文／劉柱 李降宇 鄭維

高校網(wǎng)站獨立建設(shè)存在的問題

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，高校的信息化建設(shè)也在快速發(fā)展，網(wǎng)站建設(shè)已成為信息化基礎(chǔ)建設(shè)，其數(shù)量不斷增加、內(nèi)容不斷豐富，是師生獲取信息的最重要的渠道，但在建設(shè)中存在以下一些問題：

1.缺乏專業(yè)技術(shù)人員問題。網(wǎng)站建設(shè)需要專業(yè)技術(shù)人員開發(fā)，涉及頁面設(shè)計、功能分析、代碼編程等多個方面，學校各部門缺乏此類技術(shù)人員，導致網(wǎng)站頁面呆板、功能不全、交互性差、頁面安全均存在漏洞。

2.信息孤島問題。網(wǎng)站在設(shè)計開發(fā)過程中，沒有統(tǒng)一的規(guī)劃，使用的開發(fā)語言、數(shù)據(jù)結(jié)構(gòu)各有不同，各個站點之間獨立運行，形成了信息孤島，信息難以整合利用，與其他應(yīng)用系統(tǒng)對接難度極大。

3.網(wǎng)站安全隱患問題。根據(jù)360網(wǎng)站衛(wèi)士數(shù)據(jù)顯示：中國每個高校網(wǎng)站平均每天被黑客攻擊113次（包含掃描等行為），高校網(wǎng)站被黑客入侵后通常受到的侵害有掛馬、網(wǎng)站前臺和后臺被篡改、網(wǎng)站數(shù)據(jù)庫被“拖庫”、被篡改、網(wǎng)頁被掛馬，服務(wù)器被控制成為“肉雞”等。學校各網(wǎng)站建設(shè)隨意性較大沒有規(guī)范，導致網(wǎng)站存在大量的漏洞，安全風險極大；網(wǎng)站管理上沒有統(tǒng)一的管理和監(jiān)督平臺、管理員共用賬號、沒有權(quán)限等級劃分、管理員將服務(wù)器變成私人的存儲空間、上傳私人文件、安裝無關(guān)的程序，網(wǎng)站安全性無法得到保障，出現(xiàn)問題后無法追責。

4.移動端網(wǎng)站建設(shè)問題。網(wǎng)站管理員需要維護多個管理后臺，增加管理員的工作量；使用不同的域名，給用戶訪問帶來極大的不便；手機屏幕分辨率較多，前端的表現(xiàn)都有比較大的差異。

網(wǎng)站群平臺

大連理工大學網(wǎng)站群平臺采用“主站+子站”模式構(gòu)建網(wǎng)站群，在一套網(wǎng)站群產(chǎn)品中建立多個站點，各站點在形式上各自獨立，邏輯上相互聯(lián)系，子站擁有自己的獨立域名和存儲空間，主站可以對子站管理員進行創(chuàng)建和權(quán)限分配并可以對子站的信息進行統(tǒng)一管理。網(wǎng)站群平臺為網(wǎng)站建設(shè)和內(nèi)容維護人員提供了功能強大、簡單易用、完全可擴展的動態(tài)站點開發(fā)管理工具，無需專業(yè)人才和復雜培訓就可以進行大型動態(tài)門戶站點的應(yīng)用開發(fā)和維護管理。

網(wǎng)站群平臺的主要特點

1.可視化建站模塊。大連理工大學網(wǎng)站群平臺提供強大豐富的組件庫功能，可以滿足各種不同類型網(wǎng)站的需求，組件可以靈活搭配，展現(xiàn)形式豐富多彩，將組件拖拽到頁面相應(yīng)的位置即可；

2. 網(wǎng)站群平臺擴展。網(wǎng)站群平臺基于開發(fā)的Java EE多層架構(gòu)，組件開放代碼，完全可以根據(jù)網(wǎng)站的需要自行開發(fā)和修改；

3.操作簡單。平臺采用B/S架構(gòu)，可以通過模板建設(shè)網(wǎng)站，操作簡單，開發(fā)人員無需太多高深的編程技術(shù)就可以完成網(wǎng)站建設(shè)，消除了網(wǎng)站建設(shè)的技術(shù)門檻。

圖1 網(wǎng)站群內(nèi)容與門戶對接

圖2 移動端網(wǎng)站

4.數(shù)據(jù)共享。所有站點部署在同一個網(wǎng)站群平臺中，使用統(tǒng)一的數(shù)據(jù)庫、一致的數(shù)據(jù)結(jié)構(gòu)，每個網(wǎng)站對應(yīng)數(shù)據(jù)庫的唯一標識wbfirmid，所有的內(nèi)容數(shù)據(jù)都需要關(guān)聯(lián)網(wǎng)站的wbfirmid，這樣就可以將網(wǎng)站的欄目、文章、圖片、互動等內(nèi)容數(shù)據(jù)按網(wǎng)站區(qū)分開，用戶和網(wǎng)站由一張關(guān)聯(lián)表，關(guān)聯(lián)用戶ID和網(wǎng)站ID，一個網(wǎng)站可以關(guān)聯(lián)多個用戶，一個用戶也可以關(guān)聯(lián)多個網(wǎng)站，網(wǎng)站之間內(nèi)容數(shù)據(jù)的相互引用只需要引用內(nèi)容資料的主鍵和網(wǎng)站ID就可以；網(wǎng)站內(nèi)容之間的投遞是將內(nèi)容復制出來一份，將復制內(nèi)容數(shù)據(jù)的網(wǎng)站ID修改為目標網(wǎng)站ID就可以實現(xiàn)投遞功能；數(shù)據(jù)剪切是將數(shù)據(jù)的網(wǎng)站ID直接修改為目標網(wǎng)站的ID即可，這就可以快速實現(xiàn)不同站點的文件、內(nèi)容的傳遞和共享；并且通過開放的信息接口，實現(xiàn)將網(wǎng)站群中任何網(wǎng)站信息提供給其他網(wǎng)站共享。以大連理工大學新版門戶為例，門戶網(wǎng)站的新聞和通知就實現(xiàn)了從各個部門、院系網(wǎng)站提取，供用戶訂閱匯總查看。

通過每個網(wǎng)站的“id”和網(wǎng)站中欄目的“treeid”實現(xiàn)網(wǎng)站內(nèi)容的對接。

5.移動版網(wǎng)站建設(shè)。通過網(wǎng)站群移動版網(wǎng)站的信息聚合模塊，實現(xiàn)移動網(wǎng)站與現(xiàn)有網(wǎng)站的信息同步與共享，從而解決移動網(wǎng)站的內(nèi)容維護問題。同時，采用智能網(wǎng)頁正文抽取和過濾技術(shù)，針對不同的移動終端進行自動優(yōu)化，使得字體、排版方式更加適合移動終端的小屏幕觀看。

采用VSB9網(wǎng)站群平臺建設(shè)和管理網(wǎng)站，各單位可以根據(jù)自己的需要進行二次開發(fā)，解決了網(wǎng)站建設(shè)的代碼自定義開發(fā)問題，節(jié)省了大量開發(fā)經(jīng)費。使用組件建設(shè)網(wǎng)站，完全可視化建站，開發(fā)人員只需了解基礎(chǔ)的HTML語言，解決了專業(yè)技術(shù)人員缺乏的問題。網(wǎng)站群內(nèi)網(wǎng)站實現(xiàn)信息共享，開放的接口提供了更加便捷的數(shù)據(jù)對接方式，使得網(wǎng)站內(nèi)容不再孤立。移動版網(wǎng)站建設(shè)和管理更加方便。網(wǎng)站群平臺負責所有網(wǎng)站安全檢查和運維，大大提高了單位網(wǎng)站的質(zhì)量和安全性。

Web建設(shè)全新模式

集群部署模式

隨著院系、職能部門和實驗室課題組不斷地將網(wǎng)站部署在網(wǎng)站群平臺中，導致管理服務(wù)器不堪重負，一旦管理服務(wù)器出現(xiàn)故障會導致整個網(wǎng)站群系統(tǒng)停止服務(wù)，存在著嚴重的單點故障問題，雖然現(xiàn)在使用數(shù)據(jù)庫集群來降低數(shù)據(jù)庫服務(wù)器的壓力，系統(tǒng)中還存在著大量的非結(jié)構(gòu)數(shù)據(jù)，例如音視頻文件、圖片文件等，這些文件也存放在管理服務(wù)器中，使管理服務(wù)器和發(fā)布服務(wù)器的負擔更重，大連理工大學網(wǎng)站群平臺通過升級集群方式，解決以上諸多問題。

圖3 網(wǎng)站群集群拓撲

管理服務(wù)以集群為核心，使用負載均衡設(shè)備配置多個外網(wǎng)IP，分別將80端口負載到主站W(wǎng)eb服務(wù)器區(qū)域和子站W(wǎng)eb服務(wù)器區(qū)域，且在負載均衡器配置https 、http2，提升網(wǎng)站安全性和訪問速度，動態(tài)回鏈請求通過Apache均衡分配到多臺管理機服務(wù)器，極大地減輕每臺服務(wù)器的壓力。同時當M1宕機時，系統(tǒng)可自動切換到M2進行維護，集群中的管理機互為備份，增強了網(wǎng)站群管理端的安全性，同時可以隨時進行擴展，解決未來網(wǎng)站群站點數(shù)量增加使用需求。

Web服務(wù)采用多機發(fā)布，將網(wǎng)站群的全部網(wǎng)站同時發(fā)布到多臺Web服務(wù)器上，同時Web發(fā)布機可以不斷增加，增強了網(wǎng)站群平臺的可擴展性。

圖4 應(yīng)用服務(wù)器CPU使用率

圖5 應(yīng)用服務(wù)器內(nèi)存使用率

存儲服務(wù)器，配置為LVM分區(qū)，后期可動態(tài)擴展，配置NFS服務(wù)，提供管理機掛載，將媒體文件等非結(jié)構(gòu)數(shù)據(jù)發(fā)布在存儲服務(wù)器上，分擔管理服務(wù)器和發(fā)布服務(wù)器的壓力，從而解決非結(jié)構(gòu)化數(shù)據(jù)的存儲和訪問問題。

異地備份服務(wù)器，備份采用完全備份和增量備份相結(jié)合的策略，每月進行一次完全備份，每周進行一次增量備份，形成網(wǎng)站群平臺災備系統(tǒng)。

生產(chǎn)服務(wù)器，網(wǎng)站的開發(fā)、調(diào)試、測試可以在生產(chǎn)服務(wù)器中完成，待網(wǎng)站設(shè)計固化、數(shù)據(jù)初始化完成后，再通過同步機制，將網(wǎng)站整體遷移到運行環(huán)境中，正式上線運行。這樣可以避免因網(wǎng)站反復調(diào)試對正式運行環(huán)境的影響。

通過網(wǎng)站群集群部署，大連理工大學成功將網(wǎng)站由“一群網(wǎng)站”向“網(wǎng)站群”轉(zhuǎn)變，最終形成現(xiàn)有的“網(wǎng)站群集群”，使得網(wǎng)站群平臺可以隨網(wǎng)站增加而隨時擴展，多機之間互為備份，緩解了管理機、發(fā)布機和數(shù)據(jù)庫的壓力，增強了網(wǎng)站群平臺的可靠性和安全性。

安全管理

網(wǎng)站權(quán)限管理

高級管理員，可以創(chuàng)建不同角色的普通管理員，授權(quán)普通管理員權(quán)限和管理欄目的范圍，實現(xiàn)網(wǎng)站權(quán)限的精細管理。所有管理員必須使用統(tǒng)一身份認證登錄，促使管理員賬號只能專人使用，增強網(wǎng)站管理員的安全意識，提高賬號的安全性，每個管理員的操作均有記錄，確保出問題時可以進行追查。

網(wǎng)站安全防護

靜態(tài)頁面防篡改策略，網(wǎng)站群平臺的網(wǎng)頁防篡改模塊將數(shù)字水印技術(shù)和請求攻擊檢測技術(shù)直接內(nèi)嵌到Web發(fā)布服務(wù)器內(nèi)部，并通過設(shè)定的定時觸發(fā)檢測技術(shù)，對網(wǎng)站中的各種靜態(tài)頁面、圖片、視頻、腳本文檔進行實時監(jiān)控和防護，徹底解決網(wǎng)頁防篡改問題。Web應(yīng)用防護模塊同樣是內(nèi)置于Web發(fā)布服務(wù)器中，通過全面分析應(yīng)用層的用戶HTTP請求數(shù)據(jù)，分析訪問行為，對有攻擊行為的源IP地址進行禁用，提供實時的安全防護。

防SQL注入策略，大連理工大學網(wǎng)站群平臺程序底層對提交入庫的SQL語句進行靜態(tài)語法分析，比如：SQL語句中不允許出現(xiàn)注釋（/**/、--），正常語法的SQL語句中不應(yīng)包含除字母、數(shù)字、“-”、“.”，“_”，“'”之外的任何字符；不允許正常語句的截斷（;），多語句執(zhí)行，一次執(zhí)行，僅允許一條語句執(zhí)行；拒絕 union， exec， char， ascii 等函數(shù)的執(zhí)行，所有函數(shù)使用都必須在白名單中申明，避免構(gòu)造的危險語句進一步破壞系統(tǒng)。此外，SQL防火墻還對連接數(shù)據(jù)庫的表和列有嚴格的權(quán)限控制，除網(wǎng)站群產(chǎn)品自身的表和列之外，不允許網(wǎng)站程序訪問數(shù)據(jù)庫服務(wù)器上其他的數(shù)據(jù)庫和系統(tǒng)表。

圖6 網(wǎng)站群安全體檢

Web應(yīng)用防火墻，采用請求Filter匹配特征碼的攔截方式，基于特征碼的數(shù)量和準確度的因素，因此這種攔截方式不能持久被探測，需要及時阻斷探測，根據(jù)設(shè)置的防御策略，10分鐘內(nèi)危險操作超過2次的，IP地址將凍結(jié)60分鐘，如有出現(xiàn)過2次凍結(jié)，將被凍結(jié)1天，防止攻擊持續(xù)蔓延。

網(wǎng)站管理制度

《大連理工大學校內(nèi)網(wǎng)站建設(shè)管理辦法》作為學校網(wǎng)站建設(shè)的制度支撐，該辦法確定了網(wǎng)站是學校信息化建設(shè)的重要組成部分，規(guī)定網(wǎng)站與各類應(yīng)用分離，統(tǒng)一使用學校域名和網(wǎng)站群平臺；明確網(wǎng)站負責人和管理員是網(wǎng)站的直接責任人，切實加強網(wǎng)站的日常管理、運維和監(jiān)督工作，確保網(wǎng)站安全運行。

安全排查制度

定期進行網(wǎng)站安全防護和隱患排查，分析網(wǎng)站群平臺中包含特殊代碼的危險文件，封鎖所有潛在的危險通道，防止攻擊者通過這些通道獲得服務(wù)器的敏感技術(shù)信息或者獲得服務(wù)器的控制權(quán)，提高網(wǎng)站安全度。實時進行全網(wǎng)站可用性監(jiān)控、分析，第一時間發(fā)現(xiàn)網(wǎng)站存在的訪問問題，及時進行處理，增強網(wǎng)站的訪問體驗。

根據(jù)多年的網(wǎng)站建設(shè)和管理經(jīng)驗，完全依靠技術(shù)手段無法達到理想的效果，但是輔以強有力的網(wǎng)站管理制度和網(wǎng)站安全排查制度，在網(wǎng)站的全生命周期內(nèi)都進行嚴格的管理，充分發(fā)揮技術(shù)優(yōu)勢，保障網(wǎng)站的安全。

在高校信息化建設(shè)中，網(wǎng)站建設(shè)是基本要求，是宣傳學校的重要手段，大連理工大學通過網(wǎng)站群集群建設(shè)，很好地解決了學校缺少大量網(wǎng)站建設(shè)技術(shù)人員、網(wǎng)站管理混亂、數(shù)據(jù)無法共享、移動版網(wǎng)站、內(nèi)容管理等問題、同時解決了網(wǎng)站安全問題，已經(jīng)發(fā)布了230各種類型的網(wǎng)站，并與多個信息系統(tǒng)交互數(shù)據(jù)，形成了良好的網(wǎng)站信息網(wǎng)。