武永娇 王天元 王晶
摘要:随着微信、微博、头条号、抖音等新媒体平台的开设,平台难管理、账号难监管、发布无审核,多个平台之间信息不互通,发声不协同。多种媒体之间难以进行统一建设和统一管理,媒体之间数据资源难以实现互通共享,不少高校网站群出现管理难、维护难、发布难、监管难等问题。以甘肃开放大学网站群建设为例,结合现有网站群存在的统一运营发布管理难、信息安全等保标准、移动自动适应等问题,设计出适合全媒体视域下高校的网站群建设架构,为高效网站群在全媒体网站群设计运维中提供参考。
关键词:全媒体;IPV6;全媒体;云计算服务
中图分类号:TP393 文献标志码:A
1现有高校网站群分析
高校在“互联网+教育”理念的驱动下,其信息化进程也随之日益加快,学校网站成为高等教育信息化及智慧校园建设的基础。经过多年的发展积累,以门户网站为主站,新闻网、职能部门、二级学院网站为子站的高校网站群体系基本形成。近年来,各类新兴媒体迅速崛起,高校官网,下属部门、院系等网站建立了对应的微信公众号、头条号、微博等层出不穷的媒体发布渠道,全媒体视域下高校网站成为重要的宣传平台。
现有网站群经过前期建设、运营已初具规模,对学校的网站管理、宣传等方面都起到了一定作用。随着学校信息化的不断建设,现有网站群系统在网站建设与管理、内容维护、信息发布、操作体验、系统安全与兼容、智能[1]、移动化适配等方面存在不足,不能满足其便捷、集成、智能化管理需求。
2高效全媒体网站群构建思路
文章提出全媒体时代高校新型网站群管理平台建设的方案,此方案以基于顶层设计集约化为设计理念,以技术统一性、结构统一性、功能统一性、资源归集性为设计原则,构建思路主要依据 IaaS、PaaS 和 SaaS 分层的技术架构,通过前端、后端和云计算服务分层开发,不但保证了站群平台的统一性,而且继续延续保留了子站的个性化功能需求。引入树状"权限集"的权限管理模式,从而解决了日益复杂趋势的网站群权限层次交错管理需求。
设计构架可以有效解决校园媒体集中式、统一式、有效式管理问题,还可以高效便捷灵活地实现媒体内容的审核及发布。它将高校校园媒体的使用、运营、管理及维护各个环节提升到一个新的水平高度。利用细粒度的权限层级管理体系、多维度的运维数据统计分析,使得管理手段更加智能便捷,运维从“被动”变“主动”,构建更高效的運维管理体系。按照 ISO27001和等级保护的规范与要求,提供更安全合理的管理措施,实现系统安全防护,保障平台的安全性,构建一个更安全、更统一、更智能的全媒体管理平台。从而提升甘肃省开放教育工作智能化服务水平,为推进甘肃开放大学智慧校园信息化建设奠定良好基础。
3 高校全媒体网站群的架构设计
3.1 功能架构设计
采用目前主流的分层架构思想,基础设施服务层(IaaS,Infrastructure as a Service)、平台服务层(PaaS,Plat?form as a Service)和软件服务层(SaaS,Software as a Ser?vice)[2,5]。
在 IaaS、PaaS 和 SaaS 分层下技术架构下的网站群功能架构如图1所示。IaaS层主要涉及到基础环境,主要包括操作系统OS、硬件环境、容灾备份、数据存储、虚拟环境、网络服务及相关基础中间件等;PaaS层主要涉及到运行服务,主要服务包括CDN服务、负载均衡、共享文件、消息队列、关系/非关系型数据库、服务器监控、网站管理、安全防护、运维保障、智能检测及相关智能运维服务等;SaaS层是需要重点开发的部分,主要涉及前端、后端和云计算 3 层架构相关应用程序及接口开发,主要包括网页(PC、移动手机、后台管理)、二级网站子系统、用户子系统、网站内容管理子系统、资源子系统、发布子系统、统计可视化子系统、视频管理子系统、全媒体集合端(微博、微信、抖音、头条号等)接口开发及内容发布管理等子系统,传统网站和新媒体在一套平台上实现统一的规范管理。
3.2 技术架构设计
3.2.1 前端设计
前端设计是基于当前最新 HTML5+CSS3+JavaS? cript+jQuery前端开发技术,融入应用和数据分离、非关系型数据库和关系型数据库并存的网站技术架构设计理念,并且结合现有网络运营环境混合云特点(以甘肃开放大学为例),设计架构实现了云计算服务集群化、分布式及微服务。
前端指的是视图层,其作用是交互和展示,一般指的是网页、网站系统 App 或 PC 软件,按照分层设计思路,前端部分的基本结构由 Web 服务器软件(Apache、 Nginx 等)和网页资源文件2部分组成。前端架构重点解决的问题:CSS 样式、JavaScript 脚本规整化,避免破窗效应;网页的适配性和兼容性;流行组件化如Boot? strap 尽可能模块化。
3.2.2 后端设计
后端指的是业务处理层,其作用是处理前端发送的请求,并且在处理后返回给前端。如数据库操作和云计算任务调度等。后端开发语言主要有 PHP、Py? thon、Java 及 C#等。文章采用运行效率高且具有更高的包管理和配置方式的 Spring Boot 的 Java 开发。
3.2.3 云计算服务
云计算服务受后端软件调度,一般是指运行时间较长或者需要持续运行的软件服务,如视频转码服务、搜索服务及爬虫服务等。云计算服务被分成两部分:一部分是自身系统提供的云计算服务,另一部分是第三方云计算服务,由第三方平台提供。云计算架构由监控软件、云计算服务软件和通信中间件 3 部分组成。监控软件的作用是监控和启动其所在服务器上的云计算服务软件,监控软件被 Supervisor 监控;云计算服务软件是真正执行任务的程序;通信中间件是后端应用程序与云计算服务软件、监控软件及云计算服务软件的通信枢纽。消息中间件包含任务池、指令池、进度数据池和状态数据池。其中,任务池与指令池可以用 RabbitMQ等消息队列服务实现,进度数据池与状态数据池可以用 Redis实现。
云计算服务部分的技术架构及原理如图2所示。其中,任务池和指令池可以用同一个 RabbitMQ 服务,进度数据池与状态数据池可以用同一个或不同的 Re? dis服务。
3.3单点登录设计
单点登录是一类系统形态,其根据具体的使用场景会有不同的功能需求,因此单点登录系统需要解决:提供统一的登录和注册入口;与其他子系统共享用户登录信息;集中管理用户的基本信息,如账号、密码和昵称等。
单点登录系统的详细架构设计已经有很多成熟方案,如通用的单点登录标准(如Oauth 2.0等)、单点登录的通用实现(如 Apache Oltu等)和单点登录的第三方云服务(如 Auth0等)。单点登录系统当然可以直接采用这些方案,但是在决定使用这些方案之前,一定要基于实际项目情况进行考虑。文章设计的采用 Apache Ol? tu实现授权认证单点登录服务。
3.3.1接口说明
(1)/login:登录接口;
(2)/Oauth/authorize:获取授权码的接口;
(3)/Oauth/getCode:授权码接口,只是例子中后端没有存储登录状态,做了个中转;
(4)/Oauth/ accesstoken:获取访问令牌。
3.3.2功能实现的过程
功能的实现过程其实是对需求进行量体裁衣的过程。如果只着眼于某些现成方案的名气、使用量和大而全的功能集等表面优点,而无视其功能的匹配度、使用难度及性能是否低下等因素,则会徒增项目成本。单点登录功能的关键问题,分3步逐步完成单点登录系统的架构设计,即提供统一的登录与注册入口,与其他子系统共享用户登录信息及集中管理用户的基本信息。单点登录系统需要提供统一的登录、注册页面及对应的后端接口。用户登录时,需要跳转到统一的登录和注册页面,登录或注册成功后返回登录前的页面。统一的登录注册入口如图3所示。其中,登录成功后,用户的基本信息(用户ID和昵称等)需要被写入 Session 中,在处理其他接口请求时,通过判断 Session 中是否有用户的基本信息来判断用户是否登录。
3.3.3核心代码
(1)获取授权码流程描述:
①将请求转换成oltu的认证请求OauthAuthzRe?quest;
②从OauthAuthzRequest读取客户端信息( cli?entId,redirectUrl,re? sponse_type);
③校验客户端信息;
④校验成功后生成访问令牌;
⑤存储访问令牌;
⑥使用oltu的OAuthASResponse构建oauth响应;
⑦在响应中设置好授权码,state等信息。
核心代码实现:
(2)获取访问令牌
流程描述:
①将请求转换成oltu的 token 获取请求OAuthTo?kenRequest;
②从OauthTokenRequest读取客户端信息;
③校验客户端信息;
④生成访问令牌token;
⑤存储访问令牌;
⑥构建oauth2响应oAuthResponse;
⑦返回到客户端。
核心代码实现:
(3)客户端接口
①/requestAuth:重定向到授权请求url。
②/redirect:获取授权码后,处理授权码的重定向地址。
4 系统安全设计
依照等保2.0的建设要求,深度优化以及建设了部分安全防护技术,实现安全防御的纵深体系搭建。
4.1 系统安全设置
(1)登录安全:指纹识别/身份认证/人脸识别,采用人工智能身份识别技术,可快速准确的进行登录的验证,保证系统用户的安全;
(2)数据安全:在用户登录和信息传递过程中,系统采用SSL协议对用户名和密码的传输进行加密,保证关键信息的通信保密性。
(3)运维安全:支持 IPv6、HTTPS:Apache 服务可以同时监听 IPv6和IPv4地址,同时,网站群平台中 IP 规则、应用防火墙等功能也均支持 IPv6功能, HTTPS为WWW服务器提供安全保护;
(4)应急演练服务:通过模拟真实环境中可能出现的突发事件,检验站群系统的可用性,提升应对突发事件的应急处置能力;
(5)敏感字检测与清理:敏感词库与云端打通,可以动态更新词库,检测与清理通过静态文件扫描与动态数据库扫描相结合。
4.2系统运维安全设计
运维安全设计共涉及4个功能模块,即安全中心、安全防护控制中心、系统运维监控和日志中心。
(1)安全中心包括安全预警中心、安全控制中心、安全分析中心、安全运维中心和全方位强化系统安全。
(2)安全防护控制中心包括 web应用防火墙、系统防火墙、主动防御控制、用户访问控制、内容安全防护等。它能够对安全选项统一控制,统一详情查看。通过系统防火墙、主动防御、WEB应用防火墙[3]、用户访问控制这4层安全防护体系,使网站群管理平台本身具有更强的安全性。
(3)系统运维监控中心主要提供管理机、发布机的系统运维监控情况可视化展现,包括 CPU、内存、磁盘空间等数据的图形化展现。通过将监控数据以图表等可视化的形式展现出来,帮助系统管理员根据这些统计结果分析出这些设备的主要运行参数的变化规律。系统管理员可以实时掌控系统的运行状态,检测系统故障,以维护系统的正常运行。
(4)日志审计分析中心主要提供系统访问日志、数据流量日志、站群操作日志、站点操作日志、文章操作日志、IP封禁日志、异常时间登录记录、敏感词监测日志、防篡改日志等的统一记录、统一分析、统一展现。通过日志分析中心,管理员可方便查看所有操作记录,以便及时发现系统存在的漏洞、入侵行为等,并为安全审计提供依据。
平台包含多个方面的日志功能,为安全审计提供依据,保证无法删除、修改或覆盖审计记录,以便及时发现系统存在的漏洞、入侵行为等。审计记录的内容至少包括时间日期、时间、发起者信息、类型、描述和结果等[4]。日志具有防刪除功能,可最大程度还原故障原因,避免恶意操作进行痕迹清除。
操作日志包括登入登出、用户管理、备份恢复、安全防护、系统监控、数据库操作、系统设置、计划任务等多个方面的记录日志。
入侵防护日志包含攻击位置、攻击方 IP、IP 归属地、登录帐号、威胁方式、发生时间等。所有的日志系统均会默认保存6个月以上,满足国家相关安全需求。同时支持以Excel文件导出,使得每篇文章内容操作都有据可查,保障站群中所有站点内容安全。
5 结束语
从高校网站群建设需求出发,结合现在全媒体发展趋势特点,在分析现有高校网站群功能及架构基础上,以甘肃开放大学为例,提出全媒体网站群建设总体思路,并从功能架构、技术架构、单点登录、云计算服务及系统安全等进行相关逻辑架构设计。此方案可有效解决校园媒体集中式、统一式、有效式、便捷式管理媒体内容的审核及发布问题。它将高校校园媒体的使用、运营、管理及维护各个环节提升到一个新的应用高度。
参考文献:
[1]黄新波.十四运会信息化系统大数据统一平台的设计与应用[J].大数据,2022,8(2):158-167.
[2]邹超.基于云计算的网络操作系统中虚拟机动态迁移的研究与实现[D].北京:北京邮电大学,2012.
[3]唐静武.高校全媒体网站群平台建设探究[J].电子世界,2020,604(22):40-41.
[4]华俊. 高校门户网站架构设计初探[J]. 电子测试,2015,335(23):64-65.
[5]李晓斌.动态网站建设全程揭秘[M].北京:清华大学出版社,2022.