◆劉 劍

基于兩套網(wǎng)絡(luò)的信息發(fā)布系統(tǒng)設(shè)計

◆劉 劍

（第二軍醫(yī)大學(xué)衛(wèi)生勤務(wù)學(xué)系 上海 200433）

為迎合人們對信息愈加急切的需求，政府、企業(yè)、高校等紛紛加大了信息公開與推送的力度，網(wǎng)站、微博、微信公眾號、手機APP等各類媒介多管齊下。然而有些單位為保證其工作信息的安全可控，日常工作中通常會使用兩套物理相互隔離的網(wǎng)絡(luò)（互聯(lián)網(wǎng)和辦公局域網(wǎng)），存在發(fā)布流程煩瑣、信息流轉(zhuǎn)不暢等問題。本文利用單向網(wǎng)閘設(shè)計了連通兩套網(wǎng)絡(luò)的信息發(fā)布系統(tǒng)，實現(xiàn)對信息發(fā)布的統(tǒng)一管理和快速流轉(zhuǎn)，以提高工作效率。

兩套網(wǎng)絡(luò)；信息發(fā)布；站群系統(tǒng)；網(wǎng)閘

隨著我國信息化技術(shù)水平的快速發(fā)展，信息傳播的速度越來越快，途徑也越來越多。尤其是自媒體大行其道，可以將突發(fā)事件“秒發(fā)”到網(wǎng)上。信息發(fā)布作為單位一項重要的對外基礎(chǔ)服務(wù)，其應(yīng)用效果也是體現(xiàn)單位信息化建設(shè)水平的重要標(biāo)志。不過，信息技術(shù)給人們帶來便捷生活的同時，也帶來了日益嚴(yán)重的安全挑戰(zhàn)。迫于安全壓力，很多單位不得不使用兩套互相物理隔離的網(wǎng)絡(luò)（互聯(lián)網(wǎng)和辦公局域網(wǎng)）進(jìn)行日常辦公，以確保工作信息的安全可控[1]。

1 存在的問題

使用兩套互相物理隔離的網(wǎng)絡(luò)固然能在一定程度上保護私有信息，但也不利于信息的快速流轉(zhuǎn)。此類單位的信息發(fā)布過程：（1）在辦公局域網(wǎng)計算機上起草稿件；（2）發(fā)送給上級審閱；（3）將稿件拷貝（刻錄光盤）到互聯(lián)網(wǎng)計算機；（4）在互聯(lián)網(wǎng)信息發(fā)布系統(tǒng)中編輯發(fā)布。顯然，在此過程中存在流程環(huán)節(jié)多、人為因素影響大等問題。當(dāng)需要發(fā)布緊急通知時，將影響到信息傳播的及時性。

現(xiàn)以某單位的網(wǎng)站信息發(fā)布系統(tǒng)為案例，簡述如何通過單向安全傳輸設(shè)備（網(wǎng)閘）實現(xiàn)互聯(lián)網(wǎng)與辦公局域網(wǎng)之間安全聯(lián)通、數(shù)據(jù)共享，提高信息發(fā)布的工作效率。

2 系統(tǒng)組成與功能要求

該系統(tǒng)主要由網(wǎng)站群系統(tǒng)（2套，兩套網(wǎng)絡(luò)各部署1套）和網(wǎng)閘設(shè)備組成。

2.1 網(wǎng)站群系統(tǒng)

網(wǎng)站群是指一群能夠進(jìn)行數(shù)據(jù)共享、呈送的相互關(guān)聯(lián)的網(wǎng)站集合[2]。采用網(wǎng)站群系統(tǒng)，可以有效解決原先該單位各網(wǎng)站建設(shè)過程中存在的重復(fù)建設(shè)、軟件標(biāo)準(zhǔn)不統(tǒng)一、信息孤立、分散部署、安全防護不全面、審批流程較長等問題。

2.1.1 統(tǒng)一信息管理

新系統(tǒng)需將單位現(xiàn)有門戶網(wǎng)站、部門網(wǎng)站和專題網(wǎng)站進(jìn)行整合，建成以門戶網(wǎng)站為中心，部門網(wǎng)站、專題網(wǎng)站為基礎(chǔ)的信息發(fā)布體系。采用統(tǒng)一的技術(shù)支撐平臺、統(tǒng)一的內(nèi)容編發(fā)體系，面向用戶提供統(tǒng)一的信息服務(wù)。通過統(tǒng)一的信息采集、編輯、發(fā)布管理，可推送到系統(tǒng)內(nèi)各類信息門戶上發(fā)布、展現(xiàn)。采用模板化技術(shù)，使業(yè)務(wù)邏輯和軟件界面分開，且界面的變化只需修改界面模板。系統(tǒng)允許第三方應(yīng)用系統(tǒng)能平滑無縫地與之實現(xiàn)界面集成，方便系統(tǒng)的功能向縱深擴展。系統(tǒng)內(nèi)各功能模塊的界面風(fēng)格必須統(tǒng)一，發(fā)布的信息能根據(jù)終端類型（桌面終端和移動終端）自動進(jìn)行適配。支持動靜結(jié)合的部署方式，站點靜態(tài)頁面可同時發(fā)布到一臺或多臺服務(wù)器上，不同站點的靜態(tài)頁面也可發(fā)布到不同的服務(wù)器上。當(dāng)動態(tài)服務(wù)器出現(xiàn)故障時，靜態(tài)發(fā)布頁面可正常訪問。在對站點模板、欄目或文章做修改后，靜態(tài)頁面能自動增量更新。

調(diào)研和梳理原單位信息發(fā)布流程中各項申報表單和審核流程，建立統(tǒng)一的信息資源目錄和組織管理數(shù)據(jù)庫。該數(shù)據(jù)庫能自動獲取各子數(shù)據(jù)庫（或表）的信息，整合管理賬戶、文章、應(yīng)用系統(tǒng)等對象，有效規(guī)范信息數(shù)據(jù)的登記、變更、查閱、統(tǒng)計等管理應(yīng)用，實現(xiàn)在一個界面里按條件（如按作者或部門）對系統(tǒng)內(nèi)組織機構(gòu)、人員、文章和應(yīng)用系統(tǒng)等信息進(jìn)行查詢、統(tǒng)計，減少在各系統(tǒng)間切換的過程。

2.1.2 統(tǒng)一編輯發(fā)布

（1）基本功能

系統(tǒng)可以新建、移動、復(fù)制及引用單篇或多篇文章。具備軟刪除文章的功能，可從回收站恢復(fù)被刪除文章，同時保留文章的歷史版本，能從歷史版本中恢復(fù)文章。提供文章歸檔功能，可以將暫時或永久不用的文章整理到歸檔庫中。歸檔的文章可還原重新使用?？梢栽O(shè)置欄目的信息來源，自動獲取某些文件夾或欄目下的文章。

（2）可視化編輯功能

系統(tǒng)提供了兼容所有主流瀏覽器的類似WORD的可視化文章編輯工具，支持文本、表格、圖片（如：JPG、BMP、GIF、PNG等）、FLASH、音視頻文件（如：MP3、WMA、MP4、WMV、RMVB、AVI等）等元素，信息編輯內(nèi)容包括標(biāo)題、作者、來源、摘要、發(fā)布時間、主題內(nèi)容、外部鏈接、內(nèi)容標(biāo)簽等，還可以根據(jù)需要自定義屬性。

系統(tǒng)提供的編輯器還可以插入、上傳各類文檔附件（附件形式可以為Office文檔、文本文檔、圖片、壓縮文檔、PDF文檔等），可以直接插入多媒體文件（例如音視頻文檔），瀏覽者可以下載這些文件。編輯器還需支持以下功能：

①支持一鍵排版，自動設(shè)定文章段落縮進(jìn)、段間距、行間距等，能去除空行、多余表格、隱藏域等；

②用戶可指定文檔內(nèi)容的字體、字號、字體顏色、背景顏色、段落對齊方式、項目符號、段落縮進(jìn)等屬性、插入超級鏈接；

③文章編輯時，可以把網(wǎng)頁或word文檔中的內(nèi)容（包括圖片、表格等）直接粘貼到編輯器中，也可以另外上傳；

④支持Office文檔、PDF文檔內(nèi)容原樣導(dǎo)入功能，導(dǎo)入后的格式、字體不發(fā)生變化；

⑤支持內(nèi)容發(fā)布前預(yù)覽功能，隨時查看發(fā)布后的頁面效果；

⑥支持指定文章只能被特定的瀏覽者訪問；

⑦具有縮略圖自動生成功能，可以給圖片追加水?。?/p>

⑧支持組圖功能，可展現(xiàn)多個圖片的切換效果；

⑨支持將文章中任一圖片或者非文章中的圖片作為前臺頁面的展示圖片。

（3）信息采集功能

系統(tǒng)提供專業(yè)的信息采集工具，可自動采集互聯(lián)網(wǎng)或辦公局域網(wǎng)上其他網(wǎng)站或第三方數(shù)據(jù)庫信息。采集后的信息可存放在本地，也可直接引用，支持Web采集與數(shù)據(jù)庫采集兩種方式。可自動采集文字、圖片、視頻、附件等信息。引入日期變量、頁碼變量、數(shù)字變量、欄目變量等手段，實現(xiàn)全自動、多欄目、多頁面采集。提供高效的更新手段，已經(jīng)采集過的信息不會重復(fù)采集，更新時只獲取前次采集后更新的網(wǎng)頁。采用多線程并發(fā)采集技術(shù)，可以設(shè)置采集線程的運行方式，單次，定時，循環(huán)間隔，并提供監(jiān)控與報警功能。

系統(tǒng)提供互聯(lián)網(wǎng)各站點（節(jié)點）間以及與微信公眾號的數(shù)據(jù)共享，網(wǎng)站上已發(fā)布的信息可以直接推給微信，不必重新提交審核。在網(wǎng)站上發(fā)起的問卷調(diào)查，也可同時在微信上進(jìn)行投票；同樣，在微信上發(fā)起的也可通過網(wǎng)頁進(jìn)行投票。除提供基于相同管理范圍內(nèi)的內(nèi)容樹共享模式外，還提供各站點（節(jié)點）之間信息推送、跨站發(fā)布、跨站引用等信息共享模式以及信息直推至微信公眾號。

（4）信息發(fā)布功能

信息的發(fā)布均須通過網(wǎng)站群系統(tǒng)進(jìn)行，在辦公局域網(wǎng)系統(tǒng)完成內(nèi)容編輯以及選定發(fā)布范圍（含兩網(wǎng)各類網(wǎng)站、微信公眾號等）后提交審批（流程可定制）。審批通過后：

①推送到辦公局域網(wǎng)的信息能立刻發(fā)布；

②推送到互聯(lián)網(wǎng)的信息自動通過網(wǎng)閘設(shè)備單向傳輸?shù)交ヂ?lián)網(wǎng)站群系統(tǒng)發(fā)布；

③推送到微信平臺的信息能夠自動生成適合移動終端顯示的格式，并導(dǎo)出相應(yīng)格式后拷貝到微信公眾號發(fā)布。

支持審核流程定制，如可以設(shè)置不同的審核流程及流程參與人員，使整個系統(tǒng)的信息維護管理更規(guī)范。審核流程包括文章的起草、送審（一級至多級）、審核、退回、凍結(jié)、發(fā)布等一系列操作，可以對審核不通過的進(jìn)行逐級駁回，并附帶駁回意見。針對一些重要的信息，可以選擇一個合適的審核流程，通過審核的文章才能被正式啟用。一個站點可同時存在兩種新聞審核流程，不同流程中的角色權(quán)限須相互獨立。

2.1.3 統(tǒng)一權(quán)限管理

系統(tǒng)提供統(tǒng)一身份認(rèn)證接口，支持其他應(yīng)用系統(tǒng)實現(xiàn)單點登錄。系統(tǒng)支持與原單位的統(tǒng)一身份庫及認(rèn)證系統(tǒng)對接（身份庫采用Active Directory，認(rèn)證系統(tǒng)采用HTTP/HTTPS協(xié)議），并開放信息讀取的Web Service接口。兩網(wǎng)賬號認(rèn)證獨立，通過單向傳輸數(shù)據(jù)中的身份證號來實現(xiàn)兩網(wǎng)認(rèn)證統(tǒng)一（辦公局域網(wǎng)為標(biāo)準(zhǔn)數(shù)據(jù)庫）。

提供完善的權(quán)限管理及授權(quán)模式，可對所有模塊、功能、組件、第三方插件統(tǒng)一管理授權(quán)與鑒權(quán)，能實現(xiàn)細(xì)粒度的權(quán)限控制與再授權(quán)功能；授權(quán)模塊提供統(tǒng)一授權(quán)API，新增的應(yīng)用模塊以及第三方插件按照統(tǒng)一授權(quán)API進(jìn)行授權(quán)，即可將應(yīng)用（插件）內(nèi)部的授權(quán)功能集成到站群系統(tǒng)的授權(quán)模塊中進(jìn)行管理。支持上下級站點之間的分級授權(quán)，上級站點可以設(shè)置下級站點的管理范圍及內(nèi)容。

實現(xiàn)對站群系統(tǒng)內(nèi)各系統(tǒng)中所有機構(gòu)及人員的管理，并且各站點管理員可以管理本站點所屬機構(gòu)及人員，包括：可以新增、修改和刪除部門，部門支持無限級的添加；可以新添用戶，支持用戶的批量導(dǎo)入；可以修改部門的等級和從屬關(guān)系，所屬人員一并進(jìn)行變更；可以變更人員的機構(gòu)，但不能影響其基本信息的準(zhǔn)確性和完整性；可以創(chuàng)建各類人員組，組管理可在系統(tǒng)內(nèi)全局使用；可以創(chuàng)建用戶角色并按角色授權(quán)。

2.1.4 支持搜索引擎

使用URL Rewrite技術(shù)，使系統(tǒng)能突破動態(tài)網(wǎng)頁只能被搜索引擎索引一層信息的限制，網(wǎng)站內(nèi)的任何公開內(nèi)容都可以被搜索引擎索引到。支持百度、谷歌等常用搜索引擎。

網(wǎng)站群系統(tǒng)部署后，原來單位的各網(wǎng)站數(shù)據(jù)可以遷移到新系統(tǒng)中。

2.2 網(wǎng)閘

網(wǎng)閘（GAP）是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備[3]。針對現(xiàn)有需求，系統(tǒng)既要實現(xiàn)審核后的公開信息能通過網(wǎng)閘傳輸?shù)交ヂ?lián)網(wǎng)上發(fā)布，又要防止互聯(lián)網(wǎng)上病毒、木馬等通過網(wǎng)閘侵入到辦公局域網(wǎng)，因此需選擇單向傳輸?shù)木W(wǎng)閘設(shè)備[4]。

2.2.1 硬件要求

硬件架構(gòu)由內(nèi)端機、外端機、專有隔離硬件三部分組成?；趯Ｓ懈綦x硬件進(jìn)行隔離和數(shù)據(jù)交換，要求專用傳輸隔離部件完全自主開發(fā)且外部無法編程控制，并且配置雙電源；辦公局域網(wǎng)接口為6個10/100/1000M RJ45接口（含5個數(shù)據(jù)口和1個MAN口），1個串口，2個USB口，互聯(lián)網(wǎng)接口為外網(wǎng)6個10/100/1000M RJ45接口（含5個數(shù)據(jù)口和1個HA口），1個串口，2個USB口；網(wǎng)絡(luò)吞吐量：400Mbps，系統(tǒng)整體時延

2.2.2 軟件要求

內(nèi)置安全操作系統(tǒng)，能夠?qū)?nèi)外兩個主機系統(tǒng)提供多層次、高強度的安全防護，保護其重要文件、數(shù)據(jù)不受黑客侵襲；內(nèi)置病毒查殺，保證操作系統(tǒng)安全，保證網(wǎng)閘自身不受病毒、木馬侵害；支持標(biāo)準(zhǔn)TCP、UDP協(xié)議，支持 HTTP、SMTP、POP3、FTP、TELNET、SQL、ORACLE、 NULL_TCP等應(yīng)用協(xié)議；支持可定制應(yīng)用協(xié)議檢查模塊。

2.2.3 安全要求

提供安全的上網(wǎng)訪問，支持HTTP協(xié)議及代理等；訪問控制對象：源地址、目標(biāo)地址、源端口、目的端目、域名、URL訪問方式、時間等；內(nèi)容過濾：關(guān)鍵字（采用自主研發(fā)的下推自動機的高效過濾算法）：腳本過濾：Javascript、Applet、ActiveX等；其他過濾策略：文件類型、頁面提交方式等；認(rèn)證方式：支持用戶名／密碼認(rèn)證方式；提供安全的郵件訪問，支持POP3、SMTP協(xié)議；支持郵件主機地址過濾，支持郵件內(nèi)容審計過濾支持發(fā)件地址、收件地址過濾；支持郵件主題過濾；支持附件傳輸控制；支持郵件大小控制；支持郵件病毒查殺功能；支持訪問時間控制；支持用戶名／密碼認(rèn)證方式。

2.2.4 文件傳輸要求

提供安全的文件傳輸功能，支持FTP等文件傳輸協(xié)議；支持用戶名/IP-MAC綁定；支持對傳輸文件的類型過濾；支持對訪問時間控制；支持指令控制；可通過專用客戶端或共享方式提供安全的文件同步功能；占用系統(tǒng)資源少，文件交換效率高，不會頻繁的進(jìn)行磁盤掃描；支持windows平臺、linux平臺；同步傳輸方向可控，雙向或單向；支持實時掃描傳輸；支持一對多或多對一傳輸；支持目錄內(nèi)子目錄同步，至多支持32級目錄；支持中文文件名或目錄同步；支持文件類型的過濾；支持增量傳輸；支持傳輸后刪除源文件；提供詳細(xì)的日志審計。

2.2.5 數(shù)據(jù)庫要求

提供對多種主流數(shù)據(jù)庫系統(tǒng)（SQL、ORACLE、DB2、SYBASE等）的安全訪問；無須修改數(shù)據(jù)庫工作模式或服務(wù)器注冊表；支持用戶查詢、修改、添加、刪除等操作；支持全表復(fù)制、增量更新、全表更新等；支持各種實例訪問；支持操作時間限制，設(shè)定特定時間訪問數(shù)據(jù)庫操作；基于專用客戶端與網(wǎng)閘安全連接方式，提供多種主流數(shù)據(jù)庫（ SQLS、ORACLE、DB2、SYBASE、MySQL等）的單、雙向數(shù)據(jù)交換；無須修改數(shù)據(jù)庫表結(jié)構(gòu)，不涉及代碼修改及二次開發(fā)；同步粒度可以達(dá)到表內(nèi)具體字段；支持多種增量同步方式，可分別定義增加、刪除、修改的傳輸方式；支持異構(gòu)數(shù)據(jù)結(jié)構(gòu)以及代碼語義的轉(zhuǎn)換規(guī)則定義，并實現(xiàn)源數(shù)據(jù)到目標(biāo)數(shù)據(jù)之間的實時數(shù)據(jù)交換，支持?jǐn)?shù)據(jù)整合業(yè)務(wù)；支持?jǐn)?shù)據(jù)一對一、一對多、多對多的單向或雙向交換和同步；支持實時交換或定時同步的策略定義；采用XML技術(shù)，具有可配置性，可以通過標(biāo)準(zhǔn)定義、規(guī)則定義、通道定義和路由定義進(jìn)行個性化的數(shù)據(jù)交換策略定義；數(shù)據(jù)庫同步具有高可靠性，即使發(fā)生網(wǎng)絡(luò)故障，已變化數(shù)據(jù)也不會丟失。

2.2.6 日志審計要求

支持系統(tǒng)事件、成功事件、報警事件詳細(xì)審計，能生成相應(yīng)的審計報告，支持私有數(shù)據(jù)報格式日志和sylsog格式日志外發(fā)；提供獨立日志審計擴展模塊，能夠?qū)С鯿sv格式月報表呈現(xiàn)每日最大并發(fā)連接數(shù)、最大流量、總數(shù)據(jù)流量；能夠?qū)徲嫴崟r查詢用戶所有訪問記錄，審計查詢內(nèi)容包括訪問時間、訪問ip地址、訪問端口、執(zhí)行動作、訪問資源等支持csv格式的用戶訪問記錄導(dǎo)出。

2.2.7 其他要求

支持用戶基于標(biāo)準(zhǔn)TCP、UDP開發(fā)的自定義協(xié)議軟件；無需對自定義協(xié)議軟件進(jìn)行二次修改開發(fā)；可以根據(jù)需求開發(fā)新的專用協(xié)議處理過濾功能；支持訪問時間控制；專用硬件管理接口，C/S客戶端專有協(xié)議管理，雙重密碼認(rèn)證，網(wǎng)閘管理口無IP，客戶端自動查詢設(shè)備管理不依賴IP地址；網(wǎng)閘設(shè)備支持代理模式、透明代理、路由模式三種工作模式。

3 總結(jié)

隨著“互聯(lián)網(wǎng)+”概念越來越深入到社會的方方面面，高效的對外宣傳工作能力和信息推送能力對于單位塑造自身形象和推動信息化建設(shè)發(fā)展而言，有著舉足輕重的作用。對于保密要求較高的單位，通過單向傳輸?shù)木W(wǎng)閘設(shè)備設(shè)計連接兩套網(wǎng)絡(luò)的信息發(fā)布系統(tǒng)，可以在一定程度上緩解高效的信息發(fā)布需求和安全保密需求之間的矛盾，提高信息發(fā)布的工作效率。

[1]朱琪.基于雙網(wǎng)物理隔離的信息安全系統(tǒng)設(shè)計研究[J]. 信陽農(nóng)林學(xué)院學(xué)報，2018（3）：124-128.

[2]百度百科.網(wǎng)站群[OL]，https://baike.baidu.com/item/網(wǎng)站群.

[3]百度百科.網(wǎng)閘[OL]，https://baike.baidu.com/item/網(wǎng)閘.

[4]百度百科.單向網(wǎng)閘[OL]，https://baike.baidu.com/item/單向網(wǎng)閘.