电子商务安全现状分析 电子商务中的数据安全分析

电子商务中的数据安全分析

二、电子商务数据库与其安全问题 1.电子商务数据安全概述 电子商务数据安全的具体含义为：保证电子商务数据库信息的保密性、 完整性、一致性、可用性和抗否认性。保密性指保护数据库中的数据不被泄露和 未授权的获取：完整性指保护数据库中的数据不被破坏和删除;一致性指的是确 保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性 指的是确保数据库中的数据不因人为或自然的原因对授权用户不再可用;抗否认 性是保证用户事后无法否认对数据库进行的一系列访问、修改、查询等操作，便 于事后分析调查。

2.电子商务数据库面临的安全威胁 (1)黑客攻击。网络中总是存在各种安全漏洞，因此黑客的攻击行为 是威胁电子商务数据安全的一大隐患。黑客攻击网络的目的通常是扰乱系统正常 运行或者窃取重要的商业机密。黑客惯常使用的攻击手段为：窃听-即黑客通过 截获通讯信道上的重要数据并破译来达到窃取用户机密的目的;重发攻击-黑客为 达到影响系统正常运行的目的，而将窃听得到的数据经过篡改之后重新发回服务 器或者数据库用户;迂回攻击-黑客掌握电子商务数据库系统的安全漏洞之后，绕 过数据库系统而直接访问机密数据;假冒攻击-黑客先是采取发送大量无意义的报 文而堵塞服务器和客户终端的通讯端口以后，再通过假冒该客户或者该服务器的 方法来非法操作数据库系统;越权攻击-黑客属于一个合法用户，但是其通过某种 手段使自己去访问没有得到授权的数据。

(2)系统漏洞。针对于电子商务数据库系统的网络入侵者能够根据系 统本身的安全漏洞得到系统的数据操作权限。漏洞产生的原因往往是数据库管理系统没有及时打补丁或者在安全方面的设置中总是选择默认设置。此外，如果由 于数据库的安全检查措施级别太低，或者审核机制应用不当、软件存在的风险以 及管理风险等，都会使系统形成安全漏洞，从而给破坏者以入侵的机会。

三、电子商务数据安全解决方案 1.加密方案 电子商务系统中的一些商业机密数据是不允许普通用户进行随意访 问的。加密方案的目的是控制以上这些机密数据只能被得到相应授权的特定人群 所访问和存取。数据库管理系统的加密以字段为最小单位进行，加密和解密通常 是通过对称密码机制的密钥来实现。数据加密时，数据库管理系统把明文数据经 过密钥转换为密文数据,数据库中数据的存储状态都是密文数据,而在得到权限的 用户查询时，再将密文数据取出并解密，从而恢复明文数据。使数据库的安全性 得到进一步提升。

2.访问控制方案 在数据库管理系统中，不同的用户拥有不同的权限。因此必须保证某 个用户只能访问或者存取与自己权限相应的数据范围。用户所拥有的权限包括两 方面的内容：一是用户可以访问数据库中什么样的数据对象，二是用户可以对这 些数据对象进行什么样的操作。当用户对数据库进行访问时，系统会根据用户的 级别与权限来判定此种操作是允许的或者禁止的，从而达到保护敏感数据不被泄 露或者篡改的目的。访问控制方案有三种，分别叫做自主存取控制(Discretionary Access Control, DAC) 、强制存取控制(Mandatory Access Control, MAC) 和基于 角色的存取控制(Role- based Access Control, RBAC)。

3.认证方案 身份认证技术是数据库管理系统为防止各种假冒攻击安全策略。在用 户对敏感关键的数据进行存取时，必须在客户与数据库管理系统之间进行身份认 证。口令的识别是数据库管理系统进行身份认证的一种方式，每个具体用户都被 系统事先分配一个固定的用户名与密码，电子商务系统的许多数据具有开放性特 征，因此必须对每个访问系统的用户的身份进行认证，这样就可以阻止不拥有系 统授权的用户非法破坏敏感机密的数据。

4.审计方案审计方案是数据库管理系统对相关用户的所有操作过程进行监视的 一种安全方案,该安全方案的具体做法是在审计日志记录中存放各用户对数据库 施加的动作，包括用户的修改、查询和删除等操作。这种有效机制可以在最大程 度上保证数据库管理系统的信息安全。有两种审计方式：分别叫做用户审计和系 统审计。用户启用审计功能将在数据字典中记录每个用户操作数据库的全部细节， 包括用户名称，操作类型等等;而系统审计则由DBA来进行。

5.备份方案 可以把电子商务数据库的故障或障碍分为以下三类: 系统故障、事务 故障以及介质故障。当发生某种类型的故障时,为了把企业的损失减少到最低， 必须在最短的时间内恢复数据,因此，根据企业的实际情况和数据类型与特点,制 定出一套合理而经济的备份和恢复策略是必要的。所谓数据库备份与恢复方案， 目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据 将数据库还原到备份时的状态。数据备份根据数据库管理系统类型的不同, 有多 种备份实施计划。比如对SQL Server而言，有数据库备份、事务日志备份、增量 备份和文件及文件组备份。电子商务信息系统的数据库管理系统中必须建立详细 的备份与恢复策略。

四、结束语 对电子商务企业来说 ,数据安全的重要性是无庸讳言的.在对机密敏 感数据的管理时,必须根据应用环境的具体安全需要来实施各种安全策略。

作者：魏 岳 赵书瑞 孙 伟 来源：商场现代化 2009年4期