網站群在校園網站安全管理中的應用

佀 潔，王宇翔，高 垣

(西北大學 網絡和數據中心，陜西 西安 710127)

0 引言

信息化時代，網絡安全問題關系著廣大人民群眾的切身利益，成了國家安全的重要組成部分，而網站安全是高校網絡安全的首要任務。

網站作為校內最早的信息化表現形式，是涉及面最廣的信息化應用[1]。如今，網站早已不單單是一個簡單的信息發布系統，它承載著學校各個黨群系統、行政機構、院系單位、科研單位等部門線上辦事服務的需求，成了學校發布權威信息、提供線上服務和開展互動交流的重要渠道。網站在給學校教學、科研、宣傳和生活上帶來無限可能的同時，也給我們提出了網絡安全要求。2017年6月1日，國家《網絡安全法》正式生效，這標志著我國維護網絡與信息安全的工作進入一個新的階段。網絡安全已經成為一個不可小覷的重大問題，是國家安全的重要組成部分，而網站安全更是高校網絡安全的首要任務。網站的安全問題關系到學校的公信力和影響力，直接影響到學校部分職能是否能夠有效行使，關系到學校網絡安全和廣大師生校友等的個人利益。

1 高校網站安全現狀

高校網站安全問題形勢異常嚴峻，主要原因在于以下3點。

(1)網站重業務而輕安全，安全漏洞和隱患突出，安全責任落實困難。學校大部分網站采用外包開發模式，網站開發測試驗收上線時往往缺乏必要的網站安全性審查，管理者只重視了網站的內容，而輕視了網站安全方面存在的隱患。同時，網站使用單位往往在網絡安全管理方面并不具備專業性，沒有專業的技術人員對網站安全進行定期維護。大部分網站存在漏洞，高危漏洞占比高，漏洞修復率偏低，網站存在著重大的安全隱患。以上都從側面反映了學校網站管理普遍存在“重上線、輕管理;重功能，輕安全;重收益，輕保護”的發展思維，這為網站的安全帶來了巨大的隱患，不容忽視。

(2)網站數目大，單個網站規模小，網站較為分散，網站總體的安全管理和防護能力差。二級網站的開發建設通常是由單位自籌建設，不是基于開源的內容管理系統開發就是外包給一些小的互聯網企業，因此，二級網站的規模通常比較小，網站安全管理和防護能力較差。而且，各單位的各個子網站往往分散在各自機房的獨立服務器上，不僅如此，每個網站大都采用相互獨立的一套網站管理系統。在這種分散運行管理的網站運行模式下，為了保證網站安全，需要重復購置相關硬件和軟件，安全管理成本大，所以基本上安全防護能力嚴重缺失。

(3)大部分網站沒有進行網站監測，網站安全監測能力不強，不具備及時應急處置的能力。在網站產生新漏洞，甚至網站被掛馬或網頁內容被篡改等情況發生時，管理者并不能第一時間察覺，往往是已經造成一定的損失后，才意識到出現了網站安全問題。

因此，結合實際情況，為了從根本上解決網站“有人建、沒人管，有人用、沒人防”以及被動防護、屢遭攻擊篡改等突出問題，應將分散的小網站歸并到統一的網站管理系統中，實行統一管理、統一防護以及統一檢測。

2 網站群管理平臺的引入

對于以往網站存在的普遍問題，引入網站群，將站群系統和應用安全一體化，達到一站式安全管理。經過數據遷移與網頁模板遷移等環節，把學校原有的網站都遷移到站群管理平臺中，實現站點與應用的統一防護，從事前/事中/事后3個維度著手，建立完善的應用事件管理機制，為業務正常運行保駕護航。

2.1 統一管理

學校采用通用的站群平臺統一建設、運維及安全保障，明確安全職責。將精力集中投入到平臺整體的安全防護上，只需保障平臺的安全而無需對各個網站投入更多的精力。網站群的建設，同時也基本消除了技術門檻，功能的模塊化、操作的可視化，使得網站開發人員無須太多編程能力就可以快速完成網站建設，也無須考慮開發過程中的安全問題。

系統提供全站的統計功能，可統計系統中不同終端(手機/Pad/PC)的訪問記錄，包含站點訪問量、站點欄目數量、站點/站群文章數、站群在線管理員等[2]。提供完整的站群數據統計分析功能，對站點的過期狀態、空間大小、使用狀況、用戶數、欄目數、模板數、采集數、子站點數、網站聯系人及信息維護數等，進行統一監管，方便管理員對各部門網站的管理考核。

訪問日志統計對所有的訪問者信息進行統計，并且可以在網站上進行顯示，可以方便地看到訪問人群都是來自哪個地區，哪個時區是訪問高峰期，哪些頁面的訪問量比較大，針對這些信息我們可以高效地分析網站，優化網站，及時發現問題，做到實時監控，將一些不安全的因素及時排除。

2.2 統一防護

從安全防護層面去做管理，平臺化整合原本分散部署在不同服務器上的網站，采用集預防、評估、響應、加固于一體的方案，統一防護，保證校內網站業務的正常運行。從一定程度上解決學校網站建設中存在的一系列問題，比如，缺乏統一的規劃管理、信息資源分散引起的信息孤島、運維成本高、網站易被攻擊、敏感信息泄漏等。

站群在安全設置方面可以提供IP規則管理、賬號安全管理、管理員IP限定、敏感字設置、腳本過濾及附件檢查等功能。以危險文件為例來說，服務器在執行了危險文件中的代碼后會打開可以進行危險操作的通道，攻擊者通過這些通道可以獲得服務器的敏感技術信息或者獲得服務器的控制權。通過危險文件入侵比一般的入侵更具有隱蔽性和攻擊性。

站群的引入，在系統層面提供危險文件掃描功能，只需一鍵點擊掃描即可對站群系統進行掃描，便于及時發現隱患。危險文件的存在給服務器帶來嚴重的安全威脅，經常掃描可以幫助管理員及時發現危險文件，定位危險文件，給系統漏洞修復工作提供信息參考，使服務器能夠穩定、安全地運行。

2.3 統一擴展

網站群管理平臺能夠提供完整的接口規范以及針對第三方系統的Web service、API接口支持。支持模塊化應用開發[3]，有良好的擴展性，也允許擴充新的功能模塊，能夠方便集成不同系統的數據至本系統中，以適應未來發展。隨著時間的推移，若有新的業務需求，也可進行適當的二次開發實來支撐特殊需求，具有較強的可維護性和擴展性。

2.4 統一權限

網站群管理平臺的管理員由學校信息化部門專人擔當，具有平臺的超級管理權限，負責平臺其他人員權限的分配，負責將開發完的網站配置發布。網站管理員僅有管理平臺中相關網站的管理權限，必須是校內在職教工，必須通過學校統一身份認證登錄[4]。

網站群管理平臺具有統一管理、分級維護的功能，具備多級權限功能，最高權限對整個網站的信息具有全方位的信息管理能力，并且對下級管理員具有授權和限制能力。整個系統可以按不同角色進行權限分配，可以按不同組織結構進行分類管理。

超級管理員擁有最高權限，可以分配不同角色不同權限的用戶，其下的用戶還可以在授權情況下繼續分配角色權限。權限的分配可以按業務流程分、按欄目分、按單位組織結構分等，權限可以細化至欄目，可以做到粒度非常細致地劃分權限。

系統對主站與高級子站點的維護功能提供詳細的權限設置，可根據每個用戶工作的分工不同設置不同的權限，更好地支持多人共同維護一個站點，更好地保證網站內容的安全?？膳c統一身份認證系統進行集成。

2.5 統一備份

在虛擬化平臺中使用專門的虛擬化備份軟件定期對服務器進行備份，當服務器出現故障時，可快速恢復服務器主機。同時建立備份服務器，可通過網站群平臺將平臺中各網站備份到備份服務器中，當單獨某個網站出現故障時可通過備份服務器快速恢復此網站。

同時在校園網、數據中心也啟用了相應的安全措施，來輔助保證網站群平臺安全。比如數據中心虛擬化平臺啟用了高可用機制;數據中心部署統一的虛擬化安全防護系統，集中處理殺毒、防火墻、日志審查等安全問題;部署WAF在應用層做進一步的Web防護。

2.6 統一數據

站群的引入實現了與其他應用系統的協同，比如與學校中心數據庫同步用戶數據；與校園門戶協同，集成單點登錄等。同時還解決了校內很多數據分散的問題，給學校大數據分析和師生用戶行為分析創造了一定的先決條件，只有擁有了持續增長的校園數據，才能通過技術和算法去創造價值，為學校未來發展提供信息化支持。

3 結語

學校未來會全面推進網站群管理平臺的建設，逐步實現集群化管理，提高網站管理和服務質量。在網站安全層面遵循“誰主管誰負責，誰運維誰負責，誰使用誰負責”的原則，按照國家網絡安全法律政策和信息安全等級保護的要求，建立并落實好安全管理制度，整體建設對網站群的安全防護技術措施，加強身份鑒別、訪問控制、安全審計、數據備份，落實網站防攻擊、防篡改、防掛馬等關鍵技術防范措施，提高網站抵御攻擊破壞的能力。同時，將分散的軟硬件進行集中部署和管理，可以有效減少網站建設的低水平重復投資。

高校網站作為高校信息化建設的重要組成部分和最直接的成果展示，與信息化建設一樣都是長期的任務，只有不斷地更新技術、建立適應形勢的管理制度才能保證網站的安全，推動高校網站建設的健康發展。