论文部分内容阅读
摘 要:本文从网站开发中所存在的数据库安全方面的问题出发,结合实际情况,确定了应从增强网站开发人员应有的安全认识,从而降低由于开发过程而导致的网站数据库所存在的安全隐患。
关键词:网站 数据库安全
中图分类号:TP39 文献标识码:A 文章编号:1674-098X(2012)04(b)-0036-01
1 引言
随着Internet的发展,门户网站和各种专业网站如雨后春笋建立起来,它们基于自己的定位,为广大用户提供的各种信息以及电子商务服务,服务功能也日趋完善,成为人们获得信息、从事信息交流和商务活动的重要手段。
数据库的安全性问题指的是对数据库的保护,避免不合法或者未授权使用的出现导致数据泄密、被恶意更改或者破坏;数据库完整性是确保数据能够避免合法用户的无意或者由于误操作而导致的数据破坏。数据库作为信息系统的核心,其含有数量较多的重要信息。在正常运行的数据库系统中,数据库自身不断地被用户使用,这就导致在使用过程中应面临较多的安全隐患。
从网站开发的层面来看,网站信息的更新、基本业务的进行以及网站与用户的互动的需求的实现,都要求开发人员应吧网站中所存在的各类信息通过数据库来实现组织与管理。网站数据库是信息聚集体,也是网站正常运营的基础与必备条件,数据库中保存着网站包括商业伙伴与客户信息在内的各类信息,如交易记录、账号数据以及市场计划等等诸多的重要内容。对于一些企业来说,金融数据与数据资产所具有的作用关系到自身的兴衰与成败。但是,在实际操作中,企业通过网站提高自身经营管理有效性的同时,也面临着自身所使用的网站数据库中的商业数据与商业信息被被攻击者窃取后由于被恶意利用或者公布于众而导致的威胁,如一些商业性的产品交易价格被恶意修改等等。也就是说,数据的安全性与企业利益有着密不可分的联系,如最近CSDN用户密码信息被公布、以及赛门铁克的源码被窃取等都对广大用户以及企业带来重大经济损失。
2 网站数据库存在的安全问题
2.1 软资源跟不上硬资源的投资
各个企业或者个人购买了高性能服务器以及建好网站后,后期管理上不重视,投资没跟上,后期的网站的管理人员都是临时培训的,没经过专门的训练,因自身素质等原因,一旦网站收到攻击时,第一时间内都不知道采取什么措施。
2.2 操作系统单一
由于windows系统目前采用较多的常用操作系统,其有着操作简单且容易掌握的特点。但因windows系统代码非开源,一旦系统的漏洞被发现,这类漏洞就会被利用,是系统收到攻击。从发现漏洞到官方补丁的公布通常都会有一个时间差,在两者之间所存在的这段时间内,系统数据库就容易出现安全问题。而Linux系统,因为其本身是开源的,所以当漏洞被发现后,补丁公布的时间就会缩短,也就是说,缩短漏洞被利用的时间。
2.3 数据库本身不完善
网站开发应以系统工程方法作为基础进行组织实施,但是,较多的开发者确把重点放在网站功能设计和实现上,因而会采用直接编写代码的方式,在这种情况下,数据库表会随着需求的变化而增加,商业敏感数据就会经常出现通过明文的方式出现在数据表中,不存在相应的数据加密措施,导致商业敏感数据存在着易被获悉或者篡改等安全隐患。如被黑客公布的CSDN用户的密码,却是采用的非加密的明文存储的。
2.4 后台管理系统的安全策略设计引起的安全问题
通常情况下,Web方式被应用在网站开发中的数据库访问与管理中,实践中通过后台管理系统来实现。但是设计人员在设计过程中忽视了后台管理系统首页所存在的安全隐患,从维护方便的角度出发将后台管理的功能安置在前台用户能够浏览的网页上,进而导致后台管理系统首页地址的暴露,而网站数据库安全管理带来了威胁。如各个学校网站的管理入口,分别都有管理员和普通通用户的选择窗口。
2.5 源代码缺陷导致的安全问题
根据艾瑞网《2007年1月CNNNIC中国互联网第十九次统计报告》对“网页形式分类”一项的调查可知静态网页技术及动态网页技术在实际应用中所占的比例,其中动态网页技术中ASP技术的应用占17.8%,仍为应用首选。程序员进行代码编写是,并没有对用户在输入数据方面所具有的合法性进行判断,进而导致应用程序存在安全威胁。
3 网站数据库安全问题解决对策
3.1 加强软资源的投资
提高对网站数据库管理的重視,任何先进的硬件资源,如果管理跟不上,都不能发挥出硬件资源应有的价值。提高专业技术人员的技术水平,不只是会简单的输入输出,要根据各种检测软件,一旦发现非法入侵,立即执行相应的措施。
3.2 选择合适操作系统
安装数据库的服务端是,应优先选择Linux操作系统来提高安全性。条件好的单位或个人可以选择UNIX系统等。从网络数据库运行的层面来看,主要的威胁来自于病毒的侵犯,因而,外围层中应通过防、杀以及管结合的治理方法,通过VPN技术的应用构筑网络数据库系统的虚拟专用网,同时应用防火墙技术来完成网间隔离与网段间隔离,进而避免病毒等的安全威胁。除此以外,还应通过加密来避免数据在传输中被监听或者被篡改。
3.3 建立完善的开发规则
编写代码前,应以系统工程方法为基础进行组织实施。只有详细设计通过了,才能开始编码,同时在编写代码过程中,有需要修改的地方,必须先修改详细设计,只有详细设计的修改审批通过后,才能继续进行编码。数据库表应在加密后存储到数据库中的各类表中。
3.4 后台管理系统网页设计
对于后台管理系统,接口不能暴露在公网中,需要在内网或通过VPN方式接入,是一个单独的页面。对密码等信息的验证很严格。其他的一些规则,如在特定的IP地址上才能登录等,根据需求可以进行调整。后台管理系统中入口网址应只有系统管理员掌握。
3.5 提高源代码质量
代码中应避免SQL语句而造成的注入漏洞。第一,完善管理权限。不在程序中应用较高权限的访问数据库。第二,确保有良好的程序开发流程。编写数据库的查询程序时应采用两个单引号的方式标注任何的输入变量,或者应用replace函数。第三,隐藏核心代码。不应用SQL语句对数据库进行直接访问,而采用存储过程或者XML Web Service来对核心程序代码与数据库结构实施保护。
4 结语
数据库目前已经发展为网站的基本组成要素之一,确保其安全是一项动态的系统工程。本文所论述的方法各有优劣,需要网站开发人员根据实际情况进行选择性使用。这些方法需要网站管理者在应用中进一步研究,进而确保工作的顺利进行。
参考文献
[1] 蒋燕.网站Acess数据库安全保护.电脑知识与技术,2009(6).
[2] 中的数据库安全问题.数字技术与应用,2011(9).
关键词:网站 数据库安全
中图分类号:TP39 文献标识码:A 文章编号:1674-098X(2012)04(b)-0036-01
1 引言
随着Internet的发展,门户网站和各种专业网站如雨后春笋建立起来,它们基于自己的定位,为广大用户提供的各种信息以及电子商务服务,服务功能也日趋完善,成为人们获得信息、从事信息交流和商务活动的重要手段。
数据库的安全性问题指的是对数据库的保护,避免不合法或者未授权使用的出现导致数据泄密、被恶意更改或者破坏;数据库完整性是确保数据能够避免合法用户的无意或者由于误操作而导致的数据破坏。数据库作为信息系统的核心,其含有数量较多的重要信息。在正常运行的数据库系统中,数据库自身不断地被用户使用,这就导致在使用过程中应面临较多的安全隐患。
从网站开发的层面来看,网站信息的更新、基本业务的进行以及网站与用户的互动的需求的实现,都要求开发人员应吧网站中所存在的各类信息通过数据库来实现组织与管理。网站数据库是信息聚集体,也是网站正常运营的基础与必备条件,数据库中保存着网站包括商业伙伴与客户信息在内的各类信息,如交易记录、账号数据以及市场计划等等诸多的重要内容。对于一些企业来说,金融数据与数据资产所具有的作用关系到自身的兴衰与成败。但是,在实际操作中,企业通过网站提高自身经营管理有效性的同时,也面临着自身所使用的网站数据库中的商业数据与商业信息被被攻击者窃取后由于被恶意利用或者公布于众而导致的威胁,如一些商业性的产品交易价格被恶意修改等等。也就是说,数据的安全性与企业利益有着密不可分的联系,如最近CSDN用户密码信息被公布、以及赛门铁克的源码被窃取等都对广大用户以及企业带来重大经济损失。
2 网站数据库存在的安全问题
2.1 软资源跟不上硬资源的投资
各个企业或者个人购买了高性能服务器以及建好网站后,后期管理上不重视,投资没跟上,后期的网站的管理人员都是临时培训的,没经过专门的训练,因自身素质等原因,一旦网站收到攻击时,第一时间内都不知道采取什么措施。
2.2 操作系统单一
由于windows系统目前采用较多的常用操作系统,其有着操作简单且容易掌握的特点。但因windows系统代码非开源,一旦系统的漏洞被发现,这类漏洞就会被利用,是系统收到攻击。从发现漏洞到官方补丁的公布通常都会有一个时间差,在两者之间所存在的这段时间内,系统数据库就容易出现安全问题。而Linux系统,因为其本身是开源的,所以当漏洞被发现后,补丁公布的时间就会缩短,也就是说,缩短漏洞被利用的时间。
2.3 数据库本身不完善
网站开发应以系统工程方法作为基础进行组织实施,但是,较多的开发者确把重点放在网站功能设计和实现上,因而会采用直接编写代码的方式,在这种情况下,数据库表会随着需求的变化而增加,商业敏感数据就会经常出现通过明文的方式出现在数据表中,不存在相应的数据加密措施,导致商业敏感数据存在着易被获悉或者篡改等安全隐患。如被黑客公布的CSDN用户的密码,却是采用的非加密的明文存储的。
2.4 后台管理系统的安全策略设计引起的安全问题
通常情况下,Web方式被应用在网站开发中的数据库访问与管理中,实践中通过后台管理系统来实现。但是设计人员在设计过程中忽视了后台管理系统首页所存在的安全隐患,从维护方便的角度出发将后台管理的功能安置在前台用户能够浏览的网页上,进而导致后台管理系统首页地址的暴露,而网站数据库安全管理带来了威胁。如各个学校网站的管理入口,分别都有管理员和普通通用户的选择窗口。
2.5 源代码缺陷导致的安全问题
根据艾瑞网《2007年1月CNNNIC中国互联网第十九次统计报告》对“网页形式分类”一项的调查可知静态网页技术及动态网页技术在实际应用中所占的比例,其中动态网页技术中ASP技术的应用占17.8%,仍为应用首选。程序员进行代码编写是,并没有对用户在输入数据方面所具有的合法性进行判断,进而导致应用程序存在安全威胁。
3 网站数据库安全问题解决对策
3.1 加强软资源的投资
提高对网站数据库管理的重視,任何先进的硬件资源,如果管理跟不上,都不能发挥出硬件资源应有的价值。提高专业技术人员的技术水平,不只是会简单的输入输出,要根据各种检测软件,一旦发现非法入侵,立即执行相应的措施。
3.2 选择合适操作系统
安装数据库的服务端是,应优先选择Linux操作系统来提高安全性。条件好的单位或个人可以选择UNIX系统等。从网络数据库运行的层面来看,主要的威胁来自于病毒的侵犯,因而,外围层中应通过防、杀以及管结合的治理方法,通过VPN技术的应用构筑网络数据库系统的虚拟专用网,同时应用防火墙技术来完成网间隔离与网段间隔离,进而避免病毒等的安全威胁。除此以外,还应通过加密来避免数据在传输中被监听或者被篡改。
3.3 建立完善的开发规则
编写代码前,应以系统工程方法为基础进行组织实施。只有详细设计通过了,才能开始编码,同时在编写代码过程中,有需要修改的地方,必须先修改详细设计,只有详细设计的修改审批通过后,才能继续进行编码。数据库表应在加密后存储到数据库中的各类表中。
3.4 后台管理系统网页设计
对于后台管理系统,接口不能暴露在公网中,需要在内网或通过VPN方式接入,是一个单独的页面。对密码等信息的验证很严格。其他的一些规则,如在特定的IP地址上才能登录等,根据需求可以进行调整。后台管理系统中入口网址应只有系统管理员掌握。
3.5 提高源代码质量
代码中应避免SQL语句而造成的注入漏洞。第一,完善管理权限。不在程序中应用较高权限的访问数据库。第二,确保有良好的程序开发流程。编写数据库的查询程序时应采用两个单引号的方式标注任何的输入变量,或者应用replace函数。第三,隐藏核心代码。不应用SQL语句对数据库进行直接访问,而采用存储过程或者XML Web Service来对核心程序代码与数据库结构实施保护。
4 结语
数据库目前已经发展为网站的基本组成要素之一,确保其安全是一项动态的系统工程。本文所论述的方法各有优劣,需要网站开发人员根据实际情况进行选择性使用。这些方法需要网站管理者在应用中进一步研究,进而确保工作的顺利进行。
参考文献
[1] 蒋燕.网站Acess数据库安全保护.电脑知识与技术,2009(6).
[2] 中的数据库安全问题.数字技术与应用,2011(9).