大連理工大學基于網站群實現Web安全保障

文／劉柱 李降宇 鄭維

高校網站獨立建設存在的問題

隨著互聯網技術的不斷發展，高校的信息化建設也在快速發展，網站建設已成為信息化基礎建設，其數量不斷增加、內容不斷豐富，是師生獲取信息的最重要的渠道，但在建設中存在以下一些問題：

1.缺乏專業技術人員問題。網站建設需要專業技術人員開發，涉及頁面設計、功能分析、代碼編程等多個方面，學校各部門缺乏此類技術人員，導致網站頁面呆板、功能不全、交互性差、頁面安全均存在漏洞。

2.信息孤島問題。網站在設計開發過程中，沒有統一的規劃，使用的開發語言、數據結構各有不同，各個站點之間獨立運行，形成了信息孤島，信息難以整合利用，與其他應用系統對接難度極大。

3.網站安全隱患問題。根據360網站衛士數據顯示：中國每個高校網站平均每天被黑客攻擊113次（包含掃描等行為），高校網站被黑客入侵后通常受到的侵害有掛馬、網站前臺和后臺被篡改、網站數據庫被“拖庫”、被篡改、網頁被掛馬，服務器被控制成為“肉雞”等。學校各網站建設隨意性較大沒有規范，導致網站存在大量的漏洞，安全風險極大；網站管理上沒有統一的管理和監督平臺、管理員共用賬號、沒有權限等級劃分、管理員將服務器變成私人的存儲空間、上傳私人文件、安裝無關的程序，網站安全性無法得到保障，出現問題后無法追責。

4.移動端網站建設問題。網站管理員需要維護多個管理后臺，增加管理員的工作量；使用不同的域名，給用戶訪問帶來極大的不便；手機屏幕分辨率較多，前端的表現都有比較大的差異。

網站群平臺

大連理工大學網站群平臺采用“主站+子站”模式構建網站群，在一套網站群產品中建立多個站點，各站點在形式上各自獨立，邏輯上相互聯系，子站擁有自己的獨立域名和存儲空間，主站可以對子站管理員進行創建和權限分配并可以對子站的信息進行統一管理。網站群平臺為網站建設和內容維護人員提供了功能強大、簡單易用、完全可擴展的動態站點開發管理工具，無需專業人才和復雜培訓就可以進行大型動態門戶站點的應用開發和維護管理。

網站群平臺的主要特點

1.可視化建站模塊。大連理工大學網站群平臺提供強大豐富的組件庫功能，可以滿足各種不同類型網站的需求，組件可以靈活搭配，展現形式豐富多彩，將組件拖拽到頁面相應的位置即可；

2. 網站群平臺擴展。網站群平臺基于開發的Java EE多層架構，組件開放代碼，完全可以根據網站的需要自行開發和修改；

3.操作簡單。平臺采用B/S架構，可以通過模板建設網站，操作簡單，開發人員無需太多高深的編程技術就可以完成網站建設，消除了網站建設的技術門檻。

圖1 網站群內容與門戶對接

圖2 移動端網站

4.數據共享。所有站點部署在同一個網站群平臺中，使用統一的數據庫、一致的數據結構，每個網站對應數據庫的唯一標識wbfirmid，所有的內容數據都需要關聯網站的wbfirmid，這樣就可以將網站的欄目、文章、圖片、互動等內容數據按網站區分開，用戶和網站由一張關聯表，關聯用戶ID和網站ID，一個網站可以關聯多個用戶，一個用戶也可以關聯多個網站，網站之間內容數據的相互引用只需要引用內容資料的主鍵和網站ID就可以；網站內容之間的投遞是將內容復制出來一份，將復制內容數據的網站ID修改為目標網站ID就可以實現投遞功能；數據剪切是將數據的網站ID直接修改為目標網站的ID即可，這就可以快速實現不同站點的文件、內容的傳遞和共享；并且通過開放的信息接口，實現將網站群中任何網站信息提供給其他網站共享。以大連理工大學新版門戶為例，門戶網站的新聞和通知就實現了從各個部門、院系網站提取，供用戶訂閱匯總查看。

通過每個網站的“id”和網站中欄目的“treeid”實現網站內容的對接。

5.移動版網站建設。通過網站群移動版網站的信息聚合模塊，實現移動網站與現有網站的信息同步與共享，從而解決移動網站的內容維護問題。同時，采用智能網頁正文抽取和過濾技術，針對不同的移動終端進行自動優化，使得字體、排版方式更加適合移動終端的小屏幕觀看。

采用VSB9網站群平臺建設和管理網站，各單位可以根據自己的需要進行二次開發，解決了網站建設的代碼自定義開發問題，節省了大量開發經費。使用組件建設網站，完全可視化建站，開發人員只需了解基礎的HTML語言，解決了專業技術人員缺乏的問題。網站群內網站實現信息共享，開放的接口提供了更加便捷的數據對接方式，使得網站內容不再孤立。移動版網站建設和管理更加方便。網站群平臺負責所有網站安全檢查和運維，大大提高了單位網站的質量和安全性。

Web建設全新模式

集群部署模式

隨著院系、職能部門和實驗室課題組不斷地將網站部署在網站群平臺中，導致管理服務器不堪重負，一旦管理服務器出現故障會導致整個網站群系統停止服務，存在著嚴重的單點故障問題，雖然現在使用數據庫集群來降低數據庫服務器的壓力，系統中還存在著大量的非結構數據，例如音視頻文件、圖片文件等，這些文件也存放在管理服務器中，使管理服務器和發布服務器的負擔更重，大連理工大學網站群平臺通過升級集群方式，解決以上諸多問題。

圖3 網站群集群拓撲

管理服務以集群為核心，使用負載均衡設備配置多個外網IP，分別將80端口負載到主站Web服務器區域和子站Web服務器區域，且在負載均衡器配置https 、http2，提升網站安全性和訪問速度，動態回鏈請求通過Apache均衡分配到多臺管理機服務器，極大地減輕每臺服務器的壓力。同時當M1宕機時，系統可自動切換到M2進行維護，集群中的管理機互為備份，增強了網站群管理端的安全性，同時可以隨時進行擴展，解決未來網站群站點數量增加使用需求。

Web服務采用多機發布，將網站群的全部網站同時發布到多臺Web服務器上，同時Web發布機可以不斷增加，增強了網站群平臺的可擴展性。

圖4 應用服務器CPU使用率

圖5 應用服務器內存使用率

存儲服務器，配置為LVM分區，后期可動態擴展，配置NFS服務，提供管理機掛載，將媒體文件等非結構數據發布在存儲服務器上，分擔管理服務器和發布服務器的壓力，從而解決非結構化數據的存儲和訪問問題。

異地備份服務器，備份采用完全備份和增量備份相結合的策略，每月進行一次完全備份，每周進行一次增量備份，形成網站群平臺災備系統。

生產服務器，網站的開發、調試、測試可以在生產服務器中完成，待網站設計固化、數據初始化完成后，再通過同步機制，將網站整體遷移到運行環境中，正式上線運行。這樣可以避免因網站反復調試對正式運行環境的影響。

通過網站群集群部署，大連理工大學成功將網站由“一群網站”向“網站群”轉變，最終形成現有的“網站群集群”，使得網站群平臺可以隨網站增加而隨時擴展，多機之間互為備份，緩解了管理機、發布機和數據庫的壓力，增強了網站群平臺的可靠性和安全性。

安全管理

網站權限管理

高級管理員，可以創建不同角色的普通管理員，授權普通管理員權限和管理欄目的范圍，實現網站權限的精細管理。所有管理員必須使用統一身份認證登錄，促使管理員賬號只能專人使用，增強網站管理員的安全意識，提高賬號的安全性，每個管理員的操作均有記錄，確保出問題時可以進行追查。

網站安全防護

靜態頁面防篡改策略，網站群平臺的網頁防篡改模塊將數字水印技術和請求攻擊檢測技術直接內嵌到Web發布服務器內部，并通過設定的定時觸發檢測技術，對網站中的各種靜態頁面、圖片、視頻、腳本文檔進行實時監控和防護，徹底解決網頁防篡改問題。Web應用防護模塊同樣是內置于Web發布服務器中，通過全面分析應用層的用戶HTTP請求數據，分析訪問行為，對有攻擊行為的源IP地址進行禁用，提供實時的安全防護。

防SQL注入策略，大連理工大學網站群平臺程序底層對提交入庫的SQL語句進行靜態語法分析，比如：SQL語句中不允許出現注釋（/**/、--），正常語法的SQL語句中不應包含除字母、數字、“-”、“.”，“_”，“'”之外的任何字符；不允許正常語句的截斷（;），多語句執行，一次執行，僅允許一條語句執行；拒絕 union， exec， char， ascii 等函數的執行，所有函數使用都必須在白名單中申明，避免構造的危險語句進一步破壞系統。此外，SQL防火墻還對連接數據庫的表和列有嚴格的權限控制，除網站群產品自身的表和列之外，不允許網站程序訪問數據庫服務器上其他的數據庫和系統表。

圖6 網站群安全體檢

Web應用防火墻，采用請求Filter匹配特征碼的攔截方式，基于特征碼的數量和準確度的因素，因此這種攔截方式不能持久被探測，需要及時阻斷探測，根據設置的防御策略，10分鐘內危險操作超過2次的，IP地址將凍結60分鐘，如有出現過2次凍結，將被凍結1天，防止攻擊持續蔓延。

網站管理制度

《大連理工大學校內網站建設管理辦法》作為學校網站建設的制度支撐，該辦法確定了網站是學校信息化建設的重要組成部分，規定網站與各類應用分離，統一使用學校域名和網站群平臺；明確網站負責人和管理員是網站的直接責任人，切實加強網站的日常管理、運維和監督工作，確保網站安全運行。

安全排查制度

定期進行網站安全防護和隱患排查，分析網站群平臺中包含特殊代碼的危險文件，封鎖所有潛在的危險通道，防止攻擊者通過這些通道獲得服務器的敏感技術信息或者獲得服務器的控制權，提高網站安全度。實時進行全網站可用性監控、分析，第一時間發現網站存在的訪問問題，及時進行處理，增強網站的訪問體驗。

根據多年的網站建設和管理經驗，完全依靠技術手段無法達到理想的效果，但是輔以強有力的網站管理制度和網站安全排查制度，在網站的全生命周期內都進行嚴格的管理，充分發揮技術優勢，保障網站的安全。

在高校信息化建設中，網站建設是基本要求，是宣傳學校的重要手段，大連理工大學通過網站群集群建設，很好地解決了學校缺少大量網站建設技術人員、網站管理混亂、數據無法共享、移動版網站、內容管理等問題、同時解決了網站安全問題，已經發布了230各種類型的網站，并與多個信息系統交互數據，形成了良好的網站信息網。