武永嬌 王天元 王晶

摘要：隨著微信、微博、頭條號(hào)、抖音等新媒體平臺(tái)的開設(shè)，平臺(tái)難管理、賬號(hào)難監(jiān)管、發(fā)布無審核，多個(gè)平臺(tái)之間信息不互通，發(fā)聲不協(xié)同。多種媒體之間難以進(jìn)行統(tǒng)一建設(shè)和統(tǒng)一管理，媒體之間數(shù)據(jù)資源難以實(shí)現(xiàn)互通共享，不少高校網(wǎng)站群出現(xiàn)管理難、維護(hù)難、發(fā)布難、監(jiān)管難等問題。以甘肅開放大學(xué)網(wǎng)站群建設(shè)為例，結(jié)合現(xiàn)有網(wǎng)站群存在的統(tǒng)一運(yùn)營(yíng)發(fā)布管理難、信息安全等保標(biāo)準(zhǔn)、移動(dòng)自動(dòng)適應(yīng)等問題，設(shè)計(jì)出適合全媒體視域下高校的網(wǎng)站群建設(shè)架構(gòu)，為高效網(wǎng)站群在全媒體網(wǎng)站群設(shè)計(jì)運(yùn)維中提供參考。

關(guān)鍵詞：全媒體；IPV6；全媒體；云計(jì)算服務(wù)

中圖分類號(hào)：TP393??????????????????????????? 文獻(xiàn)標(biāo)志碼：A

1現(xiàn)有高校網(wǎng)站群分析

高校在“互聯(lián)網(wǎng)+教育”理念的驅(qū)動(dòng)下，其信息化進(jìn)程也隨之日益加快，學(xué)校網(wǎng)站成為高等教育信息化及智慧校園建設(shè)的基礎(chǔ)。經(jīng)過多年的發(fā)展積累，以門戶網(wǎng)站為主站，新聞網(wǎng)、職能部門、二級(jí)學(xué)院網(wǎng)站為子站的高校網(wǎng)站群體系基本形成。近年來，各類新興媒體迅速崛起，高校官網(wǎng)，下屬部門、院系等網(wǎng)站建立了對(duì)應(yīng)的微信公眾號(hào)、頭條號(hào)、微博等層出不窮的媒體發(fā)布渠道，全媒體視域下高校網(wǎng)站成為重要的宣傳平臺(tái)。

現(xiàn)有網(wǎng)站群經(jīng)過前期建設(shè)、運(yùn)營(yíng)已初具規(guī)模，對(duì)學(xué)校的網(wǎng)站管理、宣傳等方面都起到了一定作用。隨著學(xué)校信息化的不斷建設(shè)，現(xiàn)有網(wǎng)站群系統(tǒng)在網(wǎng)站建設(shè)與管理、內(nèi)容維護(hù)、信息發(fā)布、操作體驗(yàn)、系統(tǒng)安全與兼容、智能[1]、移動(dòng)化適配等方面存在不足，不能滿足其便捷、集成、智能化管理需求。

2高效全媒體網(wǎng)站群構(gòu)建思路

文章提出全媒體時(shí)代高校新型網(wǎng)站群管理平臺(tái)建設(shè)的方案，此方案以基于頂層設(shè)計(jì)集約化為設(shè)計(jì)理念，以技術(shù)統(tǒng)一性、結(jié)構(gòu)統(tǒng)一性、功能統(tǒng)一性、資源歸集性為設(shè)計(jì)原則，構(gòu)建思路主要依據(jù) IaaS、PaaS 和 SaaS 分層的技術(shù)架構(gòu)，通過前端、后端和云計(jì)算服務(wù)分層開發(fā)，不但保證了站群平臺(tái)的統(tǒng)一性，而且繼續(xù)延續(xù)保留了子站的個(gè)性化功能需求。引入樹狀"權(quán)限集"的權(quán)限管理模式，從而解決了日益復(fù)雜趨勢(shì)的網(wǎng)站群權(quán)限層次交錯(cuò)管理需求。

設(shè)計(jì)構(gòu)架可以有效解決校園媒體集中式、統(tǒng)一式、有效式管理問題，還可以高效便捷靈活地實(shí)現(xiàn)媒體內(nèi)容的審核及發(fā)布。它將高校校園媒體的使用、運(yùn)營(yíng)、管理及維護(hù)各個(gè)環(huán)節(jié)提升到一個(gè)新的水平高度。利用細(xì)粒度的權(quán)限層級(jí)管理體系、多維度的運(yùn)維數(shù)據(jù)統(tǒng)計(jì)分析，使得管理手段更加智能便捷，運(yùn)維從“被動(dòng)”變“主動(dòng)”，構(gòu)建更高效的運(yùn)維管理體系。按照 ISO27001和等級(jí)保護(hù)的規(guī)范與要求，提供更安全合理的管理措施，實(shí)現(xiàn)系統(tǒng)安全防護(hù)，保障平臺(tái)的安全性，構(gòu)建一個(gè)更安全、更統(tǒng)一、更智能的全媒體管理平臺(tái)。從而提升甘肅省開放教育工作智能化服務(wù)水平，為推進(jìn)甘肅開放大學(xué)智慧校園信息化建設(shè)奠定良好基礎(chǔ)。

3 高校全媒體網(wǎng)站群的架構(gòu)設(shè)計(jì)

3.1 功能架構(gòu)設(shè)計(jì)

采用目前主流的分層架構(gòu)思想，基礎(chǔ)設(shè)施服務(wù)層（IaaS，Infrastructure as a Service）、平臺(tái)服務(wù)層（PaaS，Plat?form as a Service）和軟件服務(wù)層（SaaS，Software as a Ser?vice）［2，5］。

在 IaaS、PaaS 和 SaaS 分層下技術(shù)架構(gòu)下的網(wǎng)站群功能架構(gòu)如圖1所示。IaaS層主要涉及到基礎(chǔ)環(huán)境，主要包括操作系統(tǒng)OS、硬件環(huán)境、容災(zāi)備份、數(shù)據(jù)存儲(chǔ)、虛擬環(huán)境、網(wǎng)絡(luò)服務(wù)及相關(guān)基礎(chǔ)中間件等；PaaS層主要涉及到運(yùn)行服務(wù)，主要服務(wù)包括CDN服務(wù)、負(fù)載均衡、共享文件、消息隊(duì)列、關(guān)系/非關(guān)系型數(shù)據(jù)庫、服務(wù)器監(jiān)控、網(wǎng)站管理、安全防護(hù)、運(yùn)維保障、智能檢測(cè)及相關(guān)智能運(yùn)維服務(wù)等；SaaS層是需要重點(diǎn)開發(fā)的部分，主要涉及前端、后端和云計(jì)算 3 層架構(gòu)相關(guān)應(yīng)用程序及接口開發(fā)，主要包括網(wǎng)頁（PC、移動(dòng)手機(jī)、后臺(tái)管理）、二級(jí)網(wǎng)站子系統(tǒng)、用戶子系統(tǒng)、網(wǎng)站內(nèi)容管理子系統(tǒng)、資源子系統(tǒng)、發(fā)布子系統(tǒng)、統(tǒng)計(jì)可視化子系統(tǒng)、視頻管理子系統(tǒng)、全媒體集合端（微博、微信、抖音、頭條號(hào)等）接口開發(fā)及內(nèi)容發(fā)布管理等子系統(tǒng)，傳統(tǒng)網(wǎng)站和新媒體在一套平臺(tái)上實(shí)現(xiàn)統(tǒng)一的規(guī)范管理。

3.2 技術(shù)架構(gòu)設(shè)計(jì)

3.2.1 前端設(shè)計(jì)

前端設(shè)計(jì)是基于當(dāng)前最新 HTML5+CSS3+JavaS? cript+jQuery前端開發(fā)技術(shù)，融入應(yīng)用和數(shù)據(jù)分離、非關(guān)系型數(shù)據(jù)庫和關(guān)系型數(shù)據(jù)庫并存的網(wǎng)站技術(shù)架構(gòu)設(shè)計(jì)理念，并且結(jié)合現(xiàn)有網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境混合云特點(diǎn)（以甘肅開放大學(xué)為例），設(shè)計(jì)架構(gòu)實(shí)現(xiàn)了云計(jì)算服務(wù)集群化、分布式及微服務(wù)。

前端指的是視圖層，其作用是交互和展示，一般指的是網(wǎng)頁、網(wǎng)站系統(tǒng) App 或 PC 軟件，按照分層設(shè)計(jì)思路，前端部分的基本結(jié)構(gòu)由 Web 服務(wù)器軟件（Apache、 Nginx 等）和網(wǎng)頁資源文件2部分組成。前端架構(gòu)重點(diǎn)解決的問題：CSS 樣式、JavaScript 腳本規(guī)整化，避免破窗效應(yīng)；網(wǎng)頁的適配性和兼容性；流行組件化如Boot? strap 盡可能模塊化。

3.2.2 后端設(shè)計(jì)

后端指的是業(yè)務(wù)處理層，其作用是處理前端發(fā)送的請(qǐng)求，并且在處理后返回給前端。如數(shù)據(jù)庫操作和云計(jì)算任務(wù)調(diào)度等。后端開發(fā)語言主要有 PHP、Py? thon、Java 及 C#等。文章采用運(yùn)行效率高且具有更高的包管理和配置方式的 Spring Boot 的 Java 開發(fā)。

3.2.3 云計(jì)算服務(wù)

云計(jì)算服務(wù)受后端軟件調(diào)度，一般是指運(yùn)行時(shí)間較長(zhǎng)或者需要持續(xù)運(yùn)行的軟件服務(wù)，如視頻轉(zhuǎn)碼服務(wù)、搜索服務(wù)及爬蟲服務(wù)等。云計(jì)算服務(wù)被分成兩部分：一部分是自身系統(tǒng)提供的云計(jì)算服務(wù)，另一部分是第三方云計(jì)算服務(wù)，由第三方平臺(tái)提供。云計(jì)算架構(gòu)由監(jiān)控軟件、云計(jì)算服務(wù)軟件和通信中間件 3 部分組成。監(jiān)控軟件的作用是監(jiān)控和啟動(dòng)其所在服務(wù)器上的云計(jì)算服務(wù)軟件，監(jiān)控軟件被 Supervisor 監(jiān)控；云計(jì)算服務(wù)軟件是真正執(zhí)行任務(wù)的程序；通信中間件是后端應(yīng)用程序與云計(jì)算服務(wù)軟件、監(jiān)控軟件及云計(jì)算服務(wù)軟件的通信樞紐。消息中間件包含任務(wù)池、指令池、進(jìn)度數(shù)據(jù)池和狀態(tài)數(shù)據(jù)池。其中，任務(wù)池與指令池可以用 RabbitMQ等消息隊(duì)列服務(wù)實(shí)現(xiàn)，進(jìn)度數(shù)據(jù)池與狀態(tài)數(shù)據(jù)池可以用 Redis實(shí)現(xiàn)。

云計(jì)算服務(wù)部分的技術(shù)架構(gòu)及原理如圖2所示。其中，任務(wù)池和指令池可以用同一個(gè) RabbitMQ 服務(wù)，進(jìn)度數(shù)據(jù)池與狀態(tài)數(shù)據(jù)池可以用同一個(gè)或不同的 Re? dis服務(wù)。

3.3單點(diǎn)登錄設(shè)計(jì)

單點(diǎn)登錄是一類系統(tǒng)形態(tài)，其根據(jù)具體的使用場(chǎng)景會(huì)有不同的功能需求，因此單點(diǎn)登錄系統(tǒng)需要解決：提供統(tǒng)一的登錄和注冊(cè)入口；與其他子系統(tǒng)共享用戶登錄信息；集中管理用戶的基本信息，如賬號(hào)、密碼和昵稱等。

單點(diǎn)登錄系統(tǒng)的詳細(xì)架構(gòu)設(shè)計(jì)已經(jīng)有很多成熟方案，如通用的單點(diǎn)登錄標(biāo)準(zhǔn)（如Oauth 2.0等）、單點(diǎn)登錄的通用實(shí)現(xiàn)（如 Apache Oltu等）和單點(diǎn)登錄的第三方云服務(wù)（如 Auth0等）。單點(diǎn)登錄系統(tǒng)當(dāng)然可以直接采用這些方案，但是在決定使用這些方案之前，一定要基于實(shí)際項(xiàng)目情況進(jìn)行考慮。文章設(shè)計(jì)的采用 Apache Ol? tu實(shí)現(xiàn)授權(quán)認(rèn)證單點(diǎn)登錄服務(wù)。

3.3.1接口說明

（1）/login：登錄接口；

（2）/Oauth/authorize：獲取授權(quán)碼的接口；

（3）/Oauth/getCode：授權(quán)碼接口，只是例子中后端沒有存儲(chǔ)登錄狀態(tài)，做了個(gè)中轉(zhuǎn)；

（4）/Oauth/ accesstoken：獲取訪問令牌。

3.3.2功能實(shí)現(xiàn)的過程

功能的實(shí)現(xiàn)過程其實(shí)是對(duì)需求進(jìn)行量體裁衣的過程。如果只著眼于某些現(xiàn)成方案的名氣、使用量和大而全的功能集等表面優(yōu)點(diǎn)，而無視其功能的匹配度、使用難度及性能是否低下等因素，則會(huì)徒增項(xiàng)目成本。單點(diǎn)登錄功能的關(guān)鍵問題，分3步逐步完成單點(diǎn)登錄系統(tǒng)的架構(gòu)設(shè)計(jì)，即提供統(tǒng)一的登錄與注冊(cè)入口，與其他子系統(tǒng)共享用戶登錄信息及集中管理用戶的基本信息。單點(diǎn)登錄系統(tǒng)需要提供統(tǒng)一的登錄、注冊(cè)頁面及對(duì)應(yīng)的后端接口。用戶登錄時(shí)，需要跳轉(zhuǎn)到統(tǒng)一的登錄和注冊(cè)頁面，登錄或注冊(cè)成功后返回登錄前的頁面。統(tǒng)一的登錄注冊(cè)入口如圖3所示。其中，登錄成功后，用戶的基本信息（用戶ID和昵稱等）需要被寫入 Session 中，在處理其他接口請(qǐng)求時(shí)，通過判斷 Session 中是否有用戶的基本信息來判斷用戶是否登錄。

3.3.3核心代碼

（1）獲取授權(quán)碼流程描述：

①將請(qǐng)求轉(zhuǎn)換成oltu的認(rèn)證請(qǐng)求OauthAuthzRe?quest；

②從OauthAuthzRequest讀取客戶端信息（ cli?entId，redirectUrl，re? sponse_type）；

③校驗(yàn)客戶端信息；

④校驗(yàn)成功后生成訪問令牌；

⑤存儲(chǔ)訪問令牌；

⑥使用oltu的OAuthASResponse構(gòu)建oauth響應(yīng)；

⑦在響應(yīng)中設(shè)置好授權(quán)碼，state等信息。

核心代碼實(shí)現(xiàn)：

（2）獲取訪問令牌

流程描述：

①將請(qǐng)求轉(zhuǎn)換成oltu的 token 獲取請(qǐng)求OAuthTo?kenRequest；

②從OauthTokenRequest讀取客戶端信息；

③校驗(yàn)客戶端信息；

④生成訪問令牌token；

⑤存儲(chǔ)訪問令牌；

⑥構(gòu)建oauth2響應(yīng)oAuthResponse；

⑦返回到客戶端。

核心代碼實(shí)現(xiàn)：

（3）客戶端接口

①/requestAuth：重定向到授權(quán)請(qǐng)求url。

②/redirect：獲取授權(quán)碼后，處理授權(quán)碼的重定向地址。

4 系統(tǒng)安全設(shè)計(jì)

依照等保2.0的建設(shè)要求，深度優(yōu)化以及建設(shè)了部分安全防護(hù)技術(shù)，實(shí)現(xiàn)安全防御的縱深體系搭建。

4.1 系統(tǒng)安全設(shè)置

（1）登錄安全：指紋識(shí)別/身份認(rèn)證/人臉識(shí)別，采用人工智能身份識(shí)別技術(shù)，可快速準(zhǔn)確的進(jìn)行登錄的驗(yàn)證，保證系統(tǒng)用戶的安全；

（2）數(shù)據(jù)安全：在用戶登錄和信息傳遞過程中，系統(tǒng)采用SSL協(xié)議對(duì)用戶名和密碼的傳輸進(jìn)行加密，保證關(guān)鍵信息的通信保密性。

（3）運(yùn)維安全：支持 IPv6、HTTPS：Apache 服務(wù)可以同時(shí)監(jiān)聽 IPv6和IPv4地址，同時(shí)，網(wǎng)站群平臺(tái)中 IP 規(guī)則、應(yīng)用防火墻等功能也均支持 IPv6功能， HTTPS為WWW服務(wù)器提供安全保護(hù)；

（4）應(yīng)急演練服務(wù)：通過模擬真實(shí)環(huán)境中可能出現(xiàn)的突發(fā)事件，檢驗(yàn)站群系統(tǒng)的可用性，提升應(yīng)對(duì)突發(fā)事件的應(yīng)急處置能力；

（5）敏感字檢測(cè)與清理：敏感詞庫與云端打通，可以動(dòng)態(tài)更新詞庫，檢測(cè)與清理通過靜態(tài)文件掃描與動(dòng)態(tài)數(shù)據(jù)庫掃描相結(jié)合。

4.2系統(tǒng)運(yùn)維安全設(shè)計(jì)

運(yùn)維安全設(shè)計(jì)共涉及4個(gè)功能模塊，即安全中心、安全防護(hù)控制中心、系統(tǒng)運(yùn)維監(jiān)控和日志中心。

（1）安全中心包括安全預(yù)警中心、安全控制中心、安全分析中心、安全運(yùn)維中心和全方位強(qiáng)化系統(tǒng)安全。

（2）安全防護(hù)控制中心包括 web應(yīng)用防火墻、系統(tǒng)防火墻、主動(dòng)防御控制、用戶訪問控制、內(nèi)容安全防護(hù)等。它能夠?qū)Π踩x項(xiàng)統(tǒng)一控制，統(tǒng)一詳情查看。通過系統(tǒng)防火墻、主動(dòng)防御、WEB應(yīng)用防火墻[3]、用戶訪問控制這4層安全防護(hù)體系，使網(wǎng)站群管理平臺(tái)本身具有更強(qiáng)的安全性。

（3）系統(tǒng)運(yùn)維監(jiān)控中心主要提供管理機(jī)、發(fā)布機(jī)的系統(tǒng)運(yùn)維監(jiān)控情況可視化展現(xiàn)，包括 CPU、內(nèi)存、磁盤空間等數(shù)據(jù)的圖形化展現(xiàn)。通過將監(jiān)控?cái)?shù)據(jù)以圖表等可視化的形式展現(xiàn)出來，幫助系統(tǒng)管理員根據(jù)這些統(tǒng)計(jì)結(jié)果分析出這些設(shè)備的主要運(yùn)行參數(shù)的變化規(guī)律。系統(tǒng)管理員可以實(shí)時(shí)掌控系統(tǒng)的運(yùn)行狀態(tài)，檢測(cè)系統(tǒng)故障，以維護(hù)系統(tǒng)的正常運(yùn)行。

（4）日志審計(jì)分析中心主要提供系統(tǒng)訪問日志、數(shù)據(jù)流量日志、站群操作日志、站點(diǎn)操作日志、文章操作日志、IP封禁日志、異常時(shí)間登錄記錄、敏感詞監(jiān)測(cè)日志、防篡改日志等的統(tǒng)一記錄、統(tǒng)一分析、統(tǒng)一展現(xiàn)。通過日志分析中心，管理員可方便查看所有操作記錄，以便及時(shí)發(fā)現(xiàn)系統(tǒng)存在的漏洞、入侵行為等，并為安全審計(jì)提供依據(jù)。

平臺(tái)包含多個(gè)方面的日志功能，為安全審計(jì)提供依據(jù)，保證無法刪除、修改或覆蓋審計(jì)記錄，以便及時(shí)發(fā)現(xiàn)系統(tǒng)存在的漏洞、入侵行為等。審計(jì)記錄的內(nèi)容至少包括時(shí)間日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等［4］。日志具有防刪除功能，可最大程度還原故障原因，避免惡意操作進(jìn)行痕跡清除。

操作日志包括登入登出、用戶管理、備份恢復(fù)、安全防護(hù)、系統(tǒng)監(jiān)控、數(shù)據(jù)庫操作、系統(tǒng)設(shè)置、計(jì)劃任務(wù)等多個(gè)方面的記錄日志。

入侵防護(hù)日志包含攻擊位置、攻擊方 IP、IP 歸屬地、登錄帳號(hào)、威脅方式、發(fā)生時(shí)間等。所有的日志系統(tǒng)均會(huì)默認(rèn)保存6個(gè)月以上，滿足國(guó)家相關(guān)安全需求。同時(shí)支持以Excel文件導(dǎo)出，使得每篇文章內(nèi)容操作都有據(jù)可查，保障站群中所有站點(diǎn)內(nèi)容安全。

5 結(jié)束語

從高校網(wǎng)站群建設(shè)需求出發(fā)，結(jié)合現(xiàn)在全媒體發(fā)展趨勢(shì)特點(diǎn)，在分析現(xiàn)有高校網(wǎng)站群功能及架構(gòu)基礎(chǔ)上，以甘肅開放大學(xué)為例，提出全媒體網(wǎng)站群建設(shè)總體思路，并從功能架構(gòu)、技術(shù)架構(gòu)、單點(diǎn)登錄、云計(jì)算服務(wù)及系統(tǒng)安全等進(jìn)行相關(guān)邏輯架構(gòu)設(shè)計(jì)。此方案可有效解決校園媒體集中式、統(tǒng)一式、有效式、便捷式管理媒體內(nèi)容的審核及發(fā)布問題。它將高校校園媒體的使用、運(yùn)營(yíng)、管理及維護(hù)各個(gè)環(huán)節(jié)提升到一個(gè)新的應(yīng)用高度。

參考文獻(xiàn)：

［1］黃新波.十四運(yùn)會(huì)信息化系統(tǒng)大數(shù)據(jù)統(tǒng)一平臺(tái)的設(shè)計(jì)與應(yīng)用［J］.大數(shù)據(jù)，2022，8（2）：158-167.

［2］鄒超.基于云計(jì)算的網(wǎng)絡(luò)操作系統(tǒng)中虛擬機(jī)動(dòng)態(tài)遷移的研究與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2012.

［3］唐靜武.高校全媒體網(wǎng)站群平臺(tái)建設(shè)探究［J］.電子世界，2020，604（22）：40-41.

［4］華俊. 高校門戶網(wǎng)站架構(gòu)設(shè)計(jì)初探［J］. 電子測(cè)試，2015，335（23）：64-65.

［5］李曉斌.動(dòng)態(tài)網(wǎng)站建設(shè)全程揭秘［M］.北京：清華大學(xué)出版社，2022.