پشتیبانی: 09131253620
ارتباط با ما
تلگرام: 09131253620

برجسته ترین ها
گروه های مقاله ها
HyperLink


بررسی اصول امنیتی پایگاه های داده بخش هفتم تاریخ درج: ١٣٩۵/٠۴/١۴

 • مديريت اختيارات : سياست مبتني بر نقش از يك استقلال منطقي  در تعريف اختيارات كاربران برخوردار است. با تقسيم‌بندي عمل انتساب اختيار به دو بخش، كه يكي از بخش‌ها كاربران را به نقش‌ها انتساب مي دهد و بخش ديگر حق دسترسي منابع به نقش‌ها را معين مي‌كند به اين مهم دست مي‌يابد. اين كار به مقدار بسيار زيادي مديريت امنيت را آسان مي‌كند. به عنوان مثال فرض كنيد مسئوليت‌هاي يكي از كاربران به علت ترفيع درجه تغيير كند. مي‌توان نقش‌‌هاي گذشته را حذف و نقش‌‌هاي متناسب با مسئوليت‌هاي جديد را به وي انتساب داد. اگر تمامي اختيارات بين منابع و كاربر برقرار باشد بايد تمام حقوق دسترسي قبلي كاربر حذف شده و حق دسترسي‌هاي جديد ايجاد شوند كه اين كار بسيار وقت‌گير است.

استفاده از سلسله مراتب : در بسياري از سازمان‌ها نقش‌ها بصورت سلسله مراتبي ، بر اساس اصول و مشخصه‌هاي سازمان تعريف مي‌شوند. يك مثال از اين نمونه در شكل1-12 آورده شده است. در اين شكل نقش‌هاي مهندسي نرم‌افزار و سخت‌افزار نمونه‌اي از نقش مهندسي هستند.كاربري كه نقش مهندسي نرم‌افزار( يا سخت افزار) را دارد ، مزايا و اختيارات كلي و عمومي خود را از نقش مهندسي دريافت مي‌كند. نقش ناظر نيز اختيارات و مزاياي عمومي خود را از دو نقش مهندسي نرم‌افزار و سخت‌افزار دريافت مي‌كند. نتيجتا تعريف نقش‌ها بصورت سلسله مراتبي باعث ساده شدن مديريت اختيارات مي‌شود.
نمونه ای از ارث برداری در نقش ها
 
شکل 2-12 : نمونه‌ای از ارث ‌بری در نقش‌ها

جداسازي وظيفه‌ها: جداسازي وظيفه‌ها به اين اصل اشاره دارد كه به هيچ كاربري نبايد آنقدر اختيارات داده شود كه بتواند از آنها به نفع خود سوءاستفاده كند. جداسازي وظيفه‌ها را مي‌توان بصورت استاتيك(با تعريف نقش‌هايي كه بوسيله كاربر قابل اجرا نيستند) و يا پويا(با اعمال كنترل بر روي دسترسي‌ها در زمان دسترسي) پياده‌سازي كرد.
كلاس‌بندي منابع: سياست مبتني بر نقش كاربران را بر اساس نقش‌هايي كه اجرا مي‌كنند كلاس‌بندي مي‌كند. اعمال اين كلاس‌بندي بر روي منابع مزاياي بسياري دارد.به عنوان مثال يك كارمند بانك بايد به حساب‌هاي بانكي و يك منشي به نامه‌ها و يادداشت‌ها دسترسي داشته باشد. منابع بايد بر حسب نوعشان( نامه‌ها ، دستورعمل‌ها و ...) يا محدوده عملياتي(نامه‌هاي تجاري ، تبليغاتي و ...)طبقه‌بندي شوند. تفويض اختيار به نقش‌ها بايد بر اساس طبقه‌بندي منابع ، صورت گيرد نه بر اساس يك منبع خاص . به عنوان مثال همانطور كه گفته شد منشي نياز به دسترسي به نامه‌ها دارد. به جاي دادن حق خواندن و نوشتن بر روي تك تك نامه‌ها اين اختيارات به كل كلاس نامه‌ها داده مي‌شود. با توجه به مطالب ياد شده اين رويكرد مديريت تفويض اختيار را آسان و كنترل آن را ساده مي‌كند.
2-5  مديريت تفويض اختيار
مديريت تفويض اختيار به اين معني است كه چه كسي مجاز به تغيير دسترسي‌هايي است كه اعطا شده است. اين مسئله يكي از مهم‌ترين مسائل كنترل دسترسي مي‌باشد. در سياست اجباری كنترل دسترسي ، دسترسي‌هاي مجاز ، بر اساس كلاس‌بندي منابع و درخواست‌كننده‌ها مشخص مي‌شوند. سطوح امنيت، بوسيله مدير امنيت به كاربر انتساب داده مي‌شوند. مدير امنيت در واقع تنها كسي است كه مي‌تواند سطوح امنيت مرتبط با درخواست‌كننده‌ها و منابع را تغيير دهد. بنابراين سياست‌هاي مديريتي ، بسيار ساده مي شوند. سياست تشخیص كنترل دسترسي اجازه فعاليت بسياري از سياست‌هاي مديريتي را مي‌دهد كه در ذيل به بررسي چند نمونه از آن‌ها مي‌پردازيم:
مديريت متمركز: يك اختيار‌دهنده( يا گروه اختيار دهنده) مجاز به واگذاري اختيار به كاربر و يا لغو اختيار از وي مي‌باشند.
سلسله مراتب: در اين سيستم‌ها يك اختيار دهنده مركزي وجود دارد كه وظيفه او تفويض مسئوليت‌هاي مديريتي به ديگر مديران است. اين مديران مي‌توانند اختيارات ساير كاربران را تغيير دهند. در ضمن مي‌توان مديران را بر اساس چارت سازمان با مسئوليت‌هاي متفاوت طبقه‌بندي كرد.
همكاري: اعطاي يك اختيار خاص بر روي منابع نياز به تاييد و همكاري چندين مدير را دارد.
مالكيت: يك كاربر مالك منابعي است كه خود ايجاد كرده‌است و مي‌تواند به كاربران ديگر حق دسترسي اعطا كرده و يا حق دسترسي را سلب كند.
مديريت غير متمركز: در مديريت غير متمركز مالك يك منبع مي‌تواند امتياز مديريت تفويض اختيار بر روي آن منبع را به كاربران ديگر اعطا كند.
سياست مبتني بر نقش نيز همانند سياست تشخیص ، طيف وسيعي از سياست‌هاي مديريتي را پشتيباني مي‌كند.در اين راستا نقش‌ها سهم بسزاي در امر مديريت اختيار دارند.
2-6  جمع‌بندي
كنترل دسترسي به منظور رسيدن به اهداف امنيت و صحت ضروري است. رويكرد رايج براي پياده‌سازي كنترل دسترسي ليست دسترسي مي‌باشد.
سياست‌هاي تشخیص و اجباری كنترل دسترسي مباحث كلاسيك در مقوله امنيت مي‌باشند. تفاوت‌هاي اين دو سياست بسيار مفيد است ولي اين دو سياست در عمل توانايي كمي دارند. سياست مبتني بر نقش يك جايگزين مناسب براي سياسست خشك و غير منعطف اجباری است مضاف اينكه انعطاف‌پذيري سياست تشخیص را نيز دارد.
در پايان لازم بذكر است يكپارچه‌سازي امنيت كامپيوتر و شبكه(يا انتقال) براي دستيابي به اصول حقيقي در امنيت اطلاعات ، امري ضروري است. اگرچه تلاش‌‌هاي بسياري در اين زمينه شده ولي هنوز راه درازي باقيست.
 
بررسي امنيت در نرم‌ افزار SQLServer
 
3-1  مقدمه
امنیت درSQLServer2005 شامل هویت شناسی ، تفویض اختیار و رمزنگاری می‌باشد. تعیین اینکه چه افرادی به SQLServer دسترسی داشته باشند و هر یک از این افراد چه دسترسی‌هایی داشته باشند امری اساسی است. در ذیل به بررسی این مفاهیم در SQLServer2005 می‌پردازیم.
3-2  هویت شناسی
هویت شناسی مهمترین مساله‌ای است که در فرایند نصب با آن مواجه هستیم و مهمترین تصمیمی‌که در مورد سرویس دهنده ( SQLServer ) باید گرفته شود تعیین مد هویت شناسی است. برای هویت شناسی دو انتخاب وجود دارد : مد هویت شناسی ویندوزی (WAM)  و مد ترکیبی (MM)  که به بررسی آنها می‌پردازیم.
3-2-1  مد هویت شناسی ویندوزی (WAM)
برای برقراری ارتباط ، با ویندوز‌های 2000/2003/XP –بر خلاف ویندوز‌های 9X و 98 که استفاده از ID در آن اختیاری است- باید ، از یک شناسه کاربری  (ID) استفاده شود. قبل از اینکه کاربر قادر به داخل شدن به سیستم باشد  ، باید ID و کلمه رمز (PW) در ویندوز اعتبارسنجی  شوند. در واقع با این عمل ، ویندوز اختیارات کاربر را می‌سنجد و همچنین گروهی را که کاربر به آن متعلق است(حق دسترسی) را تشخیص می‌دهد. کاربر ، ممکن است مدیر   باشد. کاربری با این حق دسترسی ، قادر به انجام هر کاری می‌باشد. همانطور که در بخش‌های قبل توضیح داده شد ، هر چه در سطوح امنیت به سمت پایین حرکت کنیم دسترسی‌ها کمتر و اختیارات محدود تر می‌شود و این مبنای ایجاد یک ارتباط سالم است. برنامه‌هایی که پس از برقراری ارتباط با ویندوز شروع به کار می‌کنند ، به دلیل اینکه توسط ویندوز اعتبارسنجی شده‌اند و بررسی‌های امنیتی بر روی آن‌ها انجام شده‌است ، قابل اطمینان هستند . به همین دلیل هنگامی‌که ما وارد سیستم عامل ویندوز می‌شویم ، SQLServer از وجود یک ارتباط مطمئن   بهره می‌برد و این به این معنی است که اعتبار سنجی یاد شده توسط ویندوز از نظر SQLServer قابل اعتماد است. فرض کنید کاربری به سیستم از طریق ویندوز راه پیدا کرده و سعی بر اجرایSQLServer داشته باشد. SQLServer به بررسی گروه ویندوزی که کاربر به آن متعلق است می‌پردازد و وضعیت امنیتی گروه را بررسی می‌کند تا دریابد آیا این گروه مجاز به دسترسی به SQLServer هست یا نه. اگر کاربری جزء گروه مدیر ، در ویندوز باشد قادر به ایجاد ارتباط با SQLServer است. این کاربر توانایی انجام هر فعالیتی را در مد یاد شده دارد. البته امکاناتی در داخلSQLServer وجود دارد که دسترسی مدیر ویندوز را نیز به SQLServer محدود می‌کند.

 

 


تگها: ارث برداری در نقش ها   اصول امنیتی database   امنیت پایگاه داده   امنیت در SQL Server   امنیت دیتابیس   
 

HyperLink

ارسال نظر در مورد این مطلب
نام :  
آدرس ایمیل :  
متن پیام :  
کد امنیتی :  
   
   
نظری برای نمایش وجود ندارد
 
این مطلب را به اشتراک بگذارید: