大數據時代網絡數據庫安全防護技術研究

張鶴露 張文嬌

【關鍵詞】大數據時代;網絡數據庫;安全防護

（一）大數據時代

很多人對于大數據的理解還停留在大規模的數據上，其實現代意義上的大數據絕不單是數據在量上的規模積累，而是通過現代的信息技術對于既有的大量數據進行分類、處理、存儲等一系列的流程操作。大數據時代對于數據的管理具有非常高的時效性和精準性，數據量海量化的同時，處理過后的存儲數據具有較高的數據洞察力、多樣化等。隨著信息化水平的提高，特別是移動通信技術的發展，越來越多的智能化設備出現在人們的日常生活中，因此對于個性化數據需求日益增多，這也標志著大數據時代的來臨。

（二）網絡數據庫

網絡數據庫是將數據技術和網絡技術相結合，利用互聯網自身的傳輸特點，從而實現數據共享的一種技術。用戶可以通過客戶端，利用網絡技術對遠程的數據庫進行相應權限的數據庫資源訪問和操作。隨著大數據時代的來臨，對于數據庫的訪問效率、存儲效率、共享效率的要求在不斷提高，因此網絡數據庫的應用也日益廣泛。

早期的網絡數據庫應用，主要是針對于PC端的留言、論壇等。隨著移動通信和移動應用技術開發領域的發展。目前網絡數據庫已經被廣泛應用于各行各業，例如現在的電子商務、政務等都是通過網絡數據庫進行數據上的交互，提高了數據流轉的效率。

（一）網絡數據庫安全分析

當下，網絡數據庫被廣泛運用，其承載的數據量日益加大，在保證其數據正常流轉的前提下，對于數據信息的安全性保護也是網絡數據庫必須要解決的問題。從統計數據來看，目前對于網絡數據庫的侵害主要有兩種因素，一種是不可抗拒的自然因素，另一種是出于某種具體目的的人為因素。而從發生的概率上來看，不可抗拒的自然因素對網絡數據庫造成損害的概率比較低，且多數情況下存在一定的可預防性和可預測性，是具有一定的低概率偶發性事件。目前，網絡數據庫存在的高發性事件主要是人為因素造成的。

（二）數據庫人為因素威脅的手段

從目前人為因素對網絡數據庫造成侵害的案例數據來看，其對于網絡數據庫的威脅主要有以下三種手段：

1.網絡黑客入侵數據庫，實現篡改或者竊取網絡數據庫信息的目的。

入侵網絡數據庫的黑客行為是目前網絡數據庫在安全技術層面上遇到的難題。黑客入侵網絡數據庫，主要是通過獲取數據庫的加密技術，從而找到技術的薄弱環節，進行數據的竊取與破壞。現在網絡數據庫的加密方式一般是采用混沌加密算法，在未來的網絡數據庫安全性技術防護中，對加密算法的進一步強化。

2.利用網絡數據庫管理人員權限對數據庫進行直接竊取與破壞，從而影響網絡數據庫的安全性。

以網絡數據庫管理人員的權限，可以對網絡數據庫進行權限內的任何操作，接觸到非常多的敏感數據信息。如果利用管理人員權限進行數據庫中數據的竊取與破壞，相較于黑客入侵等手段。其所構成的威脅更大。因此現在的網絡數據庫為了客戶數據的安全性，會在用戶的客戶端進行敏感數據操作，而不在數據傳輸過程中對數據庫端直接進行。另外，在網絡傳輸的過程中采用加密傳輸的方式，盡量在傳輸時減少明文的出現，避免一些敏感數據信息在網絡傳輸的過程中被竊取。同時也降低數據庫管理人員對于數據的操作權限，減少用戶數據在網絡數據庫中受到侵害的可能性。

3.網絡數據庫的合法用戶通過合法的身份獲取超出自身用戶權限的操作，從而對網絡數據庫的數據安全構成一定的威脅。

在進行網絡數據庫用戶權限獲取時，某些數據庫操作權限的界定存在交叉，這就導致用戶可以通過某種合理的手段獲取到不符合當前用戶實際范圍的權限，繼而有可能會對用戶的敏感數據造成一定的威脅。

（一）大數據背景下網絡數據庫安全防護的基石

1.通信網絡安全

網絡數據庫的安全性和可靠性，需要有一定的技術保障。互聯網技術和移動通信技術是網絡數據庫功能實現的基本保障前提。針對現在網絡數據庫中的云數據庫的安全保障，通信網絡安全是守護網絡數據庫的門戶。在網絡數據庫的外圍通信層面上進行防護可以給數據庫安全建立一層通信防護盾。也就是通過網絡訪問控制、敏感IP隔離、通信加密、敏感訪問入侵檢測等網絡通信技術手段來實現。

2.云計算安全

近些年來，隨著科技水平的提升和網絡用戶數量的激增，網絡數據越來越龐大，對于數據的處理效率和精準程度也提出了更高的要求。云計算技術在此起到了至關重要的作用。現在對于數據管理技術來說，云計算技術已經被廣泛推廣和應用。云平臺作為云計算的載體，在安全防護上要制定相應的標準，對于云平臺的安全防護需要從物理和軟件兩個層面來進行。首先，物理層包括數據庫硬件設備所在位置及硬件本身，這是數據庫存在的最基本條件，因此需要進行必要的保護。其次。在物理層面得到相應保護的同時，更要云平臺從軟件層面進行加強過濾：通過隱藏域名、加密防護、漏洞修補、病毒查殺等一系列的措施進行軟件防護。同時對于所承載的網絡數據庫，云平臺需要具備實時的、經過加密處理的數據庫備份機制，使數據庫在受到威脅時也能夠及時進行數據信息恢復和處理。

3.云存儲安全

數據對于現代的IT行業來說，是最為寶貴的資源之一。當前，多種平臺的應用數據都會通過云手段上傳到云端進行存儲，云存儲的實質是將數據存放在可靠的第三方虛擬集群中進行托管處理。在進行云計算的過程中，云平臺會根據相應的需求，通過調用相應的數據接口、訪問相應的可視化操作頁面來進行數據的獲取。云存儲是利用云安全的相關機制對數據平臺進行相應的安全防護。例如，通過云存儲安全機制中的行為監測機制，對云存儲發起數據請求中的異常行為建立相應的日志報告，其中包括病毒入侵、攻擊者利用惡意程序進行提交的申請等。而后對日志報告進行匯總分析，得出具體的應對方案，并將方案提供給客戶端與數據防護端，從而避免大規模數據的流失。

（二）大數據時代網絡數據庫對常見攻擊手段的防護技術

1.針對于SQL注入

數據庫直接操作使用的是SQL語言，SQL語言可以對數據庫內所有的內容進行增、刪、改、查，配合相應的網絡手段就可以實現數據的傳輸，能夠非常直接地竊取、操作網絡數據庫信息，是當前較為常見的網絡數據庫攻擊方式。針對這種攻擊方式，我們可以通過安裝數據庫插件以及進行嚴格的SQL關鍵詞過濾的方式對數據庫進行防護。在攻擊方采用SQL語言進行數據庫注入時，可以實行強制過濾，以及強制摒棄、監控SQL所涉及的敏感字。這樣可以防止網絡數據庫被惡意的SQL注入，從而保證網絡數據庫的安全。

2.針對數據庫下載漏洞

在計算機操作系統的網絡操作模塊中往往會存在一定的技術漏洞，特別是用戶通過瀏覽器形式進行網絡數據庫訪問操作的過程中，會在地址欄中產生網絡數據庫的路徑，容易導致網絡數據庫路徑泄露。一旦發生了網絡數據庫路徑泄露，網絡數據庫破壞者就可以通過技術手段追蹤到網絡數據庫，繼而實現數據庫的下載操作。針對這種威脅，可以在客戶端的網絡瀏覽器中進行地址隱匿并加密傳輸。這樣一來，即便是網絡黑客通過技術手段，利用服務漏洞或者路徑漏洞獲取到了敏感信息，但是由于敏感信息也是以密文的形式被獲取的，使其不能夠達到直接對用戶敏感信息進行利用與操作的目的。

3.針對竊取備份

能夠竊取備份的主要是數據庫的管理人員或者是具有足夠權限可以直接接觸敏感數據的內部工作人員。他們通過自身的權限，對于已存在的網絡數據庫內容進行選擇性備份，并且他們所獲得的備份文件往往是不加密的。可以直接將文件非法銷售給攻擊方。由于所獲取的備份文件均未進行加密處理，所有的敏感數據都是以明文的形式展現，攻擊者可以直接利用所有的敏感數據，繼而造成不可挽回的損失。針對這種威脅，一般會采取備份操作結果的加密處理方式。在數據庫產生備份操縱的同時觸發加密機制，采用強行加注一級或二級密碼的形式進行軟硬件的加密，使得備份文件不會以明文的形式被獲取或讀取，直接阻斷攻擊者獲取用戶敏感信息的操作，避免對用戶造成更大的危害。

4.針對特權提升

這種攻擊主要體現在數據庫直接操縱的用戶、數據庫管理員上，他們利用自身權限越級操作或網絡黑客通過技術手段對數據庫訪問權限進行篡改與破壞。通過獲取相應級別的權限以后對網絡數據庫中的敏感信息進行操作。這種攻擊方式相對隱蔽，不易被發現。針對特權提升威脅。需要對于數據庫操作人員的權限界定進一步明確，避免權限交叉或多次賦權現象出現，特別是對敏感數據信息的操縱權限。細分數據庫權限，可以有效防止網絡用戶或者黑客惡意獲取自身所不具備的數據庫操作權限。通過這樣的技術操作來避免由于數據庫敏感數據外泄而帶來的損失。

（三）大數據時代網絡數據庫安全防護中亟待推廣的技術

除上文提出的針對性的網絡數據庫安全防護措施外，結合目前網絡數據庫使用范圍不斷擴大和相關技術不斷發展的情況，對于網絡數據庫的安全防護筆者有以下的幾點建議：

1.多種技術對操作人員進行綜合識別確認

在早期的數據庫防護中，對于用戶的識別主要是通過用戶名和口令來實現的，對于操作人員具體的身份不會進行過多的校驗，因此會存在較大的安全隱患。隨著現代信息技術的發展，生物學驗證越來越廣泛地被應用到身份驗證當中，例如人臉識別技術、指紋識別技術、瞳孔識別技術甚至DNA識別技術等。因此在進行數據庫操作人員的身份驗證中可以采用口令、生物學認證、硬件認證等方式進行身份識別，以確保操作人員身份的真實性和責任可追溯性，繼而保護用戶敏感數據信息的安全。

2.訪問限制和監視追蹤技術

在早期的數據庫管理中，網絡數據庫的訪問權限存在同一級別的管理人員具有不同角色的權限操作的現象，給網絡數據庫安全帶來一定的威脅。因此，在網絡數據庫安全防護中，同一級別或同一管理角色應該賦予同樣的操作權限，避免越權操作數據庫的行為。同時結合監視追蹤技術，對于各個數據庫操作角色的所有操作進行監視追蹤，做到所有操作留有痕跡，杜絕越權操作的現象，進而保護數據信息的安全。

3.數據庫審計技術

數據庫審計技術與監視追蹤技術有所相似，同時也存在著區別。數據庫審計技術可以更有效地降低網絡數據庫發生事故的概率，它會建立相應的日志文件，對每一個數據庫管理者的每一個操作的時間、內容與形式進行統計，并且只統計每一次成功的操作。對于惡意操作、越權操作都會進行相應的記錄和統計，從而可以相應地追溯或追責惡意行為。

4.系統漏洞管理和病毒防范

隨著信息技術的提高，網絡病毒也變得更具隱蔽性和迷惑性。因此負責網絡數據庫維護的工作人員需實時了解最新的數據安全資訊。以了解當前病毒的發展態勢和爆發形態，及時為網絡數據庫進行必要的漏洞補丁安裝，定期對網絡數據庫進行病毒查殺。另外，網絡數據庫的管理人員還需進行定期的培訓以提高自身的管理水平，了解、掌握更系統化的安全防護措施，提高自身對于網絡數據庫安全防護方面的實際操作能力。

5.使用數據庫視圖

網絡數據庫受到侵害，往往是攻擊者通過直接獲取數據庫路徑，然后對數據庫的數據進行直接操作。攻擊者可以通過數據庫路徑直接獲取到物理存在的數據表，從而達到獲取數據的目的。因此可以在數據庫中采用視圖技術，通過構建虛擬數據表來達到數據顯示的目的，以實現用戶請求結果。攻擊者無法接觸到數據庫視圖中所有字段對應的具體的物理表的真實數據信息，從而可以在很大程度上避免攻擊者入侵和破壞網絡數據庫中的信息。從防護的意義上來說，也相當于在數據庫使用者權限上進行了更高級別的限制，提升了網絡數據庫的安全系數。

6.云安全技術

在大數據時代，數據的處理主要通過云技術實現。大量的信息傳送所產生的數據與網絡數據庫的耦合程度越來越高，因此也要不斷升級云端的安全防護技術。云端存儲技術中最為關鍵的就是要實現實時備份。從而降低數據在存儲中流失的可能性。網絡數據庫在進行信息安全防護的過程中，通過云端技術實現的則稱之為“云安全”技術。隨著科技的進步和大數據時代的進一步延伸。網絡數據所承載的數據量會越來越大，云端技術應用也會越來越廣，因此在以后的網絡數據庫管理中，大范圍的推廣應用云安全技術將是一種必然的趨勢。

隨著大數據時代的來臨，網絡數據庫的應用范圍越來越廣，隨之而來的網絡數據庫安全問題也越來越受到重視。本文在對相關概念進行界定的前提下，分析了網絡數據庫目前存在的安全威脅，并針對性提出了對策。結合新技術的發展和推廣，本文也提出了大數據時代網絡數據庫安全防護中亟待推廣的技術建議。