網站群在高校網站建設和安全管理中的應用

忽海娜， 歐陽峰， 張　旭

(1.許昌學院 網絡管理中心，河南 許昌 461000； 2.許昌學院 電氣工程學院，河南 許昌 461000)

網站群在高校網站建設和安全管理中的應用

忽海娜1， 歐陽峰2， 張旭1

(1.許昌學院 網絡管理中心，河南 許昌 461000； 2.許昌學院 電氣工程學院，河南 許昌 461000)

摘要：為了解決目前高校網站由于采用不同技術進行分散建設帶來的管理維護和網站安全等問題，在深入研究網站群內容管理平臺的基礎上，對學校網站群系統進行了規劃、設計和部署.系統采用內網和外網相分離的3層架構，可以保護Web服務器不被暴露到網絡上，提高了網站的安全性.實踐表明，網站群系統能夠有效解決學校網站建設中存在的技術和管理問題，是一種高效、安全的解決方案.

關鍵詞：網站群；反向代理；負載均衡；Keepalived

隨著互聯網的迅速發展，各個高校都在互聯網上建立了學校的門戶網站和其他二級網站(各院系、部門站點)，有效地促進了學校與社會的信息交流，加大了高校的宣傳力度.但是，隨著高校網站數量的不斷增加和內容的不斷豐富，高校網站的安全問題也日益凸現.據360網站衛士數據，中國每個高校網站平均每天被黑客攻擊113次(包含掃描等行為).高校網站被黑客入侵后通常受到的侵害有掛馬、網站前臺和后臺被篡改等攻擊行為.據不完全統計, 全國每天被篡改網站中，約有20%是高校網站，占比非常大.同時統計發現，非法博彩類、色情網站類、游戲類是高校網站被篡改的主要內容，三類相加占總數的67%.從中可以看出，這些篡改內容基本都是違法內容宣傳，對學校形象影響極大[1].

1校園網站存在的安全問題

我校網站分為門戶網站、二級院系、部門網站和專題網站.網絡管理中心負責學校其他二級網站及專題網站的服務器環境配置和數據存放工作，其網站的后臺管理、信息發布和審核都是由各相關部門網絡信息員負責.部分二級網站在設計制作和管理過程中，安全性薄弱，容易被入侵，主要存在以下幾個安全方面的問題.

(1)網站建設和管理不統一，網站存在安全漏洞，網頁內容易被篡改.二級網站是由二級院系、部門自行設計制作，網站建設和管理不統一，這就導致了學校網站安全整體上管理困難.除此之外，設計者更多地考慮如何滿足應用，如何更好地展現其業務內容，很少考慮網站應用開發過程中的安全問題.因為大多數網站設計開發者，還有網站維護人員對網站攻防技術了解甚少，在正常使用過程中，即便存在安全漏洞，正常的使用者也不容易察覺.而黑客常常利用網站漏洞，通過對數據庫進行注入等操作來非法獲取數據庫的敏感信息，導致直接上傳木馬文件、篡改網頁內容、掛惡意鏈接等一系列嚴重后果.

(2)網站運維缺乏持續性和安全保障.二級院系、部門對網站安全不重視，一些二級網站交給學生來維護，容易造成管理用戶的泄露，給網站安全帶來潛在隱患，而且學生畢業后網站處于無人管理狀態.甚至，有些管理用戶在帶有病毒的機器上進行網站后臺操作，容易造成管理賬號等信息被他人掌握，有了管理權限，網站就會被任意篡改.

(3)對于網站安全不重視.由于學校網站的公益屬性，即使被入侵和篡改也不會立刻看到明顯的損失，所以網站安全往往得不到重視.

針對上述問題，利用現今主流的網站群管理技術，結合學校自身的網站建設，提出利用網站群內容管理平臺來建設和管理高校網站，保障高校網站安全.

2網站群概述

2.1網站群的概念

網站群是由統一規劃建設的若干個能夠相互共享信息、按照一定的隸屬關系組織在一起，既可以統一管理，也可以獨立管理自成體系的網站集合[2].網站群建立在統一技術構架基礎之上，分級管理，分級維護，耦合程度高，可以實現基于特定權限的信息共享[3].

另外，網站群可以管理涵蓋新聞、圖片、附件、視頻等高校內的各種內容應用，各站點之間的內容可以相互共享，并對站點內容進行統一管理，建立統一規范、統一標準的信息內容體系.它是幫助校內用戶快速搭建二級網站的平臺工具，解決那些需要建設網站卻缺乏專業的網頁設計人員的問題，使用系統提供的網站模板可快速建立一個網站.在信息管理方面，網站群系統可以動態地發布信息內容，不僅能夠實現信息的起草、審核、發布、修改等操作，而且還可以在各站點之間進行信息送審、共享，提高了信息的傳遞效率，增強了信息管理水平[4].

2.2網站群的安全優勢

相對于一群分散的網站，網站群具有以下四個安全方面的明顯優勢：

(1)統一規劃，建立在一個軟件平臺之上，易于管理和維護，可以有效解決由于平臺不統一，制作技術分散而帶來的網站安全問題.

(2)嚴格的分級權限管理機制，保證信息共享和信息安全.

(3)采用前臺和后臺相分離的“靜態發布服務器和制作服務器”的部署架構，網站安全得到保障.

(4)分級別、分角色的權限管理方式，且對網站群管理員可以實現IP限制的登陸方式，保證各級網站維護人員的合法性.

3網站群在高校網站中的應用

綜合我校二級網站存在的安全問題和網站群在網站統一建設、管理及安全方面的優勢，采用了博達網站群內容管理平臺，將校園網各級網站建設成以門戶網站為中心，同時以院系網站、部門網站和應用為基礎支撐的若干子站形成的網站群，如圖1所示.

圖1　網站群邏輯結構

3.1網站群系統架構

我校的網站群系統采用內網和外網相分離的“反向代理服務器+發布服務器+網站群管理及制作服務器”的3層架構，如圖2所示.其中網站群管理及制作服務器，作為建設、管理、維護網站和信息維護的動態服務器，性能相對要求較高，網站設計者在管理及制作服務器上設計的頁面能夠實時同步到2臺發布服務器上.2臺發布服務器是用于發布靜態Web頁面的服務器(負載均衡)，部署在內網.當用戶向站點提出請求時，請求將轉到反向代理服務器.然后，反向代理服務器通過負載分擔技術，將客戶機的請求發送到其中一臺發布服務器，發布服務器再將結果回傳給反向代理服務器，反向代理服務器將檢索到的信息發送給用戶.此時，反向代理服務器對外就表現為一個Web服務器，不同之處在于，這個服務器沒有保存任何網頁的真實數據，所有的靜態網頁或者CGI程序，都保存在內網的發布服務器上.因此對反向代理服務器的攻擊并不會使得網頁信息遭到破壞，這樣就極大地增強了發布服務器的安全性[5].

圖2　網站群系統架構

同時，外網部署的2臺基于Haproxy技術的反向代理服務器，不僅提供負載均衡以及基于TCP和HTTP應用的代理，還采用了Keepalived技術提供服務的高可用性.Keepalived的作用是檢測服務器的狀態，如果主反向代理服務器宕機或工作出現故障，Keepalived將檢測到，并將其從服務器群中剔除，由另一臺備服務器承擔服務任務，從而在不需要人工干預的情況下，自動保證系統能持續對外提供服務.而當主服務器工作正常后，Keepalived自動將服務器加入到服務器群中.

這種內網和外網相分離的3層系統架構，一方面可以保護發布服務器不被暴露到網絡上，提高了網站的安全性，另一方面提供負載均衡和高可用性，最大程度地保證用戶訪問網站的速度和可用性.

3.2網站群的權限管理

網站群的權限管理一般分為兩層：一層是對訪問者的控制，一層是對用戶的分級權限管理.對訪問者的訪問控制方式主要有IP限制和會員管理等.對用戶的分級管理部分可以采用網站群內容管理系統的權限管理模塊，作為網站群的權限管理，可以為不同身份的系統操作人員設置不同的權限.

(1)系統管理員：系統最高權限，對網站群系統中所有的站點擁有管理權限，并可以設置各個站點操作人員的權限；對所有的新聞、文章信息擁有管理權限.

(2)站點管理員：在指定的站點范圍內，對站點擁有管理權限，并可以設置各類人員的操作權限；對范圍內站點所有的新聞、文章信息擁有管理權限.

(3)內容編輯員：在指點的站點范圍內，起草新聞、文章信息，提交待審核.

(4)內容審核員：在指定的站點范圍內，起草、審核并發布新聞、文章信息.

3.3網站群的安全管理

利用網站群后臺管理中的安全設置模塊，也可以最大程度地提高學校網站的安全性.常用的安全管理方式有以下幾種：

(1)采用用戶、群組、IP、欄目和文章多種授權的方式，實現對外網和內網用戶進行分機構、分群組的統一管理.使得用戶在瀏覽網站信息時能區分訪問用戶的類型和權限，不同的用戶能訪問不同的內容[6].

(2)詳細記錄站群操作日志和入侵防護日志.

(3)根據同一IP對網站進行危險操作，自動IP封禁、解禁功能.

(4)對站群管理員采用IP限制的登陸方式，保證各級網站維護人員的合法性.

4結語

利用網站群建設高校網站，不僅可以解決目前高校網站由于采用不同技術進行分散建設帶來的管理維護、信息孤島等問題，還可以有效解決網站安全、網頁被篡改等一系列的安全問題.對高校來說，網站群也正在成為我國高校數字化校園新階段的重要特征，是提升數字化校園應用水平的主要平臺.因此，各高校應根據自身的實際情況，選擇合適的站群管理系統，把校園網站建設好、管理好、維護好，提升學校形象.

參考文獻：

[1]360互聯網安全中心.2013年中國高校網站安全檢測報告[EB/OL] .http://corp.360.cn/report/2013gaoxiaowangzhananquan.pdf,2013.

[2]郭廣軍，謝東，李魏豪.基于 CMS 的網站系統開發技術研究及應用[J].計算機工程與設計，2010，31(11)：2500-2502.

[4]范培英.民辦高校網站群建設探索與實踐[J].信息技術，2013(4)：32-34.

[5]陳 寰.Varnish在高校網絡中的應用研究[J].計算機光盤軟件與應用，2012，15(24)：112-113.

[6]張玄，任乃賓.陜西工商職業學院網站群建設之思考[J].陜西廣播電視大學學報，2012，14(4)：27-29.

Application of Website-group in University Website

Construction and Security Management

HU Hai-na1, OU Yang-feng2, ZHANG Xu1

(1.NetworkManagementCenter,XuchangUniversity,Xuchang461000,China;

2.SchoolofElectricalEngineering,XuchangUniversity,Xuchang461000,China)

Abstract:In this paper, in order solve the problems existed in university website maintenance and security control caused by separate construction with different technologies, the university-group system is planned, designed and deployed based an in-depth study of website-group content management platform. This system adopts a three-layer structure with separate intranet and extranet network, which can protect the Web server from being exposed to the Internet and improve the security of university website. Practice shows that the technical and management problems existed in the construction of the university website can be effectively solved by the website-group system, and this method is efficient and secure.

Key words:website-group; reverse proxy; load balancing; Keepalived

責任編輯：趙秋宇

中圖分類號：TP393

文獻標識碼：A

文章編號：1671-9824(2015)02-0075-04

作者簡介：忽海娜(1980—)，女，河南許昌人，高級實驗師，碩士，研究方向：網絡安全.

基金項目：河南省科技廳基金項目(132102210094)；河南省教育廳人文社會科學研究項目(2014-qn-267)

收稿日期：2014-05-20