- 相關(guān)推薦
電子商務(wù)數(shù)據(jù)庫安全隱患及對策論文
摘要:網(wǎng)絡(luò)時(shí)代的到來,眾多企業(yè)紛紛借助互聯(lián)網(wǎng)技術(shù)開展電子商務(wù)的運(yùn)營模式。建設(shè)電子商務(wù)網(wǎng)站就是其中最重要的工作之一,安全問題對于整個(gè)網(wǎng)站建設(shè)起到至關(guān)重要的作用。電子商務(wù)網(wǎng)站的核心是數(shù)據(jù)庫,本文試圖從數(shù)據(jù)庫安全的角度,來探討和分析電子商務(wù)網(wǎng)站建設(shè)中的安全隱患,并進(jìn)一步提出相應(yīng)對策。
關(guān)鍵詞:電子商務(wù)網(wǎng)站;數(shù)據(jù)庫;安全隱患
一、引言
隨著互聯(lián)網(wǎng)信息化和大數(shù)據(jù)時(shí)代的到來,電子商務(wù)平臺以其高效、便捷、成本低、個(gè)性化等特性引領(lǐng)時(shí)代潮流。企業(yè)可以開展無實(shí)體店經(jīng)營,個(gè)人足不出戶即可博覽國內(nèi)乃至國際一切商品,并進(jìn)一步完成購買環(huán)節(jié)。但基于互聯(lián)網(wǎng)的開放性和虛擬性特點(diǎn),電子商務(wù)網(wǎng)站安全問題就像一個(gè)隱形“毒瘤”,時(shí)刻威脅著企業(yè)和用戶的安全利益,并制約著電子商務(wù)穩(wěn)健的進(jìn)一步發(fā)展?梢姡髽I(yè)在建設(shè)電子商務(wù)網(wǎng)站時(shí),不僅要關(guān)注網(wǎng)站的實(shí)用性和美觀度,更要注重安全問題。電子商務(wù)網(wǎng)站的數(shù)據(jù)庫是網(wǎng)站的核心信息,比如交易記錄、商業(yè)數(shù)據(jù)等。因此,如何保證電子商務(wù)網(wǎng)站建設(shè)中的數(shù)據(jù)庫安全就成為開發(fā)設(shè)計(jì)人員首要解決的問題。
二、電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫的安全隱患
1.電子商務(wù)網(wǎng)站的開放性特征,使得網(wǎng)站數(shù)據(jù)庫本身就存在著很大安全隱患,常見電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全隱患如下。
基礎(chǔ)硬件的安全隱患。電子商務(wù)這種商務(wù)模式在我國發(fā)展歷程短,電子商務(wù)技術(shù)尚處于開發(fā)與運(yùn)營的初期階段,硬件設(shè)施還依然是電子商務(wù)網(wǎng)站建設(shè)的“短板”。各種硬件條件短缺、配套資金匱乏等因素使得電子商務(wù)網(wǎng)站建設(shè)過程中使用的硬件設(shè)施不夠先進(jìn),硬件安全性存在較多漏洞。導(dǎo)致電子商務(wù)網(wǎng)站很容易遭受不法分子的惡意侵害,網(wǎng)站中的數(shù)據(jù)資料遭受竊取或篡改。
2.數(shù)據(jù)庫登錄方式的安全隱患。為便于后期對電子商務(wù)網(wǎng)站數(shù)據(jù)庫的訪問,電子商務(wù)網(wǎng)站建設(shè)時(shí)一般設(shè)置兩種登錄數(shù)據(jù)庫的方式:
、臰indows身份驗(yàn)證模式;
、茢(shù)據(jù)庫直接訪問,即通過電子商務(wù)網(wǎng)站數(shù)據(jù)庫對網(wǎng)站內(nèi)容進(jìn)行瀏覽。但第二種方式在使用時(shí)存在安全風(fēng)險(xiǎn)。多數(shù)用戶在登錄時(shí)習(xí)慣選擇系統(tǒng)默認(rèn)用戶名,而后為了方便進(jìn)入網(wǎng)站數(shù)據(jù)庫又選擇“記住密碼”。這就增大了網(wǎng)站后臺管理系統(tǒng)的安全隱患,把網(wǎng)站前臺用戶名和密碼的安全管理也要負(fù)責(zé)在內(nèi)。另外,很多用戶完全直接選擇數(shù)據(jù)庫默認(rèn)的用戶名和密碼會(huì)導(dǎo)致數(shù)據(jù)庫外泄。眾所周知,“sa”是SQLServer數(shù)據(jù)庫的系統(tǒng)默認(rèn)賬號,還是一個(gè)超級用戶賬號,就常常被受到攻擊[1]。
3.數(shù)據(jù)庫結(jié)構(gòu)的安全隱患。電子商務(wù)網(wǎng)站建設(shè)前期,開發(fā)者與設(shè)計(jì)人員制定的數(shù)據(jù)庫設(shè)計(jì)方案不夠完善,一般體現(xiàn)在以下三個(gè)方面:
、拍J(rèn)了固定、有規(guī)律的數(shù)據(jù)庫文件的存放位置。比如Access數(shù)據(jù)庫文件一般放在Web目錄中,這個(gè)規(guī)律就會(huì)被不法分子利用來查找并下載數(shù)據(jù)庫文件,導(dǎo)致網(wǎng)站的數(shù)據(jù)被竊取。
、茢(shù)據(jù)表和數(shù)據(jù)字段的非自定義命名。有的數(shù)據(jù)庫表和數(shù)據(jù)字段名直接使用關(guān)鍵詞Admi、User等命名,不利于數(shù)據(jù)的安全。
、菙(shù)據(jù)表無法防止被重命名。由于開發(fā)人員沒有制定對策對數(shù)據(jù)表重命名進(jìn)行前后綴處理,可能會(huì)導(dǎo)致出現(xiàn)安全問題[2]。
4.網(wǎng)站后臺管理系統(tǒng)的安全隱患。后臺管理系統(tǒng)對于前臺網(wǎng)頁的穩(wěn)定運(yùn)行起著至關(guān)重要的作用,在網(wǎng)站運(yùn)營過程中,后臺數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全事故會(huì)導(dǎo)致整個(gè)電子商務(wù)網(wǎng)站平臺癱瘓,為此一定要確保數(shù)據(jù)庫后臺管理系統(tǒng)工作時(shí)處在安全穩(wěn)定的環(huán)境。但由于目前國內(nèi)電子商務(wù)平臺尚處于發(fā)展初期,數(shù)據(jù)庫后臺管理系統(tǒng)在設(shè)計(jì)時(shí)還很難克服以下問題:
⑴數(shù)據(jù)庫開發(fā)設(shè)計(jì)人員水平受限,將數(shù)據(jù)庫后臺管理系統(tǒng)的某些功能設(shè)置放在網(wǎng)站首頁,直接暴露了數(shù)據(jù)庫后臺管理系統(tǒng)的地址。這是因?yàn)榧夹g(shù)人員通常會(huì)采用web來對數(shù)據(jù)庫進(jìn)行訪問、管理及維護(hù),從而保證網(wǎng)址首頁能夠正常穩(wěn)定地運(yùn)行。
、普麄(gè)數(shù)據(jù)庫后臺系統(tǒng)有且只有首頁需要對管理員的權(quán)限進(jìn)行驗(yàn)證,后續(xù)所有的管理界面均不再需要驗(yàn)證指令。因此攻擊者只需直接輸入U(xiǎn)RL地址,就可以繞過驗(yàn)證進(jìn)入到后臺管理之中直接對數(shù)據(jù)庫進(jìn)行訪問管理,嚴(yán)重危及數(shù)據(jù)庫的安全[3]。
5.服務(wù)器地址設(shè)計(jì)的安全隱患在電子商務(wù)網(wǎng)站建設(shè)初期要設(shè)計(jì)服務(wù)器地址,但部分設(shè)計(jì)人員對服務(wù)器設(shè)計(jì)工作不夠重視。
、艛(shù)據(jù)庫用戶與用戶名的連接問題容易出現(xiàn)文件內(nèi)容泄露等現(xiàn)象;
、齐娮由虅(wù)網(wǎng)站開發(fā)設(shè)計(jì)部門工作不夠嚴(yán)謹(jǐn),像諸如源代碼的撰寫工作等,如果設(shè)計(jì)不夠嚴(yán)謹(jǐn)將會(huì)導(dǎo)致電子商務(wù)網(wǎng)站癱瘓[4]。
三、電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫的安全對策
1.完善配套的軟硬件設(shè)施。在電子商務(wù)網(wǎng)站建設(shè)中,一方面要及時(shí)更新?lián)Q代硬件設(shè)施,另一方面要完善軟件設(shè)施。一般常從以下幾方面完善軟件設(shè)施:
、偶皶r(shí)對操作系統(tǒng)打補(bǔ)丁,減少違規(guī)操作;
、撇捎脭(shù)據(jù)加密技術(shù)、防火墻技術(shù)、殺毒軟件及時(shí)等多種技術(shù)進(jìn)行安全防范;
、窃陔娮由虅(wù)網(wǎng)站前后臺均對數(shù)據(jù)庫進(jìn)行加密;
、炔捎脧(fù)雜口令或生物特征等密碼驗(yàn)證的方式進(jìn)行登錄驗(yàn)證,并對其用戶名和密碼進(jìn)行無痕登錄安全保護(hù);
、赏晟坪透聰(shù)據(jù)庫系統(tǒng)軟件;
⑹設(shè)置虛擬接入端口,并進(jìn)行動(dòng)態(tài)變換。
2.自定義特殊賬號管理數(shù)據(jù)庫系統(tǒng)。電子商務(wù)網(wǎng)站建設(shè)期間,數(shù)據(jù)庫安全控制部門務(wù)必要重視特殊性賬號管理工作,提升特殊性賬號的安全性。例如:前面提到的“sa”賬號就是一個(gè)不可被刪除、無法被修改的特殊賬號。并且數(shù)據(jù)庫管理人員后期為了數(shù)據(jù)庫系統(tǒng)的需要,也會(huì)建立與“sa”同樣功能的賬號,但“sa”這類賬號本身安全性能低,這就需要技術(shù)人員特別重視、特殊管理,做到既要保證提升工作效率,又要避免出現(xiàn)數(shù)據(jù)庫軟件泄露的安全事故。
3.設(shè)計(jì)科學(xué)規(guī)范的數(shù)據(jù)庫結(jié)構(gòu)。建議從以下幾個(gè)方面設(shè)計(jì)數(shù)據(jù)庫結(jié)構(gòu):
、鸥哪J(rèn)下的數(shù)據(jù)庫文件存儲(chǔ)位置。如SQLSERVER系統(tǒng),DATA文件夾是默認(rèn)路徑下的文件夾,開發(fā)人員可更改存放路徑和文件夾,而后修改與數(shù)據(jù)庫連接的相關(guān)文件信息。
、剖褂肙DBC數(shù)據(jù)源。ODBC的優(yōu)點(diǎn)是用它生成的應(yīng)用程序與數(shù)據(jù)庫或數(shù)據(jù)庫引擎無關(guān),以統(tǒng)一的方式處理所有的數(shù)據(jù)庫,隔離了數(shù)據(jù)庫的實(shí)現(xiàn)細(xì)節(jié)。數(shù)據(jù)庫設(shè)計(jì)人員在具備管理和維護(hù)IIS的權(quán)限下,配置新的ODBC數(shù)據(jù)源,合理放置好更改后的數(shù)據(jù)庫文件的存儲(chǔ)位置。
、遣捎梅浅R(guī)命名方法:j更改數(shù)據(jù)庫文件名?蔀閿(shù)據(jù)庫主文件取復(fù)雜類姓名,并把它存放在較深層的路徑下。如網(wǎng)上服飾店的主文件名,不要起諸如“myclothing.mdf”、“fashion.mdf”或“dress.mdf”之類的名字,再把它放在如“/mcl/ed359/rck/fo136/bct”之類的較深層的路徑下;k數(shù)據(jù)庫表和字段的命名?刹捎米帜负蛿(shù)字組合命名的方式為數(shù)據(jù)庫表加上前后綴。
4.加強(qiáng)網(wǎng)站后臺管理系統(tǒng)的安全性?蓮囊韵聨追矫嬷郑
⑴不要在安全性較低的網(wǎng)頁上放置數(shù)據(jù)庫后臺管理系統(tǒng)的鏈接,采用非常規(guī)命名法對首頁文件命名;
⑵使用復(fù)雜的用戶名和口令。把后臺管理數(shù)據(jù)的用戶名和口令封裝在服務(wù)器中,權(quán)限放置最低;
、窃O(shè)置Session變量自動(dòng)分配不同頁面中用戶權(quán)限的SessionID;
、燃丛谥黜撁嬗猩矸蒡(yàn)證,其他頁面也要有身份驗(yàn)證。先判斷是否從已驗(yàn)證頁面跳轉(zhuǎn)過來,否則不能進(jìn)入當(dāng)前頁面[5]。
5.建立數(shù)據(jù)庫備份和恢復(fù)機(jī)制。數(shù)據(jù)庫資源是電子商務(wù)網(wǎng)站運(yùn)行的“血液”,建立加強(qiáng)數(shù)據(jù)庫備份和恢復(fù)機(jī)制是提升電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全性能的重中之重。一旦網(wǎng)站數(shù)據(jù)庫資源遭到安全問題,可以第一時(shí)間利用備份資源找到原始數(shù)據(jù)。為此就要求對電子商務(wù)網(wǎng)站的數(shù)據(jù)庫進(jìn)行定期備份。數(shù)據(jù)備份與恢復(fù)機(jī)制是對數(shù)據(jù)庫管理機(jī)制的有效補(bǔ)充和完善。以SQLSERVER數(shù)據(jù)庫為例,數(shù)據(jù)備份和恢復(fù)常采用備份數(shù)據(jù)庫中.mdf和.ldf文件或者附加數(shù)據(jù)庫中.mdf和.ldf文件的方式。此外,務(wù)必要對數(shù)據(jù)庫賬戶進(jìn)行嚴(yán)格的加密處理。
四、結(jié)論
總之,建設(shè)電子商務(wù)平臺的人員可從電子商務(wù)網(wǎng)站數(shù)據(jù)庫的軟硬件設(shè)施、數(shù)據(jù)庫結(jié)構(gòu)、數(shù)據(jù)庫后臺管理、數(shù)據(jù)庫備份等幾方面著手,再結(jié)合企業(yè)實(shí)際綜合使用這些對策,一定可以為使用電子商務(wù)平臺的相關(guān)者消除一些不必要的安全隱患,從而使電子商務(wù)向更高、更健康的方向發(fā)展。
參考文獻(xiàn)
[1]王德山,王科超.電子商務(wù)網(wǎng)站建設(shè)中的數(shù)據(jù)庫安全問題與防范對策淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(1):49.
[2]王蕾.電子商務(wù)網(wǎng)站中的數(shù)據(jù)庫安全問題研究[J].通訊世界,2015(13):30-31.
[3]陳芳.電子商務(wù)背景下網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題的探討[J].電腦迷,2016(8):37-38.
[4]陳文杰.電子商務(wù)網(wǎng)站開發(fā)過程中數(shù)據(jù)庫安全問題探究[J].電腦知識與技術(shù),2017(6):269-270.
[5]韋立蓉.電子商務(wù)網(wǎng)站建設(shè)設(shè)計(jì)中的信息安全方案機(jī)制[J].電腦知識與技術(shù).2017(28):287-288.
【電子商務(wù)數(shù)據(jù)庫安全隱患及對策論文】相關(guān)文章:
電子商務(wù)發(fā)展對策論文05-20
電子商務(wù)發(fā)展對策論文(通用16篇)02-06
電子商務(wù)發(fā)展對策論文【匯總15篇】05-21
電子商務(wù)畢業(yè)論文-論我國電子商務(wù)對稅收的影響及對策03-05
電子商務(wù)稅收問題及對策11-15
電子商務(wù)對稅收的影響及對策.03-21
電子商務(wù)論文03-07
電子商務(wù)的論文05-21
[精選]電子商務(wù)論文06-23