企業網站的安全架構設計與實現

王有斌

摘要：本文從網絡安全訪問體系以及網絡數據庫安全兩個方面對企業網站的安全架構設計進行研究和分析，以供相關人員進行參考。

關鍵詞：企業網站;安全架構設計;數據庫安全

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9416（2019）06-0182-01

0 引言

在網絡信息技術進步發展的同時，網站建設已成為企業建設發展過程中的重要工作之一。企業網站能夠為內部信息交流提供有效途徑，同時對于企業管理以及對外合作等方面都有著十分重要的作用。網站具備相應的開放性與互聯性，因此也就面臨著相應的安全威脅。同時，隨著信息技術的不斷發展，病毒以及黑客攻擊的傳播速度更快、隱蔽性與破壞力也都更強，單純憑借傳統的安全防范手段已經無法滿足目前的實際安全需求。安全訪問以及數據庫安全作為企業網站安全的關鍵部分，本文也正是對此方面進行研究，旨在促進企業網站的安全建設。

1 網站安全訪問體系架構設計

1.1 認證加密技術

本次設計在加密認證方面所采用的DES技術，利用DES算法對企業網站的登錄用戶進行認證，同時對傳輸數據進行加密，如此一來，能夠有效避免數據在傳輸過程中被竊聽或竊取。對于認證流程而言，主要包括四個環節，利用Challenge-Response方法來抵抗相應的攻擊，具體的認證算法流程如圖1所示[1]。

用戶先向服務器認證并發送請求，針對此認證請求服務器會生成相應的隨機數據，同時將其傳輸給請求用戶。用戶方面可以利用自己的私鑰對服務器傳送的隨機數據進行簽名，并在將結果傳送到服務器，最后服務器來校驗用戶信息，并將最終認證結果進行反饋。

1.2 路由器訪問控制

在數據進行傳輸的過程中，路由器首先要對包過濾規則進行設置，對于訪問列表而言，一般是由permit語句和Denial語句而構成，利用列表對進入或輸出路由器的數據信息進行全面的過濾。以下為路由器訪問列表的語法規則：

Aceess - list[100 -199] [Permitldeny] [Protocoll Protocolkeyword]

[sources-wildeardlany] [soureePort]

[destinationdestination-ildeardlany] [destinationPort][oPtions]

1.3 監控與監測入侵

為了能夠提升企業重要數據信息以及相關應用程序的安全，本次設計將入侵檢測系統安裝在每個服務器網段，利用入侵檢測系統在第一時間判斷是否存在非法訪問的情況。對于入侵檢測系統而言，要將其安裝在較為敏感數據的網絡段上，利用此系統能夠對訪用戶的網絡數據流進行實時的截獲，同時對入侵和破壞性的代碼流進行記錄，以此攔截未得到授權的網絡訪問行為。引入并合理利用入侵檢測系統，能夠對企業網絡的重要出口、服務器、內部網段以及數據中心進行全面、實時的監控，以此對企業的重要數據信息進行全面的保護。

1.4 防火墻技術

防火墻能夠對網絡進行有效的隔離，對進入和輸出的數據信息進行訪問控制。對于防火墻而言，對其進行設置以及實際使用的過程中，要充分結合企業實際需求對其進行合理的控制，以此來控制網絡數據包，從而為企業辦公網絡以及企業其他網絡資源的訪問安全提供良好保障。

2 網站數據庫安全架構設計

2.1 數據庫配置

數據庫作為企業網站的重要組成部分，要想做好企業網站的安全工作，就需要加強對數據庫安全的重視程度。大部分企業網站數據庫都是SQL Server數據庫，為了能夠確保數據庫安全，在配置數據庫的方面，本次設計針對企業網站進行了如下幾個方面的安全配置[2]：

（1）密碼。對于SQL Server而言，首先要對密碼進行合理配置，以此確保數據庫的安全，如果數據庫的賬號及密碼在設置上較為簡單，就比較容易被攻擊者破解，為其攻擊和破壞行為提供便利。數據庫中的sa賬號作為系統管理員賬號，對此賬號和密碼要進行嚴格的保密，在所有的計算機系統中都不要出現。因為數據庫中s a用戶是系統自身所默認的超級用戶，無法對其身份進行更改，更無法刪除，因此在企業網站服務器數據庫的賬號方面，只有發生了極特殊的情況，需要通過其他方式來登錄SQL Server時，在正確使用sa賬號。

（2）協議加密。由于企業網站的數據庫中通常使用Tabular Data Stream協議，以此來交換網絡數據信息，因此巧妙利用SSL加密協議能夠對數據信息進行更為嚴謹的加密，如此一來，就可以避免在傳輸網絡數據信息的過程中使用明文，從而防止密碼以及數據庫內容泄漏等安全問題的產生。

（3）設置TCP/IP端口。如果基于默認情況，SQL Server會利用1433端口來開展監聽工作，因此，企業網站服務器要根據實際情況對1433端口進行改變。除此之外，在對企業網站服務器TCP/IP協議屬性進行設置時，本次設計通過隱藏SQL Server實例的方式，來對上述內容進行設置。如此一來便能夠限制客戶端，使其無法發送任何的廣播響應。

2.2 數據備份

在對數據庫進行維護的過程中，要針對數據庫的實際情況，開展備份工作。對數據庫進行備份能夠在企業網站癱瘓或發生嚴重問題時在第一時間對其恢復，從而降低企業網站的實際損失。SQL Server 數據庫自身具有備份功能，本次設計使用的是自動備份的方法。

2.3 加強網站服務器的日志備份

（1）在企業網站的實際運行過程中，利用一臺分離的主機對服務器的日志進行針對性的記錄和整理。（2）構建并完善企業網站的數據庫，從而將用戶的日志儲存在其中，可以允許用戶在此數據庫中開展添加或讀取等相關操作，但拒絕用戶進行修改或刪除等相關操作。（3）為了防止網站服務器中的日志出現被篡改的情況，需要根據日志的具體情況，在所有條目中蓋上時間戳。（4）在提取或對網站日志進行相關操作時，除了要將日志信息保存在BACKUP文件夾中，還要安排自動備份工作，使得日志可以在服務器的其他分區進行呈現，防止系統在遭受破壞以后產生無法恢復的現象。

3 結語

綜上所述，對于企業網站而言，其安全工作中的重點內容就是訪問體系和數據庫體系。本次設計的方案能夠有效解決企業網站在實際運行過程中存在的安全問題，具有一定的參考和借鑒價值，企業網站的管理人員可以根據自身企業的實際情況，合理運用本文所設計的網站安全運行方案。

參考文獻

[1] 馬銘惠.電商企業網絡安全體系架構的研究與設計[J].電腦知識與技術，2017（29）：299-300.

[2] 敖磊，魏煜宸.企業網絡安全架構設計[J].網絡空間安全，2017（Z2）：70-72.

Design and Implementation of Security Architecture of Enterprise Website

WANG You-bin

（Jiangnan University，Wuxi Jiangsu? 214122）

Abstract：This paper studies and analyses the design of enterprise website security architecture from two aspects network security access system and network database security， for the reference of relevant personnel.

Key words：enterprise website; security architecture design; database security