‫اسرتاتيجيات امن المعلومات لحماية‬

‫قواعد البيانات‬

‫‪@salnahi‬‬
‫‪1‬‬
‫‪0555161888‬‬
@salnahi
2
0555161888
@salnahi
3
0555161888
‫ماجستري علوم حاسب (‪ )Computer Science‬مرتبة الرشف االولى‬ ‫•‬
‫بكالوريوس هندسة حاسب (‪)Computer Engineer‬‬ ‫•‬
‫حاصل على درجة "مستشار" من هيئة المهندسني السعوديني‬ ‫•‬
‫متخصص في امن الشبكات واالمن السيرباني‬ ‫•‬
‫خربة ‪ 20‬سنة في تقنية المعلومات‬ ‫•‬
‫حاصل على العديد من الشهادات المهنية في مجال الشبكات‬ ‫•‬
‫وامن المعلومات‬
‫‪CCNA ,CCNP , CISSP, PMP, security + ,ITILv3 , F5 consultant‬‬ ‫•‬
‫م ‪ .‬صالح بن عبدهللا الشرمي‬
‫مدرب معتمد من المؤسسة العامة للتدريب المهين والتقين‬ ‫•‬
‫ان‬
‫السيب ي‬
‫ر‬ ‫مستشار يف أمن معلومات واالمن‬
‫في مجال تقنية المعلومات‬
‫حاصل على شهادة ‪TTT‬لتدريب واعداد المدربني‬ ‫•‬
‫مدرب معتمد يف تقنية المعلومات‬
‫دورة امن المعومات في هيئة المهندسني السعوديني‬ ‫•‬
‫العديد من الدورات ومحارضات توعوية‬ ‫•‬
‫مهتم باالعمال التطوعية والمجتمعية في مجال التقنية‬ ‫•‬

‫‪@salnahi‬‬
‫‪4‬‬
‫‪0555161888‬‬
 ‫اجندة المحارضة‬

‫تشفري البيانات الحساسة‬ ‫أساليب التحايل‬ ‫تحديث األنظمة‬ ‫التهديدات األمنية‬

‫واالستخدام اليسء‬ ‫وتحديد صالحيات‬ ‫واالخرتاقات لقواعد‬
‫للنظام‬ ‫االستخدام‬ ‫البيانات‬

‫أسئلة الحضور‬ ‫اسرتاتيجيات لحماية‬

‫قواعد البيانات‬
‫‪@salnahi‬‬
‫‪5‬‬
‫‪0555161888‬‬
‫مقدمة عن قواعد البيانات‬

‫‪@salnahi‬‬
‫‪6‬‬
‫‪0555161888‬‬
 ‫ّ‬
‫عنارص بيانات منطقية مرتبطة مع بعضها البعض بعالقة رياضية وه منظمة من‬
‫ِ‬
‫ً‬
‫عادة بصيغة ر‬
‫إلكت ّ‬ ‫ّ‬
‫ونية ‪.‬‬ ‫المخزنة‬ ‫معلومات مهيكلة أو البيانات‬ ‫قواعد البيانات‬
‫تتكون من جدول واحد أو أكت‪.‬‬ ‫‪‬‬ ‫‪DataBase‬‬

‫ويتكون الجدول من سجل (صف ) أو أكت‬ ‫‪‬‬

‫‪ ‬ويتكون السجل من حقل أو أكت‪.‬‬

‫ً‬
‫‪ -‬عادة ما تكون قاعدة البيانات تحت تحكم نظام إدارة قاعدة بيانات ‪DBMS‬‬
‫‪@salnahi‬‬
‫‪7‬‬
‫‪0555161888‬‬
 ‫ن‬
‫معي يتكون من عدة حقول مثل رقم الموظف ‪-‬‬ ‫ومثال عليه السجل الخاص بموظف‬
‫ن‬
‫التعيي ‪ -‬الراتب ‪ -‬والقسم التابع له‪،‬‬ ‫اسم الموظف ‪ -‬درجة الموظف ‪ -‬تاري خ‬
‫قواعد البيانات‬
‫‪DataBase‬‬
‫ّ‬ ‫َ‬ ‫ن‬
‫تخزن ف جهاز الحاسوب عىل نحو منظم‪ ،‬حيث يقوم برنامج (حاسوب) يسىم محرك‬
‫قاعدة البيانات ‪ database engine‬بتسهيل التعامل معها والبحث ضمن هذه‬
‫ن‬
‫وتمكي المستخدم من اإلضافة والتعديل عليها‪.‬‬ ‫البيانات‪،‬‬
‫أكت نظم قواعد البيانات استخداما أوراكل ‪ ،Oracle‬سايبيس ‪Sybase ,‬و ‪MS SQL.‬‬ ‫‪@salnahi‬‬
‫‪8‬‬
‫‪0555161888‬‬
‫قواعد البيانات‬
DataBase

@salnahi
9
0555161888
‫أهمية قواعد البيانات‬

‫‪@salnahi‬‬
‫‪10‬‬
‫‪0555161888‬‬
 ‫تخزين كمية ضخمة من البيانات بأنواع مختلفة‬ ‫‪‬‬
‫ن‬
‫الرسعة ف الوصول إىل المعلومات والبيانات‬ ‫‪‬‬
‫أهمية قواعد البيانات‬
‫البحث عن المعلومات المهمة والمخزنة‬ ‫‪‬‬
‫‪DataBase‬‬
‫ن‬
‫زيادة المرونة ف بيئة العمل‬ ‫‪‬‬

‫تسهيل تخزين البيانات والمعلومات الهامة وتحقيق قدر من االمان والرسية‬ ‫‪‬‬

‫حل المشاكل من خالل الوصول للمعلومات بشكل يست وسهل وليس عشوائيا‬ ‫‪‬‬

‫ترسي ع عملية التطوير ومركزية البيانات والحد من التكرار‬ ‫‪‬‬ ‫‪@salnahi‬‬

‫‪11‬‬
‫‪0555161888‬‬
‫التهديدات األمنية واالخرتاقات لقواعد‬
‫البيانات‬

‫‪@salnahi‬‬
‫‪12‬‬
‫‪0555161888‬‬
 ‫حجب الخدمة‬
‫‪Denial of service‬‬

‫ن‬
‫للمستخدمي عىل‬ ‫هو جعل خادم قاعدة بيانات أبطأ كثتا أو ر‬
‫حت غت متاحة‬
‫اإلطالق‪.‬‬
‫ربما أن هجوم حجب الخدمة لم يسفر عن اإلعالن أو فقدان معلومات قاعدة‬
‫البيانات‪ ،‬إال انه يمكن يكلف كثت من خسارة الوقت والمال‪.‬‬
‫‪@salnahi‬‬
‫‪13‬‬
‫‪0555161888‬‬
 ‫هجوم االلتقاط‬
‫‪sniff attack‬‬

‫ر‬
‫اإللكتونية وفائدة األنظمة الموزعة ‪ ،‬فان قاعدة البيانات‬ ‫الستيعاب التجارة‬
‫َ ن‬
‫صممت لك توزع ف نمط خادم الزبون ‪.‬‬
‫المهاجمون يمكن أن يستخدموا برامج ملتقطة يمكنها رصد والتقاط تيارات‬
‫البيانات من قاعدة البيانات ‪ ،‬والحصول عىل بعض المعلومات الرسية ‪ ،‬مثل رقم‬
‫بطاقة االئتمان ألحد العمالء ‪.‬‬
‫‪@salnahi‬‬
‫‪14‬‬
‫‪0555161888‬‬
 ‫هجوم الخداع‬
‫‪spoofing attack‬‬

‫ن‬
‫قانون لدخول قاعدة البيانات‪ ،‬وبعد ذلك‬ ‫المهاجمون يستخدمون تطبيق ويب‬
‫ِ‬
‫ر‬
‫يستجع البيانات من قاعدة البيانات وعمل بعض الصفقات الغت قانونيه والرسقة ‪.‬‬
‫ن‬
‫الحصول عىل اسم المستخدم و كلمة الرس وسيستخدمها ف الدخول عىل قاعدة‬
‫بيانات ر‬
‫الرسكة‬ ‫‪@salnahi‬‬
‫‪15‬‬
‫‪0555161888‬‬
 ‫حصان طروادة‬
‫‪Trojan Horse‬‬

‫ن‬ ‫ن‬
‫برنامج ضار يدرج ف النظام‪ .‬يستقر عادة ف أنظمة التشغيل ‪ .‬حصان طروادة يمكنه‬
‫تعديل قاعدة البيانات دون أن يلحظ ذلك من قبل المدير ‪.‬‬
‫ن‬ ‫‪@salnahi‬‬
‫وضع حصان طروادة ف نظام قاعدة البيانات إما عن طريق خارج او طرف داخىل‬ ‫‪16‬‬
‫‪0555161888‬‬
‫تحديث األنظمة وتحديد صالحيات‬
‫االستخدام‬

‫‪@salnahi‬‬
‫‪17‬‬
‫‪0555161888‬‬
 ‫‪ -‬عدم قبول طلبات اإلتصال من جهات غت موثوق‬
‫‪ -‬ضبط الحد األقىص للمحاوالت الفاشلة‬
‫التهيئة و الضبط المناسب‬
‫ن‬ ‫للقواعد البيانات‬
‫‪ -‬إن األخطاء التمجية والثغرات ف أنظمة إدارة قواعد البيانات تعتت من‬
‫الت تضعف أمن النظام‪ ،‬لذلك من المهم ن‬
‫والضوري جدا متابعة‬ ‫المصادر ر‬

‫التحديثات الجديدة و الحصول عليها من قبل منتج النظام و تنصيبها حال‬

‫توفرها‬
‫‪@salnahi‬‬
‫‪18‬‬
‫‪0555161888‬‬
‫إستخدام وسائل تحديد صالحيات اإلستخدام ‪Access Control Methods‬‬
‫المناسبة‬ ‫تحديد الصالحيات‬
‫وه آليات معينة لتحديد صالحيات ونطاق المستخدم لوصول إىل البيانات‪،‬‬
‫ي‬
‫فبناءا عىل هوية المستخدم يمكن تحديد تلك الصالحيات‪.‬‬

‫يوجد هنالك ثالثة طرق معروفة يمكن إستخدامها‬

‫‪@salnahi‬‬
‫‪19‬‬
‫‪0555161888‬‬
 ‫فف هذه الطريقة ال يمكن‬ ‫ر‬
‫تعتب هذه الطريقة من أكب الطرق رصامة‪ ،‬ي‬
‫ر‬
‫للمستخدم منح صالحية الوصول إىل البيانات لمستخدم آخر‪.‬‬ ‫ضبط الوصول اإللزامي‬
‫‪Mandatory Access Control‬‬
‫بل عىل العكس جميع الصالحيات مثبتة و معروفة و اليوجد هنالك مرونة يف‬ ‫‪MAN‬‬

‫تحديد الصالحيات عىل مستوى البيانات‪.‬‬

‫تستخدم غالبا هذه الطريقة يف التطبيقات العسكرية‪ ،‬حيث من المألوف أن نجد‬
‫التصنيف رسي ‪Secret‬و رسي للغاية ‪Top Secret‬‬
‫‪@salnahi‬‬
‫‪20‬‬
‫‪0555161888‬‬
 ‫بدال عن منح الصالحيات للمستخدم ر‬
‫مبارسة ‪ ،‬يمكن منح الصالحيات إىل أدوار‬ ‫ضبط الوصول الرمتكز على الدور‬
‫‪Role Based Access Control‬‬
‫أو مناصب معينة ‪ Roles‬و من ثم إسناد المستخدمي إىل األدوار المناسبة لهم ‪.‬‬
‫يف هذه الطريقة يحصل المستخدم عىل جميع الصالحيات الموجودة يف الدور‬
‫المسند إليه‪.‬‬

‫‪@salnahi‬‬
‫‪21‬‬
‫‪0555161888‬‬
‫فف هذه الطريقة يمكن للمستخدم‬
‫تعتب هذه الطريقة من أقل الطرق رصامة‪ ،‬ي‬
‫ر‬ ‫ضبط الوصول اإلختياري‬
‫‪Discretionary Access Control‬‬
‫منح صالحية الوصول إىل البيانات لمستخدم آخر‪.‬‬
‫وتحتوي هذه الطريقة عىل ر ئ‬
‫ش من الخطورة‪ ،‬حيث يمكن إعطاء مستخدم‬
‫صالحيات ال يجب أن يملكها‪.‬‬

‫‪@salnahi‬‬
‫‪22‬‬
‫‪0555161888‬‬
‫ماذا تحمي في قواعد البيانات؟‬

‫‪@salnahi‬‬
‫‪23‬‬
‫‪0555161888‬‬
 ‫ماذا نحمي في قواعد البيانات‬
‫حماية المعلومات الموجودة فيها ولحمايتها يجب حماية الصفات الثالث الرئيسية‬
‫ر‬
‫الت ترتكز عليها المعلومات (الرسية‪ ،‬السالمة‪ ،‬التوفر)‬
‫الرسية ‪ :‬ضمان أن األطراف المسموح لها فقط‬ ‫‪-‬‬
‫السالمة ‪ :‬ضمان أنه ال يمكن ألي شخص غت مضح به أو التامج الضارة تغيتها‬ ‫‪-‬‬
‫التوافرية ‪ :‬يجب أن ال تزال قواعد البيانات متاحة لألشخاص المضح لهم‬ ‫‪-‬‬ ‫‪@salnahi‬‬
‫‪24‬‬
‫‪0555161888‬‬
‫أساليب التحايل واالستخدام اليسء‬
‫للقواعد البيانات‬

‫‪@salnahi‬‬
‫‪25‬‬
‫‪0555161888‬‬
 ‫إساءة استخدام االمتيازات‬

‫ن‬
‫الموظفي صالحيات الوصول مع الوقت يصبح له القدرة عىل التحكم‬ ‫‪ -‬منح بعض‬
‫ن‬
‫الكامل ف قاعدة البيانات ‪.‬‬

‫منع إساءة االستخدام عن طريق محدودية الوصول والتضي ح له فقط الوصول‬

‫للمعلومات ر‬
‫الت يحتاجها‪.‬‬
‫‪@salnahi‬‬
‫‪26‬‬
‫‪0555161888‬‬
 ‫الثغرات في نظام التشغيل‬

‫ن‬
‫وجود ثغرات أمنية ف أنظمة التشغيل األساسية مثل ويندوز ولينكس ويونيكس وما‬
‫إىل ذلك والخدمات ر‬
‫الت ترتبط بقواعد البيانات قد تؤدي إىل الوصول غت المضح به‬
‫وهذا قد يؤدي إىل هجوم تعطيل الخدمة ‪Denial of service‬‬

‫‪ -‬نن‬
‫تتيل تحديثات نظام التشغيل المتعلقة باألمن عندما تصبح متاحة‪.‬‬

‫‪@salnahi‬‬
‫‪27‬‬
‫‪0555161888‬‬
 ‫حقن ‪SQL injection‬‬

‫ن‬
‫ف هجوم حقن ‪ SQL‬المرتكب عادة يتم إدخال أو حقن بيانات قاعدة بيانات غت‬
‫مضح بها إىل قناة بيانات ‪ SQL‬الضعيفة أو الغت محمية‪ ،‬وعادة يتم استهداف‬
‫الت تشمل اإلجراءات المخزنة ومدخالت تطبيق الويب‪،‬‬ ‫قنوات البيانات ر‬

‫ثم يتم تمرير هذه البيانات المحقونة إىل قاعدة البيانات حيث يتم تنفيذها‬
‫باستخدام حقن ‪ ،SQL‬وبالتاىل المهاجم ربما كسب وصول غت مقيد إىل قاعدة‬
‫البيانات بأكملها‪.‬‬
‫‪@salnahi‬‬
‫‪28‬‬
‫‪0555161888‬‬
SQL injection ‫حقن‬

@salnahi
29
0555161888
 ‫حقن ‪SQL injection‬‬
‫ومن الممكن مكافحة حقن ‪ SQL‬عن طريق الجمع ن‬
‫بي ثالث تقنيات فعالة‪:‬‬
‫الت تتفقد حركة قاعدة البيانات وتحدد‬ ‫ر‬
‫االختاق ‪ IPS‬ر‬ ‫‪ ‬أنظمة منع‬
‫الهجمات ر‬
‫الت استهدفت والثغرات‬
‫‪ ‬والتحكم بالوصول عىل مستوى االستعالم ( ‪query-level access‬‬
‫)‪control‬الذي يقوم بتحديد االمتيازات للحد ن‬
‫األدن من العمليات‬
‫والمعلومات المطلوبة‪.‬‬
‫‪ Event Correlation ‬ترابط الحدث‬ ‫‪@salnahi‬‬
‫‪30‬‬
‫‪0555161888‬‬
 ‫ضعف المصادقة‬

‫الهندسة االجتماعية ‪Social engineering‬‬ ‫‪-‬‬

‫‪Brute force‬‬ ‫‪-‬‬
‫ن‬
‫ينبغ استخدام أقوى تقنيات المصادقة (الرموز‪ ،‬الشهادات‪ ،‬الصفات الحيوية‬
‫وغتها)‬
‫‪@salnahi‬‬
‫أقوى السياسات واستخدام المصادقة المتبادلة والمصادقة متعددة العوامل‪.‬‬ ‫‪0555161888‬‬
‫‪31‬‬
 ‫ضعف التعقب‬

‫ن‬ ‫يجب أن يتم تسجيل المعامالت الحساسة أو العادية ر‬

‫الت تتم ف قاعدة‬ ‫‪-‬‬
‫البيانات بطريقة آلية لتسوية الحوادث‬
‫الكشف عن وجود انتهاك وتتبع االنتهاك لنقطة معينة من الزمن‬ ‫‪-‬‬
‫ن‬
‫معي‪.‬‬ ‫ولمستخدم‬

‫‪@salnahi‬‬
‫‪32‬‬
‫‪0555161888‬‬
 ‫التعرض للنسخة االحتياطية‬
‫للبيانات‬

‫عادة ما تكون النسخة االحتياطية للبيانات المخزنة غت محمية من الهجوم‪،‬‬

‫ونتيجة لذلك هناك عدة انتهاكات أمنية شملت رسقة رأرسطة النسخ االحتياطية‬
‫واألقراص الصلبة لقاعدة البيانات‪.‬‬
‫ولمنع التعرض للنسخ االحتياطية للبيانات ن‬
‫ينبغ أن تكون ‪:‬‬
‫‪ -‬مشفرة‬

‫‪@salnahi‬‬
‫‪33‬‬
‫‪0555161888‬‬
‫اسرتاتيجيات لحماية قواعد البيانات‬

‫‪@salnahi‬‬
‫‪34‬‬
‫‪0555161888‬‬
 ‫التصديق‬

‫قاعدة بيانات يتم الوصول إليها عن طريق الشبكة الداخلية أو عن طريق الدخول‬
‫عن بعد – تسىم عملية الوصول " بالتصديق "‬
‫كل عملية وصول إىل قاعدة البيانات سواء كانت ناجحة أم ال يجب أن تتم‬
‫مراقبتها‪ ،‬وإتباع اإلجراءات المالئمة لها‬
‫‪@salnahi‬‬
‫‪35‬‬
‫‪0555161888‬‬
 ‫ه عملية لضمان أن قاعدة البيانات لم يدخلها احد غب مرصح له‪.‬‬
‫المراجعة ي‬
‫ر‬
‫إسباتيجية مراجعة حسابات قاعدة البيانات يجب أن تتضمن عمليات المراقبة‬ ‫الرماجعة واألدوات التحليلية‬

‫لتصديق سالمة قواعد العمل المتبعة‬

‫‪@salnahi‬‬
‫‪36‬‬
‫‪0555161888‬‬
 ‫تتكون من ‪:‬‬
‫‪ ‬جدار الحماية وه آلية تستخدم عادة لمنع التسلل من خارج الشبكة‪.‬‬ ‫هيكلية البنية التحتية‬
‫خادم الويب وتطبيقات الويب توفر خدمات متعددة للمستخدم النهان قبل‬ ‫‪‬‬
‫الوصول إىل قاعدة البيانات‪.‬‬
‫‪ ‬طبقة الشبكة الوسط الذي يتم فيه نقل البيانات‬

‫‪@salnahi‬‬
‫‪37‬‬
‫‪0555161888‬‬
 ‫التشفري لقواعد البيانات‬
‫ر‬
‫الت تم تخزينها يف قاعدة‬
‫تشفب قاعدة البيانات هو عملية تحويل البيانات ‪ -‬ي‬
‫وف تنسيق نص عادي ‪ -‬إىل نص مشفر بمساعدة خوارزمية‬
‫بيانات ‪ ،‬ي‬
‫‪ -1‬تشفب كامل محرك األقراص‬
‫ئ‬
‫الجزن‬
‫ي‬ ‫‪-2‬تشفب النظام‬
‫‪@salnahi‬‬
‫‪ -3‬تشفب قاعدة البيانات‬ ‫‪0555161888‬‬
‫‪38‬‬
‫• التشفب عىل مستوى البيانات العابرة‪ :‬وهو للمعلومات الحساسة ال ر يت تتحرك‬
‫داخل الشبكة ويمكن للمهاجم الوصول إليها من خالل التنصت‪.‬‬ ‫التشفري‬

‫• التشفب عىل مستوى البيانات الثابتة‪ :‬وهو للمعلومات الحساسة المخزنة يف‬
‫الت من الممكن للمهاجم ر‬
‫اخباقها‪.‬‬ ‫ر‬
‫قاعدة البيانات ي‬

‫‪@salnahi‬‬
‫‪39‬‬
‫‪0555161888‬‬
 ‫‪ .1‬تشفب عىل مستوى ملفات قواعد البيانات ‪ :‬بشكل كامل عىل مستوى‬
‫التخزين‪ ،‬وذلك بإستخدام برمجيات أو عتاد خاص لذلك‪.‬‬
‫طرق لتشفري قواعد البيانات‬
‫‪ .2‬تشفب عىل مستوى أعمدة الجداول يف قواعد البيانات ‪ :‬يتم تشفب الحقول‬
‫تنتىم إليها‪.‬‬ ‫ر‬
‫الت‬
‫ي‬ ‫يف جداول البيانات بناء عىل األعمدة ي‬
‫التطبيف الذي يستخدم قواعد البيانات ‪ :‬قبل‬‫ر‬ ‫البنامج‬
‫ي‬ ‫‪ .3‬تشفب عىل مستوى ر‬
‫البنامج بنفسه بتشفب البيانات‪.‬‬
‫تخزين البيانات يقوم ر‬
‫‪@salnahi‬‬
‫‪40‬‬
‫‪0555161888‬‬
‫تغيب كلمة المرور حالما يتم االنتهاء من تثبيت قاعدة البيانات‬

‫كلمات الرمور لقواعد البيانات‬

‫‪@salnahi‬‬
‫‪41‬‬
‫‪0555161888‬‬
 ‫اسماء المستخدمني لقواعد‬
‫البيانات‬

‫ر‬
‫الت ليست قيد االستخدام‬
‫إزالة حسابات المستخدمي ي‬
‫‪@salnahi‬‬
‫‪42‬‬
‫‪0555161888‬‬
 ‫سياسة كلمات الرمور‬

‫وضع سياسة عالية الحساسية عىل كلمات المرور للمستخدمي وفرض سياسة‬
‫تغيبها كل ر‬
‫فبة تجنبا لتعرضها للرسقة او الترسيب‬

‫‪@salnahi‬‬
‫‪43‬‬
‫‪0555161888‬‬
 ‫القيود على المستخدمني‬
‫والمساحات‬

‫ر‬
‫الت تمنح لكل مستخدم يف قاعدة البيانات‪.‬‬
‫تقييد مقدار مساحة التخزين ي‬
‫‪@salnahi‬‬
‫‪44‬‬
‫‪0555161888‬‬
 ‫النسخ االحتياطي لقواعد‬
‫البيانات‬

‫• نسخ احتياطية للبيانات بشكل دوري لضمان استعادة البيانات يف حالة فقدانها‬
‫• تأمي قاعدة البيانات ضد الثغرات األمنية‬ ‫‪@salnahi‬‬
‫‪45‬‬
‫‪0555161888‬‬
‫أسئلة واستفسارات‬
‫للتواصل للتدريب واالستشارات واالستفسارات‬

‫‪salnahi@gmail.com‬‬

‫‪0555161888‬‬

‫‪@salnahi‬‬

‫‪linkedin.com/in/salnahi‬‬

‫‪@salnahi‬‬
‫‪46‬‬
‫‪0555161888‬‬
‫شكر ًا لكم‬

@salnahi
47
0555161888