امنیت پایگاه داده در رابطه با استفاده از طیف وسیعی از روشهای کنترل امنیت اطلاعات است به منظور محافطت از پایگاه داده (شامل داده، برنامه های کاربردی یا توابع ذخیره شده، سیستم های پایگاه داده، سرورهای پایگاه داده) در برابر توافقات محرمانگی، جامعیت و در دسترس پذیری پایگاه داده. که این شامل انواع مختلف از روشهای کنترلی مانند فنی، رویه ای و فیزیکی می باشد. امنیت پایگاه داده یک موضوع تخصصی در عرصهامنیت رایانه‌ای، امنیت اطلاعات و مدیریت ریسک است.

برای مثال، ریسکهای امنیتی مرتبط با سیستم های پایگاه داده شامل موارد زیر می باشد:

• فعالیت های غیر مجاز و یا ناخواسته و یا سوء استفاده توسط کاربران مجاز پایگاه داده، راهبران پایگاه داده، مدیران سیستم / شبکه، و یا توسط کاربران غیرمجاز و هکرها (برای مثال دسترسی نامناسب به داده های حساس، متا داده یا توابع درون پایگاه داده، یا تغییرات نامناسب در برنامه های پایگاه داده، ساختارها یا تنظیمات امنیتی)؛
• مشکلات بدافزارها که میتواند باعث بروز حوادثی مانند دسترسی غیرمجاز، افشای اطلاعات شخصی یا اختصاصی، حذف و یا صدمه به داده ها یا برنامه ها، وقفه و یا محرومیت از دسترسی مجاز به پایگاه داده، حمله به سیستم های دیگر و شکست غیر منتظره از سرویسهای پایگاه داده شود؛
• اضافه بار، محدودیتهای کارایی و مسایل مربوط به ظرفیت و درنتیجه ناتوانی کاربران مچاز در استفاده از پایگاه داده.

آسیبهای فیزیکی وارد شده به سرورپایگاه داده که ممکن است به دلیل آتش سوزی اتاق سرور، یا سیل، گرمای بیش از حد، رعد و برق و...

• عیوب طراحی و یا باگهای برنامه نویسی در پایگاه داده ها و برنامه ها وسیستمهای مرتبط ، تولید آسیب پذیریهای امنیتی مختلف (برای مثالتشدید)، گم / خراب شدن داده، کاهش کارایی و غیره
• خراب شدن داده و یا از دست رفتن آن به دلیل ورود داده یا دستور غیر معتبر، اشتباهات در پایگاه داده یا فرایندهای مدیریت سیستم، خرابکاریهای عمدی یا آسیبهای جنایی و غیره.

خیلی از لایه ها و انواع روشهای کنترل امنیت اطلاعات برای پایگاه داده مناسب هستند، از جمله:

• کنترل دسترسی
• رهگیری پایگاه داده (Database auditing)
• اصالت سنجی
• رمزگذاری
• یکپارچگی داده
• فرایند پشتیبان گیری
• امنیت برنامه کاربردی (Application security)

بصورت سنتی پایگاه داده تا حد زیادی در برابر هکرها از طریق اقدامات امنیتی شبکه مانند فایروال ها، سامانه تشخیص نفوذ مبتنی بر شبکه، امن شده‌اند. در حالیکه کنترلهای امنیتی شبکه همچنان در این زمینه با ارزش هستند، ایمن ساختن سیستم های پایگاه داده، و برنامه ها/توابع و داده های درون آن، بطور مستدل بسیار بحرانی تر شده‌اند هنگامیکه شبکه ها به منظور دسترسی گسترده تر بازتر میشوند، مخصوصا دسترسی از طریق اینترنت. علاوه بر این، سیستم، برنامه، تابع و کنترلهای دسترسی به داده، همراه با شناسایی کاربر مرتبط، تصدیق و توابع مدیریتی حقوق، همواره برای محدود کردن و در برخی موارد پیگیری فعالیتهای مدیران و کاربران مجاز مهم است.

بسیاری از سازمانها خط مبنای استانداردهای امنیتی و طرح جزییات اقدامات اساسی کنترل امنیتی برای سیستمهای پایگاه داده خود را توسعه داده‌اند.

ارزیابی آسیب پذیری و موافقت[ویرایش]

یک روش برای ارزیابی امنیت پایگاه داده شامل انجام ارزیابی آسیب پذیری یا تست نفوذ به پایگاه داده می باشد. آزمایش کنندگان همواره تلاش می کنند تا آسیب پذیریهای امنیتی را پیدا کنند که می تواند برای از بین بردن یا دور زدن کنترلهای امنیتی استفاده شوند. مدیران پایگاه داده و یا مدیران امنیت اطلاعات ممکن است به عنوان مثال از اسکنهای خودکار آسیب پذیری برای یافتن اشکلات پیکربندی استفاده کنند. از نتایج چنین اسکنهایی باعث مقاوم شدن پایگاه داده (بهبود کنترل های امنیتی) و بستن آسیب پذیری های خاص شناسایی شده استفاده می شود، اما متأسفانه دیگر آسیب پذیریها معمولاً ناشناخته باقی می ماند. برنامه نظارت مستمر برای پیروی از استانداردهای امنیتی پایگاه داده، یک وظیفه مهم دیگر در محیط پایگاه داده است. دو جنبه مهم از انطباق امنیت پایگاه داده عبارتند از: مدیریت وصله و بررسی و مدیریت مجوزها (به خصوص عمومی) که درون پایگاه داده به اشیاء داده می شود. اشیای پایگاه داده ممکن است شامل جدول و یا اشیاء دیگر از طریق پیوند بین جداول به وجود می آیند، باشد.

انتزاع[ویرایش]

مکانیزمهای دسترسی و تصدیق در سطح برنامه های کاربردی باید بعنوان یک وسیله موثر جهت فراهم نمودن انتزاع در سطح لایه پایگاه داده درنظر گرفته شود.

نظارت بر فعالیت پایگاه داده[ویرایش]

یکی دیگر از لایه های امنیتی که از یک ماهیت پیچیده تر برخوردار است شامل نظارت بر فعالیت های پایگاه داده، با استفاده از تجزیه و تحلیل ترافیک پروتکل (SQL) بر روی شبکه، و یا با مشاهده فعالیت های پایگاه داده محلی بر روی هر سرور با استفاده از عوامل نرم‌افزار و یا هر دو می باشد. استفاده از عاملها به منظور ضبط فعالیتهای اجرا شده بر روی سرور پایگاه داده، که معمولاً شامل فعالیتهای مدیران پایگاه داده است، مورد نیاز می باشد.

تجزیه و تحلیل را می توان به منظور شناسایی سوء استفاده شناخته شده و یا نقض سیاست، و یا خطوط مبنایی که در طول زمان می تواند ضبط شود ، اجرا کرد تا یک الگوی طبیعی را ساخت برای تشخیص فعالیت غیرعادی که می تواند نشان دهنده نفوذ باشد. این سیستم علاوه بر مکانیسم های تشخیص نفوذ می تواند دنباله ای جامع از بازرسیهای پایگاه داده فراهم می کند، و همچنین برخی از سیستم ها بوسیله خاتمه دادن به جلسات کاربران و یا با قرنطینه کردن کاربرانی که رفتار مشکوک دارند یک سطح از حفاظت را فراهم آورند.

بازرسی محلی[ویرایش]

علاوه بر استفاده از ابزارهای نظارت و یا بازرسی، قابلیتهای بازرسی پایگاه داده بصورت محلی، برای بسیاری از پلتفرمهای پایگاه داده موجود است. دنباله ای از بازرسیهای محلی را می توان به صورت منظم استخراج کرده و به یک سیستم امنیتی طراحی شده انتقال داد که مدیران پایگاه داده به آن دسترسی نداشته باشند.

فرایند و رویه ها[ویرایش]

یک برنامه ی امنیتی پایگاه داده باید شامل یکسری بازدیدهای منظم از مجوزهایی که به حسابهای کاربری شخصی و حسابهایی که توسط فرایندهای خودکار اعطا شده باشد. حسابی که توسط فرایند خودکار استفاده میشود باید کنترلهای مناسبی در ارتباط با ذخیره رمز عبور داشته باشد بعنوان مثال رمزنگاری و کنترلهای دسترسی کافی بمنظور کاهش ریسک توافقات. برای حسابهای شخصی، یک نوع اصالت سنجی باید در یک محیط پایگاه داده درنظر گرفته شود جایی که ریسک متناسب با هزینه های مرتبط با سیستمهای تصدیق باشد.