網(wǎng)站數(shù)據(jù)庫(kù)的安全設(shè)計(jì)問題指的是對(duì)網(wǎng)站可能遭受到的入侵攻擊所預(yù)先做的安全設(shè)計(jì),避免不合法或者未授權(quán)使用的出現(xiàn)導(dǎo)致數(shù)據(jù)泄密、被惡意更改或者破壞;確保數(shù)據(jù)能夠避免合法用戶的無意或者由于誤操作而導(dǎo)致的數(shù)據(jù)破壞。數(shù)據(jù)庫(kù)作為信息系統(tǒng)的核心,其含有數(shù)量較多的重要信息。在正常運(yùn)行的數(shù)據(jù)庫(kù)系統(tǒng)中,數(shù)據(jù)庫(kù)自身不斷地被用戶使用,這就導(dǎo)致在使用過程中應(yīng)面臨較多的安全隱患。
從網(wǎng)站開發(fā)的層面來看,網(wǎng)站信息的更新、基本業(yè)務(wù)的進(jìn)行以及網(wǎng)站與用戶的互動(dòng)的需求的實(shí)現(xiàn),都要求開發(fā)人員把網(wǎng)站中所存在的各類信息通過數(shù)據(jù)庫(kù)來實(shí)現(xiàn)組織與管理。網(wǎng)站數(shù)據(jù)庫(kù)是信息聚集體,也是網(wǎng)站正常運(yùn)營(yíng)的基礎(chǔ)與必備條件,數(shù)據(jù)庫(kù)中保存著網(wǎng)站包括商業(yè)伙伴與客戶信息在內(nèi)的各類信息,tn交易記錄、賬號(hào)數(shù)據(jù)以及市場(chǎng)計(jì)劃等諸多的重要內(nèi)在實(shí)際操作中,企業(yè)通過網(wǎng)站提高自身經(jīng)營(yíng)管理有效性的同時(shí),也面臨著自身所使用的網(wǎng)站數(shù)據(jù)庫(kù)中的商業(yè)數(shù)據(jù)與商業(yè)信息被攻擊者竊取而被惡意利用或者公布于眾導(dǎo)致的威如一些商業(yè)性的產(chǎn)品交易價(jià)格被惡意修改等。也就是說,數(shù)據(jù)的安全性與企業(yè)利益有著密不可分的聯(lián)系
網(wǎng)站數(shù)據(jù)庫(kù)存在的安全設(shè)計(jì)問題:
1) 軟件資源與硬件資源不能協(xié)調(diào)同步
網(wǎng)站數(shù)據(jù)庫(kù)的建設(shè)離不開硬件資源的支持,企業(yè)和個(gè)人也在購(gòu)買高性能服務(wù)器上花費(fèi)頗多當(dāng)網(wǎng)站建設(shè)完成之后,后期的管理卻沒有得到相應(yīng)的重視,這就導(dǎo)致了軟件資源與硬件資源的失調(diào)。對(duì)于大多數(shù)企業(yè)而言,后期的管理人員都是經(jīng)過臨時(shí)培訓(xùn)的,當(dāng)遭遇突發(fā)情況時(shí),并不能及時(shí)作出正確有效地反應(yīng)。這就給了網(wǎng)站人侵者一些可乘之機(jī),致使企業(yè)網(wǎng)站遭到攻擊而蒙受損失。
2) 單一的操作系統(tǒng)
目前,Windows系統(tǒng)對(duì)常用的操作系統(tǒng)使用較多,主要是因?yàn)槌S貌僮飨到y(tǒng)操作簡(jiǎn)單而且容易掌握。但Windows系統(tǒng)也有其不好的一方面,windows系統(tǒng)使用的是非開源代碼這樣一來,當(dāng)系統(tǒng)的漏洞暴露出來之后,可能就會(huì)被利用而受到攻擊。從發(fā)現(xiàn)漏洞到官方補(bǔ)丁的公布通常會(huì)有一個(gè)時(shí)間差,在這個(gè)時(shí)間差內(nèi),系統(tǒng)數(shù)據(jù)庫(kù)最容易出現(xiàn)問題。因此在設(shè)計(jì)網(wǎng)站數(shù)據(jù)庫(kù)時(shí),要考慮系統(tǒng)漏洞問題,爭(zhēng)取將風(fēng)險(xiǎn)遏制在萌芽之中。
3) 登錄數(shù)據(jù)庫(kù)的隱藏風(fēng)險(xiǎn)
在開發(fā)和設(shè)計(jì)網(wǎng)站數(shù)據(jù)庫(kù)時(shí),一般有兩種主要的網(wǎng)站數(shù)據(jù)庫(kù)登錄方式,即數(shù)據(jù)庫(kù)訪問證方式和Windows 驗(yàn)證方式。那么,如果我們要對(duì)數(shù)據(jù)庫(kù)中的對(duì)象進(jìn)行某種操作時(shí),應(yīng)更好地采取第一種登錄方式進(jìn)行認(rèn)證。但是,數(shù)據(jù)庫(kù)中有些賬號(hào)是默認(rèn)狀態(tài)的,很多人都可以對(duì)數(shù)據(jù)庫(kù)資源進(jìn)行各種訪問,它還不可以更改或刪除。一旦對(duì)該類賬戶不加強(qiáng)保護(hù)或在必要的情況下禁用,將在給用戶帶來使用便利的同時(shí),帶來較為嚴(yán)重的安全隱患問題。
4) 后臺(tái)管理系統(tǒng)網(wǎng)頁(yè)設(shè)計(jì)中的安全問題
大多數(shù)情況下,網(wǎng)站數(shù)據(jù)庫(kù)的訪問及管理都是通過web方式進(jìn)行,并且在具體操作中通過后臺(tái)管理系統(tǒng)來實(shí)現(xiàn)。然而,在網(wǎng)站建設(shè)數(shù)據(jù)庫(kù)設(shè)計(jì)過程中,設(shè)計(jì)人員為了后期維護(hù) 方便住往忽視了后臺(tái)管理系統(tǒng)首頁(yè)的安全隱患。這樣一來,后臺(tái)管理系統(tǒng)的首頁(yè)地址就可能2:露,從而使網(wǎng)站數(shù)據(jù)庫(kù)的安全管理面臨了更大的挑戰(zhàn)。例如,我國(guó)大多數(shù)校園網(wǎng)站都會(huì)有內(nèi)個(gè)管理人口,一個(gè)是普通用戶權(quán)限窗口;另一個(gè)是管理員權(quán)限窗口。
本文地址:http://islandpacificappraisals.com//article/2538.html