信息化網站系統建設中的安全方案探討

◆李大為

信息化網站系統建設中的安全方案探討

◆李大為

（中國科學技術館 北京 100012）

隨著信息技術的發展，網站安全問題越來越被重視，它包含于網站系統的全生命周期流程。本文主要介紹了在信息化網站系統的建設過程中，從使用HTTPS證書、CDN服務及滲透測試服務三個方面進行網站系統安全方案的考慮。根據實際系統建設項目經驗，提出網站系統建設時應重點提及的安全要求。

網站建設；信息化；安全方案

如今互聯網的發展帶動了各行各業的轉型和變革，“互聯網+”的概念深入人心，越來越多的公司嘗試通過網絡宣傳自己，提升服務能力，獲取更多客戶，各種各樣的網站應用應運而生。網絡科技發展的同時，也伴隨著各種攻擊、威脅和風險的發生。面對這些情況，企業更需要了解自身的安全狀況，在信息化網站系統建設時，要提前做好準備，防患于未然。

在信息化網站系統的建設過程中，可以從以下幾個方面來減少網站被攻擊的可能性。

1 使用HTTPS證書

HTTPS即超文本傳輸安全協議，是一種網絡安全傳輸協議。HTTPS協議是由SSL+HTTP協議構建的，可進行加密傳輸、身份認證的網絡協議，要比HTTP更安全，可以防止數據在傳輸過程中不被竊取、改變，確保數據的安全完整性[1]。

在網站安全防護中，HTTPS升級改造是不可避免地一環，如果能在網站建設初期就規劃好，可為之后的工作減少不必要的麻煩。使用HTTPS證書，一般分為三個步驟：

（1）申請證書，根據自身網站規模，購買合適的證書類型，一般分為DV域名型證書、OV企業型證書和EV增強型證書，常見的品牌有DigiCert、TrustAsia、GeoTrust等。

（2）安裝證書，在取得證書文件之后，需要根據不同的Web服務器，將證書文件拷貝到對應文件夾下，并修改相關配置文件。

（3）設置跳轉，當配置好HTTPS之后，對于一些還是可以直接訪問HTTP域名的用戶，這個時候就需要提前進行跳轉設置，當用戶訪問HTTP域名自動跳轉到HTTPS上。

2 使用CDN服務

CDN即內容分發網絡，是構建在現有網絡基礎之上的智能虛擬網絡，依靠部署在各地的邊緣服務器，使用戶就近獲取所需內容，降低網絡擁塞，提高用戶訪問響應速度[2]。包括分布式存儲、負載均衡、網絡請求的重定向和內容管理四個重要部分。

使用CDN服務不僅可以對網站內容進行加速，還能夠保護網絡安全，有效抵御不同類型DDoS、CC攻擊。通過修改網站域名解析，把網站域名解析到CDN的CNAME上，將服務器源碼IP地址隱藏于公網之后，從而使網絡黑客無法進行攻擊和滲透操作。通過策略設置，CDN的防御機制會自動識別是否為攻擊，如果檢測到了攻擊，就會自動進行清洗過濾。比如，檢查到同一IP地址長時間不停請求訪問一個地址，可以設置其每5分鐘只能連接一次。還可以通過黑名單設置，禁止某些IP地址的訪問。

3 進行滲透測試

滲透測試（Penetration Test）是指安全工程師完全模擬黑客可能使用的攻擊技術和漏洞發現技術，利用專業的安全掃描器和安全測試工具對目標系統做深入非破壞性探測，發現系統最脆弱的環節。

滲透測試服務能夠直觀地讓網站管理人員更好地知道自己網站所面臨的問題和安全風險，并對測試過程中發現的網站安全風險給出具體有效的修復建議，幫助解決網站中存在的安全問題。通過滲透測試服務可以發現邏輯性更強、更深層次的安全風險點。滲透測試的工作范圍主要包括：

（1）服務器操作系統滲透；

（2）數據庫系統滲透測試；

（3）WEB應用系統滲透；

（4）網絡設備滲透測試；

（5）弱口令猜解。

在網站上線前，進行一次完整的滲透測試是非常有必要的。幫助網站管理者提前發現問題，進行修復，能極大地減小安全隱患。另外，還可以安排定期進行滲透測試服務。隨著操作系統、中間件的版本升級，運維管理過程中，可能出現打補丁不及時、忘記升級軟件版本等情況，通過每年的滲透測試服務，可以及時發現系統存在的問題，保障網站安全穩定運行。

4 結語

信息化網站系統在安全方案設計時，要保證系統的安全性，具備安全管理機制，保證信息存儲安全、信息傳輸和處理安全，保證系統能夠正常運行，不被非授權訪問，不被攻擊破壞[3]。根據實際信息化系統項目建設經驗，在網站建設的要求，還應重點提及：

（1）確保軟件應用與個人信息安全，遵循軟件開發安全規范，防范XSS、SQL注入、頁面組件Bug、W eb 應用漏洞、用戶登錄與隱私信息泄露等安全問題。建立完善的日志管理，做到所有操作有據可查。

（2）控制上傳點，對于上傳文件類型進行嚴格控制（禁止用js 進行控制），同時上傳目錄不能有執行權限，原則上不允許有未經登錄驗證的上傳點；

（3）設置有效的身份認證、會話管理及訪問控制機制，防止越權、平行權限及提權等（禁止利用js 進行控制及驗證）。

（4）系統必須有密碼復雜度檢查模塊，密碼長度須大于8 位，含大小寫字母、數字及符號組合。

（5）禁止在數據庫中明文存放用戶密碼、個人信息等敏感數據。

[1]袁津生，吳硯農. 計算機網絡安全基礎[M].人民郵電出版社：2018.

[2]劉長建.企業防御DDoS攻擊需要多管齊下[J].計算機與網絡，2017，43（14）：54-55.

[3]張瑜.信息安全技術綜述[J].電子技術與軟件工程，2020（01）：243-244.