توسع البحث في مصطلح أمن المعلومات والبيانات (Data Security) وارتبط بالحاسب ويمكننا تعرفيه بما يلي:
هو العلم الذي يبحث في نظريات وأساليب حماية البيانات والمعلومات، ويضع الأدوات والإجراءات اللازمة لضمان حمايتها ويسهم في وضع التشريعات التي تمنع الاعتداء على المعلومات ومعاقبة المعتدين عليها.
وللمحافظة على أمن البيانات في البرامج أو الأنظمة الذي نتعامل معها يجب أن تتوفر فيه ثلاثة عناصر وهي السرية والتوافر والاتاحة والسلامة وفيما يلي توضيح لها:
- السرية: تعني منع الوصول إلى المعلومات من الأشخاص المصرح لهم فقط سواء عند تخزينها أو عند نقها عبر وسائل الاتصال وكذلك تحديد صلاحية التعديل والحذف والاضافة.
- السلامة: المقصود بها أن تكون المعلومة صحيحة عند إدخالها وكذلك أثناء تنقلها بين الأجهزة في الشبكة وذلك باستخدام مجموعة من الأساليب والأنظمة.
- التوافر والإتاحة: تعني بقاء المعلومة متوفرة للمستخدم وإمكانية الوصول إليها وعدم تعطل ذلك نتيجة لخلل في أنظمة إدارة قواعد المعلومات والبيانات أو وسائل الاتصال.
أمن قواعد البيانات تستخدم أمن قواعد البيانات مجموعة واسعة من ضوابط أمن المعلومات، وذلك لحماية قواعد البيانات بما في ذلك البيانات أو تطبيقات قواعد البيانات أو الوظائف المخزنة وأنظمة قواعد البيانات وخوادم قواعد البيانات ووصلات الشبكة المرتبطة بها. وتتوافر أنواع وفئات مختلفة من الضوابط، مثل التقنية والإجرائية / الإدارية والفيزيائية. أمن قاعدة البيانات هو موضوع متخصص ضمن المجالات الأوسع لأمن الحاسوب وأمن المعلومات، وإدارة المخاطر.
وتشمل المخاطر الأمنية لنظم قواعد البيانات، على سبيل المثال:
أو الاستخدام غير المقصود أو إساءة الاستخدام من قبل مستخدمي قاعدة البيانات المأذون لهم، أو مدراء قواعد البيانات، أو مدراء الشبكات / الأنظمة أو المستخدمين غير المصرح لهم أو المخترقينم ثل الوصول غير المصرح إلى البيانات الحساسة أو الوظائف داخل قواعد البيانات أو التغييرات غير المناسبة في برامج قواعد البيانات أو الهياكل أو التشكيلات الأمنية.
إصابات البرامج الضارة التي تتسبب في حوادث مثل الوصول غير المصرح به أو التسرب أو الكشف عن البيانات الشخصية أو الملكية أو حذف أو تلف البيانات أو البرامج أو انقطاع أو عدم القدرة على الوصول المرخص به إلى قاعدة البيانات والاعتداءات على أنظمة أخرى والفشل غير المتوقع لخدمات قواعد البيانات.
. أضرار مادية لخوادم قواعد البيانات الناجمة عن حرائق غرف الحاسوب أو الفيضانات ،وارتفاع درجة الحرارة،و البرق، وتسرب السائل العرضي، و التصريف الثابت ،و الأعطال الإلكترونية / فشل المعدات والتقادم؛
عيوب في التصميم وأخطاء في البرمجة في قواعد البيانات والبرامج والنظم المرتبطة بها، وخلق ثغرات أمنية مختلفة (مثل تصعيد الامتياز غير المصرح به)، وفقدان البيانات / الفساد، وتدهور الأداء، وما إلى ذلك؛
تلف البيانات و / أو الخسارة الناجمة عن إدخال البيانات أو الأوامر غير الصالحة، والأخطاء في قواعد البيانات أو عمليات إدارة النظام، والتخريب / الضرر الجنائي الخ.
و دائمًا ما يقول روس أندرسون بأن طبيعة قواعد البيانات الضخمة لا تكون خالية من سوء الاستخدام من قبل انتهاكات الأمن؛ إذا تم تصميم نظام يسهل الوصول إليه فيصبح النظام غير آمن. وإذا تم توصيله بالماء يصبح من المستحيل استخدامه مرة أخرى. وهذا ما يعرف أحياناً باسم قاعدة أندرسون.
العديد من الطبقات وأنواع مراقبة أمن المعلومات مناسبة لقواعد البيانات، بما في ذلك:
صلاحية التحكم صلاحية الدخول
التدقيق
المصادقة
التشفير
مراقبة النزاهة
النسخ الاحتياطية
أمن التطبيق
أمن قاعدة البيانات تطبيق الأسلوب الإحصائي
وقد تم تأمين قواعد البيانات إلى حد كبير ضد القراصنة من خلال تدابير أمن الشبكات مثل الجدران النارية، ونظم الكشف عن التسلل القائمة على الشبكة. وفي حين تظل ضوابط أمن الشبكات ذات قيمة في هذا الصدد، فإن تأمين نظم قواعد البيانات نفسها، والبرامج / الوظائف والبيانات الموجودة فيها، يمكن أن يصبح أكثر أهمية نظرا لأن الشبكات تفتح على نحو متزايد أمام النفاذ الواسع النطاق، ولا سيما النفاذ إليها من الإنترنت. وعلاوة على ذلك، كانت دائما ضوابط النظام والبرنامج والوظائف والوصول إلى البيانات، إلى جانب الوظائف المرتبطة بتحديد هوية المستخدم والتوثيق وإدارة الحقوق، مهمة للحد من أنشطة المستعملين والإداريين المرخص لهم، وفي بعض الحالات تسجيلها. وبعبارة أخرى، هذه هي النهج التكميلية لأمن قاعدة البيانات، التي تعمل في كلا الاتجاهين من الخارج إلى الداخل ومنالداخل إلى الخارج كما كانت من قبل.
وتضع العديد من المنظمات معاييرها الأمنية الخاصة "الأساسية" وتصاميمها بالتفصيل في تدابير الرقابة الأمنية الأساسية لأنظمة قواعد البيانات الخاصة بها. وقد تعكس هذه المتطلبات متطلبات أمن المعلومات العامة أوالالتزامات التي تفرضها سياسات أمن المعلومات المؤسسية والقوانين واللوائح المعمول بها على سبيل المثال المتعلقة بالخصوصية ولإدارة المالية وغيرها ، إلى جانب ممارسات أمن قواعد البيانات الجيدة و المقبولة مثل التقيد المناسب بالنظم الساسية (، وربما توصيات أمنية من نظام قاعدة البيانات ذات الصلة وبائعي البرامج. وعادة ما تحدد التصاميم الأمنية لنظم قواعد بيانات معينة المزيد من وظائف إدارة الأمن وإدارتها مثل الإدارة والإبلاغ عن حقوق وصول المستعملين وإدارة السجلات والتحليل وتكرار قاعدة البيانات / التزامن والنسخ الاحتياطية مع مختلف ضوابط أمن المعلومات التي يحركها العمل في قاعدة البيانات مثل التحقق من صحة إدخال البيانات وتدقيقها. وعلاوة على ذلك، تدمج عادة مختلف الأنشطة المتصلة بالأمن (الضوابط اليدوية) في الإجراءات والمبادئ التوجيهية وما إلى ذلك فيما يتعلق بتصميم قواعد البيانات وتطويرها واستخدامها وإدارتها وصيانتها.
No comments:
Post a Comment