電子商務中的數據安全分析

一、引言

電子商務信息系統中存放著大量機密敏感的數據，這些數據是電子商務企業運營時重要的信息。這些數據如果存在安全問題， 就會給企業經營帶來很大風險。本文將對電子商務系統的數據安全進行討論，從而為提升其安全技術與管理水平給出一些合理的建議與策略。

二、電子商務數據庫與其安全問題

1.電子商務數據安全概述

電子商務數據安全的具體含義為：保證電子商務數據庫信息的保密性、完整性、一致性、可用性和抗否認性。保密性指保護數據庫中的數據不被泄露和未授權的獲取：完整性指保護數據庫中的數據不被破壞和刪除；一致性指的是確保數據庫中的數據滿足實體完整性、參照完整性和用戶定義完整性要求；可用性指的是確保數據庫中的數據不因人為或自然的原因對授權用戶不再可用；抗否認性是保證用戶事后無法否認對數據庫進行的一系列訪問、修改、查詢等操作，便于事后分析調查。

2.電子商務數據庫面臨的安全威脅

(1)黑客攻擊。網絡中總是存在各種安全漏洞，因此黑客的攻擊行為是威脅電子商務數據安全的一大隱患。黑客攻擊網絡的目的通常是擾亂系統正常運行或者竊取重要的商業機密。黑客慣常使用的攻擊手段為：竊聽-即黑客通過截獲通訊信道上的重要數據并破譯來達到竊取用戶機密的目的；重發攻擊-黑客為達到影響系統正常運行的目的，而將竊聽得到的數據經過篡改之后重新發回服務器或者數據庫用戶；迂回攻擊-黑客掌握電子商務數據庫系統的安全漏洞之后，繞過數據庫系統而直接訪問機密數據；假冒攻擊-黑客先是采取發送大量無意義的報文而堵塞服務器和客戶終端的通訊端口以后，再通過假冒該客戶或者該服務器的方法來非法操作數據庫系統；越權攻擊-黑客屬于一個合法用戶，但是其通過某種手段使自己去訪問沒有得到授權的數據。

(2)系統漏洞。針對于電子商務數據庫系統的網絡入侵者能夠根據系統本身的安全漏洞得到系統的數據操作權限。漏洞產生的原因往往是數據庫管理系統沒有及時打補丁或者在安全方面的設置中總是選擇默認設置。此外，如果由于數據庫的安全檢查措施級別太低，或者審核機制應用不當、軟件存在的風險以及管理風險等，都會使系統形成安全漏洞，從而給破壞者以入侵的機會。

三、電子商務數據安全解決方案

1.加密方案

電子商務系統中的一些商業機密數據是不允許普通用戶進行隨意訪問的。加密方案的目的是控制以上這些機密數據只能被得到相應授權的特定人群所訪問和存取。數據庫管理系統的加密以字段為最小單位進行，加密和解密通常是通過對稱密碼機制的密鑰來實現。數據加密時，數據庫管理系統把明文數據經過密鑰轉換為密文數據，數據庫中數據的存儲狀態都是密文數據，而在得到權限的用戶查詢時，再將密文數據取出并解密，從而恢復明文數據。使數據庫的安全性得到進一步提升。

2.訪問控制方案

在數據庫管理系統中，不同的用戶擁有不同的權限。因此必須保證某個用戶只能訪問或者存取與自己權限相應的數據范圍。用戶所擁有的權限包括兩方面的內容：一是用戶可以訪問數據庫中什么樣的數據對象，二是用戶可以對這些數據對象進行什么樣的操作。當用戶對數據庫進行訪問時，系統會根據用戶的級別與權限來判定此種操作是允許的或者禁止的，從而達到保護敏感數據不被泄露或者篡改的目的。訪問控制方案有三種，分別叫做自主存取控制(Discretionary Access Control， DAC) 、強制存取控制(Mandatory Access Control， MAC) 和基于角色的存取控制(Role- based Access Control， RBAC)。

3.認證方案

身份認證技術是數據庫管理系統為防止各種假冒攻擊安全策略。在用戶對敏感關鍵的數據進行存取時，必須在客戶與數據庫管理系統之間進行身份認證。口令的識別是數據庫管理系統進行身份認證的一種方式，每個具體用戶都被系統事先分配一個固定的用戶名與密碼，電子商務系統的許多數據具有開放性特征，因此必須對每個訪問系統的用戶的身份進行認證，這樣就可以阻止不擁有系統授權的用戶非法破壞敏感機密的數據。

4.審計方案

審計方案是數據庫管理系統對相關用戶的所有操作過程進行監視的一種安全方案，該安全方案的具體做法是在審計日志記錄中存放各用戶對數據庫施加的動作，包括用戶的修改、查詢和刪除等操作。這種有效機制可以在最大程度上保證數據庫管理系統的信息安全。有兩種審計方式：分別叫做用戶審計和系統審計。用戶啟用審計功能將在數據字典中記錄每個用戶操作數據庫的全部細節，包括用戶名稱，操作類型等等；而系統審計則由DBA來進行。

5.備份方案

可以把電子商務數據庫的故障或障礙分為以下三類: 系統故障、事務故障以及介質故障。當發生某種類型的故障時，為了把企業的損失減少到最低，必須在最短的時間內恢復數據，因此，根據企業的實際情況和數據類型與特點，制定出一套合理而經濟的備份和恢復策略是必要的。所謂數據庫備份與恢復方案，目的是在數據庫系統故障并且短時間內難以恢復時，用存儲在備份介質中的數據將數據庫還原到備份時的狀態。數據備份根據數據庫管理系統類型的不同， 有多種備份實施計劃。比如對SQL Server而言，有數據庫備份、事務日志備份、增量備份和文件及文件組備份。電子商務信息系統的數據庫管理系統中必須建立詳細的備份與恢復策略。

四、結束語

對電子商務企業來說 ，數據安全的重要性是無庸諱言的.在對機密敏感數據的管理時，必須根據應用環境的具體安全需要來實施各種安全策略。