Verilənlər bazası risk səviyyəsi müəssisədən quruma dəyişəcək və həmçinin orada saxlanılan məlumatın həssaslığından asılıdır.
İstifadəçilərin kredit kartları və ya şəxsiyyət məlumatları kimi kritik məlumatları saxlayan qurumlar üçün verilənlər bazasının təhlükəsizliyi böyük əhəmiyyət kəsb edir. Verilənlər bazalarının bu qədər vacib şəxsi və maliyyə məlumatlarını saxlaması bu sistemləri kiberhücumların hədəfinə çevirir. Verilənlər bazasının təhlükəsizliyi qurumlar üçün böyük əhəmiyyət kəsb edir, çünki yüksək qiymətli məlumatları saxlayır.
Veri bazalarına yönəlik ən çox rast gəlinən hücum növlərindən biri SQL enjeksiyonudur. SQL enjeksiyonu hücumları, ya birbaşa olaraq veri bazasını, ya da veri bazasına interfeys rolunu oynayan veb tətbiqlərini hədəfə alaraq sistemə daxil olmağa çalışır. Lakin ən çox rast gəlinən SQL enjeksiyonu hücumları veb interfeys vasitəsilə həyata keçirilir.
SQL zəiflikləri, istifadəçidən alınan məlumatların yoxlanmadan veri baza tətbiqində və ya veri bazasını idarə edən veb tətbiqdə işlənməsindən yaranır. SQL enjeksiyon hücumları, hücum edən şəxsin veri bazasında olan həssas məlumatlara çıxış əldə etməsinə, istifadəçi hüquqlarını artırmasına, əməliyyat sistemi komutlarına və veri bazasına birbaşa daxil olmasına şərait yarada bilər.
Databazasının Xakerlər tərəfindən ələ keçirilməsinə səbəb olan təhlükələr
- İstifadəçi icazələrinin düzgün idarə olunmaması: İstifadəçilərə ehtiyaclarından artıq hüquqlar verildiyi zaman, bu istifadəçilərin hesab məlumatlarının oğurlanması sistemin asanlıqla ələ keçirilməsinə səbəb ola bilər.
- İstifadəçi hüquqlarının sui-istifadə olunması: İstifadəçinin sahib olduğu icazələri icazəsiz girişlər üçün istifadə etməsi.
- SQL zəiflikləri: Web tətbiqlərinin daxil olma sahələrinə daxil edilən zərərli kodların SQL enjeksiyon hücumlarına səbəb olması və hücumçunun bütün veri bazasına daxil olma imkanı qazanmasına səbəb olan sistem zəiflikləri.
- Zərərli proqram yüklənməsi: İşçinin e-poçt hesabına göndərilən fişinq e-poçtu vasitəsilə zərərli proqramın yüklənməsi və istifadəçi kompüteri vasitəsilə veri baza sisteminə daxil olunması.
- Zəif sistem qeydləri mexanizmi: Avtomatlaşdırılmış hadisə qeydləri veri baza sistemlərinin təhlükəsizliyi üçün böyük əhəmiyyət daşıyır. Qeydlər müntəzəm saxlanılmadığı halda müxtəlif problemlərə yol açacaqdır.
- Yaddaş sahəsinin açıq buraxılması: Canlı sistemlər adətən daha yaxşı qorunur. Lakin yedəkləmə fayllarının və yedəkləmə mühitinin təhlükəsizliyi də canlı sistemlər qədər vacibdir. Hücumçular şifrələnməmiş bir yedəkləmə faylı vasitəsilə sistemə sızma imkanı tapa bilərlər.
- DOS hücumları: Xidmətin dayandırılması hücumu olaraq bilinən DOS hücumları şəbəkə cihazlarına və ya verilərə girişin qarşısını alan hücum növüdür. Veri baza sistemlərinə qarşı həyata keçirilən DOS hücumlarında, sistemin çoxlu qaynaq istifadəsinə səbəb olan axtarış və sorğu göndərmə əməliyyatları yerinə yetirilir, bu da serverə həddindən artıq yük gətirərək xidmətin dayandırılmasına səbəb olur.
Databazasının Auditi
Verilənlər bazalarının auditi sistemdəki səhvləri və zəiflikləri aşkar etməyə və düzəltməyə və ehtiyat tədbirləri görməyə kömək edir.
Giriş və autentifikasiya nəzarəti: verilənlər bazasına kimin, nə vaxt, hansı üsulla və hansı məzmunla daxil olduğu kimi mühüm məlumatları saxlayan qeydlərin saxlanması.
Təhlükəsizlik fəaliyyətlərinin auditi: Verilənlər bazasında icazəsiz və şübhəli fəaliyyətlərin tam siyahısının yaradılması və hesabatların aparılması
Zəiflik və təhlükə auditi: Zəiflikləri aşkar etmək və düzəltmək məqsədi daşıyan bu audit metodunda o, həmçinin bu zəifliklərdən istifadə etməyə çalışan istifadəçiləri aşkarlamağa çalışır.
Auditdə dəyişikliklər: İlk növbədə audit prosesi üçün sadə konfiqurasiyanın tətbiqi və sonra tələblərdən asılı olaraq audit siyasətlərinin dəyişdirilməsi və uyğunlaşdırılması.
Verilənlər Bazasının Təhlükəsizlik Metodları
– Verilənlər bazasındakı məlumatların əhəmiyyət səviyyəsinə görə təsnifatı: Bu üsul təhlükəsizliyi təmin edilməli olan həssas məlumatların daha asan müəyyən edilməsinə imkan verir.
– Verilənlər bazası serverlərinin standart olaraq malik olduğu idarəetmə mexanizmlərindən istifadə: Bu üsul idarəetmə mexanizmi çox mürəkkəb olmayan sistemlər üçün istifadə edilə bilər.
– Üçüncü tərəfin nəzarət proqramından və şəbəkə qurğusundan istifadə: Həm mühafizə, həm də monitorinq xidmətləri göstərən bu qurğular verilənlər bazası serverindən ayrıca quraşdırıldığı üçün serverə əlavə yük yaratmır. İstifadəçinin ehtiyaclarına uyğun olaraq fərdiləşdirilə bilən bu həllər bir çox xüsusiyyətə malikdir və eyni zamanda yüksək analiz nəticələrini əldə etmək üçün ətraflı yoxlamalar həyata keçirir.
Verilənlər bazası təhlükəsizliyinin vacib komponentlərindən biri məlumatların şifrələmə üsuludur. Güclü autentifikasiya nəzarəti ilə hərəkətdə olan məlumatların ötürülməsi istirahətdə olan məlumatların şifrələnməsi qədər vacibdir. İstirahətdə olan məlumatlar üçün AES şifrələmə alqoritmi tövsiyə olunur. Hər bir tətbiqin təhlükəsizliyinin prioritet səviyyəsinə görə seçilə bilən müxtəlif şifrələmə alqoritmlərinə DES, Triple DES, DESX, 128-bit AES, 192-bit AES, 256-bit AES daxildir.
Daimi verilənlər bazası təhlükəsizliyini təmin etmək üçün vaxtaşırı atılmalı olan addımlar:
– Təhlil edilməli və mühafizəsi tələb olunan verilənlər bazasının müəyyən edilməsi
– Tələblər nəzərə alınmaqla sistemin və ya məlumatların təhlükəsizlik prioritetinə görə təsnifatı
– Zəifliklər, yanlış konfiqurasiyalar və kritik dəyişikliklər üçün verilənlər bazasının skan edilməsi
– Məlumatların təsnifatı əsasında yüksək prioritet verməklə yüksək əhəmiyyət kəsb edən zəifliklərin bağlanması
– Zəifliklər üçün uyğun düzəlişin müəyyən edilməsi, zəiflikləri bağlamaq və sistemi yeniləmək üçün yamaqların tətbiqi
– Zəifliyin korreksiyası proseslərinin təsirini ölçmək üçün korreksiyadan sonra audit prosesi təkrarlanmalı və bu dövr mütəmadi olaraq təkrarlanmalıdır.
