基于两套网络的信息发布系统设计
2019-12-24◆刘剑
◆刘 剑
基于两套网络的信息发布系统设计
◆刘 剑
(第二军医大学卫生勤务学系 上海 200433)
为迎合人们对信息愈加急切的需求,政府、企业、高校等纷纷加大了信息公开与推送的力度,网站、微博、微信公众号、手机APP等各类媒介多管齐下。然而有些单位为保证其工作信息的安全可控,日常工作中通常会使用两套物理相互隔离的网络(互联网和办公局域网),存在发布流程烦琐、信息流转不畅等问题。本文利用单向网闸设计了连通两套网络的信息发布系统,实现对信息发布的统一管理和快速流转,以提高工作效率。
两套网络;信息发布;站群系统;网闸
随着我国信息化技术水平的快速发展,信息传播的速度越来越快,途径也越来越多。尤其是自媒体大行其道,可以将突发事件“秒发”到网上。信息发布作为单位一项重要的对外基础服务,其应用效果也是体现单位信息化建设水平的重要标志。不过,信息技术给人们带来便捷生活的同时,也带来了日益严重的安全挑战。迫于安全压力,很多单位不得不使用两套互相物理隔离的网络(互联网和办公局域网)进行日常办公,以确保工作信息的安全可控[1]。
1 存在的问题
使用两套互相物理隔离的网络固然能在一定程度上保护私有信息,但也不利于信息的快速流转。此类单位的信息发布过程:(1)在办公局域网计算机上起草稿件;(2)发送给上级审阅;(3)将稿件拷贝(刻录光盘)到互联网计算机;(4)在互联网信息发布系统中编辑发布。显然,在此过程中存在流程环节多、人为因素影响大等问题。当需要发布紧急通知时,将影响到信息传播的及时性。
现以某单位的网站信息发布系统为案例,简述如何通过单向安全传输设备(网闸)实现互联网与办公局域网之间安全联通、数据共享,提高信息发布的工作效率。
2 系统组成与功能要求
该系统主要由网站群系统(2套,两套网络各部署1套)和网闸设备组成。
2.1 网站群系统
网站群是指一群能够进行数据共享、呈送的相互关联的网站集合[2]。采用网站群系统,可以有效解决原先该单位各网站建设过程中存在的重复建设、软件标准不统一、信息孤立、分散部署、安全防护不全面、审批流程较长等问题。
2.1.1 统一信息管理
新系统需将单位现有门户网站、部门网站和专题网站进行整合,建成以门户网站为中心,部门网站、专题网站为基础的信息发布体系。采用统一的技术支撑平台、统一的内容编发体系,面向用户提供统一的信息服务。通过统一的信息采集、编辑、发布管理,可推送到系统内各类信息门户上发布、展现。采用模板化技术,使业务逻辑和软件界面分开,且界面的变化只需修改界面模板。系统允许第三方应用系统能平滑无缝地与之实现界面集成,方便系统的功能向纵深扩展。系统内各功能模块的界面风格必须统一,发布的信息能根据终端类型(桌面终端和移动终端)自动进行适配。支持动静结合的部署方式,站点静态页面可同时发布到一台或多台服务器上,不同站点的静态页面也可发布到不同的服务器上。当动态服务器出现故障时,静态发布页面可正常访问。在对站点模板、栏目或文章做修改后,静态页面能自动增量更新。
调研和梳理原单位信息发布流程中各项申报表单和审核流程,建立统一的信息资源目录和组织管理数据库。该数据库能自动获取各子数据库(或表)的信息,整合管理账户、文章、应用系统等对象,有效规范信息数据的登记、变更、查阅、统计等管理应用,实现在一个界面里按条件(如按作者或部门)对系统内组织机构、人员、文章和应用系统等信息进行查询、统计,减少在各系统间切换的过程。
2.1.2 统一编辑发布
(1)基本功能
系统可以新建、移动、复制及引用单篇或多篇文章。具备软删除文章的功能,可从回收站恢复被删除文章,同时保留文章的历史版本,能从历史版本中恢复文章。提供文章归档功能,可以将暂时或永久不用的文章整理到归档库中。归档的文章可还原重新使用。可以设置栏目的信息来源,自动获取某些文件夹或栏目下的文章。
(2)可视化编辑功能
系统提供了兼容所有主流浏览器的类似WORD的可视化文章编辑工具,支持文本、表格、图片(如:JPG、BMP、GIF、PNG等)、FLASH、音视频文件(如:MP3、WMA、MP4、WMV、RMVB、AVI等)等元素,信息编辑内容包括标题、作者、来源、摘要、发布时间、主题内容、外部链接、内容标签等,还可以根据需要自定义属性。
系统提供的编辑器还可以插入、上传各类文档附件(附件形式可以为Office文档、文本文档、图片、压缩文档、PDF文档等),可以直接插入多媒体文件(例如音视频文档),浏览者可以下载这些文件。编辑器还需支持以下功能:
①支持一键排版,自动设定文章段落缩进、段间距、行间距等,能去除空行、多余表格、隐藏域等;
②用户可指定文档内容的字体、字号、字体颜色、背景颜色、段落对齐方式、项目符号、段落缩进等属性、插入超级链接;
③文章编辑时,可以把网页或word文档中的内容(包括图片、表格等)直接粘贴到编辑器中,也可以另外上传;
④支持Office文档、PDF文档内容原样导入功能,导入后的格式、字体不发生变化;
⑤支持内容发布前预览功能,随时查看发布后的页面效果;
⑥支持指定文章只能被特定的浏览者访问;
⑦具有缩略图自动生成功能,可以给图片追加水印;
⑧支持组图功能,可展现多个图片的切换效果;
⑨支持将文章中任一图片或者非文章中的图片作为前台页面的展示图片。
(3)信息采集功能
系统提供专业的信息采集工具,可自动采集互联网或办公局域网上其他网站或第三方数据库信息。采集后的信息可存放在本地,也可直接引用,支持Web采集与数据库采集两种方式。可自动采集文字、图片、视频、附件等信息。引入日期变量、页码变量、数字变量、栏目变量等手段,实现全自动、多栏目、多页面采集。提供高效的更新手段,已经采集过的信息不会重复采集,更新时只获取前次采集后更新的网页。采用多线程并发采集技术,可以设置采集线程的运行方式,单次,定时,循环间隔,并提供监控与报警功能。
系统提供互联网各站点(节点)间以及与微信公众号的数据共享,网站上已发布的信息可以直接推给微信,不必重新提交审核。在网站上发起的问卷调查,也可同时在微信上进行投票;同样,在微信上发起的也可通过网页进行投票。除提供基于相同管理范围内的内容树共享模式外,还提供各站点(节点)之间信息推送、跨站发布、跨站引用等信息共享模式以及信息直推至微信公众号。
(4)信息发布功能
信息的发布均须通过网站群系统进行,在办公局域网系统完成内容编辑以及选定发布范围(含两网各类网站、微信公众号等)后提交审批(流程可定制)。审批通过后:
①推送到办公局域网的信息能立刻发布;
②推送到互联网的信息自动通过网闸设备单向传输到互联网站群系统发布;
③推送到微信平台的信息能够自动生成适合移动终端显示的格式,并导出相应格式后拷贝到微信公众号发布。
支持审核流程定制,如可以设置不同的审核流程及流程参与人员,使整个系统的信息维护管理更规范。审核流程包括文章的起草、送审(一级至多级)、审核、退回、冻结、发布等一系列操作,可以对审核不通过的进行逐级驳回,并附带驳回意见。针对一些重要的信息,可以选择一个合适的审核流程,通过审核的文章才能被正式启用。一个站点可同时存在两种新闻审核流程,不同流程中的角色权限须相互独立。
2.1.3 统一权限管理
系统提供统一身份认证接口,支持其他应用系统实现单点登录。系统支持与原单位的统一身份库及认证系统对接(身份库采用Active Directory,认证系统采用HTTP/HTTPS协议),并开放信息读取的Web Service接口。两网账号认证独立,通过单向传输数据中的身份证号来实现两网认证统一(办公局域网为标准数据库)。
提供完善的权限管理及授权模式,可对所有模块、功能、组件、第三方插件统一管理授权与鉴权,能实现细粒度的权限控制与再授权功能;授权模块提供统一授权API,新增的应用模块以及第三方插件按照统一授权API进行授权,即可将应用(插件)内部的授权功能集成到站群系统的授权模块中进行管理。支持上下级站点之间的分级授权,上级站点可以设置下级站点的管理范围及内容。
实现对站群系统内各系统中所有机构及人员的管理,并且各站点管理员可以管理本站点所属机构及人员,包括:可以新增、修改和删除部门,部门支持无限级的添加;可以新添用户,支持用户的批量导入;可以修改部门的等级和从属关系,所属人员一并进行变更;可以变更人员的机构,但不能影响其基本信息的准确性和完整性;可以创建各类人员组,组管理可在系统内全局使用;可以创建用户角色并按角色授权。
2.1.4 支持搜索引擎
使用URL Rewrite技术,使系统能突破动态网页只能被搜索引擎索引一层信息的限制,网站内的任何公开内容都可以被搜索引擎索引到。支持百度、谷歌等常用搜索引擎。
网站群系统部署后,原来单位的各网站数据可以迁移到新系统中。
2.2 网闸
网闸(GAP)是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备[3]。针对现有需求,系统既要实现审核后的公开信息能通过网闸传输到互联网上发布,又要防止互联网上病毒、木马等通过网闸侵入到办公局域网,因此需选择单向传输的网闸设备[4]。
2.2.1 硬件要求
硬件架构由内端机、外端机、专有隔离硬件三部分组成。基于专有隔离硬件进行隔离和数据交换,要求专用传输隔离部件完全自主开发且外部无法编程控制,并且配置双电源;办公局域网接口为6个10/100/1000M RJ45接口(含5个数据口和1个MAN口),1个串口,2个USB口,互联网接口为外网6个10/100/1000M RJ45接口(含5个数据口和1个HA口),1个串口,2个USB口;网络吞吐量:400Mbps,系统整体时延 2.2.2 软件要求 内置安全操作系统,能够对内外两个主机系统提供多层次、高强度的安全防护,保护其重要文件、数据不受黑客侵袭;内置病毒查杀,保证操作系统安全,保证网闸自身不受病毒、木马侵害;支持标准TCP、UDP协议,支持 HTTP、SMTP、POP3、FTP、TELNET、SQL、ORACLE、 NULL_TCP等应用协议;支持可定制应用协议检查模块。 2.2.3 安全要求 提供安全的上网访问,支持HTTP协议及代理等;访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL访问方式、时间等;内容过滤:关键字(采用自主研发的下推自动机的高效过滤算法):脚本过滤:Javascript、Applet、ActiveX等;其他过滤策略:文件类型、页面提交方式等;认证方式:支持用户名/密码认证方式;提供安全的邮件访问,支持POP3、SMTP协议;支持邮件主机地址过滤,支持邮件内容审计过滤支持发件地址、收件地址过滤;支持邮件主题过滤;支持附件传输控制;支持邮件大小控制;支持邮件病毒查杀功能;支持访问时间控制;支持用户名/密码认证方式。 2.2.4 文件传输要求 提供安全的文件传输功能,支持FTP等文件传输协议;支持用户名/IP-MAC绑定;支持对传输文件的类型过滤;支持对访问时间控制;支持指令控制;可通过专用客户端或共享方式提供安全的文件同步功能;占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描;支持windows平台、linux平台;同步传输方向可控,双向或单向;支持实时扫描传输;支持一对多或多对一传输;支持目录内子目录同步,至多支持32级目录;支持中文文件名或目录同步;支持文件类型的过滤;支持增量传输;支持传输后删除源文件;提供详细的日志审计。 2.2.5 数据库要求 提供对多种主流数据库系统(SQL、ORACLE、DB2、SYBASE等)的安全访问;无须修改数据库工作模式或服务器注册表;支持用户查询、修改、添加、删除等操作;支持全表复制、增量更新、全表更新等;支持各种实例访问;支持操作时间限制,设定特定时间访问数据库操作;基于专用客户端与网闸安全连接方式,提供多种主流数据库( SQLS、ORACLE、DB2、SYBASE、MySQL等)的单、双向数据交换;无须修改数据库表结构,不涉及代码修改及二次开发;同步粒度可以达到表内具体字段;支持多种增量同步方式,可分别定义增加、删除、修改的传输方式;支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务;支持数据一对一、一对多、多对多的单向或双向交换和同步;支持实时交换或定时同步的策略定义;采用XML技术,具有可配置性,可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义;数据库同步具有高可靠性,即使发生网络故障,已变化数据也不会丢失。 2.2.6 日志审计要求 支持系统事件、成功事件、报警事件详细审计,能生成相应的审计报告,支持私有数据报格式日志和sylsog格式日志外发;提供独立日志审计扩展模块,能够导出csv格式月报表呈现每日最大并发连接数、最大流量、总数据流量;能够审计并实时查询用户所有访问记录,审计查询内容包括访问时间、访问ip地址、访问端口、执行动作、访问资源等支持csv格式的用户访问记录导出。 2.2.7 其他要求 支持用户基于标准TCP、UDP开发的自定义协议软件;无需对自定义协议软件进行二次修改开发;可以根据需求开发新的专用协议处理过滤功能;支持访问时间控制;专用硬件管理接口,C/S客户端专有协议管理,双重密码认证,网闸管理口无IP,客户端自动查询设备管理不依赖IP地址;网闸设备支持代理模式、透明代理、路由模式三种工作模式。 随着“互联网+”概念越来越深入到社会的方方面面,高效的对外宣传工作能力和信息推送能力对于单位塑造自身形象和推动信息化建设发展而言,有着举足轻重的作用。对于保密要求较高的单位,通过单向传输的网闸设备设计连接两套网络的信息发布系统,可以在一定程度上缓解高效的信息发布需求和安全保密需求之间的矛盾,提高信息发布的工作效率。 [1]朱琪.基于双网物理隔离的信息安全系统设计研究[J]. 信阳农林学院学报,2018(3):124-128. [2]百度百科.网站群[OL],https://baike.baidu.com/item/网站群. [3]百度百科.网闸[OL],https://baike.baidu.com/item/网闸. [4]百度百科.单向网闸[OL],https://baike.baidu.com/item/单向网闸.3 总结