網站開發(fā)中數據庫安全問題分析

摘 要:本文從網站開發(fā)中所存在的數據庫安全方面的問題出發(fā)，結合實際情況，確定了應從增強網站開發(fā)人員應有的安全認識，從而降低由于開發(fā)過程而導致的網站數據庫所存在的安全隱患。

關鍵詞:網站 數據庫安全

中圖分類號:TP39文獻標識碼:A文章編號:1674-098X(2012)04(b)-0036-01

1 引言

隨著Internet的發(fā)展，門戶網站和各種專業(yè)網站如雨后春筍建立起來，它們基于自己的定位，為廣大用戶提供的各種信息以及電子商務服務，服務功能也日趨完善，成為人們獲得信息、從事信息交流和商務活動的重要手段。

數據庫的安全性問題指的是對數據庫的保護，避免不合法或者未授權使用的出現導致數據泄密、被惡意更改或者破壞;數據庫完整性是確保數據能夠避免合法用戶的無意或者由于誤操作而導致的數據破壞。數據庫作為信息系統(tǒng)的核心，其含有數量較多的重要信息。在正常運行的數據庫系統(tǒng)中，數據庫自身不斷地被用戶使用，這就導致在使用過程中應面臨較多的安全隱患。

從網站開發(fā)的層面來看，網站信息的更新、基本業(yè)務的進行以及網站與用戶的互動的需求的實現，都要求開發(fā)人員應吧網站中所存在的各類信息通過數據庫來實現組織與管理。網站數據庫是信息聚集體，也是網站正常運營的基礎與必備條件，數據庫中保存著網站包括商業(yè)伙伴與客戶信息在內的各類信息，如交易記錄、賬號數據以及市場計劃等等諸多的重要內容。對于一些企業(yè)來說，金融數據與數據資產所具有的作用關系到自身的興衰與成敗。但是，在實際操作中，企業(yè)通過網站提高自身經營管理有效性的同時，也面臨著自身所使用的網站數據庫中的商業(yè)數據與商業(yè)信息被被攻擊者竊取后由于被惡意利用或者公布于眾而導致的威脅，如一些商業(yè)性的產品交易價格被惡意修改等等。也就是說，數據的安全性與企業(yè)利益有著密不可分的聯(lián)系，如最近CSDN用戶密碼信息被公布、以及賽門鐵克的源碼被竊取等都對廣大用戶以及企業(yè)帶來重大經濟損失。

2 網站數據庫存在的安全問題

2.1 軟資源跟不上硬資源的投資

各個企業(yè)或者個人購買了高性能服務器以及建好網站后，后期管理上不重視，投資沒跟上，后期的網站的管理人員都是臨時培訓的，沒經過專門的訓練，因自身素質等原因，一旦網站收到攻擊時，第一時間內都不知道采取什么措施。

2.2 操作系統(tǒng)單一

由于windows系統(tǒng)目前采用較多的常用操作系統(tǒng)，其有著操作簡單且容易掌握的特點。但因windows系統(tǒng)代碼非開源，一旦系統(tǒng)的漏洞被發(fā)現，這類漏洞就會被利用，是系統(tǒng)收到攻擊。從發(fā)現漏洞到官方補丁的公布通常都會有一個時間差，在兩者之間所存在的這段時間內，系統(tǒng)數據庫就容易出現安全問題。而Linux系統(tǒng)，因為其本身是開源的，所以當漏洞被發(fā)現后，補丁公布的時間就會縮短，也就是說，縮短漏洞被利用的時間。

2.3 數據庫本身不完善

網站開發(fā)應以系統(tǒng)工程方法作為基礎進行組織實施，但是，較多的開發(fā)者確把重點放在網站功能設計和實現上，因而會采用直接編寫代碼的方式，在這種情況下，數據庫表會隨著需求的變化而增加，商業(yè)敏感數據就會經常出現通過明文的方式出現在數據表中，不存在相應的數據加密措施，導致商業(yè)敏感數據存在著易被獲悉或者篡改等安全隱患。如被黑客公布的CSDN用戶的密碼，卻是采用的非加密的明文存儲的。

2.4 后臺管理系統(tǒng)的安全策略設計引起的安全問題

通常情況下，Web方式被應用在網站開發(fā)中的數據庫訪問與管理中，實踐中通過后臺管理系統(tǒng)來實現。但是設計人員在設計過程中忽視了后臺管理系統(tǒng)首頁所存在的安全隱患，從維護方便的角度出發(fā)將后臺管理的功能安置在前臺用戶能夠瀏覽的網頁上，進而導致后臺管理系統(tǒng)首頁地址的暴露，而網站數據庫安全管理帶來了威脅。如各個學校網站的管理入口，分別都有管理員和普通通用戶的選擇窗口。

2.5 源代碼缺陷導致的安全問題

根據艾瑞網《2007年1月CNNNIC中國互聯(lián)網第十九次統(tǒng)計報告》對“網頁形式分類”一項的調查可知靜態(tài)網頁技術及動態(tài)網頁技術在實際應用中所占的比例，其中動態(tài)網頁技術中ASP技術的應用占17.8%，仍為應用首選。程序員進行代碼編寫是，并沒有對用戶在輸入數據方面所具有的合法性進行判斷，進而導致應用程序存在安全威脅。

3 網站數據庫安全問題解決對策

3.1 加強軟資源的投資

提高對網站數據庫管理的重視，任何先進的硬件資源，如果管理跟不上，都不能發(fā)揮出硬件資源應有的價值。提高專業(yè)技術人員的技術水平，不只是會簡單的輸入輸出，要根據各種檢測軟件，一旦發(fā)現非法入侵，立即執(zhí)行相應的措施。

3.2 選擇合適操作系統(tǒng)

安裝數據庫的服務端是，應優(yōu)先選擇Linux操作系統(tǒng)來提高安全性。條件好的單位或個人可以選擇UNIX系統(tǒng)等。從網絡數據庫運行的層面來看，主要的威脅來自于病毒的侵犯，因而，外圍層中應通過防、殺以及管結合的治理方法，通過VPN技術的應用構筑網絡數據庫系統(tǒng)的虛擬專用網，同時應用防火墻技術來完成網間隔離與網段間隔離，進而避免病毒等的安全威脅。除此以外，還應通過加密來避免數據在傳輸中被監(jiān)聽或者被篡改。

3.3 建立完善的開發(fā)規(guī)則

編寫代碼前，應以系統(tǒng)工程方法為基礎進行組織實施。只有詳細設計通過了，才能開始編碼，同時在編寫代碼過程中，有需要修改的地方，必須先修改詳細設計，只有詳細設計的修改審批通過后，才能繼續(xù)進行編碼。數據庫表應在加密后存儲到數據庫中的各類表中。

3.4 后臺管理系統(tǒng)網頁設計

對于后臺管理系統(tǒng)，接口不能暴露在公網中，需要在內網或通過VPN方式接入，是一個單獨的頁面。對密碼等信息的驗證很嚴格。其他的一些規(guī)則，如在特定的IP地址上才能登錄等，根據需求可以進行調整。后臺管理系統(tǒng)中入口網址應只有系統(tǒng)管理員掌握。

3.5 提高源代碼質量

代碼中應避免SQL語句而造成的注入漏洞。第一，完善管理權限。不在程序中應用較高權限的訪問數據庫。第二，確保有良好的程序開發(fā)流程。編寫數據庫的查詢程序時應采用兩個單引號的方式標注任何的輸入變量，或者應用replace函數。第三，隱藏核心代碼。不應用SQL語句對數據庫進行直接訪問，而采用存儲過程或者XML Web Service來對核心程序代碼與數據庫結構實施保護。

4 結語

數據庫目前已經發(fā)展為網站的基本組成要素之一，確保其安全是一項動態(tài)的系統(tǒng)工程。本文所論述的方法各有優(yōu)劣，需要網站開發(fā)人員根據實際情況進行選擇性使用。這些方法需要網站管理者在應用中進一步研究，進而確保工作的順利進行。

參考文獻

[1]蔣燕.網站Acess數據庫安全保護.電腦知識與技術，2009(6).

[2]中的數據庫安全問題.數字技術與應用，2011(9).