宋蒲斌,王 奔,王 昶，劉 翔

(長江科學院 信息中心，武漢 430010)

1 研究背景

近年來，互聯(lián)網(wǎng)與信息技術高速發(fā)展，網(wǎng)絡安全問題越來越受到重視。習近平總書記多次發(fā)表關于網(wǎng)絡安全的重要講話，強調(diào)“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，2016年出臺的《中華人民共和國網(wǎng)絡安全法》中也明確規(guī)定，國家開始實行網(wǎng)絡安全等級保護制度[1-2]。網(wǎng)絡安全等級保護制度是我國關于網(wǎng)絡安全的基本政策，也是網(wǎng)絡時代醫(yī)療、教育、金融、電子政務等領域能安全發(fā)展的重要保障。通過網(wǎng)絡安全等級保護工作，能有效發(fā)現(xiàn)各個行業(yè)信息系統(tǒng)與國家安全標準之間存在的差距，找出當前系統(tǒng)存在的安全隱患和系統(tǒng)漏洞，通過比對具體要求，完成各行業(yè)系統(tǒng)的安全整改，提高信息系統(tǒng)的安全等級和抗風險能力，合理地規(guī)避和降低網(wǎng)絡運行風險[3-4]。

門戶網(wǎng)站作為提供信息資源和綜合服務的應用系統(tǒng)，早已成為政府、學校、企業(yè)、單位等各行各業(yè)都不可缺少的信息化管理服務平臺。長江科學院長江水利科技網(wǎng)在對外宣傳、科技交流、綜合服務等方面一直發(fā)揮著重要作用，但是近幾年，網(wǎng)站逐漸顯現(xiàn)出界面陳舊、控件老化、兼容性差、功能擴展性不佳、存在網(wǎng)絡安全漏洞等方面的問題，已經(jīng)無法滿足新發(fā)展需求。建設一個安全、便捷、美觀的門戶網(wǎng)站，是當前網(wǎng)絡安全等級保護背景下的發(fā)展趨勢，也是長江科學院信息化建設的發(fā)展需求。

本文以長江科學院長江水利科技網(wǎng)為例，按照網(wǎng)絡安全等級保護要求，對系統(tǒng)進行定級備案、建設整改以及等保測評，并采用MVC架構和Bootstrap前端框架，完成系統(tǒng)的整體開發(fā)設計，實現(xiàn)了網(wǎng)站功能的優(yōu)化升級，網(wǎng)站安全防御能力全面提升。

2 等級保護測評標準

2019年5月，國家發(fā)布《信息安全技術網(wǎng)絡安全等級保護基本要求》《信息安全技術網(wǎng)絡安全等級保護測評要求》《信息安全技術網(wǎng)絡安全等級保護安全設計技術要點》3個網(wǎng)絡安全領域的國家標準，標志著等級保護2.0的正式到來[5]。

根據(jù)等級保護對象在國家安全、經(jīng)濟建設、社會生活中的重要程度，以及遭到攻擊、破壞后對國家安全、公共利益、個人及組織的合法權益的侵害程度等因素，將安全保護等級劃分為5級。依據(jù)《信息安全技術 網(wǎng)絡安全等級保護定級指南》(GB/T 22240—2020)[6]的具體內(nèi)容，長江科學院長江水利科技網(wǎng)屬于網(wǎng)絡安全等級保護二級系統(tǒng)。

根據(jù)等級保護2.0測評標準，本系統(tǒng)在建設與開發(fā)過程中，應在物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理共6個方面提供完善的安全控制措施，包括機房環(huán)境安全、防火墻策略、服務器安全控制、后臺訪問控制、數(shù)據(jù)庫安全策略，以及安全管理制度、安全人員管理等，如表1所示。

表1 等級保護2.0測評標準Table 1 Criterion for graded protection evaluation 2.0

3 系統(tǒng)設計

3.1 網(wǎng)站框架設計

網(wǎng)站框架由網(wǎng)站前端和管理后臺兩部分組成。網(wǎng)站前端是網(wǎng)站結構、UI(User Interface)界面的整體設計與呈現(xiàn)，包括欄目、新聞、圖片、鏈接等信息的排列展示，并提供消息提醒、信息檢索、超鏈接導航等功能；管理后臺通過處理各種業(yè)務邏輯與前端進行交互，提供新聞發(fā)布、信息更新、菜單管理、日志記錄等功能，為管理員提供便捷的后臺管理窗口。

網(wǎng)站前端功能結構，如圖1所示，設置有首頁、關于我們、科學研究、科技交流、科研平臺、研究生教育、期刊圖書、黨的建設、專題集錦、English共10個菜單模塊。其中，網(wǎng)站首頁UI設計采用三列式布局，包含有頭條新聞、水利要聞、工作動態(tài)、通知公告、走進長科院等重要信息窗口和欄目，以及人才招聘、郵件系統(tǒng)、《長江科學院院報》平臺等交互入口，使網(wǎng)站整體呈現(xiàn)出層次分明、重點突出、豐富多樣的視覺效果，不僅清晰明了地展示出長江科學院的基本信息以及最新動態(tài)，而且還宣傳介紹了長江科學院的專家教授、專業(yè)資質、科研水平和重大科技成果等重要內(nèi)容。

圖1 Web前端結構Fig.1 Front-end structure of website

網(wǎng)站后臺管理主要包含菜單管理、賬戶管理及權限配置、日志管理、新聞的發(fā)布與審核，以及圖片欄目管理，如圖2所示。

圖2 網(wǎng)站管理后臺Fig.2 Back-end structureof website

(1)菜單管理：對網(wǎng)站首頁的10個主菜單及其子菜單進行管理，可以靈活地調(diào)整更新菜單模塊信息。

(2)賬戶管理及權限配置：對后臺登錄賬戶進行分類管理，共分為網(wǎng)站管理員、責任編輯、編輯3種人員類型，并對這3種類型進行后臺菜單權限、操作權限的分配。

(3)日志管理：記錄所有賬戶的登錄日志信息、操作日志信息，以及賬號異常日志信息，觸發(fā)安全設置的賬號會被自動鎖定。

(4)新聞發(fā)布與審核管理：通過功能強大的內(nèi)容編輯器對新聞內(nèi)容進行編輯，選擇新聞所屬欄目、是否置頂、是否圖片新聞等選項，經(jīng)責任編輯審核后發(fā)布到各個新聞欄目；另外，在新聞列表中，責任編輯可對所有新聞進行修改、刪除等操作。

(5)圖片欄目管理：對網(wǎng)站中所有的圖片欄目進行可視化管理，管理員可以輕松在后臺增加、修改欄目信息，前臺會自動更新，為管理員節(jié)省了大量去修改前臺腳本的時間。

3.2 Bootstrap響應式頁面設計

為了讓用戶能獲得良好的視覺體驗，不會因為瀏覽器版本、終端顯示設備的尺寸等原因影響網(wǎng)站瀏覽效果，系統(tǒng)采用簡潔靈活的Bootstrap框架，對網(wǎng)站實現(xiàn)響應式頁面設計，在提高系統(tǒng)兼容性同時，使網(wǎng)站UI更加簡潔美觀。

Bootstrap是一款應用于開發(fā)Web應用程序和網(wǎng)站的前端框架，集合了HTML、CSS、Javascript、Jquery技術，提供了一套可實現(xiàn)快速開發(fā)的前端工具包，以及開源的代碼庫和樣式化的參考文檔；并且具有較好的兼容性，能夠有效解決前端開發(fā)中由于瀏覽器兼容性、屏幕分辨率、終端設備類型等因素造成的網(wǎng)站前端布局錯亂、界面風格不統(tǒng)一、用戶體驗不友好等問題[7]。

Bootstrap的柵格系統(tǒng)是實現(xiàn)響應式頁面布局的核心，也是解決網(wǎng)頁兼容性問題的關鍵所在。柵格系統(tǒng)把窗口容器等分為12份，可以根據(jù)頁面布局需求靈活劃分頁面元素所跨越的列數(shù)，滿足頁面布局需求；并且，頁面可以在不影響內(nèi)容展示的情況下，在不同的終端設備上呈現(xiàn)出特定的視覺效果。

Bootstrap的柵格系統(tǒng)是實現(xiàn)響應式頁面布局的核心，也是解決網(wǎng)頁兼容性問題的關鍵所在。柵格系統(tǒng)把窗口容器等分為12份，可以根據(jù)頁面布局需求靈活劃分頁面元素所跨越的列數(shù)，滿足頁面布局需求；并且，頁面可以在不影響內(nèi)容展示的情況下，在不同的終端設備上呈現(xiàn)出特定的視覺效果。

柵格系統(tǒng)有3層基本結構：最外層container和最里層column及夾層row，row里面可以包含很多column，柵格系統(tǒng)就是通過row和column的組合來創(chuàng)建頁面布局[8]。從實現(xiàn)原理出發(fā)，快速搭建響應式頁面的步驟如下：

第一步，新建一個HTML頁面，并在頁面中引用加載Bootstrap的3個文件bootstrap.min.css、jquery.min.js、bootstrap.min.js。

第二步，定義一個容器(container)，Bootstrap的.container 類是用于固定寬度并支持響應式布局的容器類。

第三步，在容器的div內(nèi)，可以靈活創(chuàng)建若干行(row)，設置合適的對齊方式、內(nèi)邊距等屬性。

第四步，在行內(nèi)創(chuàng)建水平方向的列元素(column),列是行的唯一直接子元素，用于放置網(wǎng)頁內(nèi)容，可以靈活設置列寬，支持列嵌套、列偏移等功能。

第五步，按照container、row、column的順序，根據(jù)布局需求層層定義，完成響應式頁面設計。

通過Bootstrap的基礎框架，可以快速搭建響應式Web頁面，完成一個網(wǎng)站的基本布局，其豐富的組件和插件，可用于創(chuàng)建圖像、下拉菜單、導航、按鈕組、圖標、輸入框、面板等，不僅為個性化的定制開發(fā)提供便利，也使得頁面整體呈現(xiàn)風格一致、功能齊全，用戶體驗好[9]。采用Bootstrap設計的響應式頁面，很好地解決了網(wǎng)頁的兼容性問題，并且代碼簡潔，易于修改，可以大大縮短前端開發(fā)時間，提升網(wǎng)站維護效率。

3.3 MVC框架設計

本系統(tǒng)采用ASP.NET MVC4開發(fā)模式，完成整體設計與應用功能開發(fā)，如圖3所示。前端視圖層基于Bootstrap框架，實現(xiàn)響應式Web頁面設計，用戶可以在PC端、移動端獲得良好的視覺體驗；控制層處理用戶發(fā)送的指令和數(shù)據(jù)，并提交給業(yè)務模型；模型層連接數(shù)據(jù)庫，進行存儲和業(yè)務邏輯判斷，然后將結果返回給視圖層，用戶得到對應的反饋信息。

圖3 MVC框架Fig.3 MVC framework

4 系統(tǒng)實現(xiàn)

4.1 滿足等保標準的系統(tǒng)實現(xiàn)

通過等級保護測評，從表1中的6個方面對本系統(tǒng)提出了安全問題分析及整改建議，其中，系統(tǒng)所在機房配置了UPS設備，滿足雙路供電、濕溫控制、防火、防靜電等要求，并發(fā)布了網(wǎng)絡安全管理辦法和安全責任人管理制度，在物理安全和安全管理方面基本達到二級系統(tǒng)測評標準；而在網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全方面，仍存在重要安全漏洞。針對具體問題，系統(tǒng)在防火墻、服務器、管理后臺、數(shù)據(jù)庫等方面做出了優(yōu)化改進與安全控制措施，以完全達到等級保護測評要求。

4.1.1 防火墻策略

在本系統(tǒng)網(wǎng)絡中搭載下一代防火墻，開啟IPS模塊，通過深入洞察網(wǎng)絡流量中的用戶、應用和內(nèi)容，為用戶提供有效的應用層一體化安全防護，對各類網(wǎng)絡攻擊行為進行監(jiān)視，對網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄。同時，對需要遠程服務器的管理員登錄地址進行限制，將范圍控制到網(wǎng)段級；對登陸管理后臺的用戶地址進行限制，將范圍控制到個人與指定IP。在特殊敏感時期，為了進一步加強安全管理，可以對防火墻策略進行動態(tài)調(diào)整，如：控制登錄時間段、限制登錄次數(shù)等。

4.1.2 服務器安全設置

在服務器上安裝了強大的企業(yè)級安全防護軟件，可以定期對服務器進行漏洞掃描，并及時更新病毒庫，有效防止惡意代碼軟件或病毒的攻擊。在服務器的安全策略中，設置遠程管理采用加密協(xié)議連接，防止信息在網(wǎng)絡傳輸過程中被竊聽；啟用密碼安全策略，設置服務器登陸密碼的復雜度及密碼使用期限，到期后必須修改符合密碼復雜度的新密碼；啟用賬戶鎖定策略，限制非法登錄次數(shù)，在賬戶登錄失敗時，采取自動退出并鎖定賬戶等措施。

4.1.3 forms身份驗證

網(wǎng)站的管理后臺，不僅負責信息的更新同步，新聞動態(tài)的發(fā)布與審核，而且還包含了不同角色用戶的賬戶管理、權限管理等功能，因此，管理后臺的安全性顯得尤其重要。

本系統(tǒng)對賬號、密碼采用加密傳輸技術，并對后臺登錄頁面實現(xiàn)forms身份驗證，通過配置文件中的 開啟安全身份驗證模式，用戶通過身份認證后才能獲得相應的訪問授權；同時還對登錄異常賬戶設置鎖定時間和鎖定閾值，大大降低管理后臺的安全風險。

4.1.4 數(shù)據(jù)庫安全策略

數(shù)據(jù)庫作為系統(tǒng)的核心組成部分，存儲網(wǎng)站的所有數(shù)據(jù)信息，其安全性直接關系到整個系統(tǒng)的信息安全，因此，在系統(tǒng)部署過程中，對數(shù)據(jù)庫進行了以下安全策略設置：對登錄數(shù)據(jù)庫的賬戶及其地址進行限制，并與服務器的管理員實行權限分離；加強數(shù)據(jù)庫密碼管理，限制用戶口令長度及復雜度；擴大數(shù)據(jù)庫審計范圍，對每個數(shù)據(jù)庫用戶的操作行為進行審計；設置數(shù)據(jù)庫日常備份機制，制定詳細的數(shù)據(jù)庫應急預案。

另外，本系統(tǒng)還對SQL注入問題做了安全處理。SQL注入是Web應用系統(tǒng)中最普遍、最嚴重的安全漏洞之一，攻擊者通過在正常的執(zhí)行命令中插入惡意的SQL語句，在管理員不知情的情況下實現(xiàn)非法操作，達到欺騙數(shù)據(jù)庫服務器執(zhí)行非授權的任意查詢，進而達到盜取相應數(shù)據(jù)信息的目的[10]。系統(tǒng)采用Entity Framework框架，通過過濾器過濾或轉義特殊字符，實現(xiàn)SQL語句參數(shù)化傳遞而非字符串文本形式傳遞，從而防止SQL注入式攻擊。

4.2 系統(tǒng)測試

4.2.1 系統(tǒng)定級測評

通過對物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理6個方面共166個小項進行單項測評與總體分析，系統(tǒng)測評項符合率達到82.79%，不存在高風險問題，順利通過等級保護專業(yè)測評。這說明長江水利科技網(wǎng)總體安全保護狀況較好，達到網(wǎng)絡安全等級保護二級系統(tǒng)要求。

4.2.2 系統(tǒng)應用測試

在不同IP地址、不同用戶終端的環(huán)境下，從瀏覽器兼容性、新聞的發(fā)布與審核、信息的同步與查詢、用戶登陸、后臺權限控制等多個方面，對系統(tǒng)進行一段時間的應用測試，網(wǎng)站首頁在PC端和移動端的顯示效果分別如圖4、圖5所示。測試結果表明：網(wǎng)站兼容性良好，能夠很好地適應各種主流瀏覽器和不同尺寸的顯示終端；界面清晰美觀，用戶瀏覽體驗好；后臺管理安全、高效，前后臺數(shù)據(jù)同步簡單、便捷；系統(tǒng)整體運行穩(wěn)定流暢，性能良好，達到使用要求。

圖4 PC端網(wǎng)站首頁Fig.4 Homepage of the website on PC

圖5 移動端網(wǎng)站首頁Fig.5 Homepage of the website on mobile terminal

5 結 語

系統(tǒng)采用ASP.NET MVC4+Bootstrap框架，完成整體功能開發(fā)及響應式頁面設計，Bootstrap框架擁有強大的柵格系統(tǒng)，并提供了豐富的組件，在提高Web頁面開發(fā)效率的同時使后期維護更新變得更加靈活簡單，而且頁面布局更加清晰美觀，兼容性好。并且，根據(jù)等級保護2.0測評標準，系統(tǒng)對網(wǎng)絡安全問題進行全面整改，完成了網(wǎng)絡安全布局，并順利通過了網(wǎng)絡安全等級保護二級系統(tǒng)測評。本系統(tǒng)作為長江科學院信息化建設的重要組成部分，也是對外宣傳、科技交流的信息平臺和重要窗口，自上線以來，系統(tǒng)運行穩(wěn)定，數(shù)據(jù)訪問安全，界面美觀，操作便捷，用戶體驗良好。