文/羅輝瓊 梁卓明 鄭凱

站群系統(tǒng)不僅很好地解決了華南師范大學(xué)各級單位網(wǎng)站數(shù)量龐大、難以統(tǒng)一管理維護、安全隱患大、信息無法共享等問題，而且降低了學(xué)校網(wǎng)站建設(shè)的總體投入成本，提高了系統(tǒng)管理人員的工作效率，保證了信息共享和安全。

在當今信息安全十分嚴峻的網(wǎng)絡(luò)環(huán)境中，管理單位須時刻調(diào)整優(yōu)化運維架構(gòu)，才能保證網(wǎng)絡(luò)運行的穩(wěn)定和安全。雖然網(wǎng)絡(luò)的穩(wěn)定安全的運行依賴于運維人員的安全意識和大量數(shù)據(jù)的分析，但是維護龐大網(wǎng)絡(luò)的運行依然是嚴峻的挑戰(zhàn)?，F(xiàn)高校中各級單位網(wǎng)站數(shù)量龐大，管理和維護工作繁重，而各級站點又是相互獨立、架構(gòu)不統(tǒng)一、管理分散、安全系數(shù)低。如何保障高校龐大網(wǎng)絡(luò)的安全運維已成為目前各大高校亟待解決的問題。華南師范大學(xué)采用國內(nèi)外大型互聯(lián)網(wǎng)企業(yè)的門戶管理思路，基于現(xiàn)今最流行的分布式部署技術(shù)，以開源程序PHPCMS V9為框架，采用PHP5+MySQL為技術(shù)基礎(chǔ)進行二次開發(fā)，自主構(gòu)建校園Web站群內(nèi)容管理發(fā)布系統(tǒng)，很好地幫助網(wǎng)絡(luò)管理員在整個網(wǎng)絡(luò)體系中實現(xiàn)更安全高效的信息管理。華南師范大學(xué)網(wǎng)站群內(nèi)容管理系統(tǒng)具有統(tǒng)一的管理入口、負載均衡、前后端分離部署及易于維護等特點。

校園二級網(wǎng)站現(xiàn)狀

華南師范大學(xué)現(xiàn)有二級域名網(wǎng)站100多個，各院系部處的網(wǎng)站均自主建設(shè)、自行維護。這些二級網(wǎng)站普遍存在信息安全隱患。具體現(xiàn)狀如下：

架構(gòu)不統(tǒng)一

目前各院系單位網(wǎng)站后臺架構(gòu)所使用的編程語言較多，有Java、ASP、ASP、NET、PHP等，各院系單位在組織對相應(yīng)的人員進行維護時，對維護人員所熟悉的編程語言提出了不同要求，一定程度上對維護工作帶來較大的難度。

安全系數(shù)低

由于維護不及時，安全意識不夠，服務(wù)器權(quán)限設(shè)置不嚴格等原因?qū)е潞芏嘣合祮挝坏木W(wǎng)站和安全系數(shù)較低，后門漏洞較多，網(wǎng)站容易被黑客非法入侵以竊取資料，掛載外鏈。如果服務(wù)器和數(shù)據(jù)庫本身設(shè)置了弱口令，防火墻沒設(shè)置好安全策略，還容易導(dǎo)致服務(wù)器本身被入侵，成為攻擊入侵校內(nèi)其他網(wǎng)站的跳板，從而威脅到學(xué)校其他服務(wù)的信息安全。

管理分散

各院系單位的網(wǎng)站服務(wù)器都是獨立托管在機房，彼此間沒有良好的溝通聯(lián)系機制，出現(xiàn)緊急情況需要聯(lián)系相關(guān)負責人時，耗費時間多，導(dǎo)致響應(yīng)不及時，無法快速處理，解決問題。

維護力量不夠

學(xué)校大部分單位的網(wǎng)站都沒有一支相對穩(wěn)定的維護團隊。大多由學(xué)生助理或兼職維護，人員流動性大。一旦負責的學(xué)生助理離校，交接工作沒做好，會給后續(xù)跟進維護工作帶來一系列問題，造成效率低下。

網(wǎng)站群系統(tǒng)構(gòu)建思路

CMS簡述

網(wǎng)站群管理系統(tǒng)全稱網(wǎng)站群內(nèi)容管理系統(tǒng)，由內(nèi)容管理系統(tǒng)（Content Management System，CMS）專注于網(wǎng)站群管理發(fā)展而來，其核心是支持多站點的內(nèi)容管理系統(tǒng)。CMS是一種位于Web前端（Web服務(wù)器）和后端業(yè)務(wù)應(yīng)用系統(tǒng)、辦公系統(tǒng)或流程（內(nèi)容創(chuàng)作、編輯）之間的軟件系統(tǒng)，重點解決各種非結(jié)構(gòu)化或半結(jié)構(gòu)化的數(shù)字資源的采集、管理、利用、傳遞和增值。CMS可以對高校在網(wǎng)站群的整體建設(shè)和獨立網(wǎng)站開發(fā)兩方面提供技術(shù)支持。

分布式部署技術(shù)

分布式部署是將數(shù)據(jù)分散地存儲于多臺獨立的機器設(shè)備上，采用可擴展的系統(tǒng)結(jié)構(gòu)，利用多臺存儲服務(wù)器分擔存儲負荷，利用位置服務(wù)器定位存儲信息，不但解決了傳統(tǒng)集中式存儲系統(tǒng)中單存儲服務(wù)器的瓶頸問題，還提高了系統(tǒng)的可靠性、可用性和擴展性。

校園Web站群系統(tǒng)

華南師范大學(xué)Web站群（網(wǎng)站群）發(fā)布管理系統(tǒng)，基于現(xiàn)今最流行的分布式部署技術(shù)，以開源程序PHPCMS V9為框架，采用PHP5+MySQL作為技術(shù)基礎(chǔ)，構(gòu)建校園智慧云網(wǎng)站發(fā)布管理系統(tǒng)。其采用國內(nèi)外大型互聯(lián)網(wǎng)企業(yè)的門戶管理思路，可以很好地幫助網(wǎng)絡(luò)管理員在整個網(wǎng)絡(luò)體系中實現(xiàn)更安全高效的信息管理。網(wǎng)站群發(fā)布管理系統(tǒng)具有前后端分離部署、專業(yè)穩(wěn)定的維護團隊、集中管理、架構(gòu)統(tǒng)一、底層互通等更安全專業(yè)的技術(shù)特點。

1.前后端分離部署

發(fā)布系統(tǒng)采用門戶級網(wǎng)站分離部署的架構(gòu)形式，用戶訪問的前端靜態(tài)頁面與管理后臺分別部署在不同的服務(wù)器上。服務(wù)器本身與外網(wǎng)物理隔絕，通過反向代理等技術(shù)提供對外服務(wù)，同時對數(shù)據(jù)庫服務(wù)器，緩存服務(wù)器做了分布式部署，提高了系統(tǒng)的安全系數(shù)，保證了多并發(fā)情況下的負載能力。

2.專業(yè)穩(wěn)定的維護團隊

發(fā)布系統(tǒng)的服務(wù)器安全，網(wǎng)站安全，漏洞修補，系統(tǒng)功能開發(fā)維護等方面，都由網(wǎng)絡(luò)中心指定專門的管理人員進行維護工作，院系單位只需把力量投入到網(wǎng)站的運營編輯工作，不再有后顧之憂。

3.集中管理

發(fā)布系統(tǒng)后臺發(fā)布使用SSO統(tǒng)一身份認證進行實名制登錄，凡是接入系統(tǒng)當中的網(wǎng)站，都采用同一入口，同一系統(tǒng)進行集中管理，權(quán)限由網(wǎng)絡(luò)中心統(tǒng)一分配，可為不同的站點分配不同管理員權(quán)限，各站點獨立設(shè)置，互不影響。通過向各站點管理分配角色權(quán)限，各站點管理員登錄后界面只能顯示自己所擁有的內(nèi)容和欄目菜單。

4.架構(gòu)統(tǒng)一、底層互通

站群系統(tǒng)建立在統(tǒng)一標準、統(tǒng)一技術(shù)構(gòu)架基礎(chǔ)之上，分級管理，分級維護，信息可以實現(xiàn)基于特定權(quán)限共享呈送。系統(tǒng)實現(xiàn)了技術(shù)標準統(tǒng)一，用戶信息能夠互聯(lián)互通，實行集群化管理，相對一致的網(wǎng)站運行和服務(wù)規(guī)范。

華師Web站群系統(tǒng)特性

華南師范大學(xué)Web站群內(nèi)容管理發(fā)布系統(tǒng)具有強大的內(nèi)容管理和靈活的管理權(quán)限分配。內(nèi)容管理模塊是站點管理的核心內(nèi)容，在此模塊中可以對全站的信息、欄目分類、信息推送、專題、評論、類別等多方面的內(nèi)容進行管理維護操作。管理員權(quán)限可以細致到每個站點獨立分配，通過統(tǒng)一認證系統(tǒng)登錄到后臺，每個站點的管理員都有獨立的后臺，管理員可以全權(quán)控制自己所在站點的功能，包括設(shè)置下級管理員，增加管理角色組，自由開關(guān)網(wǎng)站功能。同時所做操作不會影響到其他的站點。

具體系統(tǒng)特性如下：

1.功能強大靈活，支持自定義模型和字段

由內(nèi)容模型、會員模型、專題模型等20多個功能模塊組成，并內(nèi)置新聞、圖片、信息3大常用模型，超強的自定義模型和字段功能則把系統(tǒng)靈活度發(fā)揮到了極致，可以不用編程就實現(xiàn)各種信息發(fā)布和檢索。

2.模板制作方便，支持中文標簽和萬能標簽進行數(shù)據(jù)調(diào)用

采用MVC設(shè)計模式實現(xiàn)了程序與模板完全分離，支持 {tag_焦點新聞} 格式的中文標簽，同時還支持萬能標簽，分別適合設(shè)計師和程序員使用?？烧{(diào)用本系統(tǒng)數(shù)據(jù)，也可以調(diào)用其他MySQL數(shù)據(jù)庫，輕松實現(xiàn)多個網(wǎng)站應(yīng)用的數(shù)據(jù)整合。同時，管理后臺直接支持模板內(nèi)容，CSS，JS在線編輯，圖片在線上傳，不用再通過復(fù)雜的FTP上傳模式進行代碼維護，所有操作均可在瀏覽器內(nèi)完成。在線編輯加入歷史版本功能，如果修改錯誤，可以隨時通過歷史版本返回上一正確版本，減輕技術(shù)人員工作強度，把更多精力投入到日常運營工作中。

3.擁有門戶級的碎片功能，支持可視化預(yù)覽和編輯

首次把門戶級的碎片功能集成到系統(tǒng)內(nèi)，并可使用權(quán)限機制，支持在后臺完全可視化添加、預(yù)覽和編輯，可回溯至任何歷史版本，非常適合用來維護網(wǎng)站首頁、欄目和專題頁。 支持推薦位功能，輕松實現(xiàn)網(wǎng)站重點內(nèi)容精準推送。推薦位功能集成了權(quán)限機制，并可以讓編輯隨時把信息推送至指定位置，也可以隨時把信息從指定的位置撤下來，操作簡單實用。

4.融入了人性化體驗

支持編輯器自動定時保存數(shù)據(jù)，可隨時恢復(fù)；支持信息發(fā)布前預(yù)覽，效果與實際發(fā)布相同；支持可視化編輯和修改碎片；支持編輯器多圖片上傳，并可以自由裁剪縮放；前后臺第一次登錄都不需要輸入驗證碼，輸入錯誤后才需要驗證碼，保證了安全性的同時減少了用戶操作。后臺導(dǎo)航地圖，所有功能一目了然；菜單搜索，輸入關(guān)鍵詞就會自動列出相關(guān)菜單。

5.門戶級別的站群管理模式

所謂站群，是指建立在統(tǒng)一標準、統(tǒng)一技術(shù)框架基礎(chǔ)上，分級管理，分級維護，信息可以實現(xiàn)基于特定權(quán)限共享呈送的網(wǎng)站集合。具有統(tǒng)一，分級管理，信息共享，單點登錄的特征。站群實現(xiàn)了技術(shù)標準統(tǒng)一，能夠互聯(lián)互通，實行集群化管理，相對一致的網(wǎng)站運行和服務(wù)規(guī)范。對于安全控制，做到各個站點權(quán)限互相獨立、操作互不影響。

站群系統(tǒng)解決了目前學(xué)校網(wǎng)站的問題：

（1）學(xué)校各級單位網(wǎng)站數(shù)量龐大，管理和維護工作繁雜重復(fù)；

（2）各級站點獨立，站點間從文件存儲到數(shù)據(jù)庫結(jié)構(gòu)都是完全獨立的；

（3）站點間的單點登錄；

（4）站點間信息共享，內(nèi)容推送等。

系統(tǒng)部署規(guī)劃

華南師范大學(xué)網(wǎng)站群內(nèi)容管理發(fā)布系統(tǒng)，在保證安全、易用、穩(wěn)定的前提下，根據(jù)我校網(wǎng)站部署的實際情況進行了二次開發(fā)，二次開發(fā)后的系統(tǒng)保證了完美兼容原PHPCMS的核心和模板體系，減少了后續(xù)的維護和使用成本，在此同時大大提高了系統(tǒng)的安全和可靠性。

管理系統(tǒng)采用多臺服務(wù)器進行分布式部署，發(fā)布前端與管理后臺、模塊入口分別部署在不同的服務(wù)器上。管理后臺使用統(tǒng)一認證系統(tǒng)進行實名制登錄和管理，嚴格控制登錄范圍和管理權(quán)限，最大程度杜絕掛馬、后門、漏洞入侵等情況，保證網(wǎng)站系統(tǒng)和服務(wù)器的安全運行。

系統(tǒng)包括各種強大、專業(yè)的子系統(tǒng)管理。包含有：內(nèi)容、站群、會員、權(quán)限、投票、表單、廣告、評論、附件、全站搜索、訪問統(tǒng)計、專題等12個子系統(tǒng)管理。

系統(tǒng)架構(gòu)

系統(tǒng)架構(gòu)示例如圖1所示，系統(tǒng)訪問入口分別為前端和后端設(shè)置。

圖1 Web系統(tǒng)架構(gòu)示例

1.后端入口設(shè)置

后端服務(wù)器負責系統(tǒng)動態(tài)程序的運行和服務(wù)，根據(jù)模塊功能分類設(shè)置若干入口：

（1）http://scms.scnu.edu.cn

發(fā)布系統(tǒng)訪問入口，提供后臺信息發(fā)布和欄目設(shè)置等功能。

（2）http://module.scnu.edu.cn

模塊總?cè)肟?，提供包括表單、投票、友情鏈接、全站搜索、信息點評等功能訪問。

（3）http://comment.scnu.edu.cn

評論入口，提供發(fā)布、回復(fù)、查看評論功能。

（4）http://user.scnu.edu.cn

用戶入口，提供登錄、退出、自助投稿、用戶中心功能。

2.前端入口設(shè)置

前端服務(wù)器負責提供系統(tǒng)后臺設(shè)置的各個網(wǎng)站的前端靜態(tài)頁訪問，以及提供圖片存儲、網(wǎng)站CSS、JS等文件的訪問。

（1） http://X.scnu.edu.cn 為各網(wǎng)站訪問域名，X代表該網(wǎng)站的二級域名，如nc.scnu.edu.cn、nh.scnu.edu.cn。

（2）http://statics.scnu.edu.cn為靜態(tài)資源存儲訪問入口，包括網(wǎng)站后臺上傳的圖片，附件，網(wǎng)站定義樣式的CSS、JS等文件。

（3）服務(wù)器系統(tǒng)安全設(shè)置。服務(wù)器系統(tǒng)站點訪問權(quán)限嚴格按照“可讀取不允許寫入，可寫入不允許執(zhí)行”的原則部署權(quán)限方案。后端服務(wù)器提供的服務(wù)中，服務(wù)運行賬號除了系統(tǒng)緩存和系統(tǒng)模板允許有寫入權(quán)限以外，其余權(quán)限均只有讀取，有寫入權(quán)限的文件夾不允許腳本執(zhí)行。前端服務(wù)器所有文件均可以寫入，以保證后端生成的靜態(tài)文件和上傳的圖片附件可以正常發(fā)布到站點上。除此之外，前端服務(wù)器不配置動態(tài)運行環(huán)境，允許寫入的系統(tǒng)賬號嚴格控制范圍，最大程度保證系統(tǒng)安全性，即使萬一服務(wù)器被入侵，也能夠因為權(quán)限最小化而避免造成重大的損失。

網(wǎng)站架構(gòu)規(guī)劃

網(wǎng)站采用靈活擴展的部署方式，主要為三大模塊：靜態(tài)存儲服務(wù)系統(tǒng)、應(yīng)用程序模塊系統(tǒng)、數(shù)據(jù)庫支撐系統(tǒng)。

1.靜態(tài)存儲服務(wù)系統(tǒng)

管理系統(tǒng)生成數(shù)據(jù)后通過ISCSI Target遠程發(fā)布靜態(tài)頁面到靜態(tài)存儲服務(wù)器中，根據(jù)不同站點劃分為不同目錄，綁定對應(yīng)的站點域名，并分配對應(yīng)訪問權(quán)限。

2.應(yīng)用程序模塊系統(tǒng)

應(yīng)用程序模塊包括后臺管理程序，評論、投票、全站搜索、信息點評、附件管理、訪問統(tǒng)計、分類信息、用戶互動等多個模塊。模塊系統(tǒng)提供自定義模型和模塊開發(fā)接口，便于二次開發(fā)?？蔀閼?yīng)用程序模塊單獨配置1臺或1臺以上的服務(wù)器，如有需要，可將獨立的模塊分布部署到多臺機器上。

3.數(shù)據(jù)庫支撐系統(tǒng)

數(shù)據(jù)庫后端采用MySQL數(shù)據(jù)庫，為適應(yīng)網(wǎng)站擴展和方便維護管理，允許把不同站點的數(shù)據(jù)表，分離到不同的數(shù)據(jù)庫服務(wù)器上。以實現(xiàn)負載的分離，更加符合大訪問量網(wǎng)站的需求。

服務(wù)器部署規(guī)劃

1.服務(wù)器部署

根據(jù)系統(tǒng)架構(gòu)的規(guī)劃，服務(wù)器部署為三類：靜態(tài)存儲系統(tǒng)服務(wù)器、應(yīng)用模塊系統(tǒng)服務(wù)器、數(shù)據(jù)庫支撐服務(wù)器。服務(wù)器結(jié)構(gòu)如圖2所示。

圖2 服務(wù)器結(jié)構(gòu)

2.服務(wù)器軟件建議

系統(tǒng)建議：Centos 6.4或者Windows Server 2012R2；WebHTTP軟件建議：Nginx,Apache(Linux)，IIS 8.0(Windows)。

3.域名分配規(guī)劃

靜態(tài)存儲系統(tǒng)服務(wù)器綁定以下域名：

x.scnu.edu.cn x代表各站點子域名，用于訪問前端信息頁面；

statics.scnu.edu.cn 樣式資源服務(wù)，用于存放CSS、JS、圖片等樣式資源。

應(yīng)用模塊系統(tǒng)服務(wù)器綁定以下域名：

module.scnu.edu.cn 各模塊總?cè)肟冢?/p>

comment.scnu.edu.cn 評論服務(wù)；

根據(jù)需要，還可細化為各模塊功能均使用域名訪問，如：

vote.scnu.edu.cn 投票

form.scnu.edu.cn 表單

search.scnu.edu.cn 全站搜索

……

4.系統(tǒng)模塊分布式部署

Server1-Server11均為最小分布部署單位，不可再拆分?？梢詫⒍鄠€Server合并為一個Server，例如：Server1-2可以合并為一個Server，Server3-11可以合并為一個Server。建議Server1（靜態(tài)存儲），Server3（核心模塊），Server7（會員服務(wù)）獨立部署,如圖3所示。

圖3 系統(tǒng)模塊分布式部署

應(yīng)用效果

目前，華南師范大學(xué)網(wǎng)站群內(nèi)容管理發(fā)布系統(tǒng)已在全校范圍內(nèi)正式鋪開使用，已上線網(wǎng)站35個，正在籌備上線網(wǎng)站47個。系統(tǒng)運行至今，狀態(tài)穩(wěn)定可靠，用戶體驗良好。網(wǎng)站群系統(tǒng)通過部署發(fā)布前端和管理后端的分離結(jié)構(gòu)極大提高了系統(tǒng)的安全性，解決了傳統(tǒng)獨立二級網(wǎng)站安全系數(shù)低的問題；系統(tǒng)內(nèi)可以細致到每個站點獨立分配的管理員權(quán)限，滿足了學(xué)校網(wǎng)站靈活設(shè)置多級管理員的需求；系統(tǒng)支持在線模板編輯、支持多個站點的數(shù)據(jù)共享功能，改善了學(xué)校二級網(wǎng)站的信息孤島問題。系統(tǒng)的門戶級別的部群管理模式，規(guī)范了學(xué)校二級單位站點的統(tǒng)一建設(shè)標準和技術(shù)規(guī)范，減少了網(wǎng)站建設(shè)的成本，提高了系統(tǒng)管理人員的工作效率。這些顯著的成效得到了學(xué)校領(lǐng)導(dǎo)、各二級單位負責人、各二級單位網(wǎng)絡(luò)管理員的充分認可。學(xué)校已就華南師范大學(xué)網(wǎng)站群系統(tǒng)建設(shè)，擬撥專項?？?，用于全校所有二級單位網(wǎng)站加入學(xué)校網(wǎng)站群系統(tǒng)的統(tǒng)一建設(shè)。此項工作計劃在今年內(nèi)完成，包括已上線和正在籌備上線的網(wǎng)站，學(xué)校剩余30多個二級網(wǎng)站都將在今年內(nèi)完成加入網(wǎng)站群系統(tǒng)的建設(shè)。

華南師范大學(xué)網(wǎng)絡(luò)中心通過自己的開發(fā)團隊，以開源程序PHPCMS V9為框架、 PHP5+MySQL為技術(shù)基礎(chǔ)自主開發(fā)了華南師范大學(xué)網(wǎng)站群內(nèi)容管理發(fā)布系統(tǒng)。站群系統(tǒng)不僅很好地解決了華南師范大學(xué)各級單位網(wǎng)站數(shù)量龐大、難以統(tǒng)一管理維護、安全隱患大、信息無法共享等問題，而且降低了學(xué)校網(wǎng)站建設(shè)的總體投入成本，提高了系統(tǒng)管理人員的工作效率，保證了信息共享和安全，實現(xiàn)了信息資源的統(tǒng)一存儲、統(tǒng)一分類、充分挖掘和利用，奠定了學(xué)校信息化建設(shè)的基礎(chǔ)。這在高校信息化建設(shè)中具有一定的參考價值和實踐意義。