保護(hù)大數(shù)據(jù)安全的10個要點(diǎn)

一項對2021年數(shù)據(jù)泄露的分析顯示，總共有50億份數(shù)據(jù)被泄露，這對所有參與大數(shù)據(jù)管道工作的人來說，從開發(fā)人員到DevOps工程師，安全性與基礎(chǔ)業(yè)務(wù)需求同等重要。

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比津南網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式津南網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋津南地區(qū)。費(fèi)用合理售后完善，十年實體公司更值得信賴。

大數(shù)據(jù)安全是指在存儲、處理和分析過于龐大和復(fù)雜的數(shù)據(jù)集時，采用任何措施來保護(hù)數(shù)據(jù)免受惡意活動的侵害，傳統(tǒng)數(shù)據(jù)庫應(yīng)用程序無法處理這些數(shù)據(jù)集。大數(shù)據(jù)可以混合結(jié)構(gòu)化格式(組織成包含數(shù)字、日期等的行和列)或非結(jié)構(gòu)化格式(社交媒體數(shù)據(jù)、PDF 文件、電子郵件、圖像等)。不過，估計顯示高達(dá)90%的大數(shù)據(jù)是非結(jié)構(gòu)化的。

大數(shù)據(jù)的魅力在于，它通常包含一些隱藏的洞察力，可以改善業(yè)務(wù)流程，推動創(chuàng)新，或揭示未知的市場趨勢。由于分析這些信息的工作負(fù)載通常會將敏感的客戶數(shù)據(jù)或?qū)Ｓ袛?shù)據(jù)與第三方數(shù)據(jù)源結(jié)合起來，因此數(shù)據(jù)安全性至關(guān)重要。聲譽(yù)受損和巨額經(jīng)濟(jì)損失是大數(shù)據(jù)泄露和數(shù)據(jù)被破壞的兩大主要后果。

在確保大數(shù)據(jù)安全時，需要考慮三個關(guān)鍵階段:

當(dāng)數(shù)據(jù)從源位置移動到存儲或?qū)崟r攝取(通常在云中)時，確保數(shù)據(jù)的傳輸

保護(hù)大數(shù)據(jù)管道的存儲層中的數(shù)據(jù)(例如Hadoop分布式文件系統(tǒng))

確保輸出數(shù)據(jù)的機(jī)密性，例如報告和儀表板，這些數(shù)據(jù)包含通過Apache Spark等分析引擎運(yùn)行數(shù)據(jù)收集的情報

這些環(huán)境中的安全威脅類型包括不適當(dāng)?shù)脑L問控制、分布式拒絕服務(wù)(DDoS)攻擊、產(chǎn)生虛假或惡意數(shù)據(jù)的端點(diǎn)，或在大數(shù)據(jù)工作期間使用的庫、框架和應(yīng)用程序的漏洞。

由于所涉及的架構(gòu)和環(huán)境復(fù)雜性，大數(shù)據(jù)安全面臨著許多挑戰(zhàn)。在大數(shù)據(jù)環(huán)境中，不同的硬件和技術(shù)在分布式計算環(huán)境中相互作用。比如：

像Hadoop這樣的開源框架在設(shè)計之初并沒有考慮到安全性

依賴分布式計算來處理這些大型數(shù)據(jù)集意味著有更多的系統(tǒng)可能出錯

確保從端點(diǎn)收集的日志或事件數(shù)據(jù)的有效性和真實性

控制內(nèi)部人員對數(shù)據(jù)挖掘工具的訪問，監(jiān)控可疑行為

運(yùn)行標(biāo)準(zhǔn)安全審計的困難

保護(hù)非關(guān)系NoSQL數(shù)據(jù)庫

這些挑戰(zhàn)是對保護(hù)任何類型數(shù)據(jù)的常見挑戰(zhàn)的補(bǔ)充。

靜態(tài)數(shù)據(jù)和傳輸中數(shù)據(jù)的可擴(kuò)展加密對于跨大數(shù)據(jù)管道實施至關(guān)重要?？蓴U(kuò)展性是這里的關(guān)鍵點(diǎn)，因為除了NoSQL等存儲格式之外，需要跨分析工具集及其輸出加密數(shù)據(jù)。加密的作用在于，即使威脅者設(shè)法攔截數(shù)據(jù)包或訪問敏感文件，實施良好的加密過程也會使數(shù)據(jù)不可讀。

獲得訪問控制權(quán)可針對一系列大數(shù)據(jù)安全問題提供強(qiáng)大的保護(hù)，例如內(nèi)部威脅和特權(quán)過剩?；诮巧脑L問可以幫助控制對大數(shù)據(jù)管道多層的訪問。例如，數(shù)據(jù)分析師可以訪問分析工具，但他們可能不應(yīng)該訪問大數(shù)據(jù)開發(fā)人員使用的工具，如ETL軟件。最小權(quán)限原則是訪問控制的一個很好的參考點(diǎn)，它限制了對執(zhí)行用戶任務(wù)所必需的工具和數(shù)據(jù)的訪問。

大數(shù)據(jù)工作負(fù)載所需要的固有的大存儲容量和處理能力使得大多數(shù)企業(yè)可以為大數(shù)據(jù)使用云計算基礎(chǔ)設(shè)施和服務(wù)。但是，盡管云計算很有吸引力，暴露的API密鑰、令牌和錯誤配置都是云中值得認(rèn)真對待的風(fēng)險。如果有人讓S3中的AWS數(shù)據(jù)湖完全開放，并且對互聯(lián)網(wǎng)上的任何人都可以訪問，那會怎么樣?有了自動掃描工具，可以快速掃描公共云資產(chǎn)以尋找安全盲點(diǎn)，從而更容易降低這些風(fēng)險。

在復(fù)雜的大數(shù)據(jù)生態(tài)系統(tǒng)中，加密的安全性需要一種集中的密鑰管理方法，以確保對加密密鑰進(jìn)行有效的策略驅(qū)動處理。集中式密鑰管理還可以控制從創(chuàng)建到密鑰輪換的密鑰治理。對于在云中運(yùn)行大數(shù)據(jù)工作負(fù)載的企業(yè)，自帶密鑰 (BYOK) 可能是允許集中密鑰管理而不將加密密鑰創(chuàng)建和管理的控制權(quán)交給第三方云提供商的最佳選擇。

在大數(shù)據(jù)管道中，由于數(shù)據(jù)來自許多不同的來源，包括來自社交媒體平臺的流數(shù)據(jù)和來自用戶終端的數(shù)據(jù)，因此會有持續(xù)的流量。網(wǎng)絡(luò)流量分析提供了對網(wǎng)絡(luò)流量和任何潛在異常的可見性，例如來自物聯(lián)網(wǎng)設(shè)備的惡意數(shù)據(jù)或正在使用的未加密通信協(xié)議。

2021年的一份報告發(fā)現(xiàn)，98%的組織感到容易受到內(nèi)部攻擊。在大數(shù)據(jù)的背景下，內(nèi)部威脅對敏感公司信息的機(jī)密性構(gòu)成嚴(yán)重風(fēng)險。有權(quán)訪問分析報告和儀表板的惡意內(nèi)部人員可能會向競爭對手透露見解，甚至提供他們的登錄憑據(jù)進(jìn)行銷售。從內(nèi)部威脅檢測開始的一個好地方是檢查常見業(yè)務(wù)應(yīng)用程序的日志，例如 RDP、VPN、Active Directory 和端點(diǎn)。這些日志可以揭示值得調(diào)查的異常情況，例如意外的數(shù)據(jù)下載或異常的登錄時間。

威脅搜尋主動搜索潛伏在您的網(wǎng)絡(luò)中未被發(fā)現(xiàn)的威脅。這個過程需要經(jīng)驗豐富的網(wǎng)絡(luò)安全分析師的技能組合，利用來自現(xiàn)實世界的攻擊、威脅活動的情報或來自不同安全工具的相關(guān)發(fā)現(xiàn)來制定關(guān)于潛在威脅的假設(shè)。具有諷刺意味的是，大數(shù)據(jù)實際上可以通過發(fā)現(xiàn)大量安全數(shù)據(jù)中隱藏的洞察力來幫助改進(jìn)威脅追蹤工作。但作為提高大數(shù)據(jù)安全性的一種方式，威脅搜尋會監(jiān)控數(shù)據(jù)集和基礎(chǔ)設(shè)施，以尋找表明大數(shù)據(jù)環(huán)境受到威脅的工件。

出于安全目的監(jiān)視大數(shù)據(jù)日志和工具會產(chǎn)生大量信息，這些信息通常最終形成安全信息和事件管理(SIEM)解決方案。

用戶行為分析比內(nèi)部威脅檢測更進(jìn)一步，它提供了專門的工具集來監(jiān)控用戶在與其交互的系統(tǒng)上的行為。通常情況下，行為分析使用一個評分系統(tǒng)來創(chuàng)建正常用戶、應(yīng)用程序和設(shè)備行為的基線，然后在這些基線出現(xiàn)偏差時進(jìn)行提醒。通過用戶行為分析，可以更好地檢測威脅大數(shù)據(jù)環(huán)境中資產(chǎn)的保密性、完整性或可用性的內(nèi)部威脅和受損的用戶帳戶。

未經(jīng)授權(quán)的數(shù)據(jù)傳輸?shù)那熬白尠踩I(lǐng)導(dǎo)者徹夜難眠，特別是如果數(shù)據(jù)泄露發(fā)生在可以復(fù)制大量潛在敏感資產(chǎn)的大數(shù)據(jù)管道中。檢測數(shù)據(jù)泄露需要對出站流量、IP地址和流量進(jìn)行深入監(jiān)控。防止數(shù)據(jù)泄露首先來自于在代碼和錯誤配置中發(fā)現(xiàn)有害安全錯誤的工具，以及數(shù)據(jù)丟失預(yù)防和下一代防火墻。另一個重要方面是在企業(yè)內(nèi)進(jìn)行教育和提高認(rèn)識。

框架、庫、軟件實用程序、數(shù)據(jù)攝取、分析工具和自定義應(yīng)用程序——大數(shù)據(jù)安全始于代碼級別。 無論是否實施了上述公認(rèn)的安全實踐，代碼中的安全缺陷都可能導(dǎo)致數(shù)據(jù)泄漏。 通過在軟件開發(fā)生命周期中檢測自研代碼及開源組件成分的安全性，加強(qiáng)軟件安全性來防止數(shù)據(jù)丟失。

什么是NoSQL數(shù)據(jù)庫？

NoSQL,指的是非關(guān)系型的數(shù)據(jù)庫。

NoSQL 是Not Only SQL 的縮寫,意思是“不僅僅是 SQL”,而不是“不使用 SQL”。

NoSQL 的出現(xiàn)可以解決傳統(tǒng)關(guān)系型數(shù)據(jù)庫所不能解決的問題。

又一數(shù)據(jù)庫高危漏洞爆出，數(shù)據(jù)安全如何有效保障？

2021年7月22日，Redis官方和開源Redis社區(qū)先后發(fā)布公告，披露了CVE-2021-32761 Redis（32位）遠(yuǎn)程代碼執(zhí)行漏洞。在32位Redis中，攻擊者在Redis存在未授權(quán)訪問的情況下可利用*BIT*命令與proto-max-bulk-len配置參數(shù)可能造成整形溢出，最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行，本次漏洞等級為高危級別。需要說明的是，本次開源Redis的安全漏洞并不影響現(xiàn)網(wǎng)華為云GaussDB(for Redis)的任何實例，已經(jīng)在使用華為云GaussDB(for Redis)的用戶請繼續(xù)放心使用。

通過本次漏洞可以發(fā)現(xiàn)，開源Redis對BITFIELD等命令的代碼實現(xiàn)上存在問題，導(dǎo)致了對string數(shù)據(jù)類型的操作存在安全隱患。隨時可能被惡意觸發(fā)整形溢出BUG，甚至還會被惡意執(zhí)行遠(yuǎn)程代碼。因此，給了黑客可乘之機(jī)。本次漏洞的代碼修復(fù)已經(jīng)發(fā)布，官方建議用戶盡快升級到開源Redis6.2.5, 6.0.15, 5.0.13這三個安全版本。

那么，對于此類數(shù)據(jù)庫安全漏洞該如何防患于未然呢？

數(shù)據(jù)庫漏洞屬于軟件漏洞中的一種，主要是被用來突破系統(tǒng)的安全策略。數(shù)據(jù)庫漏洞往往會影響很大一個范圍，除了影響數(shù)據(jù)庫自身，還包括數(shù)據(jù)庫所在操作系統(tǒng)和數(shù)據(jù)庫所在局域網(wǎng)的整體安全。通常來說，防范和補(bǔ)救措施有：1. 緊跟官方通知，排查并升級數(shù)據(jù)庫到安全版本。本次漏洞事件中，開源Redis用戶應(yīng)第一時間完成升級；2. 若短時無法升級，則從服務(wù)端開啟訪問限制，禁用危險命令；3. 通過白名單訪問IP等安全策略，提高入侵難度；4. 選擇可靠的云服務(wù)廠商，比如遷移至華為云數(shù)據(jù)庫GaussDB(for Redis)，可全方位保障數(shù)據(jù)的安全可靠。

1.全新數(shù)據(jù)編碼更安全： 華為云數(shù)據(jù)庫GaussDB(for Redis)采用先進(jìn)存算分離架構(gòu)，兼容Redis協(xié)議，提供海量數(shù)據(jù)的持久化存儲。在代碼實現(xiàn)上完全自研，采用全新數(shù)據(jù)編碼，更高效，空間使用率也更高。內(nèi)部每種命令的實現(xiàn)并不依賴開源Redis，因此，不會受到類似本次開源Redis安全漏洞的影響。

2. 安全防護(hù)體系全面保障： 基于華為云可靠的現(xiàn)網(wǎng)安全體系，使用GaussDB(forRedis)的用戶可以隨時制定自己的白名單IP訪問策略。還可以通過虛擬私有云、子網(wǎng)、安全組、DDoS防護(hù)以及SSL安全訪問等多層安全防護(hù)體系，有力地抗擊各種惡意攻擊，保證數(shù)據(jù)安全，不給未知來源的惡意訪問留有任何機(jī)會。

華為云數(shù)據(jù)庫GaussDB(forRedis)是一款完全自研的旗艦產(chǎn)品，是支持Redis協(xié)議的NoSQL數(shù)據(jù)庫，而不是緩存。與開源Redis最大的區(qū)別是，它具備存算分離架構(gòu)，提供強(qiáng)大的數(shù)據(jù)存儲能力，包括強(qiáng)一致、彈性擴(kuò)縮容等高級特性。GaussDB(for Redis)為用戶帶來了更低成本、更大容量、更高可靠、且彈性伸縮的極佳產(chǎn)品體驗。

對于正在使用開源Redis2.6以上各版本的用戶，GaussDB(for Redis)還提供了一站式的遷移服務(wù)，無需技術(shù)門檻，操作簡單快捷，僅需分鐘級就能搭建起遷移任務(wù)，讓整個環(huán)境搭建“高效快速”，為企業(yè)上云保駕護(hù)航，再無安全之憂。

伴隨數(shù)據(jù)價值的不斷提升，作為海量數(shù)據(jù)的載體，數(shù)據(jù)庫所需面對的安全隱患和風(fēng)險也水漲船高，但無論是DBA還是云服務(wù)廠商都應(yīng)該樹立良好的安全意識，才能更好的保障數(shù)據(jù)庫安全。華為云數(shù)據(jù)庫將持續(xù)滿足不同數(shù)據(jù)庫的安全防護(hù)需求，為數(shù)據(jù)庫及數(shù)據(jù)安全建設(shè)發(fā)展提供有力支撐，讓用戶對數(shù)據(jù)使用更自由、更安全！

一、NoSQL數(shù)據(jù)庫簡介

Web1.0的時代，數(shù)據(jù)訪問量很有限，用一夫當(dāng)關(guān)的高性能的單點(diǎn)服務(wù)器可以解決大部分問題。

隨著Web2.0的時代的到來，用戶訪問量大幅度提升，同時產(chǎn)生了大量的用戶數(shù)據(jù)。加上后來的智能移動設(shè)備的普及，所有的互聯(lián)網(wǎng)平臺都面臨了巨大的性能挑戰(zhàn)。

NoSQL(NoSQL = Not Only SQL )，意即“不僅僅是SQL”，泛指非關(guān)系型的數(shù)據(jù)庫。

NoSQL 不依賴業(yè)務(wù)邏輯方式存儲，而以簡單的key-value模式存儲。因此大大的增加了數(shù)據(jù)庫的擴(kuò)展能力。

Memcache Memcache Redis Redis MongoDB MongoDB 列式數(shù)據(jù)庫 列式數(shù)據(jù)庫 Hbase Hbase

HBase是Hadoop項目中的數(shù)據(jù)庫。它用于需要對大量的數(shù)據(jù)進(jìn)行隨機(jī)、實時的讀寫操作的場景中。

HBase的目標(biāo)就是處理數(shù)據(jù)量非常龐大的表，可以用普通的計算機(jī)處理超過10億行數(shù)據(jù)，還可處理有數(shù)百萬列元素的數(shù)據(jù)表。

Cassandra Cassandra

Apache Cassandra是一款免費(fèi)的開源NoSQL數(shù)據(jù)庫，其設(shè)計目的在于管理由大量商用服務(wù)器構(gòu)建起來的龐大集群上的海量數(shù)據(jù)集(數(shù)據(jù)量通常達(dá)到PB級別)。在眾多顯著特性當(dāng)中，Cassandra最為卓越的長處是對寫入及讀取操作進(jìn)行規(guī)模調(diào)整，而且其不強(qiáng)調(diào)主集群的設(shè)計思路能夠以相對直觀的方式簡化各集群的創(chuàng)建與擴(kuò)展流程。

主要應(yīng)用：社會關(guān)系，公共交通網(wǎng)絡(luò)，地圖及網(wǎng)絡(luò)拓譜(n*(n-1)/2)

NoSQL數(shù)據(jù)庫是否意味著缺乏安全性？

NoSQL薄弱的安全性會給企業(yè)帶來負(fù)面影響 。Imperva公司創(chuàng)始人兼CTO Amichai Shulman如是說。在新的一年中，無疑會有更多企業(yè)開始或籌劃部署NoSQL。方案落實后就會逐漸發(fā)現(xiàn)種種安全問題，因此早做準(zhǔn)備才是正確的選擇。 作為傳統(tǒng)關(guān)系型數(shù)據(jù)庫的替代方案，NoSQL在查詢中并不使用SQL語言，而且允許用戶隨時變更數(shù)據(jù)屬性。此類數(shù)據(jù)庫以擴(kuò)展性良好著稱，并能夠在需要大量應(yīng)用程序與數(shù)據(jù)庫本身進(jìn)行實時交互的交易處理任務(wù)中發(fā)揮性能優(yōu)勢，Couchbase創(chuàng)始人兼產(chǎn)品部門高級副總裁James Phillips解釋稱：NoSQL以交易業(yè)務(wù)為核心。它更注重實時處理能力并且擅長直接對數(shù)據(jù)進(jìn)行操作，大幅度促進(jìn)了交互型軟件系統(tǒng)的發(fā)展。Phillips指出。其中最大的優(yōu)勢之一是能夠隨時改變(在屬性方面)，由于結(jié)構(gòu)性的弱化，修改過程非常便捷。 NoSQL最大優(yōu)勢影響其安全性 NoSQL的關(guān)鍵性特色之一是其動態(tài)的數(shù)據(jù)模型，Shulman解釋道。我可以在其運(yùn)作過程中加入新的屬性記錄。因此與這種結(jié)構(gòu)相匹配的安全模型必須具備一定的前瞻性規(guī)劃。也就是說，它必須能夠了解數(shù)據(jù)庫引入的新屬性將引發(fā)哪些改變，以及新加入的屬性擁有哪些權(quán)限。然而這個層面上的安全概念目前尚不存在，根本沒有這樣的解決方案。 根據(jù)Phillips的說法，某些NoSQL開發(fā)商已經(jīng)開始著手研發(fā)安全機(jī)制，至少在嘗試保護(hù)數(shù)據(jù)的完整性。在關(guān)系型數(shù)據(jù)庫領(lǐng)域，如果我們的數(shù)據(jù)組成不正確，那么它將無法與結(jié)構(gòu)并行運(yùn)作，換言之?dāng)?shù)據(jù)插入操作整體將宣告失敗。目前各種驗證規(guī)則與完整性檢查已經(jīng)比較完善，而事實證明這些驗證機(jī)制都能在NoSQL中發(fā)揮作用。我們與其他人所推出的解決方案類似，都會在插入一條新記錄或是文檔型規(guī)則時觸發(fā)，并在執(zhí)行過程中確保插入數(shù)據(jù)的正確性。 Shulman預(yù)計新用戶很快將在配置方面捅出大婁子，這并非因為IT工作人員的玩忽職守，實際上主要原因是NoSQL作為一項新技術(shù)導(dǎo)致大多數(shù)人對其缺乏足夠的知識基礎(chǔ)。Application Security研發(fā)部門TeamSHATTER的經(jīng)理Alex Rothacker對上述觀點(diǎn)表示贊同。他指出，培訓(xùn)的一大問題在于，大多數(shù)NoSQL的從業(yè)者往往屬于新生代IT人士，他們對于技術(shù)了解較多，但往往缺乏足夠的安全管理經(jīng)驗。 如果他們從傳統(tǒng)關(guān)系型數(shù)據(jù)庫入手，那么由于強(qiáng)制性安全機(jī)制的完備，他們可以在使用中學(xué)習(xí)。但NoSQL，只有行家才能通過觀察得出正確結(jié)論，并在大量研究工作后找到一套完備的安全解決方案。因此可能有90%的從業(yè)者由于知識儲備、安全經(jīng)驗或是工作時間的局限而無法做到這一點(diǎn)。 NoSQL需在安全性方面進(jìn)行優(yōu)化 盡管Phillips認(rèn)同新技術(shù)與舊經(jīng)驗之間存在差異，但企業(yè)在推廣NoSQL時加大對安全性的關(guān)注會起到很大程度的積極作用。他認(rèn)為此類數(shù)據(jù)存儲機(jī)制與傳統(tǒng)關(guān)系類數(shù)據(jù)庫相比，其中包含著的敏感類信息更少，而且與企業(yè)網(wǎng)絡(luò)內(nèi)部其它應(yīng)用程序的接觸機(jī)會也小得多。 他們并不把這項新技術(shù)完全當(dāng)成數(shù)據(jù)庫使用，正如我們在收集整理大量來自其它應(yīng)用程序的業(yè)務(wù)類數(shù)據(jù)時，往往也會考慮將其作為企業(yè)數(shù)據(jù)存儲機(jī)制一樣，他補(bǔ)充道。當(dāng)然，如果我打算研發(fā)一套具備某種特定功能的社交網(wǎng)絡(luò)、社交游戲或是某種特殊web應(yīng)用程序，也很可能會將其部署于防火墻之下。這樣一來它不僅與應(yīng)用程序緊密結(jié)合，也不會被企業(yè)中的其它部門所觸及。 但Rothacker同時表示，這種過度依賴周邊安全機(jī)制的數(shù)據(jù)庫系統(tǒng)也存在著極其危險的漏洞。一旦系統(tǒng)完全依附于周邊安全模型，那么驗證機(jī)制就必須相對薄弱，而且缺乏多用戶管理及數(shù)據(jù)訪問方面的安全保護(hù)。只要擁有高權(quán)限賬戶，我們幾乎能訪問存儲機(jī)制中的一切數(shù)據(jù)。舉例來說，Brian Sullivan就在去年的黑帽大會上演示了如何在完全不清楚數(shù)據(jù)具體內(nèi)容的情況下，將其信息羅列出來甚至導(dǎo)出。 而根據(jù)nCircle公司CTO Tim ‘TK’ Keanini的觀點(diǎn)，即使是與有限的應(yīng)用程序相關(guān)聯(lián)，NoSQL也很有可能被暴露在互聯(lián)網(wǎng)上。在缺少嚴(yán)密網(wǎng)絡(luò)劃分的情況下，它可能成為攻擊者窺探存儲數(shù)據(jù)的薄弱環(huán)節(jié)。因為NoSQL在設(shè)計上主要用于互聯(lián)網(wǎng)規(guī)模的部署，所以它很可能被直接連接到互聯(lián)網(wǎng)中，進(jìn)而面臨大量攻擊行為。 其中發(fā)生機(jī)率最高的攻擊行為就是注入式攻擊，這也是一直以來肆虐于關(guān)系類數(shù)據(jù)庫領(lǐng)域的頭號公敵。盡管NoSQL沒有將SQL作為查詢語言，也并不代表它能夠免受注入式攻擊的威脅。雖然不少人宣稱SQL注入在NoSQL這邊不起作用，但其中的原理是完全一致的。攻擊者需要做的只是改變自己注入內(nèi)容的語法形式，Rothacker解釋稱。也就是說雖然SQL注入不會出現(xiàn)，但JavaScript注入或者JSON注入同樣能威脅安全。 此外，攻擊者在籌劃對這類數(shù)據(jù)庫展開侵襲時，也很可能進(jìn)一步優(yōu)化自己的工具。不成熟的安全技術(shù)往往帶來這樣的窘境：需要花費(fèi)大量時間學(xué)習(xí)如何保障其安全，但幾乎每個IT人士都能迅速掌握攻擊活動的組織方法。因此我認(rèn)為攻擊者將會始終走在安全部署的前面，Shulman說道。遺憾的是搞破壞總比防范工作更容易，而我們已經(jīng)看到不少NoSQL技術(shù)方面的公開漏洞，尤其是目前引起熱議的、以JSON注入為載體的攻擊方式。 NoSQL安全性并非其阻礙 然而，這一切都不應(yīng)該成為企業(yè)使用NoSQL的阻礙，他總結(jié)道。我認(rèn)為歸根結(jié)底，這應(yīng)該算是企業(yè)的一種商業(yè)決策。只要這種選擇能夠帶來吸引力巨大的商業(yè)機(jī)遇，就要承擔(dān)一定風(fēng)險，Shulman解釋道。但應(yīng)該采取一定措施以盡量弱化這種風(fēng)險。 舉例來說，鑒于數(shù)據(jù)庫對外部安全機(jī)制的依賴性，Rothacker建議企業(yè)積極考慮引入加密方案。他警告稱，企業(yè)必須對與NoSQL相對接的應(yīng)用程序代碼仔細(xì)檢查。換言之，企業(yè)必須嚴(yán)格挑選負(fù)責(zé)此類項目部署的人選，確保將最好的人才用于這方面事務(wù)，Shulman表示。當(dāng)大家以NoSQL為基礎(chǔ)編寫應(yīng)用程序時，必須啟用有經(jīng)驗的編程人員，因為客戶端軟件是抵擋安全問題的第一道屏障。切實為額外緩沖區(qū)的部署留出時間與預(yù)算，這能夠讓員工有閑暇反思自己的工作內(nèi)容并盡量多顧及安全考量多想一點(diǎn)就是進(jìn)步。綜上所述，這可能與部署傳統(tǒng)的關(guān)系類數(shù)據(jù)庫也沒什么不同。 具有諷刺意味的是，近年來數(shù)據(jù)庫應(yīng)用程序在安全性方面的提升基本都跟數(shù)據(jù)庫本身沒什么關(guān)系，nCircle公司安全研究及開發(fā)部門總監(jiān)Oliver Lavery如是說。

簡答大數(shù)據(jù)安全的特征?

大數(shù)據(jù)安全面臨著許多挑戰(zhàn)，需要通過研究關(guān)鍵技術(shù)、制定安全管理策略來應(yīng)對這些挑戰(zhàn)。當(dāng)前，大數(shù)據(jù)的應(yīng)用和發(fā)展面臨著許多安全問題，具體來說有以下幾個方面。（1）大數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)在網(wǎng)絡(luò)空間中，大數(shù)據(jù)是更容易被“發(fā)現(xiàn)”的大目標(biāo)，承載著越來越多的關(guān)注度。一方面，大數(shù)據(jù)不僅意味著海量的數(shù)據(jù)，也意味著更復(fù)雜、更敏感的數(shù)據(jù)，這些數(shù)據(jù)會吸引更多的潛在攻擊者，成為更具吸引力的目標(biāo)；另一方面，數(shù)據(jù)的大量聚集，使黑客一次成功的攻擊能夠獲得更多的數(shù)據(jù)，無形中降低了黑客的進(jìn)攻成本，增加了“收益率”。（2）大數(shù)據(jù)加大隱私泄露風(fēng)險從基礎(chǔ)技術(shù)角度看，Hadoop對數(shù)據(jù)的聚合增加了數(shù)據(jù)泄露的風(fēng)險。作為一個分布式系統(tǒng)架構(gòu)，Hadoop可以用來應(yīng)對PB甚至ZB級的海量數(shù)據(jù)存儲；作為一個云化的平臺，Hadoop自身存在云計算面臨的安全風(fēng)險，企業(yè)需要實施安全訪問機(jī)制和數(shù)據(jù)保護(hù)機(jī)制。同樣，大數(shù)據(jù)依托的基礎(chǔ)技術(shù)——NoSQL（非關(guān)系型數(shù)據(jù)庫）與當(dāng)前廣泛應(yīng)用的SQL（關(guān)系型數(shù)據(jù)庫）技術(shù)不同，沒有經(jīng)過長期改進(jìn)和完善，在維護(hù)數(shù)據(jù)安全方面也未設(shè)置嚴(yán)格的訪問控制和隱私管理機(jī)制。NoSQL技術(shù)還因大數(shù)據(jù)中數(shù)據(jù)來源和承載方式的多樣性，使企業(yè)很難定位和保護(hù)其中的機(jī)密信息，這是NoSQL內(nèi)在安全機(jī)制的不完善，即缺乏機(jī)密性和完整性。另外，NoSQL對來自不同系統(tǒng)、不同應(yīng)用程序及不同活動的數(shù)據(jù)進(jìn)行關(guān)聯(lián)，也加大了隱私泄露的風(fēng)險。此外，NoSQL還允許不斷對數(shù)據(jù)記錄添加屬性，這也對數(shù)據(jù)庫管理員的安全性預(yù)見能力提出了更高的要求。從核心價值角度看，大數(shù)據(jù)的技術(shù)關(guān)鍵在于數(shù)據(jù)分析和利用，但數(shù)據(jù)分析技術(shù)的發(fā)展，勢必對用戶隱私產(chǎn)生極大威脅。