一、引言

    伴隨科學(xué)技術(shù)的快速發(fā)展，人們對(duì)設(shè)備也提出了更高的要求，例如：數(shù)據(jù)存儲(chǔ)容量和運(yùn)算速度的需求。另外，網(wǎng)絡(luò)上大量存在一些沒有得到充分利用的計(jì)算設(shè)備，在數(shù)據(jù)存儲(chǔ)和處理能力上也越來越滿足不了企業(yè)單位。正是由于日益增長的存儲(chǔ)以及計(jì)算的需求與網(wǎng)絡(luò)上存在的資源之間的矛盾，促使云計(jì)算的產(chǎn)生，也使它成為當(dāng)今IT 領(lǐng)域的一個(gè)研究熱點(diǎn)。

    云計(jì)算說一種采用虛擬化技術(shù)，它能使用戶能夠不需要了解它具體的運(yùn)行機(jī)制，而只需要簡單通過網(wǎng)絡(luò)連接到云計(jì)算服務(wù)端來獲取自己所需要的服務(wù)，這不僅提高了網(wǎng)絡(luò)資源的利用率，實(shí)現(xiàn)更大程度上的網(wǎng)絡(luò)資源共享，而且節(jié)省了很多硬件資源的開銷。正是由于云計(jì)算帶來的便捷性，從而促使用戶頻繁的在云計(jì)算平臺(tái)下進(jìn)行交互，對(duì)此，云計(jì)算下數(shù)據(jù)庫安全的問題成為我們需要解決的主要問題。

二、云計(jì)算的特點(diǎn)

    雖然，云計(jì)算在實(shí)際生活中得到了一些應(yīng)用，但是對(duì)于云計(jì)算卻仍然沒有得到普遍一致的定義。中國云計(jì)算網(wǎng)為云計(jì)算機(jī)定義如下：云計(jì)算（cloud computing）是一種基于因特網(wǎng)的超級(jí)計(jì)算模式，在遠(yuǎn)程的數(shù)據(jù)中心里，成千上萬臺(tái)電腦和服務(wù)器連接成一片電腦云。中國網(wǎng)格計(jì)算、云計(jì)算專家劉鵬定義如下：“云計(jì)算將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和各種軟件服務(wù)”。

    （一）透明性

    云計(jì)算提供的是軟、硬件的服務(wù)。一般情況下，服務(wù)的實(shí)現(xiàn)機(jī)制對(duì)用戶來說是透明的。用戶無需了解云計(jì)算的具體機(jī)制，就可以獲得所需要的服務(wù)，具有很強(qiáng)的易用性。

    （二）規(guī)模大

    云計(jì)算規(guī)模非常大，例如，Google 云計(jì)算擁有上百多萬臺(tái)服務(wù)器，同時(shí)像Amazon、IBM、微軟、Yahoo 等的“云”也擁有幾十萬臺(tái)服務(wù)器。對(duì)于一般企業(yè)而言，云計(jì)算一般擁有成百上千臺(tái)個(gè)服務(wù)器。“云”所帶來的計(jì)算能力說用戶前所未聞的。

    （三）虛擬化

    用戶可以在任意時(shí)間、任意地點(diǎn)，通過自己的終端（例如：手機(jī)，電腦等）連接云計(jì)算服務(wù)端獲取自己所需要的服務(wù)。它并不是一個(gè)可形狀化得實(shí)體，也不具有固體的位置，用戶甚至不需要了解“云”的具體運(yùn)行機(jī)制。

    （四）通用性和可擴(kuò)展性

    在云計(jì)算平臺(tái)下，同一個(gè)“云”可以同時(shí)支持不同的應(yīng)用在其服務(wù)端運(yùn)行，它可以根據(jù)不同的用戶需求，構(gòu)造出各種各樣的應(yīng)用。并且云計(jì)算機(jī)可以大規(guī)模的擴(kuò)展其子節(jié)點(diǎn)，甚至可以再促使幾千個(gè)節(jié)點(diǎn)同時(shí)處理不同的應(yīng)用。伴隨著用戶規(guī)模的增長以及應(yīng)用規(guī)模的增加，它具有動(dòng)態(tài)的伸縮性。

三、相關(guān)問題

    隨著云計(jì)算時(shí)代的到來，在互聯(lián)網(wǎng)的應(yīng)用的類型已經(jīng)很多，對(duì)于與它相關(guān)的技術(shù)指標(biāo)也提出了新的要求，例如：數(shù)據(jù)模型、分布式架構(gòu)、數(shù)據(jù)存儲(chǔ)等數(shù)據(jù)庫相關(guān)的技術(shù)。目前，傳統(tǒng)的關(guān)系型數(shù)據(jù)庫占有重要的地位，但由于存在讀寫方面不夠快，數(shù)據(jù)節(jié)點(diǎn)不易擴(kuò)展以及在前期的建設(shè)后期維護(hù)和運(yùn)營成本上的代價(jià)太高的問題。在本節(jié)中，我們將介紹傳統(tǒng)數(shù)據(jù)庫存在的一些安全隱患，并描述在云計(jì)算時(shí)代下的數(shù)據(jù)庫安全新問題，通過比較，分析，探究解決安全問題的方法。

    （一）云背景下的數(shù)據(jù)庫安全問題

    云計(jì)算時(shí)代對(duì)數(shù)據(jù)庫技術(shù)提出了新的需求，主要表現(xiàn)在以下幾個(gè)方面：

    1.海量數(shù)據(jù)處理：對(duì)類似搜索引擎和電信運(yùn)營商級(jí)的經(jīng)營分析系統(tǒng)這樣大型的應(yīng)用而言，需要能夠處理PB 級(jí)的數(shù)據(jù)，同時(shí)應(yīng)對(duì)百萬級(jí)的流量。

    2.大規(guī)模集群管理：分布式應(yīng)用可以更加簡單地部署、應(yīng)用和管理。

    3.低延遲讀寫速度：快速的響應(yīng)速度能夠極大地提高用戶的滿意度。

    4.建設(shè)及運(yùn)營成本：云計(jì)算應(yīng)用的基本要求是希望在硬件成本、軟件成本以及人力成本方面都有大幅度的降低。

    由于云計(jì)算發(fā)展時(shí)間很短，加上技術(shù)不成熟，云環(huán)境數(shù)據(jù)庫在安全方面仍然存在一些缺陷，主要有以下問題：

    但是基于云計(jì)算的數(shù)據(jù)庫仍然存在一些安全方面的問題，主要是一下幾點(diǎn)：

    （1）區(qū)域劃分。關(guān)系數(shù)據(jù)庫主要通過物理上和邏輯上來劃分安全域，可以明確的劃分邊界和保護(hù)設(shè)備用戶。但是在云環(huán)境下卻難以實(shí)現(xiàn)。

    （2）非授權(quán)訪問。非授權(quán)訪問主要是指沒有得到相應(yīng)的權(quán)限，卻能夠任意訪問計(jì)算機(jī)網(wǎng)絡(luò)中的各種資源。在云環(huán)境下，一般是云服務(wù)提供商具有對(duì)數(shù)據(jù)最優(yōu)先的訪問權(quán)限，而不是個(gè)人或者企業(yè)，這是云計(jì)算存在的安全問題之一，如何合理分配數(shù)據(jù)有限訪問權(quán)限是當(dāng)前的一個(gè)關(guān)鍵問題。

    （3）數(shù)據(jù)一致性。為了保證數(shù)據(jù)的一致性，云計(jì)算環(huán)境下的數(shù)據(jù)庫一般采用冗余的存儲(chǔ)數(shù)據(jù)的方式。對(duì)每個(gè)用戶或者企業(yè)的數(shù)據(jù)創(chuàng)建多個(gè)拷貝，并把這些拷貝轉(zhuǎn)發(fā)給不同服務(wù)器站點(diǎn)。而差量存儲(chǔ)和增量存儲(chǔ)是很少使用的。雖然如此一來確定了數(shù)據(jù)的可靠性以及可用性卻往往忽視的數(shù)據(jù)的一致性。如何均衡三者之間的關(guān)系，將是研究者需要努力解決的。

    （4）數(shù)據(jù)完整性與保密性。由于云計(jì)算發(fā)展的不夠成熟，數(shù)據(jù)在傳輸和保存過程中很可能存在失密性，從而會(huì)被黑客或不法分子對(duì)一些重要的資料以及信息進(jìn)行刪除、修改或重發(fā)某些重要信息而改變信息的真實(shí)性，導(dǎo)致用戶的不能夠正常使用。另外對(duì)于擁有最高優(yōu)先權(quán)限的云服務(wù)提供商的問題而出現(xiàn)重要的信息的被公布的事情發(fā)生。

四、對(duì)應(yīng)策略

    （一）傳統(tǒng)數(shù)據(jù)庫安全策略

    保護(hù)數(shù)據(jù)以防止未授權(quán)的使用而導(dǎo)致數(shù)據(jù)被惡意更改、刪除泄露數(shù)據(jù)的安全性的重要問題。數(shù)據(jù)庫安全性包含兩方面：第一方面是自身電腦系統(tǒng)的安全性，很多網(wǎng)絡(luò)非法用戶通過網(wǎng)絡(luò)手段破壞電腦操作系統(tǒng)的正常運(yùn)行，甚至導(dǎo)致電腦系統(tǒng)癱瘓。另一方面是指數(shù)據(jù)庫系統(tǒng)的安全性，通常不法分子通過SQL 注入的方式對(duì)數(shù)據(jù)庫植入木馬程序，通過病毒或者惡意軟件對(duì)數(shù)據(jù)庫系統(tǒng)的原始數(shù)據(jù)進(jìn)行篡改或者盜取重要的數(shù)據(jù)信息。

    1.強(qiáng)制存取控制。為了保證數(shù)據(jù)庫系統(tǒng)的安全性，通常采取的是強(qiáng)制存取檢測(cè)方式，它是保證數(shù)據(jù)庫系統(tǒng)安全的重要的一環(huán)。強(qiáng)制存取控制是通過對(duì)每一個(gè)數(shù)據(jù)進(jìn)行嚴(yán)格的分配不同的密級(jí)，例如政府，信息部門。在強(qiáng)制存取控制中，DBMS 所管理的全部實(shí)體被分為主體和客體兩大類。主體是系統(tǒng)中的活動(dòng)實(shí)體，它不僅包括DBMS 被管理的實(shí)際用戶，也包括代表用戶的各進(jìn)程�？腕w是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括文件、基表、索引、視圖等等。對(duì)于主體和客體，DBMS 為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記。主客體各自被賦予相應(yīng)的安全級(jí)，主體的安全級(jí)反映主體的可信度，而客體的安全級(jí)反映客體所含信息的敏感程度。對(duì)于病毒和惡意軟件的攻擊可以通過強(qiáng)制存取控制策略進(jìn)行防范。但強(qiáng)制存取控制并不能從根本上避免攻擊的問題，但可以有從較高安全性級(jí)別程序向較低安全性級(jí)別程序進(jìn)行信息傳遞。

    2.審計(jì)。審計(jì)是將用戶操作數(shù)據(jù)庫的所有記錄存儲(chǔ)在審計(jì)日志（Audit Log）中，它對(duì)將來出現(xiàn)問題時(shí)可以方便調(diào)查和分析有重要的作用。對(duì)于系統(tǒng)出現(xiàn)問題，可以很快得找出非法存取數(shù)據(jù)的時(shí)間、內(nèi)容以及相關(guān)的人。從軟件工程的角度上看，目前通過存取控制、數(shù)據(jù)加密的方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)是不夠的。因此，作為重要的補(bǔ)充手段，審計(jì)方式是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分，也是數(shù)據(jù)庫系統(tǒng)的最后一道重要的安全防線。

    3.數(shù)據(jù)庫數(shù)據(jù)加密。數(shù)據(jù)加密可以有效防止數(shù)據(jù)庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過密鑰的保護(hù)是數(shù)據(jù)庫加密技術(shù)的重要手段，但如果采用同種的密鑰來管理所有數(shù)據(jù)的話，對(duì)于一些不法用戶可以采用暴力破解的方法進(jìn)行攻擊。但通過不同版本的密鑰對(duì)不同的數(shù)據(jù)信息進(jìn)行加密處理的話，可以大大提高數(shù)據(jù)庫數(shù)據(jù)的安全強(qiáng)度。這種方式主要的表現(xiàn)形式是在解密時(shí)必須對(duì)應(yīng)匹配的密鑰版本，加密時(shí)就盡量的挑選最新技術(shù)的版本。

    （二）云環(huán)境下的數(shù)據(jù)庫安全策略

    通過結(jié)合實(shí)際的經(jīng)驗(yàn)，云計(jì)算數(shù)據(jù)庫的安全問題是不僅是個(gè)范圍廣大而且是個(gè)相當(dāng)復(fù)雜的問題，對(duì)此我們提出如下三點(diǎn)安全策略：

    1.在云計(jì)算環(huán)境數(shù)據(jù)庫中的數(shù)據(jù)設(shè)置多個(gè)不同的級(jí)別的安全域，中設(shè)立多每個(gè)安全域擁有全局主題映射和局部主題映射，對(duì)于處在不同安全域之間的操作必須進(jìn)行相互鑒別。

    2.安全認(rèn)證。運(yùn)用雙重安全機(jī)制的身份驗(yàn)證和訪問控制列表的方式對(duì)訪問者進(jìn)行控制是一種有效的防止黑客破壞系統(tǒng)數(shù)據(jù)庫的方式。通常使用的身份驗(yàn)證主要是：密碼認(rèn)證、證物認(rèn)證以及生物認(rèn)證，其中使用最多的是密碼認(rèn)證方式，但其安全性要比證物認(rèn)證和生物認(rèn)證差一線，一旦被破解就毫無安全可言了。

    目前，證物認(rèn)證在市場(chǎng)上也得到了廣泛的使用，例如在各大銀行使用的U 盾就是證物認(rèn)證的例子。對(duì)于生物認(rèn)證，由于其成本太高，而往往使人們更趨近于使用證物認(rèn)證。

    3.通過對(duì)等實(shí)體鑒別的方法可以在用戶建立連接后有效的保護(hù)數(shù)據(jù)的完整性，同時(shí)保證用戶需要在連接的存活期內(nèi)使用完整性服務(wù)并進(jìn)行訛誤檢測(cè)。

五、結(jié)論

    本文基于云計(jì)算平臺(tái)下考慮數(shù)據(jù)庫存在的安全性問題，通過比較集中式數(shù)據(jù)庫與云計(jì)算下的數(shù)據(jù)庫對(duì)安全問題進(jìn)行深入的研究和提出一些較為妥當(dāng)?shù)陌踩�管理方式。不過由于云計(jì)算的安全問題存在廣泛行和復(fù)雜性，僅采取這些措施還遠(yuǎn)遠(yuǎn)不夠，還需要更多學(xué)者的進(jìn)一步研究。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：云計(jì)算時(shí)代下的數(shù)據(jù)庫安全性研究

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112186295.html