电子商务网站建设中的安全问题研究

　　随着互联网的不断普及与发展．作为一个企业，在互联网上建立自己的网站，最显而易见的就是可以向世界展示自己的企业风采，让更多人了解自己的企业．使企业能够在公众知名度上有一定的提升，并通过网站进行企业的内部管理和开展电子商务活动。因此，电子商务网站成为企业活动的一个重要组成部分，而如何提高网站的安全，抵抗黑客非法入侵，避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环．本文分析了目前对国内电子商务网站安全的常见问题．希望能引起相关企业的重视。

　　一、服务器安全问题及对策

　　电子商务网站建设中首要的问题是网站WEB服务器的使用，通常情况下，开展电子商务的企业会采用自建服务器方案来完成电子商务的各项功能，因此为了电子商务网站的特殊需要企业会自己租用通信专线，架设WEB服务器。

　　1、WEB服务器上的安全漏洞。

　　WEB服务器上的漏洞可以从以下几方面考虑：

　　(1)、在WEB服务器上你不让人访问的秘密文件、目录或重要数据。

　　(2)、从远程用户向服务器发送信息时，特别是信用卡之类东西时．中途遭不法分子非法拦截。

　　(3)、WEB服务器本身存在一些漏洞使得一些人能侵入到主机系统．破坏一些重要的数据．甚至造成系统瘫痪。

　　(4)、WEB服务器的一些扩展组件存在漏洞，可能导致网络安全和信息泄漏。

　　(5)、还有一些简单的从网上下载的WEB服务器．没有过多考虑到一些安全因素．不能用作商业应用。

　　因此，不管是配置服务器．还是在编写网站程序时都要注意系统的安全性。尽量堵住任何存在的漏洞．创造安全的环境。

　　二、网站程序安全问题及对策

　　电子商务网站程序的安全是许多企业忽视的问题，也是严重导致企业信息泄漏的最主要的途径之一。

　　1、代码漏洞安全问题。

　　产生这种漏洞的主要原因是网站程序代码编写的不完善造成的．而这种不完善的代码极有可能会暴露网站的数据库或后台管理等重要的安全信息(下文均以ASP为例)。

　　(1)、数据库连接字串的某些错误导致WEB服务器锚误提示，而这些错误提示中可能会含有数据库或表等重要信息。

　　(2)、企业后台管理程序中只有主程序要求管理员的身份信息，而其它管理页面却忽视了身份验证信息，这种疏忽使非法用户可能通过直接输入后台的某个管理页面的形式进入到后台管理中去，如果正好有管理员密码修改的页面出现此问题，则会导致网站后台的完全暴露。

　　(3)、对页面参数不作任何判定导致所谓的SQLInjection，即SQL注入从而泄漏用户信息。这种安全漏洞是2004年以来网站信息安全的最大隐患，而国内许多电子商务网站并没有采取相应的安全措施，导致电子商务网站很容易被攻破。

　　2、后台管理程序文件的安全问题。

　　现在大多数企业采用后台管理的方式对电子商务网站进行管理，电子商务网站后台的入口安全是很多企业忽视的问题。比如许多电子商务网站后台入口通常会采用Admin．aspIogin．asp、Iogout．asp等常见形式．也有的网站竟然在网面上链接出管理入口，这样，非法用户很容易就能找到网站的后台管理入口，成为电子商务网站安全的重大隐患对于以上安全问题的解决方法是更改网站的后台入口路径．最好是设定一个不易被猜解到的目录和文件名，同时尽可能不要在前台页面上暴露出后台的管理入口。弱口令和口令加密安全问题。尽管大多数企业认识到了口令的安全问题，但还是有不少的企业忽视了这个问题。

　　(1)、网站管理口令安全问题。

　　①弱口令问题。有些管理员为了记忆方便．会以Admin、Admin888managerwebmaster等作为管理员的用户名．同样，也有用AdminAdmin88812345888888等来作为管理员密码，数据库以sA为用户名，留空密码等，这些弱口令是很容易被黑客猜测到的。

　　②明文密码问题。很多企业的管理员密码都采用明文来保存，这样的明文密码是最不安全的因素之一，通过SQL注入很容易就能猎取数据库中的明文密码。

　　③简单口令加密问题。一些网站设计人员有时只是对口令进行简单的对称加密．这种经过简单的对称加密密文用现在的Pc机器可以在较短的时间内解密成明文，因此也是不可取的。

　　(2)、网站管理口令安全策略。

　　①杜绝使用弱口令，以避免安全隐患，可以采用字母+数字+符号字符，并超过8位以上的密码。

　　②强制对所有用户密码加密，最好采用非对称加密或采用不可逆的运算，如使用32位的MD5码。

　　三、数据库安全问题

　　根据国内相关调查显示，国内的网站用ASP+Access或SQLServer的占7o％以上．PHP+MySQL占2O％其他的不足1O％。而数据库是一个电子商务网站的核心，因此数据库的安全也成为电子商务网站安全的首要问题。

　　1、数据库位置和名称安全。

　　以往许多网站设计人员会把数据库放在Data或Database等目录下．对数据库的文件名也通常采用Data、Mydata、Database、DataShq0等．这种做法很容易被非法用户猜解到并下载用户数据库．从而使电子商务网站的所有数据被窃取。解决方案：可以采用字母+数字并超过8位的组合作为数据文件目录或文件名，对于Access文件最好更改其扩展名．MDB为ASP以加强安全性。

　　2、数据库结构安全问题

　　(1)数据表的命名问题。

　　为了安全需要，不要直接用类似Admin、User、Product等作为表名，可以使用XX-Admin-XX等形式，用字母和数宇组合作为表名的前后缀，以防止SQL注入时被猜解出表名。

　　(2)、数据宇段的命名问题。

　　同样在数据字段命名时，也不要直接用Admin、UserName、用户名、密码Passwor、Pwd、UserPwd等作为敏感字段名，可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的安全性。

　　(3)、数据库权限安全问题尽量不要把数据库密码留空或使用弱口令作为数据库密码，合理使用1O位以上的数据库密码会进一步加强数据库的安全。

　　3、数据库连接宇串安全问题

　　这类安全问题主要是两个方面；一是在数据库连接字串中不直接出现明文密码，采用对称加密密码可以提高数据库的安全二是数据连接文件不要用常见的Conn、DbConn作为文件名，避免使用．inc．asa、txt作为扩展名，同时也不要把文件放在类似Inc、Data、Conn等目录下，以防数据库连接被非法下载。

　　所谓魔高一尺．道高一丈。从网络安全技术本质上讲，就是“攻”与”防的技术。对于企业网络安全，“亡羊补牢”和“防患于未然”同样重要。笔者在撰写本文时对国内部分电子商务网站进行相应安全测试发现，目前国内大多数电子商务网站都存在着上述的安全问题，有的电子商务网站甚至存在大量的安全隐患，如某大型制药企业的网站．就存在上述的所有漏洞。因此，作为电子商务网站管理员，一方面要加强安全防范措施，部署网站业务保护的入侵防御设备，防患于未然；另一方面也要经常对自己的网站进行安全测试，查看网站运行日志文件，亡羊补牢，为时未晚，把安全损失降到最低让电子商务网站真正成为企业提供安全高效的信息服务。