NoSQL數(shù)據(jù)庫是否意味著缺乏安全性？

NoSQL薄弱的安全性會給企業(yè)帶來負(fù)面影響 。Imperva公司創(chuàng)始人兼CTO Amichai Shulman如是說。在新的一年中，無疑會有更多企業(yè)開始或籌劃部署NoSQL。方案落實后就會逐漸發(fā)現(xiàn)種種安全問題，因此早做準(zhǔn)備才是正確的選擇。 作為傳統(tǒng)關(guān)系型數(shù)據(jù)庫的替代方案，NoSQL在查詢中并不使用SQL語言，而且允許用戶隨時變更數(shù)據(jù)屬性。此類數(shù)據(jù)庫以擴(kuò)展性良好著稱，并能夠在需要大量應(yīng)用程序與數(shù)據(jù)庫本身進(jìn)行實時交互的交易處理任務(wù)中發(fā)揮性能優(yōu)勢，Couchbase創(chuàng)始人兼產(chǎn)品部門高級副總裁James Phillips解釋稱：NoSQL以交易業(yè)務(wù)為核心。它更注重實時處理能力并且擅長直接對數(shù)據(jù)進(jìn)行操作，大幅度促進(jìn)了交互型軟件系統(tǒng)的發(fā)展。Phillips指出。其中最大的優(yōu)勢之一是能夠隨時改變(在屬性方面)，由于結(jié)構(gòu)性的弱化，修改過程非常便捷。 NoSQL最大優(yōu)勢影響其安全性 NoSQL的關(guān)鍵性特色之一是其動態(tài)的數(shù)據(jù)模型，Shulman解釋道。我可以在其運作過程中加入新的屬性記錄。因此與這種結(jié)構(gòu)相匹配的安全模型必須具備一定的前瞻性規(guī)劃。也就是說，它必須能夠了解數(shù)據(jù)庫引入的新屬性將引發(fā)哪些改變，以及新加入的屬性擁有哪些權(quán)限。然而這個層面上的安全概念目前尚不存在，根本沒有這樣的解決方案。 根據(jù)Phillips的說法，某些NoSQL開發(fā)商已經(jīng)開始著手研發(fā)安全機(jī)制，至少在嘗試保護(hù)數(shù)據(jù)的完整性。在關(guān)系型數(shù)據(jù)庫領(lǐng)域，如果我們的數(shù)據(jù)組成不正確，那么它將無法與結(jié)構(gòu)并行運作，換言之?dāng)?shù)據(jù)插入操作整體將宣告失敗。目前各種驗證規(guī)則與完整性檢查已經(jīng)比較完善，而事實證明這些驗證機(jī)制都能在NoSQL中發(fā)揮作用。我們與其他人所推出的解決方案類似，都會在插入一條新記錄或是文檔型規(guī)則時觸發(fā)，并在執(zhí)行過程中確保插入數(shù)據(jù)的正確性。 Shulman預(yù)計新用戶很快將在配置方面捅出大婁子，這并非因為IT工作人員的玩忽職守，實際上主要原因是NoSQL作為一項新技術(shù)導(dǎo)致大多數(shù)人對其缺乏足夠的知識基礎(chǔ)。Application Security研發(fā)部門TeamSHATTER的經(jīng)理Alex Rothacker對上述觀點表示贊同。他指出，培訓(xùn)的一大問題在于，大多數(shù)NoSQL的從業(yè)者往往屬于新生代IT人士，他們對于技術(shù)了解較多，但往往缺乏足夠的安全管理經(jīng)驗。 如果他們從傳統(tǒng)關(guān)系型數(shù)據(jù)庫入手，那么由于強(qiáng)制性安全機(jī)制的完備，他們可以在使用中學(xué)習(xí)。但NoSQL，只有行家才能通過觀察得出正確結(jié)論，并在大量研究工作后找到一套完備的安全解決方案。因此可能有90%的從業(yè)者由于知識儲備、安全經(jīng)驗或是工作時間的局限而無法做到這一點。 NoSQL需在安全性方面進(jìn)行優(yōu)化 盡管Phillips認(rèn)同新技術(shù)與舊經(jīng)驗之間存在差異，但企業(yè)在推廣NoSQL時加大對安全性的關(guān)注會起到很大程度的積極作用。他認(rèn)為此類數(shù)據(jù)存儲機(jī)制與傳統(tǒng)關(guān)系類數(shù)據(jù)庫相比，其中包含著的敏感類信息更少，而且與企業(yè)網(wǎng)絡(luò)內(nèi)部其它應(yīng)用程序的接觸機(jī)會也小得多。 他們并不把這項新技術(shù)完全當(dāng)成數(shù)據(jù)庫使用，正如我們在收集整理大量來自其它應(yīng)用程序的業(yè)務(wù)類數(shù)據(jù)時，往往也會考慮將其作為企業(yè)數(shù)據(jù)存儲機(jī)制一樣，他補(bǔ)充道。當(dāng)然，如果我打算研發(fā)一套具備某種特定功能的社交網(wǎng)絡(luò)、社交游戲或是某種特殊web應(yīng)用程序，也很可能會將其部署于防火墻之下。這樣一來它不僅與應(yīng)用程序緊密結(jié)合，也不會被企業(yè)中的其它部門所觸及。 但Rothacker同時表示，這種過度依賴周邊安全機(jī)制的數(shù)據(jù)庫系統(tǒng)也存在著極其危險的漏洞。一旦系統(tǒng)完全依附于周邊安全模型，那么驗證機(jī)制就必須相對薄弱，而且缺乏多用戶管理及數(shù)據(jù)訪問方面的安全保護(hù)。只要擁有高權(quán)限賬戶，我們幾乎能訪問存儲機(jī)制中的一切數(shù)據(jù)。舉例來說，Brian Sullivan就在去年的黑帽大會上演示了如何在完全不清楚數(shù)據(jù)具體內(nèi)容的情況下，將其信息羅列出來甚至導(dǎo)出。 而根據(jù)nCircle公司CTO Tim ‘TK’ Keanini的觀點，即使是與有限的應(yīng)用程序相關(guān)聯(lián)，NoSQL也很有可能被暴露在互聯(lián)網(wǎng)上。在缺少嚴(yán)密網(wǎng)絡(luò)劃分的情況下，它可能成為攻擊者窺探存儲數(shù)據(jù)的薄弱環(huán)節(jié)。因為NoSQL在設(shè)計上主要用于互聯(lián)網(wǎng)規(guī)模的部署，所以它很可能被直接連接到互聯(lián)網(wǎng)中，進(jìn)而面臨大量攻擊行為。 其中發(fā)生機(jī)率最高的攻擊行為就是注入式攻擊，這也是一直以來肆虐于關(guān)系類數(shù)據(jù)庫領(lǐng)域的頭號公敵。盡管NoSQL沒有將SQL作為查詢語言，也并不代表它能夠免受注入式攻擊的威脅。雖然不少人宣稱SQL注入在NoSQL這邊不起作用，但其中的原理是完全一致的。攻擊者需要做的只是改變自己注入內(nèi)容的語法形式，Rothacker解釋稱。也就是說雖然SQL注入不會出現(xiàn)，但JavaScript注入或者JSON注入同樣能威脅安全。 此外，攻擊者在籌劃對這類數(shù)據(jù)庫展開侵襲時，也很可能進(jìn)一步優(yōu)化自己的工具。不成熟的安全技術(shù)往往帶來這樣的窘境：需要花費大量時間學(xué)習(xí)如何保障其安全，但幾乎每個IT人士都能迅速掌握攻擊活動的組織方法。因此我認(rèn)為攻擊者將會始終走在安全部署的前面，Shulman說道。遺憾的是搞破壞總比防范工作更容易，而我們已經(jīng)看到不少NoSQL技術(shù)方面的公開漏洞，尤其是目前引起熱議的、以JSON注入為載體的攻擊方式。 NoSQL安全性并非其阻礙 然而，這一切都不應(yīng)該成為企業(yè)使用NoSQL的阻礙，他總結(jié)道。我認(rèn)為歸根結(jié)底，這應(yīng)該算是企業(yè)的一種商業(yè)決策。只要這種選擇能夠帶來吸引力巨大的商業(yè)機(jī)遇，就要承擔(dān)一定風(fēng)險，Shulman解釋道。但應(yīng)該采取一定措施以盡量弱化這種風(fēng)險。 舉例來說，鑒于數(shù)據(jù)庫對外部安全機(jī)制的依賴性，Rothacker建議企業(yè)積極考慮引入加密方案。他警告稱，企業(yè)必須對與NoSQL相對接的應(yīng)用程序代碼仔細(xì)檢查。換言之，企業(yè)必須嚴(yán)格挑選負(fù)責(zé)此類項目部署的人選，確保將最好的人才用于這方面事務(wù)，Shulman表示。當(dāng)大家以NoSQL為基礎(chǔ)編寫應(yīng)用程序時，必須啟用有經(jīng)驗的編程人員，因為客戶端軟件是抵擋安全問題的第一道屏障。切實為額外緩沖區(qū)的部署留出時間與預(yù)算，這能夠讓員工有閑暇反思自己的工作內(nèi)容并盡量多顧及安全考量多想一點就是進(jìn)步。綜上所述，這可能與部署傳統(tǒng)的關(guān)系類數(shù)據(jù)庫也沒什么不同。 具有諷刺意味的是，近年來數(shù)據(jù)庫應(yīng)用程序在安全性方面的提升基本都跟數(shù)據(jù)庫本身沒什么關(guān)系，nCircle公司安全研究及開發(fā)部門總監(jiān)Oliver Lavery如是說。

公司主營業(yè)務(wù)：成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出保靖免費做網(wǎng)站回饋大家。

NoSQL會取代完全取代關(guān)系型數(shù)據(jù)庫嗎？

對此，前Google工程師，Milo（本地商店搜索引擎）創(chuàng)始人Ted Dziuba最近發(fā)表標(biāo)題驚人的博客“I Can't Wait for NoSQL to Die”，對NoSQL的適用范圍進(jìn)行了分析。他認(rèn)為， NoSQL也會帶來一連串的新問題，并不會成為主流，無法取代關(guān)系型數(shù)據(jù)庫。 他的理由是：Cassandra等NoSQL數(shù)據(jù)庫在使用上并不方便，比如，修改column family定義時就需要重啟。而且NoSQL更適合Google那樣的規(guī)模，而一般的互聯(lián)網(wǎng)公司都不是Google，早早地去考慮Google那樣的規(guī)模的可擴(kuò)展性，純粹是浪費時間，存在巨大的商業(yè)風(fēng)險。 他還透露，即使在Google，AdWords這樣的關(guān)鍵產(chǎn)品也是基于MySQL實現(xiàn)的。 他在文中最后表示，NoSQL當(dāng)然死不了，但是 它最終會被邊緣化，就像Rails被NoSQL邊緣化一樣 Dziuba的文章因為言辭激烈，在社區(qū)里引起了強(qiáng)烈反應(yīng)。 SQL數(shù)據(jù)庫陣營贊同者大有人在。craigslist工程師、著名的MySQL專家Jeremy Zawodny表示，在讀此文的時候，不時會心一笑。他說， NoSQL運動只是軟件不斷進(jìn)化進(jìn)程中的正?，F(xiàn)象 。關(guān)系型數(shù)據(jù)庫也會繼續(xù)發(fā)展，MySQL社區(qū)不斷推出的XtraDB或InnoDB插件, PBXT, Drizzle都是證據(jù)。各種技術(shù)競爭的結(jié)果是，我們獲得了更多解決問題的選擇。 drizzle項目開發(fā)者Eric Day也表示，NoSQL有很多值得學(xué)習(xí)的，但是目前大部分實際項目的最佳選擇還是關(guān)系型數(shù)據(jù)庫。 NoSQL陣營當(dāng)然不會坐視不理，Cassandra項目組的Eric Evans表示，Dziuba提到Cassandra修改column family定義的問題其實很容易解決。而且，NoSQL并不是要取代MySQL，事實上Twitter仍然在用MySQL。如果關(guān)系型數(shù)據(jù)庫能夠承擔(dān)負(fù)荷，那就用好了；如果不行，請考慮NoSQL。 而德國知名博客Code Monkeyism則嘲笑Dziuba看起來并沒有用MySQL做過真實項目，因為MySQL如果沒有memcache，基本上無法應(yīng)付網(wǎng)站項目。他認(rèn)為，NoSQL將使SQL數(shù)據(jù)庫邊緣化，而且一個重要理由恰恰是可以節(jié)省DBA的開銷。 digg的前任首席架構(gòu)師現(xiàn)在也在創(chuàng)業(yè)的Joe Stump說，自己現(xiàn)在的創(chuàng)業(yè)項目就是用NoSQL，而且列舉了一系列問題挑戰(zhàn)SQL陣營。

新浪微博「點贊功能」數(shù)據(jù)庫如何設(shè)計的？

對于第一個問題，設(shè)計一個schema-(messageID，likedCount)，記錄每條微博的點贊數(shù)。messageID是微博的編號，likedCount是該微博的點贊人數(shù)。但是這里有兩個問題需要解決，第一是并發(fā)，第二是數(shù)據(jù)量。

每條微博都有可能有很多人同時點贊，為了保證點贊人數(shù)精確就需要保證likedCount++是原子操作，這個可以由應(yīng)用程序來實現(xiàn)，也可以用redis的事務(wù)來實現(xiàn)(如果redis有事務(wù)機(jī)制或者自增功能的話)，但是我覺得為了性能考慮，也可以不用實現(xiàn)原子操作，具體原因就不展開了。

每天都上億可能更多的微博內(nèi)容產(chǎn)生，這樣就會有上億個新的(messageID，likedCount)生成，這樣的數(shù)據(jù)量是比較大的，單機(jī)數(shù)據(jù)庫比較難提供高效的服務(wù)，所以需要采取sharding的功能(有時候也叫分表分庫)，可能根據(jù)messageID把這些schema分散到十個或者更多的shards上(據(jù)說，sina微博有600個節(jié)點，如何三個節(jié)點組成一個shard，就有200個shards)，這樣每個shard處理的請求就只有原來的十分之一，從而就能提高服務(wù)的性能。

關(guān)于點贊人列表的設(shè)計，一般來說，可能想到的schema是(messageID，userID)，但是這樣的設(shè)計有一個小問題，就是有些大發(fā)的微博可能會得到幾十萬的點贊，這樣就會產(chǎn)生幾十萬個條數(shù)據(jù)，這樣數(shù)據(jù)有點多，讀取起來可能也慢。所以可以用這樣一個schema(messageID，partID，userIDs)，讓一個messageID對于多個userID，同時比對應(yīng)太多的userID，所以加入一個新的partID，一個part存1000個userID，這樣幾十萬個點贊，只需要存幾百條數(shù)據(jù)。這樣做還有一個好處，用戶點擊查看點贊人時的，一般都不是完全顯示所有點贊人，而是一批一批顯示，這樣可以一次只讀一條數(shù)據(jù)，就可顯示一批點贊用戶信息。

哪個屬于Nosql數(shù)據(jù)庫

NoSQL，泛指非關(guān)系型的數(shù)據(jù)庫。隨著互聯(lián)網(wǎng)web2.0網(wǎng)站的興起，傳統(tǒng)的關(guān)系數(shù)據(jù)庫在處理web2.0網(wǎng)站，特別是超大規(guī)模和高并發(fā)的SNS類型的web2.0純動態(tài)網(wǎng)站已經(jīng)顯得力不從心，出現(xiàn)了很多難以克服的問題，而非關(guān)系型的數(shù)據(jù)庫則由于其本身的特點得到了非常迅速的發(fā)展。

常見的Nosql數(shù)據(jù)庫有：

一、Redis數(shù)據(jù)庫

Redis（RemoteDictionaryServer），即遠(yuǎn)程字典服務(wù)，是一個開源的使用ANSIC語言編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key－Value數(shù)據(jù)庫，并提供多種語言的API。從2010年3月15日起，Redis的開發(fā)工作由VMware主持。從2013年5月開始，Redis的開發(fā)由Pivotal贊助。

二、MongoDB數(shù)據(jù)庫

MongoDB是一個介于關(guān)系數(shù)據(jù)庫和非關(guān)系數(shù)據(jù)庫之間的產(chǎn)品，是非關(guān)系數(shù)據(jù)庫當(dāng)中功能最豐富，最像關(guān)系數(shù)據(jù)庫的。它支持的數(shù)據(jù)結(jié)構(gòu)非常松散，是類似json的bson格式，因此可以存儲比較復(fù)雜的數(shù)據(jù)類型。

Mongo最大的特點是它支持的查詢語言非常強(qiáng)大，其語法有點類似于面向?qū)ο蟮牟樵冋Z言，幾乎可以實現(xiàn)類似關(guān)系數(shù)據(jù)庫單表查詢的絕大部分功能，而且還支持對數(shù)據(jù)建立索引。

擴(kuò)展資料：

對于NoSQL并沒有一個明確的范圍和定義，但是他們都普遍存在下面一些共同特征：

一、易擴(kuò)展

NoSQL數(shù)據(jù)庫種類繁多，但是一個共同的特點都是去掉關(guān)系數(shù)據(jù)庫的關(guān)系型特性。數(shù)據(jù)之間無關(guān)系，這樣就非常容易擴(kuò)展。無形之間，在架構(gòu)的層面上帶來了可擴(kuò)展的能力。

二、大數(shù)據(jù)量，高性能

NoSQL數(shù)據(jù)庫都具有非常高的讀寫性能，尤其在大數(shù)據(jù)量下，同樣表現(xiàn)優(yōu)秀。這得益于它的無關(guān)系性，數(shù)據(jù)庫的結(jié)構(gòu)簡單。一般MySQL使用Query Cache。NoSQL的Cache是記錄級的，是一種細(xì)粒度的Cache，所以NoSQL在這個層面上來說性能就要高很多。

三、靈活的數(shù)據(jù)模型

NoSQL無須事先為要存儲的數(shù)據(jù)建立字段，隨時可以存儲自定義的數(shù)據(jù)格式。而在關(guān)系數(shù)據(jù)庫里，增刪字段是一件非常麻煩的事情。如果是非常大數(shù)據(jù)量的表，增加字段簡直就是——個噩夢。這點在大數(shù)據(jù)量的Web2.0時代尤其明顯。

四、高可用

NoSQL在不太影響性能的情況，就可以方便地實現(xiàn)高可用的架構(gòu)。比如Cassandra、HBase模型，通過復(fù)制模型也能實現(xiàn)高可用。

參考資料來源：百度百科-NoSQL

Redis的主要功能？

緩存：這應(yīng)該是 Redis 最主要的功能了，也是大型網(wǎng)站必備機(jī)制，合理地使用緩存不僅可以加 快數(shù)據(jù)的訪問速度，而且能夠有效地降低后端數(shù)據(jù)源的壓力。

共享Session：對于一些依賴 session 功能的服務(wù)來說，如果需要從單機(jī)變成集群的話，可以選擇 redis 來統(tǒng)一管理 session。消息隊列系統(tǒng)：消息隊列系統(tǒng)可以說是一個大型網(wǎng)站的必備基礎(chǔ)組件，因為其具有業(yè)務(wù) 解耦、非實時業(yè)務(wù)削峰等特性。Redis提供了發(fā)布訂閱功能和阻塞隊列的功 能，雖然和專業(yè)的消息隊列比還不夠足夠強(qiáng)大，但是對于一般的消息隊列功能基本可以滿足。比如在分布式爬蟲系統(tǒng)中，使用 redis 來統(tǒng)一管理 url隊列。

分布式鎖：在分布式服務(wù)中?？梢岳肦edis的setnx功能來編寫分布式的鎖，雖然這個可能不是太常用。 當(dāng)然還有諸如排行榜、點贊功能都可以使用 Redis 來實現(xiàn)，但是 Redis 也不是什么都可以做，比如數(shù)據(jù)量特別大時，不適合 Redis，我們知道 Redis 是基于內(nèi)存的，雖然內(nèi)存很便宜，但是如果你每天的數(shù)據(jù)量特別大，比如幾億條的用戶行為日志數(shù)據(jù)，用 Redis 來存儲的話，成本相當(dāng)?shù)母摺?/p>

網(wǎng)站名稱：評論點贊nosql,評論點贊軟件
本文網(wǎng)址：http://m.rwnh.cn/article44/dscoiee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊、手機(jī)網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)、電子商務(wù)、ChatGPT、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)