文／劉柱 李降宇 鄭維

高校網(wǎng)站獨立建設存在的問題

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，高校的信息化建設也在快速發(fā)展，網(wǎng)站建設已成為信息化基礎建設，其數(shù)量不斷增加、內容不斷豐富，是師生獲取信息的最重要的渠道，但在建設中存在以下一些問題：

1.缺乏專業(yè)技術人員問題。網(wǎng)站建設需要專業(yè)技術人員開發(fā)，涉及頁面設計、功能分析、代碼編程等多個方面，學校各部門缺乏此類技術人員，導致網(wǎng)站頁面呆板、功能不全、交互性差、頁面安全均存在漏洞。

2.信息孤島問題。網(wǎng)站在設計開發(fā)過程中，沒有統(tǒng)一的規(guī)劃，使用的開發(fā)語言、數(shù)據(jù)結構各有不同，各個站點之間獨立運行，形成了信息孤島，信息難以整合利用，與其他應用系統(tǒng)對接難度極大。

3.網(wǎng)站安全隱患問題。根據(jù)360網(wǎng)站衛(wèi)士數(shù)據(jù)顯示：中國每個高校網(wǎng)站平均每天被黑客攻擊113次（包含掃描等行為），高校網(wǎng)站被黑客入侵后通常受到的侵害有掛馬、網(wǎng)站前臺和后臺被篡改、網(wǎng)站數(shù)據(jù)庫被“拖庫”、被篡改、網(wǎng)頁被掛馬，服務器被控制成為“肉雞”等。學校各網(wǎng)站建設隨意性較大沒有規(guī)范，導致網(wǎng)站存在大量的漏洞，安全風險極大；網(wǎng)站管理上沒有統(tǒng)一的管理和監(jiān)督平臺、管理員共用賬號、沒有權限等級劃分、管理員將服務器變成私人的存儲空間、上傳私人文件、安裝無關的程序，網(wǎng)站安全性無法得到保障，出現(xiàn)問題后無法追責。

4.移動端網(wǎng)站建設問題。網(wǎng)站管理員需要維護多個管理后臺，增加管理員的工作量；使用不同的域名，給用戶訪問帶來極大的不便；手機屏幕分辨率較多，前端的表現(xiàn)都有比較大的差異。

網(wǎng)站群平臺

大連理工大學網(wǎng)站群平臺采用“主站+子站”模式構建網(wǎng)站群，在一套網(wǎng)站群產(chǎn)品中建立多個站點，各站點在形式上各自獨立，邏輯上相互聯(lián)系，子站擁有自己的獨立域名和存儲空間，主站可以對子站管理員進行創(chuàng)建和權限分配并可以對子站的信息進行統(tǒng)一管理。網(wǎng)站群平臺為網(wǎng)站建設和內容維護人員提供了功能強大、簡單易用、完全可擴展的動態(tài)站點開發(fā)管理工具，無需專業(yè)人才和復雜培訓就可以進行大型動態(tài)門戶站點的應用開發(fā)和維護管理。

網(wǎng)站群平臺的主要特點

1.可視化建站模塊。大連理工大學網(wǎng)站群平臺提供強大豐富的組件庫功能，可以滿足各種不同類型網(wǎng)站的需求，組件可以靈活搭配，展現(xiàn)形式豐富多彩，將組件拖拽到頁面相應的位置即可；

2. 網(wǎng)站群平臺擴展。網(wǎng)站群平臺基于開發(fā)的Java EE多層架構，組件開放代碼，完全可以根據(jù)網(wǎng)站的需要自行開發(fā)和修改；

3.操作簡單。平臺采用B/S架構，可以通過模板建設網(wǎng)站，操作簡單，開發(fā)人員無需太多高深的編程技術就可以完成網(wǎng)站建設，消除了網(wǎng)站建設的技術門檻。

圖1 網(wǎng)站群內容與門戶對接

圖2 移動端網(wǎng)站

4.數(shù)據(jù)共享。所有站點部署在同一個網(wǎng)站群平臺中，使用統(tǒng)一的數(shù)據(jù)庫、一致的數(shù)據(jù)結構，每個網(wǎng)站對應數(shù)據(jù)庫的唯一標識wbfirmid，所有的內容數(shù)據(jù)都需要關聯(lián)網(wǎng)站的wbfirmid，這樣就可以將網(wǎng)站的欄目、文章、圖片、互動等內容數(shù)據(jù)按網(wǎng)站區(qū)分開，用戶和網(wǎng)站由一張關聯(lián)表，關聯(lián)用戶ID和網(wǎng)站ID，一個網(wǎng)站可以關聯(lián)多個用戶，一個用戶也可以關聯(lián)多個網(wǎng)站，網(wǎng)站之間內容數(shù)據(jù)的相互引用只需要引用內容資料的主鍵和網(wǎng)站ID就可以；網(wǎng)站內容之間的投遞是將內容復制出來一份，將復制內容數(shù)據(jù)的網(wǎng)站ID修改為目標網(wǎng)站ID就可以實現(xiàn)投遞功能；數(shù)據(jù)剪切是將數(shù)據(jù)的網(wǎng)站ID直接修改為目標網(wǎng)站的ID即可，這就可以快速實現(xiàn)不同站點的文件、內容的傳遞和共享；并且通過開放的信息接口，實現(xiàn)將網(wǎng)站群中任何網(wǎng)站信息提供給其他網(wǎng)站共享。以大連理工大學新版門戶為例，門戶網(wǎng)站的新聞和通知就實現(xiàn)了從各個部門、院系網(wǎng)站提取，供用戶訂閱匯總查看。

通過每個網(wǎng)站的“id”和網(wǎng)站中欄目的“treeid”實現(xiàn)網(wǎng)站內容的對接。

5.移動版網(wǎng)站建設。通過網(wǎng)站群移動版網(wǎng)站的信息聚合模塊，實現(xiàn)移動網(wǎng)站與現(xiàn)有網(wǎng)站的信息同步與共享，從而解決移動網(wǎng)站的內容維護問題。同時，采用智能網(wǎng)頁正文抽取和過濾技術，針對不同的移動終端進行自動優(yōu)化，使得字體、排版方式更加適合移動終端的小屏幕觀看。

采用VSB9網(wǎng)站群平臺建設和管理網(wǎng)站，各單位可以根據(jù)自己的需要進行二次開發(fā)，解決了網(wǎng)站建設的代碼自定義開發(fā)問題，節(jié)省了大量開發(fā)經(jīng)費。使用組件建設網(wǎng)站，完全可視化建站，開發(fā)人員只需了解基礎的HTML語言，解決了專業(yè)技術人員缺乏的問題。網(wǎng)站群內網(wǎng)站實現(xiàn)信息共享，開放的接口提供了更加便捷的數(shù)據(jù)對接方式，使得網(wǎng)站內容不再孤立。移動版網(wǎng)站建設和管理更加方便。網(wǎng)站群平臺負責所有網(wǎng)站安全檢查和運維，大大提高了單位網(wǎng)站的質量和安全性。

Web建設全新模式

集群部署模式

隨著院系、職能部門和實驗室課題組不斷地將網(wǎng)站部署在網(wǎng)站群平臺中，導致管理服務器不堪重負，一旦管理服務器出現(xiàn)故障會導致整個網(wǎng)站群系統(tǒng)停止服務，存在著嚴重的單點故障問題，雖然現(xiàn)在使用數(shù)據(jù)庫集群來降低數(shù)據(jù)庫服務器的壓力，系統(tǒng)中還存在著大量的非結構數(shù)據(jù)，例如音視頻文件、圖片文件等，這些文件也存放在管理服務器中，使管理服務器和發(fā)布服務器的負擔更重，大連理工大學網(wǎng)站群平臺通過升級集群方式，解決以上諸多問題。

圖3 網(wǎng)站群集群拓撲

管理服務以集群為核心，使用負載均衡設備配置多個外網(wǎng)IP，分別將80端口負載到主站W(wǎng)eb服務器區(qū)域和子站W(wǎng)eb服務器區(qū)域，且在負載均衡器配置https 、http2，提升網(wǎng)站安全性和訪問速度，動態(tài)回鏈請求通過Apache均衡分配到多臺管理機服務器，極大地減輕每臺服務器的壓力。同時當M1宕機時，系統(tǒng)可自動切換到M2進行維護，集群中的管理機互為備份，增強了網(wǎng)站群管理端的安全性，同時可以隨時進行擴展，解決未來網(wǎng)站群站點數(shù)量增加使用需求。

Web服務采用多機發(fā)布，將網(wǎng)站群的全部網(wǎng)站同時發(fā)布到多臺Web服務器上，同時Web發(fā)布機可以不斷增加，增強了網(wǎng)站群平臺的可擴展性。

圖4 應用服務器CPU使用率

圖5 應用服務器內存使用率

存儲服務器，配置為LVM分區(qū)，后期可動態(tài)擴展，配置NFS服務，提供管理機掛載，將媒體文件等非結構數(shù)據(jù)發(fā)布在存儲服務器上，分擔管理服務器和發(fā)布服務器的壓力，從而解決非結構化數(shù)據(jù)的存儲和訪問問題。

異地備份服務器，備份采用完全備份和增量備份相結合的策略，每月進行一次完全備份，每周進行一次增量備份，形成網(wǎng)站群平臺災備系統(tǒng)。

生產(chǎn)服務器，網(wǎng)站的開發(fā)、調試、測試可以在生產(chǎn)服務器中完成，待網(wǎng)站設計固化、數(shù)據(jù)初始化完成后，再通過同步機制，將網(wǎng)站整體遷移到運行環(huán)境中，正式上線運行。這樣可以避免因網(wǎng)站反復調試對正式運行環(huán)境的影響。

通過網(wǎng)站群集群部署，大連理工大學成功將網(wǎng)站由“一群網(wǎng)站”向“網(wǎng)站群”轉變，最終形成現(xiàn)有的“網(wǎng)站群集群”，使得網(wǎng)站群平臺可以隨網(wǎng)站增加而隨時擴展，多機之間互為備份，緩解了管理機、發(fā)布機和數(shù)據(jù)庫的壓力，增強了網(wǎng)站群平臺的可靠性和安全性。

安全管理

網(wǎng)站權限管理

高級管理員，可以創(chuàng)建不同角色的普通管理員，授權普通管理員權限和管理欄目的范圍，實現(xiàn)網(wǎng)站權限的精細管理。所有管理員必須使用統(tǒng)一身份認證登錄，促使管理員賬號只能專人使用，增強網(wǎng)站管理員的安全意識，提高賬號的安全性，每個管理員的操作均有記錄，確保出問題時可以進行追查。

網(wǎng)站安全防護

靜態(tài)頁面防篡改策略，網(wǎng)站群平臺的網(wǎng)頁防篡改模塊將數(shù)字水印技術和請求攻擊檢測技術直接內嵌到Web發(fā)布服務器內部，并通過設定的定時觸發(fā)檢測技術，對網(wǎng)站中的各種靜態(tài)頁面、圖片、視頻、腳本文檔進行實時監(jiān)控和防護，徹底解決網(wǎng)頁防篡改問題。Web應用防護模塊同樣是內置于Web發(fā)布服務器中，通過全面分析應用層的用戶HTTP請求數(shù)據(jù)，分析訪問行為，對有攻擊行為的源IP地址進行禁用，提供實時的安全防護。

防SQL注入策略，大連理工大學網(wǎng)站群平臺程序底層對提交入庫的SQL語句進行靜態(tài)語法分析，比如：SQL語句中不允許出現(xiàn)注釋（/**/、--），正常語法的SQL語句中不應包含除字母、數(shù)字、“-”、“.”，“_”，“'”之外的任何字符；不允許正常語句的截斷（;），多語句執(zhí)行，一次執(zhí)行，僅允許一條語句執(zhí)行；拒絕 union， exec， char， ascii 等函數(shù)的執(zhí)行，所有函數(shù)使用都必須在白名單中申明，避免構造的危險語句進一步破壞系統(tǒng)。此外，SQL防火墻還對連接數(shù)據(jù)庫的表和列有嚴格的權限控制，除網(wǎng)站群產(chǎn)品自身的表和列之外，不允許網(wǎng)站程序訪問數(shù)據(jù)庫服務器上其他的數(shù)據(jù)庫和系統(tǒng)表。

圖6 網(wǎng)站群安全體檢

Web應用防火墻，采用請求Filter匹配特征碼的攔截方式，基于特征碼的數(shù)量和準確度的因素，因此這種攔截方式不能持久被探測，需要及時阻斷探測，根據(jù)設置的防御策略，10分鐘內危險操作超過2次的，IP地址將凍結60分鐘，如有出現(xiàn)過2次凍結，將被凍結1天，防止攻擊持續(xù)蔓延。

網(wǎng)站管理制度

《大連理工大學校內網(wǎng)站建設管理辦法》作為學校網(wǎng)站建設的制度支撐，該辦法確定了網(wǎng)站是學校信息化建設的重要組成部分，規(guī)定網(wǎng)站與各類應用分離，統(tǒng)一使用學校域名和網(wǎng)站群平臺；明確網(wǎng)站負責人和管理員是網(wǎng)站的直接責任人，切實加強網(wǎng)站的日常管理、運維和監(jiān)督工作，確保網(wǎng)站安全運行。

安全排查制度

定期進行網(wǎng)站安全防護和隱患排查，分析網(wǎng)站群平臺中包含特殊代碼的危險文件，封鎖所有潛在的危險通道，防止攻擊者通過這些通道獲得服務器的敏感技術信息或者獲得服務器的控制權，提高網(wǎng)站安全度。實時進行全網(wǎng)站可用性監(jiān)控、分析，第一時間發(fā)現(xiàn)網(wǎng)站存在的訪問問題，及時進行處理，增強網(wǎng)站的訪問體驗。

根據(jù)多年的網(wǎng)站建設和管理經(jīng)驗，完全依靠技術手段無法達到理想的效果，但是輔以強有力的網(wǎng)站管理制度和網(wǎng)站安全排查制度，在網(wǎng)站的全生命周期內都進行嚴格的管理，充分發(fā)揮技術優(yōu)勢，保障網(wǎng)站的安全。

在高校信息化建設中，網(wǎng)站建設是基本要求，是宣傳學校的重要手段，大連理工大學通過網(wǎng)站群集群建設，很好地解決了學校缺少大量網(wǎng)站建設技術人員、網(wǎng)站管理混亂、數(shù)據(jù)無法共享、移動版網(wǎng)站、內容管理等問題、同時解決了網(wǎng)站安全問題，已經(jīng)發(fā)布了230各種類型的網(wǎng)站，并與多個信息系統(tǒng)交互數(shù)據(jù)，形成了良好的網(wǎng)站信息網(wǎng)。