現(xiàn)階段大數(shù)據(jù)產(chǎn)業(yè)的快速發(fā)展創(chuàng)造了極大的經(jīng)濟(jì)效益，大數(shù)據(jù)的出現(xiàn)推動了社會經(jīng)濟(jì)發(fā)展，但是隨之而來的數(shù)據(jù)庫安全問題也引起了學(xué)者對大數(shù)據(jù)信息安全問題的反思。大數(shù)據(jù)時代下的信息與隱私安全問題已經(jīng)成為全球性重點(diǎn)關(guān)注的問題，為了能夠更有效地避免數(shù)據(jù)安全問題發(fā)生，需要相關(guān)人員積極構(gòu)建數(shù)據(jù)庫安全保障體系。

1 數(shù)據(jù)庫的安全威脅問題研究

數(shù)據(jù)庫的信息安全問題得到了社會的普遍關(guān)注，從現(xiàn)有的數(shù)據(jù)庫網(wǎng)絡(luò)安全事件來看，其信息安全問題的風(fēng)險具有范圍廣、影響大、突發(fā)性強(qiáng)等特征，并且可能產(chǎn)生嚴(yán)重的損失。與傳統(tǒng)的攻擊行為相比，數(shù)據(jù)庫的網(wǎng)絡(luò)安全問題呈現(xiàn)出以下特征：

（1）高技術(shù)性與高智能性特征。例如部分不法分子為了能夠盜取數(shù)據(jù)庫中的資料，會采用各種手段穿越防火墻，通過不斷地攻擊數(shù)據(jù)庫的安全防護(hù)體系或注入SQL等方法篡改數(shù)據(jù)，導(dǎo)致數(shù)據(jù)大量流失。

（2）作案手段日益多樣化。在大數(shù)據(jù)技術(shù)的支持下，不法分子威脅數(shù)據(jù)庫的手段也呈現(xiàn)出了多樣化的趨勢，例如部分人員會運(yùn)用程序的漏洞進(jìn)行作案，甚至通過非法用戶向管理人員非法授予操作權(quán)限的方法進(jìn)行授權(quán)。

（3）網(wǎng)絡(luò)安全問題不受地域與時間因素的顯示，不法分子可以隨時遠(yuǎn)程攻擊數(shù)據(jù)庫。（4）數(shù)據(jù)庫攻擊的隱蔽性較強(qiáng)，收集證據(jù)的難度較大。

文獻(xiàn)認(rèn)為，數(shù)據(jù)庫作為一種特殊的信息存儲結(jié)構(gòu)，在大數(shù)據(jù)環(huán)境下所面臨的信息安全隱患問題更加突出，表現(xiàn)為：

（1）在網(wǎng)絡(luò)方面，大部分?jǐn)?shù)據(jù)庫采用了TCP/IP 的協(xié)議通信方式，而該協(xié)議本身存在弊端，難以有效鑒別通信雙方的身份，導(dǎo)致數(shù)據(jù)庫無法正確識別攻擊者的身份而遭到嚴(yán)重破壞。

（2）在數(shù)據(jù)庫管理系統(tǒng)上，大部分?jǐn)?shù)據(jù)采用了DB2、SQL Server等商用數(shù)據(jù)庫系統(tǒng)，這些數(shù)據(jù)庫系統(tǒng)的技術(shù)條件成熟，但是在應(yīng)用過程中，一些數(shù)據(jù)庫的安全問題發(fā)生，例如關(guān)于SQL Server數(shù)據(jù)庫的SQL 注入等。雖然現(xiàn)階段各個廠商都在不斷完善數(shù)據(jù)庫等更新補(bǔ)丁包，但是大部分出于對數(shù)據(jù)庫穩(wěn)定性的考慮，通常會延后補(bǔ)丁的更新速度，最終導(dǎo)致數(shù)據(jù)庫的漏洞難以第一時間被處理，最終成為安全隱患。

2 大數(shù)據(jù)背景下數(shù)據(jù)庫安全技術(shù)分析

2.1 身份認(rèn)證技術(shù)分析

為實(shí)現(xiàn)數(shù)據(jù)庫安全對用戶的身份進(jìn)行認(rèn)證是其中的重點(diǎn)。現(xiàn)階段常用的數(shù)據(jù)庫普遍采用“ID＋密碼”的方式進(jìn)行身份核實(shí)，即將用戶的賬號信息存儲在數(shù)據(jù)字典等當(dāng)用戶產(chǎn)生連接需求之后，系統(tǒng)能夠查詢數(shù)據(jù)字典，并對用戶的合法性進(jìn)行判斷。但是在大數(shù)據(jù)背景下，各種解密技術(shù)得到了快速的發(fā)展，導(dǎo)致 ID 認(rèn)證方式面臨挑戰(zhàn)，因此鑒定人體信息的生物認(rèn)證安全技術(shù)出現(xiàn)，通過語言識別、指紋識別的方法，對用戶的身份進(jìn)行判斷。但從現(xiàn)有技術(shù)發(fā)展情況來看，身份認(rèn)證技術(shù)尚未在數(shù)據(jù)庫安全管理中得到運(yùn)用，但是鑒于大數(shù)據(jù)的強(qiáng)大數(shù)據(jù)處理能力，可預(yù)見該技術(shù)在未來會具有廣闊的發(fā)展前景。

2.2 訪問控制技術(shù)

訪問控制是數(shù)據(jù)庫安全管理的核心內(nèi)容，能夠?qū)σ?guī)定主體的訪問行為進(jìn)行限制，避免出現(xiàn)任何不滿足數(shù)據(jù)庫安全的訪問行為發(fā)生。

2.2.1 自主訪問控制

目前自主訪問控制是數(shù)據(jù)庫信息安全中一種常見的訪問控制技術(shù)，用戶可結(jié)合自己的需求對系統(tǒng)的數(shù)據(jù)進(jìn)行調(diào)整并判斷哪些用戶能夠訪問數(shù)據(jù)庫。在此基礎(chǔ)上，通過構(gòu)建自主訪問

控制模型，能夠?qū)υL問客體的權(quán)限做進(jìn)一步界定，這樣當(dāng)用戶的身份被系統(tǒng)識別后，則可以對客體訪問數(shù)據(jù)庫的行為進(jìn)行監(jiān)控，用戶只能在系統(tǒng)允許的范圍內(nèi)完成操作。作為一種靈活的控制策略，自主訪問控制能夠保障用戶自主地將自己所擁有的權(quán)限賦予其他用戶，操作過程靈活簡單，因此大部分的商業(yè)數(shù)據(jù)庫都會采用這種訪問控制技術(shù)。

2.2.2 基于角色的訪問控制

在數(shù)據(jù)庫安全管理中，基于角色的訪問控制作為一種新的控制方法，其主要特征為：在該技術(shù)中權(quán)限并不是直接賦予指定用戶的。所以當(dāng)用戶與特定角色綁定之后，則可以通過將基于角色的訪問控制過程進(jìn)行劃分，實(shí)現(xiàn)對權(quán)限的分配。

2.3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)主要包括庫內(nèi)加密與庫外加密的方法，其中庫內(nèi)加密是在數(shù)據(jù)庫內(nèi)部設(shè)置加密模塊，例如對數(shù)據(jù)內(nèi)的相關(guān)列表進(jìn)行加密，而庫外加密則是通過特定的加密服務(wù)器完成加密與解密操作。在大數(shù)據(jù)環(huán)境下，大部分的數(shù)據(jù)庫都能夠提供數(shù)據(jù)加密功能，例如SQL Server數(shù)據(jù)庫構(gòu)建的多維度密鑰保護(hù)與備份信息加密等。但是考慮到數(shù)據(jù)的特殊性，數(shù)據(jù)庫所存儲的信息量較大，在這種情況下可能對數(shù)據(jù)庫的加密與加密的穩(wěn)定性產(chǎn)生影響，因此用戶可根據(jù)安全管理要求對數(shù)據(jù)庫中的高度機(jī)密的數(shù)據(jù)做加密處理。

3 大數(shù)據(jù)背景下的數(shù)據(jù)庫安全保障策略分析

在大數(shù)據(jù)背景下，應(yīng)該圍繞信息安全問題落實(shí)數(shù)據(jù)庫安全管理方案，以大數(shù)據(jù)強(qiáng)大的數(shù)據(jù)處理能力結(jié)合數(shù)據(jù)庫的功能訴求對數(shù)據(jù)庫的安全保障方案進(jìn)行改進(jìn)。

3.1 角色訪問控制策略分析

受大數(shù)據(jù)的影響，數(shù)據(jù)庫的訪問人數(shù)會快速增加，導(dǎo)致數(shù)據(jù)庫所面臨的安全風(fēng)險更高。因此為了能夠進(jìn)一步保障數(shù)據(jù)庫安全，則需要基于角色訪問模型的數(shù)據(jù)庫訪問控制，為用戶

分配數(shù)據(jù)庫角色，最終使用戶在數(shù)據(jù)庫上獲得相應(yīng)的權(quán)限，進(jìn)一步提高數(shù)據(jù)庫安全質(zhì)量。

本文基于大數(shù)據(jù)的技術(shù)要求，在數(shù)據(jù)庫安全保障體系的設(shè)置上提出了一種新的集中管理模式——基于應(yīng)用的角色訪問模型，該模型能夠?qū)?shù)據(jù)庫的信息安全問題進(jìn)行有效識別，通

過對應(yīng)用數(shù)據(jù)庫、安全中心的功能進(jìn)行界定，進(jìn)而明確數(shù)據(jù)庫安全管理的角色與權(quán)限。在實(shí)施階段，其中的重點(diǎn)內(nèi)容包括：

（1）應(yīng)用方案。在大數(shù)據(jù)系統(tǒng)中的應(yīng)用系統(tǒng)中往往會存在大量的賬戶與用戶群，所以在數(shù)據(jù)庫安全保障體系建設(shè)中能夠?qū)⑷我庖粋€用戶的信息注冊到安全中心中，這樣數(shù)據(jù)庫可以收錄用戶權(quán)限的有用信息，包括名稱、屬性、創(chuàng)建時間、應(yīng)用用途等。

（2）子應(yīng)用。數(shù)據(jù)安全管理應(yīng)用方案需要根據(jù)環(huán)境進(jìn)行分類，將數(shù)據(jù)庫中的自應(yīng)用作為特定類用戶的集合，可用于實(shí)現(xiàn)數(shù)據(jù)庫的安全管理。例如在數(shù)據(jù)庫安全的子應(yīng)用中，將DBA作為數(shù)據(jù)庫管理員集合。

（3）數(shù)據(jù)庫。這里所提到的數(shù)據(jù)庫為特定數(shù)據(jù)庫，為達(dá)到安全管理要求，將數(shù)據(jù)庫注冊到系統(tǒng)中并與相關(guān)安全軟件相綁定，或者在特定的數(shù)據(jù)庫環(huán)境下將對應(yīng)的子應(yīng)用創(chuàng)設(shè)到數(shù)據(jù)庫中。

（4）用戶。用戶的數(shù)據(jù)安全需要與數(shù)據(jù)庫的賬戶相連接，在數(shù)據(jù)庫安全管理制定用戶所屬的子應(yīng)用，并劃分相應(yīng)的權(quán)限即可。

3.2 攻擊檢測

大數(shù)據(jù)背景下的數(shù)據(jù)庫安全形勢嚴(yán)峻，數(shù)據(jù)庫所承受的攻擊數(shù)量巨大，通過開展攻擊檢測的方法能夠發(fā)現(xiàn)濫用與異常的攻擊行為?，F(xiàn)階段的大部分?jǐn)?shù)據(jù)庫都不具有攻擊檢測功能，所以在安全保障體系的構(gòu)建中，本文根據(jù)技術(shù)數(shù)據(jù)挖掘與數(shù)據(jù)采集的要求，構(gòu)建基于攻擊檢測的數(shù)據(jù)保全保障體系，通過該方法能夠記錄數(shù)據(jù)庫被攻擊情況，為實(shí)現(xiàn)數(shù)據(jù)庫安全奠定基礎(chǔ)。實(shí)時檢測主要是針對各種已知的攻擊方式，并將這種攻擊以代碼的形式存儲在數(shù)據(jù)庫中，按照數(shù)據(jù)庫中所記錄的數(shù)據(jù)判斷系統(tǒng)是否遭受到攻擊。該技術(shù)的具有較高的檢測精度，但由于該技術(shù)無法對內(nèi)部人員與未知攻擊行為進(jìn)行檢測，所以本文在實(shí)時檢測的基礎(chǔ)上進(jìn)一步完善了其中的功能，包括：

（1）登錄失敗檢測。當(dāng)系統(tǒng)檢測到在特定時間段內(nèi)頻繁地出現(xiàn)登錄失敗的情況，則需要對該IP的用戶登錄情況進(jìn)行檢測。

（2）登錄檢測。若登錄數(shù)據(jù)庫的IP地址與以前登錄過的地址不同，則需要警惕數(shù)據(jù)庫安全問題。

（3）操作失敗檢測。針對特定時間內(nèi)檢測到的操作失敗次數(shù)，檢測無訪問權(quán)限對象的登錄行為。

（4）用戶權(quán)限變更檢測。其主要功能是檢測用戶的權(quán)限是否在滿足規(guī)定的情況下進(jìn)行變更。在該系統(tǒng)中，通過將關(guān)于系統(tǒng)安全的規(guī)則上傳到數(shù)據(jù)庫的審計中心中，再同步到各個數(shù)據(jù)中，由此實(shí)現(xiàn)對濫用規(guī)則的統(tǒng)一控制。在實(shí)時檢測過程中，可在數(shù)據(jù)庫添加兩個觸發(fā)器來完成對攻擊的檢測，包括：

（1）通過DDL觸發(fā)器來抓取數(shù)據(jù)庫的事物，并檢測用戶權(quán)限變更等情況，作為SQLServer數(shù)據(jù)庫中的一種特有觸發(fā)器，當(dāng)數(shù)據(jù)庫發(fā)生安全事件的同時能夠做出響應(yīng)，在各種數(shù)據(jù)庫安全事件發(fā)生之后快速地捕捉信息并分析安全攻擊行為的發(fā)生間隔，判斷攻擊事件是否有效。

（2）DML觸發(fā)器具有跟蹤審計信息的功能，針對數(shù)據(jù)庫操作過程中的各種常見問題進(jìn)行安全評估，包括操作失敗事件、登錄失敗情況以及敏感用戶對系統(tǒng)的訪問等。當(dāng)DML 檢測到數(shù)據(jù)庫遭受到攻擊，則會退出攻擊賬戶，保證數(shù)據(jù)庫的安全。

3.3 數(shù)據(jù)庫的安全防護(hù)機(jī)制

在數(shù)據(jù)庫的安全防護(hù)中，可利用虛擬化平臺來實(shí)現(xiàn)數(shù)據(jù)庫的安全管理，為能夠達(dá)到有效的安全防護(hù)目的，可采用以下措施進(jìn)行數(shù)據(jù)庫安全管理。

3.3.1 數(shù)據(jù)庫的安全備份

數(shù)據(jù)備份的目的就是要為數(shù)據(jù)安全增添“第二把鎖”，當(dāng)前數(shù)據(jù)庫的數(shù)據(jù)備份主要采用物理備份與邏輯備份相結(jié)合的方法，按照既定的時間要求對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行存儲。此時假設(shè)數(shù)據(jù)遭到攻擊或者出現(xiàn)損害時，可以在原數(shù)據(jù)庫的基礎(chǔ)上調(diào)度備份數(shù)據(jù)，達(dá)到數(shù)據(jù)快速復(fù)原的目的。為實(shí)現(xiàn)該目的，可通過MySQL恢復(fù)工具、導(dǎo)出數(shù)據(jù)等方法并引入數(shù)據(jù)信息的變化，最終有助于實(shí)現(xiàn)二進(jìn)制文件保存，避免備份數(shù)據(jù)的濫用。

3.3.2 數(shù)據(jù)庫的防火墻設(shè)置

防火墻是維護(hù)數(shù)據(jù)安全的關(guān)鍵，所以在設(shè)置防火墻期間，利用SQL數(shù)據(jù)庫檢測到的攻擊痕跡將數(shù)據(jù)與數(shù)據(jù)庫SQL語句運(yùn)用到應(yīng)用程序中，利用數(shù)據(jù)庫防火墻的名單檢測對任意一個針對數(shù)據(jù)庫的操作行為進(jìn)行檢測，避免系統(tǒng)遭受注入攻擊而造成數(shù)據(jù)損失。

4 結(jié)束語

在大數(shù)據(jù)背景下，數(shù)據(jù)庫的安全保障管理更加復(fù)雜，為了能夠更好地適應(yīng)數(shù)據(jù)庫管理要求，相關(guān)人員要充分發(fā)揮大數(shù)據(jù)技術(shù)優(yōu)勢，結(jié)合各種常見的數(shù)據(jù)庫安全問題進(jìn)行處置，這樣才能有效降低數(shù)據(jù)庫安全事件發(fā)生率，最終適應(yīng)數(shù)據(jù)安全管理要求。