أمن قاعدة البيانات

menu icon

أمن قاعدة البيانات

تعرف على تعقيدات أمن قاعدة البيانات وبعض الممارسات والسياسات والتقنيات التي ستحمي سرية بياناتك وسلامتها وإتاحتها.

ما هو أمن قاعدة البيانات

يشير أمن قاعدة البيانات إلى مجموعة الأدوات والتحكمات والمقاييس المصممة لإنشاء والحفاظ على سرية قاعدة البيانات وسلامتها وإتاحتها. ستركز هذه المقالة بشكل أساسي على السرية حيث أنها العنصر الذي يتم اختراقه في معظم حالات خرق البيانات.

يجب أن يقوم أمن قاعدة البيانات بمعالجة وحماية ما يلي:

  • البيانات الموجودة في قاعدة البيانات
  • نظام إدارة قاعدة البيانات (DBMS)
  • أي تطبيقات مرتبطة
  • وحدة خدمة قاعدة البيانات الفعلية و/أو وحدة خدمة قاعدة البيانات الافتراضية والأجهزة الأساسية
  • الحوسبة و/أو البنية الأساسية لشبكة الاتصال المستخدمة في التوصل إلى قاعدة البيانات

يعد أمن قاعدة البيانات مسعى معقدا وصعبا يتضمن جميع جوانب تقنيات وممارسات أمن المعلومات. كما أنه يتعارض بطبيعة الحال مع قابلية استخدام قاعدة البيانات كلما زادت سهولة إمكانية التوصل إلى قاعدة البيانات واستخدامها، زاد تعرضها للتهديدات الأمنية؛ وكلما زادت حصانة قاعدة البيانات ضد التهديدات الأمنية، زادت صعوبة التوصل إليها واستخدامها. يشار إلى هذا التناقض أحيانا بقاعدة أندرسون. (الرابط يوجد خارج IBM)

لماذا هو مهم

بحكم التعريف، خرق البيانات هو فشل في الحفاظ على سرية البيانات في قاعدة البيانات. يعتمد مقدار الضرر الذي يلحقه خرق البيانات بمؤسستك على عدد من العواقب أو العوامل:

  • الملكية الفكرية المعرضة للاختراق: ملكيتك الفكرية — الأسرار التجارية والاختراعات وممارسات الملكية — قد تكون بالغة الأهمية لقدرتك على الحفاظ على ميزة تنافسية في سوقك. إذا تمت سرقة الملكية الفكرية أو كشفها، فقد يكون من الصعب أو المستحيل الحفاظ على ميزتك التنافسية أو استردادها.
  • الإضرار بسمعة العلامة التجارية: قد لا يرغب العملاء أو الشركاء في شراء منتجاتك أو خدماتك (أو القيام بأعمال تجارية مع شركتك) إذا لم يشعروا بأنهم يمكنهم الوثوق بك لحماية بياناتك أو بياناتهم.
  • استمرارية الأعمال (أو عدمه): لا يمكن لبعض الأعمال الاستمرار في العمل حتى يتم حل عملية الاختراق.
  • الغرامات أو العقوبات لعدم الامتثال: التأثير المالي لعدم الامتثال للوائح العالمية مثل ‎Sarbannes-Oxley Act (SAO) أو Payment Card Industry ‎Data Security Standard (PCI DSS)، ولوائح خصوصية البيانات الخاصة بالصناعة مثل HIPAA، أو لوائح خصوصية البيانات الإقليمية، مثل Europe’s General ‎Data Protection Regulation (GDPR)، يمكن أن يكون مدمر، حيث تتجاوز الغرامات في أسوأ الحالات عدة ملايين من الدولارات لكل انتهاك.
  • تكاليف إصلاح الخروقات وإخطار العملاء: بالإضافة إلى تكلفة إبلاغ العميل بالخرق، يجب أن تقوم المنظمة المخالفة بدفع تكاليف أنشطة الطب الشرعي والتحقيق وإدارة الأزمات والفرز وإصلاح الأنظمة المتأثرة وغير ذلك.

التهديدات والتحديات المشتركة

يمكن أن تؤدي العديد من عمليات التوصيف غير الصحيحة للبرامج أو الثغرات الأمنية أو أنماط الإهمال أو سوء الاستخدام إلى حدوث خروقات. فيما يلي الأنواع أو الأسباب الأكثر شيوعا لهجمات أمن قاعدة البيانات وأسبابها.

التهديدات الداخلية

التهديد الداخلي هو تهديد أمني من أي مصدر من ثلاثة مصادر لديها إمكانية توصل مميزة بقاعدة البيانات:

  • شخص مطلع خبيث ينوي إلحاق الضرر
  • شخص مطلع مهمل يرتكب أخطاء تجعل قاعدة البيانات عرضة للهجوم
  • متسلل - شخص خارجي يحصل بطريقة ما على بيانات الاعتماد عبر مخطط مثل التصيد أو عن طريق التوصل إلى قاعدة بيانات الاعتماد نفسها.

تعد التهديدات الداخلية من بين الأسباب الأكثر شيوعا لانتهاكات أمن قاعدة البيانات وغالبا ما تكون نتيجة للسماح لعدد كبير جدا من الموظفين بالاحتفاظ ببيانات اعتماد المستخدمين ذوي الامتيازات.

خطأ بشري

لا تزال الحوادث وكلمات السرية الضعيفة ومشاركة كلمات السرية وغيرها من سلوكيات المستخدم غير الحكيمة أو غير المستنيرة سببا في ما يقرب من نصف (49%) جميع انتهاكات البيانات المبلغ عنها. ( الرابط يوجد خارج IBM)

استغلال نقاط الضعف في برامج قاعدة البيانات

يكسب المتسللون عيشهم من خلال البحث عن الثغرات الأمنية واستهدافها في جميع أنواع البرامج، بما في ذلك برامج إدارة قواعد البيانات. يصدر جميع موردي برامج قواعد البيانات التجارية الرئيسية ومنصات إدارة قواعد البيانات مفتوحة المصدر تصحيحات أمنية منتظمة لمعالجة الثغرات الأمنية هذه، ولكن الفشل في تطبيق هذه التصحيحات في الوقت المناسب يمكن أن يزيد من تعرضك للمخاطر.

هجمات إدخال SQL/NoSQL

التهديد الخاص بقاعدة البيانات، يتضمن إدخال سلاسل هجومية عشوائية من SQL أو خلاف SQL في استعلامات قاعدة البيانات التي تخدمها تطبيقات الإنترنت أو نصوص رأس HTTP. المؤسسات التي لا تتبع ممارسات تكويد تطبيقات شبكة الإنترنت الآمنة ولا تجري اختبارات منتظمة للثغرات الأمنية تكون عرضة لهذه الهجمات.

استغلال تجاوز سعة التخزين المؤقت

يحدث تجاوز سعة التخزين المؤقت عندما تحاول إحدى العمليات كتابة المزيد من البيانات إلى كتلة ذات طول ثابت من الذاكرة أكثر مما يسمح لها بالاحتفاظ بها. قد يستخدم المهاجمون البيانات الزائدة التي تم تخزينها في عناوين الذاكرة المجاورة، كأساس لبدء الهجمات.

هجمات حجب الخدمة (DoS/DDoS)

في هجوم حجب الخدمة (DoS)، يقوم المهاجم بإغراق وحدة الخدمة المستهدفة — في هذه الحالة وحدة خدمة قاعدة البيانات — بالعديد من الطلبات التي تجعل وحدة الخدمة لا تستطيع تلبية الطلبات المشروعة من المستخدمين الفعليين، وفي كثير من الحالات، تصبح وحدة الخدمة غير مستقرة أو تتحطم.

في هجوم حجب الخدمة الموزع (DDoS)، يأتي الطوفان من وحدات خدمة متعددة، مما يجعل إيقاف الهجوم أكثر صعوبة. شاهد مقطع الفيديو "What is a DDoS Attack" ‏(3:51) للحصول على مزيد من المعلومات:

البرمجيات الخبيثة

البرمجيات الخبيثة هي برامج مكتوبة خصيصا لاستغلال الثغرات الأمنية أو إلحاق الضرر بقاعدة البيانات. قد تصل البرمجيات الخبيثة عبر أي جهاز نقطة نهاية متصل بشبكة قاعدة البيانات.

الهجمات على النسخ الاحتياطية

المؤسسات التي تفشل في حماية بيانات النسخ الاحتياطية بنفس الضوابط الصارمة المستخدمة لحماية قاعدة البيانات نفسها يمكن أن تكون عرضة للهجمات على النسخ الاحتياطية.

تتفاقم هذه التهديدات بسبب ما يلي:

  • تزايد حجم البيانات: يستمر تسجيل البيانات وتخزينها ومعالجتها في النمو بشكل كبير عبر جميع المؤسسات تقريبا. أي أدوات أو ممارسات لأمن البيانات يجب أن تكون قابلة للتطوير بدرجة كبيرة لتلبية احتياجات المستقبل القريب والبعيد.
  • توسع البنية الأساسية: أصبحت بيئات شبكات الاتصال معقدة بشكل متزايد، لا سيما مع نقل الشركات لأحجام العمل إلى بنى متعددة الأوساط السحابية أو سحابية مختلطة، مما يجعل اختيار الحلول الأمنية ونشرها وإدارتها أكثر صعوبة.
  • المتطلبات التنظيمية الصارمة على نحو متزايد: يستمر مشهد الامتثال التنظيمي العالمي في النمو بتعقيد، مما يجعل الالتزام بجميع التفويضات أكثر صعوبة.
  • نقص مهارات الأمن الإلكتروني: يتوقع الخبراء أنه قد يكون هناك ما يصل إلى 8 ملايين منصب شاغر في مجال الأمن الإلكتروني بحلول عام 2022

أفضل الممارسات

نظرا لأن قواعد البيانات يمكن التوصل إليها دائما عبر شبكة الاتصال، فإن أي تهديد أمني لأي مكون داخل البنية الأساسية للشبكة أو جزء منها يمثل أيضا تهديدا لقاعدة البيانات، وأي هجوم يؤثر على جهاز المستخدم أو وحدة العمل يمكن أن يهدد قاعدة البيانات. وبالتالي، يجب أن يمتد أمن قاعدة البيانات إلى ما هو أبعد من حدود قاعدة البيانات وحدها.

عند تقييم أمن قاعدة البيانات في بيئة التشغيل الخاصة بك لتحديد الأولويات القصوى لفريقك، يجب أن تضع في اعتبارك كل من المجالات التالية:

  • الأمن المادي: سواء كانت وحدة خدمة قاعدة البيانات الخاصة بك توجد في مركز بيانات محلي أو سحابي، يجب أن يكون موجودة في بيئة آمنة يتم التحكم فيها بواسطة المناخ. (إذا كانت وحدة خدمة قاعدة البيانات الخاص بك موجودة في مركز بيانات سحابي، فسيقوم مقدم خدمات البيئة السحابية لديك بهذا الأمر نيابة عنك).
  • الضوابط الإدارية وضوابط التوصل إلى شبكة الاتصال: يجب أن يكون لدى الحد الأدنى العملي لعدد المستخدمين إمكانية توصل إلى قاعدة البيانات، ويجب أن تقتصر التصاريح الخاصة بهم على الحد الأدنى من المستويات اللازمة لهم للقيام بوظائفهم. وبالمثل، يجب أن تقتصر إمكانية التوصل إلى شبكة الاتصال على الحد الأدنى من التصاريح اللازمة.
  • حساب المستخدم/أمن الجهاز: يجب دائما معرفة من يقوم بالتوصل بقاعدة البيانات ومتى وكيف يتم استخدام البيانات. يمكن أن تنبهك حلول مراقبة البيانات إذا كانت أنشطة البيانات غير عادية أو تبدو محفوفة بالمخاطر. يجب أن تكون جميع أجهزة المستخدم المتصلة بالشبكة التي تحتوي على قاعدة البيانات آمنة فعليا (في يد المستخدم المناسب فقط) وخاضعة لضوابط الأمان في جميع الأوقات.
  • التشفير: يجب حماية جميع البيانات — بما في ذلك البيانات الموجودة في قاعدة البيانات وبيانات الاعتماد — باستخدام أفضل تشفير في فئته أثناء الثبات أو الانتقال. يجب التعامل مع جميع مفاتيح التشفير وفقا لإرشادات أفضل الممارسات.
  • أمن برنامج قاعدة البيانات: استخدم دائما أحدث نسخة من برنامج إدارة قواعد البيانات، وقم بتطبيق جميع التصحيحات بمجرد إصدارها.
  • أمن التطبيق/وحدة خدمة شبكة الإنترنت: أي تطبيق أو وحدة خدمة لشبكة الإنترنت تتفاعل مع قاعدة البيانات يمكن أن تكون قناة للهجوم ويجب أن تخضع لاختبار الأمان المستمر وإدارة أفضل الممارسات.
  • أمن النسخ الاحتياطية: يجب أن تخضع جميع النسخ الاحتياطية أو النسخ أو صور قاعدة البيانات لنفس ضوابط الأمان (أو بنفس الصرامة) مثل قاعدة البيانات نفسها.
  • التدقيق: تسجيل جميع عمليات تسجيل الدخول إلى وحدة خدمة قاعدة البيانات ونظام التشغيل، وتسجيل جميع العمليات التي يتم إجراؤها على البيانات الحساسة أيضا. يجب إجراء عمليات تدقيق معايير أمن قاعدة البيانات بصورة منتظمة.

الضوابط والسياسات

بالإضافة إلى تنفيذ ضوابط الأمان ذات الطبقات عبر بيئة شبكة الاتصال بالكامل، يتطلب أمن قاعدة البيانات منك إنشاء الضوابط والسياسات الصحيحة للتوصل إلى قاعدة البيانات نفسها. ويشمل ذلك ما يلي:

  • ضوابط إدارية للتحكم في عملية إدارة التركيب والتغيير والتوصيف لقاعدة البيانات.
  • ضوابط وقائية للتحكم في إمكانية التوصل والتشفير والترميز والإخفاء.
  • ضوابط كشفية لمراقبة نشاط قاعدة البيانات وأدوات منع فقدان البيانات. تتيح هذه الحلول إمكانية تحديد الأنشطة الشاذة أو المشبوهة والتحذير منها.

يجب أن تتكامل سياسات أمن قاعدة البيانات مع أهداف أعمالك العامة وتدعمها، مثل حماية الملكية الفكرية الهامة وسياسات الأمن الإلكتروني وسياسات الأمن السحابي. تأكد من أنك قمت بتحديد مسؤولية الحفاظ على الضوابط الأمنية ومراجعتها داخل مؤسستك وأن سياساتك مكملة لتلك الخاصة بمقدم الخدمات السحابية الخاص بك في اتفاقيات المسؤولية المشتركة. يجب وضع الضوابط الأمنية، وبرامج التدريب والتثقيف في مجال التوعية الأمنية، واستراتيجيات اختبار الاختراق وتقييم الثغرات الأمنية لدعم سياسات الأمان الرسمية الخاصة بك.

أدوات ومنصات حماية البيانات

اليوم، توفر مجموعة واسعة من الموردين أدوات ومنصات حماية البيانات. يجب أن يتضمن الحل الشامل جميع الإمكانات التالية:

  • الاكتشاف: البحث عن أداة يمكنها ايجاد الثغرات الأمنية وتصنيفها عبر جميع قواعد البيانات — سواء كانت مستضافة في البيئة السحابية أو المحلية — وتقديم توصيات لمعالجة أي ثغرات تم تحديدها. غالبا ما تكون إمكانيات الاكتشاف مطلوبة للتوافق مع تفويضات الامتثال التنظيمي.
  • مراقبة نشاط البيانات: يجب أن يكون الحل قادرا على مراقبة وتدقيق جميع أنشطة البيانات عبر جميع قواعد البيانات، بغض النظر عما إذا كان النشر في البيئة المحلية أو في البيئة السحابية أو في حاوية. يجب أن ينبهك إلى الأنشطة المشبوهة في الوقت الفعلي حتى تتمكن من الرد على التهديدات بسرعة أكبر. ستحتاج أيضا إلى حل يمكنه فرض القواعد والسياسات وفصل الواجبات ويتيح رؤية حالة بياناتك من خلال واجهة مستخدم شاملة وموحدة. تأكد من أن أي حل تختاره يمكنه إنشاء التقارير التي ستحتاج إليها لتلبية متطلبات الامتثال.
  • إمكانيات التشفير والترميز: في حالة حدوث خرق، يوفر التشفير خط دفاع نهائي ضد الاختراق. يجب أن تتضمن أي أداة تختارها إمكانات تشفير مرنة يمكنها حماية البيانات في البيئات المحلية أو السحابية أو المختلطة أو متعددة الأوساط السحابية. ابحث عن أداة ذات إمكانات تشفير الملفات والتخزين والتطبيق التي تتوافق مع متطلبات الامتثال الخاصة بصناعتك، والتي قد تتطلب ترميز (إخفاء البيانات) أو إمكانات متقدمة لإدارة مفاتيح الأمان.
  • تحسين أمان البيانات وتحليل المخاطر: أداة يمكنها إنشاء رؤى سياقية من خلال الجمع بين معلومات أمن البيانات والتحليلات المتقدمة التي ستمكنك من تحقيق التحسين وتحليل المخاطر وإعداد التقارير بسهولة. اختر حلا يمكنه الاحتفاظ بكميات كبيرة من البيانات التاريخية والحديثة وتوليفها حول حالة قواعد البيانات وأمانها، وابحث عن حل يوفر إمكانات استكشاف البيانات والتدقيق وإعداد التقارير من خلال لوحة معلومات شاملة للخدمة الذاتية وسهلة الاستخدام.

أمن قاعدة البيانات وIBM Cloud

تتميز قواعد البيانات السحابية التي تديرها شركة IBM بإمكانيات تأمين أصلية مدعومة من قبل IBM Cloud Security، بما في ذلك إمكانيات إدارة الهوية وإمكانية التوصل، والرؤية، والذكاء، وحماية البيانات. مع قاعدة البيانات السحابية التي تديرها شركة IBM، يمكنك أن تطمئن لأن قاعدة البيانات الخاصة بك مستضافة في بيئة آمنة بطبيعتها، وأن العبء الإداري الخاص بك سيكون أقل بكثير.

تقدم IBM أيضا نظام IBM Security Guardium الأكثر ذكاء لحماية البيانات، والذي يشتمل على اكتشاف البيانات والمراقبة والتشفير والترميز، وإمكانيات تحسين الأمان وتحليل المخاطر لجميع قواعد البيانات ومخازن البيانات ومشاركات الملفات ومنصات البيانات الضخمة، سواء كانت مستضافة في البيئة المحلية أو في البيئة السحابية أو البيئات المختلطة.

بالإضافة إلى ذلك، تقدم شركة IBM خدمات أمن البيانات التي يتم إدارتها للبيئة السحابية، والتي تتضمن اكتشاف البيانات وتصنيفها، ومراقبة نشاط البيانات، والتشفير وإمكانيات إدارة المفاتيح لحماية بياناتك من التهديدات الداخلية والخارجية من خلال نهج مبسط لتخفيف المخاطر.

يمكنك البدء بالتسجيل في حساب IBM Cloud اليوم.