信息化网站系统建设中的安全方案探讨

2021-03-07李大为

网络安全技术与应用 2021年9期

◆李大为

信息化网站系统建设中的安全方案探讨

◆李大为

（中国科学技术馆北京 100012）

随着信息技术的发展，网站安全问题越来越被重视，它包含于网站系统的全生命周期流程。本文主要介绍了在信息化网站系统的建设过程中，从使用HTTPS证书、CDN服务及渗透测试服务三个方面进行网站系统安全方案的考虑。根据实际系统建设项目经验，提出网站系统建设时应重点提及的安全要求。

网站建设；信息化；安全方案

如今互联网的发展带动了各行各业的转型和变革，“互联网+”的概念深入人心，越来越多的公司尝试通过网络宣传自己，提升服务能力，获取更多客户，各种各样的网站应用应运而生。网络科技发展的同时，也伴随着各种攻击、威胁和风险的发生。面对这些情况，企业更需要了解自身的安全状况，在信息化网站系统建设时，要提前做好准备，防患于未然。

在信息化网站系统的建设过程中，可以从以下几个方面来减少网站被攻击的可能性。

1 使用HTTPS证书

HTTPS即超文本传输安全协议，是一种网络安全传输协议。HTTPS协议是由SSL+HTTP协议构建的，可进行加密传输、身份认证的网络协议，要比HTTP更安全，可以防止数据在传输过程中不被窃取、改变，确保数据的安全完整性[1]。

在网站安全防护中，HTTPS升级改造是不可避免地一环，如果能在网站建设初期就规划好，可为之后的工作减少不必要的麻烦。使用HTTPS证书，一般分为三个步骤：

（1）申请证书，根据自身网站规模，购买合适的证书类型，一般分为DV域名型证书、OV企业型证书和EV增强型证书，常见的品牌有DigiCert、TrustAsia、GeoTrust等。

（2）安装证书，在取得证书文件之后，需要根据不同的Web服务器，将证书文件拷贝到对应文件夹下，并修改相关配置文件。

（3）设置跳转，当配置好HTTPS之后，对于一些还是可以直接访问HTTP域名的用户，这个时候就需要提前进行跳转设置，当用户访问HTTP域名自动跳转到HTTPS上。

2 使用CDN服务

CDN即内容分发网络，是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度[2]。包括分布式存储、负载均衡、网络请求的重定向和内容管理四个重要部分。

使用CDN服务不仅可以对网站内容进行加速，还能够保护网络安全，有效抵御不同类型DDoS、CC攻击。通过修改网站域名解析，把网站域名解析到CDN的CNAME上，将服务器源码IP地址隐藏于公网之后，从而使网络黑客无法进行攻击和渗透操作。通过策略设置，CDN的防御机制会自动识别是否为攻击，如果检测到了攻击，就会自动进行清洗过滤。比如，检查到同一IP地址长时间不停请求访问一个地址，可以设置其每5分钟只能连接一次。还可以通过黑名单设置，禁止某些IP地址的访问。

3 进行渗透测试

渗透测试（Penetration Test）是指安全工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术，利用专业的安全扫描器和安全测试工具对目标系统做深入非破坏性探测，发现系统最脆弱的环节。

渗透测试服务能够直观地让网站管理人员更好地知道自己网站所面临的问题和安全风险，并对测试过程中发现的网站安全风险给出具体有效的修复建议，帮助解决网站中存在的安全问题。通过渗透测试服务可以发现逻辑性更强、更深层次的安全风险点。渗透测试的工作范围主要包括：

（1）服务器操作系统渗透；

（2）数据库系统渗透测试；

（3）WEB应用系统渗透；

（4）网络设备渗透测试；

（5）弱口令猜解。

在网站上线前，进行一次完整的渗透测试是非常有必要的。帮助网站管理者提前发现问题，进行修复，能极大地减小安全隐患。另外，还可以安排定期进行渗透测试服务。随着操作系统、中间件的版本升级，运维管理过程中，可能出现打补丁不及时、忘记升级软件版本等情况，通过每年的渗透测试服务，可以及时发现系统存在的问题，保障网站安全稳定运行。