洛陽浩科網絡公司分享:隨著互聯網信息化和大數據時代的到來,電子商務平臺以其高效、便捷、成本低、個性化等特性引領時代潮流。
企業可以開展無實體店經營,個人足不出戶即可博覧國內乃至國際一切商品,并進一步完成購買環節。
但基于互聯網的開放性和虛擬性特點,電子商務網站建設安全問題就像一個隱形“毒瘤”,時刻威脅著企業和用戶的安全利益,并制約著電子商務穩健的進一步發展。
可見,企業在建設電子商務網站時,不僅要關注網站的實用性和美觀度,更要注重安全問題。
電子商務網站的數據庫是網站的核心信息,比如交易記錄、商業數據等。
因此,如何保證電子商務網站建設中的數據庫安全就成為開發設計人員首要解決的問題。
電子商務網站建設中數據庫的安全隱患電子商務網站的開放性特征,使得網站數據庫本身就存在著很大安全隱患,常見電子商務網站建設中數據庫安全隱患如下。
1.基礎硬件的安全隱患電子商務這種商務模式在我國發展歷程短,電子商務技術尚處于開發與運營的初期階段,硬件設施還依然是電子商務網站建設的“短板”。
各種硬件條件短缺、配套資金匱乏等因素使得電子商務網站建設過程中使用的硬件設施不夠先進,硬件安全性存在較多漏洞。
導致電子商務網站很容易遭受不法分子的惡意侵害,網站中的數據資料遭受竊取或篡改。
2.數據庫登錄方式的安全隱患為便于后期對電子商務網站數據庫的訪問,電子商務網站建設時一般設置兩種登錄數據庫的方式:(1) W indow身份驗證模式;(2)數據庫直接訪問,即通過電子商務網站數據庫對網站內容進行瀏覽。
但第二種方式在使用時存在安全風險。
多數用戶在登錄時習慣選擇系統默認用戶名,而后為了方便進入網站數據庫又選擇“記住密碼”。
這就增大了網站后臺管理系統的安全隱患,把網站前臺用戶名和密碼的安全管理也要負責在內。
另外,很多用戶完全直接選擇數據庫默認的用戶名和密碼會導致數據庫外泄。
眾所周知,“x”是 SQL Server數據庫的系統默認賬號,還是一個超級用戶賬號,就常常被受到攻擊。
3.數據庫結構的安全隱患電子商務網站建設前期,開發者與設計人員制定的數據庫設計方案不夠完善,一般體現在以下三個方面:(1)默認了固定、有規律的數據庫文件的存放位置。
比如 Access數據庫文件一般放在Web目錄中,這個規律就會被不法分子利用來查找并下載數據庫文件,導致網站的數據被竊取。
(2)數據表和數據字段的非自定義命名。
有的數據庫表和數據字段名直接使用關鍵詞Admi、U9r等命名,不利于數據的安全。
(3)數據表無法防止被重命名。
由于開發人員沒有制定對策對數據表重命名進行前后綴處理,可能會導致出現安全問題。
1.完善配套的軟硬件設施在電子商務網站建設中,一方面要及時更新換代硬件設施,另一方面要完善軟件設施。
一般常從以下幾方面完善軟件設施:(1)及時對操作系統打補丁,減少違規操作;(2)采用數據加密技術、防火墻技術、殺毒軟件及時等多種技術進行安全防范;(3)在電子商務網站前后臺均對數據庫進行加密;(4)采用復雜口令或生物特征等密碼驗證的方式進行登錄驗證,并對其用戶名和密碼進行無痕登錄安全保護;(5)完善和更新數據庫系統軟件;(6)設置虛擬接入端口,并進行動態變換。
2.自定義特殊賬號管理數據庫系統電子商務網站建設期間,數據庫安全控制部門務必要重視特殊性賬號管理工作,提升特殊性賬號的安全性。
例如:前面提到的“a”賬號就是一個不可被刪除、無法被修改的特殊賬號。
并且數據庫管理人員后期為了數據庫系統的需要,也會建立與“x”同樣功能的賬號,但“x”這類賬號本身安全性能低,這就需要技術人員特別重視、特殊管理,做到既要保證提升工作效率,又要避免出現數據庫軟件泄露的安全事故。
3.設計科學規范的數據庫結構建議從以下幾個方面設計數據庫結構:(1)更改默認下的數據庫文件存儲位置。
如 SQL SERVER系統,DATA文件夾是默認路徑下的文件夾,開發人員可更改存放路徑和文件夾,而后修改與數據庫連接的相關文件信息。
(2)使用0DBC數據源。
ODBC的優點是用它生成的應用程序與數據庫或數據庫引擎無關,以統一的方式處理所有的數據庫,隔離了數據庫的實現細節。
數據庫設計人員在具備管理和維護的權限下,配置新的0DBC數據源,合理放置好更改后的數據庫文件的存儲位置。
(3)采用非常規命名方法更改數據庫文件名。
可為數據庫主文件取復雜類姓名,并把它存放在較深層的路徑下。
如網上服飾店的主文件名,不要起諸如“ m clothing.mdf”、“hn,mdf"或“des,mdf之類的名字,再把它放在如“血cled359Aick136bt"之類的較深層的路徑下;k數據庫表和字段的命名。
可采用字母和數字組合命名的方式為數據庫表加上前后綴。
4.加強網站后臺管理系統的安全性可從以下幾方面著手:(1)不要在安全性較低的網頁上放置數據庫后臺管理系統的鏈接,采用非常規命名法對首頁文件命名;(2)使用復雜的用戶名和口令。
把后臺管理數據的用戶名和口令封裝在服務器中,權限放置其低;(3)設置Session變量自動分配不同頁面中用戶權限的 Sessionid;(4)即在主頁面有身份驗證,其他頁面也要有身份驗證。
先判斷是否從已驗證頁面跳轉過來,否則不能進入當前頁面。
5.建立數據庫備份和恢復機制數據庫資源是電子商務網站運行的“血液”,建立加強數據庫備份和恢復機制是提升電子商務網站數據庫安全性能的重中之重。
一旦網站數據庫資源遭到安全問題,可以第一時間利用備份資源找到原始數據。
為此就要求對電子商務網站的數據庫進行定期備份。
數據備份與恢復機制是對數據庫管理機制的有效補充和完善。
以 SQL SERVER數據庫為例,數據備份和恢復常采用備份數據庫中,mdf和.Hf文件或者附加數據庫中.mdf和.f文件的方式。
此外,務必要對數據庫賬戶進行嚴格的加密處理。
總之,建設電子商務平臺的人員可從電子商務網站數據庫的軟硬件設施、數據庫結構、數據庫后臺管理、數據庫備份等幾方面著手,再結合企業實際綜合使用這些對策,定可以為使用電子商務平臺的相關者消除一些不必要的安全隱患,從而使電子商務網站建設向更高、更健康的方向發展。
4.網站后臺管理系統的安全隱患后臺管理系統對于前臺網頁的穩定運行起著至關重要的作用,在網站運營過程中,后臺數據庫系統出現安全事故會導致整個電子商務網站平臺瘓,為此一定要確保數據庫后臺管理系統工作時處在安全穩定的環境。
但由于目前國內電子商務平臺尚處于發展初期,數據庫后臺管理系統在設計時還很難克服以下問題:(1)數據庫開發設計人員水平受限,將數據庫后臺管理系統的某些功能設置放在網站首頁,直接暴露了數據庫后臺管理系統的地址。
這是因為技術人員通常會采用web來對數據庫進行訪問、管理及維護,從而保證網址首頁能夠正常穩定地運行。
(2)整個數據庫后臺系統有且只有首頁需要對管理員的權限進行驗證,后續所有的管理界面均不再需要驗證指令。
因此攻擊者只需直接輸入URL地址,就可以繞過驗證進入到后臺管理之中直接對數據庫進行訪問管理,嚴重危及數據庫的安全5.服務器地址設計的安全隱患。
在電子商務網站建設初期要設計服務器地址,但部分設計人員對服務器設計工作不夠重視。
(1)數據庫用戶與用戶名的連接問題容易出現文件內容泄露等現象;(2)電子商務網站設計部門工作不夠嚴謹,像諸如源代碼的撰寫工作等,如果設計不夠嚴謹將會導致電子商務網站癱瘓。