網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題

李斯

摘要：隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通訊技術(shù)的發(fā)展，互聯(lián)網(wǎng)產(chǎn)業(yè)以其方便快捷的優(yōu)勢逐漸受到人們的青睞，在現(xiàn)代化生活中網(wǎng)絡(luò)已經(jīng)成為了人們生活的一部分。在帶來便利的同時(shí)互聯(lián)網(wǎng)也存在這眾多安全隱患，作為互聯(lián)網(wǎng)核心的數(shù)據(jù)庫的安全性則直接決定了互聯(lián)網(wǎng)能否有效運(yùn)行，關(guān)注數(shù)據(jù)庫的安全問題也成為了各方面的重要關(guān)注點(diǎn)。本文闡述了網(wǎng)站數(shù)據(jù)庫的相關(guān)概念，并分析了其存在的安全隱患，提出相關(guān)的防范措施，希望能起到參考作用。

【關(guān)鍵詞】網(wǎng)站開發(fā) 數(shù)據(jù)庫 安全

1 數(shù)據(jù)庫安全的必要性

網(wǎng)站體系主要由服務(wù)器、客戶端和局域網(wǎng)組成；在網(wǎng)站內(nèi)部，是由Web服務(wù)器和應(yīng)用服務(wù)器等構(gòu)成，通過防火墻和路由器與互聯(lián)網(wǎng)相連，用戶則通過客戶端進(jìn)行網(wǎng)絡(luò)訪問。在這個(gè)過程中，網(wǎng)站數(shù)據(jù)庫起著核心的作用，它是指動(dòng)態(tài)網(wǎng)站存放網(wǎng)站相關(guān)數(shù)據(jù)的空間，也稱作數(shù)據(jù)空間。網(wǎng)站數(shù)據(jù)庫是信息聚集體，是網(wǎng)站正常運(yùn)行的基礎(chǔ)和條件，它可以利用有效的方式將數(shù)據(jù)和資源共享結(jié)合起來，它提供的搜索功能可以幫助用戶快捷的搜索到想要的信息，既節(jié)省了用戶的時(shí)間，又可以借此增加網(wǎng)站的點(diǎn)擊量，幫助網(wǎng)站提高經(jīng)濟(jì)效益；除此之外，網(wǎng)站數(shù)據(jù)庫還具有收集信息的功能，幫助用戶及時(shí)了解所需的信息，促進(jìn)用戶對(duì)網(wǎng)站的認(rèn)可。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，出現(xiàn)了眾多門戶網(wǎng)站以及專業(yè)網(wǎng)站，它們?yōu)閺V大用戶提供各種信息以及服務(wù)，逐漸成為了人們交流信息的重要手段。數(shù)據(jù)庫安全性問題就是指對(duì)數(shù)據(jù)庫進(jìn)行安全防護(hù)，規(guī)避互聯(lián)網(wǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)，避免用戶的信息被泄露或者數(shù)據(jù)被更改等，保障網(wǎng)絡(luò)的正常運(yùn)行。從網(wǎng)站開發(fā)的層面來看，開發(fā)人員在開發(fā)時(shí)需要將網(wǎng)站信息的更新、基本業(yè)務(wù)的運(yùn)行等通過數(shù)據(jù)庫來實(shí)現(xiàn)管理。數(shù)據(jù)庫一般包含著諸多信息，例如，對(duì)于企業(yè)來說，網(wǎng)站數(shù)據(jù)庫就可能包含其商業(yè)伙伴的信息、交易記錄、市場經(jīng)營能力等，數(shù)據(jù)庫的安全決定著企業(yè)發(fā)展的好壞。但是在實(shí)際的操作過程中，也存在著網(wǎng)站被惡意攻擊、信息被竊取等安全問題，對(duì)企業(yè)的正常經(jīng)營帶來巨大的損失。

2 網(wǎng)站數(shù)據(jù)庫存在的安全問題

2.1 操作系統(tǒng)單一

在現(xiàn)階段的計(jì)算機(jī)網(wǎng)絡(luò)中，采用最多的就是Windows系統(tǒng)，雖然它簡單易于操作，但是由于其系統(tǒng)代碼非開源，一旦出現(xiàn)系統(tǒng)漏洞，就很有可能會(huì)被利用。而由于發(fā)現(xiàn)漏洞到官方公布補(bǔ)丁之間間隔了一定的時(shí)間，就使得在這個(gè)時(shí)間段內(nèi)系統(tǒng)很容易產(chǎn)生安全問題。

2.2 數(shù)據(jù)庫不完善

系統(tǒng)工程作為網(wǎng)站開發(fā)的實(shí)施基礎(chǔ)并沒有受到開發(fā)者的充分重視，在網(wǎng)站開發(fā)時(shí)他們一般將重點(diǎn)放在網(wǎng)站概念的設(shè)計(jì)與實(shí)現(xiàn)上，這種方式會(huì)使得他們采用直接編寫代碼的方式，就很有可能會(huì)出現(xiàn)由于數(shù)據(jù)庫表增加，商業(yè)信息數(shù)據(jù)由于沒有適當(dāng)?shù)陌踩雷o(hù)措施而使得敏感數(shù)據(jù)被不法者竊取或篡改等情況的出現(xiàn)。

2.3 軟硬資源的協(xié)調(diào)性差

雖然企業(yè)廣泛重視在網(wǎng)站數(shù)據(jù)庫上的投入，但是企業(yè)普遍購買了高性能的服務(wù)器以后卻不注重后期的管理維護(hù)，使得實(shí)施效果差。后期網(wǎng)站的管理人員大多不是專業(yè)的技術(shù)人員，只是懂得一點(diǎn)簡單的維護(hù)措施，軟硬件資源不能很好的進(jìn)行協(xié)調(diào)，不能夠很好的規(guī)避網(wǎng)絡(luò)風(fēng)險(xiǎn)安全。

2.4 后臺(tái)管理系統(tǒng)的安全策略不完善

在實(shí)際的網(wǎng)站開發(fā)設(shè)計(jì)的后臺(tái)管理中，一般存在三種風(fēng)險(xiǎn)隱患。

2.4.1 后臺(tái)管理系統(tǒng)首頁鏈接的安全隱患

雖然采用Web方式可以對(duì)網(wǎng)站數(shù)據(jù)庫進(jìn)行訪問和管理，但是在實(shí)際中企業(yè)普遍存在忽視網(wǎng)站后臺(tái)管理系統(tǒng)首頁安全的現(xiàn)象。開發(fā)人員一般不注重后臺(tái)管理系統(tǒng)首頁存在的安全隱患，為了方便后期維護(hù)而暴露后臺(tái)管理首頁的地址，使得數(shù)據(jù)庫安全的風(fēng)險(xiǎn)增加。

2.4.2 后臺(tái)管理系統(tǒng)操作權(quán)限設(shè)計(jì)的安全隱患

設(shè)計(jì)人員一般采用“管理員標(biāo)識(shí)+口令”的方式設(shè)定一個(gè)固定不變的身份認(rèn)證方式，在設(shè)置管理員口令和密碼時(shí)也選取的是簡單的字符，從而為不法分子侵入后臺(tái)系統(tǒng)提供了機(jī)會(huì)，

2.4.3 后臺(tái)管理頁面限制保護(hù)的安全問題

后臺(tái)管理的管理員不能夠保證隨時(shí)隨地都在管理操作現(xiàn)場，一旦個(gè)別別有用心之人趁著操作現(xiàn)場沒有人將暴露在顯示屏上的信息竊取之后便可能造成文件的泄露。

3 網(wǎng)站數(shù)據(jù)庫安全問題解決對(duì)策

3.1 操作系統(tǒng)要具有針對(duì)性

應(yīng)該選取適合的操作系統(tǒng)，優(yōu)先選取Linux操作系統(tǒng)來提高數(shù)據(jù)庫的安全性。鑒于網(wǎng)絡(luò)病毒在很大程度上會(huì)對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫的管理帶來風(fēng)險(xiǎn)，在數(shù)據(jù)庫運(yùn)行的層面上，要加強(qiáng)對(duì)于網(wǎng)絡(luò)病毒的防護(hù)和查殺。例如，采用VPN技術(shù)應(yīng)用構(gòu)筑網(wǎng)絡(luò)數(shù)據(jù)庫的虛擬專用網(wǎng)，用防火墻技術(shù)隔離網(wǎng)絡(luò)病毒，降低病毒入侵的概率。

3.2 提高源代碼質(zhì)量

在網(wǎng)站開發(fā)設(shè)計(jì)的代碼中要減少SQL語句的使用頻率，避免核心代碼的暴露，不用SQL語句直接訪問數(shù)據(jù)庫，而是采取XMLWeb Service或存儲(chǔ)過程來保護(hù)核心代碼和數(shù)據(jù)庫結(jié)構(gòu)。要經(jīng)過詳細(xì)的設(shè)計(jì)和考量才開始代碼的編寫，要做好代碼編寫的檢查復(fù)核體系，要對(duì)相關(guān)的管理權(quán)限進(jìn)行完善，保證數(shù)據(jù)庫管理的高質(zhì)量。

3.3 重視軟硬件的配套完善

要提高對(duì)于數(shù)據(jù)庫管理的軟硬件的重視程度，既要重視在軟件上的投入也要加強(qiáng)在硬件管理上的措施。要聘請(qǐng)專業(yè)人員對(duì)數(shù)據(jù)庫進(jìn)行管理和維護(hù)，加強(qiáng)對(duì)他們的技能考核.合理的規(guī)避安全風(fēng)險(xiǎn)。例如，可以采取Linux和Unix操作系統(tǒng)，讓技術(shù)人員在使用過程中強(qiáng)化對(duì)于防火墻技術(shù)的運(yùn)用，降低安全風(fēng)險(xiǎn)。

3.4 加強(qiáng)后臺(tái)管理系統(tǒng)的網(wǎng)頁設(shè)計(jì)

要重視后臺(tái)管理系統(tǒng)的網(wǎng)頁設(shè)計(jì)，不要將其接口暴露在公網(wǎng)中，要采用虛擬網(wǎng)絡(luò)技術(shù)合理的對(duì)網(wǎng)頁運(yùn)行的風(fēng)險(xiǎn)進(jìn)行規(guī)避，要進(jìn)行登錄密碼驗(yàn)證、系統(tǒng)管理員審核登陸等措施。

4 結(jié)束語

隨著人們對(duì)于網(wǎng)絡(luò)重視程度的不斷提高，網(wǎng)站開發(fā)的數(shù)據(jù)庫安全問題已經(jīng)受到了各方面的重視。在網(wǎng)站開發(fā)中，要加強(qiáng)開發(fā)人員的安全意識(shí)，建立起良好的安全防護(hù)系統(tǒng)，防患于未然，使得網(wǎng)站數(shù)據(jù)庫可以更好的發(fā)展。

參考文獻(xiàn)

[1]耿燕.網(wǎng)站開發(fā)中數(shù)據(jù)庫安全問題分析[J].科技創(chuàng)新導(dǎo)報(bào)，2012 （11）.

[2]劉愛云，淺析網(wǎng)站數(shù)據(jù)庫的安全防范及對(duì)策[J].科技風(fēng)，2010 （04）.

[3]魏媛媛.淺析網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)研究[J].信息與電腦，2010（03）.endprint