大數據時代背景下的數據庫技術應用與安全管理分析

袁 耿

（中國人民解放軍92682部隊，廣東 湛江 524001）

0 引 言

數據處理和信息管理是大數據時代的主要特征。大數據時代的便利和優勢需要依托數據庫技術才能發揮出來。更加專業、先進以及符合企業使用要求，是數據庫技術應用和發展的目標。在應用數據庫技術的過程中，技術和管理人員應基于大數據管理需求和管理現狀加深對數據庫技術的研究，加強安全管理實踐，提高大數據技術的應用水平。

1 大數據時代背景下數據庫技術的應用需求

5G、IoT以及AI等技術的興起，促使了數據時代技術的不斷變革與發展。在先進技術的支持下，數字化和信息化成為社會發展、行業發展、企業發展以及人們生活的基本特征。根據IDC統計和研究數據可知，全球數據量已經進入到“ZB（1 ZB=1012GB）”級別，數據來源廣泛，由此衍生出對大數據技術和數據安全管理更深層次的需求。大數據時代下各種數據來源路徑，如圖1所示。

圖1 大數據時代下各種數據來源路徑

應用數據庫時應注重安全管理。傳統的管理技術包括聚類分析、回歸分析以及利用機器進行回歸分析等。隨著相關技術的不斷發展，逐步出現了Bloom fitter和Hashing等網絡安全技術。結合新時期的數據庫安全管理需求可知，管理人員要提高安全管理的針對性和便捷性，需要構建針對性的數據庫安全管理框架，了解數據庫技術的應用場景，力求在每一種應用場景下實現對數據庫的高標準安全防護[1]。

2 大數據時代背景下數據庫技術的應用場景及關鍵技術

2.1 數據庫加密技術與數據安全傳輸

現階段涉及到的數據安全傳輸場景較多，包括發送郵件和數據通信等。從安全傳輸要求出發，技術人員需要使用加密技術，具體包括對稱密碼技術和非對稱密碼技術。技術人員可根據安全傳輸等級配置加密技術，安全傳輸要求較高的配置非對稱加密技術。此外，在數據傳輸過程中，技術人員要關注數據的不可篡改性。發送方使用簽名或散列函數技術，接收方要驗證簽名或提供哈希認證碼。針對哈希函數采用的算法為MD5、SHA1、SHA-256以及SHA-512，數字簽名采用的算法為DSA和ECDSA。在國際標注算法視域下測算密碼時，分組密碼算法為SM1（算法不公開，存儲在芯片中）和SM4，非對稱加密算法為基于ECC的SM2，哈希函數和數字簽名算法則分別為SM3和SM9[2]。

2.1.1 對稱加密算法

（1）DES加密算法。DES算法是由IBM公司研發的一種數據庫加密技術，具有較高的安全性和較快的運行速度。以明文數據為依托對其進行64位分組，可形成64位密鑰，其中用戶提供56位，系統自動生成8位（奇偶校驗位）。在密鑰下進行一系列的基本運算，包括多輪異換、置換、代換以及移位等。

（2）AES加密算法。AES為加密級別更高的加密算法，將明文進行128位分組，并將每分組劃分成16個字節，構成4×4矩陣，聯合密鑰進行多輪置換和移位等運算形成128位密文，提高加密級別。

2.1.2 非對稱加密算法

（1）RSA算法。在數據庫加密算法的非對稱加密算法中，使用頻率較高的是RSA算法。該算法的加密密鑰為公鑰，用戶可通過正常渠道獲得，并自行保管解密密鑰。其他用戶不能根據公鑰推導出已獲得的解密密鑰，因而用戶掌握的解密密鑰稱之為私鑰。RSA算法下的密鑰一般為1 024位或2 048位，應用場景較多，包括一般數據加密和數字簽名等。

（2）Diffie-Hellman算法。該算法是一種應用于密鑰交換過程中的非對稱算法。交換密鑰時，交換者可以使用自己的私鑰和對方的公鑰共同參與到一種數學運算中，完成運算后會形成一把密鑰用于處理數據加密和解密工作。

（3）DSA算法。進行數據簽名時，可以借助DSA算法進行運算。該算法下，發送方首先要在私鑰的幫助下對信息進行簽名，接收方先要接收和判斷數字簽名的真實性，利用公鑰進行檢查以保證整個數據傳輸過程中數據沒有出現因遭受攻擊而被篡改的現象。

2.2 數據庫保留格式加密技術與數據脫敏

在大數據類別中脫敏數據較為關鍵，部分敏感數據要進行脫敏處理。技術人員在處理脫敏數據時，既要降低數據敏感度又要保證數據可用性，要以具體業務要求為依托，對數據進行定制化調整。在進行具體數據脫敏處理時，要根據業務場景選擇不同的脫敏處理方法。而在所有的脫敏處理方法中，較為特殊的為保留格式加密技術（Format Preserving Encryption，FPE）。該技術中輸出的密文格式與明文格式相同，應用時因需要考慮格式與分段約束，因此可使用美國NIST發布的FF1標準算法，實現對用戶銀行卡號、社?？ㄌ柕葦底謽俗R符的有效加密處理。

2.3 數據庫信息發布和挖掘技術與匿名化場景

匿名化場景一般會涉及到用戶的隱私信息，常見的場景如醫療患者信息。這類信息的公開或共享在一定程度上可以為疾病研究做出貢獻，但是在共享過程中需要重視對用戶信息的匿名化處理，因此涉及到含個人信息的數據庫發布或挖掘（Privacy Preserving Data Publishing，PPDP，或Privacy Preserving Data Mining，PPDM）。在匿名化處理用戶信息的過程中，要格外重視隱私泄露風險。匿名化場景中應用大數據技術時，應關注對K-匿名化模型（K-anonymity）的合理應用。在應用該模型的過程中，要嚴格匿名化處理個人信息數據庫，在獲得隱私屬性的前提下，記錄其他屬性組合相同值并確保至少有K個記錄，從而提高對個人隱私信息的安全管理成效[3]。

2.4 數據庫水印技術與數據溯源

對大數據進行管理的過程中發生數據泄露事件時，技術人員要對出現問題的數據進行溯源管理。在該場景下可應用數據庫水印技術，主要功能是改變數據庫記錄屬性值或通過將新的偽造記錄插入其中的方式嵌入水印信息。在嵌入信息的過程中，要保證具有魯棒性，確保嵌入水印的數據表能有效抵抗攻擊者的攻擊，包括插入、替換以及刪除行（或列）等操作。

2.5 數據庫存儲、查詢技術與云計算場景

數據庫技術與云計算技術之間的關聯性較強。計算機系統運維人員需要了解使用主體的數據管理需求，從數據同步、數據存儲以及數據應用等角度出發，合理構建數據庫和應用數據庫技術。首先，設置好Erlang HTTP接口，依托API進行請求訪問。程序開發人員要借助多種語言開發HTTP客戶端，支持后續數據庫技術的縱深應用。其次，建立數據庫形成文檔引擎，做好文檔區分，借助數據庫技術進行標記管理。文檔應存儲在database中，對應的數據庫文件形成科學的文檔，并建立數據查詢機制。最后，運用數據庫技術進行數據定義和查詢，使用MapReduce進行視圖查詢。在數據庫技術的支持下，以r00m101中的rack信息查詢需求為例，可直接從中提取相應信息。因此，只要用戶客戶端支持便可以發出請求，從而獲得所需的數據信息。

3 大數據時代背景下的數據庫技術安全管理策略

3.1 搭建科學的數據安全管理框架

2017年安全與風險管理峰會上，Gartner提出數據安全治理（Data Security Governance，DSG）框架。隨著數據安全管理需求的不斷變化，該框架也在不斷完善和建設。數據安全管理包含決策層和技術層等，需要科學的技術支撐。數據安全管理框架以分層和分步的形式進行管理。在管理數據安全時，要了解不同業務場景下客戶對數據安全防護的需求，從而形成科學的數據安全治理方法體系，從“知”“識”“控”以及“察”4個角度出發把控數據安全。

“知”強調了解數據安全管理的相關政策，如《中華人民共和國網絡安全法》《General Data Protection Regulation》（簡稱《GDPR》）等，了解數據安全使用規范，科學定義敏感數據。“識”強調要全面分析數據，加深對數據敏感度、數據定位以及數據類別和級別的了解?！翱亍睆娬{要依據數據的敏感級別和安全防護級別劃定數據范圍，如可用范圍和傳輸范圍等，同時要在規范的工具和制度下嚴格管控數據細粒度權限?！安臁睆娬{要時刻監察數據安全，借助審計或行為分析工具UEBA記錄數據傳輸路徑，識別非法和危險數據形成記錄日志，為后續的數據管理提供支持。

3.2 做好數據安全分析管理

IBM Security是著名的數據安全管理平臺。收購Guardium后，IBM在網絡安全方面有了更為專業的技術支持。另外，IBM Security結合IBM X-Force推出IBM“安全免疫體系”，進一步提高了數據安全分析和管控能力。管理人員在分析數據安全時，應對上述先進技術和平臺加以應用，整合和分析客戶網絡中SIEM提交的日志分析結果、漏洞狀況報告以及風險和資產等數據。分析時，可結合IBM X-Force平臺提供的實時威脅情報和Watson for Cyber Security軟件對數據安全進行聯動分析，得出數據面臨的內外部威脅。在整個分析過程中，要做好對異常行為和威脅數據的監測，同時依托Resilient系統向用戶反饋數據問題并及時進行響應，自動化程度較高。

3.3 加強數據庫訪問權限和角色定位管理

對數據庫進行安全管理時，需要從用戶端加強控制。用戶在訪問過程中如果權限管控不到位，將會給黑客入侵提供可乘之機，因此要設置特殊的系統語句和權限以識別有效對象。在設置用戶使用權限時，需要區分用戶角色，精準識別用戶角色后進行權限級別劃定。用戶權限管理的關鍵在于定位用戶角色，可使用角色管理技術和數據庫權限設置技術對相應的用戶進行授權管理，同時提高權限管理的靈活性。

4 結 論

數據庫技術的應用過程中，數據安全仍存在較多問題。因此，技術應用和數據安全管理人員要加強對數據庫技術和相關安全問題的研究，科學劃分業務場景，探尋更加有效的數據庫技術應用策略。在實際的數據安全管理過程中，要注重搭建管理框架，做好數據分析，并加強用戶權限管理，將安全技術與安全管理策略充分結合在一起，從而為數據庫技術更好地發揮聯動效益提供有效支撐。