淺議從網站安全角度中小企業建立門戶網站的策略

李惠

摘 要：本文主要討論中小企業門戶網站在建設到運營期間，將面臨的網絡威脅，以及針對于各種威脅所做的安全策略的設計。

關鍵詞：中小企業；門戶網站；網絡威脅

DOI：10.16640/j.cnki.37-1222/t.2017.14.118

隨著互聯網時代的深入，企業門戶網站的建設已經變的很普遍也極其必要，但由于企業選擇的不同建站方式，網站的結構與技術水平有相當大的差異，各中對于網站宣傳作用的影響主要受制于內容、結構的設計，但一個不可忽視的問題：網站安全也隨之浮出水面，不得不引起我們的重視。

網站安全對于企業門戶網站而言，主要體現在兩個方面：既系統安全與數據安全。前者保障網站系統的穩定工作，不會因為某種事件導致網站系統的崩潰，從而中斷網站的運營，影響用戶及客戶的訪問，進而妨礙企業的正常宣傳和具體業務。后者保障網站上的企業及客戶的數據不被惡意的刪除、篡改、竊取和盜鏈，或因各種原因導致數據的丟失和損毀。這里單獨解釋一下盜鏈的定義與危害，盜鏈簡單的說即是未經企業的許可將將企業網站中的部分數據引用至其它的網站，可以這樣理解：如果整個網站被引用，這是對企業的有益引用，我們所指的盜鏈是局部數據的盜引（如對于旅游網站的圖片和線路的引用；對于內容服務類企業網站中內容的引用）。這種引用會導致兩方面的后果：一方面是企業的創意和業務數據被盜用和濫用，另一方面大量的盜鏈會導致網站的帶寬被引用的網站訪客所占用，致使網站訪問速度變慢，影響正常的訪問速度及網站的穩定性。

下面我們將從建站模式的選擇，網站運營平臺的選擇，主要的安全策略，維護中的注意事項幾個方面加以詳細的討論。

1 建站模式的選擇

首先是建站團隊的選擇，主要是三種情況：1）建站服務商，優點是技術成熟，團隊穩定，售前售后服務好，開發經驗充足，缺點是成本較高，這種開發團隊適合企業規模較大，對網站的穩定性和性能要求較高的企業；2）企業內部技術員工，優點是對企業情況及需求較為了解，開發成本低，缺點是沒有完整的項目規程和成熟的開發經驗，這種開發模式適合擁有獨立技術部門且對網站安全性要求不高的企業；3）獨立開發者，主要是淘寶或技術群中專門從事網站開發的專門獨立技術提供者，優點是專業水平和服務尚可，開發成本較低，缺點是團隊穩定性差，比較適合微小企業。

這里面涉及具體的有關于網站安全的是網站模式的選擇，常用的是B/S（瀏覽器-服務器）結構，B/S結構的特點是所有的數據和程序在服務器端存儲和運行，這種結構兼容性非常好，能在各種操作系統和瀏覽器以及移動終端上打開，有利于企業的宣傳。也因為如此，大量的并行訪問也對B/S結構對于服務器性能和穩定性提出了較高要求。建議有條件采用獨立服務器的企業，選用性能配比較高的刀片式服務器，常用的服務器有IBM公司和康柏公司的服務器。

網站開發語言常用的有ASP、JSP和.Net，ASP（Active Server Pages）活動交互服務模式，便于發開和維護，支持多種即時翻譯程序。.net是ASP的擴展應用，提高了網站程序和代碼的安全性和穩定性。Jsp（Java Server Pages），是基于JAVA語言和小程序的，與標記語言（HTML）相結合的，通過性較強的活動網頁開發技術。開發團隊可以結合開發成本、企業需求和安全需求三方面來進行選擇。

2 網站運行平臺的選擇

企業的網站需要24小時的運行，這就需要一個穩定的運行平臺，關于軟件環境這是需要網站開發團隊來制定，主要是操作系統，目前流行的是windows2008，及數據庫系統，目前主要以SQL和ORACLE為主。本文主要討論企業建站應該選用什么樣的硬件平臺。目前主要的模式是獨立主機和虛擬空間兩種。獨立主機是只獨立架設一臺網站服務器，優點在于便于管理與維護，擴容性強；缺點是費用較高，維護成本高，技術要求高，適用于企業規模較大，網站結構宏大，功能全面，訪問量大的環境。虛擬空間是指在服務提供商的主機中劃出虛擬空間來運行企業的網站，優點是成本低，缺點是容量有限，訪問速度受限，可擴容性差，適用于小微企業的功能單一的展示型網站。

3 主要安全策略

企業網站運行中主要的安全策略包括軟件和硬件兩個方面。硬件方面，建議在主交換下裝配IPS（入侵檢測系統），以及硬件防火墻。較大型的企業要將辦公網絡劃制網段。軟件方面除要為服務器裝配軟件防火墻，專業級別的服務器殺毒軟件外，還要對數據庫系統進行雙機熱備份，或采用SCSI陣列2或5，以保證數據安全。

4 系統維護策略

網站系統需要長期穩定的運行環境，這種環境的營造一方面靠前期建站的總體設計，另一方面后期維護也很重要。

對于獨立主機架設的網站服務器而言，維護相對復雜，所以本文以此為例。

首先維護人員應當定期檢查IPS及防火墻的日志記錄，發現有無異常數據。然后是對系統進行備份，對數據庫操作日志進行檢測，發現異常操作。對防火墻和殺毒軟件系統進行定期升級。

系統維護人員也應當建立完善的維護日志，以便于系統故障后的原因排查，以及維護人員更換和交接后，能迅速了解網站的工作狀態和歷史情況。

綜上所述，中小企業建設一個適合自身的網站，除了目標需求外，要充分考慮網站的安全性，限于水平，此文論述尚有許多不足，望讀者批評指正。

參考文獻：

[1]邱文軍，華中平.計算機網絡系統安全維護研究[J].信息安全，2007（09）：111-112.