APP下载

网络安全等级保护下的门户网站设计与实现

2022-01-23宋蒲斌

长江科学院院报 2022年1期
关键词:后台页面网络安全

宋蒲斌,王 奔,王 昶,刘 翔

(长江科学院 信息中心,武汉 430010)

1 研究背景

近年来,互联网与信息技术高速发展,网络安全问题越来越受到重视。习近平总书记多次发表关于网络安全的重要讲话,强调“没有网络安全就没有国家安全,没有信息化就没有现代化”,2016年出台的《中华人民共和国网络安全法》中也明确规定,国家开始实行网络安全等级保护制度[1-2]。网络安全等级保护制度是我国关于网络安全的基本政策,也是网络时代医疗、教育、金融、电子政务等领域能安全发展的重要保障。通过网络安全等级保护工作,能有效发现各个行业信息系统与国家安全标准之间存在的差距,找出当前系统存在的安全隐患和系统漏洞,通过比对具体要求,完成各行业系统的安全整改,提高信息系统的安全等级和抗风险能力,合理地规避和降低网络运行风险[3-4]。

门户网站作为提供信息资源和综合服务的应用系统,早已成为政府、学校、企业、单位等各行各业都不可缺少的信息化管理服务平台。长江科学院长江水利科技网在对外宣传、科技交流、综合服务等方面一直发挥着重要作用,但是近几年,网站逐渐显现出界面陈旧、控件老化、兼容性差、功能扩展性不佳、存在网络安全漏洞等方面的问题,已经无法满足新发展需求。建设一个安全、便捷、美观的门户网站,是当前网络安全等级保护背景下的发展趋势,也是长江科学院信息化建设的发展需求。

本文以长江科学院长江水利科技网为例,按照网络安全等级保护要求,对系统进行定级备案、建设整改以及等保测评,并采用MVC架构和Bootstrap前端框架,完成系统的整体开发设计,实现了网站功能的优化升级,网站安全防御能力全面提升。

2 等级保护测评标准

2019年5月,国家发布《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要点》3个网络安全领域的国家标准,标志着等级保护2.0的正式到来[5]。

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及遭到攻击、破坏后对国家安全、公共利益、个人及组织的合法权益的侵害程度等因素,将安全保护等级划分为5级。依据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)[6]的具体内容,长江科学院长江水利科技网属于网络安全等级保护二级系统。

根据等级保护2.0测评标准,本系统在建设与开发过程中,应在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理共6个方面提供完善的安全控制措施,包括机房环境安全、防火墙策略、服务器安全控制、后台访问控制、数据库安全策略,以及安全管理制度、安全人员管理等,如表1所示。

表1 等级保护2.0测评标准Table 1 Criterion for graded protection evaluation 2.0

3 系统设计

3.1 网站框架设计

网站框架由网站前端和管理后台两部分组成。网站前端是网站结构、UI(User Interface)界面的整体设计与呈现,包括栏目、新闻、图片、链接等信息的排列展示,并提供消息提醒、信息检索、超链接导航等功能;管理后台通过处理各种业务逻辑与前端进行交互,提供新闻发布、信息更新、菜单管理、日志记录等功能,为管理员提供便捷的后台管理窗口。

网站前端功能结构,如图1所示,设置有首页、关于我们、科学研究、科技交流、科研平台、研究生教育、期刊图书、党的建设、专题集锦、English共10个菜单模块。其中,网站首页UI设计采用三列式布局,包含有头条新闻、水利要闻、工作动态、通知公告、走进长科院等重要信息窗口和栏目,以及人才招聘、邮件系统、《长江科学院院报》平台等交互入口,使网站整体呈现出层次分明、重点突出、丰富多样的视觉效果,不仅清晰明了地展示出长江科学院的基本信息以及最新动态,而且还宣传介绍了长江科学院的专家教授、专业资质、科研水平和重大科技成果等重要内容。

图1 Web前端结构Fig.1 Front-end structure of website

网站后台管理主要包含菜单管理、账户管理及权限配置、日志管理、新闻的发布与审核,以及图片栏目管理,如图2所示。

图2 网站管理后台Fig.2 Back-end structureof website

(1)菜单管理:对网站首页的10个主菜单及其子菜单进行管理,可以灵活地调整更新菜单模块信息。

(2)账户管理及权限配置:对后台登录账户进行分类管理,共分为网站管理员、责任编辑、编辑3种人员类型,并对这3种类型进行后台菜单权限、操作权限的分配。

(3)日志管理:记录所有账户的登录日志信息、操作日志信息,以及账号异常日志信息,触发安全设置的账号会被自动锁定。

(4)新闻发布与审核管理:通过功能强大的内容编辑器对新闻内容进行编辑,选择新闻所属栏目、是否置顶、是否图片新闻等选项,经责任编辑审核后发布到各个新闻栏目;另外,在新闻列表中,责任编辑可对所有新闻进行修改、删除等操作。

(5)图片栏目管理:对网站中所有的图片栏目进行可视化管理,管理员可以轻松在后台增加、修改栏目信息,前台会自动更新,为管理员节省了大量去修改前台脚本的时间。

3.2 Bootstrap响应式页面设计

为了让用户能获得良好的视觉体验,不会因为浏览器版本、终端显示设备的尺寸等原因影响网站浏览效果,系统采用简洁灵活的Bootstrap框架,对网站实现响应式页面设计,在提高系统兼容性同时,使网站UI更加简洁美观。

Bootstrap是一款应用于开发Web应用程序和网站的前端框架,集合了HTML、CSS、Javascript、Jquery技术,提供了一套可实现快速开发的前端工具包,以及开源的代码库和样式化的参考文档;并且具有较好的兼容性,能够有效解决前端开发中由于浏览器兼容性、屏幕分辨率、终端设备类型等因素造成的网站前端布局错乱、界面风格不统一、用户体验不友好等问题[7]。

Bootstrap的栅格系统是实现响应式页面布局的核心,也是解决网页兼容性问题的关键所在。栅格系统把窗口容器等分为12份,可以根据页面布局需求灵活划分页面元素所跨越的列数,满足页面布局需求;并且,页面可以在不影响内容展示的情况下,在不同的终端设备上呈现出特定的视觉效果。

Bootstrap的栅格系统是实现响应式页面布局的核心,也是解决网页兼容性问题的关键所在。栅格系统把窗口容器等分为12份,可以根据页面布局需求灵活划分页面元素所跨越的列数,满足页面布局需求;并且,页面可以在不影响内容展示的情况下,在不同的终端设备上呈现出特定的视觉效果。

栅格系统有3层基本结构:最外层container和最里层column及夹层row,row里面可以包含很多column,栅格系统就是通过row和column的组合来创建页面布局[8]。从实现原理出发,快速搭建响应式页面的步骤如下:

第一步,新建一个HTML页面,并在页面中引用加载Bootstrap的3个文件bootstrap.min.css、jquery.min.js、bootstrap.min.js。

第二步,定义一个容器(container),Bootstrap的.container 类是用于固定宽度并支持响应式布局的容器类。

第三步,在容器的div内,可以灵活创建若干行(row),设置合适的对齐方式、内边距等属性。

第四步,在行内创建水平方向的列元素(column),列是行的唯一直接子元素,用于放置网页内容,可以灵活设置列宽,支持列嵌套、列偏移等功能。

第五步,按照container、row、column的顺序,根据布局需求层层定义,完成响应式页面设计。

通过Bootstrap的基础框架,可以快速搭建响应式Web页面,完成一个网站的基本布局,其丰富的组件和插件,可用于创建图像、下拉菜单、导航、按钮组、图标、输入框、面板等,不仅为个性化的定制开发提供便利,也使得页面整体呈现风格一致、功能齐全,用户体验好[9]。采用Bootstrap设计的响应式页面,很好地解决了网页的兼容性问题,并且代码简洁,易于修改,可以大大缩短前端开发时间,提升网站维护效率。

3.3 MVC框架设计

本系统采用ASP.NET MVC4开发模式,完成整体设计与应用功能开发,如图3所示。前端视图层基于Bootstrap框架,实现响应式Web页面设计,用户可以在PC端、移动端获得良好的视觉体验;控制层处理用户发送的指令和数据,并提交给业务模型;模型层连接数据库,进行存储和业务逻辑判断,然后将结果返回给视图层,用户得到对应的反馈信息。

图3 MVC框架Fig.3 MVC framework

4 系统实现

4.1 满足等保标准的系统实现

通过等级保护测评,从表1中的6个方面对本系统提出了安全问题分析及整改建议,其中,系统所在机房配置了UPS设备,满足双路供电、湿温控制、防火、防静电等要求,并发布了网络安全管理办法和安全责任人管理制度,在物理安全和安全管理方面基本达到二级系统测评标准;而在网络安全、主机安全、应用安全、数据安全方面,仍存在重要安全漏洞。针对具体问题,系统在防火墙、服务器、管理后台、数据库等方面做出了优化改进与安全控制措施,以完全达到等级保护测评要求。

4.1.1 防火墙策略

在本系统网络中搭载下一代防火墙,开启IPS模块,通过深入洞察网络流量中的用户、应用和内容,为用户提供有效的应用层一体化安全防护,对各类网络攻击行为进行监视,对网络设备运行状况、网络流量、用户行为等进行日志记录。同时,对需要远程服务器的管理员登录地址进行限制,将范围控制到网段级;对登陆管理后台的用户地址进行限制,将范围控制到个人与指定IP。在特殊敏感时期,为了进一步加强安全管理,可以对防火墙策略进行动态调整,如:控制登录时间段、限制登录次数等。

4.1.2 服务器安全设置

在服务器上安装了强大的企业级安全防护软件,可以定期对服务器进行漏洞扫描,并及时更新病毒库,有效防止恶意代码软件或病毒的攻击。在服务器的安全策略中,设置远程管理采用加密协议连接,防止信息在网络传输过程中被窃听;启用密码安全策略,设置服务器登陆密码的复杂度及密码使用期限,到期后必须修改符合密码复杂度的新密码;启用账户锁定策略,限制非法登录次数,在账户登录失败时,采取自动退出并锁定账户等措施。

4.1.3 forms身份验证

网站的管理后台,不仅负责信息的更新同步,新闻动态的发布与审核,而且还包含了不同角色用户的账户管理、权限管理等功能,因此,管理后台的安全性显得尤其重要。

本系统对账号、密码采用加密传输技术,并对后台登录页面实现forms身份验证,通过配置文件中的 开启安全身份验证模式,用户通过身份认证后才能获得相应的访问授权;同时还对登录异常账户设置锁定时间和锁定阈值,大大降低管理后台的安全风险。

4.1.4 数据库安全策略

数据库作为系统的核心组成部分,存储网站的所有数据信息,其安全性直接关系到整个系统的信息安全,因此,在系统部署过程中,对数据库进行了以下安全策略设置:对登录数据库的账户及其地址进行限制,并与服务器的管理员实行权限分离;加强数据库密码管理,限制用户口令长度及复杂度;扩大数据库审计范围,对每个数据库用户的操作行为进行审计;设置数据库日常备份机制,制定详细的数据库应急预案。

另外,本系统还对SQL注入问题做了安全处理。SQL注入是Web应用系统中最普遍、最严重的安全漏洞之一,攻击者通过在正常的执行命令中插入恶意的SQL语句,在管理员不知情的情况下实现非法操作,达到欺骗数据库服务器执行非授权的任意查询,进而达到盗取相应数据信息的目的[10]。系统采用Entity Framework框架,通过过滤器过滤或转义特殊字符,实现SQL语句参数化传递而非字符串文本形式传递,从而防止SQL注入式攻击。

4.2 系统测试

4.2.1 系统定级测评

通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理6个方面共166个小项进行单项测评与总体分析,系统测评项符合率达到82.79%,不存在高风险问题,顺利通过等级保护专业测评。这说明长江水利科技网总体安全保护状况较好,达到网络安全等级保护二级系统要求。

4.2.2 系统应用测试

在不同IP地址、不同用户终端的环境下,从浏览器兼容性、新闻的发布与审核、信息的同步与查询、用户登陆、后台权限控制等多个方面,对系统进行一段时间的应用测试,网站首页在PC端和移动端的显示效果分别如图4、图5所示。测试结果表明:网站兼容性良好,能够很好地适应各种主流浏览器和不同尺寸的显示终端;界面清晰美观,用户浏览体验好;后台管理安全、高效,前后台数据同步简单、便捷;系统整体运行稳定流畅,性能良好,达到使用要求。

图4 PC端网站首页Fig.4 Homepage of the website on PC

图5 移动端网站首页Fig.5 Homepage of the website on mobile terminal

5 结 语

系统采用ASP.NET MVC4+Bootstrap框架,完成整体功能开发及响应式页面设计,Bootstrap框架拥有强大的栅格系统,并提供了丰富的组件,在提高Web页面开发效率的同时使后期维护更新变得更加灵活简单,而且页面布局更加清晰美观,兼容性好。并且,根据等级保护2.0测评标准,系统对网络安全问题进行全面整改,完成了网络安全布局,并顺利通过了网络安全等级保护二级系统测评。本系统作为长江科学院信息化建设的重要组成部分,也是对外宣传、科技交流的信息平台和重要窗口,自上线以来,系统运行稳定,数据访问安全,界面美观,操作便捷,用户体验良好。

猜你喜欢

后台页面网络安全
云计算环境下网络安全等级保护的实现途径
答案
让Word同时拥有横向页和纵向页
新量子通信线路保障网络安全
Wu Fenghua:Yueju Opera Artist
维护网络安全 筑牢网络强省屏障
后台暗恋
我国拟制定网络安全法
后台的风景
驱动器页面文件大小的总数为何总是07