關(guān)于電子商務(wù)系統(tǒng)中數(shù)據(jù)庫安全問題的研究

■孫曉茹 吉林工商學(xué)院

電子商務(wù)系統(tǒng)中數(shù)據(jù)庫的安全問題是指防止數(shù)據(jù)庫被不合法使用或未被授權(quán)而使用，從而避免數(shù)據(jù)庫泄密和被惡意更改的現(xiàn)象發(fā)生。數(shù)據(jù)庫是電子商務(wù)信息系統(tǒng)的核心部分，系統(tǒng)中包含了電子商務(wù)系統(tǒng)的重要信息，數(shù)據(jù)庫系統(tǒng)在運(yùn)行過程中其中的數(shù)據(jù)會(huì)被各類用戶不停地被提取，面臨著很多威脅系統(tǒng)安全的因素，因此如何對(duì)電子商務(wù)系統(tǒng)數(shù)據(jù)庫安全問題進(jìn)行分析和探討是非常必要的。

一、電子商務(wù)系統(tǒng)中存在的安全隱患及損失分析

1.電子商務(wù)系統(tǒng)的安全隱患分析

第一，黑客的攻擊。黑客是電子商務(wù)系統(tǒng)的主要安全威脅，黑客常常用竊聽、假冒攻擊和特殊攻擊的手段對(duì)數(shù)據(jù)庫進(jìn)行破壞，利用非法手段竊取到信息后再利用這些信息擾亂電子商務(wù)系統(tǒng)的正常運(yùn)行，從中獲得非法利益。第二，病毒的攻擊。計(jì)算機(jī)病毒具有種類多、傳播速度快的特點(diǎn)，因而傳播范圍可以在很短的時(shí)間內(nèi)大范圍傳播，并且病毒在傳播過程中的多變性和復(fù)雜性不斷提高，具有難以預(yù)防的特點(diǎn)對(duì)電子商務(wù)系統(tǒng)的危害性越來越大。第三，網(wǎng)絡(luò)安全環(huán)境的脆弱性。網(wǎng)絡(luò)操作環(huán)境基本上一種公開的場合，操作系統(tǒng)具有一定的脆弱性，網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的安全性是非常弱的，網(wǎng)絡(luò)協(xié)議的安全性經(jīng)常會(huì)受到威脅，這些都給電子商務(wù)系統(tǒng)的安全帶來極大的安全威脅。第四，數(shù)據(jù)庫應(yīng)用系統(tǒng)的不安全性。數(shù)據(jù)庫系統(tǒng)的不安全性主要包括非法或未授權(quán)用戶使用不具有使用權(quán)限的數(shù)據(jù)，從而對(duì)數(shù)據(jù)庫信息的破壞。2.電子商務(wù)系統(tǒng)安全隱患帶來的損失分析

第一，偶然損失。電子商務(wù)系統(tǒng)中由于無法杜絕的人為錯(cuò)誤和無意識(shí)的操作等都會(huì)使系統(tǒng)遭到破壞，這些破壞導(dǎo)致系統(tǒng)無法正常運(yùn)行。第二，數(shù)據(jù)被竊取或被詐騙的損失。破壞系統(tǒng)者會(huì)通過各種手段竊取系統(tǒng)的重要信息給系統(tǒng)造成損失。第三，私密性或機(jī)密性的損失。私密性主要是個(gè)人信息被竊取的損失，機(jī)密性主要指關(guān)鍵組織的重要信息被竊取。私密性信息泄露往往會(huì)導(dǎo)致垃圾信息的泛濫，機(jī)密性信息的損失會(huì)給關(guān)鍵組織的競爭力帶來影響。第四，數(shù)據(jù)完整性損失。電子商務(wù)系統(tǒng)的數(shù)據(jù)完整性遭到破壞就會(huì)使電子商務(wù)系統(tǒng)處于混亂甚至是癱瘓狀態(tài)。

二、電子商務(wù)系統(tǒng)中安全隱患的防范措施

1.加密數(shù)據(jù)庫模型設(shè)計(jì)

加密數(shù)據(jù)庫模型設(shè)計(jì)就是在客戶端裝置相應(yīng)的加密字典管理程序和測試平臺(tái)。加密字典的主要功能是根據(jù)加密需要對(duì)加密字典中的信息進(jìn)行管理，可以實(shí)現(xiàn)對(duì)加密字段的維護(hù)和對(duì)授權(quán)用戶進(jìn)行安全保護(hù)?？蛻羝脚_(tái)主要是完成加密數(shù)據(jù)庫授權(quán)的用戶的身份驗(yàn)證、數(shù)據(jù)庫用戶的信息檢驗(yàn)等。擁有這些之后，如果非法用戶想要登陸電子商務(wù)信息系統(tǒng)系統(tǒng)就會(huì)發(fā)出相應(yīng)的錯(cuò)誤指令，從而阻止非法用戶對(duì)系統(tǒng)的破壞。

2.對(duì)數(shù)據(jù)庫進(jìn)行完整性控制

數(shù)據(jù)庫的完整性能夠?qū)崿F(xiàn)對(duì)系統(tǒng)數(shù)據(jù)的保護(hù)。例如完整性控制可以使用斷言限制數(shù)據(jù)庫的隨便更新、使用觸發(fā)器控制數(shù)據(jù)進(jìn)行更新的時(shí)間和時(shí)段、使用DBMS可以實(shí)現(xiàn)對(duì)用戶和所有數(shù)據(jù)庫活動(dòng)的編碼，這樣不僅可以提高系統(tǒng)的安全性還可以提高系統(tǒng)的工作效率。

3.使用相應(yīng)的授權(quán)規(guī)則

通過對(duì)用戶角色的授權(quán)及對(duì)數(shù)據(jù)對(duì)象的授權(quán)等，可以實(shí)現(xiàn)數(shù)據(jù)庫中各個(gè)數(shù)據(jù)對(duì)象的權(quán)限分配，例如用于訂單系統(tǒng)和銷售系統(tǒng)分別屬于不同的管理部門，這樣就給系統(tǒng)中單個(gè)管理部門作出決定運(yùn)行帶來一定的牽制，一筆訂單如果想要修改往往通過一個(gè)管理部門是難以實(shí)現(xiàn)的。授權(quán)機(jī)制的運(yùn)行可以防止非法用戶對(duì)未授權(quán)的信息進(jìn)行隨意竊取和更改。

4.用戶自定義過程

一些產(chǎn)品給用戶提供了相應(yīng)的界面允許用戶對(duì)一些信息進(jìn)行設(shè)計(jì)，通過自定義過程實(shí)現(xiàn)對(duì)操作人員的甄別并提高系統(tǒng)的安全性。例如可以設(shè)計(jì)一個(gè)過程使用于在登陸系統(tǒng)的時(shí)候不僅需要提交口令還需要回答相應(yīng)的問題，這樣就對(duì)一些非法入侵者對(duì)數(shù)據(jù)進(jìn)行破壞增加了難度，提高了系統(tǒng)的安全性。

5.認(rèn)證模式的應(yīng)用

當(dāng)前數(shù)據(jù)庫系統(tǒng)的主要防線一般都是需要用戶利用口令進(jìn)行登錄，口令是非常容易被竊取的，所以口令的安全性是非常低的?？梢酝ㄟ^應(yīng)用現(xiàn)有的高新技術(shù)通過利用指紋、眼球等生物特性來對(duì)用戶的身份進(jìn)行認(rèn)定，生物系統(tǒng)往往具有獨(dú)特性這樣可以大大提高系統(tǒng)的安全性。

三、結(jié)語

電子商務(wù)系統(tǒng)的數(shù)據(jù)庫安全問題是其電子商務(wù)發(fā)展的主要問題，因此電子商務(wù)企業(yè)應(yīng)該根據(jù)電子商務(wù)系統(tǒng)本身存在的安全隱患，采取相應(yīng)措施來防范非法攻擊從而提高數(shù)據(jù)庫系統(tǒng)的安全性。

[1]張念,羅紅,金元元.混合加密技術(shù)在電子商務(wù)數(shù)據(jù)庫安全中的應(yīng)用[J].西華大學(xué)學(xué)報(bào)（自然科學(xué)版）,2008(4).

[2]趙玉萍,王爽.基于電子商務(wù)環(huán)境下Web數(shù)據(jù)庫技術(shù)的研究[J].信息安全與技術(shù),2013(3).

[3]黃皖毅.電子商務(wù)網(wǎng)站數(shù)據(jù)庫安全技術(shù)問題探析[J].信息安全與技術(shù),2012(4).

[4]黃華.基于云的電子商務(wù)集群系統(tǒng)構(gòu)建與研究[J].軟件導(dǎo)刊,2013(4).