admin 管理员组文章数量: 1184232
2024年5月1日发(作者:华为android auto教程)
第26卷 第1期
2012年2月
吉林省经济管理干部学院学报
Journal of Jilin Province Economic Management Cadre College
v01.26 No.1
February 2012
爨 臼导囱 网鲍围融圈廨爨台蛆 圃题国衙
口张 皓
(吉林省经济管理干部学院,吉林
[摘
长春130012)
要】伴随着我国经济的快速发展和计算机网络技术的日益先进,电子商务网站也随之诞生。电子
商务以惊人的速度改变着人们的交易方式和生活习惯。在电子商务网站运行的过程中,各种重要数据都要
存储在电子商务网站服务器的数据库中。因此,进一步保证电子商务网站数据库中的数据,实现数据的有效
性、完整性和保密性,加强电子商务网站数据库系统安全,成为电子商务网站开发过程中需要注意的重要
问题。
[关键词]电子商务网站;数据库;安全
[文献标识码]A [文章编号]1009—0657(2012)01—0068—03 [中图分类号]TP393.08
电子商务网站数据库的安全性是确保电子商务
网站有效运行的重要基础。数据库的是否安全直接
关系到电子商务网站的运行过程,采取有效措施确
务网站的数据被窃取。
(二)电子网站后台管理过程中的安全问题
首先,电子网站首页链接的安全问题。电子商
务网站在对数据库进行管理的时候,往往都是采用
WEB的形式。但是在实际的运行过程中,网站设计
人员从网站维护的角度出发,习惯于把后台管理的
功能直接放到网页上。这样一来,就会暴露电子网
站后台管理的地址,威胁到了电子网站数据库的安
保电子商务网站的数据库安全是一个系统的工程。
一
、
电子商务网站开发中
数据库面临的安全问题
(一)网站代码设计中的安全问题
在电子商务网站的开发过程中,往往会存在网
站代码设计中的安全问题。在代码设计的过程中,
全。其次,电子网站后台操作权限设计的安全问题。
在电子网站操作权限设计过程中,有些设计人员为
了方便起见,习惯用比较容易记忆和猜测的用户名,
比如说:Master、Manager等,同时设置的密码也比较
有些网站设计人员会处于自身的习惯,总是把数据
库放在Database等目录中,习惯于用Database、data
等形式对数据库进行命名。同时,对电子网站数据
库敏感字段的命名也经常采用Pwd、password等常
简单,如:000000、666666、123456等。这些用户名
和密码都比较容易猜测,为电子商务网站数据库的
开发造成了巨大的安全隐患。
(三)电子网站源代码引起的安全问题
用词语。这样的数据库命名方式容易泄露重要的
数据信息,因为这样的文件名都比较容易记忆,从而
造成了电子网站数据的不安全性,容易造成电子商
[收稿日期】20ll一1o_.o8
1.电子网站数据库连接的安全问题。在电子网
[作者简介]张
・
皓(1981一),男,吉林省长春市人,吉林省经济管理干部学院教务处实验中心实验师。
68・
站设计的过程中,数据库链接容易出现安全问题。
权限,应该拥有一个与账号权限相同的超级用户来
例如:下面是一个ASP连接远程SQL数据库的简单 专门管理数据库,当使用这个账号的时候,就应该对
例子:
这个账号进行保护,使用8位以上的密码,这个密码
<%
最好是数字和字母的组合,同时应该及时升级补丁,
Set eonn=Server.CreateObject(”ADODB.Con-
避免数据库的漏洞,最大限度降低危险。对于数据
neefion”)
库系统软件的选择,应该使用大型的关系型数据库,
conns ̄=”driver={SQLServer};server=202.
例如:MS SQL SERVER等等,因为这些软件的性能
108.32.94;
能够满足用户要求,但是也应该做积极的防范措施,
uid=sa;pwd=PASSWORD;database=/data/
才能减少被攻击的机会。同时要提高数据库软件的
database.mdb”
部署要求,这就要使WEB服务器开放最少的窗口,
conn.open connstr
除了必须使用的窗口,其他的都可以屏蔽掉;第二就
%>
是可以修改数据库系统的服务端口,这样可以增加
通过对上述程序的分析,server是服务器的IP
攻击软件对服务器端口的扫描难度。如果安装完了
地址,uid指的是用户名,database是指网站数据库
系统,还应该设置一个账户,并且禁用或者修改默认
在服务器端的数据库的存放路径及名称。通过分
的系统管理员账户,最终使得攻击者无法通过破解
析,我们可以得出两个安全问题:第一,设计人员把
口令而威胁数据库安全。
电子网站数据库文件名直接存放到了数据库链接文
(二)一定要做好数据库的备份和恢复
件中,容易被攻击者恶意下载;第二,设计人员在编
电子商务网站数据库安全的有效保障就是要建
写源代码的时候,直接用了数据库的默认账号sa,
立严格的数据备份和恢复。为了增强数据库的安
能够让攻击者趁虚而入,直接操纵电子网站数据库
全,数据备份一定要完整、详细,如果不完整,就可能
的管理软件,造成了网站的不安全。
会破坏了数据库,导致严重的后果,所以应该做好数
2.在设计中使用SQL语句不当造成了数据库
据库备份和恢复工作。数据库备份一般采取了三种
的安全问题。在电子商务网站的设计过程中,SQL
策略,根据不同的情况采取不同的措施:普通的电子
语句的使用不当容易导致注入漏洞存在于任何使用
商务采取的是周期性全面数据库备份,在较短的时
SQL语句的网站中,对网站的安全性构成威胁。注
问间隔内进行数据库的增量备份等等。
入漏洞可以说是当前影响最大、危害最大的系统漏
(三)增加Web服务器与操作系统的安全性
洞,它主要是利用了程序员在编写代码的时候,没有
我们知道,病毒侵犯是计算机和网络系统最大
对用户输入数据的合法性进行判断,使应用程序存
在安全隐患。在这种情况下,攻击者可以轻易地通
的安全威胁,而数据库就是依赖计算机和网络来运
过在正常数据库查询代码的后面添加特殊字符的方
行的,所以数据库外围中避免病毒的破坏,避免病毒
法,根据程序返回的结果,获得数据库中的表名、字
通过各种平台扩散、破坏,或者隐藏整个数据库系统
段名,对数据库的信息造成严重的威胁,从而达到探
的运行,应该采用综合治理的办法:防、杀、管等等。
测数据库信息或提升权限等目的。
同时可以采用VPN技术构筑网络数据库系统的虚
拟专用网,目的通过防火墙技术,保障网络路由的接
二、加强电子商务网站数据库
人安全以及信息等等,实现网间隔离和网段间隔离,
安全性的策略分析
避免系统受病毒非法入侵,保证网络边界的安全;第
(一)加强数据库自身管理系统的安全性
二就是通过加密来增加系统运行的安全性,通过加
在数据库的管理中,对于数据库的使用,一定要 密防止数据在传输过程中被篡改或者被监听。比
提高数据库自身的安全性,最好不要设置系统默认 如:SQL Sevrer2000使用的是TDS协议来实现网络
・
.
69・
数据交换的,通过加密可以增加传输过程的安全性,
如果不加密,会是一个很大的威胁,因为所有的传输
都是明文的,很容易就被人截获,甚至是截获账号和
密码,所以需要一个证书来支持。在条件允许的情
况下最好采用SSL来加密协议,这样才能增加操作
忽视企业管理页面的验证信息,通过验证信息在开
头处判断,通过跟踪方式,确认了上一个文件名才有
权限浏览下一个页面权限。最后还应该避免管理员
因为个人原因没有关闭或者退出系统而离开,结果
造成了本来没有操作权限的人可以看到后台管理页
面上的信息。所以这个时候信息也容易泄露,应该
系统与Web服务器之间的安全性。
(四)应该加强网站后台的管理系统
要加强网站后台的管理,首先,可以在后台管理
系统中不使用易猜测的用户名和口令,因为很多时
采取时间限制保护策略,在屏幕上无操作多长时间
后,应该提供自动退出,或者实行密码保护。
(五)为了增强安全性,应该采用可靠的硬件
采用可靠的硬件是保护物理层安全的有效办
法,采用冗余容错技术,特别是要保证中心服务器的
安全性,比如使用磁盘冗余阵列、双多机集群系统、
候,系统采用的都是“管理员+口令”的方式,所以
对于设计用户名与口令的程序应尽量减少出现,最
好封装在服务器端,应该给涉及到数据库链接的用
户名与口令最小的操作权限。其次,后台系统管理
首页文件应该采用非常规命名法,不要把后台管理
系统的首页链接到用户随时能浏览的网页上。第
三,应该保证页面访问权限受到保护,通过登陆时候
设置权限来避免后天管理系统信息的泄露。后台管
理登录时应该要求验证管理员身份信息,绝对不能
双多冗余通讯线路等等,我们知道通过建立电子商
务系统和外部网络的防火墙,可以把邮件服务器、系
统服务器、数据库服务器等等放在防火墙以内,而把
对外公开使用信息放在防火墙以外。要想获取网内
信息,必须要经过授权的外网来实现,还应该注意选
择安全机制较高的网络设备等等。
[责任编辑:马莉]
[参考文献]
[1]卢国志,刘忠诚.新编电子商务概论[M].北京:北京大学出版社,2005.
[2]文蓉.电子商务网站开发中数据库安全问题分析[J].计算机安全,2007,(12).
[3]赵乃真.电子商务网站建设实例[M].北京:清华大学出版社,2003.
[4]林柏钢.网络与信息安全教程[M].北京:机械工业出版社,2004.
[5]周明.电子商务网站的数据库安全技术问题探析[J].软件导刊,2010,(9).
Technical Problems of Database Security of E—commerce Website
Zhang Hao
(J//in Province Economic Management Cadre College,Changchun,Jilin 130012)
Abstract:Along with China's rapid economic development and the increasing sophistication of computer network
technology,e—cormnerce sites appear and changes people trading habits at an Manning rate.In the running
process of e—commerce site,all kinds of important data are stored in server database.Therefore,to further secure
e—commerce website data in he dattabase,realize data validity,integrity and confidentiality,it is important to se-
cure e—commerce website database system.
Key words:E—commerce site;Database;Security
・
7O・,
版权声明:本文标题:关于电子商务网站的数据库安全技术问题分析 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1714500028a682954.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论