商用網站數據庫設計

摘要：當前，商務網站發(fā)展非常迅速，眾多商務網站形成非常激烈的競爭態(tài)勢，在非常大的點擊率的情況下，商務網站的數據庫質量是商務網站運行是否穩(wěn)定的重要保證，如果受到惡意攻擊，網絡的服務器和數據庫則會可能都受到不同程度的損壞，所有的數據將會被竊取或篡改，因此，對于商務網站來說，其數據庫的設計應該更為嚴格，文章主要就商務網站數據庫的設計問題做了粗淺的探討。

關鍵詞：商務網站 數據庫 網絡攻擊

0 引言

商務網站一般采用WIN操作系統，基本上不采用UNIX系統，由于WIN系統在當今的計算機操作系統中使用比例極高，系統的漏洞很容易被發(fā)現，會被攻擊者直接用來編制蠕蟲病毒，系統極易受到攻擊。MS SQL SERVER雖然屬于大型關系型DBMS，但由于被大量用戶采用，它的缺陷和漏洞也就容易被發(fā)現，數據庫內所有的數據不但被攻擊者一覽無余，攻擊者還可以通過建立自己的數據庫賬戶，攻擊者還可以通過執(zhí)行MS SQL SERVER中的相關的文件來運行WIN程序，就像在自己的服務器中一樣建立自己的用戶，更改刪除文件，網站沒有任何的安全性。因此，需要進一步完善商務網站的數據庫設計。以下論文主要探討了商務網站數據庫容易存在的問題，并提出了相應的完善策略。

1 商務網站數據庫設計容易出現的問題

1.1 對數據庫的攻擊 在當前開放的網絡環(huán)境下，由于存在著網絡協議、操作系統等網絡本身的多方面的安全的漏洞，讓攻擊者可以通過網絡對數據庫進行各種方式的攻擊，這些都成了網絡數據庫系統安全的最重要的隱患所在。同時，攻擊者可以對于數據庫進行任意地執(zhí)行系統指令，從而得到操作系統的管理權限。通過遠程控制進行執(zhí)行系統指令可以得到系統的控制管理權限，進而直接威脅服務器操作系統的數據庫方面的安全，甚至讓整個服務器完全處于癱瘓狀態(tài)，甚至破壞數據庫和服務器，使他們無法進行正常工作。另一方面，數據庫所采取的安全檢查措施級別遠低于操作系統和網絡的安全檢查措施的級別，這樣一來，就造成了數據庫應用系統通常同操作系統的最高管理員系統緊密相關，并且更難很好的完善的進行配置和保護數據庫。

1.2 軟件方面也存在著較大的風險 一般來說，由于軟件未及時打上操作系統補丁，脆弱的服務和不安全的默認配置等問題可以造成網站數據庫受到攻擊。同時，各商務網站用戶客戶端聊天軟件本身也存在一定的風險，例如旺旺，QQ，百度等，這些都是黑客攻擊數據庫系統進行竊聽等竊取數據常用的方法，其次病毒的種類越來越多，從而使數據庫受到破壞和攻擊。

1.3 認證機制不健全 商務網站的客戶認證機制無法可信地向服務器端數據庫證實其用戶的身份。用戶可能訪問某個特定移動客戶機，并假裝另一個用戶在操作移動客戶機，同時，“用戶可能會更改客戶機的地址等信息，使得用戶發(fā)出的請求看似來自偽裝的移動客戶機，還有可能是用戶可能竊聽報文交換過程，并使用重放供給來獲得進入數據庫服務器或打斷進行的操作”。在支付寶和財付通認證方面，目前均存在一定的缺陷，都沒有強行數字證書認證，這使得客戶的賬戶容易泄露，甚至造成網站數據庫資料的泄露。

2 商務網站數據庫安全問題的設計對策

2.1 硬件方面的設計對策 要采用性能可靠的硬件進行數據庫設計，以此來保證物理層安全，就這點來說，最主要的可行的方法是要采用性能可靠的硬件同時還要采用冗余容錯技術，最常用的主要有雙多機集群系統，以及磁盤冗余陣列和雙多冗余通訊線路等方法。另外，還要特別保證中心服務器的安全與正常的運行，在商務網絡與外部聯系的通道之間建立有效的防火墻系統，以及系統的服務器和數據庫服務器等都要放在防火墻內部，同時還要做到的是對外公開使用的部分要放在防火墻外部，只有這樣，經過授權的外網用戶才能通過設計的防火墻進入到內網系統獲取相應的信息。最后，要使用擁有安全機制的網絡設備如交換機、路由器等，能實現訪問控制和權限管理。

2.2 建立獨立數據庫服務器 商務網站在數據庫方面的要求比較低，用不直接聯網的普通計算機作為獨立數據庫服務器，選用性能比較穩(wěn)定的、有較大內存的個人的計算機作為獨立的數據庫服務器。攻擊者要攻擊數據庫則要先取得網絡服務器的控制權，然后再利用網絡服務器作為跳板才能攻擊數據庫，如此一來，獨立的數據庫服務器被攻擊的機率就要小得多，同時為了防止攻擊，還可以租用第三方服務商提供的商務網站，雖然服務器不受經營者控制，但數據庫服務器是獨立的并受經營者控制的，可以自行設置安全措施提高安全性。

2.3 軟件方面的設計策略 首先要利用軟件技術來增加操作系統與網絡服務器的安全性，對于數據庫運行所依賴的操作系統和網絡來說，安全威脅主要都是來自外來的病毒的入侵，所以說外圍層中應避免病毒利用網絡平臺隱藏、擴散及破壞整個系統的運行，可進一步采用VPN技術構筑網絡數據庫系統的虛擬專用網以有效的保證網絡路由的接入安全及信息的傳輸安全性能，還可以通過防火墻技術進一步實現網問隔離和網段間隔離以此來有效保證網絡邊界安全，從而可以有效的確保系統免受病毒等非法入侵的危害。最后，可通過加密防止數據在傳輸過程中被監(jiān)聽。如果不加密的話，所有的網絡傳輸都是明文的，是一個很大的安全威脅，所以，在條件容許情況下最好使用SSL來加密協議。

其次，還要進行提高數據庫自身安全的設計，要求數據庫服務器對外部即WEB服務器開放最少的端口。一臺標準的MS SQL SERVER服務器對WEB服務器只開放1433端口，把其余不必要的端口全部屏蔽掉。將MS SQLSERVER的服務端口由1433改成別的端口，增加攻擊軟件對數據庫服務器的服務端口的掃描難度。一旦系統安裝完成后，再給所有的賬戶設定一個強健的口令，同時還需要再建立一個賬戶，這個賬戶是系統管理員角色，這樣就可以禁用SA賬戶，使得攻擊者無法通過破解SA的口令而登錄到數據庫中。

2.4 做好安全認證與數據庫備份工作 完善身份認證機制中的服務器數據庫同步時需要進行身份驗證，防止非法終端的欺騙性接入，當客戶機和服務器端數據庫進行通信時，客戶身份需在服務器端數據庫中驗證。可采取如下措施：建立用戶身份鑒別機制。將操作系統的用戶身份鑒別機制和移動數據庫系統的身份鑒別機制一起實施形成雙重保護，這種用戶身份鑒別一定程度上強化了數據庫系統的保密性。還要對訪問進行確認，以防止否認。建立嚴格的數據備份機制是保障所有商務網站數據庫系統安全的有效手段。數據備份要保證備份數據的完整性而且要建立詳細的備份數據檔案。對數據庫進行備份應綜合使用三種備份策略，普通的商務網站數據庫的備份要根據系統運行的實際情況，周期性地進行全面數據庫的備份。

3 結論

隨著網絡技術的發(fā)展，商務網站也得到蓬勃發(fā)展，其數據的安全特別是后臺移動數據庫安全非常重要。安全策略還需要根據實際問題具體對待，確保其安全是一個系統工程。以上提到的這些方法也不是絕對安全的，還需要網站管理者進一步研究，應該在實踐中不斷探索移動商務中數據庫系統的安全性問題。

參考文獻：

[1]林佳.移動商務數據庫安全策略探討[J].廣西輕工業(yè)，2010，(01).

[2]趙俊強.中小型企業(yè)網絡的安全策略[J].煤礦設計，2001，(02).

[3]谷志新，王述洋，田仲富.淺談網絡安全策略[J].林業(yè)勞動安全，2004，(04).

[4]王宗江，樂嘉錦.移動數據庫的最新發(fā)展[J].鄭州紡織工學院學報，2001，(02).

[5]樊愛華，陳火旺，齊治昌，沈雁.動態(tài)灰色時序系統DGTS及其在安全策略規(guī)范中的應用[J].國防科技大學學報，1995，(04).

[6]趙穎，伊崇信.網絡安全與電子商務[J].齊齊哈爾大學學報，2002，(03).

[7]王立功，李曉瑛，李曉輝.網絡服務器的訪問控制安全策略[J].焦作工學院學報(自然科學版)，2002，(03).