论文部分内容阅读
摘 要:随着计算机技术以及网络通讯技术的迅猛发展,人们也越来越依赖网络信息,在此背景下,我国的互联网产业蓬勃发展起来,然而在其发展的过程中却存在着一些安全隐患。作为互联网的核心,数据库的安全对互联网的正常运行有着直接的影响。因此,在网站开发过程必须要注意数据库的安全问题,本文就此对网站开发之中数据库的安全问题展开详细的分析,并针对问题提出相应的解决措施。
关键词:网站开发;数据库;安全问题
中图分类号:TP393.092
一般来讲,数据库的安全性就是要求无论发生什么情况,都要保证数据库的任一部分不会被任意的修改或者损坏。作为网站信息系统的核心,数据库不仅能够促进还能够保护网站的发展,因此网站开发过程中就会要求数据库要具备更高的安全性。然而,目前在我国网站开发之中,数据库的安全性方面还存在很多问题,这在一定程度上给用户或者企业的利益带来了威胁。因此,采取相应措施来提高网站数据库的安全是非常重要而且很有必要的。
1 网站开发过程中数据库存在的安全问题
1.1 操作系统比较单一。众所周知,Windows系统有两大特点:一是操作方便,二是容易掌握。因此Windows系统是目前人们最常用的电脑操作系统。但是由于该系统的代码并非开源,也就是说看不到程序的源代码,而且不能为了二次开发进行再次编译,这样一来,一旦系统出现漏洞,这些漏洞就可能极易被利用,从而使系统受到不同程度的攻击。而且从发现漏洞到官方公布补丁这个过程是需要一定时间的,那么系统数据库在等待的这段时间内就极易产生安全问题。相反,Linux系统本身就是开源的,也就是说程序的源代码是可以被看到的,因此,若发现系统漏洞后,官方就能够尽快的公布补丁时间,换句话说就是漏洞被利用攻击的时间就会相应的缩短。
1.2 软、硬件设施不配套。随着社会的不断发展和人们生活水平的不断提高,性能高的服务器越来越受到企业或者个人的喜爱。然而,在组装好硬件设施并且联网后,企业或者个人却往往忽略了后期的管理与投资,造成了软、硬件设施的不配套。而且后期网站的管理及维护人员一般都是临时培训上岗的,并没有接受过专业系统的学习。因此,受到知识结构和技术的水平限制,一旦网站数据库出现安全问题,这些管理人员都不能够及时的采取相应措施进行补救。
1.3 数据库自身不完善。系统工程方法是用以组织实施网站开发的基础性方法,然而,目前我国大多数网站开发者的工作重心却在于网站功能的设计以及实现上,所以往往会采用直接编写代码的方法而不是系统工程法。这样一来,随着需求的变化,数据库表也会相应的增加,那么在数据表中就会出现企业的商业敏感数据,而且通常是以明文的方式,没有任何加密措施,这样导致商业敏感数据极易被窃取或者篡改。比如采用明文存储并且无任何加密措施的CSDN用户密码就被黑客窃取并公布。
1.4 后台管理系统网页设计中的安全问题。一般情况下,在网站开发中Web方式被广泛应用于数据库的访问以及管理当中,并且在实际操作中通过后台管理系统来实现。然而,在设计过程中,存在于后台管理系统首页的安全隐患经常会被设计人员忽视掉,设计人员通常会以后期维护方便为目的,在前台用户能够浏览到的网页上安置后台管理系统的功能,这样一来,就会暴露后台管理系统的首页地址,从而对网站数据库的安全管理造成不同程度的威胁。比如我国大部分学校网站都会有两个管理入口,一个是管理员的选择窗口,另外一个则是普通用户的选择窗口。
1.5 源代码缺陷导致的安全问题。艾瑞网《2007年1月CNNNIC中国互联网第十九次统计报告》中有一项针对“网页形式分类”的调查,根据调查结果发现在实际应用中,动态网页技术中的ASP技术仍为广大用户的首选。为了防止非法分子的恶意破坏,用户在输入数据的时候必须要以数据的合法性为前提。然而程序员在编写代码的时候,并没有判断数据输入的合法性,因此,这就给系统应用程序的安全造成了一定程度的威胁。
2 网站开发之中数据库安全问题的解决对策
2.1 选择合适的操作系统。在网络开发中安装数据库服务端的时候,Linux操作系统应该作为优先选择,因为相比windows系统,Linux操作系统具有较高的安全性。当然,如果有条件的话,一些企业或者个人可以选择安全性更高的UNIX操作系统等。从网络数据库运行的角度来讲,病毒的侵犯是最主要的威胁,因此,治理外围层的方法应该是防、管、杀三者相结合,并且通过应用VPN技术来建立一个虚拟的网络开发之中数据库系统的专用网,与此同时,通过对防火墙技术的应用来实现网间以及网段间的双重隔离,从而避免因病毒等的入侵而造成的安全威胁。此外,对数据也需要进行加密保护以免数据在传输过程中被窃取或者篡改。
2.2 加强对软件设施的投资。注重网站开发之中数据库的安全管理是非常有必要的,因为无论硬件设施有多么的先进,如果没有相应的管理,那么硬件设施也无法发挥出其应有的价值。因此,这就要求技术人员不能只是会做简单的输入输出工作,必须要有较高的专业技术水平,通过各种检测软件来检查网络系统的漏洞,并且一旦发现病毒入侵就要及时采取相应的措施来补救。
2.3 建立完善的开发规则。在对网络代码进行编写之前,应该把系统工程方法作为基础,并在此基础上组织实施网络开发。只有在详细设计被批准通过的基础上,编码工作才可以进行。与此同时,假如在编写代码的过程中出现了错误并需要进行修改,那必须首先对详细设计进行修改,然后对修改后的详细设计进行审批,只有审批通过才能继续进行编写代码的工作。此外,应该采取相应措施对数据库表进行加密,然后再一并存储到数据库中。
2.4 改善后台管理系统的网页设计。在网站开发之中,不能在公共网络暴露后台管理系统的接口,而是需要在一个单独的页面上进行设计,这就需要通过内网或者VPN的方式接入这个页面。此外,设计人员在设计的时候要严格把控密码等重要信息的验证。对于网站开发过程中后台管理系统网页设计中的其它的一些规则,比如说,只有在特定的IP地址才能成功登录计算机等,像这类规则它们的灵活度比较高,所以设计人员可以根据具体的需求做出相应的调整。但是需要注意的一点是,只有系统管理员才有权利掌握后台管理系统的入口网址,为了网站数据库系统的安全性起见,这个入口网址其他人是无权知道的。
2.5 提高源代码的质量。在编写代码的时候,要尽量避免因为使用SQL语句而造成的注入漏洞。首先,要完善网站系统的管理权限,程序中不能够使用较高的权限来对数据库进行访问。其次,开发系统流程时要确保有良好的程序,比如说在编写数据库查询程序的时候应用replace函数,或者采用两个单引号的方式对输入变量进行标注。最后,将核心的代码隐藏起来,具体的来讲就是为了保护数据库结构以及核心程序代码,在直接访问数据库的时候不利用SQL语句,而是采用XML Web Service或者存储过程。
3 结束语
随着计算机技术以及通讯技术的不断发展,人类的工作和生活越来越依赖网站。同时由于需要包含的信息量越来越多,目前,数据库已经逐步发展成为网站的基本组成要素之一,保证数据库安全运行是一个网站能够持续健康发展的关键,而保证网站开发中数据库的安全性则是一个动态的网络系统工程。在网站开发中,首先要增强网站开发人员的安全意识,其次要不断对网站进行安全性测试,及时修补系统出现的漏洞,最大程度的提高网站开发之中数据库的安全性,从而能够使其更好的服务大众。
参考文献:
[1]周波.浅析网站开发之中数据库安全问题[J].北京电力高等专科学校学报(自然科版),2013(07):127-128.
[2]耿燕.网站开发中数据库安全问题分析[J].科技创新导报,2012(11):15-16.
[3]江龙.电子商务网站开发中数据库安全问题探讨[J].计算机光盘软件与应用,2013(17):40-41.
作者简介:徐惠萍(1977.03-),女,甘肃兰州人,助理研究员,本科,工学学士,研究方向:计算机应用。
作者单位:甘肃省计算中心,兰州 730030
关键词:网站开发;数据库;安全问题
中图分类号:TP393.092
一般来讲,数据库的安全性就是要求无论发生什么情况,都要保证数据库的任一部分不会被任意的修改或者损坏。作为网站信息系统的核心,数据库不仅能够促进还能够保护网站的发展,因此网站开发过程中就会要求数据库要具备更高的安全性。然而,目前在我国网站开发之中,数据库的安全性方面还存在很多问题,这在一定程度上给用户或者企业的利益带来了威胁。因此,采取相应措施来提高网站数据库的安全是非常重要而且很有必要的。
1 网站开发过程中数据库存在的安全问题
1.1 操作系统比较单一。众所周知,Windows系统有两大特点:一是操作方便,二是容易掌握。因此Windows系统是目前人们最常用的电脑操作系统。但是由于该系统的代码并非开源,也就是说看不到程序的源代码,而且不能为了二次开发进行再次编译,这样一来,一旦系统出现漏洞,这些漏洞就可能极易被利用,从而使系统受到不同程度的攻击。而且从发现漏洞到官方公布补丁这个过程是需要一定时间的,那么系统数据库在等待的这段时间内就极易产生安全问题。相反,Linux系统本身就是开源的,也就是说程序的源代码是可以被看到的,因此,若发现系统漏洞后,官方就能够尽快的公布补丁时间,换句话说就是漏洞被利用攻击的时间就会相应的缩短。
1.2 软、硬件设施不配套。随着社会的不断发展和人们生活水平的不断提高,性能高的服务器越来越受到企业或者个人的喜爱。然而,在组装好硬件设施并且联网后,企业或者个人却往往忽略了后期的管理与投资,造成了软、硬件设施的不配套。而且后期网站的管理及维护人员一般都是临时培训上岗的,并没有接受过专业系统的学习。因此,受到知识结构和技术的水平限制,一旦网站数据库出现安全问题,这些管理人员都不能够及时的采取相应措施进行补救。
1.3 数据库自身不完善。系统工程方法是用以组织实施网站开发的基础性方法,然而,目前我国大多数网站开发者的工作重心却在于网站功能的设计以及实现上,所以往往会采用直接编写代码的方法而不是系统工程法。这样一来,随着需求的变化,数据库表也会相应的增加,那么在数据表中就会出现企业的商业敏感数据,而且通常是以明文的方式,没有任何加密措施,这样导致商业敏感数据极易被窃取或者篡改。比如采用明文存储并且无任何加密措施的CSDN用户密码就被黑客窃取并公布。
1.4 后台管理系统网页设计中的安全问题。一般情况下,在网站开发中Web方式被广泛应用于数据库的访问以及管理当中,并且在实际操作中通过后台管理系统来实现。然而,在设计过程中,存在于后台管理系统首页的安全隐患经常会被设计人员忽视掉,设计人员通常会以后期维护方便为目的,在前台用户能够浏览到的网页上安置后台管理系统的功能,这样一来,就会暴露后台管理系统的首页地址,从而对网站数据库的安全管理造成不同程度的威胁。比如我国大部分学校网站都会有两个管理入口,一个是管理员的选择窗口,另外一个则是普通用户的选择窗口。
1.5 源代码缺陷导致的安全问题。艾瑞网《2007年1月CNNNIC中国互联网第十九次统计报告》中有一项针对“网页形式分类”的调查,根据调查结果发现在实际应用中,动态网页技术中的ASP技术仍为广大用户的首选。为了防止非法分子的恶意破坏,用户在输入数据的时候必须要以数据的合法性为前提。然而程序员在编写代码的时候,并没有判断数据输入的合法性,因此,这就给系统应用程序的安全造成了一定程度的威胁。
2 网站开发之中数据库安全问题的解决对策
2.1 选择合适的操作系统。在网络开发中安装数据库服务端的时候,Linux操作系统应该作为优先选择,因为相比windows系统,Linux操作系统具有较高的安全性。当然,如果有条件的话,一些企业或者个人可以选择安全性更高的UNIX操作系统等。从网络数据库运行的角度来讲,病毒的侵犯是最主要的威胁,因此,治理外围层的方法应该是防、管、杀三者相结合,并且通过应用VPN技术来建立一个虚拟的网络开发之中数据库系统的专用网,与此同时,通过对防火墙技术的应用来实现网间以及网段间的双重隔离,从而避免因病毒等的入侵而造成的安全威胁。此外,对数据也需要进行加密保护以免数据在传输过程中被窃取或者篡改。
2.2 加强对软件设施的投资。注重网站开发之中数据库的安全管理是非常有必要的,因为无论硬件设施有多么的先进,如果没有相应的管理,那么硬件设施也无法发挥出其应有的价值。因此,这就要求技术人员不能只是会做简单的输入输出工作,必须要有较高的专业技术水平,通过各种检测软件来检查网络系统的漏洞,并且一旦发现病毒入侵就要及时采取相应的措施来补救。
2.3 建立完善的开发规则。在对网络代码进行编写之前,应该把系统工程方法作为基础,并在此基础上组织实施网络开发。只有在详细设计被批准通过的基础上,编码工作才可以进行。与此同时,假如在编写代码的过程中出现了错误并需要进行修改,那必须首先对详细设计进行修改,然后对修改后的详细设计进行审批,只有审批通过才能继续进行编写代码的工作。此外,应该采取相应措施对数据库表进行加密,然后再一并存储到数据库中。
2.4 改善后台管理系统的网页设计。在网站开发之中,不能在公共网络暴露后台管理系统的接口,而是需要在一个单独的页面上进行设计,这就需要通过内网或者VPN的方式接入这个页面。此外,设计人员在设计的时候要严格把控密码等重要信息的验证。对于网站开发过程中后台管理系统网页设计中的其它的一些规则,比如说,只有在特定的IP地址才能成功登录计算机等,像这类规则它们的灵活度比较高,所以设计人员可以根据具体的需求做出相应的调整。但是需要注意的一点是,只有系统管理员才有权利掌握后台管理系统的入口网址,为了网站数据库系统的安全性起见,这个入口网址其他人是无权知道的。
2.5 提高源代码的质量。在编写代码的时候,要尽量避免因为使用SQL语句而造成的注入漏洞。首先,要完善网站系统的管理权限,程序中不能够使用较高的权限来对数据库进行访问。其次,开发系统流程时要确保有良好的程序,比如说在编写数据库查询程序的时候应用replace函数,或者采用两个单引号的方式对输入变量进行标注。最后,将核心的代码隐藏起来,具体的来讲就是为了保护数据库结构以及核心程序代码,在直接访问数据库的时候不利用SQL语句,而是采用XML Web Service或者存储过程。
3 结束语
随着计算机技术以及通讯技术的不断发展,人类的工作和生活越来越依赖网站。同时由于需要包含的信息量越来越多,目前,数据库已经逐步发展成为网站的基本组成要素之一,保证数据库安全运行是一个网站能够持续健康发展的关键,而保证网站开发中数据库的安全性则是一个动态的网络系统工程。在网站开发中,首先要增强网站开发人员的安全意识,其次要不断对网站进行安全性测试,及时修补系统出现的漏洞,最大程度的提高网站开发之中数据库的安全性,从而能够使其更好的服务大众。
参考文献:
[1]周波.浅析网站开发之中数据库安全问题[J].北京电力高等专科学校学报(自然科版),2013(07):127-128.
[2]耿燕.网站开发中数据库安全问题分析[J].科技创新导报,2012(11):15-16.
[3]江龙.电子商务网站开发中数据库安全问题探讨[J].计算机光盘软件与应用,2013(17):40-41.
作者简介:徐惠萍(1977.03-),女,甘肃兰州人,助理研究员,本科,工学学士,研究方向:计算机应用。
作者单位:甘肃省计算中心,兰州 730030