Ödevler

Yayınlandı Temmuz 12th, 2014 | by Emre

Veritabanı Güvenliği ve Veritabanını Tehdit eden unsurlar ve çözümleri

Veritabanı Güvenliği ve kapsamı

Veritabanının amacı; korsanları ve yetkisiz personelin verilere illegal şekilde ulaşmasını engellemektir, korumaktır. Genellikle erişim kontrolü, denetim, ve şifreleme ‘yi kapsar.

Tehdit, bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini olumsuz yönde etkileme olasılığı olan tanımlı risklerdir. Tehditlerin etkili olabilmesi için veritabanı yönetim sistemleri üzerindeki zafiyet ve zayıflıkları kullanmaları gereklidir, bu tehditlerin bir kısmı şunlardır:

1- Doğal Afetler
Deprem, yangın, su baskını, sel, ani sıcaklık değişimleri, toprak kayması, kasırgalar, fırtınalar ve çığ düşmesi gibi afetler tüm bilgi sistemlerinin zarar görmesine veya çalışmamasına sebebiyet vermektedir. Bu tür tehditleri en az indirgemek için kurumsal yapıya uygun felaket senaryoları kurulmalıdır.

2- Prosedürsel Eksiklikler
Veritabanı yedekleme prosedürlerinin olmaması, veritabanı kurulum ve bakımı ile ilgili prosedürlerin eksikliği buna örnektir.

3- İnsan Faktörü
istem dışı veya kasıtlı olarak yapılan kullanıcı davranışlarıdır.

  • Veritabanı sunucularının fiziksel güvenliğinin sağlanamaması
  • Veritabanı kayıtlarının (log) analiz edilmeden silinmesi veya hiç tutulmaması
  • Veritabanının hatalı yedeklenmesi, hiç yedek alınması veya alınan yedeklerin test edilmemesi

4- Web Üzerinden Gelen Tehditler
güvensiz altyapılar, güvensiz kodlama, hatalı yapılandırma, vb unsurlardan kaynaklanan tehditlerdir.

5- SQL enjeksiyonu

  • Veritabanları üzerinde istenmeyen işlemlerin(sorgulama, ekleme, silme, değiştirme, vb.)yapılabilmesi
  • Kimlik doğrulama mekanizmaları atlatılabilmesi
  • İşletim sistemi seviyesinde komutların çalıştırılabilmesi
  • Yeni kullanıcılar veya gruplar oluşturulabilmesi gibi bir çok saldırı bu yöntemle yapılabilmektedir

6- Veritabanı Solucanları
bilgisayarlara bulaşan ve bilgisayar ağları üzerinde hızla yayılan saldırı yapma amaçlı kullanılan zararlı yazılımlardır

Korunma Yöntemleri

  • İnsan Güvenliği (Farkındalık)
  • Haberleşme ve Ağ Güvenliği
  • Sunucu Güvenliğinin Sağlanması
  • Uygulama Güvenliğinin Sağlanması
  • Bilgi Güvenliği Politikaları

*Bu Yazı MIS403 Ass #1 Ödevi için yazılmıştır.(http://kehk.wordpress.com/2014/07/08/assignment-1-mis403-database-security/)
*Yazının İngilizcesi için Tıklayınız

Tags: , ,



Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Back to Top ↑