【www.zhangdahai.com--可行性研究报告】
所谓电子商务(Electronic Commerce,EC)就是借助于公共网络,如Internet或开放式计算机网络(Open Computer Net-work)进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。电子商务作为一种全新的商务模式,它有很大的发展前途。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。
一、电子商务网络安全问题
网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁,概括来说,网络安全的内容包括数据库安全、计算机网络设备安全、计算机网络系统安全等。电子商务网站的安全是确保电子商务网站能可靠运行并有效开展电子商务活动的基础,数据库是电子商务网站的核心,数据库是否安全直接影响着电子商务网站的正常运营。
安全问题是电子商务应用中最令人担心的问题,如何保证电子商务活动的安全,将一直是电子商务的核心研究领域。作为一个安全的电子商务系统,首先必须有一个安全可靠的通讯网络,以保证交易信息安全、迅速地传递;其次必须保证数据库中的数据绝对安全,防止黑客闯入网络盗取数据。
二、网络数据库安全问题
网络数据库是电子商务的基础,其保存着重要的商业信息,因此对于电子商务系统来说,保证其网络数据库的安全尤为重要。网络数据库安全是指数据库信息的保密性、完整性、一致性和可用性。数据库不仅储存数据,还要为使用者提供信息。应该确保合法用户在一定规则的控制和约束下使用数据库,同时应该防止入侵者或非授权者非法访间数据库。
对于一般的数据库系统,我们可以采用访问控制、用户身份认证、授权控制、监视跟踪、安全审计、备份与恢复、反病毒等安全管理技术来构筑其安全体系,以保证数据的安全性和可靠性。由于电子商务系统中的网络数据库保存着重要的商业信息,但某些用户尤其是一些内部用户仍可能非法获取用户名、口令字或利用其他方法越权使用数据库,甚至可以直接打开数据库文件来窃取或篡改信息,所以仅靠上述的安全措施难以完全保证其数据的安全性,因此有必要对数据库中存储的重要数据进行加密处理。
与传统的数据加密技术相比,数据库加密技术有其自身的要求和特点。传统的加密以报文为单位,加密、解密都是从头至尾顺序进行。而数据库中的数据必须以字段为单位进行加密,否则该数据库将无法被操作。同时由于数据库中的数据是共享的,有权限的用户随时需要知道密钥来查询、修改、删除和插入数据,这样就要随时对数据库中数据进行加解密处理。
三、数据库存在的安全隐患
3.1 操作系统单一
电子商务网站一般采用Windows系列的操作系统,极少采用Linux操作系统,基本上不采用Unix系统,由于Windows系列的操作系统在当今的计算机操作系统中使用比例极高,系统的漏洞很容易被发现,一部分系统漏洞会被攻击者直接用来编制蠕虫病毒,系统极易受到攻击。
3.2 病毒的攻击
计算机病毒的种类与传播速度不断增长,传播范围日益扩大,其复杂性与多变性日益提高,其对电子商务系统数据库的攻击性与破坏性越来越强。
3.3 用户的非法操作
(1)用户对数据库的不正确访问,引起数据库数据的错误;(2)非法访问不该访问的数据库信息,但又不留痕迹;(3)非法用户绕过安全内核,窃取信息资源等现象;(4)未经授权非法修改数据库数据,使其数据失去真实性等等。
3.4 络安全环境的脆弱性
网络操作系统安全的脆弱性、网络数据库系统安全的脆弱性、网络协议的脆弱性等均为电子商务数据库系统的应用带了安全隐患。
3.5 数据库本身不完善
电子商务网站通常采用的或比较大量使用的DBMS系统,主要有DBF、EXCEL、ACCESS、MYSQL、MS SQL SERVER系统等,其中DBF、EXCEL、ACCESS、MYSQL系统都是很容易被整体复制或解密的。MS SQL SERVER虽然属于大型关系型DBMS,但由于被大量用户采用,它的缺陷和漏洞也就容易被发现,很容易被攻击者取得SA的权限,数据库内所有的数据不但被攻击者一览无余,攻击者还可以通过建立自己的数据库帐户,获得帐户sysadmin的数据库管理员的角色。另外,攻击者还可以通过执行MS SQL SERVER中的xp_cmdshell存储过程来运行WINDOWS环境下的程序,如同在自己的服务器中一样建立自己的用户,添加、更改、删除文件,启动、停止服务,更改网站的内容等,网站没有任何的安全性。
四、电子商务及数据库安全防治措施
4.1 电子商务安全防治措施
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且还需要技术上不断更新和完善,为此,需要做好以下几方面的工作:
(1)加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提。(2)采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。(3)运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。(4)安全认证技术。安全认证的主要作用是进行信息认证,信息认证的目的就是要确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。(5)加强技术管理,努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。这样做,对确保企业电子商务安全将发挥重要作用。(6)健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。
4.2 电子商务网站开发中确保数据库安全的对策
数据库的安全性问题是指保护数据库,防止不合法或未授权的使用,以免数据泄密、被恶意更改或破坏;数据库完整性则是保护数据以防止合法用户无意或误操作造成的数据破坏。
4.2.1加强数据库管理系统的使用安全
最好不要在数据库管理系统中系统默认权限,可采用重新建立一个拥有与该账号权限相同的超级用户来管理数据库。如一定要使用,则必须对这个账号进行最强的保护,不要把数据库密码留空或使用易猜测的口令,可使用8位以上的“字母+数字”的密码。另外,要及时了解厂商已发布的升级补丁以修复数据库管理系统自身的安全漏洞,最大限度降低因该安全漏洞给网站数据库带来的安全问题。
4.2.2采用非常规命名法
针对网站文档名、网站目录名、数据库及数据表文档名、数据字段名、数据库连接文件名、后台管理员用户名等关系到网站数据库安全的命名,不使用系统默认的或者有特殊含义容易被猜测到的命名,尽量使用无规则的英文字母。例如,对于网上书店的数据库文件不要简单地命名“bookshop.mdb、store.mdb”,而是要以非常规的名字命名,如用“windbsp.mdb”。这样,对于一些通过猜测的方式得到数据库相关信息的非法访问起到了有效地阻止作用。
4.2.3操作系统与Web服务器以及应用服务器的安全
首先,对于网络数据库运行所依赖的计算机系统和网络来说,最主要的安全威胁来自病毒侵犯,对此,外围层中应避免病毒利用网络平台隐藏、扩散及破坏整个系统的运行,采用防、杀、管相结合的综合治理方法,可采用VPN技术构筑网络数据库系统的虚拟专用网,保证网络路由的接入安全及信息的传输安全,通过防火墙技术,实现网问隔离和网段问隔离,保证网络边界安全,确保系统免受病毒等非法入侵的危害。
4.2.4加强对网站后台管理系统的安全管理
第一,不把后台管理系统的首页链接直接放在前台用户能浏览到的网页上,首页文件的命名应采用非常规命名法。
第二,在后台管理系统中针对“管理员标识+口令”的身份认证方式,不使用易猜测的用户名及口令。涉及用户名与口令的程序最好封装在服务器端,尽量少在程序中出现,涉及到与数据库连接的用户名与口令应给予最小的操作权限。
第三,应该保证只有具有相应权限的用户才能访问对应权限的页面,可以通过登录时设置一个用户权限标识Session变量来实现,为了避免只有后台管理系统的首页才要求验证管理员的身份信息,而其他管理页面却忽视了身份验证信息情况的出现,可采取在需要验证的页面开头处进行判断,跟踪上一个页面的文件名,只有从上一个页面转进来的会话才能读取这个页面的策略。
第四,为了避免日后由于管理员因个人原因在未退出系统的情况下暂离操作现场,而使具有本操作者权限的某个后台管理页面长时间显示在屏幕上,则可在页面中引入时间限制保护策略,即当一个页面保留在屏幕上无操作多少时间后,网站系统自动对该页面进行密码保护。
4.2.5做好数据库备份与恢复
建立严格的数据备份与恢复管理机制是保障所有电子商务网站数据库系统安全的有效手段。数据备份不仅要保证备份数据的完整性,而且要建立详细的备份数据档案。系统恢复时如果使用不完整或日期不正确的备份数据都会破坏系统数据库的完整性,导致严重的后果。针对不同数据库的实际情况,SQLServer2000提出了3种主要的备份策略:只备份数据库,备份数据库和事务日志,增量备份。一般说来,对数据库进行备份,应综合使用3种备份策略,普通的电子商务网站数据库的备份策略如下:根据系统运行的实际情况,周期性地进行全面数据库的备份。
4.2.6数据加密
数据安全隐患无处不在。一些机密数据库、商业数据等必须防止它人非法访问、修改、拷贝。如何保证数据安全?数据加密是应用最广、成本最低廉而相对最可靠的方法。数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。数据加密系统包括对系统的不同部分要选择何种加密算法、需要多高的安全级别、各算法之间如何协作等因素。在系统的不同部分要综合考虑执行效率与安全性之间的平衡。因为一般来讲安全性总是以牺牲系统效率为代价的。如果要在Internet上的两个客户端传递安全数据,这就要求客户端之间可以彼此判断对方的身份,传递的数据必须加密,当数据在传输中被更改时可以被发觉。
五、结束语
电子商务是伴随着科技进步而形成的,是人类商业活动与先进的信息处理技术相结合的产物。是人类经济、科技、文化发展的必然产物,是信息化社会的商务模式,也是商务的未来。安全是电子商务生存和发展的命脉,随着网络信息技术的发展,安全技术平台和安全管理策略将不断发展和改进提高。电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上,才能制定出整体的安全解决方案。可见,研究电子商务安全问题的一直不可忽视的问题。
本文来源:http://www.zhangdahai.com/shiyongfanwen/kexingxingyanjiubaogao/2023/0401/578259.html
