淺談大數據背景下數據庫安全保障體系

彭雪梅　胡潔

摘要：在大數據背景下，數據庫安全保障體系的構建對于有效防范信息安全事件發生具有重要意義。該文首先分析了大數據背景下數據庫系統的安全威脅問題，然后介紹了幾種網絡安全的新技術，包括身份認證技術、訪問控制技術等，最后闡述了數據庫安全保障體系的構建路徑，希望為進一步解決大數據背景下的數據庫安全問題提供支持。

關鍵詞：大數據;數據庫;安全保障體系;數據挖掘

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）09-0011-02

現階段大數據產業的快速發展創造了極大的經濟效益，大數據的出現推動了社會經濟發展，但是隨之而來的數據庫安全問題也引起了學者對大數據信息安全問題的反思。大數據時代下的信息與隱私安全問題已經成為全球性重點關注的問題，為了能夠更有效地避免數據安全問題發生，需要相關人員積極構建數據庫安全保障體系。

1 數據庫的安全威脅問題研究

數據庫的信息安全問題得到了社會的普遍關注，從現有的數據庫網絡安全事件來看，其信息安全問題的風險具有范圍廣、影響大、突發性強等特征，并且可能產生嚴重的損失。與傳統的攻擊行為相比，數據庫的網絡安全問題呈現出以下特征：（1）高技術性與高智能性特征。例如部分不法分子為了能夠盜取數據庫中的資料，會采用各種手段穿越防火墻，通過不斷地攻擊數據庫的安全防護體系或注入SQL等方法篡改數據，導致數據大量流失。（2）作案手段日益多樣化。在大數據技術的支持下，不法分子威脅數據庫的手段也呈現出了多樣化的趨勢，例如部分人員會運用程序的漏洞進行作案，甚至通過非法用戶向管理人員非法授予操作權限的方法進行授權[1]。（3）網絡安全問題不受地域與時間因素的顯示，不法分子可以隨時遠程攻擊數據庫。（4）數據庫攻擊的隱蔽性較強，收集證據的難度較大。

文獻[2]認為，數據庫作為一種特殊的信息存儲結構，在大數據環境下所面臨的信息安全隱患問題更加突出，表現為：（1）在網絡方面，大部分數據庫采用了TCP/IP的協議通信方式，而該協議本身存在弊端，難以有效鑒別通信雙方的身份，導致數據庫無法正確識別攻擊者的身份而遭到嚴重破壞。（2）在數據庫管理系統上，大部分數據采用了DB2、SQL Server等商用數據庫系統，這些數據庫系統的技術條件成熟，但是在應用過程中，一些數據庫的安全問題會發生，例如關于SQL Server數據庫的SQL注入等。雖然現階段各個廠商都在不斷完善數據庫等更新補丁包，但是大部分出于對數據庫穩定性的考慮，通常會延后補丁的更新速度，最終導致數據庫的漏洞難以第一時間被處理，最終成為安全隱患。

2 大數據背景下數據庫安全技術分析

2.1 身份認證技術分析

為實現數據庫安全對用戶的身份進行認證是其中的重點。現階段常用的數據庫普遍采用了“ID+密碼”的方式進行身份核實，即將用戶的賬號信息存儲在數據字典等當用戶產生連接需求之后，系統能夠查詢數據字典，并對用戶的合法性進行判斷。但是在大數據背景下，各種解密技術得到了快速的發展，導致ID認證方式面臨挑戰，因此鑒定人體信息的生物認證安全技術出現，通過語言識別、指紋識別的方法，對用戶的身份進行判斷。但從現有技術發展情況來看，身份認證技術尚未在數據庫安全管理中得到運用，但是鑒于大數據的強大數據處理能力，可預見該技術在未來會具有廣闊的發展前景[3]。

2.2 訪問控制技術

訪問控制是數據庫安全管理的核心內容，能夠對規定主體的訪問行為進行限制，避免出現任何不滿足數據庫安全的訪問行為發生。

2.2.1 自主訪問控制

目前自主訪問控制是數據庫信息安全中一種常見的訪問控制技術，用戶可結合自己的需求對系統的數據進行調整并判斷哪些用戶能夠訪問數據庫。在此基礎上，通過構建自主訪問控制模型，能夠對訪問客體的權限做進一步界定，這樣當用戶的身份被系統識別后，則可以對客體訪問數據庫的行為進行監控，用戶只能在系統允許的范圍內完成操作。作為一種靈活的控制策略，自主訪問控制能夠保障用戶自主地將自己所擁有的權限賦予其他用戶，操作過程靈活簡單，因此大部分的商業數據庫都會采用這種訪問控制技術。

2.2.2 基于角色的訪問控制

在數據庫安全管理中，基于角色的訪問控制作為一種新的控制方法，其主要特征為：在該技術中權限并不是直接賦予指定用戶的。所以當用戶與特定角色綁定之后，則可以通過將基于角色的訪問控制過程進行劃分，實現對權限的分配。

2.3 數據加密技術

數據加密技術主要包括庫內加密與庫外加密的方法，其中庫內加密是在數據庫內部設置加密模塊，例如對數據內的相關列表進行加密，而庫外加密則是通過特定的加密服務器完成加密與解密操作。在大數據環境下，大部分的數據庫都能夠提供數據加密功能，例如SQL Server數據庫構建的多維度密鑰保護與備份信息加密等。但是考慮到數據的特殊性，數據庫所存儲的信息量較大，在這種情況下可能對數據庫的加密與加密的穩定性產生影響，因此用戶可根據安全管理要求對數據庫中的高度機密的數據做加密處理。

3 大數據背景下的數據庫安全保障策略分析

在大數據背景下，應該圍繞信息安全問題落實數據庫安全管理方案，以大數據強大的數據處理能力結合數據庫的功能訴求對數據庫的安全保障方案進行改進。

3.1 角色訪問控制策略分析

受大數據的影響，數據庫的訪問人數會快速增加，導致數據庫所面臨的安全風險更高。因此為了能夠進一步保障數據庫安全，則需要基于角色訪問模型的數據庫訪問控制，為用戶分配數據庫角色，最終使用戶在數據庫上獲得相應的權限，進一步提高數據庫安全質量。

本文基于大數據的技術要求，在數據庫安全保障體系的設置上提出了一種新的集中管理模式——基于應用的角色訪問模型，該模型能夠對數據庫的信息安全問題進行有效識別，通過對應用數據庫、安全中心的功能進行界定，進而明確數據庫安全管理的角色與權限。在實施階段，其中的重點內容包括：（1）應用方案。在大數據系統中的應用系統中往往會存在大量的賬戶與用戶群，所以在數據庫安全保障體系建設中能夠將任意一個用戶的信息注冊到安全中心中，這樣數據庫可以收錄用戶權限的有用信息，包括名稱、屬性、創建時間、應用用途等。（2）子應用。數據安全管理應用方案需要根據環境進行分類，將數據庫中的自應用作為特定類用戶的集合，可用于實現數據庫的安全管理。例如在數據庫安全的子應用中，將DBA作為數據庫管理員集合。（3）數據庫。這里所提到的數據庫為特定數據庫，為達到安全管理要求，將數據庫注冊到系統中并與相關安全軟件相綁定，或者在特定的數據庫環境下將對應的子應用創設到數據庫中。（4）用戶。用戶的數據安全需要與數據庫的賬戶相連接，在數據庫安全管理制定用戶所屬的子應用，并劃分相應的權限即可。

3.2 攻擊檢測

大數據背景下的數據庫安全形勢嚴峻，數據庫所承受的攻擊數量巨大，通過開展攻擊檢測的方法能夠發現濫用與異常的攻擊行為。現階段的大部分數據庫都不具有攻擊檢測功能，所以在安全保障體系的構建中，本文根據技術數據挖掘與數據采集的要求，構建基于攻擊檢測的數據保全保障體系，通過該方法能夠記錄數據庫被攻擊情況，為實現數據庫安全奠定基礎。

實時檢測主要是針對各種已知的攻擊方式，并將這種攻擊以代碼的形式存儲在數據庫中，按照數據庫中所記錄的數據判斷系統是否遭受到攻擊。該技術的具有較高的檢測精度，但由于該技術無法對內部人員與未知攻擊行為進行檢測，所以本文在實時檢測的基礎上進一步完善了其中的功能，包括：（1）登錄失敗檢測。當系統檢測到在特定時間段內頻繁地出現登錄失敗的情況，則需要對該IP的用戶登錄情況進行檢測。（2）登錄檢測。若登錄數據庫的IP地址與以前登錄過的地址不同，則需要警惕數據庫安全問題。（3）操作失敗檢測。針對特定時間內檢測到的操作失敗次數，檢測無訪問權限對象的登錄行為。（4）用戶權限變更檢測。其主要功能是檢測用戶的權限是否在滿足規定的情況下進行變更。在該系統中，通過將關于系統安全的規則上傳到數據庫的審計中心中，再同步到各個數據中，由此實現對濫用規則的統一控制。

在實時檢測過程中，可在數據庫添加兩個觸發器來完成對攻擊的檢測，包括：（1）通過DDL觸發器來抓取數據庫的事物，并檢測用戶權限變更等情況，作為SQL Server數據庫中的一種特有觸發器，當數據庫發生安全事件的同時能夠做出響應，在各種數據庫安全事件發生之后快速地捕捉信息并分析安全攻擊行為的發生間隔，判斷攻擊事件是否有效。（2）DML觸發器具有跟蹤審計信息的功能，針對數據庫操作過程中的各種常見問題進行安全評估，包括操作失敗事件、登錄失敗情況以及敏感用戶對系統的訪問等。當DML檢測到數據庫遭受到攻擊，則會退出攻擊賬戶，保證數據庫的安全。

3.3 數據庫的安全防護機制

在數據庫的安全防護中，可利用虛擬化平臺來實現數據庫的安全管理，為能夠達到有效的安全防護目的，可采用以下措施進行數據庫安全管理。

3.3.1 數據庫的安全備份

數據備份的目的就是要為數據安全增添“第二把鎖”，當前數據庫的數據備份主要采用物理備份與邏輯備份相結合的方法，按照既定的時間要求對數據庫中的數據進行存儲。此時假設數據遭到攻擊或者出現損害時，可以在原數據庫的基礎上調度備份數據，達到數據快速復原的目的。為實現該目的，可通過MySQL恢復工具、導出數據等方法并引入數據信息的變化，最終有助于實現二進制文件保存，避免備份數據的濫用。

3.3.2 數據庫的防火墻設置

防火墻是維護數據安全的關鍵，所以在設置防火墻期間，利用SQL數據庫檢測到的攻擊痕跡將數據與數據庫SQL語句運用到應用程序中，利用數據庫防火墻的名單檢測對任意一個針對數據庫的操作行為進行檢測，避免系統遭受注入攻擊而造成數據損失。

4 結束語

在大數據背景下，數據庫的安全保障管理更加復雜，為了能夠更好地適應數據庫管理要求，相關人員要充分發揮大數據技術優勢，結合各種常見的數據庫安全問題進行處置，這樣才能有效降低數據庫安全事件發生率，最終適應數據安全管理要求。

參考文獻：

[1] 何娜，張孟宇.大數據背景下信息通信網絡安全管理策略研究[J].中國信息化，2020（11）：73-74.

[2] 陳繼興，趙普，袁磊，等.物聯網和大數據技術在電力安全管控中的應用[J].科技創新與應用，2020（35）：171-172.

[3] 郭秀峰.數據挖掘技術支持下網絡信息安全對策探討[J].電腦編程技巧與維護，2020（11）：171-173.

【通聯編輯：代影】