現(xiàn)階段大數(shù)據(jù)產(chǎn)業(yè)的快速發(fā)展創(chuàng)造了極大的經(jīng)濟效益，大數(shù)據(jù)的出現(xiàn)推動了社會經(jīng)濟發(fā)展，但是隨之而來的數(shù)據(jù)庫安全問題也引起了學者對大數(shù)據(jù)信息安全問題的反思。大數(shù)據(jù)時代下的信息與隱私安全問題已經(jīng)成為全球性重點關注的問題，為了能夠更有效地避免數(shù)據(jù)安全問題發(fā)生，需要相關人員積極構建數(shù)據(jù)庫安全保障體系。

1 數(shù)據(jù)庫的安全威脅問題研究

數(shù)據(jù)庫的信息安全問題得到了社會的普遍關注，從現(xiàn)有的數(shù)據(jù)庫網(wǎng)絡安全事件來看，其信息安全問題的風險具有范圍廣、影響大、突發(fā)性強等特征，并且可能產(chǎn)生嚴重的損失。與傳統(tǒng)的攻擊行為相比，數(shù)據(jù)庫的網(wǎng)絡安全問題呈現(xiàn)出以下特征：

（1）高技術性與高智能性特征。例如部分不法分子為了能夠盜取數(shù)據(jù)庫中的資料，會采用各種手段穿越防火墻，通過不斷地攻擊數(shù)據(jù)庫的安全防護體系或注入SQL等方法篡改數(shù)據(jù)，導致數(shù)據(jù)大量流失。

（2）作案手段日益多樣化。在大數(shù)據(jù)技術的支持下，不法分子威脅數(shù)據(jù)庫的手段也呈現(xiàn)出了多樣化的趨勢，例如部分人員會運用程序的漏洞進行作案，甚至通過非法用戶向管理人員非法授予操作權限的方法進行授權。

（3）網(wǎng)絡安全問題不受地域與時間因素的顯示，不法分子可以隨時遠程攻擊數(shù)據(jù)庫。（4）數(shù)據(jù)庫攻擊的隱蔽性較強，收集證據(jù)的難度較大。

文獻認為，數(shù)據(jù)庫作為一種特殊的信息存儲結構，在大數(shù)據(jù)環(huán)境下所面臨的信息安全隱患問題更加突出，表現(xiàn)為：

（1）在網(wǎng)絡方面，大部分數(shù)據(jù)庫采用了TCP/IP 的協(xié)議通信方式，而該協(xié)議本身存在弊端，難以有效鑒別通信雙方的身份，導致數(shù)據(jù)庫無法正確識別攻擊者的身份而遭到嚴重破壞。

（2）在數(shù)據(jù)庫管理系統(tǒng)上，大部分數(shù)據(jù)采用了DB2、SQL Server等商用數(shù)據(jù)庫系統(tǒng)，這些數(shù)據(jù)庫系統(tǒng)的技術條件成熟，但是在應用過程中，一些數(shù)據(jù)庫的安全問題發(fā)生，例如關于SQL Server數(shù)據(jù)庫的SQL 注入等。雖然現(xiàn)階段各個廠商都在不斷完善數(shù)據(jù)庫等更新補丁包，但是大部分出于對數(shù)據(jù)庫穩(wěn)定性的考慮，通常會延后補丁的更新速度，最終導致數(shù)據(jù)庫的漏洞難以第一時間被處理，最終成為安全隱患。

2 大數(shù)據(jù)背景下數(shù)據(jù)庫安全技術分析

2.1 身份認證技術分析

為實現(xiàn)數(shù)據(jù)庫安全對用戶的身份進行認證是其中的重點。現(xiàn)階段常用的數(shù)據(jù)庫普遍采用“ID 密碼”的方式進行身份核實，即將用戶的賬號信息存儲在數(shù)據(jù)字典等當用戶產(chǎn)生連接需求之后，系統(tǒng)能夠查詢數(shù)據(jù)字典，并對用戶的合法性進行判斷。但是在大數(shù)據(jù)背景下，各種解密技術得到了快速的發(fā)展，導致 ID 認證方式面臨挑戰(zhàn)，因此鑒定人體信息的生物認證安全技術出現(xiàn)，通過語言識別、指紋識別的方法，對用戶的身份進行判斷。但從現(xiàn)有技術發(fā)展情況來看，身份認證技術尚未在數(shù)據(jù)庫安全管理中得到運用，但是鑒于大數(shù)據(jù)的強大數(shù)據(jù)處理能力，可預見該技術在未來會具有廣闊的發(fā)展前景。

2.2 訪問控制技術

訪問控制是數(shù)據(jù)庫安全管理的核心內容，能夠對規(guī)定主體的訪問行為進行限制，避免出現(xiàn)任何不滿足數(shù)據(jù)庫安全的訪問行為發(fā)生。

2.2.1 自主訪問控制

目前自主訪問控制是數(shù)據(jù)庫信息安全中一種常見的訪問控制技術，用戶可結合自己的需求對系統(tǒng)的數(shù)據(jù)進行調整并判斷哪些用戶能夠訪問數(shù)據(jù)庫。在此基礎上，通過構建自主訪問

控制模型，能夠對訪問客體的權限做進一步界定，這樣當用戶的身份被系統(tǒng)識別后，則可以對客體訪問數(shù)據(jù)庫的行為進行監(jiān)控，用戶只能在系統(tǒng)允許的范圍內完成操作。作為一種靈活的控制策略，自主訪問控制能夠保障用戶自主地將自己所擁有的權限賦予其他用戶，操作過程靈活簡單，因此大部分的商業(yè)數(shù)據(jù)庫都會采用這種訪問控制技術。

2.2.2 基于角色的訪問控制

在數(shù)據(jù)庫安全管理中，基于角色的訪問控制作為一種新的控制方法，其主要特征為：在該技術中權限并不是直接賦予指定用戶的。所以當用戶與特定角色綁定之后，則可以通過將基于角色的訪問控制過程進行劃分，實現(xiàn)對權限的分配。

2.3 數(shù)據(jù)加密技術

數(shù)據(jù)加密技術主要包括庫內加密與庫外加密的方法，其中庫內加密是在數(shù)據(jù)庫內部設置加密模塊，例如對數(shù)據(jù)內的相關列表進行加密，而庫外加密則是通過特定的加密服務器完成加密與解密操作。在大數(shù)據(jù)環(huán)境下，大部分的數(shù)據(jù)庫都能夠提供數(shù)據(jù)加密功能，例如SQL Server數(shù)據(jù)庫構建的多維度密鑰保護與備份信息加密等。但是考慮到數(shù)據(jù)的特殊性，數(shù)據(jù)庫所存儲的信息量較大，在這種情況下可能對數(shù)據(jù)庫的加密與加密的穩(wěn)定性產(chǎn)生影響，因此用戶可根據(jù)安全管理要求對數(shù)據(jù)庫中的高度機密的數(shù)據(jù)做加密處理。

3 大數(shù)據(jù)背景下的數(shù)據(jù)庫安全保障策略分析

在大數(shù)據(jù)背景下，應該圍繞信息安全問題落實數(shù)據(jù)庫安全管理方案，以大數(shù)據(jù)強大的數(shù)據(jù)處理能力結合數(shù)據(jù)庫的功能訴求對數(shù)據(jù)庫的安全保障方案進行改進。

3.1 角色訪問控制策略分析

受大數(shù)據(jù)的影響，數(shù)據(jù)庫的訪問人數(shù)會快速增加，導致數(shù)據(jù)庫所面臨的安全風險更高。因此為了能夠進一步保障數(shù)據(jù)庫安全，則需要基于角色訪問模型的數(shù)據(jù)庫訪問控制，為用戶

分配數(shù)據(jù)庫角色，最終使用戶在數(shù)據(jù)庫上獲得相應的權限，進一步提高數(shù)據(jù)庫安全質量。

本文基于大數(shù)據(jù)的技術要求，在數(shù)據(jù)庫安全保障體系的設置上提出了一種新的集中管理模式——基于應用的角色訪問模型，該模型能夠對數(shù)據(jù)庫的信息安全問題進行有效識別，通

過對應用數(shù)據(jù)庫、安全中心的功能進行界定，進而明確數(shù)據(jù)庫安全管理的角色與權限。在實施階段，其中的重點內容包括：

（1）應用方案。在大數(shù)據(jù)系統(tǒng)中的應用系統(tǒng)中往往會存在大量的賬戶與用戶群，所以在數(shù)據(jù)庫安全保障體系建設中能夠將任意一個用戶的信息注冊到安全中心中，這樣數(shù)據(jù)庫可以收錄用戶權限的有用信息，包括名稱、屬性、創(chuàng)建時間、應用用途等。

（2）子應用。數(shù)據(jù)安全管理應用方案需要根據(jù)環(huán)境進行分類，將數(shù)據(jù)庫中的自應用作為特定類用戶的集合，可用于實現(xiàn)數(shù)據(jù)庫的安全管理。例如在數(shù)據(jù)庫安全的子應用中，將DBA作為數(shù)據(jù)庫管理員集合。

（3）數(shù)據(jù)庫。這里所提到的數(shù)據(jù)庫為特定數(shù)據(jù)庫，為達到安全管理要求，將數(shù)據(jù)庫注冊到系統(tǒng)中并與相關安全軟件相綁定，或者在特定的數(shù)據(jù)庫環(huán)境下將對應的子應用創(chuàng)設到數(shù)據(jù)庫中。

（4）用戶。用戶的數(shù)據(jù)安全需要與數(shù)據(jù)庫的賬戶相連接，在數(shù)據(jù)庫安全管理制定用戶所屬的子應用，并劃分相應的權限即可。

3.2 攻擊檢測

大數(shù)據(jù)背景下的數(shù)據(jù)庫安全形勢嚴峻，數(shù)據(jù)庫所承受的攻擊數(shù)量巨大，通過開展攻擊檢測的方法能夠發(fā)現(xiàn)濫用與異常的攻擊行為?，F(xiàn)階段的大部分數(shù)據(jù)庫都不具有攻擊檢測功能，所以在安全保障體系的構建中，本文根據(jù)技術數(shù)據(jù)挖掘與數(shù)據(jù)采集的要求，構建基于攻擊檢測的數(shù)據(jù)保全保障體系，通過該方法能夠記錄數(shù)據(jù)庫被攻擊情況，為實現(xiàn)數(shù)據(jù)庫安全奠定基礎。實時檢測主要是針對各種已知的攻擊方式，并將這種攻擊以代碼的形式存儲在數(shù)據(jù)庫中，按照數(shù)據(jù)庫中所記錄的數(shù)據(jù)判斷系統(tǒng)是否遭受到攻擊。該技術的具有較高的檢測精度，但由于該技術無法對內部人員與未知攻擊行為進行檢測，所以本文在實時檢測的基礎上進一步完善了其中的功能，包括：

（1）登錄失敗檢測。當系統(tǒng)檢測到在特定時間段內頻繁地出現(xiàn)登錄失敗的情況，則需要對該IP的用戶登錄情況進行檢測。

（2）登錄檢測。若登錄數(shù)據(jù)庫的IP地址與以前登錄過的地址不同，則需要警惕數(shù)據(jù)庫安全問題。

（3）操作失敗檢測。針對特定時間內檢測到的操作失敗次數(shù)，檢測無訪問權限對象的登錄行為。

（4）用戶權限變更檢測。其主要功能是檢測用戶的權限是否在滿足規(guī)定的情況下進行變更。在該系統(tǒng)中，通過將關于系統(tǒng)安全的規(guī)則上傳到數(shù)據(jù)庫的審計中心中，再同步到各個數(shù)據(jù)中，由此實現(xiàn)對濫用規(guī)則的統(tǒng)一控制。在實時檢測過程中，可在數(shù)據(jù)庫添加兩個觸發(fā)器來完成對攻擊的檢測，包括：

（1）通過DDL觸發(fā)器來抓取數(shù)據(jù)庫的事物，并檢測用戶權限變更等情況，作為SQLServer數(shù)據(jù)庫中的一種特有觸發(fā)器，當數(shù)據(jù)庫發(fā)生安全事件的同時能夠做出響應，在各種數(shù)據(jù)庫安全事件發(fā)生之后快速地捕捉信息并分析安全攻擊行為的發(fā)生間隔，判斷攻擊事件是否有效。

（2）DML觸發(fā)器具有跟蹤審計信息的功能，針對數(shù)據(jù)庫操作過程中的各種常見問題進行安全評估，包括操作失敗事件、登錄失敗情況以及敏感用戶對系統(tǒng)的訪問等。當DML 檢測到數(shù)據(jù)庫遭受到攻擊，則會退出攻擊賬戶，保證數(shù)據(jù)庫的安全。

3.3 數(shù)據(jù)庫的安全防護機制

在數(shù)據(jù)庫的安全防護中，可利用虛擬化平臺來實現(xiàn)數(shù)據(jù)庫的安全管理，為能夠達到有效的安全防護目的，可采用以下措施進行數(shù)據(jù)庫安全管理。

3.3.1 數(shù)據(jù)庫的安全備份

數(shù)據(jù)備份的目的就是要為數(shù)據(jù)安全增添“第二把鎖”，當前數(shù)據(jù)庫的數(shù)據(jù)備份主要采用物理備份與邏輯備份相結合的方法，按照既定的時間要求對數(shù)據(jù)庫中的數(shù)據(jù)進行存儲。此時假設數(shù)據(jù)遭到攻擊或者出現(xiàn)損害時，可以在原數(shù)據(jù)庫的基礎上調度備份數(shù)據(jù)，達到數(shù)據(jù)快速復原的目的。為實現(xiàn)該目的，可通過MySQL恢復工具、導出數(shù)據(jù)等方法并引入數(shù)據(jù)信息的變化，最終有助于實現(xiàn)二進制文件保存，避免備份數(shù)據(jù)的濫用。

3.3.2 數(shù)據(jù)庫的防火墻設置

防火墻是維護數(shù)據(jù)安全的關鍵，所以在設置防火墻期間，利用SQL數(shù)據(jù)庫檢測到的攻擊痕跡將數(shù)據(jù)與數(shù)據(jù)庫SQL語句運用到應用程序中，利用數(shù)據(jù)庫防火墻的名單檢測對任意一個針對數(shù)據(jù)庫的操作行為進行檢測，避免系統(tǒng)遭受注入攻擊而造成數(shù)據(jù)損失。

4 結束語

在大數(shù)據(jù)背景下，數(shù)據(jù)庫的安全保障管理更加復雜，為了能夠更好地適應數(shù)據(jù)庫管理要求，相關人員要充分發(fā)揮大數(shù)據(jù)技術優(yōu)勢，結合各種常見的數(shù)據(jù)庫安全問題進行處置，這樣才能有效降低數(shù)據(jù)庫安全事件發(fā)生率，最終適應數(shù)據(jù)安全管理要求。

原文鏈接：http://click.aliyun.com/m/1000351095/

本文為阿里云原創(chuàng)內容，未經(jīng)允許不得轉載。