一、引言
伴隨科學技術的快速發展,人們對設備也提出了更高的要求,例如:數據存儲容量和運算速度的需求。另外,網絡上大量存在一些沒有得到充分利用的計算設備,在數據存儲和處理能力上也越來越滿足不了企業單位。正是由于日益增長的存儲以及計算的需求與網絡上存在的資源之間的矛盾,促使云計算的產生,也使它成為當今IT 領域的一個研究熱點。
云計算說一種采用虛擬化技術,它能使用戶能夠不需要了解它具體的運行機制,而只需要簡單通過網絡連接到云計算服務端來獲取自己所需要的服務,這不僅提高了網絡資源的利用率,實現更大程度上的網絡資源共享,而且節省了很多硬件資源的開銷。正是由于云計算帶來的便捷性,從而促使用戶頻繁的在云計算平臺下進行交互,對此,云計算下數據庫安全的問題成為我們需要解決的主要問題。
二、云計算的特點
雖然,云計算在實際生活中得到了一些應用,但是對于云計算卻仍然沒有得到普遍一致的定義。中國云計算網為云計算機定義如下:云計算(cloud computing)是一種基于因特網的超級計算模式,在遠程的數據中心里,成千上萬臺電腦和服務器連接成一片電腦云。中國網格計算、云計算專家劉鵬定義如下:“云計算將計算任務分布在大量計算機構成的資源池上,使各種應用系統能夠根據需要獲取計算力、存儲空間和各種軟件服務”。
(一)透明性
云計算提供的是軟、硬件的服務。一般情況下,服務的實現機制對用戶來說是透明的。用戶無需了解云計算的具體機制,就可以獲得所需要的服務,具有很強的易用性。
(二)規模大
云計算規模非常大,例如,Google 云計算擁有上百多萬臺服務器,同時像Amazon、IBM、微軟、Yahoo 等的“云”也擁有幾十萬臺服務器。對于一般企業而言,云計算一般擁有成百上千臺個服務器。“云”所帶來的計算能力說用戶前所未聞的。
(三)虛擬化
用戶可以在任意時間、任意地點,通過自己的終端(例如:手機,電腦等)連接云計算服務端獲取自己所需要的服務。它并不是一個可形狀化得實體,也不具有固體的位置,用戶甚至不需要了解“云”的具體運行機制。
(四)通用性和可擴展性
在云計算平臺下,同一個“云”可以同時支持不同的應用在其服務端運行,它可以根據不同的用戶需求,構造出各種各樣的應用。并且云計算機可以大規模的擴展其子節點,甚至可以再促使幾千個節點同時處理不同的應用。伴隨著用戶規模的增長以及應用規模的增加,它具有動態的伸縮性。
三、相關問題
隨著云計算時代的到來,在互聯網的應用的類型已經很多,對于與它相關的技術指標也提出了新的要求,例如:數據模型、分布式架構、數據存儲等數據庫相關的技術。目前,傳統的關系型數據庫占有重要的地位,但由于存在讀寫方面不夠快,數據節點不易擴展以及在前期的建設后期維護和運營成本上的代價太高的問題。在本節中,我們將介紹傳統數據庫存在的一些安全隱患,并描述在云計算時代下的數據庫安全新問題,通過比較,分析,探究解決安全問題的方法。
(一)云背景下的數據庫安全問題
云計算時代對數據庫技術提出了新的需求,主要表現在以下幾個方面:
1.海量數據處理:對類似搜索引擎和電信運營商級的經營分析系統這樣大型的應用而言,需要能夠處理PB 級的數據,同時應對百萬級的流量。
2.大規模集群管理:分布式應用可以更加簡單地部署、應用和管理。
3.低延遲讀寫速度:快速的響應速度能夠極大地提高用戶的滿意度。
4.建設及運營成本:云計算應用的基本要求是希望在硬件成本、軟件成本以及人力成本方面都有大幅度的降低。
由于云計算發展時間很短,加上技術不成熟,云環境數據庫在安全方面仍然存在一些缺陷,主要有以下問題:
但是基于云計算的數據庫仍然存在一些安全方面的問題,主要是一下幾點:
(1)區域劃分。關系數據庫主要通過物理上和邏輯上來劃分安全域,可以明確的劃分邊界和保護設備用戶。但是在云環境下卻難以實現。
(2)非授權訪問。非授權訪問主要是指沒有得到相應的權限,卻能夠任意訪問計算機網絡中的各種資源。在云環境下,一般是云服務提供商具有對數據最優先的訪問權限,而不是個人或者企業,這是云計算存在的安全問題之一,如何合理分配數據有限訪問權限是當前的一個關鍵問題。
(3)數據一致性。為了保證數據的一致性,云計算環境下的數據庫一般采用冗余的存儲數據的方式。對每個用戶或者企業的數據創建多個拷貝,并把這些拷貝轉發給不同服務器站點。而差量存儲和增量存儲是很少使用的。雖然如此一來確定了數據的可靠性以及可用性卻往往忽視的數據的一致性。如何均衡三者之間的關系,將是研究者需要努力解決的。
(4)數據完整性與保密性。由于云計算發展的不夠成熟,數據在傳輸和保存過程中很可能存在失密性,從而會被黑客或不法分子對一些重要的資料以及信息進行刪除、修改或重發某些重要信息而改變信息的真實性,導致用戶的不能夠正常使用。另外對于擁有最高優先權限的云服務提供商的問題而出現重要的信息的被公布的事情發生。
四、對應策略
(一)傳統數據庫安全策略
保護數據以防止未授權的使用而導致數據被惡意更改、刪除泄露數據的安全性的重要問題。數據庫安全性包含兩方面:第一方面是自身電腦系統的安全性,很多網絡非法用戶通過網絡手段破壞電腦操作系統的正常運行,甚至導致電腦系統癱瘓。另一方面是指數據庫系統的安全性,通常不法分子通過SQL 注入的方式對數據庫植入木馬程序,通過病毒或者惡意軟件對數據庫系統的原始數據進行篡改或者盜取重要的數據信息。
1.強制存取控制。為了保證數據庫系統的安全性,通常采取的是強制存取檢測方式,它是保證數據庫系統安全的重要的一環。強制存取控制是通過對每一個數據進行嚴格的分配不同的密級,例如政府,信息部門。在強制存取控制中,DBMS 所管理的全部實體被分為主體和客體兩大類。主體是系統中的活動實體,它不僅包括DBMS 被管理的實際用戶,也包括代表用戶的各進程。客體是系統中的被動實體,是受主體操縱的,包括文件、基表、索引、視圖等等。對于主體和客體,DBMS 為它們每個實例(值)指派一個敏感度標記。主客體各自被賦予相應的安全級,主體的安全級反映主體的可信度,而客體的安全級反映客體所含信息的敏感程度。對于病毒和惡意軟件的攻擊可以通過強制存取控制策略進行防范。但強制存取控制并不能從根本上避免攻擊的問題,但可以有從較高安全性級別程序向較低安全性級別程序進行信息傳遞。
2.審計。審計是將用戶操作數據庫的所有記錄存儲在審計日志(Audit Log)中,它對將來出現問題時可以方便調查和分析有重要的作用。對于系統出現問題,可以很快得找出非法存取數據的時間、內容以及相關的人。從軟件工程的角度上看,目前通過存取控制、數據加密的方式對數據進行保護是不夠的。因此,作為重要的補充手段,審計方式是安全的數據庫系統不可缺少的一部分,也是數據庫系統的最后一道重要的安全防線。
3.數據庫數據加密。數據加密可以有效防止數據庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過密鑰的保護是數據庫加密技術的重要手段,但如果采用同種的密鑰來管理所有數據的話,對于一些不法用戶可以采用暴力破解的方法進行攻擊。但通過不同版本的密鑰對不同的數據信息進行加密處理的話,可以大大提高數據庫數據的安全強度。這種方式主要的表現形式是在解密時必須對應匹配的密鑰版本,加密時就盡量的挑選最新技術的版本。
(二)云環境下的數據庫安全策略
通過結合實際的經驗,云計算數據庫的安全問題是不僅是個范圍廣大而且是個相當復雜的問題,對此我們提出如下三點安全策略:
1.在云計算環境數據庫中的數據設置多個不同的級別的安全域,中設立多每個安全域擁有全局主題映射和局部主題映射,對于處在不同安全域之間的操作必須進行相互鑒別。
2.安全認證。運用雙重安全機制的身份驗證和訪問控制列表的方式對訪問者進行控制是一種有效的防止黑客破壞系統數據庫的方式。通常使用的身份驗證主要是:密碼認證、證物認證以及生物認證,其中使用最多的是密碼認證方式,但其安全性要比證物認證和生物認證差一線,一旦被破解就毫無安全可言了。
目前,證物認證在市場上也得到了廣泛的使用,例如在各大銀行使用的U 盾就是證物認證的例子。對于生物認證,由于其成本太高,而往往使人們更趨近于使用證物認證。
3.通過對等實體鑒別的方法可以在用戶建立連接后有效的保護數據的完整性,同時保證用戶需要在連接的存活期內使用完整性服務并進行訛誤檢測。
五、結論
本文基于云計算平臺下考慮數據庫存在的安全性問題,通過比較集中式數據庫與云計算下的數據庫對安全問題進行深入的研究和提出一些較為妥當的安全管理方式。不過由于云計算的安全問題存在廣泛行和復雜性,僅采取這些措施還遠遠不夠,還需要更多學者的進一步研究。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:云計算時代下的數據庫安全性研究