1. الفصل الرابع الأمن والأستعادة والتزامن في قواعد البيانات
الفصل الرابع الأمن والأستعادة والتزامن في قواعد البيانات

2. أمن البيانات
أمن البيانات يعني حماية البيانات من اتصال غير المصرح لهم بها و إجراء تغييرات عليها لعدد من الأسباب .
فالمصرف عليه أن يضمن سرية حسابات زبائنه و دقتها ، و بعض مؤسسات الدولة التي تتسم بالسرية يجب أن تحمي بياناتها من مثل هذا الاتصال ، حتى علي المستوى الشخصي تحب ان تحتفظ ببعض بياناتك بعيداً عن أعين الآخرين .
ربما يكون النوع الأساسي لهتك أمن البيانات هو الاتصال غير المصرح به بالبيانات.
فالوصول إلى قاعدة بيانات معينة قد يكون عن طريق أحد أجهزة المؤسسة المربوطة على تلك الشبكة أو الاتصال عن بعد عبر خطوط الهاتف من حاسوب شخصي بالقاعدة.
في هذه النظم كل مستخدم مصرح له يحدد له دليل تعريف Login name و كلمة مرور Password يحددها المستفيد و يجب ان تكون سرية ويتم تغييرها دوريا .

3. يطلب النظام من الشخص الذي يحاول الاتصال به أن يعرف نفسه بإدخال دليل التعريف فإذا كان هذا المستخدم معروفا للنظام يطلب منه إدخال كلمة المرور ثم يسمح له باستخدامه أو لا يسمح له.
النوع الآخر وهو التعديل الغير مصرح به ، هذا يعني أن المشغل اجتاز العقبة الأولى ووصل إلى القاعدة سواء استطاع التحايل أو كان مصرح له بذلك ، فكل اتصال بالبيانات يتم تحت رقابة النظام و الذي يوفر إمكانية تفويض “Authorization” مستخدم معين من استرجاع أو تعديل أو إلغاء أو تحديث لجزء من قاعدة البيانات أو خليط من هذه الإمكانيات بل ربما يطلب كلمة مرور خاصة للوصول إلى ملف معين أو حقل معين .
والنوع الأخير هو حماية البيانات أثناء نقلها على خطوط الاتصالات (الهاتف مثلاً) من أن يصل إليها من لا يحق له ذلك أو أن يحصل أحدهم على أقراص النسخ الاحتياطية.
والطريقة المتبعة للحماية هنا هي تشفير البيانات Data encryption أثناء نقلها أو تخزينها ثم إعادتها إلى صورتها الأصلية قبل استغلالها .
و كلما كانت عملية التشفير معقدة كلما كان من الصعب على الشخص الغير مصرح له إعادة البيانات إلى صورتها الأصلية ، و لكن يعيب هذا الأسلوب أنه يحتاج إلى وقت اكبر لتشفير البيانات و إعادة فك الشفرة مما يبطئ من تنفيذ العمليات في بيئة قواعد البيانات .

4. تستخدم أمن قواعد البيانات مجموعة واسعة من ضوابط أمن المعلومات وذلك لحماية قواعد البيانات بما في ذلك البيانات أو تطبيقات قواعد البيانات أو الوظائف المخزنة وأنظمة قواعد البيانات وخوادم قواعد البيانات ووصلات الشبكة المرتبطة بها وتتوافر أنواع وفئات مختلفة من الضوابط، مثل التقنية والإجرائية / الإدارية والفيزيائية.
أمن قاعدة البيانات هو موضوع متخصص ضمن المجالات الأوسع لأمن الكمبيوتر وأمن المعلومات, وإدارة المخاطر وتشمل المخاطر الأمنية لنظم قواعد البيانات، على سبيل المثال:

5. - الاستخدام غير المقصود أو إساءة الاستخدام من قبل مستخدمي قاعدة البيانات المأذون لهم، أو مدراء قواعد البيانات، أو مدراء الشبكات / الأنظمة أو المستخدمين غير المصرح لهم أو المخترقين مثل الوصول غير المصرح إلى البيانات الحساسة أو الوظائف داخل قواعد البيانات أو التغييرات غير المناسبة في برامج قواعد البيانات أو الهياكل أو الانظمة الأمنية. - إصابات البرامج الضارة التي تتسبب في حوادث مثل الوصول غير المصرح به أو التسرب أو الكشف عن البيانات الشخصية أو الملكية أو حذف أو تلف البيانات أو البرامج أو انقطاع أو عدم القدرة على الوصول المرخص به إلى قاعدة البيانات والاعتداءات على أنظمة أخرى والفشل غير المتوقع لخدمات قواعد البيانات. - أضرار مادية لخوادم قواعد البيانات الناجمة عن حرائق غرف الكمبيوتر أو الفيضانات ,وارتفاع درجة الحرارة,و البرق, و الأعطال الإلكترونية / فشل المعدات والتقادم؛ - عيوب في التصميم وأخطاء في البرمجة في قواعد البيانات والبرامج والنظم المرتبطة بها، وخلق ثغرات أمنية مختلفة (مثل تصعيد الامتياز غير المصرح به)، وفقدان البيانات وتدهور الأداء. - تلف البيانات و / أو الخسارة الناجمة عن إدخال البيانات أو الأوامر غير الصالحة، والأخطاء في قواعد البيانات أو عمليات إدارة النظام، والتخريب.

6. العديد من الطبقات وأنواع مراقبة أمن المعلومات مناسبة لقواعد البيانات، بما في ذلك :
صلاحية التحكم
صلاحية الدخول
التدقيق
المصادقة
التشفير
مراقبة النزاهة
النسخ الاحتياطية
أمن التطبيق
أمن قاعدة البيانات
تطبيق الأسلوب الإحصائي

7. وقد تم تأمين قواعد البيانات إلى حد كبير ضد القراصنة من خلال تدابير أمن الشبكات مثل الجدران النارية، ونظم الكشف عن التسلل القائمة على الشبكة.
وفي حين تظل ضوابط أمن الشبكات ذات قيمة في هذا الصدد، فإن تأمين نظم قواعد البيانات نفسها، والبرامج / الوظائف والبيانات الموجودة فيها، يمكن أن يصبح أكثر أهمية نظرا لأن الشبكات تتيح على نحو متزايد النفاذ الواسع النطاق، ولا سيما النفاذ إليها من الإنترنت.
وعلاوة على ذلك، كانت دائما ضوابط النظام والبرنامج والوظائف والوصول إلى البيانات، إلى جانب الوظائف المرتبطة بتحديد هوية المستخدم والتوثيق وإدارة الحقوق، مهمة للحد من أنشطة المستعملين والإداريين المرخص لهم، وفي بعض الحالات تسجيلها.
وبعبارة أخرى، هذه هي النهج التكميلية لأمن قاعدة البيانات، التي تعمل في كلا الاتجاهين من الخارج إلى الداخل ومن الداخل إلى الخارج .

8. وتضع العديد من المنظمات معاييرها الأمنية الخاصة الأساسية وتصاميمها بالتفصيل في تدابير الرقابة الأمنية الأساسية لأنظمة قواعد البيانات الخاصة بها.
وقد تعكس هذه المتطلبات متطلبات أمن المعلومات العامة أو الالتزامات التي تفرضها سياسات أمن المعلومات المؤسسية والقوانين واللوائح المعمول بها.
هذا إلى جانب ممارسات أمن قواعد البيانات الجيدة و المقبولة مثل التقيد بتوصيات أمنية من نظام قاعدة البيانات ذات الصلة وبائعي البرامج.
وعادة ما تحدد التصاميم الأمنية لنظم قواعد بيانات معينة المزيد من وظائف إدارة الأمن وإدارتها مثل الإدارة والإبلاغ عن حقوق وصول المستعملين وإدارة السجلات والتحليل وتكرار قاعدة البيانات / التزامن والنسخ الاحتياطية مع مختلف ضوابط أمن المعلومات التي يحركها العمل في قاعدة البيانات مثل التحقق من صحة إدخال البيانات وتدقيقها.
وعلاوة على ذلك، تدمج عادة مختلف الأنشطة المتصلة بالأمن (الضوابط اليدوية) في الإجراءات والمبادئ التوجيهية وما إلى ذلك فيما يتعلق بتصميم قواعد البيانات وتطويرها واستخدامها وإدارتها وصيانتها .

9. الامتيازات
وهناك نوعان من الامتيازات: امتيازات النظام تسمح امتيازات النظام للمستخدم بتنفيذ الإجراءات الإدارية في قاعدة بيانات. وتشمل هذه الامتيازات إنشاء قاعدة بيانات وإنشاء عمليات الإجراء, إنشاء عرض قاعدة بيانات النسخ الاحتياطي إنشاء جدول إنشاء المشغل والتشغيل . الامتيازات لكائنة الامتيازات الكائنة تسمح باستخدام عمليات معينة على كائنات قاعدة البيانات كما هو مصرح به من قبل مستخدم آخر. ومن الأمثلة على ذلك: الاستخدام، التحديد، الإدراج، التحديث، والمراجع .

10. مدير الامتياز الأقل، وفصل الواجبات:
ثمة نقطة أخرى للرقابة الداخلية هي الالتزام بمبدأ توفير أقل قدر من الامتيازات، ولا سيما في الإنتاج.
للسماح لمطوري البرامج بمزيد من الوصول لإنجاز عملهم، يكون من الأفضل استخدام انتحال الهوية للاستثناءات التي تتطلب امتيازات مرتفعة.

11. تقييم أوجه الضعف لإدارة المخاطر
أحد أساليب تقييم أمن قاعدة البيانات ينطوي على إجراء تقييمات الضعف أو اختبارات الاختراق ضد قاعدة البيانات.
يحاول الفاحصون العثور على الثغرات الأمنية التي يمكن استخدامها لهزيمة أو تجاوز الضوابط الأمنية، وكسر في قاعدة البيانات.
وتستخدم نتائج هذه المسحات لتقوية قاعدة البيانات وتحسين الأمن وإغلاق نقاط الضعف المحددة ، ولكن نقاط الضعف الأخرى غالبا ما تبقى غير معترف بها وغير مُعالجة

12. في قاعدة البيانات يعتبر الأمن أمر بالغ الأهمية، والرصد المستمر لامتثال المعايير يحسن الأمن.
يتطلب الامتثال الأمني من بين إجراءات أخرى ,إدارة التصحيح ومراجعة وإدارة الأذونات )خاصة
العامة( للمعطيات داخل قاعدة البيانات. قد تتضمن كائنات قاعدة البيانات جدول أو أشياء أخرى مدرجة في ارتباط الجدول.
يتم النظر في الأذونات الممنوحة لأوامراللغة والكائنات في هذه العملية.
رصد الامتثال يشبه تقييم الضعف إلا أن نتائج تقييمات الضعف تقود عموما المعايير الأمنية التي تؤدي إلى برنامج الرصد المستمر.
وبشكل أساسي ,يعتبر تقييم نقاط الضعف إجراءًا أوليًا لتحديد المخاطر حيث يكون برنامج الامتثال هو عملية تقييم المخاطر الجارية
وينبغي أن يأخذ برنامج الامتثال في عين الاعتبار أي تبعيات على مستوى برمجية التطبيق لأن التغييرات على مستوى قاعدة البيانات قد يكون لها آثار على برمجية التطبيق أو خادم التطبيق

13. مراقبة نشاط قاعدة البيانات
طبقة أمان أخرى ذات طبيعة أكثر تعقيدا تشمل مراقبة نشاط قاعدة البيانات في الوقت الحقيقي، إما عن طريق تحليل حركة بروتوكول عبر الشبكة، أو من خلال مراقبة نشاط قاعدة البيانات المحلية على كل مستخدم باستخدام عوامل برامج أو كليهما.
استخدام برامج وسيطة أو برامج قاعدة البيانات نفسها لالتقاط الأنشطة المنفذة، والتي عادة ما تشمل أنشطة مسؤول قاعدة البيانات.
يسمح البرامج الوسيطة بقبول هذه المعلومات بطريقة لا يمكن تعطيلها من قبل مسؤول قاعدة البيانات، و الذي لديه القدرة على تعطيل أو تعديل سجلات قاعدة البيانات

14. التدقيق الداخلي
بالإضافة إلى استخدام أدوات خارجية للرصد أو التدقيق، قدرات التدقيق لقاعدة البيانات الأصلية تتوفر أيضا للعديد من منصات قاعدة البيانات.
يتم استخراج مسارات التدقيق المحلية على أساس منتظم وتحويلها إلى نظام أمني محدد حيث لا ينبغي لمديري قاعدة البيانات الوصول إليها.
وهذا يضمن مستوى معين من الفصل بين الواجبات التي قد توفر دليلا على أن مسارات التدقيق الأصلية لم يتم تعديلها من قبل المشرفين المعتمدين

15. العملية والإجراءات
يتضمن برنامج أمان قاعدة بيانات جيد المراجعة المنتظمة للامتيازات الممنوحة لحسابات المستخدمين والحسابات المستخدمة بواسطة العمليات التلقائية.
أما بالنسبة للحسابات الفردية، فإن نظام المصادقة يحسن الأمن ولكنه يضيف التعقيد والتكلفة.
تتطلب الحسابات المستخدمة من قبل العمليات الآلية ضوابط مناسبة حول تخزين كلمة المرور مثل التشفير.
وبالاقتران مع برنامج أمن قاعدة بيانات سليم، يمكن للبرنامج المناسب لاستعادة القدرة على العمل بعد الكوارث أن يضمن عدم انقطاع الخدمة أثناء حادث أمني، أو أي حادث يؤدي إلى انقطاع في بيئة قاعدة البيانات الأولية.
ومن الأمثلة على ذلك النسخ المتماثل لقواعد البيانات الأولية للمواقع الموجودة في مناطق جغرافية مختلفة.

16. المعالجة المتزامنة للبيانات:
معظم نظم إدارة قواعد البيانات DBMS هي نظم عديدة المستخدمين.
(إذا استثنينا النظم الشخصية) أي أنها نظم تسمح لأي عدد من المستخدمين (العمليات) بمعالجة بيانات مخزنة في نفس قاعدة البيانات في نفس الوقت .
عندما تتطلب المعالجة المتزامنة استرجاع بسيط للبيانات فقط فلا يكون هناك مشكلة ، لكن المشاكل تظهر إذا حاول أكثر من مستخدم إجراء تعديلات متزامنة على قاعدة البيانات .
مثل هذه النظم يجب أن تكون لها آلية للتحكم Concurrency control في عملية المعالجة المتزامنة لضمان عدم تداخل Interference العمليات مع بعضها البعض .
لأنه في غياب مثل هذه الآلية تظهر مشاكل عدة سنتعرض هنا لأشهرها .

17. قبل أن نبدأ سنعرّف بعض المصطلحات :
عملية (أو طلب معالجة) Transaction وهي برنامج مكتوب بإحدى لغات قواعد البيانات للقيام (ليؤدي) بعمل ما.
نقطتا التزامن : Synchronization points وهما
دوّن Commit وتعني أن العملية الجاري تنفيذها تمت بنجاح و يجب تثبيت (تدْوين) التغييرات في قاعدة البيانات.
و النقطة الثانية هي لف Rollback و تعني نهاية العملية بفشل و يجب حذف (لف) التغييرات التي أجرتها العملية .

18. المشاكل الثلاثة التي تحدث لدى معالجة أكثر من شخص لبيانات معينة في نفس الوقت هي :
1- فقدان التعديلات :Lost update
في حالة عدم التحكم في عملية الوصول المتداخل للبيانات وجعل ذلك يتم وفق أسبقية الوصول ينجم عن هذه الحالة ما يسمى بحالة فقدان التعديل , حيث تفقد التعديلات التي أجراها المشغل ذو الأسبقية الأولى واعتماد ما أجراه المشغل الثاني من تعديلات .
فمن المعلوم أن عملية تعديل البيانات لا تتم على أوساط الذاكرة الثابتة مباشرة بل أن كل مشغل يأخذ نسخة من البيانات و يتم تخزينها مؤقتا في الدارئ Buffer )ذاكرة مؤقتة) ومن ثم يتم تعديل البيانات في الدارئ تم يعاد تخزينها ثانية في الذاكرة الثابتة .
لاحظ أنه قبل إعادة تخزين البيانات المعدلة في الذاكرة الثابتة قد ينسخ مشغل أخر نفس البيانات في دارئ آخر وعند إعادة تخزين هذه البيانات إثر تعديلها فإن تعديلات المشغل الأول يتم استبدالها ببيانات المشغل الثاني .

19. 2-الاعتماد غير المدّون Uncommitted dependency
و تظهر هذه المشكلة إذا سمحنا لعملية (أو عمليات) باسترجاع (الأسوأ تحديث) بيانات تم تحديثها بواسطة عملية أخرى و لم يتم تدوينها بعد ، و هذه العملية لم تنتهي بل ربما لن تنتهي (تلف Rollback ( وتكون العملية الأولى اعتمدت في عملها علي بيانات لم تعد (بل لم تكن) موجودة .
الشكل التالي يبين مثل هذا الاعتماد ، ففي الجزء الأول منه العملية الثانية تقرأ قيمة غير فعلية وُجدت مؤقتا ليرى المستخدم الرصيد= 110 بدلا من 100 .
وفي جزءه الثاني العملية الثانية أجرت عملية تحديث بناءً على تلك القيمة المؤقتة فأصبح الرصيد 130 وهو 120 فقط.

21. Inconsistent analysis .3التحليل غير المتوافق :
هذه المشكلة تظهر إذا اعتمدت عملية معينة في عملها على بيانات غير متوافقة أنتجتها عملية أخرى تمت بنجاح .
مثلا العملية 1 تقوم بجمع الأرصدة للحسابات بينما العملية 2 تحول مبلغا قدره 10 من الحساب رقم 3 إلى الحساب رقم 1 .
لاحظ ان ناتج العملية 1 هو 110 بدلاً من 120: