網絡數據庫是電子商務的基礎��,其中保存著重要的商業信息��,因此保證網絡數據庫的安全是電子商務系統中的一個核心問題。通過對電子商務網站的數據庫安全技術問題進行分析,提出了網站數據庫系統的安全防范措施��。
摘 要:網絡數據庫是電子商務的基礎��,其中保存著重要的商業信息��,因此保證網絡數據庫的安全是電子商務系統中的一個核心問題。通過對電子商務網站的數據庫安全技術問題進行分析,提出了網站數據庫系統的安全防范措施��。
關鍵詞:電子商務;數據庫��;數據安全
Research on Database Security Based on Electronic Commerce
MIN Xiao-ling
(Wujin Institute of Jiangsu Radio and TV University, Changzhou 213149, Jiangsu��, China
Jiangsu city professional college Wujin School Point��, Changzhou 213149��, Jiangsu, China)
Abstract: Network database is the foundation of electronic business affairs, which preserves the important commercial information��, thus guarantees the security of network database is one of the core problems in the electronic commerce system. How to effectively ensure the safety is a system project��, this paper based on the electronic commerce website database security technology analysis��, proposed site database system security measures.
Key words: electronic commerce; database; data security
中圖分類號:F224-39 文獻標識碼: A 文章編號:
0 引言
所謂電子商務就是借助于公共網絡,如Internet或開放式計算機網絡進行網上交易��,快速而又有效地實現各種商務活動過程的電子化��、網絡化��、直接化。這種商務過程包括商品和服務交易的各個環節��,如廣告��、商品購買��、產品推銷、信息咨詢��、商務洽談��、金融服務、商品的支付等商業交易活動��。電子商務作為一種全新的商務模式��,它有很大的發展前途��。如何建立一個安全、便捷的電于商務應用環境��,對信息提供足夠的保護��,是商家和用戶都十分關注的話題��。
1 電子商務網絡安全問題
網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅,概括來說��,網絡安全的內容包括數據庫安全��、計算機網絡設備安全��、計算機網絡系統安全等[1]。電子商務網站的安全是確保電子商務網站能可靠運行并有效開展電子商務活動的基礎,數據庫是電子商務網站的核心,數據庫是否安全直接影響著電子商務網站的正常運營��。
安全問題是電子商務應用中最令人擔心的問題��,如何保證電子商務活動的安全��,將一直是電子商務的核心研究領域。作為一個安全的電子商務系統,首先必須有一個安全可靠的通訊網絡��,以保證交易信息安全��、迅速地傳遞��;其次必須保證數據庫中的數據絕對安全,防止黑客闖入網絡盜取數據��。
2 網絡數據庫安全問題
網絡數據庫是電子商務的基礎��,其保存著重要的商業信息��,因此對于電子商務系統來說,保證其網絡數據庫的安全尤為重要��。網絡數據庫安全是指數據庫信息的保密性��、完整性、一致性和可用性��。數據庫不僅儲存數據��,還要為使用者提供信息��。應該確保合法用戶在一定規則的控制和約束下使用數據庫,同時應該防止入侵者或非授權者非法訪間數據庫��。
對于一般的數據庫系統��,我們可以采用訪問控制��、用戶身份認證、授權控制��、監視跟蹤��、安全審計��、備份與恢復��、反病毒等安全管理技術來構筑其安全體系,以保證數據的安全性和可靠性��。由于電子商務系統中的網絡數據庫保存著重要的商業信息��,但某些用戶尤其是一些內部用戶仍可能非法獲取用戶名��、口令字或利用其他方法越權使用數據庫,甚至可以直接打開數據庫文件來竊取或篡改信息��,所以僅靠上述的安全措施難以完全保證其數據的安全性��,因此有必要對數據庫中存儲的重要數據進行加密處理[2]��。
與傳統的數據加密技術相比,數據庫加密技術有其自身的要求和特點��。傳統的加密以報文為單位��,加密��、解密都是從頭至尾順序進行��。而數據庫中的數據必須以字段為單位進行加密��,否則該數據庫將無法被操作。同時由于數據庫中的數據是共享的��,有權限的用戶隨時需要知道密鑰來查詢��、修改��、刪除和插入數據,這樣就要隨時對數據庫中數據進行加解密處理。
3 數據庫存在的安全隱患
3.1 操作系統單一
電子商務網站一般采用Windows系列的操作系統��,極少采用Linux操作系統��,基本上不采用Unix系統��,由于Windows系列的操作系統在當今的計算機操作系統中使用比例極高,系統的漏洞很容易被發現��,極易受到攻擊��。
3.2 病毒的攻擊
計算機病毒的種類與傳播速度不斷增長��,傳播范圍日益擴大,其復雜性與多變性日益提高��,其對電子商務系統數據庫的攻擊性與破壞性越來越強��。
3.3 用戶的非法操作[3]
a) 用戶對數據庫的不正確訪問��,引起數據庫數據的錯誤;
b) 非法用戶繞過安全內核��,竊取信息資源等現象��;
c) 未經授權非法修改數據庫數據��,使其數據失去真實性等等。
3.4 網絡安全環境的脆弱性
網絡操作系統安全的脆弱性、網絡數據庫系統安全的脆弱性、網絡協議的脆弱性等均為電子商務數據庫系統的應用帶了安全隱患��。
3.5 數據庫本身不完善
電子商務網站通常采用的或比較大量使用的DBMS系統��,主要有DBF��、ACCESS��、MYSQL��、MS SQL SERVER系統等,其中DBF��、ACCESS��、MYSQL系統都是很容易被整體復制或解密的��。MS SQL SERVER雖然屬于大型關系型DBMS,但由于被大量用戶采用,它的缺陷和漏洞也就容易被發現��,很容易被攻擊者取得SA的權限��,數據庫內所有的數據不但被攻擊者一覽無余��,攻擊者還可以通過建立自己的數據庫帳戶,獲得帳戶sysadmin的數據庫管理員的角色。
4 電子商務及數據庫安全防治措施
4.1 電子商務安全防治措施
防范電子商務網絡犯罪是一個系統工程��,不僅需要人們提高防范電子商務網絡犯罪的意識��,加強防范電子商務網絡犯罪的制度建設��,而且還需要技術上不斷更新和完善,為此��,需要做好以下幾方面的工作:
4.1.1加強教育和宣傳��,提高公眾電子商務的安全意識
信息安全意識是指人們在上網的過程中��,對信息安全重要性的認識水平��,發現影響網絡安全行為的敏銳性,維護網絡安全的主動性。強化上網人員的信息安全意識,就是要讓上網人員認識到��,網絡信息安全是電子商務正常而高效運轉的基礎��,是保障企業��、公民和國家利益的重要前提。
4.1.2采用多重網絡技術,保證網絡信息安全
目前��,常用的電子商務安全技術��,主要包括:防火墻,物理隔離��,VPN(虛擬專用網)[4]��。防火墻是實現內部網與外部網安全辦理和入侵隔離的常規技術��。使用防火墻,一方面是抵御來自外界的攻擊。另一方面是為了防止在服務器內部部分未經授權的用戶攻擊。因此��,電子商務內外網與互聯網之間要設置防火墻��。網管人員要經常到有關網站上下載最新的補丁程序��,以便進行網絡維護,同時經常掃描整個內部網絡��,發現任何安全隱患及時更改��,做到有備無患��。企業上網必須實行內外網劃分和內外網的物理隔離。
4.1.3運用密碼技術��,強化通信安全
應圍繞數字證書應用��,為電子政府信息網絡中各種業務應用提供信息的真實性��、完整性、機密性和不可否認性保證��。在業務系統中建立有效的信任管理機制��、授權控制機制和嚴密的責任機制��。目前要加強身份認證、數據完整性��、數據加密��、數字簽名等工作��。對于電子商務中的各種敏感數據進行數據加密處理,并且在數據傳輸中采用加密傳輸��,以防止攻擊者竊密��。[5]電子商務信息交換中的各種信息,必須通過身份認證來確認其合法性��,然后確定這個用戶的個人數據和特定權限��。為了從根本上保證我國網絡的安全��,我同安全產品的應用應建立在國內自主研發的產品基礎上,國外的先進技術可以參考��,但不能完全照搬��。政府應該鼓勵和扶植一批企業加快數字安全技術的研究��,以提高我國信息企業的技術和管理水平,促進我同電子商務安全建設��。
4.1.4安全認證技術
安全認證的主要作用是進行信息認證��,信息認證的目的就是要確認信息發送者的身份��,驗證信息的完整性,即確認信息在傳送或存儲過程中未被篡改過��。
4.1.5加強技術管理��,努力做到使用安全
首先是在內部嚴格控制企業內部人員對網絡共享資源的隨意使用��。在內網中,除有特殊需要不要輕易開放共享目錄��,對有經常交換信息要求的用戶��,在共享時應該加密��,即只有通過密碼的認證才允許訪問數據��。二是對涉及秘密信息的用戶主機,使用者在應用過程中應該做到盡可能少開放一些不常用的網絡服務��,同時封閉一些不用的端口��。并對服務器中的數據庫進行安全備份��。三是切實保證媒體安全��。包括媒體數據的安全及媒體本身的安全��。要防止系統信息在物理空間上的擴散。為了防止系統中的信息在物理空間上的擴散��,應在物理上采取一定的防護措施��,如進行一定的電磁屏蔽��,減少或干擾擴散出去的空間信號。
4.1.6健全法律��,嚴格執法
目前我國在電子商務法律法規方面還有很多缺失��,不能有效地保護公眾的合法權益��,給一些犯罪分子帶來了可乘之機。我國立法部門應加快立法進程��,吸取和借鑒國外網絡信息安全立法的先進經驗��,盡快制定和頒布《個人隱私保護法》��、《商業秘密保護法》、《信息網絡安全法》、《網上知識產權法》等一系列法律,使電子商務安全管理走上法制化軌道��。使網絡控制��、信息控制��、信息資源管理和防止泄密有法可依,并得到技術上的支撐。健全電子商務安全標準認證和質量檢測機制��,由國家主管部門組織制定有關電子商務安全條例規定��,并發揮職能部門的監管作用��。
4.2 電子商務網站開發中確保數據庫安全的對策
數據庫的安全性問題是指保護數據庫,防止不合法或未授權的使用��,以免數據泄密��、被惡意更改或破壞;數據庫完整性則是保護數據以防止合法用戶無意或誤操作造成的數據破壞。
4.2.1 加強數據庫管理系統的使用安全[6]
最好不要在數據庫管理系統中系統默認權限,可采用重新建立一個擁有與該賬號權限相同的超級用戶來管理數據庫。如一定要使用��,則必須對這個賬號進行最強的保護,不要把數據庫密碼留空或使用易猜測的口令,可使用8位以上的“字母+數字”的密碼��。另外,要及時了解廠商已發布的升級補丁以修復數據庫管理系統自身的安全漏洞��,最大限度降低因該安全漏洞給網站數據庫帶來的安全問題��。
4.2.2 采用非常規命名法
針對網站文檔名��、網站目錄名、數據庫及數據表文檔名、數據庫連接文件名、后臺管理員用戶名等關系到網站數據庫安全的命名,不使用系統默認的或者有特殊含義容易被猜測到的命名��,盡量使用無規則的英文字母。例如��,對于網上書店的數據庫文件不要簡單地命名“bookshop.mdb��、store.mdb”��,而是要以非常規的名字命名��,如用“windbsp.mdb”��。這樣��,對于一些通過猜測的方式得到數據庫相關信息的非法訪問起到了有效地阻止作用。
4.2.3 操作系統與Web服務器以及應用服務器的安全
首先��,對于網絡數據庫運行所依賴的計算機系統和網絡來說��,最主要的安全威脅來自病毒侵犯��,對此��,外圍層中應避免病毒利用網絡平臺隱藏、擴散及破壞整個系統的運行��,采用防、殺��、管相結合的綜合治理方法��,可采用VPN技術構筑網絡數據庫系統的虛擬專用網,保證網絡路由的接入安全及信息的傳輸安全,通過防火墻技術��,實現網問隔離和網段問隔離,保證網絡邊界安全��,確保系統免受病毒等非法入侵的危害。
4.2.4 加強對網站后臺管理系統的安全管理
a) 不把后臺管理系統的首頁鏈接直接放在前臺用戶能瀏覽到的網頁上��,首頁文件的命名應采用非常規命名法��。
b) 在后臺管理系統中針對“管理員標識+口令”的身份認證方式��,不使用易猜測的用戶名及口令��。涉及用戶名與口令的程序最好封裝在服務器端��,盡量少在程序中出現��,涉及到與數據庫連接的用戶名與口令應給予最小的操作權限。
c) 應該保證只有具有相應權限的用戶才能訪問對應權限的頁面,可以通過登錄時設置一個用戶權限標識Session變量來實現��,為了避免只有后臺管理系統的首頁才要求驗證管理員的身份信息��,而其他管理頁面卻忽視了身份驗證信息情況的出現��,可采取在需要驗證的頁面開頭處進行判斷,跟蹤上一個頁面的文件名 ��,只有從上一個頁面轉進來的會話才能讀取這個頁面的策略。
4.2.5 做好數據庫備份與恢復
建立嚴格的數據備份與恢復管理機制是保障所有電子商務網站數據庫系統安全的有效手段��。數據備份不僅要保證備份數據的完整性��,而且要建立詳細的備份數據檔案��。系統恢復時如果使用不完整或日期不正確的備份數據都會破壞系統數據庫的完整性,導致嚴重的后果��。針對不同數據庫的實際情況��,SQLServer2000提出了3種主要的備份策略:只備份數據庫��,備份數據庫和事務日志��,增量備份。一般說來��,對數據庫進行備份��,應綜合使用3種備份策略��,普通的電子商務網站數據庫的備份策略如下:根據系統運行的實際情況��,周期性地進行全面數據庫的備份。
4.2.6數據加密
數據安全隱患無處不在��。一些機密數據庫、商業數據等必須防止它人非法訪問��、修改��、拷貝��。如何保證數據安全��?[7]數據加密是應用最廣��、成本最低廉而相對最可靠的方法��。數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。數據加密系統包括對系統的不同部分要選擇何種加密算法、需要多高的安全級別��、各算法之間如何協作等因素��。在系統的不同部分要綜合考慮執行效率與安全性之間的平衡��。因為一般來講安全性總是以犧牲系統效率為代價的。如果要在Internet上的兩個客戶端傳遞安全數據,這就要求客戶端之間可以彼此判斷對方的身份��,傳遞的數據必須加密��,當數據在傳輸中被更改時可以被發覺。
5 結語
電子商務是伴隨著科技進步而形成的��,是人類商業活動與先進的信息處理技術相結合的產物��。是人類經濟��、科技��、文化發展的必然產物��,是信息化社會的商務模式��,也是商務的未來。安全是電子商務生存和發展的命脈��,隨著網絡信息技術的發展��,安全技術平臺和安全管理策略將不斷發展和改進提高��。電子商務網站的設計人員必須在精心的安全分析��、風險評估、商業需求分析和網站運行效率分析的基礎上��,才能制定出整體的安全解決方案����?梢姡芯侩娮由虅瞻踩珕栴}的一直不可忽視的問題
參考文獻:
[1] 劉曉東.基于Web的網絡數據庫安全技術研究[D].武漢:武漢理工大學.2003.
[2] 盧國志,劉忠誠.新編電子商務概論.北京 :北京大學出版社.2O05.57-60.
[3] 向宏,鹿琪��,胡海波��,桑軍,蔡斌.面向對象數據庫的隱授權安全機制研究[J].計算機工程與應用.2010(02期)12-14.
[4] 劉啟原.數據庫與信息系統的安全[M].科學出版社.2000.
[5] 林柏鋼.網絡與信息安全教程[M].北京:機械工業出版社.2004.
[6] 王宇輝��,解麗娜��,凌敏��,陳碧玲,王麗��,姚建華.網絡化學數據庫技術與應用[A].2010.
[7] 陳信祥.電子商務網站建設[M].清華大學出版社��,2001.