校園門戶網(wǎng)站的設(shè)計與防護(hù)

沈陽理工大學(xué) 周向東 李愛華 王春云

校園門戶網(wǎng)站的設(shè)計與防護(hù)

沈陽理工大學(xué) 周向東 李愛華 王春云

最近幾年，隨著4g的普及，加之政府的高度重視，我國互聯(lián)網(wǎng)得到了飛速的發(fā)展。截至2015年12月，中國網(wǎng)民規(guī)模達(dá)到6.88億，互聯(lián)網(wǎng)普及率達(dá)到50.3%，中國居民上網(wǎng)人數(shù)已過半。其中，2015年新增網(wǎng)民3951萬人，增長率為6.1%，較2014年提升1.1個百分點(diǎn)，網(wǎng)民規(guī)模增速有所提升[1]。就高校而言，門戶網(wǎng)站也是對外宣傳、辦公、合作交流最好的途徑，所以門戶網(wǎng)站對高校的發(fā)展起到了很重要的作用。幾乎每一個高校都有自己的門戶網(wǎng)站，但由于各個高校各部門人員技術(shù)水平參差不齊，經(jīng)費(fèi)水平不同，所以利用各自現(xiàn)有的資源去開發(fā)設(shè)計各自的門戶網(wǎng)站，造成樣式功能和防護(hù)能力都有很大差異。由于資源平臺無法共享、無法得到統(tǒng)一的調(diào)度，使信息中心無法完全的管理每一個部門的門戶網(wǎng)站，對高校信息化建設(shè)和統(tǒng)一管理都造成了很大影響。為了解決上述問題，本文主要采用.net平臺，asp.net、軟件工程里 MVC三層架構(gòu)設(shè)計、sqlserver2005數(shù)據(jù)庫等技術(shù)，主要有總站管理、分站管理二大部分，設(shè)計并實現(xiàn)了一套站群管理系統(tǒng)。在安全層面上主要采用sqlsersql2005數(shù)據(jù)庫的權(quán)限功能和分布式管理部署，極大減少了校園門戶網(wǎng)站遭到黑客攻擊的可能。最后經(jīng)過近一年實際很用和測試，信息中心提高了對學(xué)校的各個門戶網(wǎng)站的管理，防護(hù)能力也得到了提升，并提高了整體網(wǎng)站質(zhì)量，得到了學(xué)校的認(rèn)可。

站群；門戶網(wǎng)站；分布式管理部署；防護(hù)能力；高校

1.高校門戶網(wǎng)站現(xiàn)狀

由于現(xiàn)階段高校門戶網(wǎng)站的一些二級部門和院系技術(shù)力量薄弱，難以自主的完成自己二級網(wǎng)站的建設(shè)，站群門戶網(wǎng)站的設(shè)計有效的解決了這個問題，使各部門和院系可以自主搭建起自己簡易的門戶網(wǎng)站。網(wǎng)站一體化對相關(guān)部門（信息中心）的管理也更加便捷有效。

門戶網(wǎng)站的信息發(fā)布環(huán)節(jié)上，有一些門戶網(wǎng)站由于只是由單個號就可以管理整個信息維護(hù)，所以發(fā)布信息可能需要各級領(lǐng)導(dǎo)的人為蓋章審批才可發(fā)布，這大大降低了網(wǎng)站信息更新的效率。權(quán)限分配是基于發(fā)布人、審批人、終審人以及更多的審批過程，通過網(wǎng)站系統(tǒng)進(jìn)行審批，減去了人為審批的相關(guān)的繁瑣過程，大大提高了信息維護(hù)效率。

當(dāng)今高校對門戶網(wǎng)站的防御主要還是依靠一些國內(nèi)外安全產(chǎn)品和物理上隔絕的方式，缺乏有效的安全體系。面對當(dāng)今典型的跨站腳本攻擊[2]、注入攻擊、DDoS攻擊、網(wǎng)頁篡改、網(wǎng)頁掛馬等。輕者導(dǎo)致頁面內(nèi)容被篡改、植入廣告，重者導(dǎo)致服務(wù)器被控制，重要的資料被泄密以及經(jīng)濟(jì)損失。這樣的現(xiàn)狀導(dǎo)致當(dāng)前高校網(wǎng)絡(luò)存在著巨大的安全隱患，使得門戶網(wǎng)站的建立安全性成為一個亟待解決的問題。

2.設(shè)計思路

2.1 站群搭建

站群就是網(wǎng)站的集合，通常由幾個到幾百個網(wǎng)站組成，并不是把很多個網(wǎng)站集中在一起就可以稱得上是站群了，一定是要統(tǒng)一，分級管理，信息共享，單點(diǎn)登錄才可以。站群實現(xiàn)了技術(shù)標(biāo)準(zhǔn)統(tǒng)一，能夠互聯(lián)互通，實行集群化管理，相對一致的網(wǎng)站運(yùn)行和服務(wù)規(guī)范。

2.2 利用ASP.NET代碼安全機(jī)制和SQLSERVER2005數(shù)據(jù)庫的自身安全機(jī)制

在代碼層面利用ASP.NET的自Global全局組件的特點(diǎn)過濾危險字符和腳本攻擊。

在SQLSERVER2005數(shù)據(jù)庫，用戶可以建立用戶，并且對每一個用戶賦予不同的權(quán)限，在瀏覽器瀏覽頁面中，因用戶只需對網(wǎng)頁進(jìn)行瀏覽，并不需要進(jìn)行修改操作，所以建立只讀權(quán)限的用戶可以加大SQL注入的難度。

存儲過程（Stored Procedure）是在大型數(shù)據(jù)庫系統(tǒng)中，一組為了完成特定功能的SQL 語句集，不但能提升信息的查詢速度，還可以起到隱藏SQL語句的作用，造成黑客很難去從代碼腳本中分析出數(shù)據(jù)庫結(jié)構(gòu)。

2.3 分布式服務(wù)器布控的搭建

利用分布式服務(wù)器布控（見圖一），頭服務(wù)器虛目錄讀取其它服務(wù)器共享中的只讀數(shù)據(jù)，可以有效的防范黑客惡意上傳腳本攻擊文件。

圖一 分布式服務(wù)器布控

圖二 分網(wǎng)站設(shè)計模塊

2.4 模塊設(shè)計和完成編碼

對各部門和院系的實際需求做了調(diào)研，根據(jù)實際情況作出了設(shè)計模塊（應(yīng)該是模塊設(shè)計）和數(shù)據(jù)庫設(shè)計，并創(chuàng)建了SQLSERVER2005數(shù)據(jù)庫，進(jìn)行了表設(shè)計，搭建IIS服務(wù)器和VMVARE虛擬機(jī)的資源分配，利用VS2010編寫并完成了ASP.NET代碼，最后在實際應(yīng)用中做了測試工作。

本網(wǎng)站共分為系統(tǒng)管理員、總站管理員、部門負(fù)責(zé)人、部門信息員四個模塊（見圖二）。系統(tǒng)管理員模塊主要維護(hù)整個網(wǎng)站個基本信息配置；總站管理員模塊主要負(fù)責(zé)官方首頁信息維護(hù)；部門負(fù)責(zé)人模塊主要負(fù)責(zé)該部門網(wǎng)站的人員審核和建立二級網(wǎng)站；部門信息員模塊主要負(fù)責(zé)本部門信息維護(hù)。

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心.第37次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[R]2016(01).

[2]Michael Cross Kapinos,Haroon Meer.Web Application Vulnerabilities Detect,Exploit,Prevent[M].Syngress Publishiing.