王有斌

摘要：本文從網(wǎng)絡(luò)安全訪問(wèn)體系以及網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全兩個(gè)方面對(duì)企業(yè)網(wǎng)站的安全架構(gòu)設(shè)計(jì)進(jìn)行研究和分析，以供相關(guān)人員進(jìn)行參考。

關(guān)鍵詞：企業(yè)網(wǎng)站;安全架構(gòu)設(shè)計(jì);數(shù)據(jù)庫(kù)安全

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）06-0182-01

0 引言

在網(wǎng)絡(luò)信息技術(shù)進(jìn)步發(fā)展的同時(shí)，網(wǎng)站建設(shè)已成為企業(yè)建設(shè)發(fā)展過(guò)程中的重要工作之一。企業(yè)網(wǎng)站能夠?yàn)閮?nèi)部信息交流提供有效途徑，同時(shí)對(duì)于企業(yè)管理以及對(duì)外合作等方面都有著十分重要的作用。網(wǎng)站具備相應(yīng)的開(kāi)放性與互聯(lián)性，因此也就面臨著相應(yīng)的安全威脅。同時(shí)，隨著信息技術(shù)的不斷發(fā)展，病毒以及黑客攻擊的傳播速度更快、隱蔽性與破壞力也都更強(qiáng)，單純憑借傳統(tǒng)的安全防范手段已經(jīng)無(wú)法滿足目前的實(shí)際安全需求。安全訪問(wèn)以及數(shù)據(jù)庫(kù)安全作為企業(yè)網(wǎng)站安全的關(guān)鍵部分，本文也正是對(duì)此方面進(jìn)行研究，旨在促進(jìn)企業(yè)網(wǎng)站的安全建設(shè)。

1 網(wǎng)站安全訪問(wèn)體系架構(gòu)設(shè)計(jì)

1.1 認(rèn)證加密技術(shù)

本次設(shè)計(jì)在加密認(rèn)證方面所采用的DES技術(shù)，利用DES算法對(duì)企業(yè)網(wǎng)站的登錄用戶進(jìn)行認(rèn)證，同時(shí)對(duì)傳輸數(shù)據(jù)進(jìn)行加密，如此一來(lái)，能夠有效避免數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)或竊取。對(duì)于認(rèn)證流程而言，主要包括四個(gè)環(huán)節(jié)，利用Challenge-Response方法來(lái)抵抗相應(yīng)的攻擊，具體的認(rèn)證算法流程如圖1所示[1]。

用戶先向服務(wù)器認(rèn)證并發(fā)送請(qǐng)求，針對(duì)此認(rèn)證請(qǐng)求服務(wù)器會(huì)生成相應(yīng)的隨機(jī)數(shù)據(jù)，同時(shí)將其傳輸給請(qǐng)求用戶。用戶方面可以利用自己的私鑰對(duì)服務(wù)器傳送的隨機(jī)數(shù)據(jù)進(jìn)行簽名，并在將結(jié)果傳送到服務(wù)器，最后服務(wù)器來(lái)校驗(yàn)用戶信息，并將最終認(rèn)證結(jié)果進(jìn)行反饋。

1.2 路由器訪問(wèn)控制

在數(shù)據(jù)進(jìn)行傳輸?shù)倪^(guò)程中，路由器首先要對(duì)包過(guò)濾規(guī)則進(jìn)行設(shè)置，對(duì)于訪問(wèn)列表而言，一般是由permit語(yǔ)句和Denial語(yǔ)句而構(gòu)成，利用列表對(duì)進(jìn)入或輸出路由器的數(shù)據(jù)信息進(jìn)行全面的過(guò)濾。以下為路由器訪問(wèn)列表的語(yǔ)法規(guī)則：

Aceess - list[100 -199] [Permitldeny] [Protocoll Protocolkeyword]

[sources-wildeardlany] [soureePort]

[destinationdestination-ildeardlany] [destinationPort][oPtions]

1.3 監(jiān)控與監(jiān)測(cè)入侵

為了能夠提升企業(yè)重要數(shù)據(jù)信息以及相關(guān)應(yīng)用程序的安全，本次設(shè)計(jì)將入侵檢測(cè)系統(tǒng)安裝在每個(gè)服務(wù)器網(wǎng)段，利用入侵檢測(cè)系統(tǒng)在第一時(shí)間判斷是否存在非法訪問(wèn)的情況。對(duì)于入侵檢測(cè)系統(tǒng)而言，要將其安裝在較為敏感數(shù)據(jù)的網(wǎng)絡(luò)段上，利用此系統(tǒng)能夠?qū)υL用戶的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)的截獲，同時(shí)對(duì)入侵和破壞性的代碼流進(jìn)行記錄，以此攔截未得到授權(quán)的網(wǎng)絡(luò)訪問(wèn)行為。引入并合理利用入侵檢測(cè)系統(tǒng)，能夠?qū)ζ髽I(yè)網(wǎng)絡(luò)的重要出口、服務(wù)器、內(nèi)部網(wǎng)段以及數(shù)據(jù)中心進(jìn)行全面、實(shí)時(shí)的監(jiān)控，以此對(duì)企業(yè)的重要數(shù)據(jù)信息進(jìn)行全面的保護(hù)。

1.4 防火墻技術(shù)

防火墻能夠?qū)W(wǎng)絡(luò)進(jìn)行有效的隔離，對(duì)進(jìn)入和輸出的數(shù)據(jù)信息進(jìn)行訪問(wèn)控制。對(duì)于防火墻而言，對(duì)其進(jìn)行設(shè)置以及實(shí)際使用的過(guò)程中，要充分結(jié)合企業(yè)實(shí)際需求對(duì)其進(jìn)行合理的控制，以此來(lái)控制網(wǎng)絡(luò)數(shù)據(jù)包，從而為企業(yè)辦公網(wǎng)絡(luò)以及企業(yè)其他網(wǎng)絡(luò)資源的訪問(wèn)安全提供良好保障。

2 網(wǎng)站數(shù)據(jù)庫(kù)安全架構(gòu)設(shè)計(jì)

2.1 數(shù)據(jù)庫(kù)配置

數(shù)據(jù)庫(kù)作為企業(yè)網(wǎng)站的重要組成部分，要想做好企業(yè)網(wǎng)站的安全工作，就需要加強(qiáng)對(duì)數(shù)據(jù)庫(kù)安全的重視程度。大部分企業(yè)網(wǎng)站數(shù)據(jù)庫(kù)都是SQL Server數(shù)據(jù)庫(kù)，為了能夠確保數(shù)據(jù)庫(kù)安全，在配置數(shù)據(jù)庫(kù)的方面，本次設(shè)計(jì)針對(duì)企業(yè)網(wǎng)站進(jìn)行了如下幾個(gè)方面的安全配置[2]：

（1）密碼。對(duì)于SQL Server而言，首先要對(duì)密碼進(jìn)行合理配置，以此確保數(shù)據(jù)庫(kù)的安全，如果數(shù)據(jù)庫(kù)的賬號(hào)及密碼在設(shè)置上較為簡(jiǎn)單，就比較容易被攻擊者破解，為其攻擊和破壞行為提供便利。數(shù)據(jù)庫(kù)中的sa賬號(hào)作為系統(tǒng)管理員賬號(hào)，對(duì)此賬號(hào)和密碼要進(jìn)行嚴(yán)格的保密，在所有的計(jì)算機(jī)系統(tǒng)中都不要出現(xiàn)。因?yàn)閿?shù)據(jù)庫(kù)中s a用戶是系統(tǒng)自身所默認(rèn)的超級(jí)用戶，無(wú)法對(duì)其身份進(jìn)行更改，更無(wú)法刪除，因此在企業(yè)網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)的賬號(hào)方面，只有發(fā)生了極特殊的情況，需要通過(guò)其他方式來(lái)登錄SQL Server時(shí)，在正確使用sa賬號(hào)。

（2）協(xié)議加密。由于企業(yè)網(wǎng)站的數(shù)據(jù)庫(kù)中通常使用Tabular Data Stream協(xié)議，以此來(lái)交換網(wǎng)絡(luò)數(shù)據(jù)信息，因此巧妙利用SSL加密協(xié)議能夠?qū)?shù)據(jù)信息進(jìn)行更為嚴(yán)謹(jǐn)?shù)募用埽绱艘粊?lái)，就可以避免在傳輸網(wǎng)絡(luò)數(shù)據(jù)信息的過(guò)程中使用明文，從而防止密碼以及數(shù)據(jù)庫(kù)內(nèi)容泄漏等安全問(wèn)題的產(chǎn)生。

（3）設(shè)置TCP/IP端口。如果基于默認(rèn)情況，SQL Server會(huì)利用1433端口來(lái)開(kāi)展監(jiān)聽(tīng)工作，因此，企業(yè)網(wǎng)站服務(wù)器要根據(jù)實(shí)際情況對(duì)1433端口進(jìn)行改變。除此之外，在對(duì)企業(yè)網(wǎng)站服務(wù)器TCP/IP協(xié)議屬性進(jìn)行設(shè)置時(shí)，本次設(shè)計(jì)通過(guò)隱藏SQL Server實(shí)例的方式，來(lái)對(duì)上述內(nèi)容進(jìn)行設(shè)置。如此一來(lái)便能夠限制客戶端，使其無(wú)法發(fā)送任何的廣播響應(yīng)。

2.2 數(shù)據(jù)備份

在對(duì)數(shù)據(jù)庫(kù)進(jìn)行維護(hù)的過(guò)程中，要針對(duì)數(shù)據(jù)庫(kù)的實(shí)際情況，開(kāi)展備份工作。對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份能夠在企業(yè)網(wǎng)站癱瘓或發(fā)生嚴(yán)重問(wèn)題時(shí)在第一時(shí)間對(duì)其恢復(fù)，從而降低企業(yè)網(wǎng)站的實(shí)際損失。SQL Server 數(shù)據(jù)庫(kù)自身具有備份功能，本次設(shè)計(jì)使用的是自動(dòng)備份的方法。

2.3 加強(qiáng)網(wǎng)站服務(wù)器的日志備份

（1）在企業(yè)網(wǎng)站的實(shí)際運(yùn)行過(guò)程中，利用一臺(tái)分離的主機(jī)對(duì)服務(wù)器的日志進(jìn)行針對(duì)性的記錄和整理。（2）構(gòu)建并完善企業(yè)網(wǎng)站的數(shù)據(jù)庫(kù)，從而將用戶的日志儲(chǔ)存在其中，可以允許用戶在此數(shù)據(jù)庫(kù)中開(kāi)展添加或讀取等相關(guān)操作，但拒絕用戶進(jìn)行修改或刪除等相關(guān)操作。（3）為了防止網(wǎng)站服務(wù)器中的日志出現(xiàn)被篡改的情況，需要根據(jù)日志的具體情況，在所有條目中蓋上時(shí)間戳。（4）在提取或?qū)W(wǎng)站日志進(jìn)行相關(guān)操作時(shí)，除了要將日志信息保存在BACKUP文件夾中，還要安排自動(dòng)備份工作，使得日志可以在服務(wù)器的其他分區(qū)進(jìn)行呈現(xiàn)，防止系統(tǒng)在遭受破壞以后產(chǎn)生無(wú)法恢復(fù)的現(xiàn)象。

3 結(jié)語(yǔ)

綜上所述，對(duì)于企業(yè)網(wǎng)站而言，其安全工作中的重點(diǎn)內(nèi)容就是訪問(wèn)體系和數(shù)據(jù)庫(kù)體系。本次設(shè)計(jì)的方案能夠有效解決企業(yè)網(wǎng)站在實(shí)際運(yùn)行過(guò)程中存在的安全問(wèn)題，具有一定的參考和借鑒價(jià)值，企業(yè)網(wǎng)站的管理人員可以根據(jù)自身企業(yè)的實(shí)際情況，合理運(yùn)用本文所設(shè)計(jì)的網(wǎng)站安全運(yùn)行方案。

參考文獻(xiàn)

[1] 馬銘惠.電商企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)的研究與設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2017（29）：299-300.

[2] 敖磊，魏煜宸.企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)[J].網(wǎng)絡(luò)空間安全，2017（Z2）：70-72.

Design and Implementation of Security Architecture of Enterprise Website

WANG You-bin

（Jiangnan University，Wuxi Jiangsu? 214122）

Abstract：This paper studies and analyses the design of enterprise website security architecture from two aspects network security access system and network database security， for the reference of relevant personnel.

Key words：enterprise website; security architecture design; database security