摘要:網路時代的到來,眾多企業紛紛藉助網際網路技術開展電子商務的運營模式。建設電子商務網站就是其中最重要的工作之一,安全問題對於整個網站建設起到至關重要的作用。電子商務網站的核心是資料庫,本文試圖從資料庫安全的角度,來探討和分析電子商務網站建設中的安全隱患,並進一步提出相應對策。
關鍵詞:電子商務網站;資料庫;安全隱患
一、引言
隨著網際網路資訊化和大資料時代的到來,電子商務平臺以其高效、便捷、成本低、個性化等特性引領時代潮流。企業可以開展無實體店經營,個人足不出戶即可博覽國內乃至國際一切商品,並進一步完成購買環節。但基於網際網路的開放性和虛擬性特點,電子商務網站安全問題就像一個隱形“毒瘤”,時刻威脅著企業和使用者的安全利益,並制約著電子商務穩健的進一步發展。可見,企業在建設電子商務網站時,不僅要關注網站的實用性和美觀度,更要注重安全問題。電子商務網站的資料庫是網站的核心資訊,比如交易記錄、商業資料等。因此,如何保證電子商務網站建設中的資料庫安全就成為開發設計人員首要解決的問題。
二、電子商務網站建設中資料庫的安全隱患
1.電子商務網站的開放性特徵,使得網站資料庫本身就存在著很大安全隱患,常見電子商務網站建設中資料庫安全隱患如下。
基礎硬體的安全隱患。電子商務這種商務模式在我國發展歷程短,電子商務技術尚處於開發與運營的初期階段,硬體設施還依然是電子商務網站建設的“短板”。各種硬體條件短缺、配套資金匱乏等因素使得電子商務網站建設過程中使用的硬體設施不夠先進,硬體安全性存在較多漏洞。導致電子商務網站很容易遭受不法分子的惡意侵害,網站中的資料資料遭受竊取或篡改。
2.資料庫登入方式的安全隱患。為便於後期對電子商務網站資料庫的訪問,電子商務網站建設時一般設定兩種登入資料庫的方式:
⑴Windows身份驗證模式;
⑵資料庫直接訪問,即通過電子商務網站資料庫對網站內容進行瀏覽。但第二種方式在使用時存在安全風險。多數使用者在登入時習慣選擇系統預設使用者名稱,而後為了方便進入網站資料庫又選擇“記住密碼”。這就增大了網站後臺管理系統的安全隱患,把網站前臺使用者名稱和密碼的安全管理也要負責在內。另外,很多使用者完全直接選擇資料庫預設的使用者名稱和密碼會導致資料庫外洩。眾所周知,“sa”是SQLServer資料庫的系統預設賬號,還是一個超級使用者賬號,就常常被受到攻擊[1]。
3.資料庫結構的安全隱患。電子商務網站建設前期,開發者與設計人員制定的資料庫設計方案不夠完善,一般體現在以下三個方面:
⑴默認了固定、有規律的資料庫檔案的存放位置。比如Access資料庫檔案一般放在Web目錄中,這個規律就會被不法分子利用來查詢並下載資料庫檔案,導致網站的資料被竊取。
⑵資料表和資料欄位的非自定義命名。有的資料庫表和資料欄位名直接使用關鍵詞Admi、User等命名,不利於資料的安全。
⑶資料表無法防止被重新命名。由於開發人員沒有制定對策對資料表重新命名進行前後綴處理,可能會導致出現安全問題[2]。
4.網站後臺管理系統的安全隱患。後臺管理系統對於前臺網頁的穩定執行起著至關重要的作用,在網站運營過程中,後臺資料庫系統出現安全事故會導致整個電子商務網站平臺癱瘓,為此一定要確保資料庫後臺管理系統工作時處在安全穩定的環境。但由於目前國內電子商務平臺尚處於發展初期,資料庫後臺管理系統在設計時還很難克服以下問題:
⑴資料庫開發設計人員水平受限,將資料庫後臺管理系統的某些功能設定放在網站首頁,直接暴露了資料庫後臺管理系統的地址。這是因為技術人員通常會採用web來對資料庫進行訪問、管理及維護,從而保證網址首頁能夠正常穩定地執行。
⑵整個資料庫後臺系統有且只有首頁需要對管理員的許可權進行驗證,後續所有的管理介面均不再需要驗證指令。因此攻擊者只需直接輸入URL地址,就可以繞過驗證進入到後臺管理之中直接對資料庫進行訪問管理,嚴重危及資料庫的安全[3]。
5.伺服器地址設計的安全隱患在電子商務網站建設初期要設計伺服器地址,但部分設計人員對伺服器設計工作不夠重視。
⑴資料庫使用者與使用者名稱的連線問題容易出現檔案內容洩露等現象;
⑵電子商務網站開發設計部門工作不夠嚴謹,像諸如原始碼的撰寫工作等,如果設計不夠嚴謹將會導致電子商務網站癱瘓[4]。
三、電子商務網站建設中資料庫的安全對策
1.完善配套的軟硬體設施。在電子商務網站建設中,一方面要及時更新換代硬體設施,另一方面要完善軟體設施。一般常從以下幾方面完善軟體設施:
⑴及時對作業系統打補丁,減少違規操作;
⑵採用資料加密技術、防火牆技術、防毒軟體及時等多種技術進行安全防範;
⑶在電子商務網站前後臺均對資料庫進行加密;
⑷採用複雜口令或生物特徵等密碼驗證的方式進行登入驗證,並對其使用者名稱和密碼進行無痕登入安全保護;
⑸完善和更新資料庫系統軟體;
⑹設定虛擬接入埠,並進行動態變換。
2.自定義特殊賬號管理資料庫系統。電子商務網站建設期間,資料庫安全控制部門務必要重視特殊性賬號管理工作,提升特殊性賬號的安全性。例如:前面提到的“sa”賬號就是一個不可被刪除、無法被修改的特殊賬號。並且資料庫管理人員後期為了資料庫系統的需要,也會建立與“sa”同樣功能的'賬號,但“sa”這類賬號本身安全效能低,這就需要技術人員特別重視、特殊管理,做到既要保證提升工作效率,又要避免出現數據庫軟體洩露的安全事故。
3.設計科學規範的資料庫結構。建議從以下幾個方面設計資料庫結構:
⑴更改預設下的資料庫檔案儲存位置。如SQLSERVER系統,DATA資料夾是預設路徑下的資料夾,開發人員可更改存放路徑和資料夾,而後修改與資料庫連線的相關檔案資訊。
⑵使用ODBC資料來源。ODBC的優點是用它生成的應用程式與資料庫或資料庫引擎無關,以統一的方式處理所有的資料庫,隔離了資料庫的實現細節。資料庫設計人員在具備管理和維護IIS的許可權下,配置新的ODBC資料來源,合理放置好更改後的資料庫檔案的儲存位置。
⑶採用非常規命名方法:j更改資料庫檔名。可為資料庫主檔案取複雜類姓名,並把它存放在較深層的路徑下。如網上服飾店的主檔名,不要起諸如“”、“”或“”之類的名字,再把它放在如“/mcl/ed359/rck/fo136/bct”之類的較深層的路徑下;k資料庫表和欄位的命名。可採用字母和數字組合命名的方式為資料庫表加上前後綴。
4.加強網站後臺管理系統的安全性。可從以下幾方面著手:
⑴不要在安全性較低的網頁上放置資料庫後臺管理系統的連結,採用非常規命名法對首頁檔案命名;
⑵使用複雜的使用者名稱和口令。把後臺管理資料的使用者名稱和口令封裝在伺服器中,許可權放置最低;
⑶設定Session變數自動分配不同頁面中使用者許可權的SessionID;
⑷即在主頁面有身份驗證,其他頁面也要有身份驗證。先判斷是否從已驗證頁面跳轉過來,否則不能進入當前頁面[5]。
5.建立資料庫備份和恢復機制。資料庫資源是電子商務網站執行的“血液”,建立加強資料庫備份和恢復機制是提升電子商務網站資料庫安全效能的重中之重。一旦網站資料庫資源遭到安全問題,可以第一時間利用備份資源找到原始資料。為此就要求對電子商務網站的資料庫進行定期備份。資料備份與恢復機制是對資料庫管理機制的有效補充和完善。以SQLSERVER資料庫為例,資料備份和恢復常採用備份資料庫中和檔案或者附加資料庫中和檔案的方式。此外,務必要對資料庫賬戶進行嚴格的加密處理。
四、結論
總之,建設電子商務平臺的人員可從電子商務網站資料庫的軟硬體設施、資料庫結構、資料庫後臺管理、資料庫備份等幾方面著手,再結合企業實際綜合使用這些對策,一定可以為使用電子商務平臺的相關者消除一些不必要的安全隱患,從而使電子商務向更高、更健康的方向發展。
參考文獻
[1]王德山,王科超.電子商務網站建設中的資料庫安全問題與防範對策淺析[J].網路安全技術與應用,2016(1):49.
[2]王蕾.電子商務網站中的資料庫安全問題研究[J].通訊世界,2015(13):30-31.
[3]陳芳.電子商務背景下網站開發中資料庫安全問題的探討[J].電腦迷,2016(8):37-38.
[4]陳文傑.電子商務網站開發過程中資料庫安全問題探究[J].電腦知識與技術,2017(6):269-270.
[5]韋立蓉.電子商務網站建設設計中的資訊保安方案機制[J].電腦知識與技術.2017(28):287-288.