校園門(mén)戶網(wǎng)站的設(shè)計(jì)與防護(hù)

沈陽(yáng)理工大學(xué) 周向東 李?lèi)?ài)華 王春云

校園門(mén)戶網(wǎng)站的設(shè)計(jì)與防護(hù)

沈陽(yáng)理工大學(xué) 周向東 李?lèi)?ài)華 王春云

最近幾年，隨著4g的普及，加之政府的高度重視，我國(guó)互聯(lián)網(wǎng)得到了飛速的發(fā)展。截至2015年12月，中國(guó)網(wǎng)民規(guī)模達(dá)到6.88億，互聯(lián)網(wǎng)普及率達(dá)到50.3%，中國(guó)居民上網(wǎng)人數(shù)已過(guò)半。其中，2015年新增網(wǎng)民3951萬(wàn)人，增長(zhǎng)率為6.1%，較2014年提升1.1個(gè)百分點(diǎn)，網(wǎng)民規(guī)模增速有所提升[1]。就高校而言，門(mén)戶網(wǎng)站也是對(duì)外宣傳、辦公、合作交流最好的途徑，所以門(mén)戶網(wǎng)站對(duì)高校的發(fā)展起到了很重要的作用。幾乎每一個(gè)高校都有自己的門(mén)戶網(wǎng)站，但由于各個(gè)高校各部門(mén)人員技術(shù)水平參差不齊，經(jīng)費(fèi)水平不同，所以利用各自現(xiàn)有的資源去開(kāi)發(fā)設(shè)計(jì)各自的門(mén)戶網(wǎng)站，造成樣式功能和防護(hù)能力都有很大差異。由于資源平臺(tái)無(wú)法共享、無(wú)法得到統(tǒng)一的調(diào)度，使信息中心無(wú)法完全的管理每一個(gè)部門(mén)的門(mén)戶網(wǎng)站，對(duì)高校信息化建設(shè)和統(tǒng)一管理都造成了很大影響。為了解決上述問(wèn)題，本文主要采用.net平臺(tái)，asp.net、軟件工程里 MVC三層架構(gòu)設(shè)計(jì)、sqlserver2005數(shù)據(jù)庫(kù)等技術(shù)，主要有總站管理、分站管理二大部分，設(shè)計(jì)并實(shí)現(xiàn)了一套站群管理系統(tǒng)。在安全層面上主要采用sqlsersql2005數(shù)據(jù)庫(kù)的權(quán)限功能和分布式管理部署，極大減少了校園門(mén)戶網(wǎng)站遭到黑客攻擊的可能。最后經(jīng)過(guò)近一年實(shí)際很用和測(cè)試，信息中心提高了對(duì)學(xué)校的各個(gè)門(mén)戶網(wǎng)站的管理，防護(hù)能力也得到了提升，并提高了整體網(wǎng)站質(zhì)量，得到了學(xué)校的認(rèn)可。

站群；門(mén)戶網(wǎng)站；分布式管理部署；防護(hù)能力；高校

1.高校門(mén)戶網(wǎng)站現(xiàn)狀

由于現(xiàn)階段高校門(mén)戶網(wǎng)站的一些二級(jí)部門(mén)和院系技術(shù)力量薄弱，難以自主的完成自己二級(jí)網(wǎng)站的建設(shè)，站群門(mén)戶網(wǎng)站的設(shè)計(jì)有效的解決了這個(gè)問(wèn)題，使各部門(mén)和院系可以自主搭建起自己簡(jiǎn)易的門(mén)戶網(wǎng)站。網(wǎng)站一體化對(duì)相關(guān)部門(mén)（信息中心）的管理也更加便捷有效。

門(mén)戶網(wǎng)站的信息發(fā)布環(huán)節(jié)上，有一些門(mén)戶網(wǎng)站由于只是由單個(gè)號(hào)就可以管理整個(gè)信息維護(hù)，所以發(fā)布信息可能需要各級(jí)領(lǐng)導(dǎo)的人為蓋章審批才可發(fā)布，這大大降低了網(wǎng)站信息更新的效率。權(quán)限分配是基于發(fā)布人、審批人、終審人以及更多的審批過(guò)程，通過(guò)網(wǎng)站系統(tǒng)進(jìn)行審批，減去了人為審批的相關(guān)的繁瑣過(guò)程，大大提高了信息維護(hù)效率。

當(dāng)今高校對(duì)門(mén)戶網(wǎng)站的防御主要還是依靠一些國(guó)內(nèi)外安全產(chǎn)品和物理上隔絕的方式，缺乏有效的安全體系。面對(duì)當(dāng)今典型的跨站腳本攻擊[2]、注入攻擊、DDoS攻擊、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等。輕者導(dǎo)致頁(yè)面內(nèi)容被篡改、植入廣告，重者導(dǎo)致服務(wù)器被控制，重要的資料被泄密以及經(jīng)濟(jì)損失。這樣的現(xiàn)狀導(dǎo)致當(dāng)前高校網(wǎng)絡(luò)存在著巨大的安全隱患，使得門(mén)戶網(wǎng)站的建立安全性成為一個(gè)亟待解決的問(wèn)題。

2.設(shè)計(jì)思路

2.1 站群搭建

站群就是網(wǎng)站的集合，通常由幾個(gè)到幾百個(gè)網(wǎng)站組成，并不是把很多個(gè)網(wǎng)站集中在一起就可以稱(chēng)得上是站群了，一定是要統(tǒng)一，分級(jí)管理，信息共享，單點(diǎn)登錄才可以。站群實(shí)現(xiàn)了技術(shù)標(biāo)準(zhǔn)統(tǒng)一，能夠互聯(lián)互通，實(shí)行集群化管理，相對(duì)一致的網(wǎng)站運(yùn)行和服務(wù)規(guī)范。

2.2 利用ASP.NET代碼安全機(jī)制和SQLSERVER2005數(shù)據(jù)庫(kù)的自身安全機(jī)制

在代碼層面利用ASP.NET的自Global全局組件的特點(diǎn)過(guò)濾危險(xiǎn)字符和腳本攻擊。

在SQLSERVER2005數(shù)據(jù)庫(kù)，用戶可以建立用戶，并且對(duì)每一個(gè)用戶賦予不同的權(quán)限，在瀏覽器瀏覽頁(yè)面中，因用戶只需對(duì)網(wǎng)頁(yè)進(jìn)行瀏覽，并不需要進(jìn)行修改操作，所以建立只讀權(quán)限的用戶可以加大SQL注入的難度。

存儲(chǔ)過(guò)程（Stored Procedure）是在大型數(shù)據(jù)庫(kù)系統(tǒng)中，一組為了完成特定功能的SQL 語(yǔ)句集，不但能提升信息的查詢速度，還可以起到隱藏SQL語(yǔ)句的作用，造成黑客很難去從代碼腳本中分析出數(shù)據(jù)庫(kù)結(jié)構(gòu)。

2.3 分布式服務(wù)器布控的搭建

利用分布式服務(wù)器布控（見(jiàn)圖一），頭服務(wù)器虛目錄讀取其它服務(wù)器共享中的只讀數(shù)據(jù)，可以有效的防范黑客惡意上傳腳本攻擊文件。

圖一 分布式服務(wù)器布控

圖二 分網(wǎng)站設(shè)計(jì)模塊

2.4 模塊設(shè)計(jì)和完成編碼

對(duì)各部門(mén)和院系的實(shí)際需求做了調(diào)研，根據(jù)實(shí)際情況作出了設(shè)計(jì)模塊（應(yīng)該是模塊設(shè)計(jì)）和數(shù)據(jù)庫(kù)設(shè)計(jì)，并創(chuàng)建了SQLSERVER2005數(shù)據(jù)庫(kù)，進(jìn)行了表設(shè)計(jì)，搭建IIS服務(wù)器和VMVARE虛擬機(jī)的資源分配，利用VS2010編寫(xiě)并完成了ASP.NET代碼，最后在實(shí)際應(yīng)用中做了測(cè)試工作。

本網(wǎng)站共分為系統(tǒng)管理員、總站管理員、部門(mén)負(fù)責(zé)人、部門(mén)信息員四個(gè)模塊（見(jiàn)圖二）。系統(tǒng)管理員模塊主要維護(hù)整個(gè)網(wǎng)站個(gè)基本信息配置；總站管理員模塊主要負(fù)責(zé)官方首頁(yè)信息維護(hù)；部門(mén)負(fù)責(zé)人模塊主要負(fù)責(zé)該部門(mén)網(wǎng)站的人員審核和建立二級(jí)網(wǎng)站；部門(mén)信息員模塊主要負(fù)責(zé)本部門(mén)信息維護(hù)。

[1]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.第37次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R]2016(01).

[2]Michael Cross Kapinos,Haroon Meer.Web Application Vulnerabilities Detect,Exploit,Prevent[M].Syngress Publishiing.