DW2.0下一代資料倉儲架構_第10章 DW2.0與安全(讀書筆記)

版權宣告：
該系列文章（DW2.0下一代資料倉儲架構）內容系作者學習用筆記，
歡迎共同學習，所載內容版權歸原書作（譯）者所有，請勿轉載商用。
 
    鑑於資料倉儲應用的廣泛性（包括交易處理系統和歸檔系統等），在DW2.0環境中採取不同形式的安全措施和從不同角度解決安全問題就
不足為奇。

保護訪問資料
    最簡單方法是必須非常小心誰曾經訪問過它。對訪問使用者設定屏障在一定程度上可以防止未經同意或未經授權的使用者訪問資料。這些
屏障有多種形式，例如密碼，特殊交易和軟體的干預。屏障有益於整個DW2.0環境：從互動區到整合區、近線區和歸檔區。

加密技術
    另一種保護資料的方式是加密資料。當資料被加密時，它以一種不同有其初始格式的格式重寫。雖然任何人都可以訪問加密的資料，但
只有那些知道如何解密的人才能夠理解資料真正的含義。透過加密保護資料並不是要保護它不被訪問，而是透過將解密機制限制為只有授權
使用者才能得到來保護資料。在DW2.0環境中，加密技術在某些情況下是有用的，但由於它存在一些弊端，因此使用它必須非常小心。

    資料的訪問保護和資料加密，這兩項安全技術以不同的形式、不同的方面應用於整個DW2.0環境。這兩種型別的安全技術都有缺點。保護
資料不被非授權地訪問需要有一個自有的技術基礎設施。因此，需要一定的管理成本來維持保護性基礎設施的更新。資料加密也有明確的相
關成本。當資料被加密時，就會關閉資料倉儲系統的一些重要部分。加密的資料不能被有效索引；訪問資料時，人們在執行查詢前必須先對
查詢中的引數進行加密；而且它不能用於邏輯或數值的計算和比較。

防火牆
    最著名的安全型別就是防火牆。防火牆用於連線外部世界與公司的內部系統的網路中。防火牆用於管理控制從Internet進入內部網路的
事務處理的防火牆。防火牆保護僅僅應用於對互動區的訪問，因為互動區是DW2.0架構中活動的事物處理進行的地方。

使資料離線
    保護的一種基本形式是使DW2.0中非互動式資料離線。在DW2.0資料倉儲中的整合區、近線區和歸檔區必須不能與因特網有直接的介面。
完全將這些資料倉儲的關鍵區域與因特網隔離，意味著即使是最好的駭客也不能得到資料庫中的資料，只有互動區中的資料處於風險中。
這是一個非常有效簡單地安全措施。允許進入整合區的互動區資料必須首先經過ETL介面處理才能進入整合區。在整合區、近線區和歸檔區中
的資料仍然能夠被訪問；然而，訪問他們需要妥及處理或被授權訪問機構的內部網路。

限制性加密
    加密只涉及到記錄中幾個欄位。儘管對加密資料建立索引在技術上是可行的，但資料加密後再想獲取它並不容易。透過僅對記錄中資料
的一小部分進行加密，可最小化加密所帶來的弊端。為了恢復被加密資料的實際值，就需要一些方法。加密資料實際所代表的值要麼透過
檢查索引來確定，要麼透過一種演算法來確定。機密技術最好用於DW2.0環境的整合區，因為資料加密所固有的弊端，如果要將其應用在所有
地方，那麼就應該有節制地使用。加密技術是否適用於歸檔區值得商榷。

直接轉儲
    跟一個有效地屏障的作用一樣，對非授權的資料訪問，可以透過簡單地進行一個資料的系統轉儲，然後手動讀取資料來繞過安全保護問
題。當進行系統資料轉儲之後，除了加密意外，資料不受其他保護，此時，可以手工讀取資料。大多數人並不會手工讀取被轉儲的資料。如
果想要完整地讀取一個被轉儲的資料集，還要遵循一套晦澀難解的規則。然而被轉儲的資料庫中，文字資料可以被很容易地讀取，不需要專
門的技術和工具。因此，如果僅是要從轉出資料中挑選出文字，那麼一個非技術人員也可以讀取轉出資料並做大這一點。因為讀取轉儲資料
繞過所有其他形式的保護，因此最好有某種形式的加密保護。這種保護尤其適用於DW2.0環境中的整合區。

資料倉儲監視
    資料倉儲監視是DW2.0環境一個標準建議。可以確定誰正在尋找什麼樣的資料。確定誰正在提交查詢，查詢什麼資料庫，這些是資料倉儲
監視可以做的最有用的事情。資料倉儲監視和事務監視兩者都產生事務日誌。事務日誌是一個能被檢測到的活動的記錄。分析師可以透過讀
取資料倉儲監視的事務日誌，可以知道誰正在查詢什麼資料。

檢測攻擊
    對來自DW2.0環境以外的攻擊，在它成為一個嚴重問題之前，或最好在發生之前，進行檢測是一種很好的保護資料倉儲的方法。迅速確定
無效的或未經授權的訪問可以使機構能夠檢測到並停止一個攻擊。有時候一個系統在不知道密碼的情況下想要進入另一個系統。解決這個問
題的一個有效辦法是在系統內設定許多不同的密碼以防止未經授權的訪問。一旦攻擊產生了能夠進入系統的密碼，攻擊路線上還儲存了其他
好的密碼供今後使用。這種型別的攻擊可以透過記錄發給系統的不被接受的密碼檢測到。如果突然出現大量無效的密碼，系統就會檢測到一
個攻擊，然後系統可以選擇性地關閉，直至攻擊結束。隨著事務透過Internet的流入，這種攻擊最有可能發生在DW2.0的互動區。

近線區資料的安全
    近線區是對保護要求最少的環境。近線區僅僅是整合區的擴充套件，因此任何適用於整合區的安全措施同樣適用於近線區。另外，在增長的
操作過程中，近線區不能訪問它自身；因此近線區需要最少的保護。
    最後歸檔區資料也需要保護。歸檔資料採用標準的方式進行保護--透過授權訪問以及加密技術。但是，由於歸檔資料往往是放在磁碟
儲存意外的儲存介質中，因此有更多的可能性區保護它。許多歸檔環境都包括錄入和登出過程。如果一個資料單元被保護，不允許對資料進
行登出是一個很好的方法，這就對資料增加了一個額外的保護層。

總結：
    對於真個DW2.0環境來說安全是必須的，DW2.0環境的多樣性和複雜性要求在整個環境中存在多種不同的安全。
    有兩種基本型別的安全：1、對於未經授權的訪問，在其前面設定一定的屏障；資料加密，任何人都能夠訪問資料，但只有經過授權的人
才能正確的理解資料。
    還有一種消極的安全，這種方式並不試圖阻止人們訪問資料，但是用一個日誌記錄儲存所有被訪問的資料。在檢測到一個未經授權的
攻擊發生後，這種消極的監視會報告都有什麼資料被訪問，被誰訪問。
    另一種保護資料的技術室儘可能地使資料離線，這可以防止網上駭客對資料的訪問。
    攻擊監測檢視是否存在對資料的數目異常的未經授權的訪問。