網站群建設中的信息安全分析

摘要：網站群是由統一規劃建設的若干個能夠相互共享信息、按照其隸屬關系組織在一起，既可以統一管理，也可以獨立管理、自成體系的網站集合。隨著網站建設的深入推進，網站內容日益豐富，功能逐漸增強，“網站群”建設模式被眾多單位采用。網站群是多個網站的集合，網站群的信息容量逐漸向海量的方向發展，其數據管理的復雜度遠超單個網站，加之現在各種黑客技術泛濫，一旦發生信息安全事故（隱私泄露、數據丟失、惡意篡改等），就可能給整個網站群帶來災難性的后果，甚至于面臨網站被關停的風險。

關鍵詞：網站群；建設；安全分析

一、網站群的現狀及發展趨勢

網站群經過了多年的發展，可將整個過程劃分為5個階段，第一代至第三代網站群只對各網站進行了平臺、欄目等方面的規劃，并未形成真正意義的網站群，網站群仍存在信息孤立、管理不統一、建站復雜等缺陷。第四代網站群系統以CMS（Content Management System內容管理系統）為基礎，建站快速安全、運維成本低、統一管理，但是不能嚴格區分主站與子站；第五階段：網站群系統云階段。網站群建設發展到高級階段，許多新的需求逐漸提出，云計算下的網站群建設理念應運而生。云階段網站群建設的核心目標是實現網站群數據的云存儲，在數據結構上讓各子站充分的獨立，各子站都能實現自己的數據結構并獨立存儲網站數據。這也使以往單一數據庫存儲所有子站數據的建設模式受到挑戰，將網站群技術導向了一個全新的方向。第五階段網站集群系統解決前幾個階段問題，實現了信息共享、可嚴格區分主站與子站，并且子站的文件存儲和數據庫結構完全獨立。

二、系統的邏輯框架設計

客戶端用戶。系統管理員、內容管理員、瀏覽者等使用瀏覽器進行訪問。系統展現層。此層是網站群中各網站對用戶的直接展現應用體驗，提供管理機構的網站服務發布。應用層。此層是網站群系統的核心，由內容管理、欄目管理、組件管理、用戶管理、模板管理等一系列子系統組成。軟件支持平臺。通常選擇Tomcat作為Java Servlet與Jsp服務器，使用windows/linux操作系統。數據層。對網站群的各類數據的存儲層，包括文檔、圖片等非結構化內容信息庫、關系型結構化數據庫，實現數據的統一存儲訪問。

三、數據共享與信息流轉的安全

（一）數據總線作為一種技術概念和一種實施規范。它規范了應用系統之間、程序之間、容器之間進行數據交換和共享的設計和實施思想，統一了數據共享方面的編程規范和集成規范。數據總線（Data Bus）是應用系統集成的重要理論基礎，規范了一個大的集成應用系統中同構系統、異構系統等方面進行數據共享和交換的實現方法。數據總線技術明確定義了數據操作接口，通過相應的代碼封裝，集合用戶認證、權限查驗、防SQL注入檢查、提交數據完整性檢查等方法，可以確保數據在共享與呈送時是單例的、可控的。

（二）信息流轉安全。網站群內容管理系統，一般通過工作流的方式管理信息的流轉。工作流是一類能夠完全或部分自動執行的過程，它根據一系列過程規則、文檔、信息或任務能夠在不同的執行者之間進行傳遞與執行。WG-CMS使用工作流管理網站群信息的審核-校對-發布流程。工作流依據事先定義的參數執行，其流轉環節的參數是可見、可配置的，因此，要保證信息流轉過程中的數據不丟失或被篡改，保證內容安全，必須對工作流的執行進行監控，在必要的環節中加入相應的權限驗證、數據合法性檢查，保證信息在處理環節中的變更可追溯。

（三）實現站群安全性，促進信息的整合。站群系統給出了一套完整的安全體系，主要是授權體系、安全體系、故障恢復策略體系以及備份體系。這樣的機制可以實現跨服務器的單點登錄，保證管理員對網站全面的監控，同時該體系對靜態頁面還提供了網頁防篡改功能，防止SQL攻擊，同時對惡意腳本進行過濾，有效保證站群的安全性。站群系統具有主站、子站的多級權限分配以及信息流程管理模塊的優勢，管理員通過靈活設置信息的權限組，實現信息的有效傳播，比如設置允許哪些人查看，哪些人修改。更重要的是還可以對用戶瀏覽的IP地址進行限定，讓相關的信息傳播限定在管理者希望的范圍內，實現信息的靈活傳播。同時，學校二級門戶網站之間的信息交流也可以通過相關的模塊實現，保證信息在自己定義的范圍內傳播，這樣就實現了信息的整合。

四、網站安全性相應策略

（一）物理安全策略。物理安全是整個站群系統安全的前提，主要體現在防火、防盜、通信線路的可靠性、溫度、濕度等運行環境上的安全措施。

（二）網絡安全策略。由于學校校園網絡遭到非法入侵，因此站群服務器的系統和數據受到破壞，造成網絡安全問題，針對此問題，可以采取如下防護策略：

（三）防火墻技術。防火墻在保護網絡安全方面起著重要作用，因其可以加強對網絡層的防護，防止來自外部的非法訪問。

（四）入侵檢測系統。在位于外部防火墻其后的主干網及關鍵子網上，部署基于網絡的入侵檢測系統，以檢測任何損害或企圖危害系統的機密性、完整性和可用性，這是防火墻的合理補充，也是第二道安全閘門；該系統可以和防火墻、路由器配合工作，在入侵檢測系統中利用審計記錄，能識別出任何帶有威脅性的行為，從而達到限制這些活動，保護系統安全目的。

（五）站群系統程序的安全設計。對于用戶的輸入信息，在提交到數據庫之前先在客戶端進行驗證，若不符合規定的格式，即直接返回用戶界面，確保輸入的信息具有完整性、同一性和安全性。網站群系統程序不能有SQL注入、跨站點腳本等應用級的安全漏洞，要符合學校網站的相關安全要求，能通過具備安全認證資格的第三方檢查。在用戶登錄和信息傳遞過程中，對密碼進行不可逆加密處理，有效保證系統及用戶資料的安全。

（六）系統級、系統備份的安全。系統安全是一個復雜的、多方面的技術策略問題。主要包括：網絡接入穩定、安全，免受非法入侵；網頁防篡改系統部署在網站群服務器中，如果發現網頁有修改信息，則此系統可實時修復并報警，操作系統應及時更新補丁；數據庫安全，提供權限認證控制，對所有操作者進行日志記錄；對系統操作管理員進行權限設置；病毒安全防護。

（七）系統備份、網站群整站備份。一般系統備份分為增量備份和安全備份。增量備份是一種折中方案，如果其中任何一個中間備份介質遭到損壞，整個數據將不能恢復。而完全備份方案雖然每次占用時間較長、空間較大，但對于數據安全保障是非常有效的。網站群整站備份。對網站群中的所有文件、數據打包備份，如發生意外，則只需將網站群備份包上傳至系統并恢復，以確保系統的適應性和穩定性。

【參考文獻】

[1]范培英.民辦高校網站群建設探索與實踐[J].信息技術，2013（04）

[2]王爽.高校網站群管理系統的設計[J].西安文理學院學報：自然科學版，2011（14）

[3]李悅，高晶.云計算下網站群架構安全性的分析與實踐[J].科技資訊，2013（14）