張鶴露 張文嬌

【關(guān)鍵詞】大數(shù)據(jù)時代;網(wǎng)絡(luò)數(shù)據(jù)庫;安全防護(hù)

（一）大數(shù)據(jù)時代

很多人對于大數(shù)據(jù)的理解還停留在大規(guī)模的數(shù)據(jù)上，其實(shí)現(xiàn)代意義上的大數(shù)據(jù)絕不單是數(shù)據(jù)在量上的規(guī)模積累，而是通過現(xiàn)代的信息技術(shù)對于既有的大量數(shù)據(jù)進(jìn)行分類、處理、存儲等一系列的流程操作。大數(shù)據(jù)時代對于數(shù)據(jù)的管理具有非常高的時效性和精準(zhǔn)性，數(shù)據(jù)量海量化的同時，處理過后的存儲數(shù)據(jù)具有較高的數(shù)據(jù)洞察力、多樣化等。隨著信息化水平的提高，特別是移動通信技術(shù)的發(fā)展，越來越多的智能化設(shè)備出現(xiàn)在人們的日常生活中，因此對于個性化數(shù)據(jù)需求日益增多，這也標(biāo)志著大數(shù)據(jù)時代的來臨。

（二）網(wǎng)絡(luò)數(shù)據(jù)庫

網(wǎng)絡(luò)數(shù)據(jù)庫是將數(shù)據(jù)技術(shù)和網(wǎng)絡(luò)技術(shù)相結(jié)合，利用互聯(lián)網(wǎng)自身的傳輸特點(diǎn)，從而實(shí)現(xiàn)數(shù)據(jù)共享的一種技術(shù)。用戶可以通過客戶端，利用網(wǎng)絡(luò)技術(shù)對遠(yuǎn)程的數(shù)據(jù)庫進(jìn)行相應(yīng)權(quán)限的數(shù)據(jù)庫資源訪問和操作。隨著大數(shù)據(jù)時代的來臨，對于數(shù)據(jù)庫的訪問效率、存儲效率、共享效率的要求在不斷提高，因此網(wǎng)絡(luò)數(shù)據(jù)庫的應(yīng)用也日益廣泛。

早期的網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用，主要是針對于PC端的留言、論壇等。隨著移動通信和移動應(yīng)用技術(shù)開發(fā)領(lǐng)域的發(fā)展。目前網(wǎng)絡(luò)數(shù)據(jù)庫已經(jīng)被廣泛應(yīng)用于各行各業(yè)，例如現(xiàn)在的電子商務(wù)、政務(wù)等都是通過網(wǎng)絡(luò)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)上的交互，提高了數(shù)據(jù)流轉(zhuǎn)的效率。

（一）網(wǎng)絡(luò)數(shù)據(jù)庫安全分析

當(dāng)下，網(wǎng)絡(luò)數(shù)據(jù)庫被廣泛運(yùn)用，其承載的數(shù)據(jù)量日益加大，在保證其數(shù)據(jù)正常流轉(zhuǎn)的前提下，對于數(shù)據(jù)信息的安全性保護(hù)也是網(wǎng)絡(luò)數(shù)據(jù)庫必須要解決的問題。從統(tǒng)計(jì)數(shù)據(jù)來看，目前對于網(wǎng)絡(luò)數(shù)據(jù)庫的侵害主要有兩種因素，一種是不可抗拒的自然因素，另一種是出于某種具體目的的人為因素。而從發(fā)生的概率上來看，不可抗拒的自然因素對網(wǎng)絡(luò)數(shù)據(jù)庫造成損害的概率比較低，且多數(shù)情況下存在一定的可預(yù)防性和可預(yù)測性，是具有一定的低概率偶發(fā)性事件。目前，網(wǎng)絡(luò)數(shù)據(jù)庫存在的高發(fā)性事件主要是人為因素造成的。

（二）數(shù)據(jù)庫人為因素威脅的手段

從目前人為因素對網(wǎng)絡(luò)數(shù)據(jù)庫造成侵害的案例數(shù)據(jù)來看，其對于網(wǎng)絡(luò)數(shù)據(jù)庫的威脅主要有以下三種手段：

1.網(wǎng)絡(luò)黑客入侵?jǐn)?shù)據(jù)庫，實(shí)現(xiàn)篡改或者竊取網(wǎng)絡(luò)數(shù)據(jù)庫信息的目的。

入侵網(wǎng)絡(luò)數(shù)據(jù)庫的黑客行為是目前網(wǎng)絡(luò)數(shù)據(jù)庫在安全技術(shù)層面上遇到的難題。黑客入侵網(wǎng)絡(luò)數(shù)據(jù)庫，主要是通過獲取數(shù)據(jù)庫的加密技術(shù)，從而找到技術(shù)的薄弱環(huán)節(jié)，進(jìn)行數(shù)據(jù)的竊取與破壞。現(xiàn)在網(wǎng)絡(luò)數(shù)據(jù)庫的加密方式一般是采用混沌加密算法，在未來的網(wǎng)絡(luò)數(shù)據(jù)庫安全性技術(shù)防護(hù)中，對加密算法的進(jìn)一步強(qiáng)化。

2.利用網(wǎng)絡(luò)數(shù)據(jù)庫管理人員權(quán)限對數(shù)據(jù)庫進(jìn)行直接竊取與破壞，從而影響網(wǎng)絡(luò)數(shù)據(jù)庫的安全性。

以網(wǎng)絡(luò)數(shù)據(jù)庫管理人員的權(quán)限，可以對網(wǎng)絡(luò)數(shù)據(jù)庫進(jìn)行權(quán)限內(nèi)的任何操作，接觸到非常多的敏感數(shù)據(jù)信息。如果利用管理人員權(quán)限進(jìn)行數(shù)據(jù)庫中數(shù)據(jù)的竊取與破壞，相較于黑客入侵等手段。其所構(gòu)成的威脅更大。因此現(xiàn)在的網(wǎng)絡(luò)數(shù)據(jù)庫為了客戶數(shù)據(jù)的安全性，會在用戶的客戶端進(jìn)行敏感數(shù)據(jù)操作，而不在數(shù)據(jù)傳輸過程中對數(shù)據(jù)庫端直接進(jìn)行。另外，在網(wǎng)絡(luò)傳輸?shù)倪^程中采用加密傳輸?shù)姆绞?，盡量在傳輸時減少明文的出現(xiàn)，避免一些敏感數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸?shù)倪^程中被竊取。同時也降低數(shù)據(jù)庫管理人員對于數(shù)據(jù)的操作權(quán)限，減少用戶數(shù)據(jù)在網(wǎng)絡(luò)數(shù)據(jù)庫中受到侵害的可能性。

3.網(wǎng)絡(luò)數(shù)據(jù)庫的合法用戶通過合法的身份獲取超出自身用戶權(quán)限的操作，從而對網(wǎng)絡(luò)數(shù)據(jù)庫的數(shù)據(jù)安全構(gòu)成一定的威脅。

在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫用戶權(quán)限獲取時，某些數(shù)據(jù)庫操作權(quán)限的界定存在交叉，這就導(dǎo)致用戶可以通過某種合理的手段獲取到不符合當(dāng)前用戶實(shí)際范圍的權(quán)限，繼而有可能會對用戶的敏感數(shù)據(jù)造成一定的威脅。

（一）大數(shù)據(jù)背景下網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)的基石

1.通信網(wǎng)絡(luò)安全

網(wǎng)絡(luò)數(shù)據(jù)庫的安全性和可靠性，需要有一定的技術(shù)保障?；ヂ?lián)網(wǎng)技術(shù)和移動通信技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)庫功能實(shí)現(xiàn)的基本保障前提。針對現(xiàn)在網(wǎng)絡(luò)數(shù)據(jù)庫中的云數(shù)據(jù)庫的安全保障，通信網(wǎng)絡(luò)安全是守護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫的門戶。在網(wǎng)絡(luò)數(shù)據(jù)庫的外圍通信層面上進(jìn)行防護(hù)可以給數(shù)據(jù)庫安全建立一層通信防護(hù)盾。也就是通過網(wǎng)絡(luò)訪問控制、敏感IP隔離、通信加密、敏感訪問入侵檢測等網(wǎng)絡(luò)通信技術(shù)手段來實(shí)現(xiàn)。

2.云計(jì)算安全

近些年來，隨著科技水平的提升和網(wǎng)絡(luò)用戶數(shù)量的激增，網(wǎng)絡(luò)數(shù)據(jù)越來越龐大，對于數(shù)據(jù)的處理效率和精準(zhǔn)程度也提出了更高的要求。云計(jì)算技術(shù)在此起到了至關(guān)重要的作用?，F(xiàn)在對于數(shù)據(jù)管理技術(shù)來說，云計(jì)算技術(shù)已經(jīng)被廣泛推廣和應(yīng)用。云平臺作為云計(jì)算的載體，在安全防護(hù)上要制定相應(yīng)的標(biāo)準(zhǔn)，對于云平臺的安全防護(hù)需要從物理和軟件兩個層面來進(jìn)行。首先，物理層包括數(shù)據(jù)庫硬件設(shè)備所在位置及硬件本身，這是數(shù)據(jù)庫存在的最基本條件，因此需要進(jìn)行必要的保護(hù)。其次。在物理層面得到相應(yīng)保護(hù)的同時，更要云平臺從軟件層面進(jìn)行加強(qiáng)過濾：通過隱藏域名、加密防護(hù)、漏洞修補(bǔ)、病毒查殺等一系列的措施進(jìn)行軟件防護(hù)。同時對于所承載的網(wǎng)絡(luò)數(shù)據(jù)庫，云平臺需要具備實(shí)時的、經(jīng)過加密處理的數(shù)據(jù)庫備份機(jī)制，使數(shù)據(jù)庫在受到威脅時也能夠及時進(jìn)行數(shù)據(jù)信息恢復(fù)和處理。

3.云存儲安全

數(shù)據(jù)對于現(xiàn)代的IT行業(yè)來說，是最為寶貴的資源之一。當(dāng)前，多種平臺的應(yīng)用數(shù)據(jù)都會通過云手段上傳到云端進(jìn)行存儲，云存儲的實(shí)質(zhì)是將數(shù)據(jù)存放在可靠的第三方虛擬集群中進(jìn)行托管處理。在進(jìn)行云計(jì)算的過程中，云平臺會根據(jù)相應(yīng)的需求，通過調(diào)用相應(yīng)的數(shù)據(jù)接口、訪問相應(yīng)的可視化操作頁面來進(jìn)行數(shù)據(jù)的獲取。云存儲是利用云安全的相關(guān)機(jī)制對數(shù)據(jù)平臺進(jìn)行相應(yīng)的安全防護(hù)。例如，通過云存儲安全機(jī)制中的行為監(jiān)測機(jī)制，對云存儲發(fā)起數(shù)據(jù)請求中的異常行為建立相應(yīng)的日志報告，其中包括病毒入侵、攻擊者利用惡意程序進(jìn)行提交的申請等。而后對日志報告進(jìn)行匯總分析，得出具體的應(yīng)對方案，并將方案提供給客戶端與數(shù)據(jù)防護(hù)端，從而避免大規(guī)模數(shù)據(jù)的流失。

（二）大數(shù)據(jù)時代網(wǎng)絡(luò)數(shù)據(jù)庫對常見攻擊手段的防護(hù)技術(shù)

1.針對于SQL注入

數(shù)據(jù)庫直接操作使用的是SQL語言，SQL語言可以對數(shù)據(jù)庫內(nèi)所有的內(nèi)容進(jìn)行增、刪、改、查，配合相應(yīng)的網(wǎng)絡(luò)手段就可以實(shí)現(xiàn)數(shù)據(jù)的傳輸，能夠非常直接地竊取、操作網(wǎng)絡(luò)數(shù)據(jù)庫信息，是當(dāng)前較為常見的網(wǎng)絡(luò)數(shù)據(jù)庫攻擊方式。針對這種攻擊方式，我們可以通過安裝數(shù)據(jù)庫插件以及進(jìn)行嚴(yán)格的SQL關(guān)鍵詞過濾的方式對數(shù)據(jù)庫進(jìn)行防護(hù)。在攻擊方采用SQL語言進(jìn)行數(shù)據(jù)庫注入時，可以實(shí)行強(qiáng)制過濾，以及強(qiáng)制摒棄、監(jiān)控SQL所涉及的敏感字。這樣可以防止網(wǎng)絡(luò)數(shù)據(jù)庫被惡意的SQL注入，從而保證網(wǎng)絡(luò)數(shù)據(jù)庫的安全。

2.針對數(shù)據(jù)庫下載漏洞

在計(jì)算機(jī)操作系統(tǒng)的網(wǎng)絡(luò)操作模塊中往往會存在一定的技術(shù)漏洞，特別是用戶通過瀏覽器形式進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫訪問操作的過程中，會在地址欄中產(chǎn)生網(wǎng)絡(luò)數(shù)據(jù)庫的路徑，容易導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫路徑泄露。一旦發(fā)生了網(wǎng)絡(luò)數(shù)據(jù)庫路徑泄露，網(wǎng)絡(luò)數(shù)據(jù)庫破壞者就可以通過技術(shù)手段追蹤到網(wǎng)絡(luò)數(shù)據(jù)庫，繼而實(shí)現(xiàn)數(shù)據(jù)庫的下載操作。針對這種威脅，可以在客戶端的網(wǎng)絡(luò)瀏覽器中進(jìn)行地址隱匿并加密傳輸。這樣一來，即便是網(wǎng)絡(luò)黑客通過技術(shù)手段，利用服務(wù)漏洞或者路徑漏洞獲取到了敏感信息，但是由于敏感信息也是以密文的形式被獲取的，使其不能夠達(dá)到直接對用戶敏感信息進(jìn)行利用與操作的目的。

3.針對竊取備份

能夠竊取備份的主要是數(shù)據(jù)庫的管理人員或者是具有足夠權(quán)限可以直接接觸敏感數(shù)據(jù)的內(nèi)部工作人員。他們通過自身的權(quán)限，對于已存在的網(wǎng)絡(luò)數(shù)據(jù)庫內(nèi)容進(jìn)行選擇性備份，并且他們所獲得的備份文件往往是不加密的?？梢灾苯訉⑽募欠ㄤN售給攻擊方。由于所獲取的備份文件均未進(jìn)行加密處理，所有的敏感數(shù)據(jù)都是以明文的形式展現(xiàn)，攻擊者可以直接利用所有的敏感數(shù)據(jù)，繼而造成不可挽回的損失。針對這種威脅，一般會采取備份操作結(jié)果的加密處理方式。在數(shù)據(jù)庫產(chǎn)生備份操縱的同時觸發(fā)加密機(jī)制，采用強(qiáng)行加注一級或二級密碼的形式進(jìn)行軟硬件的加密，使得備份文件不會以明文的形式被獲取或讀取，直接阻斷攻擊者獲取用戶敏感信息的操作，避免對用戶造成更大的危害。

4.針對特權(quán)提升

這種攻擊主要體現(xiàn)在數(shù)據(jù)庫直接操縱的用戶、數(shù)據(jù)庫管理員上，他們利用自身權(quán)限越級操作或網(wǎng)絡(luò)黑客通過技術(shù)手段對數(shù)據(jù)庫訪問權(quán)限進(jìn)行篡改與破壞。通過獲取相應(yīng)級別的權(quán)限以后對網(wǎng)絡(luò)數(shù)據(jù)庫中的敏感信息進(jìn)行操作。這種攻擊方式相對隱蔽，不易被發(fā)現(xiàn)。針對特權(quán)提升威脅。需要對于數(shù)據(jù)庫操作人員的權(quán)限界定進(jìn)一步明確，避免權(quán)限交叉或多次賦權(quán)現(xiàn)象出現(xiàn)，特別是對敏感數(shù)據(jù)信息的操縱權(quán)限。細(xì)分?jǐn)?shù)據(jù)庫權(quán)限，可以有效防止網(wǎng)絡(luò)用戶或者黑客惡意獲取自身所不具備的數(shù)據(jù)庫操作權(quán)限。通過這樣的技術(shù)操作來避免由于數(shù)據(jù)庫敏感數(shù)據(jù)外泄而帶來的損失。

（三）大數(shù)據(jù)時代網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)中亟待推廣的技術(shù)

除上文提出的針對性的網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)措施外，結(jié)合目前網(wǎng)絡(luò)數(shù)據(jù)庫使用范圍不斷擴(kuò)大和相關(guān)技術(shù)不斷發(fā)展的情況，對于網(wǎng)絡(luò)數(shù)據(jù)庫的安全防護(hù)筆者有以下的幾點(diǎn)建議：

1.多種技術(shù)對操作人員進(jìn)行綜合識別確認(rèn)

在早期的數(shù)據(jù)庫防護(hù)中，對于用戶的識別主要是通過用戶名和口令來實(shí)現(xiàn)的，對于操作人員具體的身份不會進(jìn)行過多的校驗(yàn)，因此會存在較大的安全隱患。隨著現(xiàn)代信息技術(shù)的發(fā)展，生物學(xué)驗(yàn)證越來越廣泛地被應(yīng)用到身份驗(yàn)證當(dāng)中，例如人臉識別技術(shù)、指紋識別技術(shù)、瞳孔識別技術(shù)甚至DNA識別技術(shù)等。因此在進(jìn)行數(shù)據(jù)庫操作人員的身份驗(yàn)證中可以采用口令、生物學(xué)認(rèn)證、硬件認(rèn)證等方式進(jìn)行身份識別，以確保操作人員身份的真實(shí)性和責(zé)任可追溯性，繼而保護(hù)用戶敏感數(shù)據(jù)信息的安全。

2.訪問限制和監(jiān)視追蹤技術(shù)

在早期的數(shù)據(jù)庫管理中，網(wǎng)絡(luò)數(shù)據(jù)庫的訪問權(quán)限存在同一級別的管理人員具有不同角色的權(quán)限操作的現(xiàn)象，給網(wǎng)絡(luò)數(shù)據(jù)庫安全帶來一定的威脅。因此，在網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)中，同一級別或同一管理角色應(yīng)該賦予同樣的操作權(quán)限，避免越權(quán)操作數(shù)據(jù)庫的行為。同時結(jié)合監(jiān)視追蹤技術(shù)，對于各個數(shù)據(jù)庫操作角色的所有操作進(jìn)行監(jiān)視追蹤，做到所有操作留有痕跡，杜絕越權(quán)操作的現(xiàn)象，進(jìn)而保護(hù)數(shù)據(jù)信息的安全。

3.數(shù)據(jù)庫審計(jì)技術(shù)

數(shù)據(jù)庫審計(jì)技術(shù)與監(jiān)視追蹤技術(shù)有所相似，同時也存在著區(qū)別。數(shù)據(jù)庫審計(jì)技術(shù)可以更有效地降低網(wǎng)絡(luò)數(shù)據(jù)庫發(fā)生事故的概率，它會建立相應(yīng)的日志文件，對每一個數(shù)據(jù)庫管理者的每一個操作的時間、內(nèi)容與形式進(jìn)行統(tǒng)計(jì)，并且只統(tǒng)計(jì)每一次成功的操作。對于惡意操作、越權(quán)操作都會進(jìn)行相應(yīng)的記錄和統(tǒng)計(jì)，從而可以相應(yīng)地追溯或追責(zé)惡意行為。

4.系統(tǒng)漏洞管理和病毒防范

隨著信息技術(shù)的提高，網(wǎng)絡(luò)病毒也變得更具隱蔽性和迷惑性。因此負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)庫維護(hù)的工作人員需實(shí)時了解最新的數(shù)據(jù)安全資訊。以了解當(dāng)前病毒的發(fā)展態(tài)勢和爆發(fā)形態(tài)，及時為網(wǎng)絡(luò)數(shù)據(jù)庫進(jìn)行必要的漏洞補(bǔ)丁安裝，定期對網(wǎng)絡(luò)數(shù)據(jù)庫進(jìn)行病毒查殺。另外，網(wǎng)絡(luò)數(shù)據(jù)庫的管理人員還需進(jìn)行定期的培訓(xùn)以提高自身的管理水平，了解、掌握更系統(tǒng)化的安全防護(hù)措施，提高自身對于網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)方面的實(shí)際操作能力。

5.使用數(shù)據(jù)庫視圖

網(wǎng)絡(luò)數(shù)據(jù)庫受到侵害，往往是攻擊者通過直接獲取數(shù)據(jù)庫路徑，然后對數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行直接操作。攻擊者可以通過數(shù)據(jù)庫路徑直接獲取到物理存在的數(shù)據(jù)表，從而達(dá)到獲取數(shù)據(jù)的目的。因此可以在數(shù)據(jù)庫中采用視圖技術(shù)，通過構(gòu)建虛擬數(shù)據(jù)表來達(dá)到數(shù)據(jù)顯示的目的，以實(shí)現(xiàn)用戶請求結(jié)果。攻擊者無法接觸到數(shù)據(jù)庫視圖中所有字段對應(yīng)的具體的物理表的真實(shí)數(shù)據(jù)信息，從而可以在很大程度上避免攻擊者入侵和破壞網(wǎng)絡(luò)數(shù)據(jù)庫中的信息。從防護(hù)的意義上來說，也相當(dāng)于在數(shù)據(jù)庫使用者權(quán)限上進(jìn)行了更高級別的限制，提升了網(wǎng)絡(luò)數(shù)據(jù)庫的安全系數(shù)。

6.云安全技術(shù)

在大數(shù)據(jù)時代，數(shù)據(jù)的處理主要通過云技術(shù)實(shí)現(xiàn)。大量的信息傳送所產(chǎn)生的數(shù)據(jù)與網(wǎng)絡(luò)數(shù)據(jù)庫的耦合程度越來越高，因此也要不斷升級云端的安全防護(hù)技術(shù)。云端存儲技術(shù)中最為關(guān)鍵的就是要實(shí)現(xiàn)實(shí)時備份。從而降低數(shù)據(jù)在存儲中流失的可能性。網(wǎng)絡(luò)數(shù)據(jù)庫在進(jìn)行信息安全防護(hù)的過程中，通過云端技術(shù)實(shí)現(xiàn)的則稱之為“云安全”技術(shù)。隨著科技的進(jìn)步和大數(shù)據(jù)時代的進(jìn)一步延伸。網(wǎng)絡(luò)數(shù)據(jù)所承載的數(shù)據(jù)量會越來越大，云端技術(shù)應(yīng)用也會越來越廣，因此在以后的網(wǎng)絡(luò)數(shù)據(jù)庫管理中，大范圍的推廣應(yīng)用云安全技術(shù)將是一種必然的趨勢。

隨著大數(shù)據(jù)時代的來臨，網(wǎng)絡(luò)數(shù)據(jù)庫的應(yīng)用范圍越來越廣，隨之而來的網(wǎng)絡(luò)數(shù)據(jù)庫安全問題也越來越受到重視。本文在對相關(guān)概念進(jìn)行界定的前提下，分析了網(wǎng)絡(luò)數(shù)據(jù)庫目前存在的安全威脅，并針對性提出了對策。結(jié)合新技術(shù)的發(fā)展和推廣，本文也提出了大數(shù)據(jù)時代網(wǎng)絡(luò)數(shù)據(jù)庫安全防護(hù)中亟待推廣的技術(shù)建議。