一份難得的數(shù)據(jù)庫市場分析報告

目錄

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供海南州企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為海南州眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進行中。

- 數(shù)據(jù)庫分類維度：關(guān)系型/非關(guān)系型、交易型/分析型

- NoSQL數(shù)據(jù)庫的進一步分類

- OLTP市場規(guī)模：關(guān)系型數(shù)據(jù)庫仍占營收大頭

- 數(shù)據(jù)庫市場份額：云服務(wù)和新興廠商主導(dǎo)NoSQL

- 開源數(shù)據(jù)庫 vs. 商業(yè)數(shù)據(jù)庫

- 數(shù)據(jù)庫三大陣營：傳統(tǒng)廠商和云服務(wù)提供商

最近由于時間原因我寫東西少了，在公眾號上也轉(zhuǎn)載過幾篇搞數(shù)據(jù)庫朋友的大作。按說我算是外行，沒資格在這個領(lǐng)域品頭論足，而當我看到下面這份報告時立即產(chǎn)生了學(xué)習的興趣，同時也想就能看懂的部分寫點心得體會分享給大家。

可能本文比較適合普及性閱讀，讓數(shù)據(jù)庫領(lǐng)域資深的朋友見笑了：）

數(shù)據(jù)庫分類維度：關(guān)系型/非關(guān)系型、交易型/分析型

首先是分類維度，上圖中的縱軸分類為Relational Database（關(guān)系型數(shù)據(jù)庫，RDBMS）和Nonrelational Database （非關(guān)系型數(shù)據(jù)庫，NoSQL），橫軸的分類為Operational（交易型，即OLTP）和Analytical（分析型，即OLAP）。

按照習慣我們先看關(guān)系型數(shù)據(jù)庫，左上角的交易型類別中包括大家熟悉的商業(yè)數(shù)據(jù)庫Oracle、MS SQL Server、DB2、Infomix，也包括開源領(lǐng)域流行的MySQL（MariaDB是它的一個分支）、PostgreSQL，還有云上面比較常見的SQL Azure和Amazon Aurora等。

比較有意思的是，SAP HANA正好位于交易型和分析型的中間分界處，不要忘了SAP還收購了Sybase，盡管后者今天不夠風光了，而早年微軟的SQL Server都是來源于Sybase。Sybase的ASE數(shù)據(jù)庫和分析型Sybase IQ還是存在的。

右上角的分析型產(chǎn)品中包括幾款知名的列式數(shù)據(jù)倉庫Pivotal Greenplum、Teradata和IBM Netezza（已宣布停止支持），來自互聯(lián)網(wǎng)巨頭的Google Big Query和Amazon RedShift。至于Oracle Exadata一體機，它上面運行的也是Oracle數(shù)據(jù)庫，其最初設(shè)計用途是OLAP，而在后來發(fā)展中也可以良好兼顧OLTP，算是一個跨界產(chǎn)品吧。

再來看非關(guān)系型數(shù)據(jù)庫，左下角的交易型產(chǎn)品中，有幾個我看著熟悉的MongoDB、Redis、Amazon DynamoDB和DocumentDB等；右下角的分析型產(chǎn)品包括著名的Hadoop分支Cloudera、Hortonworks（這2家已并購），Bigtable（來自Google，Hadoop中的HBase是它的開源實現(xiàn)）、Elasticsearch等。

顯然非關(guān)系型數(shù)據(jù)庫的分類要更加復(fù)雜，產(chǎn)品在應(yīng)用中的差異化也比傳統(tǒng)關(guān)系型數(shù)據(jù)庫更大。Willian Blair很負責任地對它們給出了進一步的分類。

NoSQL數(shù)據(jù)庫的進一步分類

上面這個圖表應(yīng)該說很清晰了。非關(guān)系型數(shù)據(jù)庫可以分為Document-based Store（基于文檔的存儲）、Key-Value Store（鍵值存儲）、Graph-based（圖數(shù)據(jù)庫）、Time Series（時序數(shù)據(jù)庫），以及Wide Cloumn-based Store（寬列式存儲）。

我們再來看下每個細分類別中的產(chǎn)品：

文檔存儲 ：MongoDB、Amazon DocumentDB、Azure Cosmos DB等

Key-Value存儲 ：Redis Labs、Oracle Berkeley DB、Amazon DynamoDB、Aerospike等

圖數(shù)據(jù)庫 ：Neo4j等

時序數(shù)據(jù)庫 ：InfluxDB等

WideCloumn ：DataStax、Cassandra、Apache HBase和Bigtable等

多模型數(shù)據(jù)庫 ：支持上面不只一種類別特性的NoSQL，比如MongoDB、Redis Labs、Amazon DynamoDB和Azure Cosmos DB等。

OLTP市場規(guī)模：關(guān)系型數(shù)據(jù)庫仍占營收大頭

上面這個基于IDC數(shù)據(jù)的交易型數(shù)據(jù)庫市場份額共有3個分類，其中深藍色部分的關(guān)系型數(shù)據(jù)庫（RDBMS，在這里不統(tǒng)計數(shù)據(jù)挖掘/分析型數(shù)據(jù)庫）占據(jù)80%以上的市場。

Dynamic Database（DDMS，動態(tài)數(shù)據(jù)庫管理系統(tǒng)，同樣不統(tǒng)計Hadoop）就是我們前面聊的非關(guān)系型數(shù)據(jù)庫。這部分市場顯得?。ǖl(fā)展勢頭看好），我覺得與互聯(lián)網(wǎng)等大公司多采用開源+自研，而不買商業(yè)產(chǎn)品有關(guān)。

而遵循IDC的統(tǒng)計分類，在上圖灰色部分的“非關(guān)系型數(shù)據(jù)庫市場”其實另有定義，參見下面這段文字：

數(shù)據(jù)庫市場份額：云服務(wù)和新興廠商主導(dǎo)NoSQL

請注意，這里的關(guān)系型數(shù)據(jù)庫統(tǒng)計又包含了分析型產(chǎn)品。Oracle營收份額42%仍居第一，隨后排名依次為微軟、IBM、SAP和Teradata。

代表非關(guān)系型數(shù)據(jù)庫的DDMS分類中（這里同樣加入Hadoop等），云服務(wù)和新興廠商成為了主導(dǎo)，微軟應(yīng)該是因為云SQL Server的基礎(chǔ)而小幅領(lǐng)先于AWS，這2家一共占據(jù)超過50%的市場，接下來的排名是Google、Cloudera和Hortonworks（二者加起來13%）。

上面是IDC傳統(tǒng)分類中的“非關(guān)系型數(shù)據(jù)庫”，在這里IBM和CA等應(yīng)該主要是針對大型機的產(chǎn)品，InterSystems有一款在國內(nèi)醫(yī)療HIS系統(tǒng)中應(yīng)用的Caché數(shù)據(jù)庫（以前也是運行在Power小機上比較多）。我就知道這些，余下的就不瞎寫了。

開源數(shù)據(jù)庫 vs. 商業(yè)數(shù)據(jù)庫

按照流行度來看，開源數(shù)據(jù)庫從2013年到現(xiàn)在一直呈現(xiàn)增長，已經(jīng)快要追上商業(yè)數(shù)據(jù)庫了。

商業(yè)產(chǎn)品在關(guān)系型數(shù)據(jù)庫的占比仍然高達60.5%，而上表中從這列往左的分類都是開源占優(yōu)：

Wide Cloumn：開源占比81.8%；

時序數(shù)據(jù)庫：開源占比80.7%；

文檔存儲：開源占比80.0%；

Key-Value存儲：開源占比72.2%；

圖數(shù)據(jù)庫：開源占比68.4%；

搜索引擎：開源占比65.3%

按照開源License的授權(quán)模式，上面這個三角形越往下管的越寬松。比如MySQL屬于GPL，在互聯(lián)網(wǎng)行業(yè)用戶較多；而PostgreSQL屬于BSD授權(quán)，國內(nèi)有不少數(shù)據(jù)庫公司的產(chǎn)品就是基于Postgre哦。

數(shù)據(jù)庫三大陣營：傳統(tǒng)廠商和云服務(wù)提供商

前面在討論市場份額時，我提到過交易型數(shù)據(jù)庫的4個巨頭仍然是Oracle、微軟、IBM和SAP，在這里William Blair將他們歸為第一陣營。

隨著云平臺的不斷興起，AWS、Azure和GCP（Google Cloud Platform）組成了另一個陣營，在國外分析師的眼里還沒有BAT，就像有的朋友所說，國內(nèi)互聯(lián)網(wǎng)巨頭更多是自身業(yè)務(wù)導(dǎo)向的，在本土發(fā)展公有云還有些優(yōu)勢，短時間內(nèi)將技術(shù)輸出到國外的難度應(yīng)該還比較大。（當然我并不認為國內(nèi)缺優(yōu)秀的DBA和研發(fā)人才）

第三個陣容就是規(guī)模小一些，但比較專注的數(shù)據(jù)庫玩家。

接下來我再帶大家簡單過一下這前兩個陣容，看看具體的數(shù)據(jù)庫產(chǎn)品都有哪些。

甲骨文的產(chǎn)品，我相對熟悉一些的有Oracle Database、MySQL以及Exadata一體機。

IBM DB2也是一個龐大的家族，除了傳統(tǒng)針對小型機、x86（好像用的人不多）、z/OS大型機和for i的版本之外，如今也有了針對云和數(shù)據(jù)挖掘的產(chǎn)品。記得抱枕大師對Informix的技術(shù)比較推崇，可惜這個產(chǎn)品發(fā)展似乎不太理想。

微軟除了看家的SQL Server之外，在Azure云上還能提供MySQL、PostgreSQL和MariaDB開源數(shù)據(jù)庫。應(yīng)該說他們是傳統(tǒng)軟件License+PaaS服務(wù)兩條腿走路的。

如今人們一提起SAP的數(shù)據(jù)庫就想起HANA，之前從Sybase收購來的ASE（Adaptive Server Enterprise）和IQ似乎沒有之前發(fā)展好了。

在云服務(wù)提供商數(shù)據(jù)庫的3巨頭中，微軟有SQL Server的先天優(yōu)勢，甚至把它移植到了Linux擁抱開源平臺。關(guān)系型數(shù)據(jù)庫的創(chuàng)新方面值得一提的是Amazon Aurora和Google Spanner（也有非關(guān)系型特性），至于它們具體好在哪里我就不裝內(nèi)行了：）

非關(guān)系型數(shù)據(jù)庫則是Amazon全面開花，這與其云計算業(yè)務(wù)發(fā)展早并且占據(jù)優(yōu)勢有關(guān)。Google當年的三篇經(jīng)典論文對業(yè)界影響深遠，Yahoo基于此開源的Hadoop有一段時間幾乎是大數(shù)據(jù)的代名詞。HBase和Hive如今已不再是人們討論的熱點，而Bigtable和BigQuery似乎仍然以服務(wù)Google自身業(yè)務(wù)為主，畢竟GCP的規(guī)模比AWS要小多了。

最后這張DB-Engines的排行榜，相信許多朋友都不陌生，今年3月已經(jīng)不是最新的數(shù)據(jù)，在這里列出只是給大家一個參考。該排行榜幾乎在每次更新時，都會有國內(nèi)數(shù)據(jù)庫專家撰寫點評。

以上是我周末的學(xué)習筆記，班門弄斧，希望對大家有幫助。

參考資料《Database Software Market:The Long-Awaited Shake-up》

擴展閱讀：《 數(shù)據(jù)庫存儲：互相最想知道的事 》

尊重知識，轉(zhuǎn)載時請保留全文。感謝您的閱讀和支持！

什么是NoSQL數(shù)據(jù)庫？

2. 什么是NoSQL？

2.1 NoSQL 概述

NoSQL(NoSQL = Not Only SQL )，意即“不僅僅是SQL”，

泛指非關(guān)系型的數(shù)據(jù)庫。隨著互聯(lián)網(wǎng)web2.0網(wǎng)站的興起，傳統(tǒng)的關(guān)系數(shù)據(jù)庫在應(yīng)付web2.0網(wǎng)站，特別是超大規(guī)模和高并發(fā)的SNS類型的web2.0純動態(tài)網(wǎng)站已經(jīng)顯得力不從心，暴露了很多難以克服的問題，而非關(guān)系型的數(shù)據(jù)庫則由于其本身的特點得到了非常迅速的發(fā)展。NoSQL數(shù)據(jù)庫的產(chǎn)生就是為了解決大規(guī)模數(shù)據(jù)集合多重數(shù)據(jù)種類帶來的挑戰(zhàn)，尤其是大數(shù)據(jù)應(yīng)用難題，包括超大規(guī)模數(shù)據(jù)的存儲。

（例如谷歌或Facebook每天為他們的用戶收集萬億比特的數(shù)據(jù)）。這些類型的數(shù)據(jù)存儲不需要固定的模式，無需多余操作就可以橫向擴展。

2.2 NoSQL代表

MongDB、 Redis、Memcache

3. 關(guān)系型數(shù)據(jù)庫與NoSQL的區(qū)別？

3.1 RDBMS

高度組織化結(jié)構(gòu)化數(shù)據(jù)

結(jié)構(gòu)化查詢語言（SQL）

數(shù)據(jù)和關(guān)系都存儲在單獨的表中。

數(shù)據(jù)操縱語言，數(shù)據(jù)定義語言

嚴格的一致性

基礎(chǔ)事務(wù)

ACID

關(guān)系型數(shù)據(jù)庫遵循ACID規(guī)則

事務(wù)在英文中是transaction，和現(xiàn)實世界中的交易很類似，它有如下四個特性：

A (Atomicity) 原子性

原子性很容易理解，也就是說事務(wù)里的所有操作要么全部做完，要么都不做，事務(wù)成功的條件是事務(wù)里的所有操作都成功，只要有一個操作失敗，整個事務(wù)就失敗，需要回滾。比如銀行轉(zhuǎn)賬，從A賬戶轉(zhuǎn)100元至B賬戶，分為兩個步驟：1）從A賬戶取100元；2）存入100元至B賬戶。這兩步要么一起完成，要么一起不完成，如果只完成第一步，第二步失敗，錢會莫名其妙少了100元。

C (Consistency) 一致性

一致性也比較容易理解，也就是說數(shù)據(jù)庫要一直處于一致的狀態(tài)，事務(wù)的運行不會改變數(shù)據(jù)庫原本的一致性約束。

I (Isolation) 獨立性

所謂的獨立性是指并發(fā)的事務(wù)之間不會互相影響，如果一個事務(wù)要訪問的數(shù)據(jù)正在被另外一個事務(wù)修改，只要另外一個事務(wù)未提交，它所訪問的數(shù)據(jù)就不受未提交事務(wù)的影響。比如現(xiàn)有有個交易是從A賬戶轉(zhuǎn)100元至B賬戶，在這個交易還未完成的情況下，如果此時B查詢自己的賬戶，是看不到新增加的100元的

D (Durability) 持久性

持久性是指一旦事務(wù)提交后，它所做的修改將會永久的保存在數(shù)據(jù)庫上，即使出現(xiàn)宕機也不會丟失。

3.2 NoSQL

代表著不僅僅是SQL

沒有聲明性查詢語言

沒有預(yù)定義的模式

鍵 - 值對存儲，列存儲，文檔存儲，圖形數(shù)據(jù)庫

最終一致性，而非ACID屬性

非結(jié)構(gòu)化和不可預(yù)知的數(shù)據(jù)

CAP定理

高性能，高可用性和可伸縮性

分布式數(shù)據(jù)庫中的CAP原理(了解)

CAP定理：

Consistency(一致性), 數(shù)據(jù)一致更新，所有數(shù)據(jù)變動都是同步的

Availability(可用性), 好的響應(yīng)性能

Partition tolerance(分區(qū)容錯性) 可靠性

P: 系統(tǒng)中任意信息的丟失或失敗不會影響系統(tǒng)的繼續(xù)運作。

定理：任何分布式系統(tǒng)只可同時滿足二點，沒法三者兼顧。

CAP理論的核心是：一個分布式系統(tǒng)不可能同時很好的滿足一致性，可用性和分區(qū)容錯性這三個需求，

因此，根據(jù) CAP 原理將 NoSQL 數(shù)據(jù)庫分成了滿足 CA 原則、滿足 CP 原則和滿足 AP 原則三 大類：

CA - 單點集群，滿足一致性，可用性的系統(tǒng)，通常在可擴展性上不太強大。

CP - 滿足一致性，分區(qū)容忍性的系統(tǒng)，通常性能不是特別高。

AP - 滿足可用性，分區(qū)容忍性的系統(tǒng)，通常可能對一致性要求低一些。

CAP理論就是說在分布式存儲系統(tǒng)中，最多只能實現(xiàn)上面的兩點。

而由于當前的網(wǎng)絡(luò)硬件肯定會出現(xiàn)延遲丟包等問題，所以分區(qū)容忍性是我們必須需要實現(xiàn)的。

所以我們只能在一致性和可用性之間進行權(quán)衡，沒有NoSQL系統(tǒng)能同時保證這三點。

說明：C：強一致性 A：高可用性 P：分布式容忍性

舉例：

CA：傳統(tǒng)Oracle數(shù)據(jù)庫

AP：大多數(shù)網(wǎng)站架構(gòu)的選擇

CP：Redis、Mongodb

注意：分布式架構(gòu)的時候必須做出取舍。

一致性和可用性之間取一個平衡。多余大多數(shù)web應(yīng)用，其實并不需要強一致性。

因此犧牲C換取P，這是目前分布式數(shù)據(jù)庫產(chǎn)品的方向。

4. 當下NoSQL的經(jīng)典應(yīng)用

當下的應(yīng)用是 SQL 與 NoSQL 一起使用的。

代表項目：阿里巴巴商品信息的存放。

去 IOE 化。

ps：I 是指 IBM 的小型機，很貴的，好像好幾萬一臺；O 是指 Oracle 數(shù)據(jù)庫，也很貴的，好幾萬呢；M 是指 EMC 的存儲設(shè)備，也很貴的。

難點：

數(shù)據(jù)類型多樣性。

數(shù)據(jù)源多樣性和變化重構(gòu)。

數(shù)據(jù)源改造而服務(wù)平臺不需要大面積重構(gòu)。

如何選擇NoSQL數(shù)據(jù)庫

NoSQL，指的是非關(guān)系型的數(shù)據(jù)庫。隨著互聯(lián)網(wǎng)web2.0網(wǎng)站的興起，傳統(tǒng)的關(guān)系數(shù)據(jù)庫在應(yīng)付web2.0網(wǎng)站，特別是超大規(guī)模和高并發(fā)的

SNS類型的web2.0純動態(tài)網(wǎng)站已經(jīng)顯得力不從心，暴露了很多難以克服的問題，而非關(guān)系型的數(shù)據(jù)庫則由于其本身的特點得到了非常迅速的發(fā)展。

NoSQL(NoSQL

= Not Only SQL

)，意即“不僅僅是SQL”，是一項全新的數(shù)據(jù)庫革命性運動，早期就有人提出，發(fā)展至2009年趨勢越發(fā)高漲。NoSQL的擁護者們提倡運用非關(guān)系型的數(shù)

據(jù)存儲，相對于鋪天蓋地的關(guān)系型數(shù)據(jù)庫運用，這一概念無疑是一種全新的思維的注入。

從這一新興技術(shù)中選擇一款正確的NoSQL數(shù)據(jù)庫是非常具有挑戰(zhàn)性的。比一下網(wǎng)建議在選擇時考慮以下因素：

并發(fā)控制

并

發(fā)控制指的是當多個用戶同時更新運行時，用于保護數(shù)據(jù)庫完整性的各種技術(shù)。并發(fā)機制不正確可能導(dǎo)致臟讀、幻讀和不可重復(fù)讀等此類問題。并發(fā)控制的目的是保

證一個用戶的工作不會對另一個用戶的工作產(chǎn)生不合理的影響。在某些情況下，這些措施保證了當用戶和其他用戶一起操作時，所得的結(jié)果和她單獨操作時的結(jié)果是

一樣的。在另一些情況下，這表示用戶的工作按預(yù)定的方式受其他用戶的影響。

封鎖

就是事務(wù)T在對某個數(shù)據(jù)對象（例如表、記錄等）操作之前，先向系統(tǒng)發(fā)出請求，對其加鎖。加鎖后事務(wù)T就對該數(shù)據(jù)對象有了一定的控制，在事務(wù)T釋放它的鎖之前，其它的事務(wù)不能更新此數(shù)據(jù)對象。

封鎖是一次只允許一個用戶讀取或修改的一種機制，是實現(xiàn)并發(fā)控制的一個非常重要的技術(shù)。

MVCC

Multi-Version Concurrency Control多版本并發(fā)控制，維持一個數(shù)據(jù)的多個版本使讀寫操作沒有沖突。MVCC優(yōu)化了數(shù)據(jù)庫并發(fā)系統(tǒng)，使系統(tǒng)在有大量并發(fā)用戶時得到最高的性能，并且可以不用關(guān)閉服務(wù)器就直接進行熱備份。

ACID

指

數(shù)據(jù)庫事務(wù)正確執(zhí)行的四個基本要素的縮寫。包含：原子性(Atomicity）、一致性（Consistency）、隔離性（Isolation）、持久

性（Durability）。一個支持事務(wù)（Transaction）的數(shù)據(jù)庫系統(tǒng)，必需要具有這四種特性，否則在事務(wù)過程（Transaction

processing）當中無法保證數(shù)據(jù)的正確性，交易過程極可能達不到交易方的要求。

None

一些系統(tǒng)不提供原子性。

鏡像

數(shù)據(jù)庫鏡像是DBMS根據(jù)DBA的要求，自動把整個數(shù)據(jù)庫或其中的關(guān)鍵數(shù)據(jù)復(fù)制到另一個磁盤上，每當主數(shù)據(jù)庫更新時，DBMS會自動把更新后的數(shù)據(jù)復(fù)制過去，即DBMS自動保證鏡像數(shù)據(jù)與主數(shù)據(jù)的一致性。

鏡像分為同步和異步。

數(shù)據(jù)存儲

指的是數(shù)據(jù)的物理特性怎樣被存儲在數(shù)據(jù)庫中。

磁盤 數(shù)據(jù)被存儲在硬盤驅(qū)動器里；

GFS或谷歌文件系統(tǒng)是一個由谷歌開發(fā)的專有的分布式文件系統(tǒng)；

Hadoop是Apache軟件框架，免費許可下支持數(shù)據(jù)密集型分布式應(yīng)用程序；

RAM隨機存儲器；

插件 可以添加外部插件；

Amazon S3通過Web服務(wù)接口提供存儲；

BDB：BDB

全稱是 “Berkeley DB”，它是MySQL具有事務(wù)能力的表類型，由Sleepycat

Software開發(fā)。BDB表類型提供了MySQL用戶長久期盼的功能，即事務(wù)控制能力。在任何RDBMS中，事務(wù)控制能力都是一種極其重要和寶貴的功

能。事務(wù)控制能力使得我們能夠確保一組命令確實已經(jīng)全部執(zhí)行成功，或者確保當任何一個命令出現(xiàn)錯誤時所有命令的執(zhí)行結(jié)果均被退回。

實現(xiàn)語言

實現(xiàn)語言會影響數(shù)據(jù)庫的發(fā)展速度。典型的NoSQL數(shù)據(jù)庫是用低級語言如C / C + +編寫的。另一方面，那些更高層次的語言如Java，使自定義更容易。

實現(xiàn)語言有：C, C++, Erlang, Java, Python

特性

考慮下列哪一個特點對你的數(shù)據(jù)庫是最重要的：

持久性

可用性

一致性

分區(qū)容忍性

證書類型

下面這些許可證是一個不同的開放源碼許可的形式：

GPL：通用公共許可證

BSD：伯克利軟件分發(fā)

MPL：Mozilla公共許可證

EPL：Eclipse公共許可證

IDPL：最初的開發(fā)者的公共許可證

LGPL：較寬松通用公共許可證

存儲類型

存儲類型是NoSQL數(shù)據(jù)庫最大的不同，是決定使用哪款數(shù)據(jù)庫的一個首要指標。

關(guān)鍵字：支持get、put和刪除操作

按列存儲：相對于傳統(tǒng)的按行存儲，數(shù)據(jù)集成容易多了

面向文件系統(tǒng)：存儲像是JSON或XML這樣的結(jié)構(gòu)化文件，很容易就能從面向?qū)ο筌浖蝎@取數(shù)據(jù)。

NoSQL數(shù)據(jù)庫是否意味著缺乏安全性？

NoSQL薄弱的安全性會給企業(yè)帶來負面影響 。Imperva公司創(chuàng)始人兼CTO Amichai Shulman如是說。在新的一年中，無疑會有更多企業(yè)開始或籌劃部署NoSQL。方案落實后就會逐漸發(fā)現(xiàn)種種安全問題，因此早做準備才是正確的選擇。 作為傳統(tǒng)關(guān)系型數(shù)據(jù)庫的替代方案，NoSQL在查詢中并不使用SQL語言，而且允許用戶隨時變更數(shù)據(jù)屬性。此類數(shù)據(jù)庫以擴展性良好著稱，并能夠在需要大量應(yīng)用程序與數(shù)據(jù)庫本身進行實時交互的交易處理任務(wù)中發(fā)揮性能優(yōu)勢，Couchbase創(chuàng)始人兼產(chǎn)品部門高級副總裁James Phillips解釋稱：NoSQL以交易業(yè)務(wù)為核心。它更注重實時處理能力并且擅長直接對數(shù)據(jù)進行操作，大幅度促進了交互型軟件系統(tǒng)的發(fā)展。Phillips指出。其中最大的優(yōu)勢之一是能夠隨時改變(在屬性方面)，由于結(jié)構(gòu)性的弱化，修改過程非常便捷。 NoSQL最大優(yōu)勢影響其安全性 NoSQL的關(guān)鍵性特色之一是其動態(tài)的數(shù)據(jù)模型，Shulman解釋道。我可以在其運作過程中加入新的屬性記錄。因此與這種結(jié)構(gòu)相匹配的安全模型必須具備一定的前瞻性規(guī)劃。也就是說，它必須能夠了解數(shù)據(jù)庫引入的新屬性將引發(fā)哪些改變，以及新加入的屬性擁有哪些權(quán)限。然而這個層面上的安全概念目前尚不存在，根本沒有這樣的解決方案。 根據(jù)Phillips的說法，某些NoSQL開發(fā)商已經(jīng)開始著手研發(fā)安全機制，至少在嘗試保護數(shù)據(jù)的完整性。在關(guān)系型數(shù)據(jù)庫領(lǐng)域，如果我們的數(shù)據(jù)組成不正確，那么它將無法與結(jié)構(gòu)并行運作，換言之數(shù)據(jù)插入操作整體將宣告失敗。目前各種驗證規(guī)則與完整性檢查已經(jīng)比較完善，而事實證明這些驗證機制都能在NoSQL中發(fā)揮作用。我們與其他人所推出的解決方案類似，都會在插入一條新記錄或是文檔型規(guī)則時觸發(fā)，并在執(zhí)行過程中確保插入數(shù)據(jù)的正確性。 Shulman預(yù)計新用戶很快將在配置方面捅出大婁子，這并非因為IT工作人員的玩忽職守，實際上主要原因是NoSQL作為一項新技術(shù)導(dǎo)致大多數(shù)人對其缺乏足夠的知識基礎(chǔ)。Application Security研發(fā)部門TeamSHATTER的經(jīng)理Alex Rothacker對上述觀點表示贊同。他指出，培訓(xùn)的一大問題在于，大多數(shù)NoSQL的從業(yè)者往往屬于新生代IT人士，他們對于技術(shù)了解較多，但往往缺乏足夠的安全管理經(jīng)驗。 如果他們從傳統(tǒng)關(guān)系型數(shù)據(jù)庫入手，那么由于強制性安全機制的完備，他們可以在使用中學(xué)習。但NoSQL，只有行家才能通過觀察得出正確結(jié)論，并在大量研究工作后找到一套完備的安全解決方案。因此可能有90%的從業(yè)者由于知識儲備、安全經(jīng)驗或是工作時間的局限而無法做到這一點。 NoSQL需在安全性方面進行優(yōu)化 盡管Phillips認同新技術(shù)與舊經(jīng)驗之間存在差異，但企業(yè)在推廣NoSQL時加大對安全性的關(guān)注會起到很大程度的積極作用。他認為此類數(shù)據(jù)存儲機制與傳統(tǒng)關(guān)系類數(shù)據(jù)庫相比，其中包含著的敏感類信息更少，而且與企業(yè)網(wǎng)絡(luò)內(nèi)部其它應(yīng)用程序的接觸機會也小得多。 他們并不把這項新技術(shù)完全當成數(shù)據(jù)庫使用，正如我們在收集整理大量來自其它應(yīng)用程序的業(yè)務(wù)類數(shù)據(jù)時，往往也會考慮將其作為企業(yè)數(shù)據(jù)存儲機制一樣，他補充道。當然，如果我打算研發(fā)一套具備某種特定功能的社交網(wǎng)絡(luò)、社交游戲或是某種特殊web應(yīng)用程序，也很可能會將其部署于防火墻之下。這樣一來它不僅與應(yīng)用程序緊密結(jié)合，也不會被企業(yè)中的其它部門所觸及。 但Rothacker同時表示，這種過度依賴周邊安全機制的數(shù)據(jù)庫系統(tǒng)也存在著極其危險的漏洞。一旦系統(tǒng)完全依附于周邊安全模型，那么驗證機制就必須相對薄弱，而且缺乏多用戶管理及數(shù)據(jù)訪問方面的安全保護。只要擁有高權(quán)限賬戶，我們幾乎能訪問存儲機制中的一切數(shù)據(jù)。舉例來說，Brian Sullivan就在去年的黑帽大會上演示了如何在完全不清楚數(shù)據(jù)具體內(nèi)容的情況下，將其信息羅列出來甚至導(dǎo)出。 而根據(jù)nCircle公司CTO Tim ‘TK’ Keanini的觀點，即使是與有限的應(yīng)用程序相關(guān)聯(lián)，NoSQL也很有可能被暴露在互聯(lián)網(wǎng)上。在缺少嚴密網(wǎng)絡(luò)劃分的情況下，它可能成為攻擊者窺探存儲數(shù)據(jù)的薄弱環(huán)節(jié)。因為NoSQL在設(shè)計上主要用于互聯(lián)網(wǎng)規(guī)模的部署，所以它很可能被直接連接到互聯(lián)網(wǎng)中，進而面臨大量攻擊行為。 其中發(fā)生機率最高的攻擊行為就是注入式攻擊，這也是一直以來肆虐于關(guān)系類數(shù)據(jù)庫領(lǐng)域的頭號公敵。盡管NoSQL沒有將SQL作為查詢語言，也并不代表它能夠免受注入式攻擊的威脅。雖然不少人宣稱SQL注入在NoSQL這邊不起作用，但其中的原理是完全一致的。攻擊者需要做的只是改變自己注入內(nèi)容的語法形式，Rothacker解釋稱。也就是說雖然SQL注入不會出現(xiàn)，但JavaScript注入或者JSON注入同樣能威脅安全。 此外，攻擊者在籌劃對這類數(shù)據(jù)庫展開侵襲時，也很可能進一步優(yōu)化自己的工具。不成熟的安全技術(shù)往往帶來這樣的窘境：需要花費大量時間學(xué)習如何保障其安全，但幾乎每個IT人士都能迅速掌握攻擊活動的組織方法。因此我認為攻擊者將會始終走在安全部署的前面，Shulman說道。遺憾的是搞破壞總比防范工作更容易，而我們已經(jīng)看到不少NoSQL技術(shù)方面的公開漏洞，尤其是目前引起熱議的、以JSON注入為載體的攻擊方式。 NoSQL安全性并非其阻礙 然而，這一切都不應(yīng)該成為企業(yè)使用NoSQL的阻礙，他總結(jié)道。我認為歸根結(jié)底，這應(yīng)該算是企業(yè)的一種商業(yè)決策。只要這種選擇能夠帶來吸引力巨大的商業(yè)機遇，就要承擔一定風險，Shulman解釋道。但應(yīng)該采取一定措施以盡量弱化這種風險。 舉例來說，鑒于數(shù)據(jù)庫對外部安全機制的依賴性，Rothacker建議企業(yè)積極考慮引入加密方案。他警告稱，企業(yè)必須對與NoSQL相對接的應(yīng)用程序代碼仔細檢查。換言之，企業(yè)必須嚴格挑選負責此類項目部署的人選，確保將最好的人才用于這方面事務(wù)，Shulman表示。當大家以NoSQL為基礎(chǔ)編寫應(yīng)用程序時，必須啟用有經(jīng)驗的編程人員，因為客戶端軟件是抵擋安全問題的第一道屏障。切實為額外緩沖區(qū)的部署留出時間與預(yù)算，這能夠讓員工有閑暇反思自己的工作內(nèi)容并盡量多顧及安全考量多想一點就是進步。綜上所述，這可能與部署傳統(tǒng)的關(guān)系類數(shù)據(jù)庫也沒什么不同。 具有諷刺意味的是，近年來數(shù)據(jù)庫應(yīng)用程序在安全性方面的提升基本都跟數(shù)據(jù)庫本身沒什么關(guān)系，nCircle公司安全研究及開發(fā)部門總監(jiān)Oliver Lavery如是說。

本文題目：nosql交易,什么是noSQL數(shù)據(jù)庫
標題路徑：http://aaarwkj.com/article42/dsspihc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、網(wǎng)站內(nèi)鏈、域名注冊、定制開發(fā)、建站公司、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)