Giriþ: Endüstri 4.0 ile verinin toplanmasý ve analiz edilmesi çok daha önem kazanmýþtýr. Ticari veya kamu kuruluþlar artýk birbiri ile dijital ortamlarda sürekli konuþur hale gelmiþtir. Kurumsal firmalarýn dijital ortamdaki konuþmalarýnda adeta veri; harfleri, bilgi seslendirebilecekleri kelimeleri, temsil etmektedir. Bilgi alýþveriþinin sonuçlarý ise firmalarýn karar destek sistemlerine direk etki etmektedir. Bu tarz haberleþmek için iki tarafýnda alt yapý sistemi performanslý, eriþilebilir ve güvenli olmak zorundadýr. Sistemsel alt yapýlarýn omurgasýnda hangi teknolojik yenilik olursa olsun veri tabanlarý durmaya devam edecektir. Bu da veri tabaný yönetim yazýlýmlarýn, sistemlerin alt yapýsý için en temel sistem kompenentlerden biri olduðunu göstermektedir. Verinin saðlýklý yönetilmesi için temel gereklilikler, veriye eriþimin güvenli olmasý, doðru yetkilendirilmesi, bilinçli yedeklenmesi ve yüksek performanslý olmasýdýr. Performans alýnmayan veri tabanýn, verilerini stoklamasýnýn, yedeklenmesinin ve güvenliðinin üst seviyede tutulmasýnýn bile hedeflenen verimi veremeyeceði bellidir. Güven vermeyen, tutarlýlýðý olmayan verilerin performanslý olmasýnýn da depolanmasýnýn da bir manasýnýn olmayacaðý aþikârdýr. Sürekli SQL saldýrýlarýn sebep olduðu (SQL Injuction) kesintilerin olduðu veri hizmetlerin, müþteri memnuniyeti saðlamayacaðý gibi verimliliði de azaltacaðý kurumlar tarafýndan belirtilmektedir. Veri tabaný güvenliði bilgisayar biliminin güncel ilgilendiði kavramdýr. Gartner Pazar araþtýrmacýlarýndan Kish ve Lowans veri tabanlarýn bulut teknolojilerine kaydýðýný ve artýk veri tabanlarýn loglarýn izlenmesi verilerin redüksiyon yapýlmasý bilim dünyasýnda popüler olduðunu belirtmiþtir. Hassas verilerin korumunu için literatürde geçen üçayak üstünde duran veri tabaný güvenliði için olmazsa olmazý gizlilik (confidentiality),bütünlük (integrity), eriþilebilirlik (availability).(Deepika,2015:621-625) Raydel Montesino artýk insan elinin daha az dokunduðu daha çok kontrollü sistemlerin otomatik hale getirdiði yapýlarda güvenlik çok daha kritik hale geldiðini belirtmiþtir.(Montesino ve Fenz,2011:280-285) Bu baðlamda veri tabaný yapýlarýný yöneten otomatik yapýlardaki güvenlik açýklarýn ya da yazýlýmsal hatalarýn (bug) proaktif çözümlerle giderilmesi elzemdir. Veri tabaný endüstri dünyasýnýn marka kurumlarýndan Oracle firmasýnýn veri tabaný yönetim yazýlýmýn özellikle veri tabaný güvenliðine nasýl bir baktýðý ve güvenliði nasýl saðladýðý incelemenin faydalý olacaðý düþünülmektedir. Amaç: Araþtýrmada, veri tabaný yönetimini yapan yazýlýmlarýn oturumlarda eriþim güvenliðini ve oturum güvenliðine sahip (authentication) eriþimlerin objelere yetkilendirilmesi (authorization) Oracle Veri Tabaný Yönetim yazýlýmý özelinde incelenmesi saðlanacaktýr. Kapsam: Veri tabaný sistemlerinde bilinirliði yüksek olan Oracle Veri tabanlarýnda güvenlik için geliþtirilen yazýlýmlarýn, teknolojilerin incelenmesi yapýlacaktýr. Sýnýrlýklar: Çalýþmamýz veri tabaný teknolojilerinde standart hale gelen güvenlik çözümleri ile sýnýrlandýrýlacaktýr. Yöntem: Oracle veri tabanýmýzdaki Sunucu-Ýstemci (Client-Server) mimarisi ile istemcinin Oracle Client-driver aracýlýðý ile talep ettiði oturum isteðinin(tnsname.ora) sunucu tarafýnda hizmet veren veri tabaný servisleri (listener.ora,sqlne.ora) ile karþýlýk vermektedir. Bu mimarideki ilk karþýlaþma sýrasýnda veri tabanýndaki veri tabaný kullanýcýlarý veya çeþitli objelere sahip þemalarýn ilk talep edeceði tabi ki þifre kontrol mekanizmasýdýr. Ancak bu basit güvenlik mekanizmasý elbette ki günümüz veri tabaný güvenliði için yeterli olmamaktadýr. Bu baðlamda ilave güvenlik parametreleri ile güvenliðin saðlanmasý gerektiði anlaþýlmýþtýr. Bu bakýmýndan eriþim talebinde bulunan istemcinin eriþirken kullandýðý IP, makine adý, LDAP kullanýcý adý, eriþirken kullandýðý uygulama gibi parameterlerin baðlanmadan önce veri tabaný güvenlik sisteminde kayýtlý olursa bu kayýt ile o an eriþen kayýt bilgisinin karþýlaþtýrýlmasý saðlanacak ve bu da eriþim güvenliðini bir üst mekanizmaya taþýyacaðý bariz þekilde ortadadýr. Bulgular: Eriþim güvenliði veri tabaný sunucularý için kritik olduðu ayrýca eriþen her istemcininde belirli kýsýtlamalara zorlanmasý gerektiði görülmüþtür. Ayrýca eriþimi bu parametrelerle onaylanan istemci veri tabanýnda neler yapabileceðini uygulamalardan baðýmsýz direk kýsýtlanma imkâný da verilebilir. Örneðin eriþmek isteyen istemci kesinlikle hiçbir objeyi drop edemez. Sonuç: Veri tabanýna eriþim ve yetkilendirme yöntemleri sürekli kavram olarak geliþmektedir. Veriye eriþirken daha güvenli yapý için sadece þifre güvenliðinin yeterli olmadýðý eriþenin önceden kimliðinin tam ve inkâr edilemez þekilde tanýmlanmýþ olmasý ve ayný þekilde yetki tanýmlanmasýnda da tam ve yetkilerin ayrýþtýrýlmasýnýn saðlanmasý gerektiðini sonuç olarak belirtebiliriz.
Anahtar Kelimeler: Veri tabaný güvenliði, Veri tabaný eriþim güvenliði, Veri tabaný objelerin yetkilendirilmesi
|
