NoSQL數(shù)據(jù)庫是否意味著缺乏安全性？

NoSQL薄弱的安全性會給企業(yè)帶來負面影響 。Imperva公司創(chuàng)始人兼CTO Amichai Shulman如是說。在新的一年中，無疑會有更多企業(yè)開始或籌劃部署NoSQL。方案落實后就會逐漸發(fā)現(xiàn)種種安全問題，因此早做準備才是正確的選擇。 作為傳統(tǒng)關系型數(shù)據(jù)庫的替代方案，NoSQL在查詢中并不使用SQL語言，而且允許用戶隨時變更數(shù)據(jù)屬性。此類數(shù)據(jù)庫以擴展性良好著稱，并能夠在需要大量應用程序與數(shù)據(jù)庫本身進行實時交互的交易處理任務中發(fā)揮性能優(yōu)勢，Couchbase創(chuàng)始人兼產品部門高級副總裁James Phillips解釋稱：NoSQL以交易業(yè)務為核心。它更注重實時處理能力并且擅長直接對數(shù)據(jù)進行操作，大幅度促進了交互型軟件系統(tǒng)的發(fā)展。Phillips指出。其中最大的優(yōu)勢之一是能夠隨時改變(在屬性方面)，由于結構性的弱化，修改過程非常便捷。 NoSQL最大優(yōu)勢影響其安全性 NoSQL的關鍵性特色之一是其動態(tài)的數(shù)據(jù)模型，Shulman解釋道。我可以在其運作過程中加入新的屬性記錄。因此與這種結構相匹配的安全模型必須具備一定的前瞻性規(guī)劃。也就是說，它必須能夠了解數(shù)據(jù)庫引入的新屬性將引發(fā)哪些改變，以及新加入的屬性擁有哪些權限。然而這個層面上的安全概念目前尚不存在，根本沒有這樣的解決方案。 根據(jù)Phillips的說法，某些NoSQL開發(fā)商已經開始著手研發(fā)安全機制，至少在嘗試保護數(shù)據(jù)的完整性。在關系型數(shù)據(jù)庫領域，如果我們的數(shù)據(jù)組成不正確，那么它將無法與結構并行運作，換言之數(shù)據(jù)插入操作整體將宣告失敗。目前各種驗證規(guī)則與完整性檢查已經比較完善，而事實證明這些驗證機制都能在NoSQL中發(fā)揮作用。我們與其他人所推出的解決方案類似，都會在插入一條新記錄或是文檔型規(guī)則時觸發(fā)，并在執(zhí)行過程中確保插入數(shù)據(jù)的正確性。 Shulman預計新用戶很快將在配置方面捅出大婁子，這并非因為IT工作人員的玩忽職守，實際上主要原因是NoSQL作為一項新技術導致大多數(shù)人對其缺乏足夠的知識基礎。Application Security研發(fā)部門TeamSHATTER的經理Alex Rothacker對上述觀點表示贊同。他指出，培訓的一大問題在于，大多數(shù)NoSQL的從業(yè)者往往屬于新生代IT人士，他們對于技術了解較多，但往往缺乏足夠的安全管理經驗。 如果他們從傳統(tǒng)關系型數(shù)據(jù)庫入手，那么由于強制性安全機制的完備，他們可以在使用中學習。但NoSQL，只有行家才能通過觀察得出正確結論，并在大量研究工作后找到一套完備的安全解決方案。因此可能有90%的從業(yè)者由于知識儲備、安全經驗或是工作時間的局限而無法做到這一點。 NoSQL需在安全性方面進行優(yōu)化 盡管Phillips認同新技術與舊經驗之間存在差異，但企業(yè)在推廣NoSQL時加大對安全性的關注會起到很大程度的積極作用。他認為此類數(shù)據(jù)存儲機制與傳統(tǒng)關系類數(shù)據(jù)庫相比，其中包含著的敏感類信息更少，而且與企業(yè)網絡內部其它應用程序的接觸機會也小得多。 他們并不把這項新技術完全當成數(shù)據(jù)庫使用，正如我們在收集整理大量來自其它應用程序的業(yè)務類數(shù)據(jù)時，往往也會考慮將其作為企業(yè)數(shù)據(jù)存儲機制一樣，他補充道。當然，如果我打算研發(fā)一套具備某種特定功能的社交網絡、社交游戲或是某種特殊web應用程序，也很可能會將其部署于防火墻之下。這樣一來它不僅與應用程序緊密結合，也不會被企業(yè)中的其它部門所觸及。 但Rothacker同時表示，這種過度依賴周邊安全機制的數(shù)據(jù)庫系統(tǒng)也存在著極其危險的漏洞。一旦系統(tǒng)完全依附于周邊安全模型，那么驗證機制就必須相對薄弱，而且缺乏多用戶管理及數(shù)據(jù)訪問方面的安全保護。只要擁有高權限賬戶，我們幾乎能訪問存儲機制中的一切數(shù)據(jù)。舉例來說，Brian Sullivan就在去年的黑帽大會上演示了如何在完全不清楚數(shù)據(jù)具體內容的情況下，將其信息羅列出來甚至導出。 而根據(jù)nCircle公司CTO Tim ‘TK’ Keanini的觀點，即使是與有限的應用程序相關聯(lián)，NoSQL也很有可能被暴露在互聯(lián)網上。在缺少嚴密網絡劃分的情況下，它可能成為攻擊者窺探存儲數(shù)據(jù)的薄弱環(huán)節(jié)。因為NoSQL在設計上主要用于互聯(lián)網規(guī)模的部署，所以它很可能被直接連接到互聯(lián)網中，進而面臨大量攻擊行為。 其中發(fā)生機率最高的攻擊行為就是注入式攻擊，這也是一直以來肆虐于關系類數(shù)據(jù)庫領域的頭號公敵。盡管NoSQL沒有將SQL作為查詢語言，也并不代表它能夠免受注入式攻擊的威脅。雖然不少人宣稱SQL注入在NoSQL這邊不起作用，但其中的原理是完全一致的。攻擊者需要做的只是改變自己注入內容的語法形式，Rothacker解釋稱。也就是說雖然SQL注入不會出現(xiàn)，但JavaScript注入或者JSON注入同樣能威脅安全。 此外，攻擊者在籌劃對這類數(shù)據(jù)庫展開侵襲時，也很可能進一步優(yōu)化自己的工具。不成熟的安全技術往往帶來這樣的窘境：需要花費大量時間學習如何保障其安全，但幾乎每個IT人士都能迅速掌握攻擊活動的組織方法。因此我認為攻擊者將會始終走在安全部署的前面，Shulman說道。遺憾的是搞破壞總比防范工作更容易，而我們已經看到不少NoSQL技術方面的公開漏洞，尤其是目前引起熱議的、以JSON注入為載體的攻擊方式。 NoSQL安全性并非其阻礙 然而，這一切都不應該成為企業(yè)使用NoSQL的阻礙，他總結道。我認為歸根結底，這應該算是企業(yè)的一種商業(yè)決策。只要這種選擇能夠帶來吸引力巨大的商業(yè)機遇，就要承擔一定風險，Shulman解釋道。但應該采取一定措施以盡量弱化這種風險。 舉例來說，鑒于數(shù)據(jù)庫對外部安全機制的依賴性，Rothacker建議企業(yè)積極考慮引入加密方案。他警告稱，企業(yè)必須對與NoSQL相對接的應用程序代碼仔細檢查。換言之，企業(yè)必須嚴格挑選負責此類項目部署的人選，確保將最好的人才用于這方面事務，Shulman表示。當大家以NoSQL為基礎編寫應用程序時，必須啟用有經驗的編程人員，因為客戶端軟件是抵擋安全問題的第一道屏障。切實為額外緩沖區(qū)的部署留出時間與預算，這能夠讓員工有閑暇反思自己的工作內容并盡量多顧及安全考量多想一點就是進步。綜上所述，這可能與部署傳統(tǒng)的關系類數(shù)據(jù)庫也沒什么不同。 具有諷刺意味的是，近年來數(shù)據(jù)庫應用程序在安全性方面的提升基本都跟數(shù)據(jù)庫本身沒什么關系，nCircle公司安全研究及開發(fā)部門總監(jiān)Oliver Lavery如是說。

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網綜合服務，包含不限于做網站、成都網站設計、夷陵網絡推廣、微信小程序定制開發(fā)、夷陵網絡營銷、夷陵企業(yè)策劃、夷陵品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)公司為所有大學生創(chuàng)業(yè)者提供夷陵建站搭建服務，24小時服務熱線：028-86922220，官方網址：www.cdcxhl.com

NoSql如何查詢數(shù)據(jù)，除了可用SQL語言查，是否還可以用其他高級編程語言査?

每種nosql都有自己的語法。跟t-sql類數(shù)據(jù)庫的方式類似。但。不是用sql語句。而是他自身定義的讀取語句

如何設計出一款NoSql數(shù)據(jù)庫系統(tǒng)？

思路如下：

1 數(shù)據(jù)庫要以某種格式保存到磁盤上

2 有利于對數(shù)據(jù)的保存，查詢以及修改的語法

3 要支持高級編程語言，結合應用程序的api接口