NoSQL等于没有安全?大数据安全隐患分析

IT168 12年06月21日 10:43 【转载】作者：it168 责任编辑：王振

导读：IT世界正在迅速拥抱“大数据”。庞大的数据存储将是大数据分析的下一个讨论话题，因为大数据正变得越来越大，例如，初创公司正在使用这些系统来对数以万亿计的DNA检测条进行分析以研究人类演化史。

★ 客户端软件. 由于NoSQL服务器软件没有内置足够的安全，因此，必须对访问这些软件的应用程序内建安全因素，这反过来又会导致大量的安全问题：

☆ 增加身份验证和授权过程到应用程序。这需要更多的安全考虑，而这只会让应用程序更复杂。例如，应用程序将需要定义用户和角色。基于这种类型的数据，应用程序可以决定是否向用户授权对系统的访问权限。

☆ 输入验证。再一次，我们看到困扰着关系型数据库应用程序的问题又来继续困扰NoSQL数据库。例如，在去年的黑帽会议上，研究人员展示了黑客如何利用 “NoSQL注入”来访问受限制的信息。虽然2012年黑帽大会的时间还没有确定，我们非常期待今年看到更多关于NoSQL的展示。

☆ 应用程序意识。在每个应用程序需要管理安全的情况下，应用程序必须意识到所有其他应用程序。这能够禁止对所有非应用程序数据的访问。

☆ 当新数据类型被添加到数据存储时，数据存储管理员必须弄清楚哪些应用程序不能访问特定的数据。

☆ 容易产生漏洞的代码。市面上有很多NoSQL产品，但又更多应用程序和应用程序服务器产品。应用程序越多，容易产生漏洞的代码就越多。

★ 数据冗余性和分散性. 关系型数据库安全基础知识谈论的是数据正常化---在单个位置存储一块数据。但大数据系统完全改变了这种模式。这些系统的固有模式是复制数据到很多表以优化查询处理。数据分散在不同地理位置的不同服务器的不同的数据仓库中，企业将很难定位这些数据和保护所有机密信息。

★ 隐私问题. 隐私问题并不是因为安全问题而受到推动，而是因为大数据的这种使用情况：即对来自不同系统的不同应用程序的不同活动的数据进行关联。就拿谷歌举例来说，他们在几个月前对其隐私条款进行了修改，新条款允许谷歌融合来自所有服务中的信息。作为个人而言，这严重影响了我们逃避企业跟踪的能力，即使我们使用多个身份。不过，这些企业现在面临着风险。一方面，他们试图将这些数据保存在其企业范围内，主要因为所有权和监管的需要。然而，最近，科学家开始对这种做法表示担心，要求企业透露这些数据集以验证其研究结果。

总结

NoSQL仍然处于起步阶段，在未来一年左右，我们可能都无法看到任何NoSQL安全解决方案。对于想自己开发NoSQL解决方案企业而言，他们首先应该仔细选择其开发团队，该团队应该包括具有安全观念的业界资深人士。另外，还应该进行代码审查以确保软件的安全性。

最后，应该通过密集的输入验证和网络隔离以尽可能地减少平台暴露给用户。还好我们现在才进入大数据时代，现在存储的成本下降了，技术也允许我们能够方便地访问和分析数据。