您好, 访客   登录/注册

电子商务网站建设中数据库安全隐患与策略分析 ?

来源:用户上传      作者:胡朝晖

   摘 要:互联网信息时代到来,发展电子商务是很多行业及产业十分重视的工作,其中建立电子商务网站则是核心部分之一。在电子商务网站构建和运营过程中,网络安全问题备受人们关注,而其中又以网站数据库安全性更为重要。本文重点探索了当前我国电子商务网站建设中数据库安全性方面存在的问题和主要隐患,并结合实际分析相关预防和应对策略,最后分析了保障电子商务网站数据库安全的意义。
   关键词:电子商务;网站建设;数据库;安全隐患;策略
   一、电子商务网站建设中数据库安全隐患
   电子商务网站因网络环境开放性和访问源多样性,因而存在着多种安全隐患,网站数据库中存在的安全隐患会导致企业核心利益和客户权益受到侵害,甚至造成严重后果。总结来讲,电子商务网站数据库安全隐患主要有以下几点:
   1.基础硬件方面
   硬件是电子商务网站和数据库运行的基础,其品质直接影响电子商务网站数据库体量、性能和安全性。如今我国电子商务领域中硬件设施质量和技术水平依然存在着不足,尤其是相关配套设施资金缺乏,导致电子商务网站数据库本身安全指数不高、漏洞多、安全配套不完善。加上硬件设施日常管理不科学,安全防护不到位,造成硬件配置容易出现问题,甚至出现被盗、被破坏情况。
   2.数据库登录方面
   正常情况下,电子商务网站访问数据库有两种登录方式,即Windows身份证验证和网站直接访问,显然网站直接访问存在着多种安全风险。例如,很多用户在访问时会选用系统默认用户名,并且为了方便,会让系统“记住用户名”“记住密码”,甚至密码的设定也选取常见和简单的。这种情况直接导致数据库遭受入侵、数据泄露风险剧增并且这种情况会导致网站后台管理压力增大,例如,在SQL Server数据库中,“sa”是默认账号,并且该账号还属于超级用户账号,成为历来病毒攻击的重点。
   3.数据库结构方面
   往往在电子商务网站设计和构建的时候,由于开发设计人员设计方案考虑不周,或未考虑到未来行业及技术发展趋势,导致数据库基础结构方面存在着多种安全隐患。主要包括:
   (1)数据库文件存放位置单一且固定。例如,常见的Access数据库中,其文件默认存放于Web目录,这种单一存放路径结构导致数据库一旦被入侵,不法分子就很容易找到重要文件,进行窃取。
   (2)数据字段和表格不能自定义名称。目前很多网站数据库表和数据字段都采取单一命名格式,如Admi、User等,也存在着在数据库遭入侵后容易被轻易盗取的风险。
   (3)数据库不能有效防止被非法重命名。如果数据库文件无法在重命名时生成相关后缀,那么数据库很容易遭到串改,存在重大安全隐患。
   4.网站后台系统方面
   后台系统是网站稳定运行和进行综合管理的主要架构,如果网站后台遭到入侵,会直接导致整个前网页面功能出现问题,甚至造成网站瘫痪,因此针对网站及数据库后台管理系统保持安全稳定状态。及时在当前国内电子商务行业发展较好的情况下,数据库后台管理系统依然存在着以下几方面问题:
   (1)数据库后台管理系统网址、功能地址暴露。因为网站开发设计人员会采用Web访问和管理数据库,但在过程中因为水平受限,会将网站数据库相关功能放在网站首页,导致数据库地址暴露,产生巨大安全风险。
   (2)权限验证过于单一。在网站数据库后台管理系统中,很多时候对访问者账户登录需求仅仅进行一次权限验证,在后续操作和进一步访问中,缺少必要的后续验证,导致数据库后台管理系统一旦被入侵,相关数据和功能就完全暴露在入侵者面前。甚至不法分子只需要输入URL地址,便可绕过权限验证,直接入侵数据库后台系统。
   5.服务器地址设计方面
   电子商务网站设计时,服务器构建时需要设计地址,但很多设计人员忽视了该工作重要性,导致服务器地址方面存在着成为危及数据库的安全隐患:
   (1)当数据库与用户们进行连接时,容易在地址或页面中泄露文件数据内容。
   (2)源代码续写工作不严谨,导致服务器网址逻辑容易被利用,危及服务器和数据库安全。
   二、电子商务网站建设中数据库安全隐患应对策略
   1.完善和升级硬软件设施和配置
   如今电子商务模式和计算机技术发展较快,各类硬软件更新换代较快,在这种情况下,电子商务网站构建设计不仅需要在充分研究行业发展趋势和网站未来运维需求的基础上,完善相关硬软件配置,还需要在必要时候对硬软件进行升级。具体有以下几个要点:
   (1)及时利用计算机技术修补操作系统漏洞,做好日常操作管理,避免违规和不合理操作。
   (2)利用加密技术提升系统安全等级,利用防火墙技术应对网络病毒和黑客攻击,利用杀毒软件对系统安全进行监测,自动拦截和处理常见攻击。
   (3)设计和引进安全性口令密码技术,如生物识别验证、加密口令等,对用户们及密码进行无痕保护。
   (4)定期更新完善数据库系统软件,并设置虚拟接入端口,利用动态变换加强安全等级。
   (5)完善数据库硬件配置,对服务器、网络通讯、电力系统进行升级完善,确保硬件及固件保持稳定运行状态。
   2.进行账号特殊自定义处理
   在设计开发阶段,需要对电子商务网站数据库特殊账号进行针对性处理和管理,提升这类账号安全等级。例如,像“sa”这类无法删除和被修改的特殊账号,其本身功能对数据库而言也非常有存在必要,但是這种账号安全防护能力较差,就需要相关专业人员对这类账号进行针对性管理,做好权限把控,定期评估账号安全水平,避免数据库产生安全问题。
   3.优化和提升数据库结构科学性    数据库基础结构科学性和稳定性直接影响其安全等级,因此有必要在数据库结构设计时做到以下几点:
   (1)引入ODBC数据源。该数据源优势在于基于此生成的应用程序与数据库不存在直接联系,并直接统一了数据库处理方式。数据库的开发管理人员可以在合理权限下,利用新ODBC数据源合理规划文件放置位置。
   (2)使用非常规命名方式。数据库开发管理人员可以对主要文件名称进行复杂命名或编码,并将其藏匿于较深路径之下。针对k数据表及字段命名,可以利用数字、字母及部分符号组合命名方法,丰富数据库表前后缀。
   (3)更改默认文件储存位置。开发人员及日常使用人员,应当有更改文件及数据默认储存位置的习惯。例如,在SQL Server系统中,针对DATA这种默认储存位置,要经常进行更改,特别是重要文件及数据不要放在这个文件路径中。
   4.提升网站数据库后台管理安全等级
   针对电商网站后台管理方面存在的隐患,有必要采用以下几个方法进行防范:
   (1)提升网页安全等级。切忌不要在低安全等级网页上放置数据库及后台管理链接,对首页文件命名采取非常规方法,注意做好加密。
   (2)对用户名和口令进行设计,避免其过于简单,将数据库后台管理系统用户们及口令密码等进行加密封装,权限放低。
   (3)对Session变量进行设置,对不同页面中用户权限SessionID进行自动分配。
   (4)在后台管理系统权限验证方面提升验证等级,登录后关键性操作也要设置权限验证。验证逻辑基础设置为先验证访问者是否是从已验证页面跳转而来,否则需要从头进行验证。
   5.设计好数据库备份恢复机制
   对于一个电商网站而言,数据库内数据和相关资源是网站功能运行的基础,同时也关乎企业及客户隐私、资金、资产安全。如果数据库因各类因素遭到破坏,且数据文件遭到损坏的话,会产生严重后果,因此有必要在开发阶段就做好数据备份、恢复机制,这是保证电子商务网站数据库安全的关键步骤之一。首先,需要设置专用渠道和空间,让数据库运维人员定时对相关数据文件进行单独备份。其次,利用计算机技术,让数据库在关键节点,或遭受入侵和破坏时,自动备份重要文件数据。只有在备份及时可靠基础上,才能在极端情况下迅速恢复和找回相关数据。例如,SQL Server数据库中,数据文件备份一般使用mdf及ldf文件格式进行备份。尤其要注意的是,对备份渠道和账户要进行加密处理,并提升使用权限等级,做好日常管理和维护。
   6.做好SQL语句漏洞防范
   针对SQL语句容易导入注入漏洞的问题,首先需要对用户和系统管理员账户进行区分设置,以往很多系统开发人员直接在普通用户查询语句加入Drop Table语句,这种方式在权限方面会出现问题和漏洞。因此在设计阶段需要去除普通用户建立及删除权限,以此杜绝SQL语句恶意代码出现,进而有效避免注入式攻击和入侵。然后,对用户日常输入行为要进行验证,在SQL Server数据库中,有专用用户输入内容验证工具,可以利用它来测试字符串变量内容,对用户输入的数据类型及体量进行验证评估,进行强制性转换限制,通过该方法可以避免注入式攻击常用的故意造成缓冲区溢出的入侵手段。
   三、电子商务网站建设中做好数据库安全管理的意义
   1.保证电子商务网站稳定运行
   现代电子商务业务开展的基础是网站平台,只有保证网站功能正常、网络正常、显示正常,才能满足企业日常经营行为正常进行。同时,如今电子商务客户对网站使用便捷度、舒适度都有较高要求,电子商务网站只有保持稳定才能提升用户体验,为产品销售、服务输出打下较好基础。
   2.避免企业损失
   无论是半电子商务半实业企业,还是纯电子商务企业,其日常经营中大量的重要数据文件都存在于网站数据库之中,一旦他们被窃取或被破壞,对企业户造成严重损失。尤其是一些涉及商业机密的文件,如果被非法窃取利用,后果也相当严重。当然,即使网站数据库只是被普通攻击,导致网站功能受损,也会影响企业正常经营,影响企业本身及加盟商户经营业绩。
   3.有利于保护客户隐私
  如今信息流成为互联网及电子商务产业重要资源,很多针对电子商务网站数据库的入侵,重要目的之一就是盗取客户资料。这不但导致客户隐私被暴露,同时也会影响电子商务企业本身未来发展。而做好网站数据库安全防护,显然对客户隐私及企业资源安全有重要意义。
   四、结束语
   在互联网技术和电子商务产业飞速发展的大环境下,电子商务网站数据库安全直接影响企业及客户利益,同时也关乎相关行业发展状态和环境质量。在复杂的互联网当中,如何利用专业技术和管理杜绝电子商务数据库安全风险,是相关技术人员和电子商务企业面临的挑战。因此需要对电子商务网站数据库各类安全隐患进行全面研究,分析其特征和产生的原因,再结合现代技术和网站开发理念,完善和升级硬软件配置,做好细节性加密和安全防范技术处理,全面提升网站数据库抗攻击能力和安全等级,维护电子商务网站和经营行为正常进行。
  
  参考文献:
  [1]张鑫.电子商务网站建设中数据库安全隐患及对策[J].办公自动化,2018,v.23;No.381(16):16+48-49.
  [2]卞克.电子商务网站开发中的数据库安全现状及对策[J].电子技术与软件工程,2018(17):205-205.
  [3]宁利峰.计算机网络安全技术在电子商务中的应用[J].科技创新与应用,2019,260(04):180-181.
  [4]王晓波.计算机网络数据库安全管理技术的优化[J].信息与电脑(理论版),2019,419(01):243-244+247.
  [5]刘力铭.计算机网络数据库安全威胁分析与措施探讨[J].电脑知识与技术,2017(11).
  [6]杨雪婵.提升数据库安全性,防范黑客侵袭网站[J].网络安全和信息化,2019,33(01):118-123.
  [7]胡绍方,卢佳明.浅谈大数据环境中的数据库安全技术[J].计算机产品与流通,2019(01):289-290.
  [8]陈建锋.计算机网络数据库的安全管理技术[J].电子技术与软件工程,2019(1).
  [9]卞克.电子商务网站开发中的数据库安全现状及对策[J].电子技术与软件工程,2018(17):205-205.
转载注明来源:https://www.xzbu.com/3/view-15046608.htm