宋蒲斌,王 奔,王 昶，刘 翔

(长江科学院 信息中心，武汉 430010)

1 研究背景

近年来，互联网与信息技术高速发展，网络安全问题越来越受到重视。习近平总书记多次发表关于网络安全的重要讲话，强调“没有网络安全就没有国家安全，没有信息化就没有现代化”，2016年出台的《中华人民共和国网络安全法》中也明确规定，国家开始实行网络安全等级保护制度[1-2]。网络安全等级保护制度是我国关于网络安全的基本政策，也是网络时代医疗、教育、金融、电子政务等领域能安全发展的重要保障。通过网络安全等级保护工作，能有效发现各个行业信息系统与国家安全标准之间存在的差距，找出当前系统存在的安全隐患和系统漏洞，通过比对具体要求，完成各行业系统的安全整改，提高信息系统的安全等级和抗风险能力，合理地规避和降低网络运行风险[3-4]。

门户网站作为提供信息资源和综合服务的应用系统，早已成为政府、学校、企业、单位等各行各业都不可缺少的信息化管理服务平台。长江科学院长江水利科技网在对外宣传、科技交流、综合服务等方面一直发挥着重要作用，但是近几年，网站逐渐显现出界面陈旧、控件老化、兼容性差、功能扩展性不佳、存在网络安全漏洞等方面的问题，已经无法满足新发展需求。建设一个安全、便捷、美观的门户网站，是当前网络安全等级保护背景下的发展趋势，也是长江科学院信息化建设的发展需求。

本文以长江科学院长江水利科技网为例，按照网络安全等级保护要求，对系统进行定级备案、建设整改以及等保测评，并采用MVC架构和Bootstrap前端框架，完成系统的整体开发设计，实现了网站功能的优化升级，网站安全防御能力全面提升。

2 等级保护测评标准

2019年5月，国家发布《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要点》3个网络安全领域的国家标准，标志着等级保护2.0的正式到来[5]。

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及遭到攻击、破坏后对国家安全、公共利益、个人及组织的合法权益的侵害程度等因素，将安全保护等级划分为5级。依据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)[6]的具体内容，长江科学院长江水利科技网属于网络安全等级保护二级系统。

根据等级保护2.0测评标准，本系统在建设与开发过程中，应在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理共6个方面提供完善的安全控制措施，包括机房环境安全、防火墙策略、服务器安全控制、后台访问控制、数据库安全策略，以及安全管理制度、安全人员管理等，如表1所示。

表1 等级保护2.0测评标准Table 1 Criterion for graded protection evaluation 2.0

3 系统设计

3.1 网站框架设计

网站框架由网站前端和管理后台两部分组成。网站前端是网站结构、UI(User Interface)界面的整体设计与呈现，包括栏目、新闻、图片、链接等信息的排列展示，并提供消息提醒、信息检索、超链接导航等功能；管理后台通过处理各种业务逻辑与前端进行交互，提供新闻发布、信息更新、菜单管理、日志记录等功能，为管理员提供便捷的后台管理窗口。

网站前端功能结构，如图1所示，设置有首页、关于我们、科学研究、科技交流、科研平台、研究生教育、期刊图书、党的建设、专题集锦、English共10个菜单模块。其中，网站首页UI设计采用三列式布局，包含有头条新闻、水利要闻、工作动态、通知公告、走进长科院等重要信息窗口和栏目，以及人才招聘、邮件系统、《长江科学院院报》平台等交互入口，使网站整体呈现出层次分明、重点突出、丰富多样的视觉效果，不仅清晰明了地展示出长江科学院的基本信息以及最新动态，而且还宣传介绍了长江科学院的专家教授、专业资质、科研水平和重大科技成果等重要内容。

图1 Web前端结构Fig.1 Front-end structure of website

网站后台管理主要包含菜单管理、账户管理及权限配置、日志管理、新闻的发布与审核，以及图片栏目管理，如图2所示。

图2 网站管理后台Fig.2 Back-end structureof website

(1)菜单管理：对网站首页的10个主菜单及其子菜单进行管理，可以灵活地调整更新菜单模块信息。

(2)账户管理及权限配置：对后台登录账户进行分类管理，共分为网站管理员、责任编辑、编辑3种人员类型，并对这3种类型进行后台菜单权限、操作权限的分配。

(3)日志管理：记录所有账户的登录日志信息、操作日志信息，以及账号异常日志信息，触发安全设置的账号会被自动锁定。

(4)新闻发布与审核管理：通过功能强大的内容编辑器对新闻内容进行编辑，选择新闻所属栏目、是否置顶、是否图片新闻等选项，经责任编辑审核后发布到各个新闻栏目；另外，在新闻列表中，责任编辑可对所有新闻进行修改、删除等操作。

(5)图片栏目管理：对网站中所有的图片栏目进行可视化管理，管理员可以轻松在后台增加、修改栏目信息，前台会自动更新，为管理员节省了大量去修改前台脚本的时间。

3.2 Bootstrap响应式页面设计

为了让用户能获得良好的视觉体验，不会因为浏览器版本、终端显示设备的尺寸等原因影响网站浏览效果，系统采用简洁灵活的Bootstrap框架，对网站实现响应式页面设计，在提高系统兼容性同时，使网站UI更加简洁美观。

Bootstrap是一款应用于开发Web应用程序和网站的前端框架，集合了HTML、CSS、Javascript、Jquery技术，提供了一套可实现快速开发的前端工具包，以及开源的代码库和样式化的参考文档；并且具有较好的兼容性，能够有效解决前端开发中由于浏览器兼容性、屏幕分辨率、终端设备类型等因素造成的网站前端布局错乱、界面风格不统一、用户体验不友好等问题[7]。

Bootstrap的栅格系统是实现响应式页面布局的核心，也是解决网页兼容性问题的关键所在。栅格系统把窗口容器等分为12份，可以根据页面布局需求灵活划分页面元素所跨越的列数，满足页面布局需求；并且，页面可以在不影响内容展示的情况下，在不同的终端设备上呈现出特定的视觉效果。

Bootstrap的栅格系统是实现响应式页面布局的核心，也是解决网页兼容性问题的关键所在。栅格系统把窗口容器等分为12份，可以根据页面布局需求灵活划分页面元素所跨越的列数，满足页面布局需求；并且，页面可以在不影响内容展示的情况下，在不同的终端设备上呈现出特定的视觉效果。

栅格系统有3层基本结构：最外层container和最里层column及夹层row，row里面可以包含很多column，栅格系统就是通过row和column的组合来创建页面布局[8]。从实现原理出发，快速搭建响应式页面的步骤如下：

第一步，新建一个HTML页面，并在页面中引用加载Bootstrap的3个文件bootstrap.min.css、jquery.min.js、bootstrap.min.js。

第二步，定义一个容器(container)，Bootstrap的.container 类是用于固定宽度并支持响应式布局的容器类。

第三步，在容器的div内，可以灵活创建若干行(row)，设置合适的对齐方式、内边距等属性。

第四步，在行内创建水平方向的列元素(column),列是行的唯一直接子元素，用于放置网页内容，可以灵活设置列宽，支持列嵌套、列偏移等功能。

第五步，按照container、row、column的顺序，根据布局需求层层定义，完成响应式页面设计。

通过Bootstrap的基础框架，可以快速搭建响应式Web页面，完成一个网站的基本布局，其丰富的组件和插件，可用于创建图像、下拉菜单、导航、按钮组、图标、输入框、面板等，不仅为个性化的定制开发提供便利，也使得页面整体呈现风格一致、功能齐全，用户体验好[9]。采用Bootstrap设计的响应式页面，很好地解决了网页的兼容性问题，并且代码简洁，易于修改，可以大大缩短前端开发时间，提升网站维护效率。

3.3 MVC框架设计

本系统采用ASP.NET MVC4开发模式，完成整体设计与应用功能开发，如图3所示。前端视图层基于Bootstrap框架，实现响应式Web页面设计，用户可以在PC端、移动端获得良好的视觉体验；控制层处理用户发送的指令和数据，并提交给业务模型；模型层连接数据库，进行存储和业务逻辑判断，然后将结果返回给视图层，用户得到对应的反馈信息。

图3 MVC框架Fig.3 MVC framework

4 系统实现

4.1 满足等保标准的系统实现

通过等级保护测评，从表1中的6个方面对本系统提出了安全问题分析及整改建议，其中，系统所在机房配置了UPS设备，满足双路供电、湿温控制、防火、防静电等要求，并发布了网络安全管理办法和安全责任人管理制度，在物理安全和安全管理方面基本达到二级系统测评标准；而在网络安全、主机安全、应用安全、数据安全方面，仍存在重要安全漏洞。针对具体问题，系统在防火墙、服务器、管理后台、数据库等方面做出了优化改进与安全控制措施，以完全达到等级保护测评要求。

4.1.1 防火墙策略

在本系统网络中搭载下一代防火墙，开启IPS模块，通过深入洞察网络流量中的用户、应用和内容，为用户提供有效的应用层一体化安全防护，对各类网络攻击行为进行监视，对网络设备运行状况、网络流量、用户行为等进行日志记录。同时，对需要远程服务器的管理员登录地址进行限制，将范围控制到网段级；对登陆管理后台的用户地址进行限制，将范围控制到个人与指定IP。在特殊敏感时期，为了进一步加强安全管理，可以对防火墙策略进行动态调整，如：控制登录时间段、限制登录次数等。

4.1.2 服务器安全设置

在服务器上安装了强大的企业级安全防护软件，可以定期对服务器进行漏洞扫描，并及时更新病毒库，有效防止恶意代码软件或病毒的攻击。在服务器的安全策略中，设置远程管理采用加密协议连接，防止信息在网络传输过程中被窃听；启用密码安全策略，设置服务器登陆密码的复杂度及密码使用期限，到期后必须修改符合密码复杂度的新密码；启用账户锁定策略，限制非法登录次数，在账户登录失败时，采取自动退出并锁定账户等措施。

4.1.3 forms身份验证

网站的管理后台，不仅负责信息的更新同步，新闻动态的发布与审核，而且还包含了不同角色用户的账户管理、权限管理等功能，因此，管理后台的安全性显得尤其重要。

本系统对账号、密码采用加密传输技术，并对后台登录页面实现forms身份验证，通过配置文件中的 开启安全身份验证模式，用户通过身份认证后才能获得相应的访问授权；同时还对登录异常账户设置锁定时间和锁定阈值，大大降低管理后台的安全风险。

4.1.4 数据库安全策略

数据库作为系统的核心组成部分，存储网站的所有数据信息，其安全性直接关系到整个系统的信息安全，因此，在系统部署过程中，对数据库进行了以下安全策略设置：对登录数据库的账户及其地址进行限制，并与服务器的管理员实行权限分离；加强数据库密码管理，限制用户口令长度及复杂度；扩大数据库审计范围，对每个数据库用户的操作行为进行审计；设置数据库日常备份机制，制定详细的数据库应急预案。

另外，本系统还对SQL注入问题做了安全处理。SQL注入是Web应用系统中最普遍、最严重的安全漏洞之一，攻击者通过在正常的执行命令中插入恶意的SQL语句，在管理员不知情的情况下实现非法操作，达到欺骗数据库服务器执行非授权的任意查询，进而达到盗取相应数据信息的目的[10]。系统采用Entity Framework框架，通过过滤器过滤或转义特殊字符，实现SQL语句参数化传递而非字符串文本形式传递，从而防止SQL注入式攻击。

4.2 系统测试

4.2.1 系统定级测评

通过对物理安全、网络安全、主机安全、应用安全、数据安全、安全管理6个方面共166个小项进行单项测评与总体分析，系统测评项符合率达到82.79%，不存在高风险问题，顺利通过等级保护专业测评。这说明长江水利科技网总体安全保护状况较好，达到网络安全等级保护二级系统要求。

4.2.2 系统应用测试

在不同IP地址、不同用户终端的环境下，从浏览器兼容性、新闻的发布与审核、信息的同步与查询、用户登陆、后台权限控制等多个方面，对系统进行一段时间的应用测试，网站首页在PC端和移动端的显示效果分别如图4、图5所示。测试结果表明：网站兼容性良好，能够很好地适应各种主流浏览器和不同尺寸的显示终端；界面清晰美观，用户浏览体验好；后台管理安全、高效，前后台数据同步简单、便捷；系统整体运行稳定流畅，性能良好，达到使用要求。

图4 PC端网站首页Fig.4 Homepage of the website on PC

图5 移动端网站首页Fig.5 Homepage of the website on mobile terminal

5 结 语

系统采用ASP.NET MVC4+Bootstrap框架，完成整体功能开发及响应式页面设计，Bootstrap框架拥有强大的栅格系统，并提供了丰富的组件，在提高Web页面开发效率的同时使后期维护更新变得更加灵活简单，而且页面布局更加清晰美观，兼容性好。并且，根据等级保护2.0测评标准，系统对网络安全问题进行全面整改，完成了网络安全布局，并顺利通过了网络安全等级保护二级系统测评。本系统作为长江科学院信息化建设的重要组成部分，也是对外宣传、科技交流的信息平台和重要窗口，自上线以来，系统运行稳定，数据访问安全，界面美观，操作便捷，用户体验良好。