王有斌

摘要：本文從網(wǎng)絡(luò)安全訪問體系以及網(wǎng)絡(luò)數(shù)據(jù)庫安全兩個(gè)方面對企業(yè)網(wǎng)站的安全架構(gòu)設(shè)計(jì)進(jìn)行研究和分析，以供相關(guān)人員進(jìn)行參考。

關(guān)鍵詞：企業(yè)網(wǎng)站;安全架構(gòu)設(shè)計(jì);數(shù)據(jù)庫安全

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9416（2019）06-0182-01

0 引言

在網(wǎng)絡(luò)信息技術(shù)進(jìn)步發(fā)展的同時(shí)，網(wǎng)站建設(shè)已成為企業(yè)建設(shè)發(fā)展過程中的重要工作之一。企業(yè)網(wǎng)站能夠?yàn)閮?nèi)部信息交流提供有效途徑，同時(shí)對于企業(yè)管理以及對外合作等方面都有著十分重要的作用。網(wǎng)站具備相應(yīng)的開放性與互聯(lián)性，因此也就面臨著相應(yīng)的安全威脅。同時(shí)，隨著信息技術(shù)的不斷發(fā)展，病毒以及黑客攻擊的傳播速度更快、隱蔽性與破壞力也都更強(qiáng)，單純憑借傳統(tǒng)的安全防范手段已經(jīng)無法滿足目前的實(shí)際安全需求。安全訪問以及數(shù)據(jù)庫安全作為企業(yè)網(wǎng)站安全的關(guān)鍵部分，本文也正是對此方面進(jìn)行研究，旨在促進(jìn)企業(yè)網(wǎng)站的安全建設(shè)。

1 網(wǎng)站安全訪問體系架構(gòu)設(shè)計(jì)

1.1 認(rèn)證加密技術(shù)

本次設(shè)計(jì)在加密認(rèn)證方面所采用的DES技術(shù)，利用DES算法對企業(yè)網(wǎng)站的登錄用戶進(jìn)行認(rèn)證，同時(shí)對傳輸數(shù)據(jù)進(jìn)行加密，如此一來，能夠有效避免數(shù)據(jù)在傳輸過程中被竊聽或竊取。對于認(rèn)證流程而言，主要包括四個(gè)環(huán)節(jié)，利用Challenge-Response方法來抵抗相應(yīng)的攻擊，具體的認(rèn)證算法流程如圖1所示[1]。

用戶先向服務(wù)器認(rèn)證并發(fā)送請求，針對此認(rèn)證請求服務(wù)器會(huì)生成相應(yīng)的隨機(jī)數(shù)據(jù)，同時(shí)將其傳輸給請求用戶。用戶方面可以利用自己的私鑰對服務(wù)器傳送的隨機(jī)數(shù)據(jù)進(jìn)行簽名，并在將結(jié)果傳送到服務(wù)器，最后服務(wù)器來校驗(yàn)用戶信息，并將最終認(rèn)證結(jié)果進(jìn)行反饋。

1.2 路由器訪問控制

在數(shù)據(jù)進(jìn)行傳輸?shù)倪^程中，路由器首先要對包過濾規(guī)則進(jìn)行設(shè)置，對于訪問列表而言，一般是由permit語句和Denial語句而構(gòu)成，利用列表對進(jìn)入或輸出路由器的數(shù)據(jù)信息進(jìn)行全面的過濾。以下為路由器訪問列表的語法規(guī)則：

Aceess - list[100 -199] [Permitldeny] [Protocoll Protocolkeyword]

[sources-wildeardlany] [soureePort]

[destinationdestination-ildeardlany] [destinationPort][oPtions]

1.3 監(jiān)控與監(jiān)測入侵

為了能夠提升企業(yè)重要數(shù)據(jù)信息以及相關(guān)應(yīng)用程序的安全，本次設(shè)計(jì)將入侵檢測系統(tǒng)安裝在每個(gè)服務(wù)器網(wǎng)段，利用入侵檢測系統(tǒng)在第一時(shí)間判斷是否存在非法訪問的情況。對于入侵檢測系統(tǒng)而言，要將其安裝在較為敏感數(shù)據(jù)的網(wǎng)絡(luò)段上，利用此系統(tǒng)能夠?qū)υL用戶的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)的截獲，同時(shí)對入侵和破壞性的代碼流進(jìn)行記錄，以此攔截未得到授權(quán)的網(wǎng)絡(luò)訪問行為。引入并合理利用入侵檢測系統(tǒng)，能夠?qū)ζ髽I(yè)網(wǎng)絡(luò)的重要出口、服務(wù)器、內(nèi)部網(wǎng)段以及數(shù)據(jù)中心進(jìn)行全面、實(shí)時(shí)的監(jiān)控，以此對企業(yè)的重要數(shù)據(jù)信息進(jìn)行全面的保護(hù)。

1.4 防火墻技術(shù)

防火墻能夠?qū)W(wǎng)絡(luò)進(jìn)行有效的隔離，對進(jìn)入和輸出的數(shù)據(jù)信息進(jìn)行訪問控制。對于防火墻而言，對其進(jìn)行設(shè)置以及實(shí)際使用的過程中，要充分結(jié)合企業(yè)實(shí)際需求對其進(jìn)行合理的控制，以此來控制網(wǎng)絡(luò)數(shù)據(jù)包，從而為企業(yè)辦公網(wǎng)絡(luò)以及企業(yè)其他網(wǎng)絡(luò)資源的訪問安全提供良好保障。

2 網(wǎng)站數(shù)據(jù)庫安全架構(gòu)設(shè)計(jì)

2.1 數(shù)據(jù)庫配置

數(shù)據(jù)庫作為企業(yè)網(wǎng)站的重要組成部分，要想做好企業(yè)網(wǎng)站的安全工作，就需要加強(qiáng)對數(shù)據(jù)庫安全的重視程度。大部分企業(yè)網(wǎng)站數(shù)據(jù)庫都是SQL Server數(shù)據(jù)庫，為了能夠確保數(shù)據(jù)庫安全，在配置數(shù)據(jù)庫的方面，本次設(shè)計(jì)針對企業(yè)網(wǎng)站進(jìn)行了如下幾個(gè)方面的安全配置[2]：

（1）密碼。對于SQL Server而言，首先要對密碼進(jìn)行合理配置，以此確保數(shù)據(jù)庫的安全，如果數(shù)據(jù)庫的賬號及密碼在設(shè)置上較為簡單，就比較容易被攻擊者破解，為其攻擊和破壞行為提供便利。數(shù)據(jù)庫中的sa賬號作為系統(tǒng)管理員賬號，對此賬號和密碼要進(jìn)行嚴(yán)格的保密，在所有的計(jì)算機(jī)系統(tǒng)中都不要出現(xiàn)。因?yàn)閿?shù)據(jù)庫中s a用戶是系統(tǒng)自身所默認(rèn)的超級用戶，無法對其身份進(jìn)行更改，更無法刪除，因此在企業(yè)網(wǎng)站服務(wù)器數(shù)據(jù)庫的賬號方面，只有發(fā)生了極特殊的情況，需要通過其他方式來登錄SQL Server時(shí)，在正確使用sa賬號。

（2）協(xié)議加密。由于企業(yè)網(wǎng)站的數(shù)據(jù)庫中通常使用Tabular Data Stream協(xié)議，以此來交換網(wǎng)絡(luò)數(shù)據(jù)信息，因此巧妙利用SSL加密協(xié)議能夠?qū)?shù)據(jù)信息進(jìn)行更為嚴(yán)謹(jǐn)?shù)募用?，如此一來，就可以避免在傳輸網(wǎng)絡(luò)數(shù)據(jù)信息的過程中使用明文，從而防止密碼以及數(shù)據(jù)庫內(nèi)容泄漏等安全問題的產(chǎn)生。

（3）設(shè)置TCP/IP端口。如果基于默認(rèn)情況，SQL Server會(huì)利用1433端口來開展監(jiān)聽工作，因此，企業(yè)網(wǎng)站服務(wù)器要根據(jù)實(shí)際情況對1433端口進(jìn)行改變。除此之外，在對企業(yè)網(wǎng)站服務(wù)器TCP/IP協(xié)議屬性進(jìn)行設(shè)置時(shí)，本次設(shè)計(jì)通過隱藏SQL Server實(shí)例的方式，來對上述內(nèi)容進(jìn)行設(shè)置。如此一來便能夠限制客戶端，使其無法發(fā)送任何的廣播響應(yīng)。

2.2 數(shù)據(jù)備份

在對數(shù)據(jù)庫進(jìn)行維護(hù)的過程中，要針對數(shù)據(jù)庫的實(shí)際情況，開展備份工作。對數(shù)據(jù)庫進(jìn)行備份能夠在企業(yè)網(wǎng)站癱瘓或發(fā)生嚴(yán)重問題時(shí)在第一時(shí)間對其恢復(fù)，從而降低企業(yè)網(wǎng)站的實(shí)際損失。SQL Server 數(shù)據(jù)庫自身具有備份功能，本次設(shè)計(jì)使用的是自動(dòng)備份的方法。

2.3 加強(qiáng)網(wǎng)站服務(wù)器的日志備份

（1）在企業(yè)網(wǎng)站的實(shí)際運(yùn)行過程中，利用一臺(tái)分離的主機(jī)對服務(wù)器的日志進(jìn)行針對性的記錄和整理。（2）構(gòu)建并完善企業(yè)網(wǎng)站的數(shù)據(jù)庫，從而將用戶的日志儲(chǔ)存在其中，可以允許用戶在此數(shù)據(jù)庫中開展添加或讀取等相關(guān)操作，但拒絕用戶進(jìn)行修改或刪除等相關(guān)操作。（3）為了防止網(wǎng)站服務(wù)器中的日志出現(xiàn)被篡改的情況，需要根據(jù)日志的具體情況，在所有條目中蓋上時(shí)間戳。（4）在提取或?qū)W(wǎng)站日志進(jìn)行相關(guān)操作時(shí)，除了要將日志信息保存在BACKUP文件夾中，還要安排自動(dòng)備份工作，使得日志可以在服務(wù)器的其他分區(qū)進(jìn)行呈現(xiàn)，防止系統(tǒng)在遭受破壞以后產(chǎn)生無法恢復(fù)的現(xiàn)象。

3 結(jié)語

綜上所述，對于企業(yè)網(wǎng)站而言，其安全工作中的重點(diǎn)內(nèi)容就是訪問體系和數(shù)據(jù)庫體系。本次設(shè)計(jì)的方案能夠有效解決企業(yè)網(wǎng)站在實(shí)際運(yùn)行過程中存在的安全問題，具有一定的參考和借鑒價(jià)值，企業(yè)網(wǎng)站的管理人員可以根據(jù)自身企業(yè)的實(shí)際情況，合理運(yùn)用本文所設(shè)計(jì)的網(wǎng)站安全運(yùn)行方案。

參考文獻(xiàn)

[1] 馬銘惠.電商企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)的研究與設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2017（29）：299-300.

[2] 敖磊，魏煜宸.企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)[J].網(wǎng)絡(luò)空間安全，2017（Z2）：70-72.

Design and Implementation of Security Architecture of Enterprise Website

WANG You-bin

（Jiangnan University，Wuxi Jiangsu? 214122）

Abstract：This paper studies and analyses the design of enterprise website security architecture from two aspects network security access system and network database security， for the reference of relevant personnel.

Key words：enterprise website; security architecture design; database security