بخشی از پاورپوینت

اسلاید 1 :

بسم الله الرحمن ا لرحیم

اسلاید 2 :

فصل 6 :
ایمنی پایگاه داده

اسلاید 3 :

ایمنی: عبارتست از حفاظت داده ها در قبال دستیابی غیر مجاز، تغییر غیر مجاز یا تخریب آن ها و نیز در قبال دستیابی به داده ها با سوء نیت

تفاوت ایمنی با مفهوم جامعیت:
در ایمنی مسئله حفاظت داده ها در مقابل کاربر غیر مجاز مطرح است ولی در جامعیت حفاظت داده ها در مقابل عملیات کاربر مجاز اعمال می شود.

ایمنی مهمترین مسئله در شرکت هایی است که می خواهند از طریق وب فعالیت تجاری داشته باشد و این مسئله از دو جنبه شایان توجه است:

ایمنی انتقال داده ها
ایمنی ذخیره سازی داده ها و دستیابی به آنها

اسلاید 4 :

خطرات: خطر هر وضعیت یا رویدادی است که عملاً یا سهواً، روی سیستم و در نتیجه روی سازمان تأثیر نامساعد داشته باشد.

منشأ خطر ممکن است شخص، اقدام، یا یک وضعیت خاص باشد که احتمالاً سبب ایجاد آسیب یا زیان در سازمان می شود.
 
یک سیستم ایمن سیستمی است که کمترین خطرات آن را تهدید می کند و در صورت بروز خطر، کمترین آسیب را ببیند.

طراحی تدابیر مقابله با خطرات و اعمال آن ها در صورت لزوم، باید از نظر هزینه/سودمندی قابل توجیه باشد.

اسلاید 5 :

خطرات را می توان به دو دسته کلی خطرات فیزیکی و خطرات منطقی تقسیم کرد.

خطرات اعم از عمدی یا غیرعمدی، را از نظر ماهیت می توان به پنج رده تقسیم کرد:
ایجاد وقفه در فعالیت سیستم و ممانعت از آن
رهگیری و استراق
تغییر (داده ها و برنامه ها)
جعل (داده ها، برنامه ها و .) و دزدی
تخریب (داده ها، دستگاه ها و . )

اسلاید 6 :

انواع خطرات:
الف)خطرات غیرعمدی (اتفاقی)
درخواست سهوی داده از سوی کاربری که مجاز به دستیابی به آن داده نباشد.
ارسال پیام به کاربری که مقصد پیام نیست و در نتیجه منجر به راهیابی و دستیابی به داده می شود.
اشتباه در برقراری ارتباط سیستم با کاربری که مقصد پیام نیست.
سیستم عامل به طور اتفاقی در فایل هایی بنویسد و برخی از داده ها از بین برود.
بروز خرابی سخت افزاری (خرابی دیسک و .)
سیستم عامل فایلی را به اشتباه بخواند و محتوایش را به کاربری بفرستد.
قطع برق و از بین رفتن داده ها
بروز اشتباه در پاک کردن فایلی که باید پاک شود.
نوشتن فایل هایی و یا خواندن از فایل هایی در اثر اشتباه اپراتور

اسلاید 7 :

ب) خطرات عمدی:
رفتن روی خطوط ارتباطی برای دریافت/ارسال پیام از/به پایگاه داده ها (رهگیری)
استراق سمع برای دریافت سیگنال ها از پایانه ها، چاپگرها و .
خواندن صفحه نمایش و نسخه های چاپی خروجی که بدون مراقبت رها شده اند.
سوء استفاده از گذرواژه یک کاربر مجاز
نوشتن برنامه هایی برای دور زدن سیستم مدیریت پایگاه داده ها و زیر سیستم مجاز شماری و دستیابی به داده ها مستقیماً از طریق سیستم عامل
نوشتن برنامه هایی که عملیات غیر مجاز انجام می دهند.
استخراج اطلاعات از پایگاه داده ها از طریق پرسش هایی که با زیرکی خاصی تنظیم شده باشند
دزدی دیسک ها و نوار ها و .
ایجاد نسخه ای از پایگاه داده ها بدون درخواست از سیستم مدیریت پایگاه داده ها
.

اسلاید 8 :

مراحل اساسی تحلیل خطرات:
تشکیل تیم ایمنی
تعریف حیطه تحلیل و گرفتن جزئیات سیستم (های) سازمان
مشخص کردن تمام تدابیر مقابله
مشخص کردن تمام دارایی های سازمان (سخت افزاری، نرم افزاری، داده ها، کارکنان و .)
مشخص کردن و تخمین زدن تمام تهدید ها و خطرات
انتخاب تدابیر مقابله با هر خطر و تهدید، ارائه تحلیل هزینه/سودمندی و مقایسه آن ها با تدابیر موجود و جاری در سازمان
تنظیم توصیه ها و دستورالعمل های لازم
آزمون سیستم ایمنی

اسلاید 9 :

در سیستم های ایمنی ویژه برای مقابله با خطرات منطقی باید برای موارد زیر خط مشی مشخص و کارا وجود داشته باشد:
کنترل دستیابی به داده ها
جلوگیری از نفوذ در سیستم
شناسایی و مجازشماری کاربران
ردگیری عملیات کاربران و نگهداری آمارهایی در مورد عملیات آنها
کنترل سازگاری داده ها (تأمین جامعیت عملیاتی، جامعیت معنایی و جامعیت فیزیکی پایگاه داده ها)

اسلاید 10 :

جنبه ها ایمنی:
ایمنی از جنبه های متعددی باید مورد تحلیل و بررسی قرار گیرد و در هر جنبه باید راهکارها و تدابیر مناسب اندیشیده شود. از جمله جنبه ها عبارتند از:
جنبه قانونی – اجتماعی – اخلاقی
جنبه فیزیکی – محیطی
جنبه مدیریت انسانی
جنبه سخت افزاری
جنبه سیستم عاملی
جنبه شبکه ای
جنبه سیستم مدیریتی (DBMS)
جنبه عملیاتی
و احیاناً برخی جنبه های دیگر که ممکن است در یک محیط خاص مطرح باشند.

اسلاید 11 :

شیء ایمنی:
ضوابط ایمنی و تدابیر حفاظتی روی چه چیزهایی (چه شیءهایی) در سازمان باید اعمال شوند؟
پاسخ این است که همه اجزای سیستم های کامپیوتری و نیز محیط فیزیکی و افراد باید تحت ضوابط ایمنی قرار داده شوند و از این میان، چیزهای مهمتر عبارتند از:
داده ها (از سطح صفت (فیلد) تا کل پایگاه داده ها)
برنامه ها و تراکنش
کاتالوگ سیستم
نسخه های پشتیبان
فایل های ثبت
خود سیستم مدیریت پایگاه داده ها و ابزارهای تسهیلاتی
سیستم عامل
سخت افزار
شبکه
محیط فیزیکی
اعضای تیم مدیریتی
کاربران سیستم ها

اسلاید 12 :

تدابیر ایمنی :
تدابیر غیر کامپیوتری
تدابیر کامپیوتری

تدابیر غیر کامپیوتری:
وضع سیستم های ایمنی و تعیین طرح مقابله
کنترل افراد
جایدهی تجهیزات در مکان های امن
تنظیم توافق نامه های خرید با شرط تداوم خدمات از سوی طرف ثالث
تنظیم توافق نامه های نگهداری
کنترل دستیابی فیزیکی افراد

اسلاید 13 :

تدابیر کامپیوتری:
این تدابیر عبارتند از:
شناسایی کاربر
تشخیص اصلیت کاربر (شناسایی هویت)
مجازشماری و مدیریت آن
کنترل دستیابی
کنترل دستیابی از طریق قفل گذاری
نهان نگاری
استفاده از مفهوم دید خارجی
فرایند ردگیری
کنترل گردش اطلاعات
کنترل استنتاج

اسلاید 14 :

شناسایی کاربر: به هر کاربر یک شناسه داده می شود و از طریق آن سیستم کاربر را می شناسد. کاربر ممکن است منفرد، گروه کاربران یا سلسله مراتب کاربران باشد.

تشخیص اصلیت کاربر: این کار اولین کاری است که هر سیستم ایمنی باید انجام دهد. بدون انجام درست این کار، سایر اقدامات سیستم، مثل مجازشماری، کنترل دستیابی به طور مطلوب انجام نمی شود.

تشخیص اصلیت کاربر مبتنی بر موارد زیر است:
الف) چیزی که کاربر بداند
ب) چیزی که کاربر مالک آن است
ج) چیزی که کاربر از نظر بیولوژیک دارد.
برای این سه مورد امکانات زیر وجود دارد:
گذرواژه که بهتر است ترکیبی و طولانی باشد

اسلاید 15 :

معایب گذرواژه:
می توان آن را حدس زد
به آسانی به دیگری داده می شود
یادآوری آن، بویژه اگر همیشه استفاده نشود، آسان نیست
با کمی توجه به کاربر در حال وارد کردن گذرواژه می توان آن را یافت
لازم است که از کاربران خواسته شود مرتباً گذرواژه خود را تغییر دهند
در مواردی لازم است حداقل و حداکثر مدت اعتبار برای گذرواژه ها قائل شد

اثر انگشت کاربر
الگوی شبکه چشم
کارت الکترونیکی (حاوی یک کلید یکتا که با نهان نگاری ذخیره شده است
پرشنامه (پرسش هایی که تنها خود کاربر بتواند به آنها پاسخ دهد)
نشان (آرم)
بعضی ویژگی های بیولوژیک

اسلاید 16 :

مجاز شماری و مدیریت آن:
مجازشناسی عبارت است از اعطای یک حق امتیاز یا مجوز به کاربر به نحوی که کاربر با استفاده از آن در دستیابی به داده های مورد نظرش مجاز می شود.
انواع امتیازات (مجوز ها):
کاربر می تواند امتیاز انجام اقدامات مختلفی را دریافت کند. در مدل رابطه ای، برای اقدامات زیر می توان به کاربر امتیاز داد:
ایجاد و حذف میدان
ایجاد و حذف جدول (رابطه) مبنا
اضافه کردن یا حذف ستونی به/از جدول مبنا
ایجاد و حذف دید
ایجاد و حذف یک «محدودیت جامعیتی»
ایجاد و حذف یک استراتژی دستیابی مثلاً شاخص
اعطا یا سلب یک حق دستیابی با منظور شخصی
درخواست یک جدول لحظه ای
بازیابی از جدول مبنا یا جدول مشتق
درج جدول و حذف از جدول
به هنگام سازی جدول و تولید آرشیو از روی یک جدول

اسلاید 17 :

سیستم بسته: به این معنا که در حالیکه کاربر می تواند مجاز به دستیابی به سیستم باشد، برای دستیابی به شیء هایی خاص در سیستم باید مجوز لازم را داشته باشد.
سیستم باز: یعنی به کاربر اجازه دستیابی به تمام اشیاء در سیستم را می دهند.
بدیهی است که پیش از آنکه کاربر بتواند به داده هایی دستیابی داشته باشد باید توسط سیستم مورد شناسایی قرار گیرد.
شکل زیر فرایندی که منجر به صدور اجازه دستیابی به کاربر می شود را نشان می دهد.

قواعد کنترل دستیابی: ضوابط و محدودیت هایی است که برای دستیابی کاربران به نوع داده ها و نوع عملیات آن ها روی داده ها وضع می شود.

اسلاید 18 :

مدیرت مجاز شناسی (صدور مجوز):
مهمترین موضوع در مدیریت مجازشناسی این است که چه کس (کسانی) در سازمان می توانند مجوز داده شده به کاربران را تغییر دهند. برای این منظور باید سیاستهای مدیریتی مناسب وجود داشته باشد. که این سیاست ها توسط مدیر پایگاه داده ها و در همکاری با مدیر داده ها تعیین می شود.

اعمال کننده سیاست های ایمنی و صادر کننده مجوز های لازم در عین حال بستگی به روش کنترل دستیابی دارد. مثلاً در روش MAC، تنها مدیر ایمنی است که تصمیمات لازم را اتخاذ می کند. اما در روش DAC ممکن است بیش از یک فرد، مدیریت مجازشناسی را بر عهده داشته باشند.

اسلاید 19 :

کنترل دستیابی:
کنترل دستیابی برای محدود کردن فعالیت کاربران قانونی که اصلیت (هویت) آن ها تأیید شده باشد انجام می شود، و با تشخیص اصلیت فرق دارد.
برای کنترل دستیابی کاربر در اساس سه روش وجود دارد:
الف) روش اختیاری DAC
ب) روش اجباری MAC
ج) روش مبتنی بر نقش RBAC

اسلاید 20 :

الف) روش اختیاری (DAC):
برای کنترل دستیابی، امتیازی به کاربران اعطا و هرگاه لازم باشد، از آن ها سلب می شود.
این روش در محیط های خود مختار و در عین حال دارای همکاری متقابل، مثل محیط آکادمیک ایجاد شد.

مدیریت مجازشماری در روش اختیاری:
مدیریت مجازشماری در این روش، لزوماً حالت متمرکز ندارد و تنها بر عهده یک نفر نیست. در اساس حالات زیر وجود دارد:
مدیریت متمرکز: یک نفر اجازه دهنده، مجوزها را به کاربران می دهد یا سلب می کند.
مدیریت سلسله مراتبی: یک نفر مسئول واگذاری مسئولیت های مدیریتی به سایر مدیران است.
مدیریت جمعی (تعاونی): مجوزها با همیاری و همکاری چند نفر اعطا یا سلب می شود.
مدیریت تملکی: کاربر ایجاد کننده هر شیء، مالک آن شیء است.
مدیریت نامتمرکز: مالک یک شیء می توان اختیار مدیریت مجاز شماری را به دیگران تفویض کند
ترکیب برخی از این حالات نیز متصور است.

در متن اصلی پاورپوینت به هم ریختگی وجود ندارد. برای مطالعه بیشتر پاورپوینت آن را خریداری کنید