信息化网站系统建设中的安全方案探讨

2022-03-21版权声明我要投稿

  摘要:随着信息技术的发展,网站安全问题越来越被重视,它包含于网站系统的全生命周期流程。本文主要介绍了在信息化网站系统的建设过程中,从使用HTTPS证书、CDN服务及渗透测试服务三个方面进行网站系统安全方案的考虑。根据实际系统建设项目经验,提出网站系统建设时应重点提及的安全要求。

  关键词:网站建设;信息化;安全方案;

  如今互联网的发展带动了各行各业的转型和变革,“互联网+”的概念深入人心,越来越多的公司尝试通过网络宣传自己,提升服务能力,获取更多客户,各种各样的网站应用应运而生。网络科技发展的同时,也伴随着各种攻击、威胁和风险的发生。面对这些情况,企业更需要了解自身的安全状况,在信息化网站系统建设时,要提前做好准备,防患于未然。

  在信息化网站系统的建设过程中,可以从以下几个方面来减少网站被攻击的可能性。

1 使用HTTPS证书

  HTTPS即超文本传输安全协议,是一种网络安全传输协议。HTTPS协议是由SSL+HTTP协议构建的,可进行加密传输、身份认证的网络协议,要比HTTP更安全,可以防止数据在传输过程中不被窃取、改变,确保数据的安全完整性[1]。

  在网站安全防护中,HTTPS升级改造是不可避免地一环,如果能在网站建设初期就规划好,可为之后的工作减少不必要的麻烦。使用HTTPS证书,一般分为三个步骤:

  (1)申请证书,根据自身网站规模,购买合适的证书类型,一般分为DV域名型证书、OV企业型证书和EV增强型证书,常见的品牌有DigiCert、TrustAsia、Geo Trust等。

  (2)安装证书,在取得证书文件之后,需要根据不同的Web服务器,将证书文件拷贝到对应文件夹下,并修改相关配置文件。

  (3)设置跳转,当配置好HTTPS之后,对于一些还是可以直接访问HTTP域名的用户,这个时候就需要提前进行跳转设置,当用户访问HTTP域名自动跳转到HTTPS上。

2 使用CDN服务

  CDN即内容分发网络,是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度[2]。包括分布式存储、负载均衡、网络请求的重定向和内容管理四个重要部分。

  使用CDN服务不仅可以对网站内容进行加速,还能够保护网络安全,有效抵御不同类型DDo S、CC攻击。通过修改网站域名解析,把网站域名解析到CDN的CNAME上,将服务器源码IP地址隐藏于公网之后,从而使网络黑客无法进行攻击和渗透操作。通过策略设置,CDN的防御机制会自动识别是否为攻击,如果检测到了攻击,就会自动进行清洗过滤。比如,检查到同一IP地址长时间不停请求访问一个地址,可以设置其每5分钟只能连接一次。还可以通过黑名单设置,禁止某些IP地址的访问。

3 进行渗透测试

  渗透测试(Penetration Test)是指安全工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术,利用专业的安全扫描器和安全测试工具对目标系统做深入非破坏性探测,发现系统最脆弱的环节。

  渗透测试服务能够直观地让网站管理人员更好地知道自己网站所面临的问题和安全风险,并对测试过程中发现的网站安全风险给出具体有效的修复建议,帮助解决网站中存在的安全问题。通过渗透测试服务可以发现逻辑性更强、更深层次的安全风险点。渗透测试的工作范围主要包括:

  (1)服务器操作系统渗透;

  (2)数据库系统渗透测试;

  (3)WEB应用系统渗透;

  (4)网络设备渗透测试;

  (5)弱口令猜解。

  在网站上线前,进行一次完整的渗透测试是非常有必要的。帮助网站管理者提前发现问题,进行修复,能极大地减小安全隐患。另外,还可以安排定期进行渗透测试服务。随着操作系统、中间件的版本升级,运维管理过程中,可能出现打补丁不及时、忘记升级软件版本等情况,通过每年的渗透测试服务,可以及时发现系统存在的问题,保障网站安全稳定运行。

4 结语

  信息化网站系统在安全方案设计时,要保证系统的安全性,具备安全管理机制,保证信息存储安全、信息传输和处理安全,保证系统能够正常运行,不被非授权访问,不被攻击破坏[3]。根据实际信息化系统项目建设经验,在网站建设的要求,还应重点提及:

  (1)确保软件应用与个人信息安全,遵循软件开发安全规范,防范XSS、SQL注入、页面组件Bug、W eb应用漏洞、用户登录与隐私信息泄露等安全问题。建立完善的日志管理,做到所有操作有据可查。

  (2)控制上传点,对于上传文件类型进行严格控制(禁止用js进行控制),同时上传目录不能有执行权限,原则上不允许有未经登录验证的上传点;

  (3)设置有效的身份认证、会话管理及访问控制机制,防止越权、平行权限及提权等(禁止利用js进行控制及验证)。

  (4)系统必须有密码复杂度检查模块,密码长度须大于8位,含大小写字母、数字及符号组合。

  (5)禁止在数据库中明文存放用户密码、个人信息等敏感数据。

参考文献

  [1]袁津生,吴砚农.计算机网络安全基础[M].人民邮电出版社:2018.

  [2]刘长建.企业防御DDo S攻击需要多管齐下[J].计算机与网络,2017,43(14):54-55.

  [3]张瑜.信息安全技术综述[J].电子技术与软件工程,2020(01):243-244.

作者:李大为 单位:中国科学技术馆

【信息化网站系统建设中的安全方案探讨】相关文章:

1.信息安全技术在轨道交通信号系统中的应用

2.防火墙技术在计算机网络信息安全中的应用探讨

3.探讨计算机网络中的信息安全威胁和数据加密技术

4.施工项目安全生产监管信息系统建设

5.信息系统安全检查方案二篇

6.信息系统安全建设论文

7.医院信息系统安全建设论文

8.工商联系统网站建设方案

9.智能建筑施工中的网络安全系统检测探讨

10.探讨以信息化推动智慧党校建设

11.基于微信小程序的校园二手商品拍卖网站

12.“创客教育”模式下中职平面设计专业人才培养模式研究