小議電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)的安全防范措施

我在so我思 2014-10-28

展開全文

電子商務(wù)自誕生以來(lái)以驚人的速度改變著人們的生活習(xí)慣和交易方式?，F(xiàn)在全世界的人們正通過電子商務(wù)網(wǎng)站進(jìn)行著各種交易。在各種電子商務(wù)網(wǎng)站中人們的各種重要的交易數(shù)據(jù)被存儲(chǔ)在網(wǎng)站的后臺(tái)數(shù)據(jù)庫(kù)中。這些數(shù)據(jù)庫(kù)就像一座座的金礦吸引著一雙雙貪婪的眼睛。如何保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全就成了擺在我們數(shù)據(jù)庫(kù)設(shè)計(jì)者面前的一個(gè)嚴(yán)峻的挑戰(zhàn)。
　　
　　一、電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)安全威脅
　　
　　作為網(wǎng)絡(luò)信息系統(tǒng)的核心，數(shù)據(jù)庫(kù)服務(wù)器上往往存放著大量重要和敏感的信息，因此網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全與否直接影響數(shù)據(jù)庫(kù)中保存的數(shù)據(jù)的安全。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)不僅數(shù)據(jù)信息量集中、處理數(shù)據(jù)量大，而且是面向多用戶訪問，數(shù)據(jù)更新頻繁。由此，威脅網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全的因素主要來(lái)自以下幾方面。
　　1.用戶對(duì)數(shù)據(jù)庫(kù)的不正確訪問，引起數(shù)據(jù)庫(kù)數(shù)據(jù)的錯(cuò)誤；2.為了某種目的，故意破壞數(shù)據(jù)庫(kù)，使其不能恢復(fù)；3.非法訪問不該訪問的數(shù)據(jù)庫(kù)信息，但又不留痕跡；4.用戶通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫(kù)訪問時(shí)，有可能受到各種技術(shù)（如搭線竊聽等）的攻擊；5.非法用戶繞過安全內(nèi)核，竊取信息資源等現(xiàn)象；6.未經(jīng)授權(quán)非法修改數(shù)據(jù)庫(kù)數(shù)據(jù)，使其數(shù)據(jù)失去真實(shí)性等等。
　　
　　二、防范措施
　　
　　理想的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全防護(hù)應(yīng)考慮兩個(gè)層面：一是操作系統(tǒng)與Web服務(wù)器以及應(yīng)用服務(wù)器的安全；二是數(shù)據(jù)庫(kù)核心層的安全，即數(shù)據(jù)庫(kù)本身的安全。下面將以較為常用的SQL SERVER 2000數(shù)據(jù)庫(kù)管理系統(tǒng)為例討論電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)的安全防范措施。
　　1.操作系統(tǒng)與Web服務(wù)器以及應(yīng)用服務(wù)器的安全。首先，對(duì)于網(wǎng)絡(luò)數(shù)據(jù)庫(kù)運(yùn)行所依賴的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)來(lái)說(shuō)，最主要的安全威脅來(lái)自病毒侵犯，對(duì)此，外圍層中應(yīng)避免病毒利用網(wǎng)絡(luò)平臺(tái)隱藏、擴(kuò)散及破壞整個(gè)系統(tǒng)的運(yùn)行，采用防、殺、管相結(jié)合的綜合治理方法，可采用VPN技術(shù)構(gòu)筑網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)的虛擬專用網(wǎng)，保證網(wǎng)絡(luò)路由的接入安全及信息的傳輸安全，通過防火墻技術(shù)，實(shí)現(xiàn)網(wǎng)問隔離和網(wǎng)段問隔離，保證網(wǎng)絡(luò)邊界安全，確保系統(tǒng)免受病毒等非法入侵的危害。
　　其次，就是通過加密，防止數(shù)據(jù)在傳輸過程中被監(jiān)聽或篡改。SQL Server 2000使用的Tabular Data Stream協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換，如果不加密的話，所有的網(wǎng)絡(luò)傳輸都是明文的，包括密碼、數(shù)據(jù)庫(kù)內(nèi)容等等，這是一個(gè)很大的安全威脅，能被人在網(wǎng)絡(luò)中截獲到他們需要的東西，包括數(shù)據(jù)庫(kù)賬號(hào)和密碼。所以，在條件容許情況下最好使用SSL來(lái)加密協(xié)議，當(dāng)然這需要一個(gè)證書來(lái)支持。
　　2.核心層的安全。這部分也是惡意攻擊的主要目標(biāo)。對(duì)此，我們可以從以下幾個(gè)方面著手構(gòu)建數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS)下的安全防范，保證數(shù)據(jù)庫(kù)的獨(dú)立性和完整性。
　　（1）使用安全的密碼策略，我們把密碼策略擺在所有安全配置的第一步，請(qǐng)注意，很多數(shù)據(jù)庫(kù)賬號(hào)的密碼過于簡(jiǎn)單，這跟系統(tǒng)密碼過于簡(jiǎn)單是一個(gè)道理。對(duì)于sa更應(yīng)該注意，同時(shí)不要讓sa賬號(hào)的密碼寫于應(yīng)用程序或者服務(wù)器端腳本中。復(fù)雜的密碼是安全的第一步。
　?。?）安全賬號(hào)策略。由于網(wǎng)絡(luò)數(shù)據(jù)庫(kù)往往都是面向多用戶多訪問的，用戶不同，訪問要求和訪問權(quán)限就不一樣。對(duì)于網(wǎng)站數(shù)據(jù)庫(kù)來(lái)說(shuō)，訪問用戶多種多樣，按權(quán)限大致可將用戶劃分為最終用戶、數(shù)據(jù)庫(kù)系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、超級(jí)用戶。
　　由于SQL Server不能更改sa用戶名稱，也不能刪除這個(gè)超級(jí)用戶，所以，我們必須對(duì)這個(gè)賬號(hào)進(jìn)行最強(qiáng)的保護(hù)，最好不要在數(shù)據(jù)庫(kù)應(yīng)用程序中使用sa賬號(hào)，只有當(dāng)沒有其它方法登錄到SQL Server實(shí)例（例如，當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼）時(shí)才使用sa。建議數(shù)據(jù)庫(kù)管理員新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來(lái)管理數(shù)據(jù)庫(kù)。安全的賬號(hào)策略還包括不要讓管理員權(quán)限的賬號(hào)泛濫。
　?。?）數(shù)據(jù)庫(kù)備份與恢復(fù)。建立嚴(yán)格的數(shù)據(jù)備份與恢復(fù)管理機(jī)制是保障所有電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)系統(tǒng)安全的有效手段。數(shù)據(jù)備份不僅要保證備份數(shù)據(jù)的完整性而且要建立詳細(xì)的備份數(shù)據(jù)檔案。系統(tǒng)恢復(fù)時(shí)如果使用不完整或日期不正確的備份數(shù)據(jù)都會(huì)破壞系統(tǒng)數(shù)據(jù)庫(kù)的完整性，導(dǎo)致嚴(yán)重的后果。
針對(duì)不同數(shù)據(jù)庫(kù)的實(shí)際情況，SQL Server 2000提出了三種主要的備份策略：只備份數(shù)據(jù)庫(kù)，備份數(shù)據(jù)庫(kù)和事務(wù)日志，增量備份。
　　一般說(shuō)來(lái)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，應(yīng)綜合使用三種備份策略，普通的電子商務(wù)網(wǎng)站數(shù)據(jù)庫(kù)的備份策略如下：根據(jù)系統(tǒng)運(yùn)行的實(shí)際情況，周期性地進(jìn)行全面數(shù)據(jù)庫(kù)的備份。比如在每天凌晨進(jìn)行數(shù)據(jù)庫(kù)的全面?zhèn)浞?；在較短的時(shí)間間隔內(nèi)進(jìn)行數(shù)據(jù)庫(kù)的增量備份，如每4小時(shí)備份一次；在每?jī)纱卧隽總浞葜g進(jìn)行事務(wù)日志的備份，例如每30分鐘備份一次。
　　（4）審計(jì)跟蹤。數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)跟蹤功能也是一個(gè)非常重要的安全措施。它的主要任務(wù)是對(duì)用戶（包括應(yīng)用程序）使用系統(tǒng)資源（包括軟件和數(shù)據(jù)）的情況進(jìn)行記錄和審查，一旦發(fā)現(xiàn)問題，審計(jì)人員通過審計(jì)跟蹤，可望找出原因，追查責(zé)任，防止類似問題再度發(fā)生。用來(lái)監(jiān)視用戶對(duì)數(shù)據(jù)庫(kù)的操作和及時(shí)發(fā)現(xiàn)問題。常用的審計(jì)方式主要有兩種，即用戶審計(jì)和系統(tǒng)審計(jì)。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：我在so我思 > 《管理的常識(shí)》

舉報(bào)/認(rèn)領(lǐng)