網(wǎng)站群在高校網(wǎng)站建設(shè)和安全管理中的應用

忽海娜， 歐陽峰， 張　旭

(1.許昌學院 網(wǎng)絡管理中心，河南 許昌 461000； 2.許昌學院 電氣工程學院，河南 許昌 461000)

網(wǎng)站群在高校網(wǎng)站建設(shè)和安全管理中的應用

忽海娜1， 歐陽峰2， 張旭1

(1.許昌學院 網(wǎng)絡管理中心，河南 許昌 461000； 2.許昌學院 電氣工程學院，河南 許昌 461000)

摘要：為了解決目前高校網(wǎng)站由于采用不同技術(shù)進行分散建設(shè)帶來的管理維護和網(wǎng)站安全等問題，在深入研究網(wǎng)站群內(nèi)容管理平臺的基礎(chǔ)上，對學校網(wǎng)站群系統(tǒng)進行了規(guī)劃、設(shè)計和部署.系統(tǒng)采用內(nèi)網(wǎng)和外網(wǎng)相分離的3層架構(gòu)，可以保護Web服務器不被暴露到網(wǎng)絡上，提高了網(wǎng)站的安全性.實踐表明，網(wǎng)站群系統(tǒng)能夠有效解決學校網(wǎng)站建設(shè)中存在的技術(shù)和管理問題，是一種高效、安全的解決方案.

關(guān)鍵詞：網(wǎng)站群；反向代理；負載均衡；Keepalived

隨著互聯(lián)網(wǎng)的迅速發(fā)展，各個高校都在互聯(lián)網(wǎng)上建立了學校的門戶網(wǎng)站和其他二級網(wǎng)站(各院系、部門站點)，有效地促進了學校與社會的信息交流，加大了高校的宣傳力度.但是，隨著高校網(wǎng)站數(shù)量的不斷增加和內(nèi)容的不斷豐富，高校網(wǎng)站的安全問題也日益凸現(xiàn).據(jù)360網(wǎng)站衛(wèi)士數(shù)據(jù)，中國每個高校網(wǎng)站平均每天被黑客攻擊113次(包含掃描等行為).高校網(wǎng)站被黑客入侵后通常受到的侵害有掛馬、網(wǎng)站前臺和后臺被篡改等攻擊行為.據(jù)不完全統(tǒng)計, 全國每天被篡改網(wǎng)站中，約有20%是高校網(wǎng)站，占比非常大.同時統(tǒng)計發(fā)現(xiàn)，非法博彩類、色情網(wǎng)站類、游戲類是高校網(wǎng)站被篡改的主要內(nèi)容，三類相加占總數(shù)的67%.從中可以看出，這些篡改內(nèi)容基本都是違法內(nèi)容宣傳，對學校形象影響極大[1].

1校園網(wǎng)站存在的安全問題

我校網(wǎng)站分為門戶網(wǎng)站、二級院系、部門網(wǎng)站和專題網(wǎng)站.網(wǎng)絡管理中心負責學校其他二級網(wǎng)站及專題網(wǎng)站的服務器環(huán)境配置和數(shù)據(jù)存放工作，其網(wǎng)站的后臺管理、信息發(fā)布和審核都是由各相關(guān)部門網(wǎng)絡信息員負責.部分二級網(wǎng)站在設(shè)計制作和管理過程中，安全性薄弱，容易被入侵，主要存在以下幾個安全方面的問題.

(1)網(wǎng)站建設(shè)和管理不統(tǒng)一，網(wǎng)站存在安全漏洞，網(wǎng)頁內(nèi)容易被篡改.二級網(wǎng)站是由二級院系、部門自行設(shè)計制作，網(wǎng)站建設(shè)和管理不統(tǒng)一，這就導致了學校網(wǎng)站安全整體上管理困難.除此之外，設(shè)計者更多地考慮如何滿足應用，如何更好地展現(xiàn)其業(yè)務內(nèi)容，很少考慮網(wǎng)站應用開發(fā)過程中的安全問題.因為大多數(shù)網(wǎng)站設(shè)計開發(fā)者，還有網(wǎng)站維護人員對網(wǎng)站攻防技術(shù)了解甚少，在正常使用過程中，即便存在安全漏洞，正常的使用者也不容易察覺.而黑客常常利用網(wǎng)站漏洞，通過對數(shù)據(jù)庫進行注入等操作來非法獲取數(shù)據(jù)庫的敏感信息，導致直接上傳木馬文件、篡改網(wǎng)頁內(nèi)容、掛惡意鏈接等一系列嚴重后果.

(2)網(wǎng)站運維缺乏持續(xù)性和安全保障.二級院系、部門對網(wǎng)站安全不重視，一些二級網(wǎng)站交給學生來維護，容易造成管理用戶的泄露，給網(wǎng)站安全帶來潛在隱患，而且學生畢業(yè)后網(wǎng)站處于無人管理狀態(tài).甚至，有些管理用戶在帶有病毒的機器上進行網(wǎng)站后臺操作，容易造成管理賬號等信息被他人掌握，有了管理權(quán)限，網(wǎng)站就會被任意篡改.

(3)對于網(wǎng)站安全不重視.由于學校網(wǎng)站的公益屬性，即使被入侵和篡改也不會立刻看到明顯的損失，所以網(wǎng)站安全往往得不到重視.

針對上述問題，利用現(xiàn)今主流的網(wǎng)站群管理技術(shù)，結(jié)合學校自身的網(wǎng)站建設(shè)，提出利用網(wǎng)站群內(nèi)容管理平臺來建設(shè)和管理高校網(wǎng)站，保障高校網(wǎng)站安全.

2網(wǎng)站群概述

2.1網(wǎng)站群的概念

網(wǎng)站群是由統(tǒng)一規(guī)劃建設(shè)的若干個能夠相互共享信息、按照一定的隸屬關(guān)系組織在一起，既可以統(tǒng)一管理，也可以獨立管理自成體系的網(wǎng)站集合[2].網(wǎng)站群建立在統(tǒng)一技術(shù)構(gòu)架基礎(chǔ)之上，分級管理，分級維護，耦合程度高，可以實現(xiàn)基于特定權(quán)限的信息共享[3].

另外，網(wǎng)站群可以管理涵蓋新聞、圖片、附件、視頻等高校內(nèi)的各種內(nèi)容應用，各站點之間的內(nèi)容可以相互共享，并對站點內(nèi)容進行統(tǒng)一管理，建立統(tǒng)一規(guī)范、統(tǒng)一標準的信息內(nèi)容體系.它是幫助校內(nèi)用戶快速搭建二級網(wǎng)站的平臺工具，解決那些需要建設(shè)網(wǎng)站卻缺乏專業(yè)的網(wǎng)頁設(shè)計人員的問題，使用系統(tǒng)提供的網(wǎng)站模板可快速建立一個網(wǎng)站.在信息管理方面，網(wǎng)站群系統(tǒng)可以動態(tài)地發(fā)布信息內(nèi)容，不僅能夠?qū)崿F(xiàn)信息的起草、審核、發(fā)布、修改等操作，而且還可以在各站點之間進行信息送審、共享，提高了信息的傳遞效率，增強了信息管理水平[4].

2.2網(wǎng)站群的安全優(yōu)勢

相對于一群分散的網(wǎng)站，網(wǎng)站群具有以下四個安全方面的明顯優(yōu)勢：

(1)統(tǒng)一規(guī)劃，建立在一個軟件平臺之上，易于管理和維護，可以有效解決由于平臺不統(tǒng)一，制作技術(shù)分散而帶來的網(wǎng)站安全問題.

(2)嚴格的分級權(quán)限管理機制，保證信息共享和信息安全.

(3)采用前臺和后臺相分離的“靜態(tài)發(fā)布服務器和制作服務器”的部署架構(gòu)，網(wǎng)站安全得到保障.

(4)分級別、分角色的權(quán)限管理方式，且對網(wǎng)站群管理員可以實現(xiàn)IP限制的登陸方式，保證各級網(wǎng)站維護人員的合法性.

3網(wǎng)站群在高校網(wǎng)站中的應用

綜合我校二級網(wǎng)站存在的安全問題和網(wǎng)站群在網(wǎng)站統(tǒng)一建設(shè)、管理及安全方面的優(yōu)勢，采用了博達網(wǎng)站群內(nèi)容管理平臺，將校園網(wǎng)各級網(wǎng)站建設(shè)成以門戶網(wǎng)站為中心，同時以院系網(wǎng)站、部門網(wǎng)站和應用為基礎(chǔ)支撐的若干子站形成的網(wǎng)站群，如圖1所示.

圖1　網(wǎng)站群邏輯結(jié)構(gòu)

3.1網(wǎng)站群系統(tǒng)架構(gòu)

我校的網(wǎng)站群系統(tǒng)采用內(nèi)網(wǎng)和外網(wǎng)相分離的“反向代理服務器+發(fā)布服務器+網(wǎng)站群管理及制作服務器”的3層架構(gòu)，如圖2所示.其中網(wǎng)站群管理及制作服務器，作為建設(shè)、管理、維護網(wǎng)站和信息維護的動態(tài)服務器，性能相對要求較高，網(wǎng)站設(shè)計者在管理及制作服務器上設(shè)計的頁面能夠?qū)崟r同步到2臺發(fā)布服務器上.2臺發(fā)布服務器是用于發(fā)布靜態(tài)Web頁面的服務器(負載均衡)，部署在內(nèi)網(wǎng).當用戶向站點提出請求時，請求將轉(zhuǎn)到反向代理服務器.然后，反向代理服務器通過負載分擔技術(shù)，將客戶機的請求發(fā)送到其中一臺發(fā)布服務器，發(fā)布服務器再將結(jié)果回傳給反向代理服務器，反向代理服務器將檢索到的信息發(fā)送給用戶.此時，反向代理服務器對外就表現(xiàn)為一個Web服務器，不同之處在于，這個服務器沒有保存任何網(wǎng)頁的真實數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGI程序，都保存在內(nèi)網(wǎng)的發(fā)布服務器上.因此對反向代理服務器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就極大地增強了發(fā)布服務器的安全性[5].

圖2　網(wǎng)站群系統(tǒng)架構(gòu)

同時，外網(wǎng)部署的2臺基于Haproxy技術(shù)的反向代理服務器，不僅提供負載均衡以及基于TCP和HTTP應用的代理，還采用了Keepalived技術(shù)提供服務的高可用性.Keepalived的作用是檢測服務器的狀態(tài)，如果主反向代理服務器宕機或工作出現(xiàn)故障，Keepalived將檢測到，并將其從服務器群中剔除，由另一臺備服務器承擔服務任務，從而在不需要人工干預的情況下，自動保證系統(tǒng)能持續(xù)對外提供服務.而當主服務器工作正常后，Keepalived自動將服務器加入到服務器群中.

這種內(nèi)網(wǎng)和外網(wǎng)相分離的3層系統(tǒng)架構(gòu)，一方面可以保護發(fā)布服務器不被暴露到網(wǎng)絡上，提高了網(wǎng)站的安全性，另一方面提供負載均衡和高可用性，最大程度地保證用戶訪問網(wǎng)站的速度和可用性.

3.2網(wǎng)站群的權(quán)限管理

網(wǎng)站群的權(quán)限管理一般分為兩層：一層是對訪問者的控制，一層是對用戶的分級權(quán)限管理.對訪問者的訪問控制方式主要有IP限制和會員管理等.對用戶的分級管理部分可以采用網(wǎng)站群內(nèi)容管理系統(tǒng)的權(quán)限管理模塊，作為網(wǎng)站群的權(quán)限管理，可以為不同身份的系統(tǒng)操作人員設(shè)置不同的權(quán)限.

(1)系統(tǒng)管理員：系統(tǒng)最高權(quán)限，對網(wǎng)站群系統(tǒng)中所有的站點擁有管理權(quán)限，并可以設(shè)置各個站點操作人員的權(quán)限；對所有的新聞、文章信息擁有管理權(quán)限.

(2)站點管理員：在指定的站點范圍內(nèi)，對站點擁有管理權(quán)限，并可以設(shè)置各類人員的操作權(quán)限；對范圍內(nèi)站點所有的新聞、文章信息擁有管理權(quán)限.

(3)內(nèi)容編輯員：在指點的站點范圍內(nèi)，起草新聞、文章信息，提交待審核.

(4)內(nèi)容審核員：在指定的站點范圍內(nèi)，起草、審核并發(fā)布新聞、文章信息.

3.3網(wǎng)站群的安全管理

利用網(wǎng)站群后臺管理中的安全設(shè)置模塊，也可以最大程度地提高學校網(wǎng)站的安全性.常用的安全管理方式有以下幾種：

(1)采用用戶、群組、IP、欄目和文章多種授權(quán)的方式，實現(xiàn)對外網(wǎng)和內(nèi)網(wǎng)用戶進行分機構(gòu)、分群組的統(tǒng)一管理.使得用戶在瀏覽網(wǎng)站信息時能區(qū)分訪問用戶的類型和權(quán)限，不同的用戶能訪問不同的內(nèi)容[6].

(2)詳細記錄站群操作日志和入侵防護日志.

(3)根據(jù)同一IP對網(wǎng)站進行危險操作，自動IP封禁、解禁功能.

(4)對站群管理員采用IP限制的登陸方式，保證各級網(wǎng)站維護人員的合法性.

4結(jié)語

利用網(wǎng)站群建設(shè)高校網(wǎng)站，不僅可以解決目前高校網(wǎng)站由于采用不同技術(shù)進行分散建設(shè)帶來的管理維護、信息孤島等問題，還可以有效解決網(wǎng)站安全、網(wǎng)頁被篡改等一系列的安全問題.對高校來說，網(wǎng)站群也正在成為我國高校數(shù)字化校園新階段的重要特征，是提升數(shù)字化校園應用水平的主要平臺.因此，各高校應根據(jù)自身的實際情況，選擇合適的站群管理系統(tǒng)，把校園網(wǎng)站建設(shè)好、管理好、維護好，提升學校形象.

參考文獻：

[1]360互聯(lián)網(wǎng)安全中心.2013年中國高校網(wǎng)站安全檢測報告[EB/OL] .http://corp.#/report/2013gaoxiaowangzhananquan.pdf,2013.

[2]郭廣軍，謝東，李魏豪.基于 CMS 的網(wǎng)站系統(tǒng)開發(fā)技術(shù)研究及應用[J].計算機工程與設(shè)計，2010，31(11)：2500-2502.

[4]范培英.民辦高校網(wǎng)站群建設(shè)探索與實踐[J].信息技術(shù)，2013(4)：32-34.

[5]陳 寰.Varnish在高校網(wǎng)絡中的應用研究[J].計算機光盤軟件與應用，2012，15(24)：112-113.

[6]張玄，任乃賓.陜西工商職業(yè)學院網(wǎng)站群建設(shè)之思考[J].陜西廣播電視大學學報，2012，14(4)：27-29.

Application of Website-group in University Website

Construction and Security Management

HU Hai-na1, OU Yang-feng2, ZHANG Xu1

(1.NetworkManagementCenter,XuchangUniversity,Xuchang461000,China;

2.SchoolofElectricalEngineering,XuchangUniversity,Xuchang461000,China)

Abstract:In this paper, in order solve the problems existed in university website maintenance and security control caused by separate construction with different technologies, the university-group system is planned, designed and deployed based an in-depth study of website-group content management platform. This system adopts a three-layer structure with separate intranet and extranet network, which can protect the Web server from being exposed to the Internet and improve the security of university website. Practice shows that the technical and management problems existed in the construction of the university website can be effectively solved by the website-group system, and this method is efficient and secure.

Key words:website-group; reverse proxy; load balancing; Keepalived

責任編輯：趙秋宇

中圖分類號：TP393

文獻標識碼：A

文章編號：1671-9824(2015)02-0075-04

作者簡介：忽海娜(1980—)，女，河南許昌人，高級實驗師，碩士，研究方向：網(wǎng)絡安全.

基金項目：河南省科技廳基金項目(132102210094)；河南省教育廳人文社會科學研究項目(2014-qn-267)

收稿日期：2014-05-20