一、引言
伴隨科學技術的快速發(fā)展,人們對設備也提出了更高的要求,例如:數(shù)據(jù)存儲容量和運算速度的需求。另外,網(wǎng)絡上大量存在一些沒有得到充分利用的計算設備,在數(shù)據(jù)存儲和處理能力上也越來越滿足不了企業(yè)單位。正是由于日益增長的存儲以及計算的需求與網(wǎng)絡上存在的資源之間的矛盾,促使云計算的產(chǎn)生,也使它成為當今IT 領域的一個研究熱點。
云計算說一種采用虛擬化技術,它能使用戶能夠不需要了解它具體的運行機制,而只需要簡單通過網(wǎng)絡連接到云計算服務端來獲取自己所需要的服務,這不僅提高了網(wǎng)絡資源的利用率,實現(xiàn)更大程度上的網(wǎng)絡資源共享,而且節(jié)省了很多硬件資源的開銷。正是由于云計算帶來的便捷性,從而促使用戶頻繁的在云計算平臺下進行交互,對此,云計算下數(shù)據(jù)庫安全的問題成為我們需要解決的主要問題。
二、云計算的特點
雖然,云計算在實際生活中得到了一些應用,但是對于云計算卻仍然沒有得到普遍一致的定義。中國云計算網(wǎng)為云計算機定義如下:云計算(cloud computing)是一種基于因特網(wǎng)的超級計算模式,在遠程的數(shù)據(jù)中心里,成千上萬臺電腦和服務器連接成一片電腦云。中國網(wǎng)格計算、云計算專家劉鵬定義如下:“云計算將計算任務分布在大量計算機構成的資源池上,使各種應用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和各種軟件服務”。
(一)透明性
云計算提供的是軟、硬件的服務。一般情況下,服務的實現(xiàn)機制對用戶來說是透明的。用戶無需了解云計算的具體機制,就可以獲得所需要的服務,具有很強的易用性。
(二)規(guī)模大
云計算規(guī)模非常大,例如,Google 云計算擁有上百多萬臺服務器,同時像Amazon、IBM、微軟、Yahoo 等的“云”也擁有幾十萬臺服務器。對于一般企業(yè)而言,云計算一般擁有成百上千臺個服務器。“云”所帶來的計算能力說用戶前所未聞的。
(三)虛擬化
用戶可以在任意時間、任意地點,通過自己的終端(例如:手機,電腦等)連接云計算服務端獲取自己所需要的服務。它并不是一個可形狀化得實體,也不具有固體的位置,用戶甚至不需要了解“云”的具體運行機制。
(四)通用性和可擴展性
在云計算平臺下,同一個“云”可以同時支持不同的應用在其服務端運行,它可以根據(jù)不同的用戶需求,構造出各種各樣的應用。并且云計算機可以大規(guī)模的擴展其子節(jié)點,甚至可以再促使幾千個節(jié)點同時處理不同的應用。伴隨著用戶規(guī)模的增長以及應用規(guī)模的增加,它具有動態(tài)的伸縮性。
三、相關問題
隨著云計算時代的到來,在互聯(lián)網(wǎng)的應用的類型已經(jīng)很多,對于與它相關的技術指標也提出了新的要求,例如:數(shù)據(jù)模型、分布式架構、數(shù)據(jù)存儲等數(shù)據(jù)庫相關的技術。目前,傳統(tǒng)的關系型數(shù)據(jù)庫占有重要的地位,但由于存在讀寫方面不夠快,數(shù)據(jù)節(jié)點不易擴展以及在前期的建設后期維護和運營成本上的代價太高的問題。在本節(jié)中,我們將介紹傳統(tǒng)數(shù)據(jù)庫存在的一些安全隱患,并描述在云計算時代下的數(shù)據(jù)庫安全新問題,通過比較,分析,探究解決安全問題的方法。
(一)云背景下的數(shù)據(jù)庫安全問題
云計算時代對數(shù)據(jù)庫技術提出了新的需求,主要表現(xiàn)在以下幾個方面:
1.海量數(shù)據(jù)處理:對類似搜索引擎和電信運營商級的經(jīng)營分析系統(tǒng)這樣大型的應用而言,需要能夠處理PB 級的數(shù)據(jù),同時應對百萬級的流量。
2.大規(guī)模集群管理:分布式應用可以更加簡單地部署、應用和管理。
3.低延遲讀寫速度:快速的響應速度能夠極大地提高用戶的滿意度。
4.建設及運營成本:云計算應用的基本要求是希望在硬件成本、軟件成本以及人力成本方面都有大幅度的降低。
由于云計算發(fā)展時間很短,加上技術不成熟,云環(huán)境數(shù)據(jù)庫在安全方面仍然存在一些缺陷,主要有以下問題:
但是基于云計算的數(shù)據(jù)庫仍然存在一些安全方面的問題,主要是一下幾點:
(1)區(qū)域劃分。關系數(shù)據(jù)庫主要通過物理上和邏輯上來劃分安全域,可以明確的劃分邊界和保護設備用戶。但是在云環(huán)境下卻難以實現(xiàn)。
(2)非授權訪問。非授權訪問主要是指沒有得到相應的權限,卻能夠任意訪問計算機網(wǎng)絡中的各種資源。在云環(huán)境下,一般是云服務提供商具有對數(shù)據(jù)最優(yōu)先的訪問權限,而不是個人或者企業(yè),這是云計算存在的安全問題之一,如何合理分配數(shù)據(jù)有限訪問權限是當前的一個關鍵問題。
(3)數(shù)據(jù)一致性。為了保證數(shù)據(jù)的一致性,云計算環(huán)境下的數(shù)據(jù)庫一般采用冗余的存儲數(shù)據(jù)的方式。對每個用戶或者企業(yè)的數(shù)據(jù)創(chuàng)建多個拷貝,并把這些拷貝轉(zhuǎn)發(fā)給不同服務器站點。而差量存儲和增量存儲是很少使用的。雖然如此一來確定了數(shù)據(jù)的可靠性以及可用性卻往往忽視的數(shù)據(jù)的一致性。如何均衡三者之間的關系,將是研究者需要努力解決的。
(4)數(shù)據(jù)完整性與保密性。由于云計算發(fā)展的不夠成熟,數(shù)據(jù)在傳輸和保存過程中很可能存在失密性,從而會被黑客或不法分子對一些重要的資料以及信息進行刪除、修改或重發(fā)某些重要信息而改變信息的真實性,導致用戶的不能夠正常使用。另外對于擁有最高優(yōu)先權限的云服務提供商的問題而出現(xiàn)重要的信息的被公布的事情發(fā)生。
四、對應策略
(一)傳統(tǒng)數(shù)據(jù)庫安全策略
保護數(shù)據(jù)以防止未授權的使用而導致數(shù)據(jù)被惡意更改、刪除泄露數(shù)據(jù)的安全性的重要問題。數(shù)據(jù)庫安全性包含兩方面:第一方面是自身電腦系統(tǒng)的安全性,很多網(wǎng)絡非法用戶通過網(wǎng)絡手段破壞電腦操作系統(tǒng)的正常運行,甚至導致電腦系統(tǒng)癱瘓。另一方面是指數(shù)據(jù)庫系統(tǒng)的安全性,通常不法分子通過SQL 注入的方式對數(shù)據(jù)庫植入木馬程序,通過病毒或者惡意軟件對數(shù)據(jù)庫系統(tǒng)的原始數(shù)據(jù)進行篡改或者盜取重要的數(shù)據(jù)信息。
1.強制存取控制。為了保證數(shù)據(jù)庫系統(tǒng)的安全性,通常采取的是強制存取檢測方式,它是保證數(shù)據(jù)庫系統(tǒng)安全的重要的一環(huán)。強制存取控制是通過對每一個數(shù)據(jù)進行嚴格的分配不同的密級,例如政府,信息部門。在強制存取控制中,DBMS 所管理的全部實體被分為主體和客體兩大類。主體是系統(tǒng)中的活動實體,它不僅包括DBMS 被管理的實際用戶,也包括代表用戶的各進程。客體是系統(tǒng)中的被動實體,是受主體操縱的,包括文件、基表、索引、視圖等等。對于主體和客體,DBMS 為它們每個實例(值)指派一個敏感度標記。主客體各自被賦予相應的安全級,主體的安全級反映主體的可信度,而客體的安全級反映客體所含信息的敏感程度。對于病毒和惡意軟件的攻擊可以通過強制存取控制策略進行防范。但強制存取控制并不能從根本上避免攻擊的問題,但可以有從較高安全性級別程序向較低安全性級別程序進行信息傳遞。
2.審計。審計是將用戶操作數(shù)據(jù)庫的所有記錄存儲在審計日志(Audit Log)中,它對將來出現(xiàn)問題時可以方便調(diào)查和分析有重要的作用。對于系統(tǒng)出現(xiàn)問題,可以很快得找出非法存取數(shù)據(jù)的時間、內(nèi)容以及相關的人。從軟件工程的角度上看,目前通過存取控制、數(shù)據(jù)加密的方式對數(shù)據(jù)進行保護是不夠的。因此,作為重要的補充手段,審計方式是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分,也是數(shù)據(jù)庫系統(tǒng)的最后一道重要的安全防線。
3.數(shù)據(jù)庫數(shù)據(jù)加密。數(shù)據(jù)加密可以有效防止數(shù)據(jù)庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過密鑰的保護是數(shù)據(jù)庫加密技術的重要手段,但如果采用同種的密鑰來管理所有數(shù)據(jù)的話,對于一些不法用戶可以采用暴力破解的方法進行攻擊。但通過不同版本的密鑰對不同的數(shù)據(jù)信息進行加密處理的話,可以大大提高數(shù)據(jù)庫數(shù)據(jù)的安全強度。這種方式主要的表現(xiàn)形式是在解密時必須對應匹配的密鑰版本,加密時就盡量的挑選最新技術的版本。
(二)云環(huán)境下的數(shù)據(jù)庫安全策略
通過結合實際的經(jīng)驗,云計算數(shù)據(jù)庫的安全問題是不僅是個范圍廣大而且是個相當復雜的問題,對此我們提出如下三點安全策略:
1.在云計算環(huán)境數(shù)據(jù)庫中的數(shù)據(jù)設置多個不同的級別的安全域,中設立多每個安全域擁有全局主題映射和局部主題映射,對于處在不同安全域之間的操作必須進行相互鑒別。
2.安全認證。運用雙重安全機制的身份驗證和訪問控制列表的方式對訪問者進行控制是一種有效的防止黑客破壞系統(tǒng)數(shù)據(jù)庫的方式。通常使用的身份驗證主要是:密碼認證、證物認證以及生物認證,其中使用最多的是密碼認證方式,但其安全性要比證物認證和生物認證差一線,一旦被破解就毫無安全可言了。
目前,證物認證在市場上也得到了廣泛的使用,例如在各大銀行使用的U 盾就是證物認證的例子。對于生物認證,由于其成本太高,而往往使人們更趨近于使用證物認證。
3.通過對等實體鑒別的方法可以在用戶建立連接后有效的保護數(shù)據(jù)的完整性,同時保證用戶需要在連接的存活期內(nèi)使用完整性服務并進行訛誤檢測。
五、結論
本文基于云計算平臺下考慮數(shù)據(jù)庫存在的安全性問題,通過比較集中式數(shù)據(jù)庫與云計算下的數(shù)據(jù)庫對安全問題進行深入的研究和提出一些較為妥當?shù)陌踩芾矸绞健2贿^由于云計算的安全問題存在廣泛行和復雜性,僅采取這些措施還遠遠不夠,還需要更多學者的進一步研究。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.lukmueng.com/
本文網(wǎng)址:http://m.lukmueng.com/html/support/1112186295.html
相關文章
