论文部分内容阅读
【摘 要】随着经济的起飞和电子产品的普及,出现新兴的电子商务,人们的消费方式和交易途径也发生了翻天覆地的变化,电子商务带来的简洁、方便已经成为人们生活不可或缺的交易方式了。但随着电子商务的发展,安全性问题也逐渐浮现出来,比如电子商务网站的客观资料、销售方案、公司内部员工的资料等公司重要资料被攻击者盗取并发布在网上或者对数据库里的东西进行篡改。电子商务网站的安全是电子商务发展的基础跟前提,而作为电子商务网站核心的数据库安全更不容忽视。为了保证交易双方的利益,我们必须保证数据库的安全性。本文进一步对电子商务网站开发中存在的问题进行剖析,并且针对目前电子商务开发中的数据库存在的安全问题,提出保护电子商务网站开发中数据库安全的措施。
【关键词】电子商务 数据库 安全问题
信息全球化的今天,信息流动极其迅速,网络作为信息流动的主要渠道,里面的环境可谓是鱼龙混杂。在网络环境下运行的电子商务数据库就像一个普通的文件,里面储存了公司的大量资料,其中包括成千上万的交易数据和记录、合作伙伴资料,客户联系资料等等一些重要的数据。这些信息都将关系到一个企业的生存和发展,但目前这个网络大环境下,电子商务的数据库被盗取,数据泄露,数据被破坏等恶性事件常有发生,防不胜防,这些都反映了电子商务网站的数据库安全性遭到了很大的威胁,提高数据库的安全性迫在眉睫。要在鱼龙混杂的网络大环境中生存和发展,如何保证数据库的安全性显得尤为重要。
一、电子商务网站开发中的数据库安全问题
(一)操作系统和数据库管理系统存在问题
很多电子商务网站为了贪图方便都首先选择比较简单的WINDOWS系列的操作系统,其次再对LINUX系统的进行考虑,极少人会选择使用UNIX系统。因为目前绝大多计算机用户都使用DINDOWS系列的系統,所以对DINDOWS系统漏洞的发现相对比较容易,增加了黑客攻击系统的机会。其实在维护电子商务网站数据库安全问题上,数据库管理的防范和操作系统同样重要,但是很多运营商却往往存在认识误区,觉得只要做好操作系统的安全工作就行了。所以很多电子商务网站在开发之初对数据库管理系统的选择就缺乏对安全性进行考虑,当用户用web的渠道操作触发器等对象时,必须要进行身份验证,大多数数据库管理系统都有支持对数据库进行访问的账号与密码,比如在SQL Sever数据库管理系统中存在一个用户名为Sa的账号的超级用户,因为SQL Sever数据库管理系统不能对该用户进行删除或者更改名称,因此只能选择对该用户最强烈的保护,但是很多设计人员往往忽略上述存在的隐患而继续使用Sa用户,同时有些设计者往往贪图方便,设置简单容易被人猜测出来的密码例如,654321、555555,更有甚者直接把户空置起来。
(二)数据库的设计过程存在问题
网站开发过程中很多开发者往往只注重对功能的设计,并没有完善前期准备工作而直接进行编码而忽略了很多细节性问题,盲目增加数据库表并缺乏实际性保护措施,对代码的设计也过于随便,很多设计员都有个很不好的习惯,那就是为了方便在很多文件的命名上直接用拼音或者用文件的关键词的用英语形式来命名,往往喜欢在Data目录下放数据库,方便自己之余也“方便”攻击者,让他们更容易找到对应的文件。同时很多重要的数据以明文的形式存进数据库里,使得窃取者有机可乘,一旦攻击者拥有了管理员权限,那他就将进一步攻击网站的数据库,严重的话将会导致整个系统崩溃。
(三)管理系统首页和数据库的链接存在策略上问题
在对电子商务网站的数据库保护上,管理系统举足轻重。但是还是有很多设计者不太注意管理系统的安全问题,在后台管理系统链接方面,很多电子商务企业为了方便管理维护,直接在用户平常浏览的网页上设置后台管理首页链接,在权限设计方面,对管理员身份验证的权限设计薄弱,只有对首页的权限设计做强性要求,黑客可以利用此漏洞,可以避开管理员身份验证权限,攻击网站的后台,窃取数据库数据,另外一些管理员身份验证过于简单,这些都是电子商务开发中存在的安全隐患。数据库的链接同样存在很大问题,很多数据库链接文件都暴露了数据库文件的存取路径、数据库用户的口令还有名称,这些数据库链接都是容易泄露出去的,当攻击者找到这些数据库链接,就可以对数据库进行破坏或者下载。同时在源代码编写时直接使用Sa这种数据库管理系统自带的账号,攻击者就可以直接利用这种漏洞来控制系统的管理。
(四)SQL语句致使的安全问题
使用SQL语句的所有网站都存在因SQL致使的注入漏洞,该漏洞是2004后最具影响的漏洞,它一般是在程序员在编写的时候,没有对用户输入的信息进行判断是否正确的情况下产生安全隐患。攻击者在窃取数据库信息或者提升权限时,可以分析他们加了特殊字符的正常数据库代码在程序运行出来的结果,来获取电子商务网站的数据库的字段名还有表名。通常网站提供的操作数据库和输入注册信息的网页都存在很多的注入点。
(五)缺乏后台管理权限
人非圣人,往往在工作中都会有遗忘。肩负后台管理工作的管理员的工作量都很大,很多电子商务企业对网页的权限并没有具体的措施,很多时候由于管理员的遗忘在没人的情况下把后台管理页面暴露在屏幕上,致使攻击者可以使用合法权限去浏览操作数据库。
二、为确保电子商务网站开发中数据库的安全做出的对策
(一)优化数据库管理系统和对软件进行改进
数据库的运行和使用都离不开网络和计算机系统,威胁数据库安全的最主要因素是病毒的破坏,首先对病毒要进行多层防范,预防为主,防止和封杀一切病毒可能利用的网络平台,避免病毒的隐藏跟扩散,及时更新病毒库,把预防和主动查杀相结合,同时可以使用虚拟专用网来提高信息传输和接入的安全性。数据的传输工程也是很容易被人窃听的,应该对传输的数据进行加密处理。在数据库软件的选择上要从安全性方面考虑,把安全问题放在首位,不要贪图方便,尽量使用一些既能满足性能要求又能提高数据库安全性的数据库软件,例如MS SQL SERWER等大型的关系型的数据库软件。还有不要贪图方便快捷使用数据库管理系统默认的设置,尽量建立新的账号还有设置比较难猜测的密码。在对部署数据库软件问题上,要做好选择,在WEB开发问题上,数据库服务器要尽量开发最少的端口,不必要的端口要及时屏蔽掉,对于服务端口,要增加数据库服务器的抵御能力就要加大攻击者对服务端口的扫描难度。条件许可的情况下设置更高难度的口令或者经常换口令。 (二)端正设计姿态,树立科学发展观
细节决定成败,在电子商务网站开发中,管理员要端正设计者的工作姿态,要用发展的眼光去对待,及时做好防护措施,不能只注重结果,从源头上减少隐患。具体问题具体分析,对待不同的项目要有不同的思考空间,在设计的过程中要做好具体的分析,不能马虎或者跳跃式的工作,不能贪图一时的方便把一些数据弄成明文来存储。从科学发展观理论上出发,不能存在侥幸的心理,及时做好数据的备份还有数据丢失后的恢复机制,万一数据库被盗取还能尽可能地挽回损失。还有就是在代码设计时电子商务网站要有自己的一套规范的命名法则,反其道而行之,改变一贯的大众命名习惯,增加攻击者的猜测难度,管理好公司职工的职业操守,硬性规定公司职工不能把公司的命名法则泄露出去。
(三)提高后台管理系统的安全性
后台管理系统的安全是电子商务网站开发中数据库安全的关键所在,所以必须提高后台管理系统的安全性。首先不要随意在用户经常浏览的网页上设置管理系统首页链接。其次在用户名和口令的设置上也不能太随意,要设置一些猜测难度比较大的,防止口令和账号泄露。然后,不能用户在没有权限的情况下随便访问页面,我们可以利用Session变量识别用户的权限,达到對应的权限只能访问对应的网页的效果。最后,为了防止因管理员个人问题造成的人不在却把后台管理页面暴露在屏幕中,可以进行时间限制,设定一个时间范围,如果管理员在设定的时间范围内还不对后台管理页面进行操作那么后台管理页面就会自己关闭,好像电脑的屏幕保护一样。为了防止数据库被下载,(1)可以采取数据库文件名误导法,利用系统的错误警报系统,在设计数据库文件名的时候可以在它的后面加上#号,当产生错误识别的时候系统就会发出警报。(2)对数据库链接文件的数据源的选择上也要加以重视,加大窃取者的窃取难度,比如可以使用ODBC这样使窃取者无法在数据库的源代码上获取数据库的进一步资料。
(四)及时防止因SQL语句带来的漏洞
防范于未然,要及时采取有效的措施防止因SQL语句带来的漏洞问题。在管理权限方面要加以完善,在使用管理权限对数据库进行访问时要切记不能在程序中使用比较高的权限。在开发程序上要养成良好的习惯,比如在进行数据库查询程序的编写上,可以把单引号屏蔽掉。同时要做好核心代码的保密工作,使用数据库时不要直接运用SQL语句。
(五)对数据的存储和传输进行加密处理
数据的运行和传输都依赖网络这个大环境,电子商务网站的数据主要是做存储和传输这两方面的操作,所以攻击者往往会选择存储和传输中的数据,为了提高电子商务网站的重要数据不被盗取、篡改,提高数据的安全性,应该对数据的存储和传输进行加密处理,对数据进行加密可以使用密钥参数还有算法,用户要想对加密后的数据库进行访问必须有算法和密钥。
三、小结
只有发现问题才能解决问题,基于上述,我们大致可以了解到目前电子商务开发中数据库存在的安全问题,大致可以分为两方面。第一是系统方面的原因,操作系统和操作系统选择过于简单,大众。第二是数据的保护方面的原因,管理系统的首页链接和数据库链接没有做好隐藏保护工作,因管理员个人问题导致泄漏,后台管理权限保护过于薄弱,对QSL语句的使用过于麻痹大意。随着人们思想的解放,方便简单的电子商务行业已经逐渐被大部分人使用,电子商务网站也逐渐增多,其中存在的利用链条也很多,很多不法分子也是虎视眈眈,数据库的安保工作已不再是个小问题,为了确保广大消费者和商家的利益,电子商务网站要把数据库的安全作为一个系统工程来对待,必须提高数据库的安全性,防微杜渐。
【参考文献】
[1]文蓉. 电子商务网站开发中数据库安全问题分析. 计算机安全期刊,2007(12).
[2]赵乃真. 电子商务网站建设实例. 清华大学出版社,2005:61.
[3]雷光洪. 浅析电子商务系统中的数据库安全问题. 中文科技期刊,2010(10).
[4]张浩. 关于电子商务网站的数据库安全技术问题分析. 吉林省经济管理干部学院学报,2012(01).
[5]车延雪. 电子网站开发中数据库安全问题分析. 农业网络信息期刊,2012(08).
[6]袁亮. 关于电子商务数据安全研究. 科技信息(科技研究),2007(17).
【关键词】电子商务 数据库 安全问题
信息全球化的今天,信息流动极其迅速,网络作为信息流动的主要渠道,里面的环境可谓是鱼龙混杂。在网络环境下运行的电子商务数据库就像一个普通的文件,里面储存了公司的大量资料,其中包括成千上万的交易数据和记录、合作伙伴资料,客户联系资料等等一些重要的数据。这些信息都将关系到一个企业的生存和发展,但目前这个网络大环境下,电子商务的数据库被盗取,数据泄露,数据被破坏等恶性事件常有发生,防不胜防,这些都反映了电子商务网站的数据库安全性遭到了很大的威胁,提高数据库的安全性迫在眉睫。要在鱼龙混杂的网络大环境中生存和发展,如何保证数据库的安全性显得尤为重要。
一、电子商务网站开发中的数据库安全问题
(一)操作系统和数据库管理系统存在问题
很多电子商务网站为了贪图方便都首先选择比较简单的WINDOWS系列的操作系统,其次再对LINUX系统的进行考虑,极少人会选择使用UNIX系统。因为目前绝大多计算机用户都使用DINDOWS系列的系統,所以对DINDOWS系统漏洞的发现相对比较容易,增加了黑客攻击系统的机会。其实在维护电子商务网站数据库安全问题上,数据库管理的防范和操作系统同样重要,但是很多运营商却往往存在认识误区,觉得只要做好操作系统的安全工作就行了。所以很多电子商务网站在开发之初对数据库管理系统的选择就缺乏对安全性进行考虑,当用户用web的渠道操作触发器等对象时,必须要进行身份验证,大多数数据库管理系统都有支持对数据库进行访问的账号与密码,比如在SQL Sever数据库管理系统中存在一个用户名为Sa的账号的超级用户,因为SQL Sever数据库管理系统不能对该用户进行删除或者更改名称,因此只能选择对该用户最强烈的保护,但是很多设计人员往往忽略上述存在的隐患而继续使用Sa用户,同时有些设计者往往贪图方便,设置简单容易被人猜测出来的密码例如,654321、555555,更有甚者直接把户空置起来。
(二)数据库的设计过程存在问题
网站开发过程中很多开发者往往只注重对功能的设计,并没有完善前期准备工作而直接进行编码而忽略了很多细节性问题,盲目增加数据库表并缺乏实际性保护措施,对代码的设计也过于随便,很多设计员都有个很不好的习惯,那就是为了方便在很多文件的命名上直接用拼音或者用文件的关键词的用英语形式来命名,往往喜欢在Data目录下放数据库,方便自己之余也“方便”攻击者,让他们更容易找到对应的文件。同时很多重要的数据以明文的形式存进数据库里,使得窃取者有机可乘,一旦攻击者拥有了管理员权限,那他就将进一步攻击网站的数据库,严重的话将会导致整个系统崩溃。
(三)管理系统首页和数据库的链接存在策略上问题
在对电子商务网站的数据库保护上,管理系统举足轻重。但是还是有很多设计者不太注意管理系统的安全问题,在后台管理系统链接方面,很多电子商务企业为了方便管理维护,直接在用户平常浏览的网页上设置后台管理首页链接,在权限设计方面,对管理员身份验证的权限设计薄弱,只有对首页的权限设计做强性要求,黑客可以利用此漏洞,可以避开管理员身份验证权限,攻击网站的后台,窃取数据库数据,另外一些管理员身份验证过于简单,这些都是电子商务开发中存在的安全隐患。数据库的链接同样存在很大问题,很多数据库链接文件都暴露了数据库文件的存取路径、数据库用户的口令还有名称,这些数据库链接都是容易泄露出去的,当攻击者找到这些数据库链接,就可以对数据库进行破坏或者下载。同时在源代码编写时直接使用Sa这种数据库管理系统自带的账号,攻击者就可以直接利用这种漏洞来控制系统的管理。
(四)SQL语句致使的安全问题
使用SQL语句的所有网站都存在因SQL致使的注入漏洞,该漏洞是2004后最具影响的漏洞,它一般是在程序员在编写的时候,没有对用户输入的信息进行判断是否正确的情况下产生安全隐患。攻击者在窃取数据库信息或者提升权限时,可以分析他们加了特殊字符的正常数据库代码在程序运行出来的结果,来获取电子商务网站的数据库的字段名还有表名。通常网站提供的操作数据库和输入注册信息的网页都存在很多的注入点。
(五)缺乏后台管理权限
人非圣人,往往在工作中都会有遗忘。肩负后台管理工作的管理员的工作量都很大,很多电子商务企业对网页的权限并没有具体的措施,很多时候由于管理员的遗忘在没人的情况下把后台管理页面暴露在屏幕上,致使攻击者可以使用合法权限去浏览操作数据库。
二、为确保电子商务网站开发中数据库的安全做出的对策
(一)优化数据库管理系统和对软件进行改进
数据库的运行和使用都离不开网络和计算机系统,威胁数据库安全的最主要因素是病毒的破坏,首先对病毒要进行多层防范,预防为主,防止和封杀一切病毒可能利用的网络平台,避免病毒的隐藏跟扩散,及时更新病毒库,把预防和主动查杀相结合,同时可以使用虚拟专用网来提高信息传输和接入的安全性。数据的传输工程也是很容易被人窃听的,应该对传输的数据进行加密处理。在数据库软件的选择上要从安全性方面考虑,把安全问题放在首位,不要贪图方便,尽量使用一些既能满足性能要求又能提高数据库安全性的数据库软件,例如MS SQL SERWER等大型的关系型的数据库软件。还有不要贪图方便快捷使用数据库管理系统默认的设置,尽量建立新的账号还有设置比较难猜测的密码。在对部署数据库软件问题上,要做好选择,在WEB开发问题上,数据库服务器要尽量开发最少的端口,不必要的端口要及时屏蔽掉,对于服务端口,要增加数据库服务器的抵御能力就要加大攻击者对服务端口的扫描难度。条件许可的情况下设置更高难度的口令或者经常换口令。 (二)端正设计姿态,树立科学发展观
细节决定成败,在电子商务网站开发中,管理员要端正设计者的工作姿态,要用发展的眼光去对待,及时做好防护措施,不能只注重结果,从源头上减少隐患。具体问题具体分析,对待不同的项目要有不同的思考空间,在设计的过程中要做好具体的分析,不能马虎或者跳跃式的工作,不能贪图一时的方便把一些数据弄成明文来存储。从科学发展观理论上出发,不能存在侥幸的心理,及时做好数据的备份还有数据丢失后的恢复机制,万一数据库被盗取还能尽可能地挽回损失。还有就是在代码设计时电子商务网站要有自己的一套规范的命名法则,反其道而行之,改变一贯的大众命名习惯,增加攻击者的猜测难度,管理好公司职工的职业操守,硬性规定公司职工不能把公司的命名法则泄露出去。
(三)提高后台管理系统的安全性
后台管理系统的安全是电子商务网站开发中数据库安全的关键所在,所以必须提高后台管理系统的安全性。首先不要随意在用户经常浏览的网页上设置管理系统首页链接。其次在用户名和口令的设置上也不能太随意,要设置一些猜测难度比较大的,防止口令和账号泄露。然后,不能用户在没有权限的情况下随便访问页面,我们可以利用Session变量识别用户的权限,达到對应的权限只能访问对应的网页的效果。最后,为了防止因管理员个人问题造成的人不在却把后台管理页面暴露在屏幕中,可以进行时间限制,设定一个时间范围,如果管理员在设定的时间范围内还不对后台管理页面进行操作那么后台管理页面就会自己关闭,好像电脑的屏幕保护一样。为了防止数据库被下载,(1)可以采取数据库文件名误导法,利用系统的错误警报系统,在设计数据库文件名的时候可以在它的后面加上#号,当产生错误识别的时候系统就会发出警报。(2)对数据库链接文件的数据源的选择上也要加以重视,加大窃取者的窃取难度,比如可以使用ODBC这样使窃取者无法在数据库的源代码上获取数据库的进一步资料。
(四)及时防止因SQL语句带来的漏洞
防范于未然,要及时采取有效的措施防止因SQL语句带来的漏洞问题。在管理权限方面要加以完善,在使用管理权限对数据库进行访问时要切记不能在程序中使用比较高的权限。在开发程序上要养成良好的习惯,比如在进行数据库查询程序的编写上,可以把单引号屏蔽掉。同时要做好核心代码的保密工作,使用数据库时不要直接运用SQL语句。
(五)对数据的存储和传输进行加密处理
数据的运行和传输都依赖网络这个大环境,电子商务网站的数据主要是做存储和传输这两方面的操作,所以攻击者往往会选择存储和传输中的数据,为了提高电子商务网站的重要数据不被盗取、篡改,提高数据的安全性,应该对数据的存储和传输进行加密处理,对数据进行加密可以使用密钥参数还有算法,用户要想对加密后的数据库进行访问必须有算法和密钥。
三、小结
只有发现问题才能解决问题,基于上述,我们大致可以了解到目前电子商务开发中数据库存在的安全问题,大致可以分为两方面。第一是系统方面的原因,操作系统和操作系统选择过于简单,大众。第二是数据的保护方面的原因,管理系统的首页链接和数据库链接没有做好隐藏保护工作,因管理员个人问题导致泄漏,后台管理权限保护过于薄弱,对QSL语句的使用过于麻痹大意。随着人们思想的解放,方便简单的电子商务行业已经逐渐被大部分人使用,电子商务网站也逐渐增多,其中存在的利用链条也很多,很多不法分子也是虎视眈眈,数据库的安保工作已不再是个小问题,为了确保广大消费者和商家的利益,电子商务网站要把数据库的安全作为一个系统工程来对待,必须提高数据库的安全性,防微杜渐。
【参考文献】
[1]文蓉. 电子商务网站开发中数据库安全问题分析. 计算机安全期刊,2007(12).
[2]赵乃真. 电子商务网站建设实例. 清华大学出版社,2005:61.
[3]雷光洪. 浅析电子商务系统中的数据库安全问题. 中文科技期刊,2010(10).
[4]张浩. 关于电子商务网站的数据库安全技术问题分析. 吉林省经济管理干部学院学报,2012(01).
[5]车延雪. 电子网站开发中数据库安全问题分析. 农业网络信息期刊,2012(08).
[6]袁亮. 关于电子商务数据安全研究. 科技信息(科技研究),2007(17).