成維莉 潘愛華 王思璇
摘 要:現(xiàn)代社會(huì),商務(wù)網(wǎng)站的開發(fā)已經(jīng)是常事,由于市場(chǎng)競(jìng)爭(zhēng)大,因此網(wǎng)站在開發(fā)過程中,可能出現(xiàn)各類攻擊手段,系統(tǒng)本身也可能由于開發(fā)過程中的處理出現(xiàn)問題而存在風(fēng)險(xiǎn),導(dǎo)致其數(shù)據(jù)庫受到一定威脅,筆者針對(duì)網(wǎng)站開發(fā)過程中可能出現(xiàn)的問題和解決措施進(jìn)行分析,希望在開發(fā)過程中,數(shù)據(jù)安全能夠得到重視,尤其是技術(shù)人員,需要為數(shù)據(jù)庫的安全承擔(dān)責(zé)任。
關(guān)鍵詞:網(wǎng)站開發(fā) 數(shù)據(jù)庫安全 防范措施
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2017)12(c)-0130-02
從開發(fā)風(fēng)險(xiǎn)來看,主要存在的風(fēng)險(xiǎn)有:數(shù)據(jù)登錄風(fēng)險(xiǎn)、結(jié)構(gòu)安全問題以及服務(wù)器地址設(shè)計(jì)問題,針對(duì)這些問題,筆者對(duì)網(wǎng)站設(shè)計(jì)過程以及設(shè)計(jì)人員應(yīng)該擔(dān)負(fù)的職責(zé)進(jìn)行了一定程度的明晰,希望能夠?qū)W(wǎng)站開發(fā)實(shí)踐有一定的指導(dǎo)作用,使得網(wǎng)站開發(fā)更為穩(wěn)妥和安全。
1 網(wǎng)站數(shù)據(jù)庫安全問題分析
1.1 數(shù)據(jù)登錄隱患
數(shù)據(jù)庫對(duì)于電子商務(wù)網(wǎng)站而言,含有大量數(shù)據(jù)和信息,是網(wǎng)站的核心,在網(wǎng)站開發(fā)過程中,常常對(duì)數(shù)據(jù)庫的數(shù)據(jù)信息形成一定程度的威脅,使其陷入泄露的危機(jī)。數(shù)據(jù)登錄問題,其產(chǎn)生是由于在網(wǎng)站開發(fā)時(shí),技術(shù)人員需要登錄,在技術(shù)人員第一次經(jīng)過系統(tǒng)驗(yàn)證登錄后,再次訪問之時(shí),便會(huì)出現(xiàn)系統(tǒng)默認(rèn)賬號(hào),也就是說,技術(shù)人員登錄網(wǎng)站后,由于系統(tǒng)對(duì)其賬號(hào)沒有進(jìn)行處理,實(shí)際是可以在之后的時(shí)間里自由登錄系統(tǒng)的,這種漏洞就會(huì)導(dǎo)致在公司內(nèi)部賬號(hào)之外,由于網(wǎng)站開發(fā)過程中的登錄行為,出現(xiàn)了一個(gè)“超級(jí)用戶”,能夠自由進(jìn)入數(shù)據(jù)庫,瀏覽其中的信息和數(shù)據(jù),在開發(fā)網(wǎng)站發(fā)布之后,網(wǎng)站登錄便存在著極大的隱患。電子商務(wù)網(wǎng)站開發(fā)時(shí),技術(shù)人員登錄系統(tǒng)對(duì)其進(jìn)行開發(fā)和修改,由于這種登錄是為了便于技術(shù)人員的操作,因此對(duì)于這些賬號(hào)的限制極少,亦即權(quán)限極大,這種情況之下,為了便利,許多公司對(duì)于該賬號(hào)都沒有進(jìn)行處理,系統(tǒng)也不會(huì)識(shí)別此賬號(hào)與內(nèi)部賬戶的區(qū)別,因此開發(fā)完成后,導(dǎo)致數(shù)據(jù)登錄出現(xiàn)隱患和風(fēng)險(xiǎn)。
1.2 數(shù)據(jù)庫結(jié)構(gòu)安全問題
數(shù)據(jù)庫結(jié)構(gòu)安全,也就是在數(shù)據(jù)庫的設(shè)計(jì)時(shí),對(duì)于其結(jié)構(gòu)沒有充分進(jìn)行各種因素的考慮,數(shù)據(jù)庫的安全存在風(fēng)險(xiǎn),這種設(shè)計(jì)不科學(xué)所導(dǎo)致的系統(tǒng)缺漏使得數(shù)據(jù)庫的數(shù)據(jù)極容易遭到盜竊。且由于數(shù)據(jù)表的重命名設(shè)計(jì)時(shí),如果技術(shù)人員未利用組合對(duì)其進(jìn)行前后綴處理,則重命名無法得到遏制,即系統(tǒng)無法識(shí)別重命名,從而系統(tǒng)數(shù)據(jù)存在著諸多風(fēng)險(xiǎn)。且對(duì)于數(shù)據(jù)字段來說,由于密碼字段的認(rèn)證以及設(shè)置等在網(wǎng)站開發(fā)中沒有考慮到,而導(dǎo)致存在一定威脅。在網(wǎng)站開發(fā)過程中,后臺(tái)系統(tǒng)的管理安全也是一項(xiàng)嚴(yán)重的風(fēng)險(xiǎn)問題,由于實(shí)際開發(fā)過程中,一些技術(shù)人員對(duì)于后臺(tái)管理的設(shè)計(jì)本身存在問題,導(dǎo)致在登錄系統(tǒng)時(shí),可能出現(xiàn)安全屏障,或者瀏覽權(quán)限錯(cuò)位等問題,使得系統(tǒng)安全性保障降低。且一些技術(shù)人員在開發(fā)時(shí),進(jìn)入系統(tǒng)的賬號(hào)被人破解,從而導(dǎo)致系統(tǒng)數(shù)據(jù)泄露。且由于開發(fā)時(shí)登錄界面的不合理設(shè)置,導(dǎo)致身份驗(yàn)證環(huán)境出現(xiàn)問題,這種問題不僅給內(nèi)部人員的正常工作帶來困擾,更加容易導(dǎo)致系統(tǒng)資料因?yàn)橥獠壳秩攵霈F(xiàn)問題。
1.3 服務(wù)器地址設(shè)計(jì)
在網(wǎng)站開發(fā)過程中,服務(wù)器地址設(shè)計(jì)是較為重要的一項(xiàng)工作,在此項(xiàng)工作中,如果設(shè)計(jì)人員不重視或者設(shè)計(jì)過程中出現(xiàn)失誤等情況,則會(huì)導(dǎo)致服務(wù)器地址設(shè)計(jì)陷入麻煩。服務(wù)器地址設(shè)計(jì)關(guān)乎著網(wǎng)站安全,一般來說,數(shù)據(jù)庫與用戶的連接出現(xiàn)問題是數(shù)據(jù)庫受到數(shù)據(jù)泄露威脅的主要原因,但是,如果設(shè)計(jì)人員在源代碼的編寫時(shí)出現(xiàn)紕漏,則整個(gè)網(wǎng)站也會(huì)陷入風(fēng)險(xiǎn)。服務(wù)器地址設(shè)計(jì)關(guān)乎著服務(wù)器是否會(huì)受到攻擊以及攻擊力度和自身防御機(jī)制,如果服務(wù)器地址的設(shè)計(jì)出現(xiàn)問題,導(dǎo)致服務(wù)器的地址本身存在問題,則整個(gè)網(wǎng)站的運(yùn)行會(huì)受到極大限制,在被攻擊時(shí),也更容易崩潰。注入泄露問題,在網(wǎng)站開發(fā)過程中,由于SQL的注入出現(xiàn)漏洞,導(dǎo)致整個(gè)網(wǎng)站本身處于一種不穩(wěn)定的狀態(tài),其安全性以及運(yùn)行質(zhì)量均會(huì)大打折扣,在這樣的情況下,如果黑客對(duì)網(wǎng)站進(jìn)行攻擊,則本身便存在缺陷的網(wǎng)站自身防御能力低,在黑客攻擊之下很容易被攻破,此時(shí)網(wǎng)站的數(shù)據(jù)便會(huì)被盜取,這種情況下,網(wǎng)站的工作會(huì)受到極大的影響,開發(fā)質(zhì)量也會(huì)大幅降低。
2 網(wǎng)站開發(fā)數(shù)據(jù)庫安全問題的解決
2.1 特殊賬號(hào)管理
在網(wǎng)站開發(fā)過程中,技術(shù)人員必須重視數(shù)據(jù)庫的安全,并通過實(shí)際開發(fā)過程中的保護(hù)措施來實(shí)現(xiàn)這種安全保障,以免因?yàn)殚_發(fā)過程而導(dǎo)致數(shù)據(jù)庫存在風(fēng)險(xiǎn)。在開發(fā)過程中,由于技術(shù)人員擁有特殊登錄權(quán)限,因此必須對(duì)其建立特殊賬戶,做好登錄安全保護(hù)工作。例如:建立重點(diǎn)賬戶a,超級(jí)賬戶與其享有同樣的權(quán)限,但是賬戶a由于安全性能較低,因此在對(duì)其設(shè)計(jì)時(shí),需要重點(diǎn)設(shè)置,通過賬戶a的設(shè)置來模擬超級(jí)用戶,并對(duì)其權(quán)限和登錄進(jìn)行限制和監(jiān)控,尤其是對(duì)其密碼,需要設(shè)置較為繁瑣的密碼,防止被人破解而出現(xiàn)資料和數(shù)據(jù)泄露。數(shù)據(jù)庫重命名工作也需要得到關(guān)注,即對(duì)于一些目錄、數(shù)據(jù)表進(jìn)行重命名時(shí),需要對(duì)其前后綴進(jìn)行限制,防止以簡(jiǎn)單的賬戶或者密碼命名的事件,同時(shí)還要設(shè)置非法訪問阻止,即重命名需要一定的權(quán)限,如再次輸入密碼等措施,總之需要進(jìn)一步驗(yàn)證。數(shù)據(jù)庫的安全需要在開發(fā)過程中予以考慮,否則開發(fā)完成后便會(huì)出現(xiàn)許多預(yù)想不到的數(shù)據(jù)庫安全問題。進(jìn)行特殊的賬號(hào)管理是針對(duì)登錄風(fēng)險(xiǎn)所做出的應(yīng)對(duì)。
2.2 完善后臺(tái)數(shù)據(jù)庫管理
后臺(tái)數(shù)據(jù)庫管理,在網(wǎng)站開發(fā)過程中必須要進(jìn)行此項(xiàng)工作,只有這樣才能避免開發(fā)中的許多風(fēng)險(xiǎn)問題。首先,賬號(hào)和密碼的設(shè)計(jì)需要較為復(fù)雜,防止簡(jiǎn)單密碼設(shè)置遭到破解。其次,技術(shù)人員需要對(duì)用戶權(quán)限進(jìn)行設(shè)置,由于網(wǎng)站開發(fā)中如果未設(shè)置權(quán)限,會(huì)導(dǎo)致后期網(wǎng)站運(yùn)行時(shí)存在諸多驗(yàn)證問題以及權(quán)限錯(cuò)亂的情況,因此,技術(shù)人員需要對(duì)權(quán)限進(jìn)行設(shè)置,例如Session,對(duì)每個(gè)頁面進(jìn)行驗(yàn)證,對(duì)用戶權(quán)限進(jìn)行不同的變量標(biāo)志設(shè)置,全面進(jìn)行管理。開發(fā)人員不適用特殊賬號(hào),其賬號(hào)設(shè)計(jì)與網(wǎng)站內(nèi)部人員的密碼設(shè)置一樣利用字符連串性強(qiáng)調(diào)保密。數(shù)據(jù)庫的結(jié)構(gòu)安全需要得到技術(shù)人員的重視,重命名問題上文已經(jīng)提到了解決辦法,此處不加贅述,對(duì)于網(wǎng)站結(jié)構(gòu)來說,需要盡量避免與網(wǎng)站常規(guī)操作不一致的操作在開發(fā)中出現(xiàn),以免成為后期漏洞,在開發(fā)設(shè)計(jì)時(shí),便對(duì)技術(shù)人員納入網(wǎng)站結(jié)構(gòu)之中,防止特殊結(jié)構(gòu)的出現(xiàn)。技術(shù)人員在進(jìn)行設(shè)計(jì)時(shí),必須考慮到網(wǎng)站結(jié)構(gòu)問題,盡量不要貪圖一時(shí)的快捷,需要將網(wǎng)站數(shù)據(jù)和整體結(jié)構(gòu)的安全放在第一位。
2.3 存儲(chǔ)驗(yàn)證輸入
注入漏洞需要技術(shù)人員采取一定措施加以防范和處理,首先需要進(jìn)行權(quán)限劃分,普通用戶與管理員需要進(jìn)行不同的權(quán)限認(rèn)定,在普通用戶的訪問出現(xiàn)異常時(shí),可以對(duì)用戶進(jìn)行追蹤或者直接刪除處理,反正惡意訪問和攻擊。其次需要用戶驗(yàn)證工作的進(jìn)一步設(shè)定,由于驗(yàn)證輸入工作需要進(jìn)行字符的合理測(cè)試變量,不能出現(xiàn)二進(jìn)制數(shù)據(jù)庫現(xiàn)象,這種驗(yàn)證系統(tǒng)的設(shè)計(jì)需要設(shè)計(jì)人員認(rèn)真操作,予以重視,在現(xiàn)代社會(huì),驗(yàn)證系統(tǒng)趨向更加完整和智能,驗(yàn)證內(nèi)容具有延展性,因此,技術(shù)人員需要注意提升驗(yàn)證內(nèi)容的科學(xué)性。
3 結(jié)語
網(wǎng)站開發(fā)作為一種提升網(wǎng)站運(yùn)行效率和質(zhì)量的現(xiàn)代化手段,稍有不慎便可能給整個(gè)網(wǎng)站的安全帶來威脅,因此,網(wǎng)站開發(fā)中的風(fēng)險(xiǎn)研究及其應(yīng)對(duì)具有重要的研究意義,希望開發(fā)技術(shù)人員能夠重視這一點(diǎn)并在開發(fā)實(shí)踐中予以踐行。
參考文獻(xiàn)
[1] 王德山,王科超.電子商務(wù)網(wǎng)站開發(fā)中的數(shù)據(jù)庫安全問題與防范對(duì)策淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(1):49.
[2] 江龍.電子商務(wù)網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2016(17):37-38.
[3] 馮書晶.電子商務(wù)網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(6):10,12.