企業(yè)網(wǎng)站的安全架構(gòu)設(shè)計與實現(xiàn)

王有斌

摘要：本文從網(wǎng)絡(luò)安全訪問體系以及網(wǎng)絡(luò)數(shù)據(jù)庫安全兩個方面對企業(yè)網(wǎng)站的安全架構(gòu)設(shè)計進行研究和分析，以供相關(guān)人員進行參考。

關(guān)鍵詞：企業(yè)網(wǎng)站;安全架構(gòu)設(shè)計;數(shù)據(jù)庫安全

中圖分類號：TP393.18 文獻標(biāo)識碼：A 文章編號：1007-9416（2019）06-0182-01

0 引言

在網(wǎng)絡(luò)信息技術(shù)進步發(fā)展的同時，網(wǎng)站建設(shè)已成為企業(yè)建設(shè)發(fā)展過程中的重要工作之一。企業(yè)網(wǎng)站能夠為內(nèi)部信息交流提供有效途徑，同時對于企業(yè)管理以及對外合作等方面都有著十分重要的作用。網(wǎng)站具備相應(yīng)的開放性與互聯(lián)性，因此也就面臨著相應(yīng)的安全威脅。同時，隨著信息技術(shù)的不斷發(fā)展，病毒以及黑客攻擊的傳播速度更快、隱蔽性與破壞力也都更強，單純憑借傳統(tǒng)的安全防范手段已經(jīng)無法滿足目前的實際安全需求。安全訪問以及數(shù)據(jù)庫安全作為企業(yè)網(wǎng)站安全的關(guān)鍵部分，本文也正是對此方面進行研究，旨在促進企業(yè)網(wǎng)站的安全建設(shè)。

1 網(wǎng)站安全訪問體系架構(gòu)設(shè)計

1.1 認(rèn)證加密技術(shù)

本次設(shè)計在加密認(rèn)證方面所采用的DES技術(shù)，利用DES算法對企業(yè)網(wǎng)站的登錄用戶進行認(rèn)證，同時對傳輸數(shù)據(jù)進行加密，如此一來，能夠有效避免數(shù)據(jù)在傳輸過程中被竊聽或竊取。對于認(rèn)證流程而言，主要包括四個環(huán)節(jié)，利用Challenge-Response方法來抵抗相應(yīng)的攻擊，具體的認(rèn)證算法流程如圖1所示[1]。

用戶先向服務(wù)器認(rèn)證并發(fā)送請求，針對此認(rèn)證請求服務(wù)器會生成相應(yīng)的隨機數(shù)據(jù)，同時將其傳輸給請求用戶。用戶方面可以利用自己的私鑰對服務(wù)器傳送的隨機數(shù)據(jù)進行簽名，并在將結(jié)果傳送到服務(wù)器，最后服務(wù)器來校驗用戶信息，并將最終認(rèn)證結(jié)果進行反饋。

1.2 路由器訪問控制

在數(shù)據(jù)進行傳輸?shù)倪^程中，路由器首先要對包過濾規(guī)則進行設(shè)置，對于訪問列表而言，一般是由permit語句和Denial語句而構(gòu)成，利用列表對進入或輸出路由器的數(shù)據(jù)信息進行全面的過濾。以下為路由器訪問列表的語法規(guī)則：

Aceess - list[100 -199] [Permitldeny] [Protocoll Protocolkeyword]

[sources-wildeardlany] [soureePort]

[destinationdestination-ildeardlany] [destinationPort][oPtions]

1.3 監(jiān)控與監(jiān)測入侵

為了能夠提升企業(yè)重要數(shù)據(jù)信息以及相關(guān)應(yīng)用程序的安全，本次設(shè)計將入侵檢測系統(tǒng)安裝在每個服務(wù)器網(wǎng)段，利用入侵檢測系統(tǒng)在第一時間判斷是否存在非法訪問的情況。對于入侵檢測系統(tǒng)而言，要將其安裝在較為敏感數(shù)據(jù)的網(wǎng)絡(luò)段上，利用此系統(tǒng)能夠?qū)υL用戶的網(wǎng)絡(luò)數(shù)據(jù)流進行實時的截獲，同時對入侵和破壞性的代碼流進行記錄，以此攔截未得到授權(quán)的網(wǎng)絡(luò)訪問行為。引入并合理利用入侵檢測系統(tǒng)，能夠?qū)ζ髽I(yè)網(wǎng)絡(luò)的重要出口、服務(wù)器、內(nèi)部網(wǎng)段以及數(shù)據(jù)中心進行全面、實時的監(jiān)控，以此對企業(yè)的重要數(shù)據(jù)信息進行全面的保護。

1.4 防火墻技術(shù)

防火墻能夠?qū)W(wǎng)絡(luò)進行有效的隔離，對進入和輸出的數(shù)據(jù)信息進行訪問控制。對于防火墻而言，對其進行設(shè)置以及實際使用的過程中，要充分結(jié)合企業(yè)實際需求對其進行合理的控制，以此來控制網(wǎng)絡(luò)數(shù)據(jù)包，從而為企業(yè)辦公網(wǎng)絡(luò)以及企業(yè)其他網(wǎng)絡(luò)資源的訪問安全提供良好保障。

2 網(wǎng)站數(shù)據(jù)庫安全架構(gòu)設(shè)計

2.1 數(shù)據(jù)庫配置

數(shù)據(jù)庫作為企業(yè)網(wǎng)站的重要組成部分，要想做好企業(yè)網(wǎng)站的安全工作，就需要加強對數(shù)據(jù)庫安全的重視程度。大部分企業(yè)網(wǎng)站數(shù)據(jù)庫都是SQL Server數(shù)據(jù)庫，為了能夠確保數(shù)據(jù)庫安全，在配置數(shù)據(jù)庫的方面，本次設(shè)計針對企業(yè)網(wǎng)站進行了如下幾個方面的安全配置[2]：

（1）密碼。對于SQL Server而言，首先要對密碼進行合理配置，以此確保數(shù)據(jù)庫的安全，如果數(shù)據(jù)庫的賬號及密碼在設(shè)置上較為簡單，就比較容易被攻擊者破解，為其攻擊和破壞行為提供便利。數(shù)據(jù)庫中的sa賬號作為系統(tǒng)管理員賬號，對此賬號和密碼要進行嚴(yán)格的保密，在所有的計算機系統(tǒng)中都不要出現(xiàn)。因為數(shù)據(jù)庫中s a用戶是系統(tǒng)自身所默認(rèn)的超級用戶，無法對其身份進行更改，更無法刪除，因此在企業(yè)網(wǎng)站服務(wù)器數(shù)據(jù)庫的賬號方面，只有發(fā)生了極特殊的情況，需要通過其他方式來登錄SQL Server時，在正確使用sa賬號。

（2）協(xié)議加密。由于企業(yè)網(wǎng)站的數(shù)據(jù)庫中通常使用Tabular Data Stream協(xié)議，以此來交換網(wǎng)絡(luò)數(shù)據(jù)信息，因此巧妙利用SSL加密協(xié)議能夠?qū)?shù)據(jù)信息進行更為嚴(yán)謹(jǐn)?shù)募用?，如此一來，就可以避免在傳輸網(wǎng)絡(luò)數(shù)據(jù)信息的過程中使用明文，從而防止密碼以及數(shù)據(jù)庫內(nèi)容泄漏等安全問題的產(chǎn)生。

（3）設(shè)置TCP/IP端口。如果基于默認(rèn)情況，SQL Server會利用1433端口來開展監(jiān)聽工作，因此，企業(yè)網(wǎng)站服務(wù)器要根據(jù)實際情況對1433端口進行改變。除此之外，在對企業(yè)網(wǎng)站服務(wù)器TCP/IP協(xié)議屬性進行設(shè)置時，本次設(shè)計通過隱藏SQL Server實例的方式，來對上述內(nèi)容進行設(shè)置。如此一來便能夠限制客戶端，使其無法發(fā)送任何的廣播響應(yīng)。

2.2 數(shù)據(jù)備份

在對數(shù)據(jù)庫進行維護的過程中，要針對數(shù)據(jù)庫的實際情況，開展備份工作。對數(shù)據(jù)庫進行備份能夠在企業(yè)網(wǎng)站癱瘓或發(fā)生嚴(yán)重問題時在第一時間對其恢復(fù)，從而降低企業(yè)網(wǎng)站的實際損失。SQL Server 數(shù)據(jù)庫自身具有備份功能，本次設(shè)計使用的是自動備份的方法。

2.3 加強網(wǎng)站服務(wù)器的日志備份

（1）在企業(yè)網(wǎng)站的實際運行過程中，利用一臺分離的主機對服務(wù)器的日志進行針對性的記錄和整理。（2）構(gòu)建并完善企業(yè)網(wǎng)站的數(shù)據(jù)庫，從而將用戶的日志儲存在其中，可以允許用戶在此數(shù)據(jù)庫中開展添加或讀取等相關(guān)操作，但拒絕用戶進行修改或刪除等相關(guān)操作。（3）為了防止網(wǎng)站服務(wù)器中的日志出現(xiàn)被篡改的情況，需要根據(jù)日志的具體情況，在所有條目中蓋上時間戳。（4）在提取或?qū)W(wǎng)站日志進行相關(guān)操作時，除了要將日志信息保存在BACKUP文件夾中，還要安排自動備份工作，使得日志可以在服務(wù)器的其他分區(qū)進行呈現(xiàn)，防止系統(tǒng)在遭受破壞以后產(chǎn)生無法恢復(fù)的現(xiàn)象。

3 結(jié)語

綜上所述，對于企業(yè)網(wǎng)站而言，其安全工作中的重點內(nèi)容就是訪問體系和數(shù)據(jù)庫體系。本次設(shè)計的方案能夠有效解決企業(yè)網(wǎng)站在實際運行過程中存在的安全問題，具有一定的參考和借鑒價值，企業(yè)網(wǎng)站的管理人員可以根據(jù)自身企業(yè)的實際情況，合理運用本文所設(shè)計的網(wǎng)站安全運行方案。

參考文獻

[1] 馬銘惠.電商企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)的研究與設(shè)計[J].電腦知識與技術(shù)，2017（29）：299-300.

[2] 敖磊，魏煜宸.企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計[J].網(wǎng)絡(luò)空間安全，2017（Z2）：70-72.

Design and Implementation of Security Architecture of Enterprise Website

WANG You-bin

（Jiangnan University，Wuxi Jiangsu? 214122）

Abstract：This paper studies and analyses the design of enterprise website security architecture from two aspects network security access system and network database security， for the reference of relevant personnel.

Key words：enterprise website; security architecture design; database security