基于电子商务网站的数据库安全技术问题的研究.docVIP

基于电子商务网站的数据库安全技术问题的研究 　　摘要:在电子商务交易中,安全问题影响着交易中每一方的利益。因此,如何实现数据的保密性、完整性和有效性,有效地保障网站数据库的安全,是电子商务网站开发中需要考虑的重要问题。本文首先写了电子商务网站的数据库安全中存在的问题,接着分析了问题产生的原因。在此基础上,提出了当前电子商务网站数据库系统的安全防范的措施。 　　关键词:电子商务;网站;数据库;安全技术 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)08-1865-02 　　1 电子商务网站的数据库安全中存在的问题 　　1.1 硬件条件跟不上网站发展需要 　　电子商务网站的服务器通常由工作组或部门级的PC SERVER来担当,有的还采用PC机或直接租用网络服务商提供的空间,数据库服务器和WEB服务器合二为一,直接挂在因特网上,在这种情形下如果受到恶意攻击, WEB服务器和数据库则会同时受到损坏,而一旦攻击者取得服务器的最高管理员权限,所有的数据将会被窃取或篡改。 　　1.2 操作系统单一 　　电子商务网站一般采用WINDOWS系列的操作系统,极少采用LINUX操作系统,基本上不采用UNIX系统。由于WINDOWS系列的操作系统在当今的计算机操作系统中使用比例极高,系统的漏洞很容易被发现,一部分系统漏洞会被攻击者直接用来编制蠕虫病毒,系统极易受到攻击。 　　1.3 数据库本身不完善 　　电子商务网站通常采用的或比较大量使用的DBMS系统,主要有DBF、EXCEL、ACCESS、MYSQL、MS SQL SERVER系统等,其中DBF、EXCEL、ACCESS、MYSQL系统都是很容易被整体复制或解密的。MS SQL SERVER虽然属于大型关系型DBMS,但由于被大量用户采用,它的缺陷和漏洞也就容易被发现,很容易被攻击者取得SA的权限,数据库内所有的数据不但被攻击者一览无余,攻击者还可以通过建立自己的数据库帐户,获得帐户sysadmin的数据库管理员的角色。另外,攻击者还可以通过执行MS SQL SERVER中的xp_cmdshell存储过程来运行WINDOWS环境下的程序,如同在自己的服务器中一样建立自己的用户,添加、更改、删除文件,启动、停止服务,更改网站的内容等,网站没有任何的安全性。 　　2 电子商务网站数据库安全问题产生的原因 　　2.1 各种方式对数据库的攻击 　　在一个开放的网络环境中,由于存在着网络协议、操作系统等多方面的安全漏洞,因此通过网络对数据库进行各种方式的攻击成为网络数据库系统安全的主要隐患。 　　2.2 数据库系统自身的安全漏洞 　　1) 入侵者可以任意地执行系统指令,从而得到操作系统的管理权限。通过执行系统指令可以得到系统的控制管理权限,进而直接威胁服务器操作系统的安全,甚至让整个服务器完全处于瘫痪状态,使其无法进行正常工作。 　　2) 数据库所采取的安全检查措施级别远低于操作系统和网络的安全检查措施的级别。数据库应用系统通常同操作系统的最高管理员系统紧密相关,并且更难正确地配置和保护。 　　3) 软件风险。软件未及时打上操作系统补丁,脆弱的服务和不安全的默认配置等。 　　3 电子商务网站数据库安全问题的解决对策 　　3.1硬件方面的改进措施 　　3.1.1 采用性能可靠的硬件 　　保证物理层安全的主要方法一是采用性能可靠的硬件,二是采用冗余容错技术,比如双多机集群系统、磁盘冗余阵列、双多冗余通讯线路等。特别要保证中心服务器的安全。在电子商务系统和外部网络之间建立防火墙,系统的服务器、邮件服务器、数据库服务器等放在防火墙内,对外公开使用的放在防火墙外,只有经过授权的外网用户才能通过防火墙,进入到内网系统获取信息。另外,使用拥有安全机制的网络设备也是应该考虑的选择,比如许多交换机、路由器等都有安全机制,能实现访问控制和权限管理等。 　　3.1.2 增加不致结联接网络的独立数据库服务器 　　增加一台不直接与因特网联接的普通计算机作为独立的数据库服务器。电子商务网站在数据库方面的要求比较低,完全可以选用性能比较稳定的、有较大内存的PC机作为独立的数据库服务器。如果攻击者要攻击数据库服务器,则首先要取得WEB服务器的控制权,再利用WEB服务器作为跳板才能攻击数据库服务器,这样数据库服务器被攻击的机率就要小得多。另外,还可以租用第三方服务商提供WEB服务的电子商务网站。虽然WEB服务器不受经营者控制,但数据库服务器是独立的并受经营者控制的,所以可以自行设置安全措施而不受限制,因此也可提高安全性。 　　3.2 软件方面的改进 　　3.2.1 增加操作系统与Web服务器的安全性 　　对于网络数据库运行所依赖的计算机系统和网络来说,最