電子商務數(shù)據(jù)庫安全隱患及對策論文

　　摘要:網(wǎng)絡時代的到來，眾多企業(yè)紛紛借助互聯(lián)網(wǎng)技術開展電子商務的運營模式。建設電子商務網(wǎng)站就是其中最重要的工作之一，安全問題對于整個網(wǎng)站建設起到至關重要的作用。電子商務網(wǎng)站的核心是數(shù)據(jù)庫，本文試圖從數(shù)據(jù)庫安全的角度，來探討和分析電子商務網(wǎng)站建設中的安全隱患，并進一步提出相應對策。

　　關鍵詞:電子商務網(wǎng)站;數(shù)據(jù)庫;安全隱患

　　一、引言

　　隨著互聯(lián)網(wǎng)信息化和大數(shù)據(jù)時代的到來，電子商務平臺以其高效、便捷、成本低、個性化等特性引領時代潮流。企業(yè)可以開展無實體店經(jīng)營，個人足不出戶即可博覽國內乃至國際一切商品，并進一步完成購買環(huán)節(jié)。但基于互聯(lián)網(wǎng)的開放性和虛擬性特點，電子商務網(wǎng)站安全問題就像一個隱形“毒瘤”，時刻威脅著企業(yè)和用戶的安全利益，并制約著電子商務穩(wěn)健的進一步發(fā)展�？梢姡�企業(yè)在建設電子商務網(wǎng)站時，不僅要關注網(wǎng)站的實用性和美觀度，更要注重安全問題。電子商務網(wǎng)站的數(shù)據(jù)庫是網(wǎng)站的核心信息，比如交易記錄、商業(yè)數(shù)據(jù)等。因此，如何保證電子商務網(wǎng)站建設中的數(shù)據(jù)庫安全就成為開發(fā)設計人員首要解決的問題。

　　二、電子商務網(wǎng)站建設中數(shù)據(jù)庫的安全隱患

　　1.電子商務網(wǎng)站的開放性特征，使得網(wǎng)站數(shù)據(jù)庫本身就存在著很大安全隱患，常見電子商務網(wǎng)站建設中數(shù)據(jù)庫安全隱患如下。

　　基礎硬件的安全隱患。電子商務這種商務模式在我國發(fā)展歷程短，電子商務技術尚處于開發(fā)與運營的初期階段，硬件設施還依然是電子商務網(wǎng)站建設的“短板”。各種硬件條件短缺、配套資金匱乏等因素使得電子商務網(wǎng)站建設過程中使用的硬件設施不夠先進，硬件安全性存在較多漏洞。導致電子商務網(wǎng)站很容易遭受不法分子的惡意侵害，網(wǎng)站中的數(shù)據(jù)資料遭受竊取或篡改。

　　2.數(shù)據(jù)庫登錄方式的安全隱患。為便于后期對電子商務網(wǎng)站數(shù)據(jù)庫的訪問，電子商務網(wǎng)站建設時一般設置兩種登錄數(shù)據(jù)庫的方式：

　�、臰indows身份驗證模式；

　�、茢�(shù)據(jù)庫直接訪問，即通過電子商務網(wǎng)站數(shù)據(jù)庫對網(wǎng)站內容進行瀏覽。但第二種方式在使用時存在安全風險。多數(shù)用戶在登錄時習慣選擇系統(tǒng)默認用戶名，而后為了方便進入網(wǎng)站數(shù)據(jù)庫又選擇“記住密碼”。這就增大了網(wǎng)站后臺管理系統(tǒng)的安全隱患，把網(wǎng)站前臺用戶名和密碼的安全管理也要負責在內。另外，很多用戶完全直接選擇數(shù)據(jù)庫默認的用戶名和密碼會導致數(shù)據(jù)庫外泄。眾所周知，“sa”是SQLServer數(shù)據(jù)庫的系統(tǒng)默認賬號，還是一個超級用戶賬號，就常常被受到攻擊[1]。

　　3.數(shù)據(jù)庫結構的安全隱患。電子商務網(wǎng)站建設前期，開發(fā)者與設計人員制定的數(shù)據(jù)庫設計方案不夠完善，一般體現(xiàn)在以下三個方面：

　�、拍�認了固定、有規(guī)律的數(shù)據(jù)庫文件的存放位置。比如Access數(shù)據(jù)庫文件一般放在Web目錄中，這個規(guī)律就會被不法分子利用來查找并下載數(shù)據(jù)庫文件，導致網(wǎng)站的數(shù)據(jù)被竊取。

　�、茢�(shù)據(jù)表和數(shù)據(jù)字段的非自定義命名。有的數(shù)據(jù)庫表和數(shù)據(jù)字段名直接使用關鍵詞Admi、User等命名，不利于數(shù)據(jù)的安全。

　�、菙�(shù)據(jù)表無法防止被重命名。由于開發(fā)人員沒有制定對策對數(shù)據(jù)表重命名進行前后綴處理，可能會導致出現(xiàn)安全問題[2]。

　　4.網(wǎng)站后臺管理系統(tǒng)的安全隱患。后臺管理系統(tǒng)對于前臺網(wǎng)頁的穩(wěn)定運行起著至關重要的作用，在網(wǎng)站運營過程中，后臺數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全事故會導致整個電子商務網(wǎng)站平臺癱瘓，為此一定要確保數(shù)據(jù)庫后臺管理系統(tǒng)工作時處在安全穩(wěn)定的環(huán)境。但由于目前國內電子商務平臺尚處于發(fā)展初期，數(shù)據(jù)庫后臺管理系統(tǒng)在設計時還很難克服以下問題：

　�、艛�(shù)據(jù)庫開發(fā)設計人員水平受限，將數(shù)據(jù)庫后臺管理系統(tǒng)的某些功能設置放在網(wǎng)站首頁，直接暴露了數(shù)據(jù)庫后臺管理系統(tǒng)的地址。這是因為技術人員通常會采用web來對數(shù)據(jù)庫進行訪問、管理及維護，從而保證網(wǎng)址首頁能夠正常穩(wěn)定地運行。

　�、普麄�數(shù)據(jù)庫后臺系統(tǒng)有且只有首頁需要對管理員的權限進行驗證，后續(xù)所有的管理界面均不再需要驗證指令。因此攻擊者只需直接輸入URL地址，就可以繞過驗證進入到后臺管理之中直接對數(shù)據(jù)庫進行訪問管理，嚴重危及數(shù)據(jù)庫的安全[3]。

　　5.服務器地址設計的安全隱患在電子商務網(wǎng)站建設初期要設計服務器地址，但部分設計人員對服務器設計工作不夠重視。

　�、艛�(shù)據(jù)庫用戶與用戶名的連接問題容易出現(xiàn)文件內容泄露等現(xiàn)象；

　�、齐娮由虅站W(wǎng)站開發(fā)設計部門工作不夠嚴謹，像諸如源代碼的撰寫工作等，如果設計不夠嚴謹將會導致電子商務網(wǎng)站癱瘓[4]。

　　三、電子商務網(wǎng)站建設中數(shù)據(jù)庫的安全對策

　　1.完善配套的軟硬件設施。在電子商務網(wǎng)站建設中，一方面要及時更新?lián)Q代硬件設施，另一方面要完善軟件設施。一般常從以下幾方面完善軟件設施：

　�、偶皶r對操作系統(tǒng)打補丁，減少違規(guī)操作；

　�、撇捎脭�(shù)據(jù)加密技術、防火墻技術、殺毒軟件及時等多種技術進行安全防范；

　�、窃陔娮由虅站W(wǎng)站前后臺均對數(shù)據(jù)庫進行加密；

　�、炔捎脧碗s口令或生物特征等密碼驗證的方式進行登錄驗證，并對其用戶名和密碼進行無痕登錄安全保護；

　　⑸完善和更新數(shù)據(jù)庫系統(tǒng)軟件；

　　⑹設置虛擬接入端口，并進行動態(tài)變換。

　　2.自定義特殊賬號管理數(shù)據(jù)庫系統(tǒng)。電子商務網(wǎng)站建設期間，數(shù)據(jù)庫安全控制部門務必要重視特殊性賬號管理工作，提升特殊性賬號的安全性。例如：前面提到的“sa”賬號就是一個不可被刪除、無法被修改的特殊賬號。并且數(shù)據(jù)庫管理人員后期為了數(shù)據(jù)庫系統(tǒng)的需要，也會建立與“sa”同樣功能的賬號，但“sa”這類賬號本身安全性能低，這就需要技術人員特別重視、特殊管理，做到既要保證提升工作效率，又要避免出現(xiàn)數(shù)據(jù)庫軟件泄露的安全事故。

　　3.設計科學規(guī)范的數(shù)據(jù)庫結構。建議從以下幾個方面設計數(shù)據(jù)庫結構：

　�、鸥�改默認下的數(shù)據(jù)庫文件存儲位置。如SQLSERVER系統(tǒng)，DATA文件夾是默認路徑下的文件夾，開發(fā)人員可更改存放路徑和文件夾，而后修改與數(shù)據(jù)庫連接的相關文件信息。

　　⑵使用ODBC數(shù)據(jù)源。ODBC的優(yōu)點是用它生成的應用程序與數(shù)據(jù)庫或數(shù)據(jù)庫引擎無關，以統(tǒng)一的方式處理所有的數(shù)據(jù)庫，隔離了數(shù)據(jù)庫的實現(xiàn)細節(jié)。數(shù)據(jù)庫設計人員在具備管理和維護IIS的權限下，配置新的ODBC數(shù)據(jù)源，合理放置好更改后的數(shù)據(jù)庫文件的存儲位置。

　　⑶采用非常規(guī)命名方法：j更改數(shù)據(jù)庫文件名�？蔀閿�(shù)據(jù)庫主文件取復雜類姓名，并把它存放在較深層的路徑下。如網(wǎng)上服飾店的主文件名，不要起諸如“myclothing.mdf”、“fashion.mdf”或“dress.mdf”之類的名字，再把它放在如“/mcl/ed359/rck/fo136/bct”之類的較深層的路徑下；k數(shù)據(jù)庫表和字段的命名�？刹捎米帜负蛿�(shù)字組合命名的方式為數(shù)據(jù)庫表加上前后綴。

　　4.加強網(wǎng)站后臺管理系統(tǒng)的安全性�？蓮囊韵聨追矫嬷�手：

　　⑴不要在安全性較低的網(wǎng)頁上放置數(shù)據(jù)庫后臺管理系統(tǒng)的鏈接，采用非常規(guī)命名法對首頁文件命名；

　　⑵使用復雜的用戶名和口令。把后臺管理數(shù)據(jù)的用戶名和口令封裝在服務器中，權限放置最低；

　�、窃O置Session變量自動分配不同頁面中用戶權限的SessionID；

　�、燃丛谥黜撁嬗猩矸蒡炞C，其他頁面也要有身份驗證。先判斷是否從已驗證頁面跳轉過來，否則不能進入當前頁面[5]。

　　5.建立數(shù)據(jù)庫備份和恢復機制。數(shù)據(jù)庫資源是電子商務網(wǎng)站運行的“血液”，建立加強數(shù)據(jù)庫備份和恢復機制是提升電子商務網(wǎng)站數(shù)據(jù)庫安全性能的重中之重。一旦網(wǎng)站數(shù)據(jù)庫資源遭到安全問題，可以第一時間利用備份資源找到原始數(shù)據(jù)。為此就要求對電子商務網(wǎng)站的數(shù)據(jù)庫進行定期備份。數(shù)據(jù)備份與恢復機制是對數(shù)據(jù)庫管理機制的有效補充和完善。以SQLSERVER數(shù)據(jù)庫為例，數(shù)據(jù)備份和恢復常采用備份數(shù)據(jù)庫中.mdf和.ldf文件或者附加數(shù)據(jù)庫中.mdf和.ldf文件的方式。此外，務必要對數(shù)據(jù)庫賬戶進行嚴格的加密處理。

　　四、結論

　　總之，建設電子商務平臺的人員可從電子商務網(wǎng)站數(shù)據(jù)庫的軟硬件設施、數(shù)據(jù)庫結構、數(shù)據(jù)庫后臺管理、數(shù)據(jù)庫備份等幾方面著手，再結合企業(yè)實際綜合使用這些對策，一定可以為使用電子商務平臺的相關者消除一些不必要的安全隱患，從而使電子商務向更高、更健康的方向發(fā)展。

　　參考文獻

　　[1]王德山，王科超.電子商務網(wǎng)站建設中的數(shù)據(jù)庫安全問題與防范對策淺析[J].網(wǎng)絡安全技術與應用，2016（1）：49.

　　[2]王蕾.電子商務網(wǎng)站中的數(shù)據(jù)庫安全問題研究[J].通訊世界，2015（13）：30-31.

　　[3]陳芳.電子商務背景下網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題的探討[J].電腦迷，2016（8）：37-38.

　　[4]陳文杰.電子商務網(wǎng)站開發(fā)過程中數(shù)據(jù)庫安全問題探究[J].電腦知識與技術，2017（6）：269-270.

　　[5]韋立蓉.電子商務網(wǎng)站建設設計中的信息安全方案機制[J].電腦知識與技術.2017（28）：287-288.

【電子商務數(shù)據(jù)庫安全隱患及對策論文】相關文章：

電子商務發(fā)展對策論文05-20

電子商務發(fā)展對策論文（通用16篇）02-06

電子商務發(fā)展對策論文【匯總15篇】05-21

電子商務畢業(yè)論文-論我國電子商務對稅收的影響及對策03-05

淺談電子商務交易安全問題及其對策論文02-20

電子商務稅收問題及對策11-15

電子商務對稅收的影響及對策.03-21

電子商務論文03-07

電子商務的論文05-21

[精選]電子商務論文06-23