武永嬌 王天元 王晶

摘要：隨著微信、微博、頭條號、抖音等新媒體平臺的開設，平臺難管理、賬號難監(jiān)管、發(fā)布無審核，多個平臺之間信息不互通，發(fā)聲不協(xié)同。多種媒體之間難以進行統(tǒng)一建設和統(tǒng)一管理，媒體之間數(shù)據(jù)資源難以實現(xiàn)互通共享，不少高校網(wǎng)站群出現(xiàn)管理難、維護難、發(fā)布難、監(jiān)管難等問題。以甘肅開放大學網(wǎng)站群建設為例，結(jié)合現(xiàn)有網(wǎng)站群存在的統(tǒng)一運營發(fā)布管理難、信息安全等保標準、移動自動適應等問題，設計出適合全媒體視域下高校的網(wǎng)站群建設架構(gòu)，為高效網(wǎng)站群在全媒體網(wǎng)站群設計運維中提供參考。

關(guān)鍵詞：全媒體；IPV6；全媒體；云計算服務

中圖分類號：TP393??????????????????????????? 文獻標志碼：A

1現(xiàn)有高校網(wǎng)站群分析

高校在“互聯(lián)網(wǎng)+教育”理念的驅(qū)動下，其信息化進程也隨之日益加快，學校網(wǎng)站成為高等教育信息化及智慧校園建設的基礎。經(jīng)過多年的發(fā)展積累，以門戶網(wǎng)站為主站，新聞網(wǎng)、職能部門、二級學院網(wǎng)站為子站的高校網(wǎng)站群體系基本形成。近年來，各類新興媒體迅速崛起，高校官網(wǎng)，下屬部門、院系等網(wǎng)站建立了對應的微信公眾號、頭條號、微博等層出不窮的媒體發(fā)布渠道，全媒體視域下高校網(wǎng)站成為重要的宣傳平臺。

現(xiàn)有網(wǎng)站群經(jīng)過前期建設、運營已初具規(guī)模，對學校的網(wǎng)站管理、宣傳等方面都起到了一定作用。隨著學校信息化的不斷建設，現(xiàn)有網(wǎng)站群系統(tǒng)在網(wǎng)站建設與管理、內(nèi)容維護、信息發(fā)布、操作體驗、系統(tǒng)安全與兼容、智能[1]、移動化適配等方面存在不足，不能滿足其便捷、集成、智能化管理需求。

2高效全媒體網(wǎng)站群構(gòu)建思路

文章提出全媒體時代高校新型網(wǎng)站群管理平臺建設的方案，此方案以基于頂層設計集約化為設計理念，以技術(shù)統(tǒng)一性、結(jié)構(gòu)統(tǒng)一性、功能統(tǒng)一性、資源歸集性為設計原則，構(gòu)建思路主要依據(jù) IaaS、PaaS 和 SaaS 分層的技術(shù)架構(gòu)，通過前端、后端和云計算服務分層開發(fā)，不但保證了站群平臺的統(tǒng)一性，而且繼續(xù)延續(xù)保留了子站的個性化功能需求。引入樹狀"權(quán)限集"的權(quán)限管理模式，從而解決了日益復雜趨勢的網(wǎng)站群權(quán)限層次交錯管理需求。

設計構(gòu)架可以有效解決校園媒體集中式、統(tǒng)一式、有效式管理問題，還可以高效便捷靈活地實現(xiàn)媒體內(nèi)容的審核及發(fā)布。它將高校校園媒體的使用、運營、管理及維護各個環(huán)節(jié)提升到一個新的水平高度。利用細粒度的權(quán)限層級管理體系、多維度的運維數(shù)據(jù)統(tǒng)計分析，使得管理手段更加智能便捷，運維從“被動”變“主動”，構(gòu)建更高效的運維管理體系。按照 ISO27001和等級保護的規(guī)范與要求，提供更安全合理的管理措施，實現(xiàn)系統(tǒng)安全防護，保障平臺的安全性，構(gòu)建一個更安全、更統(tǒng)一、更智能的全媒體管理平臺。從而提升甘肅省開放教育工作智能化服務水平，為推進甘肅開放大學智慧校園信息化建設奠定良好基礎。

3 高校全媒體網(wǎng)站群的架構(gòu)設計

3.1 功能架構(gòu)設計

采用目前主流的分層架構(gòu)思想，基礎設施服務層（IaaS，Infrastructure as a Service）、平臺服務層（PaaS，Plat?form as a Service）和軟件服務層（SaaS，Software as a Ser?vice）［2，5］。

在 IaaS、PaaS 和 SaaS 分層下技術(shù)架構(gòu)下的網(wǎng)站群功能架構(gòu)如圖1所示。IaaS層主要涉及到基礎環(huán)境，主要包括操作系統(tǒng)OS、硬件環(huán)境、容災備份、數(shù)據(jù)存儲、虛擬環(huán)境、網(wǎng)絡服務及相關(guān)基礎中間件等；PaaS層主要涉及到運行服務，主要服務包括CDN服務、負載均衡、共享文件、消息隊列、關(guān)系/非關(guān)系型數(shù)據(jù)庫、服務器監(jiān)控、網(wǎng)站管理、安全防護、運維保障、智能檢測及相關(guān)智能運維服務等；SaaS層是需要重點開發(fā)的部分，主要涉及前端、后端和云計算 3 層架構(gòu)相關(guān)應用程序及接口開發(fā)，主要包括網(wǎng)頁（PC、移動手機、后臺管理）、二級網(wǎng)站子系統(tǒng)、用戶子系統(tǒng)、網(wǎng)站內(nèi)容管理子系統(tǒng)、資源子系統(tǒng)、發(fā)布子系統(tǒng)、統(tǒng)計可視化子系統(tǒng)、視頻管理子系統(tǒng)、全媒體集合端（微博、微信、抖音、頭條號等）接口開發(fā)及內(nèi)容發(fā)布管理等子系統(tǒng)，傳統(tǒng)網(wǎng)站和新媒體在一套平臺上實現(xiàn)統(tǒng)一的規(guī)范管理。

3.2 技術(shù)架構(gòu)設計

3.2.1 前端設計

前端設計是基于當前最新 HTML5+CSS3+JavaS? cript+jQuery前端開發(fā)技術(shù)，融入應用和數(shù)據(jù)分離、非關(guān)系型數(shù)據(jù)庫和關(guān)系型數(shù)據(jù)庫并存的網(wǎng)站技術(shù)架構(gòu)設計理念，并且結(jié)合現(xiàn)有網(wǎng)絡運營環(huán)境混合云特點（以甘肅開放大學為例），設計架構(gòu)實現(xiàn)了云計算服務集群化、分布式及微服務。

前端指的是視圖層，其作用是交互和展示，一般指的是網(wǎng)頁、網(wǎng)站系統(tǒng) App 或 PC 軟件，按照分層設計思路，前端部分的基本結(jié)構(gòu)由 Web 服務器軟件（Apache、 Nginx 等）和網(wǎng)頁資源文件2部分組成。前端架構(gòu)重點解決的問題：CSS 樣式、JavaScript 腳本規(guī)整化，避免破窗效應；網(wǎng)頁的適配性和兼容性；流行組件化如Boot? strap 盡可能模塊化。

3.2.2 后端設計

后端指的是業(yè)務處理層，其作用是處理前端發(fā)送的請求，并且在處理后返回給前端。如數(shù)據(jù)庫操作和云計算任務調(diào)度等。后端開發(fā)語言主要有 PHP、Py? thon、Java 及 C#等。文章采用運行效率高且具有更高的包管理和配置方式的 Spring Boot 的 Java 開發(fā)。

3.2.3 云計算服務

云計算服務受后端軟件調(diào)度，一般是指運行時間較長或者需要持續(xù)運行的軟件服務，如視頻轉(zhuǎn)碼服務、搜索服務及爬蟲服務等。云計算服務被分成兩部分：一部分是自身系統(tǒng)提供的云計算服務，另一部分是第三方云計算服務，由第三方平臺提供。云計算架構(gòu)由監(jiān)控軟件、云計算服務軟件和通信中間件 3 部分組成。監(jiān)控軟件的作用是監(jiān)控和啟動其所在服務器上的云計算服務軟件，監(jiān)控軟件被 Supervisor 監(jiān)控；云計算服務軟件是真正執(zhí)行任務的程序；通信中間件是后端應用程序與云計算服務軟件、監(jiān)控軟件及云計算服務軟件的通信樞紐。消息中間件包含任務池、指令池、進度數(shù)據(jù)池和狀態(tài)數(shù)據(jù)池。其中，任務池與指令池可以用 RabbitMQ等消息隊列服務實現(xiàn)，進度數(shù)據(jù)池與狀態(tài)數(shù)據(jù)池可以用 Redis實現(xiàn)。

云計算服務部分的技術(shù)架構(gòu)及原理如圖2所示。其中，任務池和指令池可以用同一個 RabbitMQ 服務，進度數(shù)據(jù)池與狀態(tài)數(shù)據(jù)池可以用同一個或不同的 Re? dis服務。

3.3單點登錄設計

單點登錄是一類系統(tǒng)形態(tài)，其根據(jù)具體的使用場景會有不同的功能需求，因此單點登錄系統(tǒng)需要解決：提供統(tǒng)一的登錄和注冊入口；與其他子系統(tǒng)共享用戶登錄信息；集中管理用戶的基本信息，如賬號、密碼和昵稱等。

單點登錄系統(tǒng)的詳細架構(gòu)設計已經(jīng)有很多成熟方案，如通用的單點登錄標準（如Oauth 2.0等）、單點登錄的通用實現(xiàn)（如 Apache Oltu等）和單點登錄的第三方云服務（如 Auth0等）。單點登錄系統(tǒng)當然可以直接采用這些方案，但是在決定使用這些方案之前，一定要基于實際項目情況進行考慮。文章設計的采用 Apache Ol? tu實現(xiàn)授權(quán)認證單點登錄服務。

3.3.1接口說明

（1）/login：登錄接口；

（2）/Oauth/authorize：獲取授權(quán)碼的接口；

（3）/Oauth/getCode：授權(quán)碼接口，只是例子中后端沒有存儲登錄狀態(tài)，做了個中轉(zhuǎn)；

（4）/Oauth/ accesstoken：獲取訪問令牌。

3.3.2功能實現(xiàn)的過程

功能的實現(xiàn)過程其實是對需求進行量體裁衣的過程。如果只著眼于某些現(xiàn)成方案的名氣、使用量和大而全的功能集等表面優(yōu)點，而無視其功能的匹配度、使用難度及性能是否低下等因素，則會徒增項目成本。單點登錄功能的關(guān)鍵問題，分3步逐步完成單點登錄系統(tǒng)的架構(gòu)設計，即提供統(tǒng)一的登錄與注冊入口，與其他子系統(tǒng)共享用戶登錄信息及集中管理用戶的基本信息。單點登錄系統(tǒng)需要提供統(tǒng)一的登錄、注冊頁面及對應的后端接口。用戶登錄時，需要跳轉(zhuǎn)到統(tǒng)一的登錄和注冊頁面，登錄或注冊成功后返回登錄前的頁面。統(tǒng)一的登錄注冊入口如圖3所示。其中，登錄成功后，用戶的基本信息（用戶ID和昵稱等）需要被寫入 Session 中，在處理其他接口請求時，通過判斷 Session 中是否有用戶的基本信息來判斷用戶是否登錄。

3.3.3核心代碼

（1）獲取授權(quán)碼流程描述：

①將請求轉(zhuǎn)換成oltu的認證請求OauthAuthzRe?quest；

②從OauthAuthzRequest讀取客戶端信息（ cli?entId，redirectUrl，re? sponse_type）；

③校驗客戶端信息；

④校驗成功后生成訪問令牌；

⑤存儲訪問令牌；

⑥使用oltu的OAuthASResponse構(gòu)建oauth響應；

⑦在響應中設置好授權(quán)碼，state等信息。

核心代碼實現(xiàn)：

（2）獲取訪問令牌

流程描述：

①將請求轉(zhuǎn)換成oltu的 token 獲取請求OAuthTo?kenRequest；

②從OauthTokenRequest讀取客戶端信息；

③校驗客戶端信息；

④生成訪問令牌token；

⑤存儲訪問令牌；

⑥構(gòu)建oauth2響應oAuthResponse；

⑦返回到客戶端。

核心代碼實現(xiàn)：

（3）客戶端接口

①/requestAuth：重定向到授權(quán)請求url。

②/redirect：獲取授權(quán)碼后，處理授權(quán)碼的重定向地址。

4 系統(tǒng)安全設計

依照等保2.0的建設要求，深度優(yōu)化以及建設了部分安全防護技術(shù)，實現(xiàn)安全防御的縱深體系搭建。

4.1 系統(tǒng)安全設置

（1）登錄安全：指紋識別/身份認證/人臉識別，采用人工智能身份識別技術(shù)，可快速準確的進行登錄的驗證，保證系統(tǒng)用戶的安全；

（2）數(shù)據(jù)安全：在用戶登錄和信息傳遞過程中，系統(tǒng)采用SSL協(xié)議對用戶名和密碼的傳輸進行加密，保證關(guān)鍵信息的通信保密性。

（3）運維安全：支持 IPv6、HTTPS：Apache 服務可以同時監(jiān)聽 IPv6和IPv4地址，同時，網(wǎng)站群平臺中 IP 規(guī)則、應用防火墻等功能也均支持 IPv6功能， HTTPS為WWW服務器提供安全保護；

（4）應急演練服務：通過模擬真實環(huán)境中可能出現(xiàn)的突發(fā)事件，檢驗站群系統(tǒng)的可用性，提升應對突發(fā)事件的應急處置能力；

（5）敏感字檢測與清理：敏感詞庫與云端打通，可以動態(tài)更新詞庫，檢測與清理通過靜態(tài)文件掃描與動態(tài)數(shù)據(jù)庫掃描相結(jié)合。

4.2系統(tǒng)運維安全設計

運維安全設計共涉及4個功能模塊，即安全中心、安全防護控制中心、系統(tǒng)運維監(jiān)控和日志中心。

（1）安全中心包括安全預警中心、安全控制中心、安全分析中心、安全運維中心和全方位強化系統(tǒng)安全。

（2）安全防護控制中心包括 web應用防火墻、系統(tǒng)防火墻、主動防御控制、用戶訪問控制、內(nèi)容安全防護等。它能夠?qū)Π踩x項統(tǒng)一控制，統(tǒng)一詳情查看。通過系統(tǒng)防火墻、主動防御、WEB應用防火墻[3]、用戶訪問控制這4層安全防護體系，使網(wǎng)站群管理平臺本身具有更強的安全性。

（3）系統(tǒng)運維監(jiān)控中心主要提供管理機、發(fā)布機的系統(tǒng)運維監(jiān)控情況可視化展現(xiàn)，包括 CPU、內(nèi)存、磁盤空間等數(shù)據(jù)的圖形化展現(xiàn)。通過將監(jiān)控數(shù)據(jù)以圖表等可視化的形式展現(xiàn)出來，幫助系統(tǒng)管理員根據(jù)這些統(tǒng)計結(jié)果分析出這些設備的主要運行參數(shù)的變化規(guī)律。系統(tǒng)管理員可以實時掌控系統(tǒng)的運行狀態(tài)，檢測系統(tǒng)故障，以維護系統(tǒng)的正常運行。

（4）日志審計分析中心主要提供系統(tǒng)訪問日志、數(shù)據(jù)流量日志、站群操作日志、站點操作日志、文章操作日志、IP封禁日志、異常時間登錄記錄、敏感詞監(jiān)測日志、防篡改日志等的統(tǒng)一記錄、統(tǒng)一分析、統(tǒng)一展現(xiàn)。通過日志分析中心，管理員可方便查看所有操作記錄，以便及時發(fā)現(xiàn)系統(tǒng)存在的漏洞、入侵行為等，并為安全審計提供依據(jù)。

平臺包含多個方面的日志功能，為安全審計提供依據(jù)，保證無法刪除、修改或覆蓋審計記錄，以便及時發(fā)現(xiàn)系統(tǒng)存在的漏洞、入侵行為等。審計記錄的內(nèi)容至少包括時間日期、時間、發(fā)起者信息、類型、描述和結(jié)果等［4］。日志具有防刪除功能，可最大程度還原故障原因，避免惡意操作進行痕跡清除。

操作日志包括登入登出、用戶管理、備份恢復、安全防護、系統(tǒng)監(jiān)控、數(shù)據(jù)庫操作、系統(tǒng)設置、計劃任務等多個方面的記錄日志。

入侵防護日志包含攻擊位置、攻擊方 IP、IP 歸屬地、登錄帳號、威脅方式、發(fā)生時間等。所有的日志系統(tǒng)均會默認保存6個月以上，滿足國家相關(guān)安全需求。同時支持以Excel文件導出，使得每篇文章內(nèi)容操作都有據(jù)可查，保障站群中所有站點內(nèi)容安全。

5 結(jié)束語

從高校網(wǎng)站群建設需求出發(fā)，結(jié)合現(xiàn)在全媒體發(fā)展趨勢特點，在分析現(xiàn)有高校網(wǎng)站群功能及架構(gòu)基礎上，以甘肅開放大學為例，提出全媒體網(wǎng)站群建設總體思路，并從功能架構(gòu)、技術(shù)架構(gòu)、單點登錄、云計算服務及系統(tǒng)安全等進行相關(guān)邏輯架構(gòu)設計。此方案可有效解決校園媒體集中式、統(tǒng)一式、有效式、便捷式管理媒體內(nèi)容的審核及發(fā)布問題。它將高校校園媒體的使用、運營、管理及維護各個環(huán)節(jié)提升到一個新的應用高度。

參考文獻：

［1］黃新波.十四運會信息化系統(tǒng)大數(shù)據(jù)統(tǒng)一平臺的設計與應用［J］.大數(shù)據(jù)，2022，8（2）：158-167.

［2］鄒超.基于云計算的網(wǎng)絡操作系統(tǒng)中虛擬機動態(tài)遷移的研究與實現(xiàn)［D］.北京：北京郵電大學，2012.

［3］唐靜武.高校全媒體網(wǎng)站群平臺建設探究［J］.電子世界，2020，604（22）：40-41.

［4］華俊. 高校門戶網(wǎng)站架構(gòu)設計初探［J］. 電子測試，2015，335（23）：64-65.

［5］李曉斌.動態(tài)網(wǎng)站建設全程揭秘［M］.北京：清華大學出版社，2022.