گسترش استفاده از فضاي تبادل اطلاعات در کشور طي سالهاي گذشته و برقراري ارتباط از طريق وب، موجب وابستگي نهادهاي مختلف اجتماعي به اين پديده شده است. از زماني که برخي نگراني ها در خصوص تعرض به حريم خصوصي افراد و سازمان ها ظاهر شد، متخصصان فناوري اطلاعات جهت جلوگيري از اين تهديدات و حمايت از اطلاعات خصوصي بنگاه ها، افراد و دستگاه هاي مختلف تلاش هاي ارزشمندي را ساماندهي نمودند تا فضاي اعتماد به تبادلات الکترونيکي دچار آسيب کمتري شود. در اين بين با وجود اين که راه کارهاي امنيت شبکه رشد خوبي داشته اند و محصولات متنوعي نظير فايروال، UTM ،VPN و غيره ارائه مي شوند، در راستاي امنيت برنامه هاي کاربردي و سامانه هاي مديريت پايگاه داده عنايت کافي در سازمان ها وجود ندارد. اين در حالي است که داده هاي ارزشمند سازمان در سامانه مديريت پايگاه داده آن ذخيره مي شود و افشاي بسياري از مي تواند آثار جبران ناپذيري براي سازمان به همراه داشته باشد. وظيفه فايروال پايگاه داده (Database Firewall) حضور در عمق خط دفاع و فراهم آوردي کنترل کامل روي دسترسي ها و مميزي و تحليل آنها قبل از دستيابي به محتويات پايگاه داده است .

فايروال پايگاه داده
 

در حيطه ابزارهاي امنيت اطلاعات، محصولات فايروال را مي توان يکي از عمومي ترين تکنولوژي ها در راستاي امن سازي نام برد. البته اين محصولات توان امنيتي خود را بيشتر در زمينه امن سازي شبکه نشان داده اند. ولي واقعيت اين است که فايروال ها تنها در مباحث امنيت شبکه مورد استفاده قرار نمي گيرند. تکنولوژي فايروال ها از زمان اولين نسل آنها يعني حدود سال 1995 ميلادي تاکنون سير توسعه و تحول ويژه اي را طي نموده است .
اين سير توسعه را مي توان در دو زمينه کلي رشد قابليت ها و افزايش کاربردها دسته بندي نمود. محصولات فايروال از نظر حيطه کاربرد در چهار دسته فايروال شبکه (Network Firewall)، فايروال شخصي (Personal Firewall)، فايروال برنامه کاربردي مبتني بر وب (Web Application Firewall WAF و فايروال پايگاه داده تقسيم بندي مي شوند. همانطور که از نام اين محصولات مشخص مي شود ،هرکدام در يک حيطه خاص کاربرد دارند. اگرچه در اين بين فايروال هاي شبکه از محبوبيت بالايي در امن سازي برخوردارند اما بديهي است نيازمندي به فايروال شخصي و يا مابقي فايروال ها را مرتفع نمي سازند.
با توجه به محدوديت هاي موجود در فايروال هاي شبکه ، بازرسي کامل محتواي ارتباطات سامانه هاي مديريت پايگاه داده توسط اين فايروال ها پشتيباني نمي شود. از طرفي افزايش تهديدات مربوط به سامانه هاي مديريت پايگاه داده و حساسيت بالاي داده هايي که در اين سامانه ها نگهداري مي شود، نياز به يک سامانه خاص براي بازرسي دقيق ارتباطات DBMS را ضروري نموده است .
در بين انواع فايروال هاي مذکور، فايروال پايگاه داده بطور خاص وظيفه حفاظت از سامانه هاي مديريت پايگاه داده را برعهده دارد و با نام دروازه امنيتي پايگاه داده (Database security gateway) و يا ناظر عمليات پايگاه داده Activity Monitoring DAM Database)نيز ارائه مي شود. تکنولوژي DAM براي اولين بار در گزارش موسسه Gartnet اين گونه تشريح شد؛ «سامانه نظارت بر عمليات پايگاه داده يک تکنولوژي ويژه براي نظارت تحليل و کنترل عمليات DBMS است که مي توان براي هرنوع سامانه مديريت پايگاه داده، عمليات را تشخيص و تحليل نمايد. اين محصول بايد دانش لازم براي درک ساختار پايگاه داده و ارتباطات آن را داشته باشد تا بتواند ازداده هاي ذخير شده درآن حفاظت نمايد.

تحقيقات مرتبط
 

تحقيقات گوناگوني در زمينه فايروال پايگاه داده انجام شده است که دراين جا به مرور مهم ترينشان مي پردازيم. گروهي از محققين در دانشگاه ژيجيانگ يک مدل مرجع لايه بندي شده براي فايروال هاي پايگاه داده ارائه کرده اند. آنها فايروال را براساس دانش ، اهداف محاسباتي و ريزدانگي کنترل به سه لايه زير تقسيم کرده اند:
لايه شبکه: اين لايه وظايف معمول يک فايروال شبکه را برعهده دارد. و براساس قرار دادهاي مبادلاتي و محتويات سرآيند بسته ها، به کنترل دسترسي ها پرداخته و سربار کمي برسامانه دارد.
لايه شماتيک (Schematic Layer): اين لايه خط مشي امنيتي مرتبط با شماي پايگاه داده را اعمال مي کند. همچنين توانايي فهم قراردادهاي ارتباطي مورد استفاده DBMS را دارد و اطلاعات مرتبط با شماي پايگاه داده را از ترافيک بين DBMS و کارفرما استخراج کرده و به تحليل آنها مي پردازد. در اين لايه ريزدانگي کنترل به اندازه ريزدانگي شماي پايگاه داده است که شامل انواع اشياء پايگاه داده، نام اشياء و خصوصياتشان مي شود.
لايه معنايي(Semantic layer): اين لايه خط مشي امنيتي مرتبط با هرکدام از اقلام داده اي پايگاه داده را اعمال مي کند .درکنار شماي پايگاه داده اين لايه بخشي از اطلاعات معنايي را نيز مي داند و مي تواند معناي ترافيک ارتباطي بين DBMS و کارگزار را تحليل کند. اين لايه مي تواند دسترسي ها را برطبق مقادير خاص صفات کنترل کند و به صورت شفاف ترافيک را تغيير دهد، اما هزينه اين لايه بسيار زياد است .اطلاعات معنايي ترافيک ورودي(مقادير صفات) به عنوان محدوديت دربند WHERE استفاده مي شوند و تابع تجزيه معنايي مسئول استخراج آنها از بسته ها مي باشد. همچنين از منظر فايروال پايگاه داده، تمام اطلاعات درون بسته هاي سطح کاربرد ترافيک خروجي اطلاعات معنايي هستند و بنابراين اعمال توابع امنيتي روي ترافيک خروجي بسيار موثرتر از اعمال روي ترافيک ورودي است .
گروهي ديگر در دانشگاه ايالتي پنسيلوانيا يک معماري از فايروال پايگاه داده ارائه نموده اند. طبق ارائه آنها، هر فايروال پايگاه داده حداقل بايد شامل سه مولفه زير باشد:
تخمينگر صحت (Integrity estimator) براي تعيين مدل صحت و تخمين صحت داده هنگام حمله
مدير فايروال؛ براي مديريت رقابت بين امنيت و کارايي
مديرخط مشي دسترسي (Manager Access policy)؛ براي تشکيل مجموعه قواعد دسترسي و خط مشي امنيتي
اين گروه در مقاله ديگري به تبيين اهداف ايجاد دروازه هاي امنيتي پايگاه داده شامل پيش بيني خرابي داده ها و نيز جلوگيري از انتشار آنها پرداخته اند و برخي اقدامات لازم در جهت رسيدن به اين اهداف را برشمرده اند. در اين مقاله استفاده از سامانه تشخيص نفوذ(Intrusion Detection system) به عنوان اولين اقدام معرفي شده است .اقدام ديگر اداره شکست (Failure Handling) مي باشد که اتميک بودن پايگاه داده را تضمين مي کند و به دنبال محافظت از صحت Integrity) داده هاي ذخيره شده در پايگاه داده است. روش هايي همچون استفاده از نقطه وارسي (Checkpoint) براي بازگرداندن کل پايگاه داده به يک نقطه زماني معين از اين دسته مي باشند(اگرچه برخي از تراکنش هاي پاک نيز همراه تراکنش هاي مخرب از بين مي روند).
روش ديگر ترميم حمله (Attack recovery) است که اهدافي متفاوت از اداره شکست را دنبال مي کند و بر روي تراکنش هاي مخربي که اجرا شده اند تمرکز دارد. بزرگترين ايراد اين روش لزوم توقف خدمت پايگاه داده در طول اصلاح است .
گروهي ديگر از محققين در مقاله اي چگونگي کار با پرس و جوها در فايروال پايگاه داده بررسي نموده اند. آنها چهار مولفه اصلي فايروال پايگاه داده را اعتبار سنج پرس وجو، مولدپرس وجو ،مبدل پرس وجو و صافي پرس و جو برشمرده اند . بر اساس مدل آنها اعتبارسنج پرس وجو بررسي مي کند که آيا پرس وجوي ارسال شده توسط برنامه با توجه به شمال پايگاه داده معتبر است يا خير. اين مولفه يک تجزيه گر براي بررسي تطابق پرس وجو با SQL استاندارد را درخود دارد. مولد پرس و جو درخواست ها به پايگاه داده را به شکل فراخواني API دريافت کرده و عبارات پرس و جوي مناسب شماي پايگاه داده را ازآن توليد و به مبدل پرس وجو مي فرستد. مبدل پرس وجو وظيفه تبديل يک پرس و جو روي شماي انتزاعي (Abstract-schema) به يک پرس وجوي معادل حاوي نام اشيا داخل شماي منطقي (Logical-schema) را برعهده مي گيرد .صافي پرس وجو مهم ترين مولفه فايروال است که عملياتي همچون الحاق يک مسند (predicate) به پرس وجو و تنها ارائه ستون هاي مجاز براي کاربر جاري را فراهم مي آورد. صافي براي اين موضوع ازخط مشي امنيتي که توسط مدير امنيتي سرپرستي مي شود استفاده مي کند. در ضمن اين مولفه وظيفه تصفيه به هر دو صورت سطري و ستوني را بر عهده مي گيرد.

قابليت فايروال پايگاه داده
 

محرمانگي ،صحبت و دسترس پذيري را به عنوان اصلي ترين اهداف در مقوله امنيت برمي شمردند. محرمانگي در زمينه افشاي غيرمجاز اطلاعات يا فرآيندها و دسترس پذيري در مورد منع نادرست دسترسي به اطلاعات بحث مي کند.پايگاه داده نيازمند استفاده از قابليت هايي براي دستيابي به اين اهداف امنيتي مي باشد که در اين قسمت به برخي از آنها اشاره مي شود.
کنترل دسترسي: کنترل دسترسي در دو سطح شماي پايگاه داده روي ترافيک ورودي و مقادير داده اي (معنايي) روي ترافيک خروجي مي تواند انجام شود و محدوديت ها را به شکل عدم دسترسي ،رمزگذاري يا تارسازي داده ها اعمال نمود. اين نوع از کنترل دسترسي ايراداتي را نيز به همراه دارد که ازآن جمله مي توان به لزوم اطلاع فايروال از ساختار پايگاه داده (وابستگي به دانش) و نيز عدم شفافيت فايروال از ديد کاربر در زمان اعمال توابعي همچون نگاشت (عدم شفافيت )اشاره کرد.
مميزي و نظارت: مميزي و نظارت مستمر براي رعايت استانداردهاي امنيت پايگاه داده بسيار مهم و ضروري به نظر مي رسد با جستجوي سوء استفاده هاي شناخته شده و يا فعاليت هاي غيرعادي از الگوي رفتاري ايجاد شده مي توان به تحليل ترافيک و جلوگيري از نفوذ به پايگاه داده پرداخت.
رمزنگاري؛ رمزنگاري نيز يکي ديگر از ابزارهاي شناخته شده براي تأمين امنيت است که در صورت استفاده بجا، مي تواند بسيار موثر واقع شود.
ارزيابي آسيب پذيري ها، تلاش براي يافتن آسيب پذيري هايي است که مي توانند در نفوذ به پايگاه داده مورد استفاده واقع شوند. سرپرست پايگاه داده ابزارهاي پويش آسيب پذيري را به منظور کشف پيکربندي هاي ناصحيح همراه با آسيب پذيري هاي شناخته شده اجرا مي کند. نتايج اين پويش ها مي تواند در محکم سازي پايگاه داده به منظور مقابله با تهديدات مورد استفاده واقع شود.
ترميم سوانح؛ وجود برنامه اي براي بازيابي سوانح در طول وقوع يک حادثه امنيتي يا هرحادثه ديگري که موجب قطع خدمت رساني پايگاه داده شود، براي يک پايگاه داده قابل اعتماد بسيار ضروري است .حفظ صحت با استفاده از روش هاي اداره شکست و يا ترميم حمله انجام مي شود که از بزرگ ترين معايب شيوه هاي موجود مي توان به توقف خدمت در حين اصلاح و يا حذف برخي تراکنش هاي پاک اشاره نمود.

کاربردهاي اصلي فايروال پايگاه داده
 

فايروال پايگاه داده مي تواند به عنوان ابزار امنيتي براي حفاظت سامانه هاي مديريت پايگاه داده نقش داشته باشد. براي اين منظور برخي از مهم ترين کاربردهايي که اين محصول براي يک سازمان خواهد داشت در ادامه آورده مي شود.
نظارت برعملکرد کاربران مجاز در پايگاه داده :ثبت تمامي دسترسي هاي کاربران براي پيگيري و مميزي رخدادها در سامانه مديريت پايگاه داده ضروري
است. بايد توجه داشت که کاربراني نظيرDBA و root مي توانند امکانات سامانه مديريت پايگاه داده را براي ثبت رخدادها غيرفعال نمايند. بنابراين اطمينان کامل به تدابير نظارتي DBMS کفايت نمي کند.
تشخيص و جلوگيري از حملات: با توجه به قابليت تحليل کامل ارتباطات پايگاه داده در فايروال هاي پايگاه داده، تشخيص و جلوگيري از حملات در اين محصولات با دقت بهتري از سامانه هاي IPS تحت شبکه انجام مي شود.
مديريت مرکزي: با استقرار يک فايروال پايگاه داده مي توان چندين سامانه مديريت پايگاه داده را بازرسي نمود. بنابراين مدير شبکه مي تواند مديريت سامانه هاي مديريت پايگاه داده را به صورت متمرکز و مستقل از هرکارگزار انجام دهد. بديهي است اين امکان تعريف سياست هاي امنيتي را براي سامانه هاي مديريت پايگاه داده ساده تر نموده و امکان ردگيري مخاطرات را افزايش مي دهد.

روش هاي استقرار محصول
 

نحوه استقرار فايروال پايگاه داده توصيف کننده چگونگي اعمال بازرسي و همچنين ميزان بازرسي مي باشد .بطورکلي براي استقرار فايروال پايگاه داده دريک سازمان چندين راهکارهاي وجود دارد .

استقرار به صورت INline در شبکه
 

دراين روش فايروال پايگاه داده درشبکه وقبل از DBMS قرار مي گيرد به نحوي که بتواند تمامي ترافيک ارسالي شبکه به پايگاه داده را دريافت وبازرسي نمايد. درصورتي که درشبکه سازمان ناحيه اي براي قرارگيري کارگزاران پايگاه داده وجود داشته باشد، مي توان فايروال پايگاه داده را در لبه اين ناحيه قرار داد.
قرارگيري محصول به صورت Inline منجر به افزايش ميزان بازرسي شده و مدير شبکه از اعمال سياست هاي امنيتي تعريف شده در فايروال پايگاه داده اطمينان کامل خواهد داشت. از طرف ديگر نکته مهم در اينگونه استقرار اين است که محصول در شبکه به عنوان Single point of Failure محسوب مي شود و درصورت هرگونه اختلال در کار فايروال پايگاه داده ارتباطات قطع خواهد شد.

استقرار به عنوان ناظر شبکه
 

دراين روش مي توان محصول را به صورت کاملاً شفاف در شبکه قرار داد. براي اين منظور استفاده از Minitor port در سوييچ ها معمول ترين روش است . از مهم ترين مزاياي اين روش مي توان شفافيت کامل، نصب و استقرار سريع، عدم خرابي در پيکربندي شبکه و عدم افزايش تجهيزات Inline را نام برد. با وجود سادگي اين روش، مهم ترين مشکل در اين روش عدم اطمينان براي اعمال سياست هاي امنيتي مديريت است .بايد توجه داشت که درشرايط نظارت ممکن است محصول نتواند عمليات بلاک نمودن ترافيک مشکوک را به عنوان يک سياست امنيتي اعمال نمايد.

استقرار روي کارگزار
 

يکي از نکات مهم در نظارت برعمليات سامانه هاي مديريت پايگاه داده، بازرسي عملياتي است که از طريق کنسول مديريت و بطور محلي اجرا مي شوند. بديهي است در اين شرايط عمليات روي شبکه ارسال نمي شود و محصولي که ارتباطات شبکه را بازرسي مي کند، نمي تواند عمليات مربوطه را نيز نظارت نمايد. يک راه حل مناسب براي رفع مشکل مذکور، نصب عامل هايي (Agents) روي سامانه مديريت پايگاه داده است که وظيفه جمع آوري داده ها و ارسال به سمت فايروال پايگاه داده را برعهده خواهند داشت .اين عامل ها توسط توليد کنندگان فايروال پايگاه داده و بطور خاص براي هر سامانه مديريت پايگاه داده ارائه مي شوند.

محصولات جاري
 

شرکت Forrester در گزارشي محصولات و شرکت هاي توليدکننده فايروال پايگاه داده را توسط 116 معيار مورد ارزيابي قرار داده است. در اين گزارش محصولات شرکت هاي Gardium و Impreva به عنوان محصولات برتر اعلان شده اند. بايد توجه داشت که اين محصولات همگي با نام فايروال پايگاه داده ارائه نشده اند و نام هايي نظير دروازه امنيتي پايگاه داده و DAM براي اين محصولات استفاده شده است .

SQL Gaurd
 

شرکت (http://www .guardium
Gardium(.com بطور تخصصي در زمينه امنيت پايگاه داده فعاليت مي کند. اين شرکت در گزارشات تحليل به عنوان بهترين توليد کننده محصولات امنيت پايگاه داده معرفي شده است . باتوجه به مستندات موجود محصولات امنيت پايگاه داده اين شرکت در بيش از 350 مرکز داده درحال استفاده است.
محصول امنيت پايگاه داده شرکت Gardium با عنوان SQL Guard ارائه مي شود که از قابليت هاي مهم اين محصول براي استقرار درشبکه مي توان به امکان نصب به صورت Inline و Offline در شبکه، امکان ترکيب با LDAP و Kerberos براي تشخيص هويت کاربران ،پشتيباني از SNMP ،SMTP و Syslog براي يکپارچگي با تجهيزات ديگر و پشتيباني از RSA SecurID براي تشخيص هويت قوي اشاره نمود.

secureSphere
 

شرکت (http://www.imperva.Imperva/com) يکي از توليدکنندگان محصولات امنيتي است که تمرکز آن روي امنيت برنامه هاي کاربردي و پايگاه داده است. از قابليت هاي اصلي محصولات SecureSphere پشتيباني از تعداد زيادي از سامانه هاي مديريت پايگاه داده است. محصولات SecureSphere قابليت حفاظت دربرابر حملاتي نظير Data Theft, privilege و DATA Destruction را دارا مي باشند.

DB INSIGHT SG
 

اين محصول براساس مدل امنيتي مثبت (ليست سفيد) توليد شده وتوانايي توليد خودکار خط مشي ها از طريق يادگيري پرس و جوهاي SQL را داراست .سخت افزار اين محصول بدون نياز به تغيير در ساختار شبکه قابل نصب است. اين فايروال، وظايفي از قبيل نظارت بر پرس و جوهاي رسيده ،ثبت وبررسي اطلاعات مربوط به ارتباطات و پردازش هاي انجام شده و نيز نظارت قانوني بر فعاليت هاي تجاري را برعهده مي گيرد.

GreenSQL
 

محصول GreenSQL(http://www.greensql./netبا عنوان فايروال پايگاه داده، همانند يک پراکسي عمل مي کند و منطق آن براساس ارزيابي دستورات SQL و دستورات راهبري پايگاه داده (همچون CREATE و DROP) با استفاده از يک ماتريس امتيازبندي مخاطرات است .محصول GreenSQL ، با استفاده از تکنيک شناسايي الگو( امضا) و الگوريتم هاي اکتشافي (Heuristic) (محاسبه مخاطره) در مدهاي شبيه سازي، يادگيري و محافظت فعال( انسداد) به مقابله با تهاجمات مي پردازد.
اين فايروال در هر دو مدل امنيت مثبت و امنيت منفي قابل اجراست. محصول GreenSQL در مدل امنيت مثبت با استفاده از ليست سفيد و مد يادگيري، و در مدل امنيت منفي با استفاده از شناسايي الگو و تحليل اکتشاقي به مقابله با تهاجمات مي پردازد.

جمع بندي
 

در اين مستند محصول فايروال پايگاه داده معرفي شد. همچنين چندين محصول تجاري و يک محصول متن باز براي ارائه فايروال پايگاه داده شرح داده شد.
منبع:نشريه دنياي کامپيوتر و ارتباطات شماره 83