ORACLE VE MS SQL SERVER VERİ TABANLARI İÇİN VERİ TABANI YÖNETİM SİSTEMLERİ GÜVENLİK KONTROL İLKELERİNİN TAKİP EDİLMESİ VE UYGULANMASI
Veri tabanı yönetim sistemleri, veri tabanlarını tanımlamak, oluşturmak, kullanmak, değiştirmek ve veri tabanı
sistemleriyle ilgili her türlü işletimsel gereksinimleri karşılamak için tasarlanmış sistem ve yazılımlardır. DBEngines verilerine göre günümüzde 300’ün üzerinde veri tabanı yönetim sistemi geliştirilmiştir.
Bu tez çalışmasında Oracle ve MS SQL Server veri tabanı yönetim sistemleri için kendi şirketleri tarafından
oluşturulan güvenlik kontrol ilkeleri incelenmiş ve bu ilkelerin uygulanmadığı takdirde ortaya çıkabilecek olası
sonuçlar ortaya konulmuştur. Güvenlik kontrol ilkelerinin detaylıca tanımlanmasının ardından, java server faces
aracılığı ile güvenlik kontrol ilkelerini Oracle ve MS SQL Server veri tabanlarına uygulayan bir uygulama
geliştirilmiştir. Uzak sunucu ihtiyacı için sanal laboratuvar ortamı oluşturulmuştur.
Uygulama hem uzak sunucu üzerinde hem de ana bilgisayar üzerinde test edilmiştir. Güvenlik kontrol ilkelerine
göre yönetilmeyen veri tabanı yönetim sistemlerinin aslında birçok güvenlik açığı bulundurduğu tespit
edilmiştir. Kullanıcı verileri, giriş bilgileri ve hatta ana bilgisayardaki diğer özel verilerin bile saldırı altında
olabileceği sonucu ortaya konulmuştur.
SUBMITTING AND IMPLEMENTING SECURITY CONTROL PRINCIPLES FOR DATABASE MANAGEMENT SYSTEMS FOR ORACLE AND MS SQL SERVER DATABASES
___
- [1]İnternet: Online İstatistik, Veri Nedir? Veri ve Bilgi İlişkisi Nasıl Açıklanabilir?,
https://www.onlineistatistik.com/single-post/2016/12 /03/veri-nedir-veri-bilgi-iliskisi-nasilaciklanabilir
- [2] Özdemir, S., Selçuk, A., Kilitçi, A., (2011), Veri Tabanı Yönetim Sistemleri, İstanbul
- [3]İnternet: Vikipedi, Veri Tabanı, https://tr.wikipedia.org/wiki/Veri_taban%C4%B1, 2016.
- [4] Vural, Y., Sağıroğlu, Ş., (2010), Veri Tabanı Yönetim Sistemleri Güvenliği: Tehditler ve
Korunma Yöntemleri, Politeknik Dergisi, 13(2), 71-8.
- [5]İnternet: DB-Engines, DB-Engines Comparison, https://dbengines.com/en/system/Microsoft+SQL+Server%3BMySQL%3BOracle, 2018
- [6]İnternet: DB-Engines, DB-Engines Ranking, https://db-engines.com/en/ranking, 2018
- [7] Muralidhar, K., Karsa, P., Sarathy, R., (1999) A General Additive Data Perturbation
Method for Database Security, Cerias Tech Report, 45(10), 1399-1415, 1999.
- [8] Bertino, E., Sandhu, R., (2005), Database Security, Management Science, 2(1), 2-19.
- [9] Mehta, R., (2006), Oracle Database Security, Application Program Security, 13(5), 40-52.
- [10] Aaron, N., (2006), Oracle Database Security, 10s.
- [11] Vural, Y., Sağıroğlu, Ş., (2010), Veri Tabanı Yönetim Sistemleri Güvenliği: Tehditler ve
Korunma Yöntemleri, Politeknik Dergisi, 13(2), 71-81.
- [12] Titrade, C., Titrade, M., (2011) Oracle Database Security, Romanian Economic Business
Review, 5(2), 408-418.
- [13] Türköz, T., Sezer, A., Çankaya, Y., Çalışkan, E., (2012), Oracle Veri Tabanı Güvenliği
Kılavuzu, Siber Güvenlik Enstitüsü, 75s, Kocaeli.
- [14] Qian, K., Lo, D., Shahriar, H., Li, L., Wu, F., Bhattacharya, P., (2017), Learning
Database Security with Hands-on Mobile Labs, Frontiers in Education Conference, 18-21.
- [15] Gupta, A. M., Gore, Y. R., (2016), Concurrency Control and Security Issue in
Distributed Database System, Ijedr, 4(2), 177-181.
- [16] Gupta, K., Malik, A., Pawar, S., Patil, J., (2016), Database Security Two Way
Authentication Using Graphical Password, Ijera, 6(4), 100-103.
- [17] Grachev, V. M., Esin, V. I., Polikhina, N. G., Rassomakin S. G., (2014), Data Security
Mechanism Implemented in the Database with Universal Model, Kratkie Soobshcheniya po
Fizike, 41(5), 10-16.
- [18] Mohammed, H., Safran, M., Hou, W., (2014), A Security Novel for a Networked
Database International Conference on Computational Science and Computational
Intelligence, 179-284.
- [19] Dalabasmaz, H., (2015), Microsoft SQL Server Sızma ve Güvenlik Testi Çalışmaları,
Bilgi Güvenliği Akademisi, İstanbul.
- [20] İnternet: MSSQLTips, Best practices to secure the sql server sa account,
https://www.mssqltips.com/sqlservertip/3695/best-practices-to-secure-the-sql-server-saaccount/, 2015.
- [21] İnternet: MSSQLTips, Security issues with the sql server builtin administrators group,
https://www.mssqltips.com/sqlservertip/1017/security-issues-with-the-sql-server-builtinadministrators-group/, 2016.
- [22] İnternet: Microsoft, Securing Your Database Server, https://msdn.microsoft.com/enus/library/ff648664.aspx, 2003.
- [23] İnternet: Microsoft, Guest User Account in SQL Server,
https://blogs.msdn.microsoft.com/batuhanyildiz/2013/03/02/guest-user-account-in-sql-server/,
2013.
- [24] İnternet: MSSQLTips, Identify blank and weak passwords for SQL Server logins,
https://www.mssqltips.com/sqlservertip/2775/identify-blank-and-weak-passwords-for-sqlserver-logins/, 2015.
- [25] İnternet: Microsoft, Change server authentication mode, https://docs.microsoft.com/enus/sql/database-engine/configure-windows/change-server-authentication-mode, 2017.
- [26] İnternet: Microsoft, Securing Annonymous Account, https://msdn.microsoft.com/enus/library/ee824255(v=cs.20).aspx, 2002.
- [27] İnternet: Mesutx, Sql Server Network Interface Nedir, http://www.mesutx.com/sqlserver-network-interface-nedir/, 2015.
- [28] İnternet: Microsoft, List of Sql Server Service Name,
https://blogs.technet.microsoft.com/fort_sql/2010/05/31/list-of-sql-server-service-names/,
2010.
- [29] İnternet: SqlServerUpdates, What are the most recent updates for SQL Server,
https://sqlserverupdates.com/, 2018.
- [30] İnternet: Microsoft, Configure the Remote Access Server, https://docs.microsoft.com/enus/sql/database-engine/configure-windows/configure-the-remote-access-server-configurationoption, 2017.
- [31] İnternet: Orafaq, List of Default Database Users,
http://www.orafaq.com/wiki/List_of_default_database_users, 2014.
- [32] Internet: Lock and Expired Default User Account,
https://docs.oracle.com/cd/B28359_01/network.111/b28531/guidelines.htm#DBSEG10005,
2014.
- [33] İnternet: Oracle, Default Accounts and Passwords,
https://docs.oracle.com/cd/A97630_01/win.920/a95490/username.htm, 2002.
- [34] Internet: Oracle, The Data Dictionary,
https://docs.oracle.com/cd/B28359_01/server.111/b28318/datadict.htm#CNCPT002, 2002.
- [35] Internet: Oracle, Enterprise Manager,
http://www.oracle.com/technetwork/oem/enterprise-manager/overview/index.html, 2017.
- [36] Internet: Oracle, Keeping Your Oracle Database Secure,
https://docs.oracle.com/cd/B28359_01/network.111/b28531/guidelines.htm#DBSEG98446
- [37] Isaca, (2008), Oracle Database Security Checklist, 15s.
- [38] Internet: OraDBA, Oracle 12c new password verify function,
http://www.oradba.ch/2013/07/oracle-12c-new-password-verify-function/, 2013.
- [39] Internet: Oracle, Create Profile,
https://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm, 2014.
- [40] Internet: Oracle,Critical Patch Updates Security Alerts and Bulletins,
https://www.oracle.com/technetwork/topics/security/alerts-086861.html
/a83793/metalink.htm
- [41]Internet: Oracle,Critical Patch Updates Security Alerts and Bulletins,
https://www.oracle.com/technetwork/topics/security/alerts086861.html#CriticalPatchUpdates