浅议从网站安全角度中小企业建立门户网站的策略
DOI:10.16640/j.cnki.37-1222/t.2017.14.118
随着互联网时代的深入,企业门户网站的建设已经变的很普遍也极其必要,但由于企业选择的不同建站方式,网站的结构与技术水平有相当大的差异,各中对于网站宣传作用的影响主要受制于内容、结构的设计,但一个不可忽视的问题:网站安全也随之浮出水面,不得不引起我们的重视。
网站安全对于企业门户网站而言,主要体现在两个方面:既系统安全与数据安全。前者保障网站系统的稳定工作,不会因为某种事件导致网站系统的崩溃,从而中断网站的运营,影响用户及客户的访问,进而妨碍企业的正常宣传和具体业务。后者保障网站上的企业及客户的数据不被恶意的删除、篡改、窃取和盗链,或因各种原因导致数据的丢失和损毁。这里单独解释一下盗链的定义与危害,盗链简单的说即是未经企业的许可将将企业网站中的部分数据引用至其它的网站,可以这样理解:如果整个网站被引用,这是对企业的有益引用,我们所指的盗链是局部数据的盗引(如对于旅游网站的图片和线路的引用;对于内容服务类企业网站中内容的引用)。这种引用会导致两方面的后果:一方面是企业的创意和业务数据被盗用和滥用,另一方面大量的盗链会导致网站的带宽被引用的网站访客所占用,致使网站访问速度变慢,影响正常的?L问速度及网站的稳定性。
下面我们将从建站模式的选择,网站运营平台的选择,主要的安全策略,维护中的注意事项几个方面加以详细的讨论。
1 建站模式的选择
首先是建站团队的选择,主要是三种情况:1)建站服务商,优点是技术成熟,团队稳定,售前售后服务好,开发经验充足,缺点是成本较高,这种开发团队适合企业规模较大,对网站的稳定性和性能要求较高的企业;2)企业内部技术员工,优点是对企业情况及需求较为了解,开发成本低,缺点是没有完整的项目规程和成熟的开发经验,这种开发模式适合拥有独立技术部门且对网站安全性要求不高的企业;3)独立开发者,主要是淘宝或技术群中专门从事网站开发的专门独立技术提供者,优点是专业水平和服务尚可,开发成本较低,缺点是团队稳定性差,比较适合微小企业。
这里面涉及具体的有关于网站安全的是网站模式的选择,常用的是B/S(浏览器-服务器)结构,B/S结构的特点是所有的数据和程序在服务器端存储和运行,这种结构兼容性非常好,能在各种操作系统和浏览器以及移动终端上打开,有利于企业的宣传。也因为如此,大量的并行访问也对B/S结构对于服务器性能和稳定性提出了较高要求。建议有条件采用独立服务器的企业,选用性能配比较高的刀片式服务器,常用的服务器有IBM公司和康柏公司的服务器。
网站开发语言常用的有ASP、JSP和.Net,ASP(Active Server Pages)活动交互服务模式,便于发开和维护,支持多种即时翻译程序。.net是ASP的扩展应用,提高了网站程序和代码的安全性和稳定性。Jsp(Java Server Pages),是基于JAVA语言和小程序的,与标记语言(HTML)相结合的,通过性较强的活动网页开发技术。开发团队可以结合开发成本、企业需求和安全需求三方面来进行选择。
2 网站运行平台的选择
企业的网站需要24小时的运行,这就需要一个稳定的运行平台,关于软件环境这是需要网站开发团队来制定,主要是操作系统,目前流行的是windows2008,及数据库系统,目前主要以SQL和ORACLE为主。本文主要讨论企业建站应该选用什么样的硬件平台。目前主要的模式是独立主机和虚拟空间两种。独立主机是只独立架设一台网站服务器,优点在于便于管理与维护,扩容性强;缺点是费用较高,维护成本高,技术要求高,适用于企业规模较大,网站结构宏大,功能全面,访问量大的环境。虚拟空间是指在服务提供商的主机中划出虚拟空间来运行企业的网站,优点是成本低,缺点是容量有限,访问速度受限,可扩容性差,适用于小微企业的功能单一的展示型网站。
3 主要安全策略
企业网站运行中主要的安全策略包括软件和硬件两个方面。硬件方面,建议在主交换下装配IPS(入侵检测系统),以及硬件防火墙。较大型的企业要将办公网络划制网段。软件方面除要为服务器装配软件防火墙,专业级别的服务器杀毒软件外,还要对数据库系统进行双机热备份,或采用SCSI阵列2或5,以保证数据安全。
4 系统维护策略
网站系统需要长期稳定的运行环境,这种环境的营造一方面靠前期建站的总体设计,另一方面后期维护也很重要。
对于独立主机架设的网站服务器而言,维护相对复杂,所以本文以此为例。
首先维护人员应当定期检查IPS及防火墙的日志记录,发现有无异常数据。然后是对系统进行备份,对数据库操作日志进行检测,发现异常操作。对防火墙和杀毒软件系统进行定期升级。
系统维护人员也应当建立完善的维护日志,以便于系统故障后的原因排查,以及维护人员更换和交接后,能迅速了解网站的工作状态和历史情况。
综上所述,中小企业建设一个适合自身的网站,除了目标需求外,要充分考虑网站的安全性,限于水平,此文论述尚有许多不足,望读者批评指正。
