Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيميةالمعاييرمعيار أمن قواعد البيانات

​​​

معيار أمن قواعد البيانات

-  مراجعة الإعدادات والتحصين (Secure Hardening Configuration)

الهدف :   تحديد متطلبات حماية نظام إدارة قواعد البيانات (DBMS) الأساسية لضمان تصميم نظام إدارة قواعد البيانات (DBMS) وإعداده وتشغيله بطريقة آمنة.

المخاطر المحتملة: تعتبر الأخطاء في إعداد نظام إدارة قواعد البيانات (DBMS) والتصاميم الضعيفة من أبرز الأسباب التي تؤدي إلى وجود ثغرات أمنية يمكن استغلالها لتهديد سرية بيانات جامعة الإمام محمد بن سعود الإسلامية وسلامتها وتوافرها.

الإجراءات المطلوبة:

    • أن تكون طريقة التسمية بين خوادم نظام إدارة قواعد البيانات (DBMS) في بيئة الإنتاج والبيئات الأخرى مختلفة ليتم تمييزها.
    • تخصيص خوادم نظام إدارة قواعد البيانات (DBMS) وعدم استضافة أي وظائف أخرى مثل "مستوى الويب أو التطبيق" (Web or Application Tier) أو "خدمات النطاق" (Domain Services).
    • إعادة تسمية جميع قواعد البيانات الافتراضية.
    • استخدام الإجراءات المخزّنة المتوفّرة للتطبيق فقط لإجراء التعاملات أو الاستعلامات من قواعد البيانات.
    • عدم تحديد روابط خوادم نظام إدارة قواعد البيانات (DBMS) (مثل إنشاء اتصالات أو واجهات) بين أنظمة إدارة قواعد البيانات (DBMS) الإنتاجية وغير الإنتاجية.
    • استخدام خاصية التحقّق من صحة وسلامة البيانات المدخلة لضمان سلامة البيانات المخزّنة.
    • تقييد حقول قاعدة البيانات بمجالات محدّدة من المدخلات واستخدام المدخلات الثنائية أو طرق التحقّق الأخرى من المدخلات والاستعلامات، مثل التحقّق من الحدود (Boundary Checking)، أو التحقق من المحتوى وتصفية روابط مواقع الإنترنت (Content Inspection/URL Filtering)، للحد من العمليات مثل:
    • البيانات المفقودة أو غير المكتملة أو كلاهما.
    • القيم خارج النطاق.
    • البيانات غير المصرّح بها أو غير المتسقة.
    • الأحرف والأرقام غير الصحيحة في حقول البيانات.
    • تجاوز حدود قيمة الحد الأعلى أو الأدنى للتاريخ.
    • تقييد الوصول إلى ملفات إعدادات نظام إدارة قواعد البيانات (DBMS) والشفرة المصدرية (Source Code) للتطبيقات والبرمجيات المخزّنة في قاعدة البيانات ومراقبتها.
    • حفظ قائمة جرد دقيقة لكافة قواعد البيانات ومحتوياتها وتحديثها دوريًا.
    • ترميز البيانات المخزّنة في قواعد البيانات باستخدام أنواع ترميز آمنة محدّدة مسبقًا وفقًا للسياسات والإجراءات والضوابط ذات العلاقة في جامعة الإمام محمد بن سعود الإسلامية.

-  سجلات التدقيق (Audit Logs)

الهدف: إصدار سجلات نظام إدارة قواعد البيانات (DBMS) للأحداث الأمنية الرئيسية والحرجة وتسجيلها وتأمينها على نظام إدارة قواعد البيانات (DBMS) للمساعدة في التحقيق والتتبع والتحقّق في المستقبل.

المخاطر المحتملة:  تَحُد سجلات التدقيق غير الوافية من قدرة جامعة الإمام محمد بن سعود الإسلامية على كشف الانتهاكات والحوادث والمسائل الأمنية وتتبُّعِها في نظام إدارة قواعد البيانات (DBMS)، وتُقيّد إمكانية تحديد سبب الانتهاكات الأمنية. كما يؤدي عدم تأمين سجلات التدقيق على نظام إدارة قواعد البيانات (DBMS) بالشكل المناسب إلى العبث بالسجلات مما يؤثّر في سلامتها.

الإجراءات المطلوبة:

    •  مزامنة أوقات جميع أنظمة إدارة قواعد البيانات (DBMS) مركزيًا مع خادم بروتوكول وقت الشبكة (Network Time Protocol).
    • ​إرفاق السجلات بسجلات نظام التشغيل أو أن تكون مستقلّة ضمن نظام إدارة قواعد البيانات (DBMS).
    •  إصدار سجلات التدقيق التي تحتوي على معلومات تفصيلية لتحديد هوية أي مستخدم أو عملية ذات علاقة بالحدث المعني.
    •  تسجيل نشاطات نظام إدارة قواعد البيانات (DBMS) التالية بحدّ أدنى، وزمن وقوعها (DBMS) تسجيل نشاطات نظام إدارة قواعد البيانات:
    • جميع حالات الإنذار أو الأخطاء التي ظهرت في النظام.
    • التشغيل.
    • الإغلاق.
    • إنشاء أو تعديل أو حذف (استبعاد) قواعد البيانات وأي هيكل تخزين لقواعد البيانات وأي جداول لقواعد البيانات وفهارس وحسابات ومصادر.
    • تفعيل وظيفة التدقيق وإلغاء تفعيلها.
    • منح الامتيازات والصلاحيات وإلغائها على مستوى نظام إدارة قواعد البيانات (DBMS).
    • أي إجراء يُسبِّب ظهور رسالة خطأ لعدم وجود المصدر الذي يتم البحث عنه.
    • أي إجراء يؤدي إلى إعادة تسمية مصدر على نظام إدارة قواعد البيانات (DBMS).
    • أي إجراء يمنح أو يلغي امتيازات وصلاحيات استخدام المصدر من دور أو حساب نظام إدارة قواعد البيانات (DBMS).
    • كافة التعديلات على دليل البيانات أو إعدادات نظام إدارة قواعد البيانات (DBMS).
    • تدقيق جميع حالات فشل الاتصال بنظام إدارة قواعد البيانات (DBMS) حيثما أمكن، ويضمن مدير قاعدة البيانات تدقيق محاولات الاتصال الناجحة وغير الناجحة.
    • تحديد عدد وإرسال التنبيه لمحاولات تسجيل الدخول غير الناجحة، وأقفال كلمات المرور.
    • محاولات إضافة أو تعديل أو حذف الامتيازات والصلاحيات أو التصاريح.
    • حذف فئات من المعلومات (مثل مستويات التصنيف أو مستويات الأمن).
    • أمر غير عادي (أمر يطلب أمرًا آخر وهكذا).
    • إلغاء تفعيل سجلات نظام إدارة قواعد البيانات (DBMS) أو تعديلها.
    •  توفير تنبيه فوري ومباشر من أجل تقديم الدعم المناسب للأشخاص في جميع أحداث فشل التدقيق التي تتطلّب إجراءات مباشرة.
    • حماية خصائص التدقيق في نظام إدارة قواعد البيانات (DBMS) من عمليات الحذف غير المصرّح بها.
    • ضبط إعدادات أنظمة إدارة قواعد البيانات (DBMS) لإرسال سجلات الأحداث إلى نظام التسجيل والمراقبة المركزية وفقًا لمعيار إدارة سجلات الأحداث ومراقبة الأمن السيبراني المعتمد لدى جامعة الإمام محمد بن سعود الإسلامية.

-   معايير أخرى (Other Standards)

الهدف :  تطبيق جميع المعايير والمتطلبات الأمنية لقواعد البيانات لضمان أعلى مستويات الحماية.

المخاطر المحتملة  : عدم تطبيق جميع المعايير والمتطلبات الأمنية يعرض جامعة الإمام محمد بن سعود الإسلامية إلى زيادة في المخاطر الأمنية لقواعد البيانات.

الإجراءات المطلوبة:​

    • تطبيق المعايير التالية:
    • معيار إدارة هويات الدخول والصلاحيات.
    • معيار التعافي من الكوارث والنسخ الاحتياطية.
    • معيار التشفير.
    • معيار أمن الخوادم.
    • معيار الأمن المادي.
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م