企業網站的安全架構設計與實現

劉環

摘要：企業網站在運行的過程中，時刻都面臨著各種安全問題。如何設計一套安全的企業網絡架構體系，成了企業面臨的重要問題。以企業網站為研究對象，在分析了企業網站當前面臨的安全問題的基礎上，從網站安全訪問與數據庫安全架構設計兩方面入手，對企業的網站進行了安全體系的設計與實現。

關鍵詞：企業網站;數據庫安全;防火墻

中圖分類號：TP393.092 ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）14-0019-02

Abstract： Enterprise websites are always faced with various security problems in the process of operation. How to design a secure enterprise network architecture system has become an important problem faced by enterprises. Based on the analysis of the current security problems faced by enterprise websites， this paper designs and implements the security system of enterprise websites from two aspects： website security access and database security architecture design.

Key words： enterprise website; database security; firewall

隨著網絡化和信息化的快速發展，網站建設已經成為企業發展的一項重要工作。企業網站在辦公、員工信息交流、企業管理以及企業對外合作的過程中的都發揮著重要的作用。網站因為具有互聯性和開放性，所以網站時刻都面臨著來自內、外部的安全威脅[1]。此外，網站病毒和黑客技術對網站的攻擊性具有隱蔽性強、傳播速度快、破壞力強等特點，只依靠單一的安全手段，已經無法適應當前的網站安全需求[2]。企業網站安全的核心問題是安全訪問與數據庫安全，所以以安全訪問和數據庫安全為研究基礎，設計一套安全的企業網絡架構體系，已經成了企業網站的一項重要任務。

1 網站安全訪問體系架構設計

1.1 認證加密技術運用

本文設計的方案采用DES技術進行加密認證，通過DES算法對登錄企業網站的用戶認證，并對傳輸的數據也進行加密，這樣可以防止傳輸數據被竊聽或者被竊取。認證過程主要有四個步驟，通過Challenge-Response方法實現重放攻擊的抵抗，認證算法過程如圖1所示。

在認證過程中，客戶首先向服務器發送認證請求，接著服務器對于認證請求產生一個隨機數據，并將隨機數據傳送給網絡請求用戶。網絡請求用戶用使用自己的私鑰對服務器傳來的隨機數進行簽名，并把簽名結果再次傳送給服務器，最后服務器對網絡用戶的簽名進行效驗，并且返回認證結果。

1.2 路由器訪問控制

通過路由器的訪問控制可以提高企業網絡的安全性。在數據傳輸過程中，路由器通過訪問列表[access-list]命令來實現對包過濾規則的設置，訪問列表通常是一組由permit（允許）語句和Denial（拒絕）語句組成，通過這組列表對進、出路由器的數據過濾和規范。路由器的訪問列表語法規則如下：

1.3 監控與入侵偵測

為了增強企業關鍵數據和應用程序的安全性，本文設計方案在企業的每個服務器網段都裝置了入侵檢測系統，通過入侵檢測系統可以及時發現來自外部和內部的非法訪問行為[3]。入侵檢測系統要放在企業敏感數據的網絡段上，通過入侵檢測系統可以對訪問服務器的用戶進行實時截獲網絡數據流，并記錄入侵和破壞性的代碼流，從而可以阻止無授權用戶的網絡訪問。網絡入侵偵測系統組成如圖2所示。

入侵檢測系統的引入，可以對企業網絡的重要出口、重要服務器、以及內部重要網段和數據中心實現實時監控，從而達到保護企業重要信息和數據的作用。入侵偵測系統的功能結構如圖3所示。

1.4 防火墻技術設計

防火墻可以實現對網絡的隔離，對進、出的數據進行訪問控制。在對防火墻的設置和運用過程中，嚴格根據企業員工的需求進行控制，實現對網絡數據包的有效控制，確保企業辦公網絡和企業的其他重要網絡資源的訪問安全。

2 網站數據庫安全架構設計

2.1 數據庫配置

數據庫是企業網站的重要部分，對于數據庫的防御是企業網站防御的重點。企業網站數據庫大多選擇的是SQL Server數據庫，為了保證數據庫的安全，在數據庫的配置之前，本文設計方案對企業網站的數據庫服務器從四個方面進行了安全配置。

1）密碼策略

對于SQL Server的密碼配置是數據庫安全策略配置的第一步，如果SQL Server數據庫賬號和密碼設置很簡單，就很容易被攻擊者猜到進行入侵破壞。SQL Server中的sa賬號是系統中的默認管理員賬號，這個賬號密碼需要嚴格保密，不能在任何計算機系統內部出現。由于SQL Server中 sa用戶是系統默認超級用戶，不能更改，也無法刪除這個，所以對于企業網站服務器數據庫賬號，只有在特殊情況，在使用其他方法登錄到SQL Server實例時才可以使用sa賬號。

2）協議加密策略

因為企業網站的數據庫使用Tabular Data Stream協議對網絡數據進行交換，所以使用SSL加密協議可以實現對數據的加密，這樣就可以避免企業網站在網絡數據傳輸中使用明文，從而避免造成密碼和數據庫內容的泄漏。

3）設置TCP/IP端口策略

因為在默認情況下，SQL Server使用1433端口進行監聽，所以企業網站服務器需要將1433端口進行改變。另外，在設置企業網站服務器TCP/IP協議的屬性時，本文設計方案采用了隱藏SQL Server實例的方法，這樣可以禁止客戶端發出的任何廣播響應。

2.2 數據備份

數據庫備份是數據庫維護的重要工作之一，通過對企業網站的數據庫備份可以在企業網站系統出現癱瘓或者災難性事件時做到及時恢復，使企業網站的損失降低到最低。在SQL Server 數據庫中本身就帶著備份功能，本文的設計方案采用了自動備份的方式。

2.3 做好網站服務器的日志備份

對于企業網站服務器的日志備份工作，本文的設計方案提出了四點設計要求，第一在企業網站的運行過程中，要采用一臺分離的主機專門記錄服務器的日志工作。第二要創建一個企業網站數據庫，用來存儲用戶的日志信息，這個數據庫可以允許用戶對數據的進行添加和讀取操作，但拒絕對數據庫中的記錄進行修改和刪除等操作。第三點是為了避免企業網站服務器的日志被篡改，要在日志的每一個條目上加蓋時間戳，這樣可以確保任何用戶都無法在當前時間之前對日志進行任何的操作。第四是在對企業網站日志進行提取操作時，除了要在BACKUP文件夾中保存日志，還要將日志文件自動備份到服務器的其他分區中，這樣可以有效地避免系統在破壞后無法恢復的情況。

3 結束語

企業網站的安全重點內容就是訪問體系和數據庫體系。本文從安全訪問和數據庫的安全入手，以企業網站安全為主要目標，對企業網站在運行過程中的物理層、網絡層、系統層、應用層以及管理層存在的問題，并結合企業網站安全方案設計為具體實例進行分析后，提出了企業網站的安全架構體系設計方案。該方案可以較好地解決企業網站在運行中的安全問題，給企業網站的管理人員提供了一個安全網站的運行方案。

參考文獻：

[1] 劉書昆. Web網站安全及關鍵技術[J]. 電子技術與軟件工程， 2018， 18（4）： 216-217.

[2] 呂金和. 學校門戶網站等級保護思考[J]. 網絡安全和信息化， 2017， 17（2）： 91-95.

[3] 王穎. 網站安全隱患及應對策略分析[J]. 中國管理信息化， 2018， 21（14）： 141-142.

【通聯編輯：謝媛媛】