電子商務(wù)數(shù)據(jù)庫(kù)安全隱患及對(duì)策論文

電子商務(wù)數(shù)據(jù)庫(kù)安全隱患及對(duì)策論文

　　摘要:網(wǎng)絡(luò)時(shí)代的到來(lái)，眾多企業(yè)紛紛借助互聯(lián)網(wǎng)技術(shù)開(kāi)展電子商務(wù)的運(yùn)營(yíng)模式。建設(shè)電子商務(wù)網(wǎng)站就是其中最重要的工作之一，安全問(wèn)題對(duì)于整個(gè)網(wǎng)站建設(shè)起到至關(guān)重要的作用。電子商務(wù)網(wǎng)站的核心是數(shù)據(jù)庫(kù)，本文試圖從數(shù)據(jù)庫(kù)安全的角度，來(lái)探討和分析電子商務(wù)網(wǎng)站建設(shè)中的安全隱患，并進(jìn)一步提出相應(yīng)對(duì)策。

　　關(guān)鍵詞:電子商務(wù)網(wǎng)站;數(shù)據(jù)庫(kù);安全隱患

　　一、引言

　　隨著互聯(lián)網(wǎng)信息化和大數(shù)據(jù)時(shí)代的到來(lái)，電子商務(wù)平臺(tái)以其高效、便捷、成本低、個(gè)性化等特性引領(lǐng)時(shí)代潮流。企業(yè)可以開(kāi)展無(wú)實(shí)體店經(jīng)營(yíng)，個(gè)人足不出戶(hù)即可博覽國(guó)內(nèi)乃至國(guó)際一切商品，并進(jìn)一步完成購(gòu)買(mǎi)環(huán)節(jié)。但基于互聯(lián)網(wǎng)的開(kāi)放性和虛擬性特點(diǎn)，電子商務(wù)網(wǎng)站安全問(wèn)題就像一個(gè)隱形“毒瘤”，時(shí)刻威脅著企業(yè)和用戶(hù)的安全利益，并制約著電子商務(wù)穩(wěn)健的進(jìn)一步發(fā)展。可見(jiàn)，企業(yè)在建設(shè)電子商務(wù)網(wǎng)站時(shí)，不僅要關(guān)注網(wǎng)站的實(shí)用性和美觀度，更要注重安全問(wèn)題。電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)是網(wǎng)站的核心信息，比如交易記錄、商業(yè)數(shù)據(jù)等。因此，如何保證電子商務(wù)網(wǎng)站建設(shè)中的數(shù)據(jù)庫(kù)安全就成為開(kāi)發(fā)設(shè)計(jì)人員首要解決的問(wèn)題。

　　二、電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫(kù)的安全隱患

　　1.電子商務(wù)網(wǎng)站的開(kāi)放性特征，使得網(wǎng)站數(shù)據(jù)庫(kù)本身就存在著很大安全隱患，常見(jiàn)電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫(kù)安全隱患如下。

　　基礎(chǔ)硬件的安全隱患。電子商務(wù)這種商務(wù)模式在我國(guó)發(fā)展歷程短，電子商務(wù)技術(shù)尚處于開(kāi)發(fā)與運(yùn)營(yíng)的初期階段，硬件設(shè)施還依然是電子商務(wù)網(wǎng)站建設(shè)的“短板”。各種硬件條件短缺、配套資金匱乏等因素使得電子商務(wù)網(wǎng)站建設(shè)過(guò)程中使用的硬件設(shè)施不夠先進(jìn)，硬件安全性存在較多漏洞。導(dǎo)致電子商務(wù)網(wǎng)站很容易遭受不法分子的惡意侵害，網(wǎng)站中的數(shù)據(jù)資料遭受竊取或篡改。

　　2.數(shù)據(jù)庫(kù)登錄方式的安全隱患。為便于后期對(duì)電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)的訪問(wèn)，電子商務(wù)網(wǎng)站建設(shè)時(shí)一般設(shè)置兩種登錄數(shù)據(jù)庫(kù)的方式：

　�、臰indows身份驗(yàn)證模式；

　�、茢�(shù)據(jù)庫(kù)直接訪問(wèn)，即通過(guò)電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)對(duì)網(wǎng)站內(nèi)容進(jìn)行瀏覽。但第二種方式在使用時(shí)存在安全風(fēng)險(xiǎn)。多數(shù)用戶(hù)在登錄時(shí)習(xí)慣選擇系統(tǒng)默認(rèn)用戶(hù)名，而后為了方便進(jìn)入網(wǎng)站數(shù)據(jù)庫(kù)又選擇“記住密碼”。這就增大了網(wǎng)站后臺(tái)管理系統(tǒng)的安全隱患，把網(wǎng)站前臺(tái)用戶(hù)名和密碼的安全管理也要負(fù)責(zé)在內(nèi)。另外，很多用戶(hù)完全直接選擇數(shù)據(jù)庫(kù)默認(rèn)的用戶(hù)名和密碼會(huì)導(dǎo)致數(shù)據(jù)庫(kù)外泄。眾所周知，“sa”是SQLServer數(shù)據(jù)庫(kù)的系統(tǒng)默認(rèn)賬號(hào)，還是一個(gè)超級(jí)用戶(hù)賬號(hào)，就常常被受到攻擊[1]。

　　3.數(shù)據(jù)庫(kù)結(jié)構(gòu)的安全隱患。電子商務(wù)網(wǎng)站建設(shè)前期，開(kāi)發(fā)者與設(shè)計(jì)人員制定的數(shù)據(jù)庫(kù)設(shè)計(jì)方案不夠完善，一般體現(xiàn)在以下三個(gè)方面：

　　⑴默認(rèn)了固定、有規(guī)律的數(shù)據(jù)庫(kù)文件的存放位置。比如Access數(shù)據(jù)庫(kù)文件一般放在Web目錄中，這個(gè)規(guī)律就會(huì)被不法分子利用來(lái)查找并下載數(shù)據(jù)庫(kù)文件，導(dǎo)致網(wǎng)站的數(shù)據(jù)被竊取。

　�、茢�(shù)據(jù)表和數(shù)據(jù)字段的非自定義命名。有的數(shù)據(jù)庫(kù)表和數(shù)據(jù)字段名直接使用關(guān)鍵詞Admi、User等命名，不利于數(shù)據(jù)的安全。

　�、菙�(shù)據(jù)表無(wú)法防止被重命名。由于開(kāi)發(fā)人員沒(méi)有制定對(duì)策對(duì)數(shù)據(jù)表重命名進(jìn)行前后綴處理，可能會(huì)導(dǎo)致出現(xiàn)安全問(wèn)題[2]。

　　4.網(wǎng)站后臺(tái)管理系統(tǒng)的安全隱患。后臺(tái)管理系統(tǒng)對(duì)于前臺(tái)網(wǎng)頁(yè)的穩(wěn)定運(yùn)行起著至關(guān)重要的作用，在網(wǎng)站運(yùn)營(yíng)過(guò)程中，后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)出現(xiàn)安全事故會(huì)導(dǎo)致整個(gè)電子商務(wù)網(wǎng)站平臺(tái)癱瘓，為此一定要確保數(shù)據(jù)庫(kù)后臺(tái)管理系統(tǒng)工作時(shí)處在安全穩(wěn)定的環(huán)境。但由于目前國(guó)內(nèi)電子商務(wù)平臺(tái)尚處于發(fā)展初期，數(shù)據(jù)庫(kù)后臺(tái)管理系統(tǒng)在設(shè)計(jì)時(shí)還很難克服以下問(wèn)題：

　�、艛�(shù)據(jù)庫(kù)開(kāi)發(fā)設(shè)計(jì)人員水平受限，將數(shù)據(jù)庫(kù)后臺(tái)管理系統(tǒng)的某些功能設(shè)置放在網(wǎng)站首頁(yè)，直接暴露了數(shù)據(jù)庫(kù)后臺(tái)管理系統(tǒng)的地址。這是因?yàn)榧夹g(shù)人員通常會(huì)采用web來(lái)對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)、管理及維護(hù)，從而保證網(wǎng)址首頁(yè)能夠正常穩(wěn)定地運(yùn)行。

　�、普麄�(gè)數(shù)據(jù)庫(kù)后臺(tái)系統(tǒng)有且只有首頁(yè)需要對(duì)管理員的權(quán)限進(jìn)行驗(yàn)證，后續(xù)所有的管理界面均不再需要驗(yàn)證指令。因此攻擊者只需直接輸入U(xiǎn)RL地址，就可以繞過(guò)驗(yàn)證進(jìn)入到后臺(tái)管理之中直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)管理，嚴(yán)重危及數(shù)據(jù)庫(kù)的安全[3]。

　　5.服務(wù)器地址設(shè)計(jì)的安全隱患在電子商務(wù)網(wǎng)站建設(shè)初期要設(shè)計(jì)服務(wù)器地址，但部分設(shè)計(jì)人員對(duì)服務(wù)器設(shè)計(jì)工作不夠重視。

　�、艛�(shù)據(jù)庫(kù)用戶(hù)與用戶(hù)名的連接問(wèn)題容易出現(xiàn)文件內(nèi)容泄露等現(xiàn)象；

　�、齐娮由虅�(wù)網(wǎng)站開(kāi)發(fā)設(shè)計(jì)部門(mén)工作不夠嚴(yán)謹(jǐn)，像諸如源代碼的撰寫(xiě)工作等，如果設(shè)計(jì)不夠嚴(yán)謹(jǐn)將會(huì)導(dǎo)致電子商務(wù)網(wǎng)站癱瘓[4]。

　　三、電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫(kù)的安全對(duì)策

　　1.完善配套的軟硬件設(shè)施。在電子商務(wù)網(wǎng)站建設(shè)中，一方面要及時(shí)更新?lián)Q代硬件設(shè)施，另一方面要完善軟件設(shè)施。一般常從以下幾方面完善軟件設(shè)施：

　�、偶皶r(shí)對(duì)操作系統(tǒng)打補(bǔ)丁，減少違規(guī)操作；

　�、撇捎脭�(shù)據(jù)加密技術(shù)、防火墻技術(shù)、殺毒軟件及時(shí)等多種技術(shù)進(jìn)行安全防范；

　�、窃陔娮由虅�(wù)網(wǎng)站前后臺(tái)均對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密；

　　⑷采用復(fù)雜口令或生物特征等密碼驗(yàn)證的方式進(jìn)行登錄驗(yàn)證，并對(duì)其用戶(hù)名和密碼進(jìn)行無(wú)痕登錄安全保護(hù)；

　�、赏晟坪透�新數(shù)據(jù)庫(kù)系統(tǒng)軟件；

　　⑹設(shè)置虛擬接入端口，并進(jìn)行動(dòng)態(tài)變換。

　　2.自定義特殊賬號(hào)管理數(shù)據(jù)庫(kù)系統(tǒng)。電子商務(wù)網(wǎng)站建設(shè)期間，數(shù)據(jù)庫(kù)安全控制部門(mén)務(wù)必要重視特殊性賬號(hào)管理工作，提升特殊性賬號(hào)的安全性。例如：前面提到的“sa”賬號(hào)就是一個(gè)不可被刪除、無(wú)法被修改的特殊賬號(hào)。并且數(shù)據(jù)庫(kù)管理人員后期為了數(shù)據(jù)庫(kù)系統(tǒng)的需要，也會(huì)建立與“sa”同樣功能的賬號(hào)，但“sa”這類(lèi)賬號(hào)本身安全性能低，這就需要技術(shù)人員特別重視、特殊管理，做到既要保證提升工作效率，又要避免出現(xiàn)數(shù)據(jù)庫(kù)軟件泄露的安全事故。

　　3.設(shè)計(jì)科學(xué)規(guī)范的數(shù)據(jù)庫(kù)結(jié)構(gòu)。建議從以下幾個(gè)方面設(shè)計(jì)數(shù)據(jù)庫(kù)結(jié)構(gòu)：

　�、鸥�改默認(rèn)下的數(shù)據(jù)庫(kù)文件存儲(chǔ)位置。如SQLSERVER系統(tǒng)，DATA文件夾是默認(rèn)路徑下的文件夾，開(kāi)發(fā)人員可更改存放路徑和文件夾，而后修改與數(shù)據(jù)庫(kù)連接的相關(guān)文件信息。

　　⑵使用ODBC數(shù)據(jù)源。ODBC的優(yōu)點(diǎn)是用它生成的應(yīng)用程序與數(shù)據(jù)庫(kù)或數(shù)據(jù)庫(kù)引擎無(wú)關(guān)，以統(tǒng)一的方式處理所有的數(shù)據(jù)庫(kù)，隔離了數(shù)據(jù)庫(kù)的實(shí)現(xiàn)細(xì)節(jié)。數(shù)據(jù)庫(kù)設(shè)計(jì)人員在具備管理和維護(hù)IIS的權(quán)限下，配置新的ODBC數(shù)據(jù)源，合理放置好更改后的數(shù)據(jù)庫(kù)文件的存儲(chǔ)位置。

　　⑶采用非常規(guī)命名方法：j更改數(shù)據(jù)庫(kù)文件名。可為數(shù)據(jù)庫(kù)主文件取復(fù)雜類(lèi)姓名，并把它存放在較深層的路徑下。如網(wǎng)上服飾店的主文件名，不要起諸如“myclothing.mdf”、“fashion.mdf”或“dress.mdf”之類(lèi)的名字，再把它放在如“/mcl/ed359/rck/fo136/bct”之類(lèi)的較深層的路徑下；k數(shù)據(jù)庫(kù)表和字段的命名�？刹捎米帜负蛿�(shù)字組合命名的方式為數(shù)據(jù)庫(kù)表加上前后綴。

　　4.加強(qiáng)網(wǎng)站后臺(tái)管理系統(tǒng)的安全性�？蓮囊韵聨追矫嬷�手：

　　⑴不要在安全性較低的網(wǎng)頁(yè)上放置數(shù)據(jù)庫(kù)后臺(tái)管理系統(tǒng)的鏈接，采用非常規(guī)命名法對(duì)首頁(yè)文件命名；

　�、剖褂脧�(fù)雜的用戶(hù)名和口令。把后臺(tái)管理數(shù)據(jù)的用戶(hù)名和口令封裝在服務(wù)器中，權(quán)限放置最低；

　�、窃O(shè)置Session變量自動(dòng)分配不同頁(yè)面中用戶(hù)權(quán)限的SessionID；

　　⑷即在主頁(yè)面有身份驗(yàn)證，其他頁(yè)面也要有身份驗(yàn)證。先判斷是否從已驗(yàn)證頁(yè)面跳轉(zhuǎn)過(guò)來(lái)，否則不能進(jìn)入當(dāng)前頁(yè)面[5]。

　　5.建立數(shù)據(jù)庫(kù)備份和恢復(fù)機(jī)制。數(shù)據(jù)庫(kù)資源是電子商務(wù)網(wǎng)站運(yùn)行的“血液”，建立加強(qiáng)數(shù)據(jù)庫(kù)備份和恢復(fù)機(jī)制是提升電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)安全性能的重中之重。一旦網(wǎng)站數(shù)據(jù)庫(kù)資源遭到安全問(wèn)題，可以第一時(shí)間利用備份資源找到原始數(shù)據(jù)。為此就要求對(duì)電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)進(jìn)行定期備份。數(shù)據(jù)備份與恢復(fù)機(jī)制是對(duì)數(shù)據(jù)庫(kù)管理機(jī)制的有效補(bǔ)充和完善。以SQLSERVER數(shù)據(jù)庫(kù)為例，數(shù)據(jù)備份和恢復(fù)常采用備份數(shù)據(jù)庫(kù)中.mdf和.ldf文件或者附加數(shù)據(jù)庫(kù)中.mdf和.ldf文件的方式。此外，務(wù)必要對(duì)數(shù)據(jù)庫(kù)賬戶(hù)進(jìn)行嚴(yán)格的加密處理。

　　四、結(jié)論

　　總之，建設(shè)電子商務(wù)平臺(tái)的人員可從電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)的軟硬件設(shè)施、數(shù)據(jù)庫(kù)結(jié)構(gòu)、數(shù)據(jù)庫(kù)后臺(tái)管理、數(shù)據(jù)庫(kù)備份等幾方面著手，再結(jié)合企業(yè)實(shí)際綜合使用這些對(duì)策，一定可以為使用電子商務(wù)平臺(tái)的相關(guān)者消除一些不必要的安全隱患，從而使電子商務(wù)向更高、更健康的方向發(fā)展。

　　參考文獻(xiàn)

　　[1]王德山，王科超.電子商務(wù)網(wǎng)站建設(shè)中的數(shù)據(jù)庫(kù)安全問(wèn)題與防范對(duì)策淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（1）：49.

　　[2]王蕾.電子商務(wù)網(wǎng)站中的數(shù)據(jù)庫(kù)安全問(wèn)題研究[J].通訊世界，2015（13）：30-31.

　　[3]陳芳.電子商務(wù)背景下網(wǎng)站開(kāi)發(fā)中數(shù)據(jù)庫(kù)安全問(wèn)題的探討[J].電腦迷，2016（8）：37-38.

　　[4]陳文杰.電子商務(wù)網(wǎng)站開(kāi)發(fā)過(guò)程中數(shù)據(jù)庫(kù)安全問(wèn)題探究[J].電腦知識(shí)與技術(shù)，2017（6）：269-270.

　　[5]韋立蓉.電子商務(wù)網(wǎng)站建設(shè)設(shè)計(jì)中的信息安全方案機(jī)制[J].電腦知識(shí)與技術(shù).2017（28）：287-288.

【電子商務(wù)數(shù)據(jù)庫(kù)安全隱患及對(duì)策論文】相關(guān)文章：

電子商務(wù)發(fā)展對(duì)策論文（通用16篇）05-29

計(jì)算機(jī)數(shù)據(jù)庫(kù)論文07-21

計(jì)算機(jī)數(shù)據(jù)庫(kù)論文07-20

預(yù)算管理業(yè)績(jī)?cè)u(píng)價(jià)對(duì)策的論文06-05

電子商務(wù)論文12-05

電子商務(wù)論文題目精選09-23

關(guān)于電子商務(wù)的論文07-20

電子商務(wù)安全論文07-20

電子商務(wù)與物流論文07-28

電子商務(wù)應(yīng)用論文11-02