد .
اما از سوی دیگر این نقطه ضعف تنها در مورد بانک های اطلاعاتی مبتنی بر فایل وجود دارد و در بانک های اطلاعاتی همچون MS SQL و MySql ما شاهد چنین ضعف هایی نیستیم .
پس برای بالابردن سطح ایمنی سایت خود در صورتی که با اطلاعات مهمی سر و کار دارید به شما توصیه می کنم که از بانک های اطلاعاتی مبتنی بر فایل استفاده نکنید .
اما در مورد سایتهایی که مجبور به استفاده از چنین بانک های اطلاعاتی می باشند توصیه می کنم که از نوشتن کلمه های عبور به صورت Text در بانک اطلاعاتی خودداری کنند و از اسکریپت های Encode کردن کلمه عبور استفاده نمایند .
الگوریتم های زیادی برای encode کردن کلمه های عبور وجود دارند اما شاید بسیاری از آنها به سادگی قابل فهم باشند و تاثیر چندانی بروی کار شناسایی کلمه عبور توسط نفوذگر نداشته بانشد .
پس توصیه می کنم از الگوریتم هایی استفاده کنید که برگشت ناپذیر می باشند تا امکان دسترسی نفوذگر به اصل کلمه عبور از مسیر بازگشت در الگوریتم را از وی سلب کنید .
برخی از دوستان با ارسال نامه و یا در سایتهایشان انتقاد کرده اند که مسائل مطرح شده توسط من روش های هک نیست !
نفوذ را هیچگاه پیچیده تصور نکنید .
مرکز داده دولت امریکا به منظور ارتقای ضریب ایمنی مراکز اطلاعاتی خود بانکهای اطلاعاتی و کارگزاران شبکه ( Servers ) خود را در مکانهای با ا منیت بالا نگهداری میکند.
بعضی از این اماکن محوطههای وسیعی در اعماق کوههای راکی، در نقاط پنهانی از اعماق صحرا ها ی نوادا وآریزونا، در زیر یخچالهای آلاسکا و در اعماق اقیانوسها میباشند.
این نقاط با شدیدترین تدابیر امنیتی حفاظت میشو ند از طرف دیگر پیشبینیهای ایمنی تهدیدات فیزیکی ، از جمله آتش سوزی و بلایای طبیعی را به حداقل رسانده است.
تجهیزات حفاظتی ، امکان دستبرد و یا آسیب هوشمندانه فیزیکی را کاهش داده است.
در این اماکن خطوط متعدد فیبرنوری با پهنای باند بالا بالاترین سرعت انتقال داده و اطلاعات را تأمین میکنند.
تجهیزات پرسرعت مانند سوپر کامپیوترها ( Main Frame ) و پردازندههای بسیار سریع و موازی بالاترین سرعت دسترسی را در اختیار میگذارند.
سیستمهای پیشرفته تنظیم دما و حرارت، تنظیم رطوبت و کنترل ترکیبات هوای محیط بهینهترین شرایط را برای کار تجهیزات مهیا می سازند و تجهیزات مانیتورینگ دقیق، لحظه به لحظه وضعیتهای مختلف را کنترل و بازنگری میکن ن د.
بناهای مستحکم در اعماق زمین نه تنها توان تحمل شدیدترین زلزلهها را دارند، بلکه در مقابل قویترین بمبهای هستهای موجود آسیبی نمیبینند.
سیستمهای پشتیبان، از اطلاعات در فواصل زمانی مشخص بر طبق آخرین تکنیکهای موجود نسخههای پشتیبان تهیه میکنند.
ژنراتورها و مولد های قوی برق( UPS )، آماده تأمین نیروی برق لازم در صورت بروز اختلال میباشند و پوششهای مخصوص، تجهیزات را از تهدید امواج مختلف از قبیل امواج ماکروویو و یا میدانهای الکترومغناطیسی خارج ی یا تولید شده از خود تجهیزات محافظت میکنند.
به هر یک از این مراکز، مرکز دادهای ( Data Center ) گفته میشود.
در کنار هر مرکز دادهای دو مــــرکـــز دیـــگـــر آمـــاده انجام عملیــات میباشنــــد.
یــکـــی مرکز بازیافت اطلاعات آسیب دیده ( Disaster Recovery center ) است که فعالیتهای آنها در قالب کلی بازیافت داده ( Data Recovery ) میگنجد که خود مقوله بسیار مهمی است که از ضروریترین نیازهای هر ارگان و تشکل مرتبط با اطلاعات میباشد.
مرکز دوم مرکز کنترل و فرمان است که مدیریت انسانی مرکز دادهای را به عهده دارد ، در این مرکز افرادی با تخصص بالا و با دستمزدهای بسیار بالا کار میکنند.
بانکها اطلاعاتی و سرورهای مربوط به زیرساختهای این کشور از قبیل شبکه برق، آب و نیز اطلاعات شرکتها ی دولتی ی ا خصوصی حساس مثل شرکتهای اسلحهسازی و یا اطلاعات بانکها در این مراکز نگهداری میشود.
ایده مرکز داده ( Data Center ) در سطوح پایینتر و با درجه حساسیت کمتر نیز پیاده شده است.
به طوری که امروزه شرکتهایی وجود دارند که با فراهم آوردن اماکنی که بعضی از امتیازات فوق را دارند در ازای دریافت اجارهبها اطلاعات فردی یا سازمانها را میزبانی میکنند و خدمات مورد نظر آنها را با کیفیتی بسیار بهتر در اختیار مشتریان قرار می د هند.
سایتهای خارجی دفتر در چبه صورت خلاصه مزایای استفاده از مراکز داده عبارتند از: نین محیطهایی قرار داده شدهاند.
• امنیت فیزیکی بالا • امنیت الکترونیکی بالا • مقابله با افزونگی و تکرار اطلاعات • ارائه بالاترین سرعت پردازش در یک مکان • ارائه بالاترین سرعت انتقال اطلاعات • خرید تنها یک نسخه از نرمافزارها • پشتیبانی متمرکز اگر از مراکز داده استفاده نشود و هر سازمانی بانک اطلاعاتی خود را در شبکه داشته باشد، به تعداد سازمانها نیاز به تیم پشتیبانی جداگانه، نرمافزار جداگانه، سختافزار جداگانه، پهنای باند جداگانه، امنیت جداگانه و ...
خواهیم داشت که سر بار هزینهای بالایی دارد.
به نظر میرسد ایده Data Center به دلیل تأمین کارایی و امنیت بالا و جلوگیری از افزونگی، سهولت نگهداری و مدیریت و بسیاری جنبههای فنی دیگر ، در تحقق اهدافی همچون دولت الکترونیکی، ایدهای کارساز باشد.
امنیت بانکهای اطلاعاتی امروزه ادامه حیات و عملکرد موفقیتآمیز سازمانها, بستگی کامل به دادهها و اطلاعاتی دارد کهدر اختیار دارند.
تصور ادامه فعالیت سازمانهای این عصر، بدون اطلاعاتی که بتوانند به آن اتکا کنندغیرممکن است.
این ذخیرههای ارزشمند در بانکهای اطلاعاتی گوناگونی ذخیره میشوند و مثل هر اندوخته گرانبهای دیگری نیازمند مراقبت و محافظت دائمی هستند.
گرچه در حال حاضر بانکهای تجاری با بکارگیری فن آوریهای نوین, دارای سرویسهای دائمی وشبانه روزی هستند, ولی تصور کنید که در شروع یک روز کاری, مسئولین مربوطه با این پیام روبرو شوندکه اطلاعات موجود در بانکهای اطلاعاتی را از دست دادهاند یا دریابند که این مخازن اطلاعاتی حاویاطلاعات نادرستی هستند, درصورت عدم برنامه ریزی دقیق و امکان بازیافت اطلاعات، ادامه کار عادیسازمان مختل خواهد شد.
در تأمین امنیت بانکهای اطلاعاتی و اطلاعات ارزشمند آنها مراحل مختلفی باید در نظر گرفته شوند.
جمع آوری دادهها: در این مرحله، چگونگی جمع آوری اطلاعات و دادهها و نحوه کسب آنان و جلوگیری از انتشار اطلاعات, بایستی توسط مسئولین مربوطه مورد بررسی عمیق قرار گیرد تا اطلاعاتی لازم, کافی, بجاوصحیح جمعآوری گردد.
ویرایش دادهها: ویرایش کافی اطلاعات، تائید و صحت آنها سبب میشود که بانکهای اطلاعاتی ار طریق استفاده از دادههای صحیح و مناسب تکمیل شوند و اطلاعات از سازگاری و جامعیتی مناسب برخوردار گردند.
در این مرحله میتوان با بکارگیری روشهای ویرایشی, از وارد شدن اطلاعاتی که خارج از محدوده لازمهستند، جلوگیری نمود و یا حتی از وقوع برخی خرابکاریها یا دستکاریها پیشگیری کرد.
بهنگام نگهداشتن دادهها: بانکهای اطلاعاتی در صورتی قابل استفاده هستند که حاوی اطلاعاتی بهنگام, سازگار و جامعباشند.
مسئولین نگهداری آنها باید تمهیدات لازم را در این مورد بکار گیرند, در اختیار داشتن اطلاعاتیناقص و قدیمی, تفاوت چندانی با دراختیار نداشتن اطلاعات ندارد.
تهیه نسخههای پشتیبانی: تهیه نسخههای پشتیبانی کافی و مناسب در دورههای زمانی از پیش تعیین شده نقش عمدهای درحفاظت و ایمنی بانکهای اطلاعاتی بازی میکند و در صورت فقدان اطلاعات, مدت غیرفعال شدنسیستم را میتواند به حداقل ممکن برساند.
تدوین برنامههای بازیابی جهت بکارگیری در هنگام وقوع حوادث و مشکلات: مسئولین نگهداری بانکهای اطلاعاتی بایستی آمادگی لازم را برای مقابله با مشکلات احتمالیداشته باشند و قبل از وقوع حوادث پیش بینیهای لازم را نموده باشند, حتی بصورت آزمایشی اقدام بهانجام مراحل مختلف بازیابی اطلاعات نمایند.
تهیه گزارشات کنترلی حفاظتی دورهای: از اطلاعات جمع آوری شده در بانکهای اطلاعاتی بایستی بصورت دورهای گزارشاتی تهیه شود تا مسئولین حفاظت و ایمنی با بررسی موارد مشکوک و غیرعادی به حل مسائل بپردازند.
بررسی محدودهقابل قبول اقلام اطلاعاتی موجود یا تغییرات بیش از حدود قابل پیش بینی, از جمله مواردی است کهمیتواند در شناسایی خرابکاریها یا دستکاریهای عمدی یا خطاهای ناشی از عملکرد غلط برنامههاکمک کند.
حفاظت بانکهای اطلاعاتی در شبکههای کامپیوتری: کمتر بخشی از جامعه مثل بخش مالی با مسأله حفاظت اطلاعات روبروست.
چنین بخشهایی باید در مقابل سرقت و یا خطا محافظت شوند.
از طرفی با جهانی شدن شبکههای اطلاع رسانی وارتباطات کامپیوترها با یکدیگر از طریق شبکههای جهانی، بسیاری از شرکتها و سازمانها با مقوله دیگریاز حفاظت اطلاعات روبرو شده یا خواهند شد و آن مسأله حفاظت اطلاعات موجود در شبکه محلی, در قبال دسترسیهای غیرمجاز خارج از شبکه مورد نظر میباشد.
حفاظت دادههای حساس در هنگام نقل و انتقالهای الکترونیکی: برخی از اطلاعات حساس مثل شمارههای حسابهای بانکی افراد, اطلاعات شخصی حساس,شمارههای شناسایی و رمزهای ورود، حین نقل و انتقالهای الکترونیکی میتوانند مورد تجاوز قرار گیرند,بکاربردن احتیاطهای لازم در این زمینهها از اهمیت بالایی برخوردار است.
تهیه گزارش اعمال [1] تغییرات: تدوین برنامه هایی برای ردیابی و ثبت چگونگی اجرای برنامهها و اعمال تغییرات در بانکهای اطلاعاتی, میتواند کمک مناسبی برای مسئولین حفاظت باشد.
سیستم مدیریت بانک اطلاعاتی[2]: معرفی سیستمی جهت مدیریت بانک اطلاعاتی یک اثر پایدارکننده و تحکیم بخش برروی بانکهای اطلاعاتی داشته است.
و نقطه دستیابی متمرکزی به دادهها فراهم شده است.
زیرا همهدرخواستهای دستیابی و اعمال تغییرات در دادهها بوسیله این سیستم اجرا میشود, این درجه از کنترل, تسهیلاتی را برای مدیریت دادهها و افزایش حفاظت آنها فراهم میآورد.
مدیر بانک اطلاعاتی برای کنترل بانک ا طلاعاتی از روالهای مهمی باید استفادهکند که برخی ازآنها به شرح زیر میباشند: · کنترل روی تعریف دادهها[3] - وظیفه این روال اطمینان از تطابق داده با تعریف آن در طول مدت نگهداری آن است.
·کنترل دستیابی [4] - وظیفه این روال حفاظت داده از دستیابی توسط اشخاص غیرمجاز است.
·ردیابی[5] - وظیفه این روال ردیابی و بازرسی برای اطمینان از محرمانه بودن دادههای نگهداری شده است.
دستیابی بوسیله مکانیزم کنترل دستیابی صورتمیگیرد وحوادث مرتبط با آنمیتواند بوسیله این روال توسط مدیر بانک اطلاعاتی درصورت لزوم بررسی و پیگیری و بازبینی گردد.
·کنترل بروز بودن[6] - این روال اطمینان میدهد که کاربر با مجوز مناسب مقادیر داده را تغییر دهد.دو سطح مجاز به این منظور وجود دارد سطح اول اضافه کردن داده و سطح دوم اصلاح و حذف داده است.
· کنترل همزمانی[7] این روال بوسیله کنترل برنامههای همزمان که عمل به روز رسانی را اجرا میکنند، تمامیت و درستی بانک اطلاعاتی را فراهم میسازد.
مخاطرات بانک اطلاعاتی[8] : فن آوری بانک اطلاعاتی, فعالیتهای جدیدی را در سازمان معرفی میکند.
این فعالیتها شامل وظایف مدیر بانک اطلاعاتی نیز میشود.
تغییر فعالیتها و وظایف, به معنی پذیرفتن بعضی از مخاطرات است.
همراهبا مزایای فراوان این فنآوری, مخاطرات استفاده از آن نیز مطرح میشود که از آنجمله میتوان به موارد زیر اشاره نمود: · ورود دادههای ناصحیح یا ناقص به بانک اطلاعاتی ·عدم ورود دادهها طبق زمانبندی و توالی مربوطه ·عدم تشخیص خطاهای مرتبط با یکپارچگی بانک اطلاعاتی ·اجرای نادرست برنامه تغییرات در بانک اطلاعاتی ·وجود مشکلات و خرابیهای ناشناخته در بانک اطلاعاتی ·قطع زنجیرها[9] یا نشانهگرهای[10] اطلاعاتی ·از دست دادن بخشی از بانک اطلاعاتی در هنگام سازماندهی مجدد آن ارزش رکوردها[11]: شناسایی اطلاعات حیاتی هر سازمان برای بقای آن ضروری است.
این اطلاعات فقط شامل رکوردهای اطلاعات مدیریتی, حسابداری و مالی نمیباشد, بلکه شامل اطلاعات محرمانه تجاری نیز هست.
به منظور تعیین این اطلاعات حیاتی پاسخ به این سئوال میتواند راهگشا باشد: " اگر سوابق اطلاعاتی غیر قابل دسترس یا استفاده شوند، آیا سازمان/ اداره/ واحد قادر به ادامه فعالیت خود خواهد بود ؟" به همین منظور [12] NFPA ، رکوردها را به چهار دسته زیر تقسیم کرده است: · رکـوردهای حیاتی ( کلاس I ): این رکوردها در عملیات نقش کلیدی دارند, غیرقابل جایگزینی هستند یا بلافاصله بعد از هر حادثهای مورد نیاز میباشند, و نمیتوان آنهارا بسرعتبازیابینمود.
· رکـوردهای مهم (کلاس II) : این رکوردها در عملیات نقش کلیدی دارند, اما میتوان آنها را درزمان لازم بازیابی نمود.
· رکوردهای مفید (کلاس III) : از دست دادن این رکوردها موجب گرفتاری و دردسر است, اما از دست دادن آنها از عملیات جلوگیری نمینماید و قابل بازیابی میباشند.
· رکوردهای غیرلازم (کلاس : ( IVنیازی به بازیابی آنها درصورت ازدستدادنشان نمیباشد.
فهرست کنترل مدیریت رکوردها و امنیت بانک اطلاعاتی : (جدول 1) فهرست کنترل مدیریت رکوردها و امنیت بانکهای اطلاعاتی را ارائه مینماید.
جدول 1- مدیریت رکوردها و امنیت بانک اطلاعاتی 1.
Log 2.
Database Managment System (DBMS) 3.
Control over the data definition 4.
Access Control 5.
Audet trail 6.
Update Control 7.
Concurrency Control 8.
Database Risks 9.
Chains 10.Pointers 11.Value of Records 12.National Fire Protection Association محدودیتهای جدید برای سرپرستان پایگاههای داده Analysts Forrester Researcher پیش بینی کرده است که تهیه کنندگان، محصولات امنیتی برای دادهها را طی 12 تا 24 ماه آینده ارایه خواهند داد تا عملکرد و فعالیتهای سرپرستان پایگاه داده را کنترل کنند.
Forrester Research همچنین خاطر نشان کرده است که سرپرستان پایگاه داده همیشه دسترسی کاملی به تمامی دادههای موجود در پایگاه داده خواهند داشت، حتی اگر این دادهها در دستهی دادههای خصوصی و مهم و حساس قرار داشته باشند.
اما با تمرکز امروز شرکتها بر روی امنیت شدیدتر و بیشتر برای آیتی، Forrester گفته است که لازم است کنترلی بر روی دسترسی سرپرستان پایگاههای داده به دادههای شخصی و خصوصی نظیر دادههای مالی، دادههای مربوط به سلامت افراد و یا کارتهای اعتباری وجود داشته باشد.
پیش بینی شده است که طی 12 تا 24 ماه آینده، سیستم مدیریت پایگاه داده و تهیه کنندگان third-party محصولاتی را عرضه خواهند کرد که بر روی نقش دادههای با چندین حق امتیاز و مزیت و ابزارهای امنیتی مربوطه که دسترسی سرپرستان را محدود میکند، تمرکز دارند.
Forrester به کاربران توصیه کرده است که از پایگاههای دادهای استفاده کنند که دارای دادههای خصوصی بوده و دارای محدودیتهایی برای تعداد سرپرستانی است که مدیریت چنین محیطهایی را بر عهده دارند.
Forrester انتظار دارد که نقش مدیر امنیتی دادهها به کسانی واگذار شود که در مقابل امنیت پایگاه داده احساس مسئولیت کرده و به دادههای شخصی و خصوصی نیز دسترسی نداشته باشند.
منابع: http://www.irandoc.com http://www.rooznegar.com http://www.ndc.ir http://www.etvto.ir http://www.srco.ir شمارهموردپاسخپاسخپاسخپاسخپاسخشمارهموردبلیبلیخیردردسترس نیستتوضیحات1آیا رکوردهای زیر مط ابق با دستهبندی NFPA طبقهبندی شدهاند:الف - رکوردهای ورودی؟----ب - مستندات منبع؟----ج - مستندات کنترل؟----د - فایلها؟----و - دادههای خارجی؟----2آیا آسیبها و تهدیدهای زیر قابل آشکارسازی هستند:الف - خطاهای دادههای ورودی؟----ب - خطاهای انتقال دادهها؟----ج - معایب مکانیکی؟----د - خطاهای برنامهای؟----و - خطاهای اپراتور رایانه؟----ز - از دست دادن فایلها؟----ح - محیط مغناطیسی صدمه دیده؟----ط - سرقت رکوردها؟----ی - فعالیتهای محرمانه؟----ک - از دست دادن، بدلایل حوادث طبیعی؟----3آیا نسخههای دیگری از همه رکوردهای حیاتی نگهداری میشود؟----4آیا فهرستی از فایلهای حیاتی نگهداری میشود؟----5آیا قابلیت بازسازی از فایلهای کاغذی و مغناطیسی وجود دارد؟----6آیا استفاده روزانه فایل و تراکنش مربوطه ثبت میشود؟----7وقتی از فایلهای مغناطیسی نسخهبرداری میشود آیا بررسیهای زیر صورت میگیرد:الف - قابلیت اطمینان؟----ب - دقت؟----8آیا قفسههای نگهداری محیطهای مغناطیسی قابلیتهای زیر را دارند:الف - ضد آتش؟----ب - ضد دود؟----ج - ضد آب؟----د - قابل حمل و نقل در صورت وقوع حوادث؟----هـ – امن؟----و - مناسب برای استفاده؟----9آیا از رکوردهای حساس، پشتیبان نگهداری شده است؟----10آیا روالهای خاصی برای خارج کردن رکوردهای حیاتی در زمان اضطراری وجود دارد؟----11آیا دستیابی به اطلاعات بانکهای اطلاعاتی کنترل شده است؟----12آیا روشهایی برای تشخیص اینکه نسخه درستی از فایل بانک اطلاعاتی استفاده میشود، وجود دارد؟----13آیا دستگاههای پاک کننده مغناطیسی در محل امنی قرار داده شدهاند؟----14آیا برای محیطهای ذخیره مغناطیسی موارد زیر کنترل شدهاند:الف - محیط بدور از گرد و غبار؟----ب - محیط بدور از آتش، دود و آب؟ب - محیط بدور از آتش، دود و آب؟---ج - قابلیت قفل شدن در صورت لزوم؟ج - قابلیت قفل شدن در صورت لزوم؟---د - دستیابی کنترل شده؟د - دستیابی کنترل شده؟---هـ – ایجاد نسخههای پشتیبان؟هـ – ایجاد نسخههای پشتیبان؟---و - نگهداری جداگانه و کنترل شده فایلهای اطلاعات حساس؟و - نگهداری جداگانه و کنترل شده فایلهای اطلاعات حساس؟---ز - برچسب گذاری مناسب؟ز - برچسب گذاری مناسب؟---ح - وجود فهرستهای دورهای از محیطها؟ح - وجود فهرستهای دورهای از محیطها؟---ط - کنترلهای محیطی، سطوح امن برای رطوبت و حرارت؟ط - کنترلهای محیطی، سطوح امن برای رطوبت و حرارت؟---ی - محیط دور از پنجره و دستگاههای مغناطیسی؟ی - محیط دور از پنجره و دستگاههای مغناطیسی؟---