VERİTABANI PROGRAMLAMA

Güvenlik açıkları:

Donanım

• Kasıtsız Zarar
    • Yiyecek – İçeçek
    • Hayvanlar
    • Toz
    • Yıldırım
    • Kaba Kullanım
    • Su Basması
• Kasıtlı Zarar
    • Hırsızlık
    • Fiziksel Zararlar (kırma, bozma, parçalama)

Güvenlik Açıkları:

Yazılım

• Silinme
    • Kasıtsız
    • Kasıtlı
• Değiştirilme
    • Truva Atları
    • Virüsler
    • Arka Kapılar
    • Bilgi Sızdırma
    • Solucanlar
• Hırsızlık
    • Lisansız Kullanım
    • İzinsiz kopyalama

Güvenlik açıkları:

Veri

• Gizliliğin İhlali
   • Dinleme (dinleyiciler, alıcılar)
   • Bilgi Sızdırma (insanlar yoluyla)
• Engelleme
   • Silme
   • Ulaşılamaz ya da kullanılamaz hâle getirme
• Bütünlüğün Bozulması
   • Veri Değişikliği
   • Sahte Veri

Bununla birlikte, bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan
kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz gizliliğin ihlali çok önemli bir yer tutmaktadır. Bilinçli tehditler; bilgiye erişimi olan kişilerin bilgiyi kötü amaçla kullanması veya bir kişinin başka birine ait erişim bilgilerini elde
ederek normalde erişmemesi gereken bilgilere erişmesi ve bunu kötü amaçlı kullanması
olarak iki katagoriye ayrılabilir. Bilinçsiz tehditlere örnek olarak veri tabanına erişimi bulunan bir kişinin, kullanmış olduğu şifreyi farkında olmadan paylaşması veya kolay tahmin edilebilen bir şifre seçmesi gösterilebilir.

SQL Server bilindiği üzere sunucu / istemci ve istemci / sunucu bir yapıdadır. Bu yapılardan dolayı, doğal olarak ağ üzerinden haberleşirler. Yine ağ üzerinden veri girişleri ve
veri sorgulamaları yapılır. SQL Server ile istemciler arasındaki haberleşmenin ağ üzerinde, koklayıcı dediğimiz araçlar ile izlenmesi gayet kolaydır. Koklayıcı araçları ile bir saldırganın bir sistemdeki SQL sunucuları ve bu sunuculara
bağlı istemcileri tespit etmesi oldukça kolaydır.

Koklayıcı araçları ile bir saldırganın bir sistemdeki SQL sunucuları ve bu sunuculara
bağlı istemcileri tespit etmesi oldukça kolaydır. Eğer ağınızdaki SQL Server’ın koklayıcılar
kullanılarak tespit edilmesini istemiyor iseniz bir SSL setifikası almanız gerekmektedir.

Güvenli bir veritabanı uygulamasını tasarlarken Bilgi Güvenliği Yönetim Sistemi Standardına göre dikkate alınması gereken üç ana hedef olmalıdır.

• Gizlilik: Kuruma veya bireye özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin erişim hakkına sahip olmasının gerekliliğidir. Bunun için gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. Örneğin, bir öğrenciye diğer
öğrencilerin notlarını incelemek için izin verilmemelidir.

• Bütünlük: Kısaca bilinçli veya bilinçsiz olarak verinin bozulmaması gerekliliğidir.
Kurumsal veya bireysel bilgilerin yetkisiz değişim veya bozulmalara karşı korunması, yalnızca yetkili kullanıcılara verileri değiştirmek için izin verilmesi olarak
özetlenebilir. Örneğin, öğrencilere notlarını görmek için izin verilebilir, ancak notların öğrenciler tarafından değiştirilmesi için izin verilmemesi gerekmektedir.

• Kullanılabilirlik: Bilgi ve kaynakların ihtiyaç duyan kişilerce sürekli erişilebilir durumda olması olarak özetlenebilir. Örneğin, dersi veren kişinin, öğrencinin notlarına erişebilmesi ve onları düzeltebilmesi gerekmektedir.

SQL Server’da kısıtlı erişim mekanizması için GRANT ve REVOKE komutları kullanılır.
GRANT komutu ile tablo veya görünümlere ayrıcalıklar verilmektedir.

SELECT: Nesne olarak belirtilen tablo veya görünümlerin tüm sütunlarına erişme
hakkı (okuma) verilmesi istendiği zaman kullanılır.
GRANT SELECT ON Urunler TO Ali
Yukarıdaki komut satırıyla Ali kullanıcısına Urunler tablosuna erişim hakkı (okuma)
verilmiş olmaktadır.

db_owner: Veritabanı üzerinde tüm ayarlamaları yapabilme ve silebilme
db_accessadmin: Var olan Windows kullanıcıları ve SQL Server hesapları için
veritabanına erişim yetkisi verebilme
db_securityadmin: Veritabanı üzerindeki yetkilendirmeleri değiştirebilme
db_datareader: Kullanıcı tabloları üzerinde SELECT işlemleri yapabilme
db_datawriter: Kullanıcı tabloları üzerinde INSERT/DELETE/UPDATE işlemleri
yapabilme
db_denydatawriter: Kullanıcı tabloları üzerinde INSERT/DELETE/UPDATE işlemleri
yapamaz
db_denydatareader: Kullanıcı tabloları üzerinde SELECT işlemleri yapamaz
db_backupoperator: Veritabanı yedeğini alabilme

Veri Değişikliği

Configuration Manager

Koklayıcı

Windows ve SQL Server

Bütünlük, Gizlilik, Kullanılabilirlik

GRANT

REVOKE

DENY

Güvenlik Yöneticisi

db_backupoperator