امنیت داده ها و روش های رمزگذاری

امروزه اکثر سیستمها از یک سیستم امنیتی برای پیاده سازی امنیت استفاده میکنند. یک سیستم امنیتی

یک لایه نمیتواند از سیستم به طور کارا محافظت کند، بلکه باید از چند لایه امنیتی برای ایجاد امنیت استفاده کرد.

هر چند که این لایهها نمیتوانند خود به تنهایی ضامن برقراری امنیت باشند، اما ترکیبی از آنها، قدرت امنیت را

افزایش میدهد. رمز گذاری دیتابیس به تنهایی نمیتواند به تنهایی ضامن امنیت باشد ولی میتواند به عنوان

یک لایه امنیتی به کار رود.

به یاد داشته باشید قبل از رمز گذاری حتما Access Control ها را در دیتابیس تنظیم کرده باشید. این بدین معناست

که کاربران و عملیاتی که آنها در دیتابیس قادر به انجام آن هستند را حتما تعریف و تنظیم کرده باشید. بعد از این که

کنترل دسترسیها را انجام دادیم، نوبت به رمز گذاری دادهها میرسد. رمز گذاری برای این منظور به کار

می رود که در صورتی که سطح اول امنیت که همان Access Control میباشد به هر دلیلی شکسته شد،

داده ها به راحتی قابل دسترسی نباشند.

نکته ای که در اینجا باید بدان اشاره کرد، این است که در صورتی که اطلاعات مهم خود را در یک فایل قرار می دهیم،

باید آن را اولا در فایل سیستم NTFS قرار داده، در ثانی به علت اینکه امکان دارد به هر علت به فایل دسترسی پیدا

شود، باید خود فایل را هم رمز گذاری کرد. فقط به یاد داشته باشید که رمز گذاری خود مانعی از حذف شدن فایل یا

تغییر در درون فایل نمیشود، به همین علت حتما نسخههای پشتیبان از فایلهای خود داشته باشید. لازم به ذکر است

که مایکروسافت می تواند فایلها را بر اساس کلمه عبور کاربر از طریق Encrypted File System، رمز گذاری نماید.


رمز گذاری در حال حرکت معمولا در Session Level پیاده سازی میشود(لایه شبکهای بالای پروتکلی که رمز گذاری

میشود). ارتباطات شبکه قبل از انتقال رمز گذاری شده و هنگامی که به مقصد می رسند، رمز گشایی می شوند.

این بدین معناست که هر دستورکلاینت قبل از ارسال به دیتابیس رمز گذاری شده و هنگامی که به دیتابیس رسید،

رمز گشایی میشود. نتایج نیز هنگام ارسال از دیتابیس رمز گذاری شده و در سمت کلاینت رمز گشایی میشوند.

رمز گذاری داده مستقر

رمز گذاری داده مستقر وظیفه رمز گذاری کردن دادههایی را که در دیتابیس ذخیره شدهاند را بر عهده دارد. رمز

گذاری در حال حرکت کاری برای محافظت از دادهها در نقاط انتهایی انجام نمیدهد. لازم به ذکر است اغلب حملات به

دادهها، هنگام انتقال آنها صورت نمیگیرد، بلکه این حملات در تقاط انتهایی که دادهها برای مدت زیادی قرار دارند،

صورت میگیرد. هم اکنون معمولا از رمز گذاری در حال حرکت به نحو مطلوبی استفاده میشود، ولی حتی

سختگیرترین DBAها هم کمتر از رمز گذاری داده مستقر استفاده میکنند.

روشهای رمز گذاری داده مستقر

روشهای مختلفی برای رمز گذاری داده مستقر وجود دارد که در ادامه به آنها پرداخته و نقاط ضعف و قوت هر یک را بر

میشماریم.

یکی از راههای رمز گذاری داده مستقر، رمز گذاری کردن فایلهای واقعی دیتابیس در سطح سیستم عامل میباشد.

مثالی از این روش، رمز گذاری کردن فایلهای دیتا بیس از طریق EFS )Encrypted File System) شرکت مایکروسافت در

محیط ویندوز میباشد.

این روش ضعفهایی دارد که مهمترین آنها عبارتند از:

- امکان رمز گذاری قسمت خاصی از داده وجود ندارد بلکه باید کل فایل را رمز گذاری کرد که به معنای رمز گذاری همه

دادههاست. این امر باعث مشکلاتی جدی در کارآیی سیستم هنگام خواندن دادهها از دیتابیس میشود. هر بار که

دادهای از دیتابیس خوانده میشود، آن داده رمز گذاری میشود، حتی اگر داده مهمی نباشد که بخواهیم امن باشد. به

همین علت به شدت بر روی کارآیی سیستم بار اضافه تولید میکند.

- علاوه بر مشکل فوق، بارهای اضافه هنگام ذخیره اشارهگرها، ایندکسها، و سایر ساختارهای داده داخلی برای هر

عملیاتی بر روی دیتابیس به منظور رمز گذاری و رمز گشایی دادهها به وجود میآید. برای مثال اگر بخواهیم دادهای را

در دیتابیس درج کنیم، بدیهی است که فقط این داده باید رمز گذاری شود ولی در صورتی که کل فایلها رمز گذاری

شده باشد (رمز گذاری مبتنی بر فایل) اطلاعات مربوط به محلی در فایل که داده رکورد جدید باید ذخیره شود، ایندکس

ها و سایر ساختارهای فایلی داخلی نیز باید رمز گشایی شده تا یک رکورد بتواند درج شود.

- مشکل دیگر این است که نمیتوان دادههای مختلف را با کلیدهای مختلف رمز گذاری کرد. رمز گذاری مبتنی بر فایل

نمیتواند قسمتهای خاصی از فایل را رمز گذاری کند، بلکه کل فایل را رمز گذاری میکند.

- رمز گذاری مبتنی بر فایل، در سطح سیستم عامل جلوی حملات را میگیرد. به این معنا که اگر فایل دیتابیس توسط

کاربری کپی شود، برای وی دادهها قابل استفاده نخواهد بود. ولی این جلوی کاربری را که به دیتابیس نفوذ کرده را

نخواهد گرفت.

یکی از روشهای موثر و کارا برای رمزگذاری بر روی دیتابیس ها، رمز گذاری بر اساس ردیفها و ستونها میباشد