現階段大數據產業的快速發展創造了極大的經濟效益,大數據的出現推動了社會經濟發展,但是隨之而來的資料庫安全問題也引起了學者對大數據信息安全問題的反思。大數據時代下的信息與隱私安全問題已經成為全球性重點關注的問題,為了能夠更有效地避免數據安全問題發生,需要相關人員積極構建資料庫安全保障體系。
1 資料庫的安全威脅問題研究
資料庫的信息安全問題得到了社會的普遍關注,從現有的資料庫網絡安全事件來看,其信息安全問題的風險具有範圍廣、影響大、突發性強等特徵,並且可能產生嚴重的損失。與傳統的攻擊行為相比,資料庫的網絡安全問題呈現出以下特徵:
(1)高技術性與高智能性特徵。例如部分不法分子為了能夠盜取資料庫中的資料,會採用各種手段穿越防火牆,通過不斷地攻擊資料庫的安全防護體系或注入SQL等方法篡改數據,導致數據大量流失。
(2)作案手段日益多樣化。在大數據技術的支持下,不法分子威脅資料庫的手段也呈現出了多樣化的趨勢,例如部分人員會運用程序的漏洞進行作案,甚至通過非法用戶向管理人員非法授予操作權限的方法進行授權。
(3)網絡安全問題不受地域與時間因素的顯示,不法分子可以隨時遠程攻擊資料庫。(4)資料庫攻擊的隱蔽性較強,收集證據的難度較大。
文獻認為,資料庫作為一種特殊的信息存儲結構,在大數據環境下所面臨的信息安全隱患問題更加突出,表現為:
(1)在網絡方面,大部分資料庫採用了TCP/IP 的協議通信方式,而該協議本身存在弊端,難以有效鑑別通信雙方的身份,導致資料庫無法正確識別攻擊者的身份而遭到嚴重破壞。
(2)在資料庫管理系統上,大部分數據採用了DB2、SQL Server等商用資料庫系統,這些資料庫系統的技術條件成熟,但是在應用過程中,一些資料庫的安全問題發生,例如關於SQL Server資料庫的SQL 注入等。雖然現階段各個廠商都在不斷完善資料庫等更新補丁包,但是大部分出於對資料庫穩定性的考慮,通常會延後補丁的更新速度,最終導致資料庫的漏洞難以第一時間被處理,最終成為安全隱患。
2 大數據背景下資料庫安全技術分析
2.1 身份認證技術分析
為實現資料庫安全對用戶的身份進行認證是其中的重點。現階段常用的資料庫普遍採用「ID+密碼」的方式進行身份核實,即將用戶的帳號信息存儲在數據字典等當用戶產生連接需求之後,系統能夠查詢數據字典,並對用戶的合法性進行判斷。但是在大數據背景下,各種解密技術得到了快速的發展,導致 ID 認證方式面臨挑戰,因此鑑定人體信息的生物認證安全技術出現,通過語言識別、指紋識別的方法,對用戶的身份進行判斷。但從現有技術發展情況來看,身份認證技術尚未在資料庫安全管理中得到運用,但是鑑於大數據的強大數據處理能力,可預見該技術在未來會具有廣闊的發展前景。
2.2 訪問控制技術
訪問控制是資料庫安全管理的核心內容,能夠對規定主體的訪問行為進行限制,避免出現任何不滿足資料庫安全的訪問行為發生。
2.2.1 自主訪問控制
目前自主訪問控制是資料庫信息安全中一種常見的訪問控制技術,用戶可結合自己的需求對系統的數據進行調整並判斷哪些用戶能夠訪問資料庫。在此基礎上,通過構建自主訪問
控制模型,能夠對訪問客體的權限做進一步界定,這樣當用戶的身份被系統識別後,則可以對客體訪問資料庫的行為進行監控,用戶只能在系統允許的範圍內完成操作。作為一種靈活的控制策略,自主訪問控制能夠保障用戶自主地將自己所擁有的權限賦予其他用戶,操作過程靈活簡單,因此大部分的商業資料庫都會採用這種訪問控制技術。
2.2.2 基於角色的訪問控制
在資料庫安全管理中,基於角色的訪問控制作為一種新的控制方法,其主要特徵為:在該技術中權限並不是直接賦予指定用戶的。所以當用戶與特定角色綁定之後,則可以通過將基於角色的訪問控制過程進行劃分,實現對權限的分配。
2.3 數據加密技術
數據加密技術主要包括庫內加密與庫外加密的方法,其中庫內加密是在資料庫內部設置加密模塊,例如對數據內的相關列表進行加密,而庫外加密則是通過特定的加密伺服器完成加密與解密操作。在大數據環境下,大部分的資料庫都能夠提供數據加密功能,例如SQL Server資料庫構建的多維度密鑰保護與備份信息加密等。但是考慮到數據的特殊性,資料庫所存儲的信息量較大,在這種情況下可能對資料庫的加密與加密的穩定性產生影響,因此用戶可根據安全管理要求對資料庫中的高度機密的數據做加密處理。
3 大數據背景下的資料庫安全保障策略分析
在大數據背景下,應該圍繞信息安全問題落實資料庫安全管理方案,以大數據強大的數據處理能力結合資料庫的功能訴求對資料庫的安全保障方案進行改進。
3.1 角色訪問控制策略分析
受大數據的影響,資料庫的訪問人數會快速增加,導致資料庫所面臨的安全風險更高。因此為了能夠進一步保障資料庫安全,則需要基於角色訪問模型的資料庫訪問控制,為用戶
分配資料庫角色,最終使用戶在資料庫上獲得相應的權限,進一步提高資料庫安全質量。
本文基於大數據的技術要求,在資料庫安全保障體系的設置上提出了一種新的集中管理模式——基於應用的角色訪問模型,該模型能夠對資料庫的信息安全問題進行有效識別,通
過對應用資料庫、安全中心的功能進行界定,進而明確資料庫安全管理的角色與權限。在實施階段,其中的重點內容包括:
(1)應用方案。在大數據系統中的應用系統中往往會存在大量的帳戶與用戶群,所以在資料庫安全保障體系建設中能夠將任意一個用戶的信息註冊到安全中心中,這樣資料庫可以收錄用戶權限的有用信息,包括名稱、屬性、創建時間、應用用途等。
(2)子應用。數據安全管理應用方案需要根據環境進行分類,將資料庫中的自應用作為特定類用戶的集合,可用於實現資料庫的安全管理。例如在資料庫安全的子應用中,將DBA作為資料庫管理員集合。
(3)資料庫。這裡所提到的資料庫為特定資料庫,為達到安全管理要求,將資料庫註冊到系統中並與相關安全軟體相綁定,或者在特定的資料庫環境下將對應的子應用創設到資料庫中。
(4)用戶。用戶的數據安全需要與資料庫的帳戶相連接,在資料庫安全管理制定用戶所屬的子應用,並劃分相應的權限即可。
3.2 攻擊檢測
大數據背景下的資料庫安全形勢嚴峻,資料庫所承受的攻擊數量巨大,通過開展攻擊檢測的方法能夠發現濫用與異常的攻擊行為。現階段的大部分資料庫都不具有攻擊檢測功能,所以在安全保障體系的構建中,本文根據技術數據挖掘與數據採集的要求,構建基於攻擊檢測的數據保全保障體系,通過該方法能夠記錄資料庫被攻擊情況,為實現資料庫安全奠定基礎。實時檢測主要是針對各種已知的攻擊方式,並將這種攻擊以代碼的形式存儲在資料庫中,按照資料庫中所記錄的數據判斷系統是否遭受到攻擊。該技術的具有較高的檢測精度,但由於該技術無法對內部人員與未知攻擊行為進行檢測,所以本文在實時檢測的基礎上進一步完善了其中的功能,包括:
(1)登錄失敗檢測。當系統檢測到在特定時間段內頻繁地出現登錄失敗的情況,則需要對該IP的用戶登錄情況進行檢測。
(2)登錄檢測。若登錄資料庫的IP位址與以前登錄過的地址不同,則需要警惕資料庫安全問題。
(3)操作失敗檢測。針對特定時間內檢測到的操作失敗次數,檢測無訪問權限對象的登錄行為。
(4)用戶權限變更檢測。其主要功能是檢測用戶的權限是否在滿足規定的情況下進行變更。在該系統中,通過將關於系統安全的規則上傳到資料庫的審計中心中,再同步到各個數據中,由此實現對濫用規則的統一控制。在實時檢測過程中,可在資料庫添加兩個觸發器來完成對攻擊的檢測,包括:
(1)通過DDL觸發器來抓取資料庫的事物,並檢測用戶權限變更等情況,作為SQLServer資料庫中的一種特有觸發器,當資料庫發生安全事件的同時能夠做出響應,在各種資料庫安全事件發生之後快速地捕捉信息並分析安全攻擊行為的發生間隔,判斷攻擊事件是否有效。
(2)DML觸發器具有跟蹤審計信息的功能,針對資料庫操作過程中的各種常見問題進行安全評估,包括操作失敗事件、登錄失敗情況以及敏感用戶對系統的訪問等。當DML 檢測到資料庫遭受到攻擊,則會退出攻擊帳戶,保證資料庫的安全。
3.3 資料庫的安全防護機制
在資料庫的安全防護中,可利用虛擬化平台來實現資料庫的安全管理,為能夠達到有效的安全防護目的,可採用以下措施進行資料庫安全管理。
3.3.1 資料庫的安全備份
數據備份的目的就是要為數據安全增添「第二把鎖」,當前資料庫的數據備份主要採用物理備份與邏輯備份相結合的方法,按照既定的時間要求對資料庫中的數據進行存儲。此時假設數據遭到攻擊或者出現損害時,可以在原資料庫的基礎上調度備份數據,達到數據快速復原的目的。為實現該目的,可通過MySQL恢復工具、導出數據等方法並引入數據信息的變化,最終有助於實現二進位文件保存,避免備份數據的濫用。
3.3.2 資料庫的防火牆設置
防火牆是維護數據安全的關鍵,所以在設置防火牆期間,利用SQL資料庫檢測到的攻擊痕跡將數據與資料庫SQL語句運用到應用程式中,利用資料庫防火牆的名單檢測對任意一個針對資料庫的操作行為進行檢測,避免系統遭受注入攻擊而造成數據損失。
4 結束語
在大數據背景下,資料庫的安全保障管理更加複雜,為了能夠更好地適應資料庫管理要求,相關人員要充分發揮大數據技術優勢,結合各種常見的資料庫安全問題進行處置,這樣才能有效降低資料庫安全事件發生率,最終適應數據安全管理要求。
原文連結:http://click.aliyun.com/m/1000351095/
本文為阿里雲原創內容,未經允許不得轉載。