宋蒲斌,王 奔,王 昶，劉 翔

(長江科學(xué)院 信息中心，武漢 430010)

1 研究背景

近年來，互聯(lián)網(wǎng)與信息技術(shù)高速發(fā)展，網(wǎng)絡(luò)安全問題越來越受到重視。習(xí)近平總書記多次發(fā)表關(guān)于網(wǎng)絡(luò)安全的重要講話，強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，2016年出臺(tái)的《中華人民共和國網(wǎng)絡(luò)安全法》中也明確規(guī)定，國家開始實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度[1-2]。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國關(guān)于網(wǎng)絡(luò)安全的基本政策，也是網(wǎng)絡(luò)時(shí)代醫(yī)療、教育、金融、電子政務(wù)等領(lǐng)域能安全發(fā)展的重要保障。通過網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，能有效發(fā)現(xiàn)各個(gè)行業(yè)信息系統(tǒng)與國家安全標(biāo)準(zhǔn)之間存在的差距，找出當(dāng)前系統(tǒng)存在的安全隱患和系統(tǒng)漏洞，通過比對(duì)具體要求，完成各行業(yè)系統(tǒng)的安全整改，提高信息系統(tǒng)的安全等級(jí)和抗風(fēng)險(xiǎn)能力，合理地規(guī)避和降低網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)[3-4]。

門戶網(wǎng)站作為提供信息資源和綜合服務(wù)的應(yīng)用系統(tǒng)，早已成為政府、學(xué)校、企業(yè)、單位等各行各業(yè)都不可缺少的信息化管理服務(wù)平臺(tái)。長江科學(xué)院長江水利科技網(wǎng)在對(duì)外宣傳、科技交流、綜合服務(wù)等方面一直發(fā)揮著重要作用，但是近幾年，網(wǎng)站逐漸顯現(xiàn)出界面陳舊、控件老化、兼容性差、功能擴(kuò)展性不佳、存在網(wǎng)絡(luò)安全漏洞等方面的問題，已經(jīng)無法滿足新發(fā)展需求。建設(shè)一個(gè)安全、便捷、美觀的門戶網(wǎng)站，是當(dāng)前網(wǎng)絡(luò)安全等級(jí)保護(hù)背景下的發(fā)展趨勢，也是長江科學(xué)院信息化建設(shè)的發(fā)展需求。

本文以長江科學(xué)院長江水利科技網(wǎng)為例，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，對(duì)系統(tǒng)進(jìn)行定級(jí)備案、建設(shè)整改以及等保測評(píng)，并采用MVC架構(gòu)和Bootstrap前端框架，完成系統(tǒng)的整體開發(fā)設(shè)計(jì)，實(shí)現(xiàn)了網(wǎng)站功能的優(yōu)化升級(jí)，網(wǎng)站安全防御能力全面提升。

2 等級(jí)保護(hù)測評(píng)標(biāo)準(zhǔn)

2019年5月，國家發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要點(diǎn)》3個(gè)網(wǎng)絡(luò)安全領(lǐng)域的國家標(biāo)準(zhǔn)，標(biāo)志著等級(jí)保護(hù)2.0的正式到來[5]。

根據(jù)等級(jí)保護(hù)對(duì)象在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及遭到攻擊、破壞后對(duì)國家安全、公共利益、個(gè)人及組織的合法權(quán)益的侵害程度等因素，將安全保護(hù)等級(jí)劃分為5級(jí)。依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240—2020)[6]的具體內(nèi)容，長江科學(xué)院長江水利科技網(wǎng)屬于網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)系統(tǒng)。

根據(jù)等級(jí)保護(hù)2.0測評(píng)標(biāo)準(zhǔn)，本系統(tǒng)在建設(shè)與開發(fā)過程中，應(yīng)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理共6個(gè)方面提供完善的安全控制措施，包括機(jī)房環(huán)境安全、防火墻策略、服務(wù)器安全控制、后臺(tái)訪問控制、數(shù)據(jù)庫安全策略，以及安全管理制度、安全人員管理等，如表1所示。

表1 等級(jí)保護(hù)2.0測評(píng)標(biāo)準(zhǔn)Table 1 Criterion for graded protection evaluation 2.0

3 系統(tǒng)設(shè)計(jì)

3.1 網(wǎng)站框架設(shè)計(jì)

網(wǎng)站框架由網(wǎng)站前端和管理后臺(tái)兩部分組成。網(wǎng)站前端是網(wǎng)站結(jié)構(gòu)、UI(User Interface)界面的整體設(shè)計(jì)與呈現(xiàn)，包括欄目、新聞、圖片、鏈接等信息的排列展示，并提供消息提醒、信息檢索、超鏈接導(dǎo)航等功能；管理后臺(tái)通過處理各種業(yè)務(wù)邏輯與前端進(jìn)行交互，提供新聞發(fā)布、信息更新、菜單管理、日志記錄等功能，為管理員提供便捷的后臺(tái)管理窗口。

網(wǎng)站前端功能結(jié)構(gòu)，如圖1所示，設(shè)置有首頁、關(guān)于我們、科學(xué)研究、科技交流、科研平臺(tái)、研究生教育、期刊圖書、黨的建設(shè)、專題集錦、English共10個(gè)菜單模塊。其中，網(wǎng)站首頁UI設(shè)計(jì)采用三列式布局，包含有頭條新聞、水利要聞、工作動(dòng)態(tài)、通知公告、走進(jìn)長科院等重要信息窗口和欄目，以及人才招聘、郵件系統(tǒng)、《長江科學(xué)院院報(bào)》平臺(tái)等交互入口，使網(wǎng)站整體呈現(xiàn)出層次分明、重點(diǎn)突出、豐富多樣的視覺效果，不僅清晰明了地展示出長江科學(xué)院的基本信息以及最新動(dòng)態(tài)，而且還宣傳介紹了長江科學(xué)院的專家教授、專業(yè)資質(zhì)、科研水平和重大科技成果等重要內(nèi)容。

圖1 Web前端結(jié)構(gòu)Fig.1 Front-end structure of website

網(wǎng)站后臺(tái)管理主要包含菜單管理、賬戶管理及權(quán)限配置、日志管理、新聞的發(fā)布與審核，以及圖片欄目管理，如圖2所示。

圖2 網(wǎng)站管理后臺(tái)Fig.2 Back-end structureof website

(1)菜單管理：對(duì)網(wǎng)站首頁的10個(gè)主菜單及其子菜單進(jìn)行管理，可以靈活地調(diào)整更新菜單模塊信息。

(2)賬戶管理及權(quán)限配置：對(duì)后臺(tái)登錄賬戶進(jìn)行分類管理，共分為網(wǎng)站管理員、責(zé)任編輯、編輯3種人員類型，并對(duì)這3種類型進(jìn)行后臺(tái)菜單權(quán)限、操作權(quán)限的分配。

(3)日志管理：記錄所有賬戶的登錄日志信息、操作日志信息，以及賬號(hào)異常日志信息，觸發(fā)安全設(shè)置的賬號(hào)會(huì)被自動(dòng)鎖定。

(4)新聞發(fā)布與審核管理：通過功能強(qiáng)大的內(nèi)容編輯器對(duì)新聞內(nèi)容進(jìn)行編輯，選擇新聞所屬欄目、是否置頂、是否圖片新聞等選項(xiàng)，經(jīng)責(zé)任編輯審核后發(fā)布到各個(gè)新聞欄目；另外，在新聞列表中，責(zé)任編輯可對(duì)所有新聞進(jìn)行修改、刪除等操作。

(5)圖片欄目管理：對(duì)網(wǎng)站中所有的圖片欄目進(jìn)行可視化管理，管理員可以輕松在后臺(tái)增加、修改欄目信息，前臺(tái)會(huì)自動(dòng)更新，為管理員節(jié)省了大量去修改前臺(tái)腳本的時(shí)間。

3.2 Bootstrap響應(yīng)式頁面設(shè)計(jì)

為了讓用戶能獲得良好的視覺體驗(yàn)，不會(huì)因?yàn)闉g覽器版本、終端顯示設(shè)備的尺寸等原因影響網(wǎng)站瀏覽效果，系統(tǒng)采用簡潔靈活的Bootstrap框架，對(duì)網(wǎng)站實(shí)現(xiàn)響應(yīng)式頁面設(shè)計(jì)，在提高系統(tǒng)兼容性同時(shí)，使網(wǎng)站UI更加簡潔美觀。

Bootstrap是一款應(yīng)用于開發(fā)Web應(yīng)用程序和網(wǎng)站的前端框架，集合了HTML、CSS、Javascript、Jquery技術(shù)，提供了一套可實(shí)現(xiàn)快速開發(fā)的前端工具包，以及開源的代碼庫和樣式化的參考文檔；并且具有較好的兼容性，能夠有效解決前端開發(fā)中由于瀏覽器兼容性、屏幕分辨率、終端設(shè)備類型等因素造成的網(wǎng)站前端布局錯(cuò)亂、界面風(fēng)格不統(tǒng)一、用戶體驗(yàn)不友好等問題[7]。

Bootstrap的柵格系統(tǒng)是實(shí)現(xiàn)響應(yīng)式頁面布局的核心，也是解決網(wǎng)頁兼容性問題的關(guān)鍵所在。柵格系統(tǒng)把窗口容器等分為12份，可以根據(jù)頁面布局需求靈活劃分頁面元素所跨越的列數(shù)，滿足頁面布局需求；并且，頁面可以在不影響內(nèi)容展示的情況下，在不同的終端設(shè)備上呈現(xiàn)出特定的視覺效果。

Bootstrap的柵格系統(tǒng)是實(shí)現(xiàn)響應(yīng)式頁面布局的核心，也是解決網(wǎng)頁兼容性問題的關(guān)鍵所在。柵格系統(tǒng)把窗口容器等分為12份，可以根據(jù)頁面布局需求靈活劃分頁面元素所跨越的列數(shù)，滿足頁面布局需求；并且，頁面可以在不影響內(nèi)容展示的情況下，在不同的終端設(shè)備上呈現(xiàn)出特定的視覺效果。

柵格系統(tǒng)有3層基本結(jié)構(gòu)：最外層container和最里層column及夾層row，row里面可以包含很多column，柵格系統(tǒng)就是通過row和column的組合來創(chuàng)建頁面布局[8]。從實(shí)現(xiàn)原理出發(fā)，快速搭建響應(yīng)式頁面的步驟如下：

第一步，新建一個(gè)HTML頁面，并在頁面中引用加載Bootstrap的3個(gè)文件bootstrap.min.css、jquery.min.js、bootstrap.min.js。

第二步，定義一個(gè)容器(container)，Bootstrap的.container 類是用于固定寬度并支持響應(yīng)式布局的容器類。

第三步，在容器的div內(nèi)，可以靈活創(chuàng)建若干行(row)，設(shè)置合適的對(duì)齊方式、內(nèi)邊距等屬性。

第四步，在行內(nèi)創(chuàng)建水平方向的列元素(column),列是行的唯一直接子元素，用于放置網(wǎng)頁內(nèi)容，可以靈活設(shè)置列寬，支持列嵌套、列偏移等功能。

第五步，按照container、row、column的順序，根據(jù)布局需求層層定義，完成響應(yīng)式頁面設(shè)計(jì)。

通過Bootstrap的基礎(chǔ)框架，可以快速搭建響應(yīng)式Web頁面，完成一個(gè)網(wǎng)站的基本布局，其豐富的組件和插件，可用于創(chuàng)建圖像、下拉菜單、導(dǎo)航、按鈕組、圖標(biāo)、輸入框、面板等，不僅為個(gè)性化的定制開發(fā)提供便利，也使得頁面整體呈現(xiàn)風(fēng)格一致、功能齊全，用戶體驗(yàn)好[9]。采用Bootstrap設(shè)計(jì)的響應(yīng)式頁面，很好地解決了網(wǎng)頁的兼容性問題，并且代碼簡潔，易于修改，可以大大縮短前端開發(fā)時(shí)間，提升網(wǎng)站維護(hù)效率。

3.3 MVC框架設(shè)計(jì)

本系統(tǒng)采用ASP.NET MVC4開發(fā)模式，完成整體設(shè)計(jì)與應(yīng)用功能開發(fā)，如圖3所示。前端視圖層基于Bootstrap框架，實(shí)現(xiàn)響應(yīng)式Web頁面設(shè)計(jì)，用戶可以在PC端、移動(dòng)端獲得良好的視覺體驗(yàn)；控制層處理用戶發(fā)送的指令和數(shù)據(jù)，并提交給業(yè)務(wù)模型；模型層連接數(shù)據(jù)庫，進(jìn)行存儲(chǔ)和業(yè)務(wù)邏輯判斷，然后將結(jié)果返回給視圖層，用戶得到對(duì)應(yīng)的反饋信息。

圖3 MVC框架Fig.3 MVC framework

4 系統(tǒng)實(shí)現(xiàn)

4.1 滿足等保標(biāo)準(zhǔn)的系統(tǒng)實(shí)現(xiàn)

通過等級(jí)保護(hù)測評(píng)，從表1中的6個(gè)方面對(duì)本系統(tǒng)提出了安全問題分析及整改建議，其中，系統(tǒng)所在機(jī)房配置了UPS設(shè)備，滿足雙路供電、濕溫控制、防火、防靜電等要求，并發(fā)布了網(wǎng)絡(luò)安全管理辦法和安全責(zé)任人管理制度，在物理安全和安全管理方面基本達(dá)到二級(jí)系統(tǒng)測評(píng)標(biāo)準(zhǔn)；而在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全方面，仍存在重要安全漏洞。針對(duì)具體問題，系統(tǒng)在防火墻、服務(wù)器、管理后臺(tái)、數(shù)據(jù)庫等方面做出了優(yōu)化改進(jìn)與安全控制措施，以完全達(dá)到等級(jí)保護(hù)測評(píng)要求。

4.1.1 防火墻策略

在本系統(tǒng)網(wǎng)絡(luò)中搭載下一代防火墻，開啟IPS模塊，通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，為用戶提供有效的應(yīng)用層一體化安全防護(hù)，對(duì)各類網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)視，對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄。同時(shí)，對(duì)需要遠(yuǎn)程服務(wù)器的管理員登錄地址進(jìn)行限制，將范圍控制到網(wǎng)段級(jí)；對(duì)登陸管理后臺(tái)的用戶地址進(jìn)行限制，將范圍控制到個(gè)人與指定IP。在特殊敏感時(shí)期，為了進(jìn)一步加強(qiáng)安全管理，可以對(duì)防火墻策略進(jìn)行動(dòng)態(tài)調(diào)整，如：控制登錄時(shí)間段、限制登錄次數(shù)等。

4.1.2 服務(wù)器安全設(shè)置

在服務(wù)器上安裝了強(qiáng)大的企業(yè)級(jí)安全防護(hù)軟件，可以定期對(duì)服務(wù)器進(jìn)行漏洞掃描，并及時(shí)更新病毒庫，有效防止惡意代碼軟件或病毒的攻擊。在服務(wù)器的安全策略中，設(shè)置遠(yuǎn)程管理采用加密協(xié)議連接，防止信息在網(wǎng)絡(luò)傳輸過程中被竊聽；啟用密碼安全策略，設(shè)置服務(wù)器登陸密碼的復(fù)雜度及密碼使用期限，到期后必須修改符合密碼復(fù)雜度的新密碼；啟用賬戶鎖定策略，限制非法登錄次數(shù)，在賬戶登錄失敗時(shí)，采取自動(dòng)退出并鎖定賬戶等措施。

4.1.3 forms身份驗(yàn)證

網(wǎng)站的管理后臺(tái)，不僅負(fù)責(zé)信息的更新同步，新聞動(dòng)態(tài)的發(fā)布與審核，而且還包含了不同角色用戶的賬戶管理、權(quán)限管理等功能，因此，管理后臺(tái)的安全性顯得尤其重要。

本系統(tǒng)對(duì)賬號(hào)、密碼采用加密傳輸技術(shù)，并對(duì)后臺(tái)登錄頁面實(shí)現(xiàn)forms身份驗(yàn)證，通過配置文件中的 開啟安全身份驗(yàn)證模式，用戶通過身份認(rèn)證后才能獲得相應(yīng)的訪問授權(quán)；同時(shí)還對(duì)登錄異常賬戶設(shè)置鎖定時(shí)間和鎖定閾值，大大降低管理后臺(tái)的安全風(fēng)險(xiǎn)。

4.1.4 數(shù)據(jù)庫安全策略

數(shù)據(jù)庫作為系統(tǒng)的核心組成部分，存儲(chǔ)網(wǎng)站的所有數(shù)據(jù)信息，其安全性直接關(guān)系到整個(gè)系統(tǒng)的信息安全，因此，在系統(tǒng)部署過程中，對(duì)數(shù)據(jù)庫進(jìn)行了以下安全策略設(shè)置：對(duì)登錄數(shù)據(jù)庫的賬戶及其地址進(jìn)行限制，并與服務(wù)器的管理員實(shí)行權(quán)限分離；加強(qiáng)數(shù)據(jù)庫密碼管理，限制用戶口令長度及復(fù)雜度；擴(kuò)大數(shù)據(jù)庫審計(jì)范圍，對(duì)每個(gè)數(shù)據(jù)庫用戶的操作行為進(jìn)行審計(jì)；設(shè)置數(shù)據(jù)庫日常備份機(jī)制，制定詳細(xì)的數(shù)據(jù)庫應(yīng)急預(yù)案。

另外，本系統(tǒng)還對(duì)SQL注入問題做了安全處理。SQL注入是Web應(yīng)用系統(tǒng)中最普遍、最嚴(yán)重的安全漏洞之一，攻擊者通過在正常的執(zhí)行命令中插入惡意的SQL語句，在管理員不知情的情況下實(shí)現(xiàn)非法操作，達(dá)到欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，進(jìn)而達(dá)到盜取相應(yīng)數(shù)據(jù)信息的目的[10]。系統(tǒng)采用Entity Framework框架，通過過濾器過濾或轉(zhuǎn)義特殊字符，實(shí)現(xiàn)SQL語句參數(shù)化傳遞而非字符串文本形式傳遞，從而防止SQL注入式攻擊。

4.2 系統(tǒng)測試

4.2.1 系統(tǒng)定級(jí)測評(píng)

通過對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理6個(gè)方面共166個(gè)小項(xiàng)進(jìn)行單項(xiàng)測評(píng)與總體分析，系統(tǒng)測評(píng)項(xiàng)符合率達(dá)到82.79%，不存在高風(fēng)險(xiǎn)問題，順利通過等級(jí)保護(hù)專業(yè)測評(píng)。這說明長江水利科技網(wǎng)總體安全保護(hù)狀況較好，達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)系統(tǒng)要求。

4.2.2 系統(tǒng)應(yīng)用測試

在不同IP地址、不同用戶終端的環(huán)境下，從瀏覽器兼容性、新聞的發(fā)布與審核、信息的同步與查詢、用戶登陸、后臺(tái)權(quán)限控制等多個(gè)方面，對(duì)系統(tǒng)進(jìn)行一段時(shí)間的應(yīng)用測試，網(wǎng)站首頁在PC端和移動(dòng)端的顯示效果分別如圖4、圖5所示。測試結(jié)果表明：網(wǎng)站兼容性良好，能夠很好地適應(yīng)各種主流瀏覽器和不同尺寸的顯示終端；界面清晰美觀，用戶瀏覽體驗(yàn)好；后臺(tái)管理安全、高效，前后臺(tái)數(shù)據(jù)同步簡單、便捷；系統(tǒng)整體運(yùn)行穩(wěn)定流暢，性能良好，達(dá)到使用要求。

圖4 PC端網(wǎng)站首頁Fig.4 Homepage of the website on PC

圖5 移動(dòng)端網(wǎng)站首頁Fig.5 Homepage of the website on mobile terminal

5 結(jié) 語

系統(tǒng)采用ASP.NET MVC4+Bootstrap框架，完成整體功能開發(fā)及響應(yīng)式頁面設(shè)計(jì)，Bootstrap框架擁有強(qiáng)大的柵格系統(tǒng)，并提供了豐富的組件，在提高Web頁面開發(fā)效率的同時(shí)使后期維護(hù)更新變得更加靈活簡單，而且頁面布局更加清晰美觀，兼容性好。并且，根據(jù)等級(jí)保護(hù)2.0測評(píng)標(biāo)準(zhǔn)，系統(tǒng)對(duì)網(wǎng)絡(luò)安全問題進(jìn)行全面整改，完成了網(wǎng)絡(luò)安全布局，并順利通過了網(wǎng)絡(luò)安全等級(jí)保護(hù)二級(jí)系統(tǒng)測評(píng)。本系統(tǒng)作為長江科學(xué)院信息化建設(shè)的重要組成部分，也是對(duì)外宣傳、科技交流的信息平臺(tái)和重要窗口，自上線以來，系統(tǒng)運(yùn)行穩(wěn)定，數(shù)據(jù)訪問安全，界面美觀，操作便捷，用戶體驗(yàn)良好。