微信企业号的安全技术架构建设
——以国网客服中心微信企业号为例

任立国， 张 熇， 朱 桂

（1.国家电网有限公司客户服务中心党委党建部（党委宣传部），天津 300309；2.国网电子商务有限公司（国网金融科技集团）电动汽车（新零售）事业部，天津 300010）

0 引言

在互联网高速发展的今天，移动互联已经成为现代人工作生活的重要组成部分，而微信等依托智能手机终端的社交工具吸引着越来越多年轻人的目光。在互联网高速发展的同时，信息安全技术在一定程度上未能完全跟上网络技术发展的步伐，往往出现事后防控的现象。如何周密部署安全措施，防止重要信息泄露，已成为政府、企业关注的焦点。直至今日，国内网络安全的发展依然远远跟不上互联网发展的速度，已经造成很多无法弥补的严重损失。国网客服中心利用智能互联、多场景应用和虚拟现实、增强现实技术手段，重塑微信企业号的技术框架，在开辟信通技术应用新途径的同时，也加强了信息安全的建设工作。

1 框架结构

1.1 总体层次结构

“微家园”在总体架构（见图1） 构建下，总体层次结构分为模型层、数据层、功能模块层、逻辑控制层和虚拟现实展示互动层（见图2）。为保障系统运行的安全性和可靠性，以及系统后续的可扩展性，“微家园”还包含了系统运维模块、“使用规范”和“系统维护”机制等标准及规范性文件。

模型层对应系统中所模拟仿真的3D 设施设备单机模型（包括外观模型和功能模型），网络拓扑结构模型（包括外观模型和拓扑连接关系），以及部分实景拍摄的全景视频数据和对模型、功能、场景等进行说明的文本数据，模型层内的内容，统一存放在数据层的内容中心（数据库） 中，并由相应功能模块调取。功能模块层包含了系统正常运作的相关各模块，主要分为两个组合：业务操作互动模块和系统运维模块，所有的功能模块由逻辑控制层统一控制调用，并向虚拟现实展示互动层输出的相应内容。

图1 总体架构图

1.2 系统逻辑结构

图3 为系统逻辑结构图，系统逻辑结构由4部分组成，分别为虚拟现实可视化模块、系统运维模块、内容管理模块、互动控制模块。虚拟现实可视化模块是最终用户所直接使用的模块，包括虚拟现实引擎、用户交互、3D 模型和场景选择。系统采用Unreal 和Unity 两种虚拟现实开发引擎，Unreal 提供高真实感的画质，成本较高，主要用于需要对真实环境精细重现的活动场景；Unity 提供较好真实感的画质，成本较低，主要用于对真实环境重现度要求不高，重在体验流程的场景。用户交互部分根据互动控制模块输出，选择适应的交互方式。3D 模型部分，根据互动控制模块输出，从内容管理模块中读取相应的模型数据，并将其转化为VR（virtual reality） 模型，需要包含尺寸、单位、模型归类塌陷、规范化命名、纹理（含尺寸、格式）、坐标、材质等关键信息。

互动控制模块根据不同场景对互动及内容画质需求的不同，选择相应的模型/视频（全景视频、低面模型、高精度模型），并选择相应的互动模式（定点观察、移动观察、交互操作），将选择结果传递给虚拟现实可视化模块，作为其用户交互的输入。内容管理模块主要用于管理所存储的各种模型和数据。

图2 系统层次结构图

图3 系统逻辑结构图

1.3 前端展示结构

图4 为前端与后端结构展示图。系统运维模块主要完成系统后台管理和容灾处理等；业务应用包含前端服务和支撑管理系统，其中在线服务、播报专题、动态/圈子、智能交互、我的账户等可以在前端收集使用者数据，将其并行；而业务支撑和系统管理模块，可以让管理员在进行日常运营工作的同时，对采集的数据进行分析。

图4 前端与后端结构展示

1.4 相关技术应用

“微家园”利用移动互联网MI（mobile internet） 中新兴的平台创建微应用，通过链接二次载入，进入虚拟现实技术创建的计算机仿真系统，进行多信息融合、交互的三维动态视景和实体行为的系统仿真，使用户沉浸到该环境中。其模拟的虚拟场景，实时地计算摄影机影像的位置及角度并加上相应图像、视频、3D 模型，让使用者有更加沉浸式的体验应用。

其中，构架的服务器可以让使用者在不同地点、不同时间使用不同计算机、手机，或不同软件的用户能够读取他人的数据并进行各种操作运算和分析。

2 安全架构

“微家园”目前采用企业公众号的方式对外开放，搭建自己的后端业务服务器，承载功能丰富的公众号服务，在利用公众号进行推广活动时，针对微信应用场景制定专属防护策略，有效抵御DDoS、CC 等网络攻击，秒级清洗攻击流量，保障微信公众号的正常访问，解决恶意攻击的困扰。以Oracle 数据库数据的恢复为例进行说明。通过预先设定的恢复脚本实现数据库的全库、控制文件、表空间、数据文件、归档日志等数据的恢复。Oracle 数据库损坏有很多种形式，包括控制文件丢失、联机日志损坏、归档日志损坏、表空间损坏、数据库崩溃、硬件灾难等。下面就各种情况简述备份软件下的恢复机制。

2.1 控制文件损坏恢复

在Oracle 中，控制文件在安装时有数据库管理系统默认保留了3 个同步备份，存储在不同的目录下。这些备份最好存在不同的硬盘下。

2.2 联机日志损坏恢复

Oracle 联机日志组的镜像机制，每组包含同其他组相同的重做日志成员。当联机日志损坏时，即使数据文件没有受影响，这些文件也无法访问，因为不能进行崩溃恢复（所有联机日志丢失）。在这种情况下强制打开数据库会造成数据库的不一致。如果任何一个未归档的联机日志丢失，无法进行崩溃恢复时，可进行介质恢复。

2.3 归档日志损坏恢复

归档日志和联机日志同样重要，当归档日志文件没有备份到磁带机或磁带库前，如果发现某些文件I/O 出错时，一定要尽快做一个全备份，否则只要归档日志以外的任何一部分出了问题，都是没有办法恢复的。因此，对于归档日志也必须做镜像，这可以通过参数文件的参数来设置。

归档日志损坏，以前的归档日志将不可用，影响的是恢复操作，而不会影响系统的正常运行，只需要重新做一次全备份即可。

2.4 表空间或数据文件损坏恢复

当表空间或某几个数据文件发生故障的时候，先通过备份的数据将数据文件恢复回来，再通过归档日志和联机日志将Oracle 数据库的状态恢复到发生故障的那一点，提交的数据都被完整地恢复回去。

2.5 Oracle 灾难恢复

当灾难发生的时候，首先是确定灾难的性质。单个磁盘崩溃时，如果已经进行了多路镜像的控制文件，联机日志、相关的归档日志都能找到的话，那么可以将数据库恢复到发生故障的那一点。如果所有的相关文件都丢失了，那么首先恢复数据库的一个脱机全备份，包括数据文件、联机重做日志、归档日志、控制文件、程序文件、配置文件等（先恢复程序文件和配置文件，当将原始磁盘的内容恢复回去时，要保证原有的磁盘路径存在，磁盘分区不变。如果原来的路径不存在了，那么必须在其他地方创建一个，但容量不能小于原先的分区）。然后恢复一个联机热备份，再使用归档日志文件进行重做，将数据库恢复到最后一个可用的归档日志。

2.6 数据重定向恢复

重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去，而不是进行备份操作时它们当时所在的位置。重定向恢复可以是整个系统恢复也可以是个别文件恢复，重定向恢复时要确保系统或文件恢复后的可用性。

为了防备数据丢失，需要做好详细的灾难恢复计划，同时还要定期进行灾难恢复测试。每过一段时间，应进行一次灾难演习，可以利用淘汰的机器或多余的硬盘进行灾难模拟，以熟练灾难恢复的操作过程，并检验所生成的灾难恢复备份是否可靠。

3 结束语

近年来，电力企业越来越多地使用互联网产品进行沟通，不仅满足了企业内部文化传递和信息传递的各种需求，还大幅度提升了职工的工作效率。但在使用这些系统的过程中，经常会发现各式各样的问题，其中，安全问题是重中之重，能否有效抵御网络攻击，保护内部资料、知识产权等重要信息，成为企业互联网产品运营者重点关注的问题，而国网客服中心企业微信建立的网络防护方式，在3 年的运营过程中实现了有害攻击“零侵入”目标，在开辟信通技术应用新途径的同时，构筑了网络信息安全的坚固城墙。