ORACLE VE MS SQL SERVER VERİ TABANLARI İÇİN VERİ TABANI YÖNETİM SİSTEMLERİ GÜVENLİK KONTROL İLKELERİNİN TAKİP EDİLMESİ VE UYGULANMASI

Yıl 2018, Cilt: 10 Sayı: 2, 22 - 46, 31.12.2018

Bekir Eray Katı , Ecir Uğur Küçüksille

Öz

Veri tabanı yönetim sistemleri, veri tabanlarını tanımlamak, oluşturmak, kullanmak, değiştirmek ve veri tabanı
sistemleriyle ilgili her türlü işletimsel gereksinimleri karşılamak için tasarlanmış sistem ve yazılımlardır. DBEngines verilerine göre günümüzde 300’ün üzerinde veri tabanı yönetim sistemi geliştirilmiştir.
Bu tez çalışmasında Oracle ve MS SQL Server veri tabanı yönetim sistemleri için kendi şirketleri tarafından
oluşturulan güvenlik kontrol ilkeleri incelenmiş ve bu ilkelerin uygulanmadığı takdirde ortaya çıkabilecek olası
sonuçlar ortaya konulmuştur. Güvenlik kontrol ilkelerinin detaylıca tanımlanmasının ardından, java server faces
aracılığı ile güvenlik kontrol ilkelerini Oracle ve MS SQL Server veri tabanlarına uygulayan bir uygulama
geliştirilmiştir. Uzak sunucu ihtiyacı için sanal laboratuvar ortamı oluşturulmuştur.
Uygulama hem uzak sunucu üzerinde hem de ana bilgisayar üzerinde test edilmiştir. Güvenlik kontrol ilkelerine
göre yönetilmeyen veri tabanı yönetim sistemlerinin aslında birçok güvenlik açığı bulundurduğu tespit
edilmiştir. Kullanıcı verileri, giriş bilgileri ve hatta ana bilgisayardaki diğer özel verilerin bile saldırı altında
olabileceği sonucu ortaya konulmuştur.

Anahtar Kelimeler

veri tabanı yönetim sistemleri, veri tabanı güvenlik kontrol ilkeleri, veri tabanı güvenliğinde korunma yöntemleri

SUBMITTING AND IMPLEMENTING SECURITY CONTROL PRINCIPLES FOR DATABASE MANAGEMENT SYSTEMS FOR ORACLE AND MS SQL SERVER DATABASES

Öz

Kaynakça

• [1]İnternet: Online İstatistik, Veri Nedir? Veri ve Bilgi İlişkisi Nasıl Açıklanabilir?, https://www.onlineistatistik.com/single-post/2016/12 /03/veri-nedir-veri-bilgi-iliskisi-nasilaciklanabilir
• [2] Özdemir, S., Selçuk, A., Kilitçi, A., (2011), Veri Tabanı Yönetim Sistemleri, İstanbul
• [3]İnternet: Vikipedi, Veri Tabanı, https://tr.wikipedia.org/wiki/Veri_taban%C4%B1, 2016.
• [4] Vural, Y., Sağıroğlu, Ş., (2010), Veri Tabanı Yönetim Sistemleri Güvenliği: Tehditler ve Korunma Yöntemleri, Politeknik Dergisi, 13(2), 71-8.
• [5]İnternet: DB-Engines, DB-Engines Comparison, https://dbengines.com/en/system/Microsoft+SQL+Server%3BMySQL%3BOracle, 2018
• [6]İnternet: DB-Engines, DB-Engines Ranking, https://db-engines.com/en/ranking, 2018
• [7] Muralidhar, K., Karsa, P., Sarathy, R., (1999) A General Additive Data Perturbation Method for Database Security, Cerias Tech Report, 45(10), 1399-1415, 1999.
• [8] Bertino, E., Sandhu, R., (2005), Database Security, Management Science, 2(1), 2-19.
• [9] Mehta, R., (2006), Oracle Database Security, Application Program Security, 13(5), 40-52.
• [10] Aaron, N., (2006), Oracle Database Security, 10s.
• [11] Vural, Y., Sağıroğlu, Ş., (2010), Veri Tabanı Yönetim Sistemleri Güvenliği: Tehditler ve Korunma Yöntemleri, Politeknik Dergisi, 13(2), 71-81.
• [12] Titrade, C., Titrade, M., (2011) Oracle Database Security, Romanian Economic Business Review, 5(2), 408-418.
• [13] Türköz, T., Sezer, A., Çankaya, Y., Çalışkan, E., (2012), Oracle Veri Tabanı Güvenliği Kılavuzu, Siber Güvenlik Enstitüsü, 75s, Kocaeli.
• [14] Qian, K., Lo, D., Shahriar, H., Li, L., Wu, F., Bhattacharya, P., (2017), Learning Database Security with Hands-on Mobile Labs, Frontiers in Education Conference, 18-21.
• [15] Gupta, A. M., Gore, Y. R., (2016), Concurrency Control and Security Issue in Distributed Database System, Ijedr, 4(2), 177-181.
• [16] Gupta, K., Malik, A., Pawar, S., Patil, J., (2016), Database Security Two Way Authentication Using Graphical Password, Ijera, 6(4), 100-103.
• [17] Grachev, V. M., Esin, V. I., Polikhina, N. G., Rassomakin S. G., (2014), Data Security Mechanism Implemented in the Database with Universal Model, Kratkie Soobshcheniya po Fizike, 41(5), 10-16.
• [18] Mohammed, H., Safran, M., Hou, W., (2014), A Security Novel for a Networked Database International Conference on Computational Science and Computational Intelligence, 179-284.
• [19] Dalabasmaz, H., (2015), Microsoft SQL Server Sızma ve Güvenlik Testi Çalışmaları, Bilgi Güvenliği Akademisi, İstanbul.
• [20] İnternet: MSSQLTips, Best practices to secure the sql server sa account, https://www.mssqltips.com/sqlservertip/3695/best-practices-to-secure-the-sql-server-saaccount/, 2015.
• [21] İnternet: MSSQLTips, Security issues with the sql server builtin administrators group, https://www.mssqltips.com/sqlservertip/1017/security-issues-with-the-sql-server-builtinadministrators-group/, 2016.
• [22] İnternet: Microsoft, Securing Your Database Server, https://msdn.microsoft.com/enus/library/ff648664.aspx, 2003.
• [23] İnternet: Microsoft, Guest User Account in SQL Server, https://blogs.msdn.microsoft.com/batuhanyildiz/2013/03/02/guest-user-account-in-sql-server/, 2013.
• [24] İnternet: MSSQLTips, Identify blank and weak passwords for SQL Server logins, https://www.mssqltips.com/sqlservertip/2775/identify-blank-and-weak-passwords-for-sqlserver-logins/, 2015.
• [25] İnternet: Microsoft, Change server authentication mode, https://docs.microsoft.com/enus/sql/database-engine/configure-windows/change-server-authentication-mode, 2017.
• [26] İnternet: Microsoft, Securing Annonymous Account, https://msdn.microsoft.com/enus/library/ee824255(v=cs.20).aspx, 2002.
• [27] İnternet: Mesutx, Sql Server Network Interface Nedir, http://www.mesutx.com/sqlserver-network-interface-nedir/, 2015.
• [28] İnternet: Microsoft, List of Sql Server Service Name, https://blogs.technet.microsoft.com/fort_sql/2010/05/31/list-of-sql-server-service-names/, 2010.
• [29] İnternet: SqlServerUpdates, What are the most recent updates for SQL Server, https://sqlserverupdates.com/, 2018.
• [30] İnternet: Microsoft, Configure the Remote Access Server, https://docs.microsoft.com/enus/sql/database-engine/configure-windows/configure-the-remote-access-server-configurationoption, 2017.
• [31] İnternet: Orafaq, List of Default Database Users, http://www.orafaq.com/wiki/List_of_default_database_users, 2014.
• [32] Internet: Lock and Expired Default User Account, https://docs.oracle.com/cd/B28359_01/network.111/b28531/guidelines.htm#DBSEG10005, 2014.
• [33] İnternet: Oracle, Default Accounts and Passwords, https://docs.oracle.com/cd/A97630_01/win.920/a95490/username.htm, 2002.
• [34] Internet: Oracle, The Data Dictionary, https://docs.oracle.com/cd/B28359_01/server.111/b28318/datadict.htm#CNCPT002, 2002.
• [35] Internet: Oracle, Enterprise Manager, http://www.oracle.com/technetwork/oem/enterprise-manager/overview/index.html, 2017.
• [36] Internet: Oracle, Keeping Your Oracle Database Secure, https://docs.oracle.com/cd/B28359_01/network.111/b28531/guidelines.htm#DBSEG98446
• [37] Isaca, (2008), Oracle Database Security Checklist, 15s.
• [38] Internet: OraDBA, Oracle 12c new password verify function, http://www.oradba.ch/2013/07/oracle-12c-new-password-verify-function/, 2013.
• [39] Internet: Oracle, Create Profile, https://docs.oracle.com/cd/B19306_01/server.102/b14200/statements_6010.htm, 2014.
• [40] Internet: Oracle,Critical Patch Updates Security Alerts and Bulletins, https://www.oracle.com/technetwork/topics/security/alerts-086861.html /a83793/metalink.htm
• [41]Internet: Oracle,Critical Patch Updates Security Alerts and Bulletins, https://www.oracle.com/technetwork/topics/security/alerts086861.html#CriticalPatchUpdates