全媒體視域下高校網站群架構設計與研究

武永嬌 王天元 王晶

摘要：隨著微信、微博、頭條號、抖音等新媒體平臺的開設，平臺難管理、賬號難監管、發布無審核，多個平臺之間信息不互通，發聲不協同。多種媒體之間難以進行統一建設和統一管理，媒體之間數據資源難以實現互通共享，不少高校網站群出現管理難、維護難、發布難、監管難等問題。以甘肅開放大學網站群建設為例，結合現有網站群存在的統一運營發布管理難、信息安全等保標準、移動自動適應等問題，設計出適合全媒體視域下高校的網站群建設架構，為高效網站群在全媒體網站群設計運維中提供參考。

關鍵詞：全媒體；IPV6；全媒體；云計算服務

中圖分類號：TP393??????????????????????????? 文獻標志碼：A

1現有高校網站群分析

高校在“互聯網+教育”理念的驅動下，其信息化進程也隨之日益加快，學校網站成為高等教育信息化及智慧校園建設的基礎。經過多年的發展積累，以門戶網站為主站，新聞網、職能部門、二級學院網站為子站的高校網站群體系基本形成。近年來，各類新興媒體迅速崛起，高校官網，下屬部門、院系等網站建立了對應的微信公眾號、頭條號、微博等層出不窮的媒體發布渠道，全媒體視域下高校網站成為重要的宣傳平臺。

現有網站群經過前期建設、運營已初具規模，對學校的網站管理、宣傳等方面都起到了一定作用。隨著學校信息化的不斷建設，現有網站群系統在網站建設與管理、內容維護、信息發布、操作體驗、系統安全與兼容、智能[1]、移動化適配等方面存在不足，不能滿足其便捷、集成、智能化管理需求。

2高效全媒體網站群構建思路

文章提出全媒體時代高校新型網站群管理平臺建設的方案，此方案以基于頂層設計集約化為設計理念，以技術統一性、結構統一性、功能統一性、資源歸集性為設計原則，構建思路主要依據 IaaS、PaaS 和 SaaS 分層的技術架構，通過前端、后端和云計算服務分層開發，不但保證了站群平臺的統一性，而且繼續延續保留了子站的個性化功能需求。引入樹狀"權限集"的權限管理模式，從而解決了日益復雜趨勢的網站群權限層次交錯管理需求。

設計構架可以有效解決校園媒體集中式、統一式、有效式管理問題，還可以高效便捷靈活地實現媒體內容的審核及發布。它將高校校園媒體的使用、運營、管理及維護各個環節提升到一個新的水平高度。利用細粒度的權限層級管理體系、多維度的運維數據統計分析，使得管理手段更加智能便捷，運維從“被動”變“主動”，構建更高效的運維管理體系。按照 ISO27001和等級保護的規范與要求，提供更安全合理的管理措施，實現系統安全防護，保障平臺的安全性，構建一個更安全、更統一、更智能的全媒體管理平臺。從而提升甘肅省開放教育工作智能化服務水平，為推進甘肅開放大學智慧校園信息化建設奠定良好基礎。

3 高校全媒體網站群的架構設計

3.1 功能架構設計

采用目前主流的分層架構思想，基礎設施服務層（IaaS，Infrastructure as a Service）、平臺服務層（PaaS，Plat?form as a Service）和軟件服務層（SaaS，Software as a Ser?vice）［2，5］。

在 IaaS、PaaS 和 SaaS 分層下技術架構下的網站群功能架構如圖1所示。IaaS層主要涉及到基礎環境，主要包括操作系統OS、硬件環境、容災備份、數據存儲、虛擬環境、網絡服務及相關基礎中間件等；PaaS層主要涉及到運行服務，主要服務包括CDN服務、負載均衡、共享文件、消息隊列、關系/非關系型數據庫、服務器監控、網站管理、安全防護、運維保障、智能檢測及相關智能運維服務等；SaaS層是需要重點開發的部分，主要涉及前端、后端和云計算 3 層架構相關應用程序及接口開發，主要包括網頁（PC、移動手機、后臺管理）、二級網站子系統、用戶子系統、網站內容管理子系統、資源子系統、發布子系統、統計可視化子系統、視頻管理子系統、全媒體集合端（微博、微信、抖音、頭條號等）接口開發及內容發布管理等子系統，傳統網站和新媒體在一套平臺上實現統一的規范管理。

3.2 技術架構設計

3.2.1 前端設計

前端設計是基于當前最新 HTML5+CSS3+JavaS? cript+jQuery前端開發技術，融入應用和數據分離、非關系型數據庫和關系型數據庫并存的網站技術架構設計理念，并且結合現有網絡運營環境混合云特點（以甘肅開放大學為例），設計架構實現了云計算服務集群化、分布式及微服務。

前端指的是視圖層，其作用是交互和展示，一般指的是網頁、網站系統 App 或 PC 軟件，按照分層設計思路，前端部分的基本結構由 Web 服務器軟件（Apache、 Nginx 等）和網頁資源文件2部分組成。前端架構重點解決的問題：CSS 樣式、JavaScript 腳本規整化，避免破窗效應；網頁的適配性和兼容性；流行組件化如Boot? strap 盡可能模塊化。

3.2.2 后端設計

后端指的是業務處理層，其作用是處理前端發送的請求，并且在處理后返回給前端。如數據庫操作和云計算任務調度等。后端開發語言主要有 PHP、Py? thon、Java 及 C#等。文章采用運行效率高且具有更高的包管理和配置方式的 Spring Boot 的 Java 開發。

3.2.3 云計算服務

云計算服務受后端軟件調度，一般是指運行時間較長或者需要持續運行的軟件服務，如視頻轉碼服務、搜索服務及爬蟲服務等。云計算服務被分成兩部分：一部分是自身系統提供的云計算服務，另一部分是第三方云計算服務，由第三方平臺提供。云計算架構由監控軟件、云計算服務軟件和通信中間件 3 部分組成。監控軟件的作用是監控和啟動其所在服務器上的云計算服務軟件，監控軟件被 Supervisor 監控；云計算服務軟件是真正執行任務的程序；通信中間件是后端應用程序與云計算服務軟件、監控軟件及云計算服務軟件的通信樞紐。消息中間件包含任務池、指令池、進度數據池和狀態數據池。其中，任務池與指令池可以用 RabbitMQ等消息隊列服務實現，進度數據池與狀態數據池可以用 Redis實現。

云計算服務部分的技術架構及原理如圖2所示。其中，任務池和指令池可以用同一個 RabbitMQ 服務，進度數據池與狀態數據池可以用同一個或不同的 Re? dis服務。

3.3單點登錄設計

單點登錄是一類系統形態，其根據具體的使用場景會有不同的功能需求，因此單點登錄系統需要解決：提供統一的登錄和注冊入口；與其他子系統共享用戶登錄信息；集中管理用戶的基本信息，如賬號、密碼和昵稱等。

單點登錄系統的詳細架構設計已經有很多成熟方案，如通用的單點登錄標準（如Oauth 2.0等）、單點登錄的通用實現（如 Apache Oltu等）和單點登錄的第三方云服務（如 Auth0等）。單點登錄系統當然可以直接采用這些方案，但是在決定使用這些方案之前，一定要基于實際項目情況進行考慮。文章設計的采用 Apache Ol? tu實現授權認證單點登錄服務。

3.3.1接口說明

（1）/login：登錄接口；

（2）/Oauth/authorize：獲取授權碼的接口；

（3）/Oauth/getCode：授權碼接口，只是例子中后端沒有存儲登錄狀態，做了個中轉；

（4）/Oauth/ accesstoken：獲取訪問令牌。

3.3.2功能實現的過程

功能的實現過程其實是對需求進行量體裁衣的過程。如果只著眼于某些現成方案的名氣、使用量和大而全的功能集等表面優點，而無視其功能的匹配度、使用難度及性能是否低下等因素，則會徒增項目成本。單點登錄功能的關鍵問題，分3步逐步完成單點登錄系統的架構設計，即提供統一的登錄與注冊入口，與其他子系統共享用戶登錄信息及集中管理用戶的基本信息。單點登錄系統需要提供統一的登錄、注冊頁面及對應的后端接口。用戶登錄時，需要跳轉到統一的登錄和注冊頁面，登錄或注冊成功后返回登錄前的頁面。統一的登錄注冊入口如圖3所示。其中，登錄成功后，用戶的基本信息（用戶ID和昵稱等）需要被寫入 Session 中，在處理其他接口請求時，通過判斷 Session 中是否有用戶的基本信息來判斷用戶是否登錄。

3.3.3核心代碼

（1）獲取授權碼流程描述：

①將請求轉換成oltu的認證請求OauthAuthzRe?quest；

②從OauthAuthzRequest讀取客戶端信息（ cli?entId，redirectUrl，re? sponse_type）；

③校驗客戶端信息；

④校驗成功后生成訪問令牌；

⑤存儲訪問令牌；

⑥使用oltu的OAuthASResponse構建oauth響應；

⑦在響應中設置好授權碼，state等信息。

核心代碼實現：

（2）獲取訪問令牌

流程描述：

①將請求轉換成oltu的 token 獲取請求OAuthTo?kenRequest；

②從OauthTokenRequest讀取客戶端信息；

③校驗客戶端信息；

④生成訪問令牌token；

⑤存儲訪問令牌；

⑥構建oauth2響應oAuthResponse；

⑦返回到客戶端。

核心代碼實現：

（3）客戶端接口

①/requestAuth：重定向到授權請求url。

②/redirect：獲取授權碼后，處理授權碼的重定向地址。

4 系統安全設計

依照等保2.0的建設要求，深度優化以及建設了部分安全防護技術，實現安全防御的縱深體系搭建。

4.1 系統安全設置

（1）登錄安全：指紋識別/身份認證/人臉識別，采用人工智能身份識別技術，可快速準確的進行登錄的驗證，保證系統用戶的安全；

（2）數據安全：在用戶登錄和信息傳遞過程中，系統采用SSL協議對用戶名和密碼的傳輸進行加密，保證關鍵信息的通信保密性。

（3）運維安全：支持 IPv6、HTTPS：Apache 服務可以同時監聽 IPv6和IPv4地址，同時，網站群平臺中 IP 規則、應用防火墻等功能也均支持 IPv6功能， HTTPS為WWW服務器提供安全保護；

（4）應急演練服務：通過模擬真實環境中可能出現的突發事件，檢驗站群系統的可用性，提升應對突發事件的應急處置能力；

（5）敏感字檢測與清理：敏感詞庫與云端打通，可以動態更新詞庫，檢測與清理通過靜態文件掃描與動態數據庫掃描相結合。

4.2系統運維安全設計

運維安全設計共涉及4個功能模塊，即安全中心、安全防護控制中心、系統運維監控和日志中心。

（1）安全中心包括安全預警中心、安全控制中心、安全分析中心、安全運維中心和全方位強化系統安全。

（2）安全防護控制中心包括 web應用防火墻、系統防火墻、主動防御控制、用戶訪問控制、內容安全防護等。它能夠對安全選項統一控制，統一詳情查看。通過系統防火墻、主動防御、WEB應用防火墻[3]、用戶訪問控制這4層安全防護體系，使網站群管理平臺本身具有更強的安全性。

（3）系統運維監控中心主要提供管理機、發布機的系統運維監控情況可視化展現，包括 CPU、內存、磁盤空間等數據的圖形化展現。通過將監控數據以圖表等可視化的形式展現出來，幫助系統管理員根據這些統計結果分析出這些設備的主要運行參數的變化規律。系統管理員可以實時掌控系統的運行狀態，檢測系統故障，以維護系統的正常運行。

（4）日志審計分析中心主要提供系統訪問日志、數據流量日志、站群操作日志、站點操作日志、文章操作日志、IP封禁日志、異常時間登錄記錄、敏感詞監測日志、防篡改日志等的統一記錄、統一分析、統一展現。通過日志分析中心，管理員可方便查看所有操作記錄，以便及時發現系統存在的漏洞、入侵行為等，并為安全審計提供依據。

平臺包含多個方面的日志功能，為安全審計提供依據，保證無法刪除、修改或覆蓋審計記錄，以便及時發現系統存在的漏洞、入侵行為等。審計記錄的內容至少包括時間日期、時間、發起者信息、類型、描述和結果等［4］。日志具有防刪除功能，可最大程度還原故障原因，避免惡意操作進行痕跡清除。

操作日志包括登入登出、用戶管理、備份恢復、安全防護、系統監控、數據庫操作、系統設置、計劃任務等多個方面的記錄日志。

入侵防護日志包含攻擊位置、攻擊方 IP、IP 歸屬地、登錄帳號、威脅方式、發生時間等。所有的日志系統均會默認保存6個月以上，滿足國家相關安全需求。同時支持以Excel文件導出，使得每篇文章內容操作都有據可查，保障站群中所有站點內容安全。

5 結束語

從高校網站群建設需求出發，結合現在全媒體發展趨勢特點，在分析現有高校網站群功能及架構基礎上，以甘肅開放大學為例，提出全媒體網站群建設總體思路，并從功能架構、技術架構、單點登錄、云計算服務及系統安全等進行相關邏輯架構設計。此方案可有效解決校園媒體集中式、統一式、有效式、便捷式管理媒體內容的審核及發布問題。它將高校校園媒體的使用、運營、管理及維護各個環節提升到一個新的應用高度。

參考文獻：

［1］黃新波.十四運會信息化系統大數據統一平臺的設計與應用［J］.大數據，2022，8（2）：158-167.

［2］鄒超.基于云計算的網絡操作系統中虛擬機動態遷移的研究與實現［D］.北京：北京郵電大學，2012.

［3］唐靜武.高校全媒體網站群平臺建設探究［J］.電子世界，2020，604（22）：40-41.

［4］華俊. 高校門戶網站架構設計初探［J］. 電子測試，2015，335（23）：64-65.

［5］李曉斌.動態網站建設全程揭秘［M］.北京：清華大學出版社，2022.