数据库的安全策略有哪些？

计算机安全是当前信息社会非常关注的问题，而数据库系统更是担负着存储和管理数据信息的任务，因而如何保证和加强其安全性，更是迫切需要解决的热门课题。下面将讨论数据库的安全策略，并简单介绍各种策略的实现方案。\x0d\x0a一、数据库的安全策略\x0d\x0a数据库安全策略是涉及信息安全的高级指导方针，这些策略根据用户需要、安装环境、建立规则和法律等方面的限制来制定。\x0d\x0a数据库系统的基本安全性策略主要是一些基本性安全的问题，如访问控制、伪装数据的排除、用户的认证、可靠性，这些问题是整个安全性问题的基本问题。数据库的安全策略主要包含以下几个方面：\x0d\x0a1.保证数据库存在安全\x0d\x0a数据库是建立在主机硬件、 *** 作系统和网络上的系统，因此要保证数据库安全，首先应该确保数据库存在安全。预防因主机掉电或其他原因引起死机、 *** 作系统内存泄漏和网络遭受攻击等不安全因素是保证数据库安全不受威胁的基础。\x0d\x0a2.保证数据库使用安全\x0d\x0a数据库使用安全是指数据库的完整性、保密性和可用性。其中，完整性既适用于数据库的个别元素也适用于整个数据库，所以在数据库管理系统的设计中完整性是主要的关心对象。保密性由于攻击的存在而变成数据库的一大问题，用户可以间接访问敏感数据库。最后，因为共享访问的需要是开发数据库的基础，所以可用性是重要的，但是可用性与保密性是相互冲突的。\x0d\x0a二、数据库的安全实现\x0d\x0a1.数据库存在安全的实现\x0d\x0a正确理解系统的硬件配置、 *** 作系统和网络配置及功能对于数据库存在安全十分重要。比如对于硬件配置情况，就必须熟悉系统的可用硬盘数量，每个硬盘的可用空间数量，可用的CPU数量，每个CPU的Cache有多大，可用的内存数量，以及是否有冗余电源等问题；对于 *** 作系统，则应该周期性的检查内存是否有泄漏，根文件系统是否需要清理，重要的日志是否已经察看；对于网络就应该随时确保网络没有过载，网络畅通、网络安全是否得到保证等等。因为这一部分不是本文的重点，所以不再一一细述，总之，这三方面的安全运行是和维护数据库存在安全不可分割的。\x0d\x0a2.数据库完整性的实现\x0d\x0a数据库的完整性包括库的完整性和元素的完整性。\x0d\x0a数据库的完整性是DBMS(数据库管理系统)、 *** 作系统和系统管理者的责任。数据库管理系统必须确保只有经批准的个人才能进行更新，还意味着数据须有访问控制，另外数据库系统还必须防范非人为的外力灾难。从 *** 作系统和计算系统管理者的观点来看，数据库和DBMS分别是文件和程序。因此整个数据库的一种形式的保护是对系统中所有文件做周期性备份。数据库的周期性备份可以控制由灾祸造成的损失。数据库元素的完整性是指它们的正确性和准确性。由于用户在搜集数据、计算结果、输入数值时可能会出现错误，所以DBMS必须帮助用户在输入时能发现错误，并在插入错误数据后能纠正它们。DBMS用三种方式维护数据库中每个元素的完整性：通过字段检查在一个位置上的适当的值，防止输入数据时可能出现的简单错误；通过访问控制来维护数据库的完整性和一致性；通过维护数据库的更改日志，记录数据库每次改变的情况，包括原来的值和修改后的值，数据库管理员可以根据日志撤消任何错误的修改。\x0d\x0a3.数据库保密性的实现\x0d\x0a数据库的保密性可以通过用户身份鉴定和访问控制来实现。\x0d\x0aDBMS要求严格的用户身份鉴定。一个DBMS可能要求用户传递指定的通行字和时间日期检查,这一认证是在 *** 作系统完成的认证之外另加的。DBMS在 *** 作系统之外作为一个应用程序被运行，这意味着它没有到 *** 作系统的可信赖路径，因此必须怀疑它所收的任何数据，包括用户认证。因此DBMS最好有自己的认证机制。\x0d\x0a访问控制是指根据用户访问特权逻辑地控制访问范围和 *** 作权限。如一般用户只能访问一般数据、市场部可以得到销售数据、以及人事部可以得到工资数据等。DBMS必须实施访问控制政策，批准对所有指定的数据的访问或者禁止访问。DBMS批准一个用户或者程序可能有权读、改变、删除或附加一个值，可能增加或删除整个字段或记录，或者重新组织完全的数据库。\x0d\x0a4.数据库可用性的实现\x0d\x0a数据库的可用性包括数据库的可获性、访问的可接受性和用户认证的时间性三个因素。下面解释这三个因素。\x0d\x0a(1)数据的可获性\x0d\x0a首先，要访问的元素可能是不可访问的。例如，一个用户在更新几个字段，其他用户对这些字段的访问便必须被暂时阻止。这样可以保证用户不会收到不准确的信息。当进行更新时，用户可能不得不阻止对几个字段或几个记录的访问通道，以便保证数据与其他部分的一致性。不过有一点要注意，如果正在更新的用户在更新进行期间退出，其他用户有可能会被永远阻止访问该记录。这种后遗症也是一个安全性问题，会出现拒绝服务。\x0d\x0a(2)访问的可接受性\x0d\x0a记录的一个或多个值可能是敏感的而不能被用户访问。DBMS不应该将敏感数据泄露给未经批准的个人。但是判断什么是敏感的并不是那么简单，因为可能是间接请求该字段。一个用户也许请求某些包含敏感数据的记录，这可能只是由非敏感的特殊字段推出需要的值。即使没有明确地给出敏感的值，数据库管理程序也可能拒绝访问这样的背景信息，因为它会揭示用户无权知道的信息。\x0d\x0a(3)用户认证的时间性\x0d\x0a为了加强安全性，数据库管理员可能允许用户只在某些时间访问数据库，比如在工作时间。

作者 石默研

本文对新一代NewSQL分布式数据库发展策略中的普遍困扰进行讨论，包括云原生（Cloud Native）与本地部署(On Premise)、HTAP进展方向、分布式与单机需求等分布式数据库商业与技术发展中难以决策的问题。

1. 困扰

分布式NewSQL数据库近年来蓬勃兴起，其原因显而易见：切中了业务与数据量不断增长的用户对关系型数据库RDBMS需求，这在传统RDBMS到大数据的发展阶段中，有相当一段时间是空白。同时，随着互联网技术的不断发展与普及，用云计算模式满足IT需求似乎已经成为未来 社会 产业互联网发展的明确趋势，也就是说，有一种共识：不久的将来，绝大多数产业的IT服务是从公共的、行业的或者私有的、混合的云计算中心提供的。这一共识又带来了云原生（Cloud Native）概念与技术的兴起，而分布式NewSQL数据库自然也应该是云原生的，这决定了其相当多的产品设计决策应以符合这一趋势为原则。然而，在当今的现实中，满足业务与数据量不断增长的RDBMS需求的用户，与云原生的用户，除了互联网企业外，大多数情况下，并不重合，需要On-Premise部署的用户仍然占有很大比重，这就带来了第一个困扰：云原生（Cloud Native）与本地部署(On Premise)对产品发展要求的矛盾。

另一个困扰，是关于HTAP，即交易与分析混合负载。HTAP是当今非常火的一个概念与技术，在交易库上直接进行分析，而不再是将“数据从交易库搬下来，挪到另一个数据库中去”这样的繁琐过程。可以毫不夸张的说： 历史 上规模性企业IT复杂度的相当一部分，都来自于“搬数据”，这导致了数据采集、实时采集、全增量合并、数据传输、数据加载、数据建模、数据质量、数据标准、企业级元数据管理等繁杂多样的技术环节的产生，导致了企业数据分布、数据流向、数据模型、主数据、基础数据平台、ODS/数据仓库/数据集市、数据治理等复杂的数据架构设计优化领域，导致了由于多系统大规模数据搬迁而带来的如数据交换平台之类的复杂调度工程......。咋眼一看，感觉该企业的数据技术好厉害，相关各领域的技术产品好丰富，技术人员的相关技能也好受欢迎。但如果在交易库就能直接满足分析需求而不影响生产效能的话，这些复杂高级的技术环节不都成了“自己给自己造了一座山，还说自己爬的好辛苦”？然而，现实却是，问题并不这么简单，除了在交易库中进行分析会影响业务效能外，还有很多原因导致这一现象产生：交易库并不需要存储那么长的 历史 数据，而分析往往是需要建立在大量 历史 数据之上的；交易库的模型往往并不适合分析需求，多数情况下需要重要建模，如非常流行且价值不菲的各行业数仓主题模型；用于交易的OLTP数据库与用于分析的OLAP数据库，其技术体系完全不同；以及大型企业已固化的内部业务结构并没有留给交易/分析整合可实施的可行空间......等等。由于， 历史 积累的企业级数据体系相当复杂，HTAP的发明者迄今为止都没有系统表达完全替代数据分析需求、自顶而下重构企业数据体系的架构级策略，而是将产品重点定位在技术优化层面：在交易库上直接完成实时统计分析，满足高并发需求且不影响业务效能；或者是为实时分析统计/查询而建设的数据服务中间平台。然而，即使是暂时没有这种策略性的意向，在面向AP的产品具体研发中，又会发现明确的界限确实不好把握，随着一个个具体功能的不断完善，似乎假以时日，技术上也不是没有完全替代纯OLAP平台的可能性。那么，HTAP究竟如何定位呢？

再者就是规模化的分布式需求，与小规模的单机数据库需求（这里指逻辑上的单机）之间的矛盾：分布式数据库，自然而然是要应对规模化的数据管理需求的，长尾的小规模需求当然不应在产品设计考虑之列，同时，大炮轰苍蝇经常还打不好；然而，分布式NewSQL数据库又应该是云原生的，如果把云原生的业务含义理解为“全自助”，它应该以支持什么样的需求为主呢？现实看来，小规模长尾业务对云原生数据库的需求最起码应该是占据相当大的比重的。显而易见，如果是大规模的数据管理需求，即使是部署在云上，DBPaaS的“全自助”是其核心需求吗？这种规模化的业务，如果是云上的On-Premise又需要做出哪些方面的改变？从互联网与云计算发展的 历史 来看，“云自助”，其最核心的商业动机当然包括给用户侧的运维带来了方便，但更重要的可能是给云服务运营商应对海量长尾客户的安装与运维带来了极大的成本优势。这正如银行的小微及个人消费贷款都要走互联网线上模式，而重客、大客甚至中小企业信贷仍然是以线下为主的策略一样，本质是成本问题，而不是客户方便性问题。于是，矛盾显而易见：分布式是面向规模客户的，起码是中、大型客户，而云原生却有可能、最起码相当一段时间内是要以长尾客户为主要服务对象的。

以上困扰实质上，都涉及到了NewSQL分布式数据库的产品发展策略问题。

2. 讨论

问题是客观而又普遍的，但分析与应对策略往往包含主观因素：人们的一个决定与决策，很多情况下并不由严格推理而来，而是心中已经有一个答案，再来找理由支持它。这里的讨论或许也并不能例外。

首先，来看看Cloud Native与On Premise。云原生本应是数据库即服务，然而目前真正有规模化数据增长需求的NewSQL应用相当多的情况下却是付费On Premise与免费On Premise区别，很多互联网企业的应用也可能只是部署在云基础设施上而已，真正的云原生更多是一些实验性、尝试性的需求。但云原生数据库在公有云、行业云以及大型私有云上已经逐渐在形成一种意识上的共识，其商业前景不可限量。也就是说，未来的数字化转型进程中，产业互联网的数据库部署，会逐渐向云基础设施迁移，长在云上。它可能是公有云，也可能是行业云，也可能是私有云，它们都是被定义为云原生NewSQL数据库的市场范围。当然，肯定还会有相当一部分数据库长在云下，这也不用纠结，将其排除在云原生市场战略目标之外即可，就是说，不需要考虑这部分客户需求对产品规划的影响，因为前一部分的份额已经足够大了。这样看来，以云原生为目标进行产品规划的逻辑没有问题，不过，还是要明确一点：长在云上的数据库是不是一定符合我们对“云原生”的既有理解？这里认为，即使未来，在云上形成了产业互联网数据库市场的主体，需要“全自助”的数据库即服务可能也是以面向长尾客户最为迫切、必不可少并且是核心本质，而对中大型以上的需求，“全自助”的意义相对有限，同时比较而言商业模式的转变或者更关键些。那么，如果是以“长在云上”为市场目标，似乎可以将其定义为“广义的云原生”，同时，只要是“长在云上”，那么“云原生”概念中高d性、高可用、低成本、快速迭代、存算分离等技术优势也都能方便获得。而对“云原生”策略中“云原生”一词的理解不同，对产品规划决策的影响也应该有所不同：一是目前被认为是On Premise的客户需求，或许也就是未来“云原生”主体市场的需求；二是NewSQL数据库关于云原生服务的产品策划，对用户侧“自助”水平的决策或许可以更灵活实用。高水平自助确实可以减轻客户对IT的依赖程度，但这里认为，云原生与用户自行在云上购买资源进行On-Premise部署相比，最关键的价值在于商业模式的改变，能自助多少，不一定是最重要的，因为成为云服务商后，运营运维的工作只会更多，责任可能会更大，甚至有时连IaaS的运维也需要PaaS服务商兜底。但从一个个客户的本地服务，变成集中化云服务，就已经是本质性的模式转变了。总之，需要就事论事，回到原点，仔细分析后决策，而不是用概念教条的判断，因为概念本身的定义并不见得准确对应实际的业务需求。

再来看看HTAP，对这个问题，正如在其它文章中表达过的一样，本文的观点较为明确。一是随着计算能力与架构的升级，从技术上讲，AP与TP的界限会越来越模糊；另外特别是在云原生的新世界里，数据库的这一特性又犹为重要，因为云原生的重要作用之一就是要让客户尽量摆脱对IT运维的依赖，将越来越多的精力集中到自己的业务发展上来；同时端到端的能力提升对云原生商业模式的贯彻也至关重要（需要仔细分析下目前DBPaaS的技术要求是否完全符合这一原点的、本质性的动力），过去与纯OLAP数据库的优势比较纠结在这里也可以得到正面支持；再者，既然架构上已经走向了AP，就很难做到在产品规划上时刻厘清纯AP与混合负载的需求后，再将前者排除在外。于是，以“混合负载满足部分AP需求”应该是由于投入与阶段性市场策略导致的阶段性产品规划，而长远来讲，以一套技术架构满足大多数需求，应该是云原生NewSQL数据库的追求。

接下来，就是关于规模化分布式与小规模单机需求的矛盾了。现在看来，经过上面的讨论，这一点已经不是什么问题了：因为“长在云上”、从分散服务向集中服务的商业模式转变就是指广义的云原生，而不一定要以小微的、迫切需要全自助的长尾为主流，那么，云原生NewSQL数据库仍然应以规模化分布式为其主体的需求方向，而小规模单机则暂时可以不做为重点来考虑。

最后指出一点，希望也能引发进一步的思考：我们所批判的主机，也声称自己是分布式架构，暂且不论其是否客观，但在现实中主机需要被替代的核心问题并不是有没有分布式，而是：一、扩展不灵活带来成本问题：“我只需要扩展一个节点，你却让我再买一台主机”；二、不自主可控；三、往往是软硬件结合的设计策略，包括内存、网络、存储与IO上的软硬融合设计，而这一点，是否需要云原生数据库从广义的定义出发进行学习参考，也是需要进一步讨论的。

---