计算机网站网络安全建设与开发

题目计算机网站网络安全建设与开发摘要随着计算机网络技术的快速发展,尤其是5G快速普及，计算机技术在人们的日常生活、工作中得到了广泛的应用，但是，计算机网络安全仍然存在着一些潜在的不安全性、脆弱性，所以计算机网站网络安全建设刻不容缓，网络安全是指网站系统的硬件、软件及其系统中的数据受到保护，传输层及存储层的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，网站可连续可靠正常地运行，网络服务不中断。在已有的文献中，本作者将从不同角度运用不同方法对计算机网络安全现状披露进行了研究分析以及网站网络安全建设及开发的必要性关键词计算机网站建设网络安全目录摘要 0引言 2一、计算机网站网络安全概述 3二、计算机网络安全的现状 3（一）计算机网络基础条件差 3（二）核心软硬件技术比较匮乏 3（三）网络安全意识比较浅薄 4（四）网络安全防护措施不够 4三、计算机网站网络安全建设与开发所面临的挑战 4（一）数据泄密的安全威胁（泄密） 5（二）数据传输安全威胁（窃密） 61.网络嗅探攻击 62.中间人攻击 6（三）系统漏洞&网站存储安全漏洞（失密） 7四、计算机网站网络安全建设应用与开发 7（一）开放平台架构开发设计图 7（二）关键开发技术点 8（三）网站安全数据存储安全应用 91.云RDS加密应用 92.云OSS数据加密应用 93.病毒防范措施应用 104.网站安全非对称加密算法RSA应用 115.防范网络嗅探及中间人攻击SSL应用 13五、总结 15六、参考文献 16致谢 17引言随着计算机在快速发展，尤其是5G时代的元年到来，万物互联将会彻底颠覆或者改变着人们的生活，无论是在生活中、工作中、还是应用在各种行业领域，电子商务、医疗、军事、金融等，它终将无形中渗透到人们的各种场景，但随着信息化快速普及，随之而来的大数据应用，对于全民的信息化安全也会显而易见，那么我们应该如何做好相应的措施和安全保障，它变得非常有必要，所以，本文作者将会从网络安全现状、面临的网络安全挑战，以及网络网站安全建设与开发中，展开有针对性的分析。 一、计算机网站网络安全概述计算机网络安全从狭义层面而言就是如何保障网站服务持续高可用，让用户无感知，不影响用户的正常使用，并且在使用的过程中，让用户用的爽，并且是毫无顾忌的相信它。从广义层面而言，通过技术手段或者管理办法来持续保障物理设备及程序逻辑所对应的数据不丢失、不损坏、不会被他人盗窃、服务器不宕机，免于被第三方机构攻击、或者因为系统授权、漏洞等造成不可估量的损失，总之，计算机网站网络安全就是通过一系列解决办法来保障达到安全的一个过程统称为计算机网站网络安全。二、计算机网络安全的现状计算机在快速演进发展过程中，随着国家政策大量推及5G，今年也正式步入5G元年，万物互联的普及，无论是生活还是工作之间信息交互（如，视频通话、收发邮件、电子商务在线支付和收发件地址个人敏感信息，甚至家庭应用中的各种智能设备（如小米电源开关、家庭摄像头、Ai音响等等都离不开网络。但计算机网络安全隐患也暴露的越来越明显，由此所导致的危害后果也将变得更加严重和不堪。那么，计算机网络安全可能会面临各种各样的挑战，例如，网络传输层可能造成中间人攻击、数据泄漏、系统漏洞、非法授权、网络非法伪装劫持等各种挑战。其实归根结底可能包含如下原因：（一）计算机网络基础条件差我国作为一个发展中国家，本身计算机应用普及相对于发展国家起步就较好，最近几年有了比较大的进步，这也是中国在国际中有了更多的话语权，但因为起步晚，所以，我们在快速搭建地基时，也会忽略很多问题，这无形中也会给我们在网络安全上面带来很多的网络安全隐患，无论是围绕基础搭建、网络安全防护措施、预警、熔灾等完全设施上都少之又少。除此之外，很多中小型企业，所使用的网络基础设备都是偏破解廉价版非商业化产品，因为网络设备基础、条件比较差，在很多情况下，也会给计算机网站安全带来很多安全障碍，无法100%保障计算机网站服务的持续高可用。（二）核心软硬件技术比较匮乏近几年国家也在大力的推广及扶持民营企业要自力更生，自主创新，加强自己研发，掌握核心能力，所以，当前我们计算机核心的软硬件技术层面还处在一个快速发展的升级阶段，也存在很多软硬件技术需要依赖余其他国家或者进口，例如PC操作系统以windows、Macos二分天下、手机终端操作系统苹果OS、google基本上占有了大量的市场，就像最近比较火热的民族企业华为，一系列被牵制也是因为我们自身还不够强大，所以因为却少这样的核心技术，在很多场景下都会给我们带来很多安全隐患、再例如生活中我们常见的商业宽带，路由器、光纤猫、交换机、手机、电子产品等等，目前国内除华为等民族企业之外，大部分设备都需要依赖进口，更多的只是一个供货商（核心技术自己没能掌握），这样也会给暴露很多信息泄漏、第三方攻击入侵等多重风险。（三）网络安全意识比较浅薄当前，计算机网络安全问题屡见不鲜，无论是电视媒体还是手机终端，我们都可以经常看到各种问题，无论是信息泄露、泄密、数据被爬虫、撞库、账户信息被买卖等，甚至不乏很多互联网大厂公司，但为什么总是会有这么多安全问题，其实从根本原因还是在于大家的网络安全意识浅薄，大家对网络安全建设、信息安全不够重视，得过且过，问题没有发生在自己公司或者身上，事不关己，觉得这样的案例距离自己很遥远，这样的错误意识认知。例如一些企业包括我们自身企业也是如此，每次版本发布上线升级、更多的也仅仅只是关注功能的正确与否，从性能和安全性层则几乎不关注，更别谈商业化的网络设备，总是会自认为网络安全问题远之又远，包括大家所熟知的Linux系统，大家也是认为它是安全，叶不要考虑任何的防护手段（端口、防火墙、内网网限制等）目前，整体我国对于网络安全建设开发还停留在很粗浅或者粗暴的初始阶段，所以，在网络安全建设开发这条道路上，我们还有着非常长的道路需要走、需要不断规范。（四）网络安全防护措施不够计算机网络是一个开放式的大平台，全球所有的用户都在同一个大环境下共享着各式各样的便利，社交、电商、医疗、军事等，但也因为它的开放式也包含着许多的风险和威胁。但因为大家对网络安全的认知，仍然停留在比较粗浅的阶段，所以，这个时候我们在网站网络安全构建时，往往会忽略很多防护措施。例如：日常使用弱密码、杀毒软件的安装、官网漏洞修补、网站安全漏洞的检测、第三方远程控制、内外网穿透等大家都容易忽略，也正是因为却少这样的防护手段，导致给我们的网络安全带来了许多的隐患，无形中也暴露了大量的信息给开放式的网络大环境中，蕴含了许多的风险和威胁。所以，网站的持续高可用除我们日常所言的要构建服务的多节点、多集群、最小的救援系统外，我们还需要配置充分的网络安全防护手段，如此才能保障服务的持续高可用。三、计算机网站网络安全建设与开发所面临的挑战经过了漫长的信息高速发展，我国在信息网络安全方面也有了显著的进步，但计算机网络安全在快速发展的同时，依然存在或者面临诸多挑战，例如网络病毒、第三方爬虫、黑客恶意攻击、机器模拟人行为非法占用数据库JDBC连接池、占用服务器相关资源、远程登录安装木马病毒把服务器当成肉鸡甚至中间人攻击等现状，也正是因为有各种各样的风险，所以，当前计算机网站网络安全依然面临着诸多的威胁。（一）数据泄密的安全威胁（泄密）数据泄密是一个持续不变的话题，哪怕企业采用各种各样的方式和防护措施，但问题一直得不到有效的解决。例如IT行业企业CTO高管，他拥有着至高无上数据库和源代码权限，虽然入职是，公司会安排签订所对对应的保密协议，但人员的离职，这种保密协议某种层面也就成为了一个摆设，因为企业也抓不到任何把柄来保证他不会复制、粘贴原单位相关的数据。同时，也有其他情况，例如因为业务人员在平台工作中，就是会跟许多核心的政企有着合作关系，但一旦人员牵扯到了利益关系，只要有了足够的吸引力，那么他就有可能出卖公司的相关核心数据，甚至包括专利、源码、商业机密、公司的核心联系方式等。当然也不排除有些人员是因为网络安全意识浅薄，操作失误，或因情绪化报复、利益收买等主动泄露数据。例1:在2018年刷爆网络的重大安全数据泄密事件之一，圆通数据10亿条数据在网络上公开出售，只要43000元即可购买，而且当时的数据真实性，有网友专门去校验过，根据但是所提供的包内容信息（联系电话、收件地址、发件地址、收件人、发件人）都是真实有效，如此庞大且准确率高的数据包公开兜售，正是来源于企业内部员工的泄密，而且是来源于内部的高职级工作人员。例2:除圆通数据人员泄密事件之外，在2018年11月份万豪酒店，当时也是轰动整个政企界，5亿客人的开房记录被泄密，泄密内容也是包含了大量的敏感信息，期中当属身份证号、开房人、电话号码、开房时间等各类敏感信息，据说，当时也正是因为有了这些敏感信息，导致很多官员被查等案例。最后万豪酒店也发布了公告信息，是因为旗下喜达屋酒店因为自己的网络安全建设防护不到位，却少相关安全措施机制，导致遭遇了第三方非法入侵，最终造成万豪酒店非常庞大的经济损失，更是带来很大的公关危机，因为数据泄密事件。所以，数据泄密也是当前网络安全建设过程中重要且不可忽视的一环节。（二）数据传输安全威胁（窃密）数据传输安全威胁，无论是局域网还是广域网，只要你的网站或者服务是暴露在一个开放式的网络大环境下，那么服务本身就有可能遭遇第三方机构的恶意攻击或者同行业的竟品威胁。基于某种同行竞争利益关系或者其他因素，通过技术手段来爬虫或者窃取公司的相关核心数据。1.网络嗅探攻击以太网是一个广播型的网络，黑客终端再利用嗅探器，然后黑客终端就可以捕捉到以太网传输过程中的所有报文和桢内容，网络嗅探攻击这种攻击不会影响网络中信息的正常传输过程，并且对网络和主机都是透明的黑客终端黑客终端传输给终端传输给终端正常传输路径终端B终端A正常传输路径终端B终端A2.中间人攻击黑客首先要改变正常通信终端之间的传输路径，使传输路径经过黑客终端，称为传输路径上的一个中间站，若另外两个终端要进行信息传输就必须经过黑客终端，然后黑客终端就可以截获信息，并且进行一些列操作。黑客终端终端A终端B黑客终端终端A终端B实际传输给终端实际传输给终端实际传输给终端实际传输给终端正常传输路径正常传输路径（三）系统漏洞&网站存储安全漏洞（失密）当前，系统漏洞或者网站存储安全漏洞，时有发生，如上半年ES系统漏洞CVE-2019-6447文件浏览器，ES文件浏览器在启动时创建了一个HTTP服务器，在本地打开59777端口，第三方攻击者通过远程构造指定的payload可以获取用户手机所有文件，甚至安装一些相关手机应用。其实因为这样的安全漏洞都会导致核心信息被失密的风险。同时，在网站数据存储层，对于数据的逻辑处理也是却少的，很多内容都是直接采用明文、不做任何脱敏、也没有任何的加密方式可言，无形中也是给系统带来很大的失密风险。因为不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废，都是有可能造成数据失密。例如： 在2011年12月，中国互联网也是出现过一次特别具有深远或者代表性的数据失密安全事故，当时网上爆出CSDN中国的程序员门户网站，网上曝光600多万的压缩包文件帐号信息，里边包含了相关帐号的邮箱及密码，但尤为记得像但是那么大型的IT社区既然所有的帐号信息是明文存储，没有做任何的加密，哪怕是最基础的MD5加密也没有，这个是在当时大环境下，是有点刷新三观的。所以，纵观这样的事件，如果稍微有对帐号或者敏感信息有去做二次加密或者脱敏处理，也不会因为这样的安全事故带来二次的伤害，最终CSDN也因这样的安全事件给自己带来了很大的公关危机。四、计算机网站网络安全建设应用与开发上述有详细阐述当前计算机网络现状及所面临的网络安全挑战，下面将从浙大毕业设计开放平台开发设计展开讲解，主要围绕从云OSS、RDS以及协议Https传输层、数据存储层进行加密实例讲解，在网站开发过程中，如何构建网站的高可用及确保数据服务的安全。（一）开放平台架构开发设计图 原图见(附件卢小艳毕业设计论文原图-毕业设计论文架构图)（二）关键开发技术点浙大毕业设计开放平台系统采用B/S架构，易于维护和升级，具备通用性，稳定性强，具有较高安全性不需要安装客户端，客户端不需要进行升级，只需要更新后台代码即可实现所有客户端的更新。采用混合云Saas架构，可以实现协同办公，合理的角色管理机制，可以建立不同的角色分配不同的权限给第三方用户使用采用阿里云加密机加密，让云端数据更加安全采用https传输协议，服务端和客户端的信息传输都会通过TLS进行数据二次加密处理，最终保证前后端数据传输安全采用前后端分离，实现数据层和展示层分开部署采用前端框架vue+element+yarn+webpack+stylus使用jwt授权和身份认证，可实现无状态、分布式的Web应用授权系统整体使用SSM技术架构模式，使用Maven进行项目构建采用SpringCloud微服务架构，进行快速开发。使用Docker进行部署，方便服务的快速切换与启动。使用solr搜索引擎进行数据快速搜索。使用阿里云RDS数据库存储数据，采用MyBatis进行数据库交互（三）网站安全数据存储安全应用1.云RDS加密应用综合考虑到数据的安全以及相应的备份机制，所以，综合考虑数据存储采用行业大厂阿里云提供的安全套接层SSL所对应的云RDS数据库存储数据，采用MyBatis进行数据库交互，同时RDS本身是可以根据服务器端的根证书来验证目标服务器地址或者IP和Port是不是RDS服务器认证的，所有它也是可以有效的避免遭遇中间人攻击或者规避其他潜在的风险。2.云OSS数据加密应用开放平台所涉及的所有的数据文件（pdf、doc、jpg、excel等所有问题）统一上传到oss服务，它本身是经过CDN加速处理，同时它能有效对数据传输过程中包含download、upload所有产生的数据进行二次加密，当然它也支持在传输过程中可以通过SSL进行数据加密处理，这些都不要我们额外做任何处理，当我们要使用时，说对应的downobject会自动进行解密。例如：使用KMS托管用户主密钥，其具体工作原理如下图所示。 原图见(附件卢小艳毕业设计论文原图-oss加密原理)实例1：#-*-coding:utf-8-*-importosimportoss2fromoss2.cryptoimportLocalRsaProvider#创建存储空间，使用用户自主管理（RSA）方式加密，此方式只支持文件整体上传下载操作。bucket=oss2.CryptoBucket(auth,'<yourEndpoint>','<yourBucketName>',crypto_provider=LocalRsaProvider())key='motto.txt'content=b'a'*1024*1024filename='download.txt'#上传文件bucket.put_object(key,content,headers={'content-length':str(1024*1024)})#下载文件result=bucket.get_object(key)#验证content_got=b''forchunkinresult:content_got+=chunkassertcontent_got==content#下载OSS文件到本地文件result=bucket.get_object_to_file(key,filename)#验证withopen(filename,'rb')asfileobj:assertfileobj.read()==contentos.remove(filename)3.病毒防范措施应用计算机病毒是本身是一种人为制造的程序／代码，主要在计算机软件/系统运行过程中对信息或数据进行破坏。它主要具备破坏性、传染性和潜伏性。这种病毒程序对计算机的影响不可估量，轻则降低运行速度使之无法正常运行，严重的可能会造成机器瘫痪(例如：数据丢失、数据损坏、CPU100%占满、连接池不可用、甚至还有可能系统直接崩溃、被当成肉鸡等)从病毒防范层面，网站构建过程中，我们可以通过以下路径进行有效规避：(1)可以对一些不必要对服务进行close或者默认的port进行close（如远程登录默认端口22、80、1270等）(2)防火墙设置指定IP、Port白名单，内外网通过JumpServer进行交互连接，其它相关服务器限制外网访问，所有的服务请求通过Getway路由进行访问。(3)及时upgrade系统补丁，据统计，有百分之八十至百分之九十等网络病毒都是通过系统的漏洞或者弱帐号、口令等进行传播，所以，所有的病毒通过规范化的动作，都是能够有效的防范于未然。实例1:今年年windows针对于CVE-2019-0708（又名BlueKeep）添加了一个漏洞利用模块，该模块通过RDP利用远程Windows内核释放后使用漏洞，我们线上服务器也因为这个安全漏洞，导致服务被远程利用成为第三方肉鸡，线上服务完全瘫痪。(4)针对于网站存储的数据、尤其是密码一定要拒绝弱密码(常见MD5)，有许多网络病毒就是通过猜测简单密码或者第三方中间件的默认密码进行远程攻击，它都是能够大大提高计算机的安全系数，有效防止病毒入侵(5)第三方安全技术应用网盾接入或者第三方专业监控病毒软件，例如行为式校验(行业大厂比较成熟的方案：极验、网易易盾、阿里云盾、腾讯云盾)，他们都能够有效的围绕网站做实时的监控，防止人机行为识别、暴力破解、爬虫攻击等，最终造成病毒入侵，给业务或者网站服务瘫痪等情况。病毒感染如何应急如果因上述防护措施不当最终导致服务器感染出现宕机、网络瘫痪，信息或者数据破坏，在实际中可以参考如下方式先把已有的服务停止或者系统停止，把全新的服务切换到备用的节点上，保障线上服务高可用（前置条件有备用节点或者救援系统服务）确认备用的服务节点可用之后，再根据历史的ECS版本找到对应的镜像快照进行恢复，系统恢复之后，排除可能存在异常的系统服务或者漏洞，进行彻底修复及解决在确认系统根本病毒或者漏洞修复的情况下，对历史的RDS数据盘进行对应的镜像快速恢复对已有的网络网站安全上，做系统的整理（例如：端口开放、防火墙设置、内外网穿透，设置白名单等机制4.网站安全非对称加密算法RSA应用针对于网站安全采用非对称RSA加密算法，因为它优点是密钥传输方便，而且它加密和解密用的密钥是不同的，这种加密方式是用数学上的难解问题构造的，通常加密解密的速度比较慢，复杂性高，公钥是可发布的供任何人使用，私钥则为自己所有，供解密之用解密者拥有私钥，并且将由私钥计算生成的公钥发布给加密者。加密都使用公钥进行加密，并将密文发送到解密者，解密者用私钥解密将密文解码为明文。前后端分离通过RestfulAPI进行数据交互时，基于用户的登录信息及权限，通信双方之间以JSON对象的形式进行安全传递，并且最终采用JWT基于RSA的公钥密钥对进行签名，加密和解密使用同一个密钥的加密方式AES,使用jwt授权和身份认证，可实现无状态、分布式的Web应用授权。AES密钥与RSA密钥的关系 原图见(附件卢小艳毕业设计论文原图-AES密钥与RSA密钥)原图见(附件卢小艳毕业设计论文原图-非对称RSA加密算法逻辑)5.防范网络嗅探及中间人攻击SSL应用在2017年之前，大量的网站都是采用http协议，基本上可以很简单、容易嗅探到网络传输层的所有数据、甚至包括明文密码，当时印象较为深刻的网站不乏大厂有(163邮箱、京东，12306，Acfun、百度贴吧，淘宝手机版等)皆如此随着2018年7月份Goole宣布，Http将为标识为不安全的网站后，安装SSL证书迫在眉睫，HTTPS和以及前端使用JS加密在一定程度上能有效的防止嗅探及中间人攻击的技术手段，因为采用https传输协议，能够对服务端和客户端的信息传输通过TLS进行加密，高效的保证前后端数据传输安全。应用实例：#server{#listen443;#server_name;#sslon;#indexindex.htmlindex.htmindex.php;#root/data/app/lxy-web/app/www;#access_log/data/runtime/nginx/logs/https-www.logmain;#ssl_certificate/data/runtime/nginx/cert//214257543840872.pem;#ssl_certificate_key/data/runtime/nginx/cert//214257543840872.key;#ssl_session_timeout5m;#ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;#ssl_protocolsTLSv1TLSv1.1TLSv1.2;#ssl_prefer_server_cipherson;#location/h5/{#proxy_set_headerX-Real-IP$remote_addr;#proxy_set_headerX-Forwarded-For$proxy_add_x_forwarded_for;#proxy_pass/;#}#location/{#if(!-e$request_filename){#rewrite^(.*)$/index.php?s=$1last;#break;#}#}#location~.*\.(php|php5)?${#fastcgi_pass:9000;#fastcgi_indexindex.php;#fastcgi_paramSCRIPT_FILENAME$document_root$fastcgi_script_name;#fastcgi_paramHTTPSon;#includefastcgi_params;#}#location~.*\.(gif|jpg|jpeg|png|bmp|swf)${#expires30d;#}#location~.*\.(js|css)?${#expires12h;#}#}五、总结 在计算机飞速发展中，伴随着万物互联的普及，计算机在快速改变着人民的生活质量和效率，尤其是它慢慢在渗透到各个领域（金融、电商、医疗、农业、军事等行业）计算机应用几乎每个人都可以享受到互联网带来的互联成果，但同时计算机网络安全问题一直困扰着我们，因此，在计算机网络网站开发过程中，我们更要结合实际因素制定相关技术安全解决方案，确保持续发展计算机网络安全，无论是从数据传输安全加密（加密隧