浅析电子商务系统中数据库安全问题.docVIP

浅析电子商务系统中数据库安全问题 　　摘 要：随着电子商务的快速发展，用户对电子商务的安全性缺乏信任已成为抑制其发展的重要因素之一，如何保护敏感信息，防止数据泄露或被破坏，已成为电子商务网站开发中必须考虑的重要问题。本文通过对电子商务数据库的安全隐患的分析，提出了电子商务数据库系统的安全防范措施。 　　关键词：电子商务 数据库 安全问题 　　中图分类号：TP309.2 文献标识码：A 文章编号：1007-9416（2010）10-0026-02 　　 　　数据库的安全性问题是指保护数据库，防止不合法或未授权的使用，以免数据泄密、被恶意更改或破坏；数据库完整性则是保护数据以防止合法用户无意或误操作造成的数据破坏。数据库是信息系统的核心，其中包含了大量重要信息。数据库系统在运行过程中，数据库不断地被各类用户进行存取，其面临着多方面的安全威胁。而基于WEB的电子商务数据库由于Internet的开发性，其安全管理问题更为突出。 　　 　　1 WEB数据库存在的安全隐患 　　1.1 黑客的攻击 　　黑客常采用窃听、假冒攻击、特殊性攻击与越权攻击等方式对数据库系统进行破坏，窃取WEB数据库中的电子商务信息或扰乱电子商务系统的正常运行，从而获取不当利益的目的。 　　1.2 病毒的攻击 　　计算机病毒的种类与传播速度不断增长，传播范围日益扩大，其复杂性与多变性日益提高，其对电子商务系统数据库的攻击性与破坏性越来越强。 　　1.3 网络安全环境的脆弱性 　　网络操作系统安全的脆弱性、网络数据库系统安全的脆弱性、网络协议的脆弱性等均为电子商务数据库系统的应用带了安全隐患。 　　1.4 数据库应用系统的不安全性 　　包括非法或未获授权用户使用应用系统存取数据；已获授权用户访问存取超越其权限的信息等。 　　 　　2 安全隐患可能带来的数据损失 　　电子商务数据库一旦在安全性方面出现问题。则可能会在以下方面带来损失： 　　2.1 偶然损失 　　因无法杜绝的人为错误、无意识误操作、软硬件引起的漏洞等因素，均可能带来此类损失造成电子商务系统无法正常运行。 　　2.2 数据被偷窃或者欺诈 　　破坏者通过电子手段窃取数据，使敏感信息被偷窃或者被损坏从而带来电子商务系统的损失。 　　2.3 私密性或机密性的损失 　　私密性被破坏通常指个人数据的损失，而机密性损失则常指关键性组织数据的损失。私密性信息的泄露往往会导致垃圾邮件增加或用户口令的丢失。机密性信息的丢失则可能会导致企业竞争力的丧失。 　　2.4 数据完整性的损失 　　数据完整性被破坏时，数据就会就得无效或相互矛盾从而使电子商务系统陷入混乱。 　　2.5 可用性的损失 　　电子商务系统相关的硬件、网络及应用软件被破坏，均将造成数据无法使用，导致严重的运行危机甚至系统瘫痪。 　　 　　3 电子商务数据库系统的安全防范措施 　　基于WEB技术的电子商务数据库针对上述安全隐患，应建立管理性策略与过程、物理保护以及数据管理保护。数据管理中最重要的安全特性主要有： 　　3.1 视图或子模式机制 　　数据库体系结构中面向用户的子模式结构一方面简化了用户的观点，另一方面也为数据库的应用提供了一定的安全性。在DBMS中，通常用视图表示子模式。视图被定义为展示给某个或某类用户的数据库的子集，视图机制可以限制用户对数据库的查询范围，其优势在于它仅向用户显示被许可访问的数据，这样就能有效地防止用户查看具有私密性或机密性的数据。通过授予用户访问视图的权限限制用户对数据库的访问，可达到提高数据安全性的目的。当然视图机制在安全保护性能方面有一定局限性，需要结合其他安全防范措施一起提高数据库的安全性。 　　3.2 完整性控制 　　数据库库的完整性控制可以保护数据免遭未经授权的使用与更新。如使用域或断言可限制数据更新的范围；使用触发器机制可以在当数据库进行更新时运行某个过程从而禁止或限制某些操作，使DBMS强制实施对所有用户和所有数据库活动进行控制而不必对每一个查询或程序进行重复编码，既提高了安全性又提高了完整性控制的效率。 　　3.3 授权规则 　　通过对用户角色的授权表以及数据对象的授权表的描述，对数据库中各数据对象赋予不同角色用户以不同的权限，如顾客数据与订单数据，对销售或管理这两种不同角色的用户就可以分别授予能否读取、能否插入、能否修改、能否删除等不同的权限。同时对授权表本身进行严格的安全性进行保护。授权机制可以标识并限制用户对数据库采取的操作，从而防止非法用户使用未被授权的数据信息。 　　3.4 用户自定义过程 　　一些DBMS产品提供了用户界面，允许系统设计人员创建其自定义过程，通过自定义过程的运行对操作人员进行甄别并赋予不同的运行过程分支，以提升