電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全隱患與策略分析 ?

胡朝暉

摘 要：互聯(lián)網(wǎng)信息時(shí)代到來，發(fā)展電子商務(wù)是很多行業(yè)及產(chǎn)業(yè)十分重視的工作，其中建立電子商務(wù)網(wǎng)站則是核心部分之一。在電子商務(wù)網(wǎng)站構(gòu)建和運(yùn)營過程中，網(wǎng)絡(luò)安全問題備受人們關(guān)注，而其中又以網(wǎng)站數(shù)據(jù)庫安全性更為重要。本文重點(diǎn)探索了當(dāng)前我國電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全性方面存在的問題和主要隱患，并結(jié)合實(shí)際分析相關(guān)預(yù)防和應(yīng)對策略，最后分析了保障電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全的意義。

關(guān)鍵詞：電子商務(wù);網(wǎng)站建設(shè);數(shù)據(jù)庫;安全隱患;策略

一、電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全隱患

電子商務(wù)網(wǎng)站因網(wǎng)絡(luò)環(huán)境開放性和訪問源多樣性，因而存在著多種安全隱患，網(wǎng)站數(shù)據(jù)庫中存在的安全隱患會(huì)導(dǎo)致企業(yè)核心利益和客戶權(quán)益受到侵害，甚至造成嚴(yán)重后果。總結(jié)來講，電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全隱患主要有以下幾點(diǎn)：

1.基礎(chǔ)硬件方面

硬件是電子商務(wù)網(wǎng)站和數(shù)據(jù)庫運(yùn)行的基礎(chǔ)，其品質(zhì)直接影響電子商務(wù)網(wǎng)站數(shù)據(jù)庫體量、性能和安全性。如今我國電子商務(wù)領(lǐng)域中硬件設(shè)施質(zhì)量和技術(shù)水平依然存在著不足，尤其是相關(guān)配套設(shè)施資金缺乏，導(dǎo)致電子商務(wù)網(wǎng)站數(shù)據(jù)庫本身安全指數(shù)不高、漏洞多、安全配套不完善。加上硬件設(shè)施日常管理不科學(xué)，安全防護(hù)不到位，造成硬件配置容易出現(xiàn)問題，甚至出現(xiàn)被盜、被破壞情況。

2.數(shù)據(jù)庫登錄方面

正常情況下，電子商務(wù)網(wǎng)站訪問數(shù)據(jù)庫有兩種登錄方式，即Windows身份證驗(yàn)證和網(wǎng)站直接訪問，顯然網(wǎng)站直接訪問存在著多種安全風(fēng)險(xiǎn)。例如，很多用戶在訪問時(shí)會(huì)選用系統(tǒng)默認(rèn)用戶名，并且為了方便，會(huì)讓系統(tǒng)“記住用戶名”“記住密碼”，甚至密碼的設(shè)定也選取常見和簡單的。這種情況直接導(dǎo)致數(shù)據(jù)庫遭受入侵、數(shù)據(jù)泄露風(fēng)險(xiǎn)劇增并且這種情況會(huì)導(dǎo)致網(wǎng)站后臺(tái)管理壓力增大，例如，在SQL Server數(shù)據(jù)庫中，“sa”是默認(rèn)賬號(hào)，并且該賬號(hào)還屬于超級(jí)用戶賬號(hào)，成為歷來病毒攻擊的重點(diǎn)。

3.數(shù)據(jù)庫結(jié)構(gòu)方面

往往在電子商務(wù)網(wǎng)站設(shè)計(jì)和構(gòu)建的時(shí)候，由于開發(fā)設(shè)計(jì)人員設(shè)計(jì)方案考慮不周，或未考慮到未來行業(yè)及技術(shù)發(fā)展趨勢，導(dǎo)致數(shù)據(jù)庫基礎(chǔ)結(jié)構(gòu)方面存在著多種安全隱患。主要包括：

（1）數(shù)據(jù)庫文件存放位置單一且固定。例如，常見的Access數(shù)據(jù)庫中，其文件默認(rèn)存放于Web目錄，這種單一存放路徑結(jié)構(gòu)導(dǎo)致數(shù)據(jù)庫一旦被入侵，不法分子就很容易找到重要文件，進(jìn)行竊取。

（2）數(shù)據(jù)字段和表格不能自定義名稱。目前很多網(wǎng)站數(shù)據(jù)庫表和數(shù)據(jù)字段都采取單一命名格式，如Admi、User等，也存在著在數(shù)據(jù)庫遭入侵后容易被輕易盜取的風(fēng)險(xiǎn)。

（3）數(shù)據(jù)庫不能有效防止被非法重命名。如果數(shù)據(jù)庫文件無法在重命名時(shí)生成相關(guān)后綴，那么數(shù)據(jù)庫很容易遭到串改，存在重大安全隱患。

4.網(wǎng)站后臺(tái)系統(tǒng)方面

后臺(tái)系統(tǒng)是網(wǎng)站穩(wěn)定運(yùn)行和進(jìn)行綜合管理的主要架構(gòu)，如果網(wǎng)站后臺(tái)遭到入侵，會(huì)直接導(dǎo)致整個(gè)前網(wǎng)頁面功能出現(xiàn)問題，甚至造成網(wǎng)站癱瘓，因此針對網(wǎng)站及數(shù)據(jù)庫后臺(tái)管理系統(tǒng)保持安全穩(wěn)定狀態(tài)。及時(shí)在當(dāng)前國內(nèi)電子商務(wù)行業(yè)發(fā)展較好的情況下，數(shù)據(jù)庫后臺(tái)管理系統(tǒng)依然存在著以下幾方面問題：

（1）數(shù)據(jù)庫后臺(tái)管理系統(tǒng)網(wǎng)址、功能地址暴露。因?yàn)榫W(wǎng)站開發(fā)設(shè)計(jì)人員會(huì)采用Web訪問和管理數(shù)據(jù)庫，但在過程中因?yàn)樗绞芟?，?huì)將網(wǎng)站數(shù)據(jù)庫相關(guān)功能放在網(wǎng)站首頁，導(dǎo)致數(shù)據(jù)庫地址暴露，產(chǎn)生巨大安全風(fēng)險(xiǎn)。

（2）權(quán)限驗(yàn)證過于單一。在網(wǎng)站數(shù)據(jù)庫后臺(tái)管理系統(tǒng)中，很多時(shí)候?qū)υL問者賬戶登錄需求僅僅進(jìn)行一次權(quán)限驗(yàn)證，在后續(xù)操作和進(jìn)一步訪問中，缺少必要的后續(xù)驗(yàn)證，導(dǎo)致數(shù)據(jù)庫后臺(tái)管理系統(tǒng)一旦被入侵，相關(guān)數(shù)據(jù)和功能就完全暴露在入侵者面前。甚至不法分子只需要輸入U(xiǎn)RL地址，便可繞過權(quán)限驗(yàn)證，直接入侵?jǐn)?shù)據(jù)庫后臺(tái)系統(tǒng)。

5.服務(wù)器地址設(shè)計(jì)方面

電子商務(wù)網(wǎng)站設(shè)計(jì)時(shí)，服務(wù)器構(gòu)建時(shí)需要設(shè)計(jì)地址，但很多設(shè)計(jì)人員忽視了該工作重要性，導(dǎo)致服務(wù)器地址方面存在著成為危及數(shù)據(jù)庫的安全隱患：

（1）當(dāng)數(shù)據(jù)庫與用戶們進(jìn)行連接時(shí)，容易在地址或頁面中泄露文件數(shù)據(jù)內(nèi)容。

（2）源代碼續(xù)寫工作不嚴(yán)謹(jǐn)，導(dǎo)致服務(wù)器網(wǎng)址邏輯容易被利用，危及服務(wù)器和數(shù)據(jù)庫安全。

二、電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全隱患應(yīng)對策略

1.完善和升級(jí)硬軟件設(shè)施和配置

如今電子商務(wù)模式和計(jì)算機(jī)技術(shù)發(fā)展較快，各類硬軟件更新?lián)Q代較快，在這種情況下，電子商務(wù)網(wǎng)站構(gòu)建設(shè)計(jì)不僅需要在充分研究行業(yè)發(fā)展趨勢和網(wǎng)站未來運(yùn)維需求的基礎(chǔ)上，完善相關(guān)硬軟件配置，還需要在必要時(shí)候?qū)τ曹浖M(jìn)行升級(jí)。具體有以下幾個(gè)要點(diǎn)：

（1）及時(shí)利用計(jì)算機(jī)技術(shù)修補(bǔ)操作系統(tǒng)漏洞，做好日常操作管理，避免違規(guī)和不合理操作。

（2）利用加密技術(shù)提升系統(tǒng)安全等級(jí)，利用防火墻技術(shù)應(yīng)對網(wǎng)絡(luò)病毒和黑客攻擊，利用殺毒軟件對系統(tǒng)安全進(jìn)行監(jiān)測，自動(dòng)攔截和處理常見攻擊。

（3）設(shè)計(jì)和引進(jìn)安全性口令密碼技術(shù)，如生物識(shí)別驗(yàn)證、加密口令等，對用戶們及密碼進(jìn)行無痕保護(hù)。

（4）定期更新完善數(shù)據(jù)庫系統(tǒng)軟件，并設(shè)置虛擬接入端口，利用動(dòng)態(tài)變換加強(qiáng)安全等級(jí)。

（5）完善數(shù)據(jù)庫硬件配置，對服務(wù)器、網(wǎng)絡(luò)通訊、電力系統(tǒng)進(jìn)行升級(jí)完善，確保硬件及固件保持穩(wěn)定運(yùn)行狀態(tài)。

2.進(jìn)行賬號(hào)特殊自定義處理

在設(shè)計(jì)開發(fā)階段，需要對電子商務(wù)網(wǎng)站數(shù)據(jù)庫特殊賬號(hào)進(jìn)行針對性處理和管理，提升這類賬號(hào)安全等級(jí)。例如，像“sa”這類無法刪除和被修改的特殊賬號(hào)，其本身功能對數(shù)據(jù)庫而言也非常有存在必要，但是這種賬號(hào)安全防護(hù)能力較差，就需要相關(guān)專業(yè)人員對這類賬號(hào)進(jìn)行針對性管理，做好權(quán)限把控，定期評估賬號(hào)安全水平，避免數(shù)據(jù)庫產(chǎn)生安全問題。

3.優(yōu)化和提升數(shù)據(jù)庫結(jié)構(gòu)科學(xué)性

數(shù)據(jù)庫基礎(chǔ)結(jié)構(gòu)科學(xué)性和穩(wěn)定性直接影響其安全等級(jí)，因此有必要在數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)時(shí)做到以下幾點(diǎn)：

（1）引入ODBC數(shù)據(jù)源。該數(shù)據(jù)源優(yōu)勢在于基于此生成的應(yīng)用程序與數(shù)據(jù)庫不存在直接聯(lián)系，并直接統(tǒng)一了數(shù)據(jù)庫處理方式。數(shù)據(jù)庫的開發(fā)管理人員可以在合理權(quán)限下，利用新ODBC數(shù)據(jù)源合理規(guī)劃文件放置位置。

（2）使用非常規(guī)命名方式。數(shù)據(jù)庫開發(fā)管理人員可以對主要文件名稱進(jìn)行復(fù)雜命名或編碼，并將其藏匿于較深路徑之下。針對k數(shù)據(jù)表及字段命名，可以利用數(shù)字、字母及部分符號(hào)組合命名方法，豐富數(shù)據(jù)庫表前后綴。

（3）更改默認(rèn)文件儲(chǔ)存位置。開發(fā)人員及日常使用人員，應(yīng)當(dāng)有更改文件及數(shù)據(jù)默認(rèn)儲(chǔ)存位置的習(xí)慣。例如，在SQL Server系統(tǒng)中，針對DATA這種默認(rèn)儲(chǔ)存位置，要經(jīng)常進(jìn)行更改，特別是重要文件及數(shù)據(jù)不要放在這個(gè)文件路徑中。

4.提升網(wǎng)站數(shù)據(jù)庫后臺(tái)管理安全等級(jí)

針對電商網(wǎng)站后臺(tái)管理方面存在的隱患，有必要采用以下幾個(gè)方法進(jìn)行防范：

（1）提升網(wǎng)頁安全等級(jí)。切忌不要在低安全等級(jí)網(wǎng)頁上放置數(shù)據(jù)庫及后臺(tái)管理鏈接，對首頁文件命名采取非常規(guī)方法，注意做好加密。

（2）對用戶名和口令進(jìn)行設(shè)計(jì)，避免其過于簡單，將數(shù)據(jù)庫后臺(tái)管理系統(tǒng)用戶們及口令密碼等進(jìn)行加密封裝，權(quán)限放低。

（3）對Session變量進(jìn)行設(shè)置，對不同頁面中用戶權(quán)限SessionID進(jìn)行自動(dòng)分配。

（4）在后臺(tái)管理系統(tǒng)權(quán)限驗(yàn)證方面提升驗(yàn)證等級(jí)，登錄后關(guān)鍵性操作也要設(shè)置權(quán)限驗(yàn)證。驗(yàn)證邏輯基礎(chǔ)設(shè)置為先驗(yàn)證訪問者是否是從已驗(yàn)證頁面跳轉(zhuǎn)而來，否則需要從頭進(jìn)行驗(yàn)證。

5.設(shè)計(jì)好數(shù)據(jù)庫備份恢復(fù)機(jī)制

對于一個(gè)電商網(wǎng)站而言，數(shù)據(jù)庫內(nèi)數(shù)據(jù)和相關(guān)資源是網(wǎng)站功能運(yùn)行的基礎(chǔ)，同時(shí)也關(guān)乎企業(yè)及客戶隱私、資金、資產(chǎn)安全。如果數(shù)據(jù)庫因各類因素遭到破壞，且數(shù)據(jù)文件遭到損壞的話，會(huì)產(chǎn)生嚴(yán)重后果，因此有必要在開發(fā)階段就做好數(shù)據(jù)備份、恢復(fù)機(jī)制，這是保證電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全的關(guān)鍵步驟之一。首先，需要設(shè)置專用渠道和空間，讓數(shù)據(jù)庫運(yùn)維人員定時(shí)對相關(guān)數(shù)據(jù)文件進(jìn)行單獨(dú)備份。其次，利用計(jì)算機(jī)技術(shù)，讓數(shù)據(jù)庫在關(guān)鍵節(jié)點(diǎn)，或遭受入侵和破壞時(shí)，自動(dòng)備份重要文件數(shù)據(jù)。只有在備份及時(shí)可靠基礎(chǔ)上，才能在極端情況下迅速恢復(fù)和找回相關(guān)數(shù)據(jù)。例如，SQL Server數(shù)據(jù)庫中，數(shù)據(jù)文件備份一般使用mdf及l(fā)df文件格式進(jìn)行備份。尤其要注意的是，對備份渠道和賬戶要進(jìn)行加密處理，并提升使用權(quán)限等級(jí)，做好日常管理和維護(hù)。

6.做好SQL語句漏洞防范

針對SQL語句容易導(dǎo)入注入漏洞的問題，首先需要對用戶和系統(tǒng)管理員賬戶進(jìn)行區(qū)分設(shè)置，以往很多系統(tǒng)開發(fā)人員直接在普通用戶查詢語句加入Drop Table語句，這種方式在權(quán)限方面會(huì)出現(xiàn)問題和漏洞。因此在設(shè)計(jì)階段需要去除普通用戶建立及刪除權(quán)限，以此杜絕SQL語句惡意代碼出現(xiàn)，進(jìn)而有效避免注入式攻擊和入侵。然后，對用戶日常輸入行為要進(jìn)行驗(yàn)證，在SQL Server數(shù)據(jù)庫中，有專用用戶輸入內(nèi)容驗(yàn)證工具，可以利用它來測試字符串變量內(nèi)容，對用戶輸入的數(shù)據(jù)類型及體量進(jìn)行驗(yàn)證評估，進(jìn)行強(qiáng)制性轉(zhuǎn)換限制，通過該方法可以避免注入式攻擊常用的故意造成緩沖區(qū)溢出的入侵手段。

三、電子商務(wù)網(wǎng)站建設(shè)中做好數(shù)據(jù)庫安全管理的意義

1.保證電子商務(wù)網(wǎng)站穩(wěn)定運(yùn)行

現(xiàn)代電子商務(wù)業(yè)務(wù)開展的基礎(chǔ)是網(wǎng)站平臺(tái)，只有保證網(wǎng)站功能正常、網(wǎng)絡(luò)正常、顯示正常，才能滿足企業(yè)日常經(jīng)營行為正常進(jìn)行。同時(shí)，如今電子商務(wù)客戶對網(wǎng)站使用便捷度、舒適度都有較高要求，電子商務(wù)網(wǎng)站只有保持穩(wěn)定才能提升用戶體驗(yàn)，為產(chǎn)品銷售、服務(wù)輸出打下較好基礎(chǔ)。

2.避免企業(yè)損失

無論是半電子商務(wù)半實(shí)業(yè)企業(yè)，還是純電子商務(wù)企業(yè)，其日常經(jīng)營中大量的重要數(shù)據(jù)文件都存在于網(wǎng)站數(shù)據(jù)庫之中，一旦他們被竊取或被破壞，對企業(yè)戶造成嚴(yán)重?fù)p失。尤其是一些涉及商業(yè)機(jī)密的文件，如果被非法竊取利用，后果也相當(dāng)嚴(yán)重。當(dāng)然，即使網(wǎng)站數(shù)據(jù)庫只是被普通攻擊，導(dǎo)致網(wǎng)站功能受損，也會(huì)影響企業(yè)正常經(jīng)營，影響企業(yè)本身及加盟商戶經(jīng)營業(yè)績。

3.有利于保護(hù)客戶隱私

如今信息流成為互聯(lián)網(wǎng)及電子商務(wù)產(chǎn)業(yè)重要資源，很多針對電子商務(wù)網(wǎng)站數(shù)據(jù)庫的入侵，重要目的之一就是盜取客戶資料。這不但導(dǎo)致客戶隱私被暴露，同時(shí)也會(huì)影響電子商務(wù)企業(yè)本身未來發(fā)展。而做好網(wǎng)站數(shù)據(jù)庫安全防護(hù)，顯然對客戶隱私及企業(yè)資源安全有重要意義。

四、結(jié)束語

在互聯(lián)網(wǎng)技術(shù)和電子商務(wù)產(chǎn)業(yè)飛速發(fā)展的大環(huán)境下，電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全直接影響企業(yè)及客戶利益，同時(shí)也關(guān)乎相關(guān)行業(yè)發(fā)展?fàn)顟B(tài)和環(huán)境質(zhì)量。在復(fù)雜的互聯(lián)網(wǎng)當(dāng)中，如何利用專業(yè)技術(shù)和管理杜絕電子商務(wù)數(shù)據(jù)庫安全風(fēng)險(xiǎn)，是相關(guān)技術(shù)人員和電子商務(wù)企業(yè)面臨的挑戰(zhàn)。因此需要對電子商務(wù)網(wǎng)站數(shù)據(jù)庫各類安全隱患進(jìn)行全面研究，分析其特征和產(chǎn)生的原因，再結(jié)合現(xiàn)代技術(shù)和網(wǎng)站開發(fā)理念，完善和升級(jí)硬軟件配置，做好細(xì)節(jié)性加密和安全防范技術(shù)處理，全面提升網(wǎng)站數(shù)據(jù)庫抗攻擊能力和安全等級(jí)，維護(hù)電子商務(wù)網(wǎng)站和經(jīng)營行為正常進(jìn)行。

參考文獻(xiàn)：

[1]張鑫.電子商務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫安全隱患及對策[J].辦公自動(dòng)化，2018，v.23;No.381（16）：16+48-49.

[2]卞克.電子商務(wù)網(wǎng)站開發(fā)中的數(shù)據(jù)庫安全現(xiàn)狀及對策[J].電子技術(shù)與軟件工程，2018（17）：205-205.

[3]寧利峰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2019，260（04）：180-181.

[4]王曉波.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫安全管理技術(shù)的優(yōu)化[J].信息與電腦（理論版），2019，419（01）：243-244+247.

[5]劉力銘.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫安全威脅分析與措施探討[J].電腦知識(shí)與技術(shù)，2017（11）.

[6]楊雪嬋.提升數(shù)據(jù)庫安全性，防范黑客侵襲網(wǎng)站[J].網(wǎng)絡(luò)安全和信息化，2019，33（01）：118-123.

[7]胡紹方，盧佳明.淺談大數(shù)據(jù)環(huán)境中的數(shù)據(jù)庫安全技術(shù)[J].計(jì)算機(jī)產(chǎn)品與流通，2019（01）：289-290.

[8]陳建鋒.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫的安全管理技術(shù)[J].電子技術(shù)與軟件工程，2019（1）.

[9]卞克.電子商務(wù)網(wǎng)站開發(fā)中的數(shù)據(jù)庫安全現(xiàn)狀及對策[J].電子技術(shù)與軟件工程，2018（17）：205-205.