Veri
tabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir
ve veri tabanlarının(imkân dâhilinde verileri, veri tabanı uygulamalarını veya
kayıt edilmiş işlevleri(stored function), veri tabanı sistemlerini, veri tabanı
sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve
erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel
gibi çeşitli türde ve kategoride kontroller veri tabanı güvenliği kapsamı
içerisine girer. Bilgisayar güvenliği,
bilgi güvenliği ve risk yönetimi alanları içerisinde, veri tabanı güvenliği
uzmanlık gerektiren bir konudur.
Veri tabanı sistemi Güvenlik Riskleri
Veri tabanı sistemlerine yönelik güvenlik riskleri şunları kapsar.
Yetkili Veri Tabanı Kullanıcıları
Veri tabanı yöneticileri,
ağ/sistem yöneticileri, yetkisiz kullanıcılar ya da bilgisayar korsanları
tarafından yanlış kullanılması veya bu bireyler tarafından yapılan istenmeyen
tavırlar (şu şekilde örnek verirsek bilgi tabanlarındaki kritik bilgilere, meta
bilgilere veya işlevlere uygun olmayan ulaşım ya da bilgi tabanı
programlarında, yapılarında veya güvenlik yapılandırmalarında uygun olmayan
farklılıklar).
Zararlı Yazılım Etkileri
Yetkisiz ulaşım, şahsi ve kişisel
bilgilerinin sızdırılması veya ifşa edilmesi, bilgilerin ve programların
silinmesi veya zarar alması, bilgi tabanına yetkili ulaşımın kesilmesi veya
yalanlanması, diğer sistemlere yapılan hücumlar ve bilgi tabanı hizmetlerinin beklenmeyen
başarısızlıklara neden olan vakalara yol açan hasarlı yazılım enfeksiyonları;
Fazla Yüklenmeler
Performans kısıtlamaları ve kapasite meselelerinden dolayı,
yetkili kullanıcıların bilgi tabanlarını kastedildiği gibi kullanamamaları;
Bilgisayar Odasında Oluşabilecek Yangınlar
Su Baskınlar, fazla ısınmalar,
aydınlatmalar, kaza neticeyi akışkan dökülmeleri, sabit elektrik boşalmaları,
elektronik arızalar/ teçhizat arızaları ve daha öncekimeler gibi bilgi tabanı
sunucusuna fiziksel zarar veren gidişatlar;
Veri Tabanları İçerisindeki Program Açıkları Ve
Tasarım Hataları
İlişkili programların ve
sistemlerin oluşturduğu çeşitli güvenlik açıkları(örneğin yetkisiz hak
artırma), veri kayıpları/ bozulmaları, performans düşüşleri vb.
Geçersiz Veri Veya Komutların Girilmesinden Kaynaklanan
Veri Bozulması Ve/Veya Kaybı
Veri tabanı veya sistem yönetim
süreçlerinde yapılan hatalar, sabotaj/kriminal hasar vb.
DOS Saldırıları
Hizmet yasaklama atağı
olarak adlandırılan DOS hamleleri ağ makinelerine veya bilgilere ulaşımı
yasaklayan bir hamle cinsidir. Bilgi tabanı sistemlerine karşı gerçekleştirilen
DOS hücumlarında, sistemde büyük oranda bir kaynak kullanımına neden olan arama
yapma ve istek yollama operasyonları asıllaştırılarak sunucuya fazla yük
bindirilmesi ve hizmet veremez hale getirilmesi hedeflenir.
(Beyaz Net Web Sitesi, https://bit.ly/3b7Jfyc,
2021).
Bilgi Güvenliği Kontrolünün Veri tabanlarına Uygun Birçok Türü Ve Katmanları Vardır.
·
Erişim kontrolü
·
Denetim
·
Kimlik doğrulama
·
Şifreleme
·
Bütünlük kontrolleri
·
Yedekleri
·
Uygulama güvenliği
·
İstatistik Metotla
Veri tabanı Güvenliği
Veri
Tabanı Denetleme
·
Veri tabanlarının
denetimi, sistemde var olan hata ve zafiyetlerin ortaya çıkarılıp
düzeltilmesine ve önlem alınmasına yardımcı olur.
·
Erişim ve kimlik doğrulama
denetimi: Veri tabanına kimlerin ne zaman hangi metotla ve hangi içeriğe
ulaştığı gibi önemli bilgileri tutan logların kaydedilmesi
·
Güvenlik aktiviteleri
denetimi: Veri tabanında gerçekleştiren yetkisiz ve şüpheli aktivitelerin tüm
listesinin oluşturulup raporlarının tutulması
·
Zafiyet ve tehdit
denetimi: Zafiyetlerin tespit edilip düzeltilmesini amaçlayan bu denetim
yönteminde aynı zamanda bu açıklıkları istismar etmeye çalışan kullanıcıların
da saptanmaya çalışılması
·
Denetimde
değişiklikler: Denetim süreci için ilk etapta basit bir yapılandırmanın
uygulanıp sonra gereksinimlere bağlı olarak denetim politikalarının
değiştirilmesi ve uyarlanması
(Fatih
Çolak Web Sitesi, https://bit.ly/2R30PMZ,
2021).
Veri
Tabanı Güvenliği Yöntemleri
Veri Tabanındaki Datanın Önem Derecesine Göre
Sınıflandırılması
Bu
yöntemle asıl güvene alınması gereken hassas verilerin daha kolay
tanımlanabilmesinin sağlar.
Veri Tabanı Sunucularının Varsayılan(Default) Olarak Sahip
Olduğu Denetim Mekanizmalarının Kullanılması
Bu
yöntem denetim mekanizması fazla karmaşık olmayan sistemler için
kullanılabilir.
Üçüncü Parti Bir Denetim Yazılımı Ve Ağ Cihazı Kullanılması
Hem
koruma hem de Monitoring servisi veren bu aygıtlar bilgi tabanı sunucusundan
ayrı olarak kuruldukları için sunucuya ek yük bindirmezler. Kullanıcının
lüzumlarına göre özelleştirilebilen bu çözümler birçok özelliğe sahip olmasının
yanı gizeme aynı zamanda yüksek oranda tahlil neticeyi alabilmek için ayrıntılı
teftiş yaparlar.
Veri
tabanı güvenliğinin önemli bileşenlerinden biri de data şifreleme yöntemidir. Durağan
haldeki datanın şifrelenmesi kadar hareket halindeki datanın da güçlü kimlik
doğrulama kontrolleri ile mesajımı da büyük ehemmiyet taşımaktadır. Durağan
haldeki bilgiler için AES şifreleme algoritması önerilmektedir. Her bir
uygulamanın güvenliğinin öncelik derecesine göre seçilebilecek değişik
şifreleme algoritmaları arasında DES, Triple DES, DESX, 128-bit AES, 192-bit
AES, 256-bit AES sayılabilir.
Veri
Tabanı Güvenliğinin Sürekli Sağlanması İçin Periyodik Olarak Uygulanması
Gereken Adımlar Şunlardır.
·
Tahlil edilip güvenliğinin sağlanması gereken
bilgi tabanını tespit etmek
·
Lüzumluluklar göz önüne alınarak sistemin veya
bilginin güvenlik önceliğine göre sınıflandırılması
·
Bilgi tabanını zafiyetler, yanlış
yapılandırmalar ve kritik farklılıklar için taramak
·
Dataların sınıflandırılması temel alınarak
yüksek ehemmiyetteki açıklıkların yüksek öncelik verilerek kapatılması
·
Zafiyetler için uygun bir düzenleme tespit
etmek, zafiyetleri kapatmak ve sistemi aktüellemek için yamaları uygulamak
·
Zafiyet düzenleme harekâtlarının tesirini ölçmek
için düzenlemeden sonra teftiş operasyonu yinelenmelidir ve bu döngü periyodik
olarak yinelenmelidir.
(Beyaz Net Web Sitesi, https://bit.ly/2PZ80p8,
2021).
Veri
Tabanının Güvenliği İçin Neler Yapmalıyız?
İç Veri Tabanı Güvenlik
İç
veri tabanı güvenliği aşağıdaki maddelerde şu şekilde gösterilmiştir.
·
Kullanıcıların
parolaları karışık, kolay bulunabilecek biçimde verilmelidir. Büyük harf,
sembol, noktalama işaretleri vb. gibi yöntemlerle zorlayıcı olmalıdır.
·
Dolayısıyla öncelikle
iç tehditleri bertaraf etmek ve transparanlığı sağlamak gerek, daha sonra dış
tehditlere odaklanabiliriz.
·
Kullanıcıların
yetkileri sınırlanalım olmalıdır. Bütün kullanıcılar bilgi tabanı idareyicisi
de dâhil istediği tabloya rahatça ulaşıp bilgi kıskanmalıdır.
·
Bu yetkileri idareden,
sınırlayan ve tanıyan birey ile bilgi tabanının yönetimden mesul olan
şahısların değişik olması çok daha tehlikesiz olacaktır. Aksi halde zannedilen
olarak bir bilgi tabanı idareyicisi dilediği tabloya ve bilgiye erişebilir. Bu
da çok güveli bir yöntem olarak düşünülemez.
·
Bilgi tabanında
bulunan ve uzun zamandır giriş yapmamış kullanıcılar düşürülmelidir,
silinmelidir. Bunu bir güvenlik sarihi olarak tanımlarız.
·
Hele ki bu
kullanıcılarda geniş yetkiler varsa ve parolaları da kolay hipotez edilebilirse
muhteşem bir güvenlik sarihi oluştururlar.
·
Bilgi tabanındaki
Veritabanı operasyonları transaction kaydolun malıdır. Belki hepsi değil ama
özellikle kritik tablolarda lüzumludur.
·
Kim, ne zaman hangi
tabloya, hangi sorguyu gönderdi, hangi tablodan, hangi bilgileri sildi, bu
operasyonu ne zaman yaptı, neyi aktüelledi gibi suallerin cevabının verilmesi
gereken harekâtların tarihçesi kesinlikle yakalanmalıdır. Daha sonra da
anlaşılabilir olması düşünülerek raporlanmalıdır.
·
Bir bilgi tabanı
idareyicisi, bilgi tabanının içine kaydolunan bu bilgileri bilerek ya da
bilmeyerek silebilir. İşte bu sebeple operasyonlar işletim sistemine OS
yazılmalıdır. OS, başka bir deyişle işletim sistemi, başka birisi tarafından
idarendekinden, bilgi tabanı idareyicisi bile ters bir harekât yapsa, bu
kaydolunur.
·
İşletim sistemine
kaydedilen bu bilgileri bir bilgi tabanı idareyicisi silemeyebilir. Böyle
olduğundan bütün iç güvenlikten laf edebiliriz.
·
Bilgi tabanını
yedeklenirken AES şifreleme ile yedeklemeli ve mümkün kayıplarda bilgilerin
görüntülenmesi yasaklanmalıdır.
·
Vaziyete göre Müessese
içi ağın da şifrelenmesi gerekebilir. Böylelikle bilgi aktarımı sırasında
oluşacak kayıpların önüne geçilebilir.
Dış Veri Tabanı Güvenlik
Dış
veri tabanı güvenliği aşağıdaki maddelerde şu şekilde gösterilmiştir.
Bilgi tabanına
müessese dışından gelecek tüm tehditleri içermektedir.
·
Bir bilgi tabanı
internete sarihse, dış tehditlere de sarih demektir.
·
Yapılan bilimsel
araştırmalar gösteriyor ki bir bilgi tabanında hırsızlık olduğunda bu, %80
oranında içeriden, %20 dışarıdan tehditle.
·
Dışarıdan gelebilecek
tehditlere karşı kesinlikle bir SQL güvenlik gidişatı olması gerekiyor. SQL’ in
yapısı anlık olarak araştırılmalıdır.
·
SQL injection olarak
bilinen bir hamle ile bilgi tabanına dışarıdan girerek, içerideki sarihleri
bulup, bilgi hırsızlığı yapılabiliyor.
·
SQL injection’da
yapısı bozuk SQL geldiğinden ve bilgi tabanı bunu zannedilen olarak
kavramadığından güvenlik Çin araya yazılımlar konumluyoruz.
·
Bütün bunları göz
önünde bulundurarak çalışan bir müessese sorgulanabilir, sarih transparan
denilebilir bir gidişattadır. Hem kendini, hem de çalışanlarını korur.
·
İşte bu noktada bulut
olarak adlandırılan depolamam bilişim sistemleri akla geliyor. Bu sistemlerin
bugün tüm dünyada yaygınlaşmasının sebebi de işte budur, hesap verilebilirlik.
·
İşte bu operasyonlar
Karya Teknoloji ve Danışmanlık Hizmetleri AŞ. Tarafından sağlandığından ve
kontrat altında olduğundan bir kasvet çıkmaz.
(Karya BT Web Sitesi, https://bit.ly/3um4ZOu, 2021).
0 Comments:
Yorum Gönder