امنیت در پایگاه داده Oracle چیست و چه راهکار هایی دارد

در دنیای امروز بسیاری از کسب و کارها بر مبنای اطلاعات بنا شده است، اهمیت دسترسی به اطلاعات بر هیچکس پوشیده نیست و محافظت همه جانبه از اطلاعت امری اجتناب ناپذیر.

• باید مراقب بود اطلاعات توسط افراد غیر مجاز مورد استفاده قرار نگیرید
• باید مراقب بود هرکس فقط به اطلاعاتی که مورد نیازش است دسترسی داشته باشد
• باید مراقب بود اطلاعات به صورت غیر مجاز دستکاری نشود

و بسیاری از باید‌های دیگر وجود راهکار‌های محافظت از اطلاعات را ضروری ‌می‌نماید. بدیهی است محافظت از اطلاعات باید در لایه‌‌ها و سطوح مختلفی از جمله در شبکه، سیستم عامل و نرم افزار و غیره انجام پذیرد. اما موضوع مورد نظر در این بخش معرفی برخی راهکار‌های ارائه شده توسط اوراکل برای محافظت از بانک اطلاعاتی است که در ادامه به آن پرداخته ‌می‌شود.

امنیت در اوراکل

امنیت در لایه بانک اطلاعاتی نیازمند یک استراتژی و برنامه مدون و دقیق است که بر اساس آن نیاز‌های امنیتی شناخته شده و برای هریک راهکار مناسب پیاده سازی شود.

رعایت نکات امنیتی در پیکربندی بانک اطلاعاتی، اعطای دسترسی مناسب به کاربران، اطمینان از پیکربندی‌های مناسب برای اتصلات، رمز نگاری حساس، نصب وصله‌های امنیتی از جمله وظایف مدیران بانک اطلاعاتی برای پاسخگویی به نیاز‌های امنیتی ‌می‌باشد.

به شواهد آمار بانک اطلاعاتی اوراکل یکی از قدرتمند ترین بانک‌های اطلاعاتی به لحاظ توانایی‌های امنیتی ‌می‌باشد. این بانک با ارائه مجموعه وسیعی از امکانات بسیاری از نیاز‌های امنیتی را تا حد بسیار زیادی پوشش ‌می‌دهد. بکارگیری دقیق این راهکار‌‌ها ‌می‌تواند درصد بالایی از امنیت را بدنبال داشته باشد. در ادامه به معرفی برخی از این راهکار‌‌ها پرداخته شده است.

1. Oracle ADVANCE SECURITY

Oracle Advance Security یکی از گزینه‌های نگارش Enterprise اوراکل ‌می‌باشد. این راهکار همانطور که در شکل زیر نشان داده شده است 3 امکان زیر در اختیار قرار ‌می‌دهد.

1. 1.Transparent Data Encryption

Transparent Data Encryption که به اختصار بنام TDE نیز شناخته ‌می‌شود یک راه کار ساده و شفاف (Transparent) برای رمز نگاری یا Encryption اطلاعات حساس ‌می‌باشد. از مهمترین مزیت‌های این راهکار عدم نیاز به تغییر در برنامه کاربردی (Application)است. در این روش اطلاعات مورد نظر قبل از نوشته شدن در دیسک رمز نگاری شده و قبل از خواندن رمز گشایی می‌شوند. استفاده از این راهکار تاثیر بسیار ناچیزی در کارایی بانک اطلاعاتی خواهد داشت.

TDE‌ الگوریتم‌های استاندارد شامل AES, Triple DES را پشتیبانی می‌کند. نگارش اولیه TDE در اوراکل 10gR2‌معرفی شده که در آن رمزنگاری برای جداول و ستونهای آنها ممکن بود. در اوراکل 11gR1  رمزنگاری درسطحTablespace  نیز پشتیبانی شد که به علت سادگی و عدم وابستگی به نوع ستون‌های جداول استفاده از آن توصیه شده و پیش فرض اوراکل ‌می‌باشد.

1. 2.Network encryption

با استفاده از این امکان ‌می‌توان اطلاعات ارسالی بین سرور بانک اطلاعاتی و کلاینت‌ها را با الگوریتم‌های استاندارد مانند AES, Triple DES و RC4 رمز نگاری نمود. این مکانیزم همچنین از Secure Sockets Layer (SSL) پشتیبانی ‌می‌نماید.

1. 3.Strong authentication

رمزهای عبور معمولی عموما مکانیزم‌های سختگیرانه ای برای اعتبارسنجی نیستد. Strong Authentication با استفاده از مفاهیم امنیتی مانند Ticket ،card، PIN entry و Token عملیات اعتبارسنجی را انجام ‌می‌دهد. برخی تکنیک‌های Strong Authentication اجازه می‌دهند که اعتبارسنجی چند فاکتوره را بکار ببریم. Oracle Advance Security انواع مختلفی از تکنیک‌های Strong Authentication را پشتیبانی می‌کند از جمله

• Kerberos
• PKI (certificate-based authentication and encryption)
• RADIUS (Remote Authentication Dial-In User Service)

2. Oracle Databese Vault

تحقیقات نشان می‌دهد بیش از 80درصد دسترسی‌های غیر مجاز به اطلاعات از طریق کارمندان داخلی شرکت‌ها انجام می‌شود همچنین 65 در صد تهدیدات داخلی شناسایی نمی‌شوند.Oracle Database vault عمومی‌ترین راه کار برای مقابله و جلوگیری از تهدیدات داخلی و کاهش خطرات آن ‌می‌باشد. از جمله کاربرد‌های آن جلوگیری از دسترسی کاربران با دسترسی بالا در سطح دیتابیس (DBA)بدون دسترسی از طریق Application ‌می‌باشد.

با استفاده از این راهکار امکان تعریف دسترسی‌های مجزا و تفکیک وظایف فراهم ‌می‌گردد به بیان دیگر با بکارگیری آن به طور دقیق تعیین ‌می‌گردد چه کسی، چه زمانی، کجا و چگونه می‌تواند به اطلاعات دسترسی داشته باشد. در شکل زیر نمایش داده شده است که DBA بانک اطلاعاتی ن‌می‌تواند برخی از کارها را که از وظایف او تفکیک شده است را انجام دهد.

3. Virtual Private Database

این راهکار در اوراکل 8i معرفی گردید. با استفاده از آن امکان سیاستگذاری برای دسترسی به داده‌ها در سطح سطر‌‌ها و ستون‌های جداول فراهم ‌می‌گردد. به بیان دیگر ‌می‌توان برای هر کاربر تعیین کرد به چه بخشی از داده‌های موجود در Table‌‌ها، Viewها و Synonym‌‌ها دسترسی داشته باشد. بعنوان مثال ‌می‌توان برای یک کاربر تعریف نمود در جدول مربوط به حقوق کارمندان در صورت استفاده از دستورSelect فقط به اطلاعات برخی از کاربران خاص دسترسی داشته باشد و حقوق سایر کارمندان برای او نمایش داده نشود. همچنین با استفاده از این راهکار ‌می‌توان دسترسی به داده‌‌ها را به ساعت خاصی در روز محدود نمود بعنوان مثال کاربران فقط در ساعت اداری به داده‌‌ها دسترسی داشته باشند.

با فرض پیاده سازی VDP، در شکل زیر کاربر در جدول dept فقط به داده‌هایی که depno آنها برابر 30 ‌می‌باشد دسترسی دارد. بر همین اساس علی رغم اجرای دستور Select * from Dept فقط داده‌هایی را در نتیجه مشاهده ‌می‌نماید که Deptno آنها برابر 30 است.

4. Oracle Label Security

از این امکان بعنوان یک ابزار قدرتمند و در عین حال ساده برای کنترل دسترسی به داده‌های جداول پس از طبقه بندی و برچسب زدن بر روی انها استفاده ‌می‌گردد. با این روش سطر‌های حاوی داده‌های حساس را ‌می‌توان از دسترس افراد حتی با داشتن دسترسی بر روی جداول بانک اطلاعاتی خارج ساخت. به بین دیگر هر کاربر در صورت پرس و جو از جدول فقط داده‌هایی را که به طبقه بندی آن دسترسی دارد را مشاهده ‌می‌نماید.

5. Oracle Secure Backup

این ابزار یک سیستم مدیریت یکپارچه برای تهیه backup حفاظت شده ‌بر رویTape  ‌می‌باشد که از مزایای آن ‌می‌توان به موارد زیر اشاره نمود

• ایجاد Backup امن با استفاده از مکانیزم کدگذاری256 AES  در سطح سیستم عامل
• یکپارچگی با محیط Oracle Enterprise Manger و RMAN
• بهبود کارایی پشتیبان گیری بین 10 تا 25%

6. ORACLE AUDIT VAULT AND DATABASE FIREWALL

اولین خط تدافعی برای بانک اطلاعاتی بوده و امکان ممیزی (Audit) یکپارچه را بین سیستم عامل و بانک اطلاعاتی فراهم ‌می‌نماید.

از مزایای آن ‌می‌توان به موارد زیر اشاره نمود

• شناسایی و جلوگیری از حملات SQL injection
• محیط کاربری آسان برای مشاهده و تحلیل نتایج  ممیزی‌‌ها
• شناسایی خودکار فعالیت‌های بدون مجوز که امنیت را تهدید ‌می‌نماید