洛阳浩科网络公司分享:随着互联网信息化和大数据时代的到来,电子商务平台以其高效、便捷、成本低、个性化等特性引领时代潮流。企业可以开展无实体店经营,个人足不出户即可博覧国内乃至国际一切商品,并进一步完成购买环节。但基于互联网的开放性和虚拟性特点,电子商务网站建设安全问题就像一个隐形“毒瘤”,时刻威胁着企业和用户的安全利益,并制约着电子商务稳健的进一步发展。可见,企业在建设电子商务网站时,不仅要关注网站的实用性和美观度,更要注重安全问题。电子商务网站的数据库是网站的核心信息,比如交易记录、商业数据等。因此,如何保证电子商务网站建设中的数据库安全就成为开发设计人员首要解决的问题。
电子商务网站建设中数据库的安全隐患电子商务网站的开放性特征,使得网站数据库本身就存在着很大安全隐患,常见电子商务网站建设中数据库安全隐患如下。
1.基础硬件的安全隐患
电子商务这种商务模式在我国发展历程短,电子商务
技术尚处于开发与运营的初期阶段,硬件设施还依然是电子商务网站建设的“短板”。各种硬件条件短缺、配套资金匮乏等因素使得电子商务网站建设过程中使用的硬件设施不够先进,硬件安全性存在较多漏洞。导致电子商务网站很容易遭受不法分子的恶意侵害,网站中的数据资料遭受窃取或篡改。
2.数据库登录方式的安全隐患
为便于后期对电子商务网站数据库的访问,电子商务网站建设时一般设置两种登录数据库的方式:
(1) W indow身份验证模式;
(2)数据库直接访问,即通过电子商务网站数据库对网站内容进行浏览。但第二种方式在使用时存在安全风险。多数用户在登录时习惯选择系统默认用户名,而后为了方便进入网站数据库又选择“记住密码”。这就增大了网站后台管理系统的安全隐患,把网站前台用户名和密码的安全管理也要负责在内。另外,很多用户完全直接选择数据库默认的用户名和密码会导致数据库外泄。众所周知,“x”是 SQL Server数据库的系统默认账号,还是一个超级用户账号,就常常被受到攻击。
3.数据库结构的安全隐患
电子商务网站建设前期,开发者与设计人员制定的数据库设计方案不够完善,一般体现在以下三个方面:
(1)默认了固定、有规律的数据库文件的存放位置。比如 Access数据库文件一般放在Web目录中,这个规律就会被不法分子利用来查找并下载数据库文件,导致网站的数据被窃取。
(2)数据表和数据字段的非自定义命名。有的数据库表和数据字段名直接使用关键词Admi、U9r等命名,不利于数据的安全。
(3)数据表无法防止被重命名。由于开发人员没有制定对策对数据表重命名进行前后缀处理,可能会导致出现安全问题。
1.完善配套的软硬件设施
在电子商务网站建设中,一方面要及时更新换代硬件设施,另一方面要完善软件设施。一般常从以下几方面完善软件设施:
(1)及时对操作系统打补丁,减少违规操作;
(2)采用数据加密技术、防火墙技术、杀毒软件及时等多种技术进行安全防范;
(3)在电子商务网站前后台均对数据库进行加密;
(4)采用复杂口令或生物特征等密码验证的方式进行登录验证,并对其用户名和密码进行无痕登录安全保护;
(5)完善和更新数据库系统软件;
(6)设置虚拟接入端口,并进行动态变换。
2.自定义特殊账号管理数据库系统
电子商务网站建设期间,数据库安全控制部门务必要重视特殊性账号管理工作,提升特殊性账号的安全性。例如:前面提到的“a”账号就是一个不可被删除、无法被修改的特殊账号。并且数据库管理人员后期为了数据库系统的需要,也会建立与“x”同样功能的账号,但“x”这类账号本身安全性能低,这就需要技术人员特别重视、特殊管理,做到既要保证提升工作效率,又要避免出现数据库软件泄露的安全事故。
3.设计科学规范的数据库结构
建议从以下几个方面设计数据库结构:
(1)更改默认下的数据库文件存储位置。如 SQL SERVER系统,DATA文件夹是默认路径下的文件夹,开发人员可更改存放路径和文件夹,而后修改与数据库连接的相关文件信息。
(2)使用0DBC数据源。ODBC的优点是用它生成的应用程序与数据库或数据库引擎无关,以统一的方式处理所有的数据库,隔离了数据库的实现细节。数据库设计人员在具备管理和维护的权限下,配置新的0DBC数据源,合理放置好更改后的数据库文件的存储位置。
(3)采用非常规命名方法更改数据库文件名。可为数据库主文件取复杂类姓名,并把它存放在较深层的路径下。如网上服饰店的主文件名,不要起诸如“ m clothing.mdf”、“hn,mdf"或“des,mdf之类的名字,再把它放在如“血cled359Aick136bt"之类的较深层的路径下;k数据库表和字段的命名。可采用字母和数字组合命名的方式为数据库表加上前后缀。
4.加强网站后台管理系统的安全性
可从以下几方面着手:
(1)不要在安全性较低的网页上放置数据库后台管理系统的链接,采用非常规命名法对首页文件命名;
(2)使用复杂的用户名和口令。把后台管理数据的用户名和口令封装在服务器中,权限放置其低;
(3)设置Session变量自动分配不同页面中用户权限的 Sessionid;
(4)即在主页面有身份验证,其他页面也要有身份验证。先判断是否从已验证页面跳转过来,否则不能进入当前页面。
5.建立数据库备份和恢复机制
数据库资源是电子商务网站运行的“血液”,建立加强数据库备份和恢复机制是提升电子商务网站数据库安全性能的重中之重。一旦网站数据库资源遭到安全问题,可以第一时间利用备份资源找到原始数据。为此就要求对电子商务网站的数据库进行定期备份。数据备份与恢复机制是对数据库管理机制的有效补充和完善。以 SQL SERVER数据库为例,数据备份和恢复常采用备份数据库中,mdf和.Hf文件或者附加数据库中.mdf和.f文件的方式。此外,务必要对数据库账户进行严格的加密处理。
总之,建设电子商务平台的人员可从电子商务网站数据库的软硬件设施、数据库结构、数据库后台管理、数据库备份等几方面着手,再结合企业实际综合使用这些对策,定可以为使用电子商务平台的相关者消除一些不必要的安全隐患,从而使电子商务网站建设向更高、更健康的方向发展。
4.网站后台管理系统的安全隐患
后台管理系统对于前台网页的稳定运行起着至关重要的作用,在网站运营过程中,后台数据库系统出现安全事故会导致整个电子商务网站平台痪,为此一定要确保数据库后台管理系统工作时处在安全稳定的环境。但由于目前国内电子商务平台尚处于发展初期,数据库后台管理系统在设计时还很难克服以下问题:
(1)数据库开发设计人员水平受限,将数据库后台管理系统的某些功能设置放在网站首页,直接暴露了数据库后台管理系统的地址。这是因为技术人员通常会采用web来对数据库进行访问、管理及维护,从而保证网址首页能够正常稳定地运行。
(2)整个数据库后台系统有且只有首页需要对管理员的权限进行验证,后续所有的管理界面均不再需要验证指令。因此攻击者只需直接输入URL地址,就可以绕过验证进入到后台管理之中直接对数据库进行访问管理,严重危及数据库的安全5.服务器地址设计的安全隐患。
在电子商务网站建设初期要设计服务器地址,但部分设计人员对服务器设计工作不够重视。
(1)数据库用户与用户名的连接问题容易出现文件内容泄露等现象;
(2)电子商务网站设计部门工作不够严谨,像诸如源代码的撰写工作等,如果设计不够严谨将会导致电子商务网站瘫痪。