信息化網(wǎng)站系統(tǒng)建設中的安全方案探討

◆李大為

信息化網(wǎng)站系統(tǒng)建設中的安全方案探討

◆李大為

（中國科學技術館 北京 100012）

隨著信息技術的發(fā)展，網(wǎng)站安全問題越來越被重視，它包含于網(wǎng)站系統(tǒng)的全生命周期流程。本文主要介紹了在信息化網(wǎng)站系統(tǒng)的建設過程中，從使用HTTPS證書、CDN服務及滲透測試服務三個方面進行網(wǎng)站系統(tǒng)安全方案的考慮。根據(jù)實際系統(tǒng)建設項目經(jīng)驗，提出網(wǎng)站系統(tǒng)建設時應重點提及的安全要求。

網(wǎng)站建設；信息化；安全方案

如今互聯(lián)網(wǎng)的發(fā)展帶動了各行各業(yè)的轉(zhuǎn)型和變革，“互聯(lián)網(wǎng)+”的概念深入人心，越來越多的公司嘗試通過網(wǎng)絡宣傳自己，提升服務能力，獲取更多客戶，各種各樣的網(wǎng)站應用應運而生。網(wǎng)絡科技發(fā)展的同時，也伴隨著各種攻擊、威脅和風險的發(fā)生。面對這些情況，企業(yè)更需要了解自身的安全狀況，在信息化網(wǎng)站系統(tǒng)建設時，要提前做好準備，防患于未然。

在信息化網(wǎng)站系統(tǒng)的建設過程中，可以從以下幾個方面來減少網(wǎng)站被攻擊的可能性。

1 使用HTTPS證書

HTTPS即超文本傳輸安全協(xié)議，是一種網(wǎng)絡安全傳輸協(xié)議。HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的，可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，要比HTTP更安全，可以防止數(shù)據(jù)在傳輸過程中不被竊取、改變，確保數(shù)據(jù)的安全完整性[1]。

在網(wǎng)站安全防護中，HTTPS升級改造是不可避免地一環(huán)，如果能在網(wǎng)站建設初期就規(guī)劃好，可為之后的工作減少不必要的麻煩。使用HTTPS證書，一般分為三個步驟：

（1）申請證書，根據(jù)自身網(wǎng)站規(guī)模，購買合適的證書類型，一般分為DV域名型證書、OV企業(yè)型證書和EV增強型證書，常見的品牌有DigiCert、TrustAsia、GeoTrust等。

（2）安裝證書，在取得證書文件之后，需要根據(jù)不同的Web服務器，將證書文件拷貝到對應文件夾下，并修改相關配置文件。

（3）設置跳轉(zhuǎn)，當配置好HTTPS之后，對于一些還是可以直接訪問HTTP域名的用戶，這個時候就需要提前進行跳轉(zhuǎn)設置，當用戶訪問HTTP域名自動跳轉(zhuǎn)到HTTPS上。

2 使用CDN服務

CDN即內(nèi)容分發(fā)網(wǎng)絡，是構(gòu)建在現(xiàn)有網(wǎng)絡基礎之上的智能虛擬網(wǎng)絡，依靠部署在各地的邊緣服務器，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡擁塞，提高用戶訪問響應速度[2]。包括分布式存儲、負載均衡、網(wǎng)絡請求的重定向和內(nèi)容管理四個重要部分。

使用CDN服務不僅可以對網(wǎng)站內(nèi)容進行加速，還能夠保護網(wǎng)絡安全，有效抵御不同類型DDoS、CC攻擊。通過修改網(wǎng)站域名解析，把網(wǎng)站域名解析到CDN的CNAME上，將服務器源碼IP地址隱藏于公網(wǎng)之后，從而使網(wǎng)絡黑客無法進行攻擊和滲透操作。通過策略設置，CDN的防御機制會自動識別是否為攻擊，如果檢測到了攻擊，就會自動進行清洗過濾。比如，檢查到同一IP地址長時間不停請求訪問一個地址，可以設置其每5分鐘只能連接一次。還可以通過黑名單設置，禁止某些IP地址的訪問。

3 進行滲透測試

滲透測試（Penetration Test）是指安全工程師完全模擬黑客可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術，利用專業(yè)的安全掃描器和安全測試工具對目標系統(tǒng)做深入非破壞性探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。

滲透測試服務能夠直觀地讓網(wǎng)站管理人員更好地知道自己網(wǎng)站所面臨的問題和安全風險，并對測試過程中發(fā)現(xiàn)的網(wǎng)站安全風險給出具體有效的修復建議，幫助解決網(wǎng)站中存在的安全問題。通過滲透測試服務可以發(fā)現(xiàn)邏輯性更強、更深層次的安全風險點。滲透測試的工作范圍主要包括：

（1）服務器操作系統(tǒng)滲透；

（2）數(shù)據(jù)庫系統(tǒng)滲透測試；

（3）WEB應用系統(tǒng)滲透；

（4）網(wǎng)絡設備滲透測試；

（5）弱口令猜解。

在網(wǎng)站上線前，進行一次完整的滲透測試是非常有必要的。幫助網(wǎng)站管理者提前發(fā)現(xiàn)問題，進行修復，能極大地減小安全隱患。另外，還可以安排定期進行滲透測試服務。隨著操作系統(tǒng)、中間件的版本升級，運維管理過程中，可能出現(xiàn)打補丁不及時、忘記升級軟件版本等情況，通過每年的滲透測試服務，可以及時發(fā)現(xiàn)系統(tǒng)存在的問題，保障網(wǎng)站安全穩(wěn)定運行。

4 結(jié)語

信息化網(wǎng)站系統(tǒng)在安全方案設計時，要保證系統(tǒng)的安全性，具備安全管理機制，保證信息存儲安全、信息傳輸和處理安全，保證系統(tǒng)能夠正常運行，不被非授權訪問，不被攻擊破壞[3]。根據(jù)實際信息化系統(tǒng)項目建設經(jīng)驗，在網(wǎng)站建設的要求，還應重點提及：

（1）確保軟件應用與個人信息安全，遵循軟件開發(fā)安全規(guī)范，防范XSS、SQL注入、頁面組件Bug、W eb 應用漏洞、用戶登錄與隱私信息泄露等安全問題。建立完善的日志管理，做到所有操作有據(jù)可查。

（2）控制上傳點，對于上傳文件類型進行嚴格控制（禁止用js 進行控制），同時上傳目錄不能有執(zhí)行權限，原則上不允許有未經(jīng)登錄驗證的上傳點；

（3）設置有效的身份認證、會話管理及訪問控制機制，防止越權、平行權限及提權等（禁止利用js 進行控制及驗證）。

（4）系統(tǒng)必須有密碼復雜度檢查模塊，密碼長度須大于8 位，含大小寫字母、數(shù)字及符號組合。

（5）禁止在數(shù)據(jù)庫中明文存放用戶密碼、個人信息等敏感數(shù)據(jù)。

[1]袁津生，吳硯農(nóng). 計算機網(wǎng)絡安全基礎[M].人民郵電出版社：2018.

[2]劉長建.企業(yè)防御DDoS攻擊需要多管齊下[J].計算機與網(wǎng)絡，2017，43（14）：54-55.

[3]張瑜.信息安全技術綜述[J].電子技術與軟件工程，2020（01）：243-244.