在信息爆炸時代，海量的信息需要數據庫進行存儲，這些都是的。但目前，在數據庫應用方面，還存在很多問題，這也是數據庫管理者在對數據庫進行應用的過程中應該注意的問題。中培偉業《ORACLE數據庫管理與性能調優實踐》的培訓專家楊老師對目前大數據應用過程中所面臨的問題進行了介紹。

楊老師指出，隨著大數據時代的到來，以及數據庫在各行各業的廣泛應用，讓數據庫在很多信息安全事件中成為了主角，這與我們在傳統的安全建設中忽略了數據庫安全問題有關，在傳統的信息安全防護體系中數據庫處于被保護的核心位置，不易被外部黑客攻擊，同時數據庫自身已經具備強大安全措施，表面上看足夠安全，但這種傳統安全防御的思路，存在致命的缺陷。

一、數據庫本身存在重大安全缺陷

傳統觀念認為數據庫系統本身已具備完整的安全保障機制，存儲在數據庫中的數據足夠安全，Oracle總裁LarryEllison曾宣稱Oracle數據庫是世界上最為安全的數據庫系統，但事實上以Oracle為首的數據庫系統存在重大安全缺陷，主要體現為如下三個方面：

　　1.存儲文件解析后為明文

數據庫的數據是存儲在物理文件里，這些數據按照數據庫自定義的格式組織在數據庫中，但這些數據本質上都是明文存儲；主流的大型數據庫數據文件的組織結構主動或被動公開化，只要得到這些數據文件，存儲的數據其實就是透明的。

這些存儲文件包括數據庫的數據文件、備份文件、日志文件等；這樣只要能夠訪問或得到數據庫存儲文件，就可以獲得數據庫中的信息。比如：在互聯網上公開的MyDUL軟件就是可以成功解析Oracle數據文件獲得明文信息的開源工具。

數據庫的明文存儲也會因為磁盤、備份磁帶的丟失引起泄密，如香港花旗銀行在裝修期間丟失了服務器引起的客戶資料泄密。同時，明文存儲使只要能夠訪問到數據庫文件的人員，都可以看到數據庫中的存儲內容，如網絡管理員或者攻入到內網當中的黑客。

　　2.數據庫自身存在諸多可攻擊安全漏洞

數據庫往往被認為具備較為完備的安全機制，從身份認證、訪問控制、到通訊加密，但事實上數據庫也存在諸多的安全漏洞，當前在國際漏洞庫CVE上公布了2000多個數據庫漏洞，號稱最為安全的Oracle數據庫就占了1000多個；這些漏洞大多是國際上的安全專家對數據庫安全狀況進行研究后發現的，包括提權漏洞（如從普通用戶提權到DBA用戶）、緩沖區溢出漏洞（通過該漏洞可以使數據庫執行非法代碼或癱瘓）、系統注入漏洞（通過該漏洞在調用系統函數時執行任意非法SQL代碼）。

黑客已經利用這些漏洞，對數據庫進行了多次侵入；雖然數據庫廠商據此提供了大量補丁包，但這些補丁包所修復的漏洞數量也是有限的，同時大量的應用系統出于系統穩定性和兼容性的原因也無法實現補丁升級；因此這些漏洞依然是黑客入侵數據庫的常用通道，同時隨著這些安全問題的廣泛傳播，數據庫維護人員和程序人員也使用這些技術手段進行越權工作，對數據庫造成了巨大威脅。

　　3.數據庫自身的訪問控制存在缺陷

數據庫采用的訪問控制機制，依然是典型的三元組，也就是主體、客體和操作，其中主體主要是數據庫用戶或角色，客體是數據庫對象，操作是典型的DDL、DML、ACL語句和某些維護操作；但對這些操作的具體內容和影響不再做控制，如是否采用了欺騙性的SQL語句、是否返回了大量數據無法控制。

當前廣為流傳的SQL注入就是大量地利用這些控制缺陷，在SQL語句中構造永真表達式、執行外部調用、非法登錄應用系統進行批量數據導出。

同時某些程序人員也惡意利用這些控制缺陷，在應用程序中埋下后門程序，對有價值的信息進行非法下載，如陜西移動、深圳福彩、某三甲醫院統方的安全事件，這些惡意行為可以通過數據庫中的檢索返回行數進行控制并阻斷。

二、數據庫的應用環境變得日趨復雜

數據庫安全事件頻頻發生的原因也是由于當前數據庫的應用環境和應用模式日趨復雜，與數據庫應用環境相關的安全隱患主要有三個方面：

　　1.B/S架構使數據庫間接暴露在互聯網上

大量Web應用的興起，面向公眾的政府、金融單位提供服務的動態網站和應用系統快速增加；大企業的各分支機構分布地域廣闊，在企業內部也通過互聯網實現財務、辦公、商務等信息化管理。這些系統采用B/S為主要技術架構，用戶通過瀏覽器訪問WEB服務器，WEB服務器再訪問數據庫服務器，形成了從用戶到數據庫的合法訪問通道，從而將數據庫間接暴露在互聯網上。甚至在某些企業，數據庫就直接安裝在對外提供WEB服務的計算機上，通過攻擊web服務器即可實現數據庫的敏感數據訪問。

　　2.數據庫維護模式改變為服務外包模式

傳統的數據庫維護主要是企業內部的DBA完成，但隨著業務系統復雜度的增加和累積數據規模的增大，大型企業和政府單位的數據庫采用服務外包給IT企業的方式進行維護管理，同時各關鍵行業處于信息化快速發展和建設中，往往是一邊開發新系統一邊正常使用完成的系統，就導致存在大量的駐場程序開發人員；這樣使數據庫的直接接觸人員，不僅限于企業的內部維護人員，同時包含大量的服務外包人員、程序開發人員和系統測試人員，這些人員直接接觸數據庫系統的真實數據，使傳統基于人工內部管理模式為主的數據庫安全機制面臨巨大挑戰。

　　3.訪問數據庫系統的應用形式多樣化

當前數據庫內的數據被大量共享訪問，數據庫的訪問形式不僅限于傳統的模式，B/S架構的應用逐漸成為主流。數據查詢類、分析類應用迅速增加，數據倉庫、數據同步系統的建設以促進共享。數據的定期備份、異地備份大量增加以加強數據的可靠性，訪問形式的多樣化，決定了數據庫安全問題的多樣化，需要綜合性的安全解決方案。