نظرة عامةمنذ الأيام الأولى للكتابة كان رؤساء وقادة
الدول والجيوش يوقنون بأهمية استخدام بعض الآليات ووسائل الكشف عن العبث
لحماية سرية المراسلات الخطية التي تحوي معلومات حساسة ومهمة متعلقة بسياسة
الدولة أو الجيش، وفي وقتنا هذا تزداد أهمية حماية المعلومات مع تطور
التكنولوجيا السريع وإمكانية الحصول عليها بسهولة وارتكاز أغلب الشركات
والمنظمات على معلومات سرية تخصها.
المنظمات أصبحت أكثر قلقا حول أمن
المعلومات خصوصا أن القيمة الجوهرية للبيانات في تزايد مستمر، ومع ذلك
غالبا ما يتم تجاهل أمر أمن قاعدة البيانات، وإدارة الأصول التنظيمية مثل
البيانات وبالإضافة أيضا إلى المخاوف تجاه أمن المعلوماتي هما من المجالات
الأساسية للتكنولوجيا التي لديها تأثير كبير على الشركات اليوم، على الرغم
من أنه غالبا ما يكون من الصعب وضع قيمة دقيقة على البيانات التي نقوم
بتخزينها ومع ذلك نحن نعلم أن للبيانات رصيدا قيما للغاية وأن المس أو
التعرض لمثل هذه المعلومات من الممكن أن يسبب ضررا كبيرا لسمعة رجال
الأعمال والشركات.
ونتيجة لذلك نحتاج لوضع إستراتيجية للأمن وضوابط
أساسية للتصدي لمخاطر أمن المعلومات وسنتحدث هنا عن كيفية حماية سرية
المعلومات في قواعد البيانات ومنع العبث بها أو تغييرها والمخاطر التي من
الممكن أن تهدد قواعد البيانات.
المقدمة:تعتبر قواعد البيانات ذات أهمية كبيرة
لتخزين البيانات ومعالجتها ومن ثم إخراجها بالشكل المطلوب وأيضا نظرا
لاعتماد معظم الجهات الحكومية والمنشآت الخاصة عليها في حفظ بياناتها
واسترجاعها، وبالمقابل فقد زاد انتشار جرائم السرقة للمعلومات في قواعد
البيانات لأهداف مختلفة إما لاستخدامها في الابتزاز وكسب المال من بيع
المعلومات الحساسة مثل بيع أرقام بطاقات الائتمان أو لبيان الاحتجاج على
أمر معين أو لأهداف شخصية أخرى.
ذكرت جريدة فايننشال تايمز في أحد إصداراتها:
"أكد
مصرف أتش أس بي سي العالمي أن موظفا فرنسيا سابقا استولى من فرع له في
سويسرا على بيانات تخص حسابات لنحو 24 ألفا من عملائه. لكنه استبعد تماما
استخدام البيانات المسروقة لاختراق تلك الحسابات.
ونقلت صحيفة فايننشال
تايمز أمس الخميس عن بيان للمصرف -الذي يعد الأكبر في أوروبا وله مقار
رئيسية في بريطانيا وهونغ كونغ وفروع في دول كثيرة- أن الاستيلاء على تلك
البيانات تم قبل ثلاث سنوات.
ولم يُكشف عن الحادثة إلا في ديسمبر/كانون
الأول الماضي حين فتح المدعى الاتحادي العام في سويسرا تحقيقا بناء على
إخطار من مصرف لبناني اتصل به الموظف السابق للتفاوض معه بشأن البيانات
التي في حوزته."[3]
وأيضا في استطلاع ذكر في جريدة الشرق الأوسط:
"أكثر من ثلث موظفي الشركات في حي المال في
لندن مستعدون لسرقة المعلومات الحساسة من شركاتهم، مقابل مبلغ سخي من
المال، وفقا لاستطلاع من مؤسسة «إنفوسيكيوريتي يوروب» المتخصصة في أمن
المعلومات في أوروبا، نشرت نتائجه أمس في لندن."[4]
ومن هنا يتضح لنا أهمية الأمن في قواعد
البيانات التي خصصنا هذه المقالة للتحدث عنها وتسليط الضوء على بعض
التهديدات التي تتعرض لها وكيف يمكن تجنبها.
ماذا تحمي في قواعد البيانات؟هدفنا الرئيسي من حماية قواعد البيانات هو
حماية المعلومات الموجودة فيها ولحمايتها يجب حماية الصفات الثلاث الرئيسية
التي ترتكز عليها المعلومات (السرية، السلامة، التوفر).
1- السرية:وهي ضمان أن الأطراف المسموح لها فقط يمكن
لها عرض البيانات، ويمكن تطبيق السرية من خلال تشفير المعلومات المخزنة في
قاعدة البيانات، يتم التشفير على مستويين مختلفين: التشفير على مستوى
البيانات العابرة أو التشفير على مستوى البيانات الثابتة.
• التشفير
على مستوى البيانات العابرة: وهو للمعلومات الحساسة التي تتحرك داخل الشبكة
ويمكن للمهاجم الوصول إليها من خلال التنصت.
• التشفير على مستوى البيانات الثابتة: وهو للمعلومات الحساسة المخزنة في قاعدة البيانات التي من الممكن للمهاجم اختراقها.
2- السلامة:وهي ضمان صحة البيانات وأنه لا يمكن لأي شخص
غير مصرح به أو البرامج الحاسوبية الضارة تغييرها. ولضمان السلامة يجب
إتباع هذه الخطوات:
• تغيير كلمة المرور حالما يتم الانتهاء من تثبيت قاعدة البيانات.
• إزالة حسابات المستخدمين التي ليست قيد الاستخدام.
• وضع سياسات لتعيين كلمات مرور قوية، مثل إجبار الموظفين على تغيير كلمة المرور بداية كل شهر.
• السماح للمستخدم فقط استخدام الوظائف المصرح له باستخدامها.
3- التوافر:على الرغم من حماية الحاسوب لتقييد محاولات
الوصول من قبل الأشخاص غير المصرح بهم، يجب أن لا تزال البيانات متاحة
للأشخاص المصرح لهم.
ولضمان التوفر يجب إتباع هذه الخطوات:
• تقييد مقدار مساحة التخزين التي تمنح لكل مستخدم في قاعدة البيانات.
• أخذ نسخ احتياطية للبيانات بشكل دوري لضمان استعادة البيانات في حالة فقدانها.
• تأمين قاعدة البيانات ضد الثغرات الأمنية.
كيف نحمي المعلومات؟يمكننا حماية الصفات الرئيسية للمعلومات عن طريق استخدام ضوابط الأمن:
1-
المنتجات وهي الضوابط المادية التي توفر الأمن اللازم برصد ومراقبة
البيئة في مكان العمل ومرافق الحوسبة التي تحوي على قاعدة البيانات، هذه
المنتجات من الممكن أن تكون بسيطة كأقفال الأبواب أو معقدة كأنظمة كشف
التطفل وجدار الحماية، وبذلك وفرنا الأمن المادي للبيانات.
2- الناس، فبدون تنفيذ الناس واستخدام المنتجات الأمنية بشكل صحيح لا يمكن أبدا أن تكون البيانات محمية.
3- الإجراءات، وهي عبارة عن الرقابة
الإدارية وتشمل الخطط والسياسات التي تضعها المنظمة لضمان أن الناس
يستخدمون المنتجات بشكل صحيح.
وهذه الطبقات الثلاث تتفاعل مع بعضها البعض لتحقيق الأمن للمعلومات.
إذا أمن المعلومات يحمي السرية والسلامة والتوفر للمعلومات على الأجهزة
التي تقوم بتخزينها ومعالجتها ونقلها عن طريق المنتجات والناس والإجراءات
كما هو موضح في شكل 1.
شكل 1: ضوابط الأمن لحماية الصفات الرئيسية للمعلومات
بعض أنواع التهديدات اتجاه امن قواعد البيانات واساليب التصدي لها:
1- إساءة استخدام الامتيازات:عندما يتم توفير قاعدة بيانات المستخدمين مع
الامتيازات التي تتجاوز متطلبات وظائفهم يوما بعد يوم، قد يساء استخدام
هذه الامتيازات عمدا أو عن غير قصد.على سبيل المثال مسؤول قاعدة البيانات
في مؤسسة مالية، ماذا سيحدث إذا قام بإيقاف عمليات المراجعة وإنشاء حسابات
وهمية، وبذلك سوف يكون قادر على تحويل الأموال من حساب إلى آخر وبالتالي
استغلال امتياز مفرط عمدا.
ويمكن منع إساءة الاستخدام عن طريق محدودية الوصول، فالمعلومات المتاحة للشخص هي فقط المعلومات التي يحتاجها.
2- الثغرات في نظام التشغيل:وجود ثغرات أمنية في أنظمة التشغيل الأساسية
مثل ويندوز ولينكس ويونيكس وما إلى ذلك والخدمات التي ترتبط بقواعد
البيانات قد تؤدي إلى الوصول غير المصرح به وهذا قد يؤدي إلى هجوم تعطيل
الخدمة (Denial of service). ويمكن منع هذا عن طريق تنزيل تحديثات نظام
التشغيل المتعلقة بالأمن عندما تصبح متاحة.
3- حقن SQL injection:في هجوم حقن SQLالمرتكب عادة يتم إدخال أو
حقن بيانات قاعدة بيانات غير مصرح بها إلى قناة بياناتSQL الضعيفة أو الغير
محمية، وعادة يتم استهداف قنوات البيانات التي تشمل الإجراءات المخزنة
ومدخلات تطبيق الويب،
ثم يتم تمرير هذه البيانات المحقونة إلى
قاعدة البيانات حيث يتم تنفيذها باستخدام حقن SQL، وبالتالي المهاجم ربما
كسب وصول غير مقيد إلى قاعدة البيانات بأكملها.
ومن الممكن مكافحة حقن
SQL عن طريق الجمع بين ثلاث تقنيات فعالة: أنظمة منع الاختراق (IPS) التي
تتفقد حركة قاعدة البيانات وتحدد الهجمات التي استهدفت والثغرات، والتحكم
بالوصول على مستوى الاستعلام (query-level access control) الذي يقوم
بتحديد الامتيازات للحد الأدنى من العمليات والمعلومات المطلوبة، وأخيرا
ترابط الحدث.
4- ضعف المصادقة:نماذج ضعف المصادقة تسمح للمهاجمين بتوظيف
استراتيجيات مثل الهندسة الاجتماعية(Social engineering) ويقوم المهاجم من
خلالها باستغلال الميل الطبيعي للإنسان للثقة وحب مساعدة الآخرين لمعرفة
معلومات تسجيل الدخول،أو باستخدام القوة الوحشية (Brute force) التي من
خلالها يقوم المهاجم بإدخال توليفات لاسم المستخدم وكلمة المرور لمرات
عديدة حتى يجد واحدا منهم يعمل ومن الممكن أن يستخدم برامج آلية لتقوم
بعملية التوليف، أو أخيرا عن طريق سرقة معلومات التفويض مباشرة وبالتالي
الحصول على معلومات تسجيل الدخول لقاعدة البيانات لمستخدمين مصرح لهم.
ولمنع
هجمات المصادقة ينبغي استخدام أقوى تقنيات المصادقة (الرموز، الشهادات،
الصفات الحيوية وغيرها)وأقوى السياسات واستخدام المصادقة المتبادلة
والمصادقة متعددة العوامل.
5- ضعف التعقب:ضعف آلية تعقب تسجيل الدخول للحسابات في
خادم قاعدة البيانات يمثل خطر حرج للمنظمة خاصة في مجال التجارة والرعاية
الصحية والمالية وغيرها من صناعات الامتثال التنظيمية الصارمة، ولوائح
القوانين مثل (PCI, SOX, and HIPAA) تتطلب تسجيل واسع النطاق للنشاطات
لإعادة حدث في مرحلة سابقة من الزمن في حالة
وقوع حادث، ولذلك يجب أن يتم تسجيل
المعاملات الحساسة أو العادية التي تتم في قاعدة البيانات بطريقة آلية
لتسوية الحوادث، والتعقب بمثابة خط الدفاع الأخير لقاعدة البيانات فيمكن من
خلاله الكشف عن وجود انتهاك وتتبع الانتهاك لنقطة معينة من الزمن ولمستخدم
معين.
6- التعرض للنسخة الاحتياطية للبيانات:
عادة ما تكون النسخة الاحتياطية للبيانات
المخزنة غير محمية من الهجوم، ونتيجة لذلك هناك عدة انتهاكات أمنية شملت
سرقة أشرطة النسخ الاحتياطية والأقراص الصلبة لقاعدة البيانات.
ولمنع
التعرض للنسخ الاحتياطية للبيانات ينبغي أن تكون جميع النسخ الاحتياطية
لقاعدة البيانات مشفرة، وقد اقترح بعض المتخصصين أنه مستقبلا قد لا تدعم
منتجات نظم إدارة قواعد البيانات (DBMS) إنشاء نسخ احتياطية غير مشفرة.
الخلاصة:أمن المعلومات هو عملية مستمرة من ممارسة
العناية الواجبة لحماية المعلومات من الوصول غير المصرح به أو الاستخدام
السيئ أو التعديل، وتشمل التدريب المستمر والحماية والمراقبة والاستجابة
للحوادث وإصلاحها وهذا يجعل أمن المعلومات جزءا لا غنى عنه لجميع العمليات
التجارية وعبر مختلف المجالات.
وأخيرا مع التطور السريع للتكنولوجيا نحن
لا نستطيع منع الهجوم على قاعدة البيانات بشكل كامل لكن نستخدم بعض
الأساليب والسياسات للتخفيف من المخاطر التي من الممكن أن تتعرض لها والحد
منها.
المراجع:[1] M. Ciampa, (2005) "Security+ Guide to Network Security Fundamentals", 2nd edition, Thomson
[4]أسامة نعمان,'استطلاع: ثلث موظفي الشركات المالية مستعدون لبيع المعلومات الحساسة', <
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]>,جريدة الشرق الأوسط
الدردشة|منتديات
المبشر العلمية