移動采編系統(tǒng)的新轉(zhuǎn)變及安全保障

■文/徐穎 林曄

?

移動采編系統(tǒng)的新轉(zhuǎn)變及安全保障

■文/徐穎 林曄

摘 要：本文主要針對近年來媒體應(yīng)用的網(wǎng)絡(luò)化，及傳統(tǒng)媒體人全員轉(zhuǎn)型的現(xiàn)象，提出相應(yīng)的應(yīng)用解決方案。著重介紹，在采編人員工作方式逐漸變成以移動發(fā)稿為主，同時既要追求速度也要追求質(zhì)量的情況下，為了滿足需求、保障安全，在應(yīng)用技術(shù)上所作的支持。

關(guān)鍵詞：移動發(fā)稿；微信企業(yè)號；手機(jī)客戶端；Citrix XenApp；網(wǎng)絡(luò)安全；Mac操作系統(tǒng)

互聯(lián)網(wǎng)媒體的日益崛起，傳統(tǒng)媒體的日益衰退，是近幾年所有傳統(tǒng)媒體人越來越重視的問題。從新聞網(wǎng)站到各種各樣移動新聞客戶端的出現(xiàn)，從微博到微信自媒體，可以獲取新聞的渠道愈加寬廣，傳統(tǒng)媒體想要在如今的市場上屹立不倒，必然要適應(yīng)當(dāng)前受眾獲取新聞的方式，并隨之加以轉(zhuǎn)變。

這不僅僅是指對外新聞發(fā)布的方式，也包括媒體人內(nèi)部流程的自我轉(zhuǎn)變。也就是意味著，傳統(tǒng)媒體在適應(yīng)發(fā)展互聯(lián)網(wǎng)應(yīng)用模式的同時，傳統(tǒng)媒體人也必須跟著一起進(jìn)步，在做好紙媒等傳統(tǒng)媒體工作的同時，也要了解并學(xué)會適應(yīng)網(wǎng)絡(luò)新聞的節(jié)奏。歸根結(jié)底，也就是要“快”。

從技術(shù)上來說，就是怎樣在記者們?nèi)蝿?wù)愈加繁重的現(xiàn)下，對他們工作提供最好的支持，這也是媒體技術(shù)人員不斷思考和嘗試的問題。

隨著這兩年4G網(wǎng)絡(luò)的迅速發(fā)展，媒體記者對于在外發(fā)稿的要求相對于以往更多更高，既有對系統(tǒng)功能上的要求，也有對發(fā)稿設(shè)備多樣化的要求。因此，這兩年我們對各種新技術(shù)不斷研究和嘗試，終于形成了一套能滿足記者所有在外發(fā)稿需求的遠(yuǎn)程采編系統(tǒng)，包括：微信全媒體采編系統(tǒng)和虛擬化應(yīng)用全媒體采編系統(tǒng)。

1 基于微信企業(yè)號的全媒體采編系統(tǒng)

通常，記者在外采訪當(dāng)然都希望能輕身上陣，當(dāng)獲得第一手新聞后，一定希望能馬上發(fā)稿，搶到時間優(yōu)勢。而由于傳統(tǒng)媒體內(nèi)容發(fā)布?xì)v來有三審流程的約束，一篇新聞必須經(jīng)過幾道程序才能發(fā)布。按照以往依賴電腦的工作流程來看，記者、責(zé)編、總編，其中任何一個環(huán)節(jié)若當(dāng)時身邊沒有電腦，一定會對新聞時效性造成不小影響，明顯這已經(jīng)不符合現(xiàn)在的新聞需求了。但是，有一樣?xùn)|西一定會在身邊，就是手機(jī)或者ipad之類的平板，而這些移動設(shè)備上一般都會安裝微信。因此，如果能在微信上就完成所有的審發(fā)稿流程，一定是最快捷的新聞審核工作方式。

1.1微信企業(yè)號與全媒體采編的融合

2015年初，微信發(fā)布了企業(yè)號。微信企業(yè)號為企業(yè)客戶提供了移動應(yīng)用入口，此開發(fā)接口為企業(yè)應(yīng)用提供了兩種調(diào)用模式：主動調(diào)用和回調(diào)模式，以便企業(yè)應(yīng)用和微信企業(yè)號之間發(fā)送消息或進(jìn)行數(shù)據(jù)交互。首先，對兩種模式做一下介紹：

主動調(diào)用：是指企業(yè)應(yīng)用主動調(diào)用企業(yè)號后臺所提供的各種接口以管理或訪問企業(yè)號后臺的資源或給企業(yè)號成員發(fā)消息。

回調(diào)模式：企業(yè)既可以主動調(diào)用企業(yè)號接口，還可以接收成員的消息或事件。在回調(diào)模式下，企業(yè)號在回調(diào)企業(yè)應(yīng)用URL時，會對消息體本身做加密，以XML格式傳遞到企業(yè)應(yīng)用的URL上；企業(yè)應(yīng)用在被動響應(yīng)時，也需要對數(shù)據(jù)加密，以XML格式返回給微信?；卣{(diào)模式支持文本、圖片、語音、視頻、圖文等格式。

由此可見，這兩種模式更適合微信全媒體采編的是回調(diào)模式，也就是我們采用的模式。在微信企業(yè)號發(fā)布之初，我們就開始研究其與全媒體平臺結(jié)合的可行性，隨著對微信企業(yè)號接口的研究，經(jīng)過一段時間的開發(fā)，通過啟用微信企業(yè)號接口的回調(diào)模式來實(shí)現(xiàn)采編數(shù)據(jù)交互，現(xiàn)已基本做到了微信全媒體與電腦端全媒體平臺的功能及數(shù)據(jù)保持一致。

企業(yè)號中的每個應(yīng)用最多可以有15個菜單，一級菜單最多為3個，二級菜單最多為5個。當(dāng)然，要設(shè)置自定義菜單，企業(yè)應(yīng)用也必須是回調(diào)模式。

我們搭建的微信全媒體應(yīng)用，利用這15個菜單涵蓋了全媒體平臺中的最主要功能，每個菜單代表一個全媒體功能模塊，包括新建文字、圖片、音視頻；點(diǎn)對點(diǎn)傳稿；審核簽發(fā)；版面瀏覽；內(nèi)部公告與交流等，基本能完全替代在PC端上的主要采編工作。讓記者編輯在手機(jī)上就能完成主要的發(fā)稿審核流程，就如同在電腦前一樣。

而在所有流程中，記者最關(guān)心的稿件流轉(zhuǎn)信息和稿件修改痕跡功能，在微信全媒體中也得到了完整保留。修改痕跡功能，采用不同于PC端的鍵盤抓取的方式，利用對比不同時間的稿件版本，通過對于xml里每次修改的作者、時間、內(nèi)容的比較，得出修改人在什么時間做了什么改動。稿件流轉(zhuǎn)信息，不論是微信端還是PC端的操作都是直接寫入后臺數(shù)據(jù)庫合并記錄的，因此，在PC端和微信端查看稿件時看到的流程記錄都是一樣的，這樣，記者就能隨時隨地通過手機(jī)查看稿件現(xiàn)狀。

下圖展示了微信自定義菜單效果圖：

圖1　微信自定義菜單界面

最終在微信中的展示效果如下：

圖2　手機(jī)展示效果圖

1.2微信采編系統(tǒng)的安全防護(hù)

我們?yōu)槲⑿湃襟w單獨(dú)搭建了一套適用于微信企業(yè)號的對外訪問應(yīng)用，擁有獨(dú)立于內(nèi)部全媒體平臺的軟硬件環(huán)境。向來是在內(nèi)部局域網(wǎng)內(nèi)運(yùn)行的、對于數(shù)據(jù)安全要求極高的采編系統(tǒng)，現(xiàn)在要直接暴露在外部英特網(wǎng)上，這樣一來安全工作就顯得尤為重要。

我們的安全防護(hù)工作主要可以從兩方面來實(shí)現(xiàn)：

1.2.1微信企業(yè)號認(rèn)證接口

微信企業(yè)號提供了身份驗(yàn)證接口，包含OAuth驗(yàn)證接口和userid與openid互換接口，這里我們采用的OAuth驗(yàn)證接口，引用微信官方對OAuth驗(yàn)證接口定義，如下：

●企業(yè)應(yīng)用中的URL鏈接直接填寫企業(yè)自己的頁面地址。

●成員跳轉(zhuǎn)到企業(yè)頁面時，企業(yè)校驗(yàn)是否有代表成員身份的cookie，此cookie由企業(yè)生成。

●如果沒有獲取到cookie，重定向到OAuth驗(yàn)證鏈接，獲取成員身份后，由企業(yè)生成代表成員身份的cookie。

●根據(jù)cookie獲取成員身份，進(jìn)入相應(yīng)的頁面。

如上所述，企業(yè)用戶首先得是微信企業(yè)號的成員，由管理員先將其微信號加入到微信企業(yè)號中，之后用戶才能成功關(guān)注此微信企業(yè)號。關(guān)注后能否看到企業(yè)應(yīng)用，如：微信全媒體，還需要管理員賦予他相應(yīng)權(quán)限。如果擁有訪問企業(yè)應(yīng)用的權(quán)限，還需要在企業(yè)應(yīng)用中已有代表用戶身份的cookie信息，填寫此身份信息與用戶微信號綁定，此后才能正常訪問所有內(nèi)部數(shù)據(jù)，并根據(jù)企業(yè)應(yīng)用中的cookie身份信息所具有的權(quán)限對數(shù)據(jù)進(jìn)行交互。如此，多了一層微信號的身份限制，即使擁有內(nèi)部賬號也無法隨意登錄訪問全媒體平臺。

1.2.2企業(yè)應(yīng)用服務(wù)器的安全防護(hù)

微信企業(yè)應(yīng)用服務(wù)器需要提供對外訪問URL，位于Internet上，存在太多的被攻擊可能，例如病毒攻擊、黑客攻擊。對于外部攻擊的防護(hù)，我們可以從兩方面進(jìn)行。

服務(wù)器本身的防護(hù)措施：首先開啟系統(tǒng)本身的所有防火墻策略，最小限度地單獨(dú)設(shè)定需要被微信企業(yè)號訪問的入站出站策略；安裝穩(wěn)定可靠的防病毒軟件；為服務(wù)器配備一臺備份服務(wù)器，平時不對外發(fā)布，只做以防萬一。

在服務(wù)器和Internet之間、外網(wǎng)服務(wù)器和內(nèi)部服務(wù)器之間增加安全設(shè)備，功能完善性能強(qiáng)大的防火墻，既能主動攔截一些我們熟知的外部攻擊，也能隨我們的需要而設(shè)定對外或?qū)?nèi)的訪問策略。例如，我們可以指定微信企業(yè)號能訪問URL的某個端口，或指定內(nèi)外網(wǎng)服務(wù)器之間相互能訪問的具體應(yīng)用。

圖3　企業(yè)應(yīng)用安全結(jié)構(gòu)圖

1.3 手機(jī)客戶端與微信的比較

在微信企業(yè)號啟用之前，我們使用的是手機(jī)客戶端形式的移動端全媒體采編。不同于微信采編是基于.net開發(fā)的微信網(wǎng)頁版應(yīng)用，和BS結(jié)構(gòu)的內(nèi)部全媒體平臺功能實(shí)現(xiàn)方式大同小異，相對來說能實(shí)現(xiàn)的功能比較多，手機(jī)客戶端的開發(fā)需要兼顧安卓、IOS的不同版本，并且所有功能都需要單獨(dú)開發(fā)實(shí)現(xiàn)，費(fèi)時又費(fèi)力。

同時在用戶體驗(yàn)上來說，手機(jī)客戶端每次更新一個功能或解決一個bug，都需要重新下載安裝，具體使用過程中用戶會覺得比較麻煩。在功能性上，手機(jī)客戶端能實(shí)現(xiàn)的功能有限，并不能滿足用戶的全部需求，無法完成一個完整的審稿流程。

另外，由于手機(jī)客戶端相對開放，只要手機(jī)上有安裝此客戶端，理論上來說只要獲得系統(tǒng)賬號就能登錄訪問應(yīng)用，相較于微信采編不夠安全。

表1　兩種移動應(yīng)用對比表

2.基于虛擬化及數(shù)據(jù)安全的全媒體采編系統(tǒng)

雖然已經(jīng)有了手機(jī)移動端的微信全媒體采編，但在外寫長篇稿件或大量編輯稿件的時候，用戶還是喜歡使用PC電腦。以往使用的VPN +手機(jī)短信遠(yuǎn)程系統(tǒng)相當(dāng)于把家用或便攜式電腦連接進(jìn)內(nèi)部網(wǎng)絡(luò)，以內(nèi)部PC的角色來訪問全媒體采編，這個方式在近年逐步展現(xiàn)出了各種各樣的問題。

●不支持蘋果MAC系統(tǒng)，但確有越來越多的用戶開始購買使用蘋果筆記本。

●只支持IE，其他瀏覽器都不支持，而隨著微軟瀏覽器升級，最新版本的IE也已經(jīng)無法正常使用全部功能。

●個人電腦極不可控，若本身系統(tǒng)出現(xiàn)問題，將影響正常的采編工作進(jìn)行。

●由于之前采用的是短信驗(yàn)證方式，和基站、運(yùn)營商、短信發(fā)送系統(tǒng)相關(guān)，會有延遲或無法發(fā)送的情況存在。

因此，為了解決這些問題，我們經(jīng)過調(diào)研測試一段時間后，確定Citrix虛擬化應(yīng)用能解決以上所有問題，并且有較好的用戶體驗(yàn)。

2.1虛擬化應(yīng)用介紹

不同于之前的遠(yuǎn)程系統(tǒng)，所有需要被遠(yuǎn)程訪問的應(yīng)用，都需要被安裝在用戶PC端上，虛擬化應(yīng)用統(tǒng)一在我們數(shù)據(jù)中心的服務(wù)器上管理發(fā)布。當(dāng)用戶發(fā)起遠(yuǎn)程訪問請求，Citrix通過其專有ICA協(xié)議連接運(yùn)行在服務(wù)器上的虛擬應(yīng)用和遠(yuǎn)程客戶端設(shè)備，并發(fā)布相應(yīng)應(yīng)用。在我們用戶看起來，好像是在本機(jī)打開了應(yīng)用系統(tǒng)，事實(shí)上系統(tǒng)并沒有在客戶端設(shè)備上運(yùn)行，而是打開了服務(wù)器上預(yù)先配置好的虛擬應(yīng)用。這個功能由ICA協(xié)議將應(yīng)用進(jìn)程數(shù)據(jù)重定向來實(shí)現(xiàn)，同時將數(shù)據(jù)交換進(jìn)行壓縮和加密，每個連接將只占用十幾K的帶寬，能減輕對我們服務(wù)器和網(wǎng)絡(luò)帶寬的壓力。

通過對遠(yuǎn)程應(yīng)用的集中部署，我們可以有效地根據(jù)用戶需要來限定訪問內(nèi)容。通過與預(yù)控的結(jié)合，統(tǒng)一管理用戶的登陸賬號，同時結(jié)合預(yù)先設(shè)置好的AD組策略，確保用戶對應(yīng)用和文檔的訪問權(quán)限。不論內(nèi)網(wǎng)用戶還是外網(wǎng)用戶接入之后，都可進(jìn)行嚴(yán)格的權(quán)限控制。根據(jù)不同的接入用戶，提供相應(yīng)的訪問策略，合理地分配應(yīng)用資源。

虛擬化應(yīng)用可以提供三種發(fā)布方式，恰好能滿足我們的需求：

●BS發(fā)布方式，在服務(wù)端發(fā)布相應(yīng)的瀏覽器URL鏈接（比如：我們BS結(jié)構(gòu)的全媒體采編，可預(yù)先在服務(wù)器上安裝所需插件）。同時可禁用IE地址欄，防止訪問其他網(wǎng)站，保護(hù)服務(wù)器的安全。

●CS 發(fā)布方式，在服務(wù)器安裝相應(yīng)的應(yīng)用后，發(fā)布執(zhí)行程序即可，用戶登錄后可直接使用。如：OFFICE。

●文檔發(fā)布方式，在服務(wù)器端指定發(fā)布一個用戶專用（例如：我的文檔），用戶產(chǎn)生的所有文件都會存儲在此目錄中，即使換了設(shè)備也能隨時登陸訪問。

2.2虛擬化應(yīng)用的優(yōu)勢

2.2.1高效統(tǒng)一管理

對于虛擬化應(yīng)用的部署、配置和維護(hù)，在初始部署完成后，日后可統(tǒng)一使用其鏡像管理功能對服務(wù)器進(jìn)行管理，在主鏡像服務(wù)器上發(fā)布更新和升級程序后，其他子服務(wù)器只要重啟就可獲得這些更新程序。目前，我們利用數(shù)據(jù)中心原有的虛擬化環(huán)境，僅用兩臺實(shí)體服務(wù)器就完成了初始虛擬化部署，所有的鏡像服務(wù)器分別安裝在這兩臺實(shí)體機(jī)上。以后，我們還可根據(jù)實(shí)際應(yīng)用使用情況，人員增加情況來按需擴(kuò)展子服務(wù)器數(shù)量。服務(wù)器擴(kuò)展也只需利用鏡像功能一鍵部署，大大簡化了應(yīng)用管理，提高了我們的工作效率。

由于虛擬化應(yīng)用管理為每種應(yīng)用配備了一個程序包，部署在所有子服務(wù)器上，當(dāng)用戶發(fā)出請求時，子服務(wù)器就會將應(yīng)用程序交付到用戶PC上，我們也不再需要為每臺用戶PC端安裝部署應(yīng)用軟件，直接請求訪問即可。

2.2.2不受設(shè)備限制

目前，我們的多數(shù)應(yīng)用是基于Windows IE開發(fā)的，Mac、Linux系統(tǒng)，以及google、safari等不同于IE結(jié)構(gòu)的瀏覽器，是無法使用這些應(yīng)用的，甚至不同版本的IE本身也會受到限制。而應(yīng)用虛擬化技術(shù)這種將各種應(yīng)用部署在服務(wù)器上的方式，使應(yīng)用完全在服務(wù)器上運(yùn)行，用戶連接到運(yùn)行應(yīng)用的遠(yuǎn)程會話即可，不再受到用戶端操作系統(tǒng)和瀏覽器的限制，明顯優(yōu)于傳統(tǒng)的遠(yuǎn)程應(yīng)用解決方案。而且，使用iPhone、iPad、Windows Mobile等移動設(shè)備的用戶也可訪問XenApp交付的應(yīng)用，任何設(shè)備、任何地方都可使用這套遠(yuǎn)程系統(tǒng)來訪問內(nèi)部應(yīng)用。

2.2.3數(shù)據(jù)安全保障

虛擬化應(yīng)用的數(shù)據(jù)全部保存在數(shù)據(jù)中心的服務(wù)器或存儲設(shè)備上，只有用戶登陸后的少量數(shù)據(jù)修改經(jīng)加密后通過網(wǎng)絡(luò)傳輸。

我們時常會碰到用戶在外使用遠(yuǎn)程編寫稿件的時候，突然遭遇斷網(wǎng)的情況，只能依靠全媒體采編本身的定時保存功能取回部分內(nèi)容?，F(xiàn)在，由于虛擬化應(yīng)用將所有修改的數(shù)據(jù)都保存在數(shù)據(jù)中心，當(dāng)網(wǎng)絡(luò)中斷時，就不會造成數(shù)據(jù)丟失。當(dāng)用戶重新建立遠(yuǎn)程應(yīng)用連接后，將會看到斷網(wǎng)之前的屏幕狀態(tài)和完整的數(shù)據(jù)。

2.3虛擬化應(yīng)用安全訪問

遠(yuǎn)程應(yīng)用的安全一直都是我們相當(dāng)重視的方面，因此，我們?yōu)樘摂M化應(yīng)用部署了NetScaler設(shè)備和RSA認(rèn)證系統(tǒng)。

2.3.1NetScaler安全設(shè)備

NetScaler是Citrix虛擬應(yīng)用系統(tǒng)的安全層，是對外提供應(yīng)用交付業(yè)務(wù)的安全設(shè)備，擁有流量管理功能和集成應(yīng)用防火墻功能，部署在應(yīng)用服務(wù)器前端，可提供高速負(fù)載均衡、內(nèi)容交換、數(shù)據(jù)壓縮、內(nèi)容緩存、網(wǎng)絡(luò)優(yōu)化等功能。

我們將NetScaler部署在了XenApp之前，外部防火墻之后，起到雙重防護(hù)作用。外部防火墻上可設(shè)置合適的對外訪問策略，用來進(jìn)行訪問控制。而NetScaler本身也擁有DoS/DDoS防御功能抵御外部攻擊，更重要的是它可智能地將用戶請求和數(shù)據(jù)內(nèi)容分配到恰當(dāng)?shù)姆?wù)器，而用戶經(jīng)常請求的內(nèi)容可經(jīng)由存儲在設(shè)備中的數(shù)據(jù)緩存直接交付，提高用戶體驗(yàn)。內(nèi)置的AAA認(rèn)證功能，可阻止未經(jīng)授權(quán)的用戶登錄訪問，來保護(hù)虛擬化應(yīng)用的數(shù)據(jù)安全，實(shí)現(xiàn)安全的遠(yuǎn)程訪問。

圖4　NetScaler安全方案結(jié)構(gòu)圖

2.3.2RSA SecurID雙因素認(rèn)證系統(tǒng)

我們在虛擬化應(yīng)用中使用了RSA SecurID雙因素認(rèn)證系統(tǒng)，通過域控賬戶和RSA認(rèn)證結(jié)合方式來實(shí)現(xiàn)安全登錄，每當(dāng)用戶發(fā)起請求登陸Citrix遠(yuǎn)程系統(tǒng)，將會要求其提供域賬號和RSA令牌碼，來確保此用戶的合法性。RSA加密算法每分鐘會生成一串新的8位數(shù)字，只有服務(wù)器端和用戶端之間的密鑰是同一個，才被認(rèn)為是合法的。認(rèn)證令牌有硬件和軟件兩種形式，就硬件來說，是一個類似U盤大小的設(shè)備，擁有內(nèi)置芯片和一個8位數(shù)字的屏幕；軟件令牌是一個安裝在手機(jī)上的應(yīng)用程序，加載由服務(wù)器生成的令牌文件，可顯示8位數(shù)字的令牌碼，以及令牌碼的有效時間。

圖5　手機(jī)軟件令牌圖

如果有人獲得某個員工的賬號，試圖登陸遠(yuǎn)程虛擬應(yīng)用，雙因素認(rèn)證會要求提供正確的令牌碼，確保系統(tǒng)不會被非法侵入。因此，只要RSA令牌沒有遺失，賬戶的安全依舊可以保證。同時，我們會要求用戶如果遺失了令牌，必須及時向管理員報(bào)失，以免造成重大損失。

登錄過程描述如下：

用戶終端設(shè)備先向陸Citrix 遠(yuǎn)程應(yīng)用發(fā)送驗(yàn)證請求，將被要求輸入AD賬號和密碼，以及與賬號綁定的RSA令牌碼，向認(rèn)證系統(tǒng)進(jìn)行驗(yàn)證之后得到合法的返還結(jié)果，才會交付桌面給終端設(shè)備，用戶即能對應(yīng)用進(jìn)行訪問。

3. 總結(jié)

至今，這種工作模式已經(jīng)運(yùn)行了一年有余，用戶長時間以來深受困擾的問題大部分得以解決。

之前，記者遇到突發(fā)新聞，一定會帶著笨重的筆記本電腦出去采訪，現(xiàn)在可以隨時隨地通過隨身的移動設(shè)備發(fā)稿；責(zé)任編輯也不用等候在電腦前，只要在有網(wǎng)絡(luò)的地方即可隨時查看并編輯簽發(fā)稿件。

以前，為了能在外使用內(nèi)部采編系統(tǒng)發(fā)稿編稿，很多編輯記者要去專門配置一臺能夠符合采編系統(tǒng)要求的PC?，F(xiàn)在，任意操作系統(tǒng)，不管是Windows還是Mac系統(tǒng)；任意瀏覽器版本，不管是IE還是Google、Safari都能得到全面支持。管理員也不需要再費(fèi)時費(fèi)力地維護(hù)客戶端。

（作者單位：上海報(bào)業(yè)集團(tuán)）

中圖分類號：F49

文獻(xiàn)標(biāo)識碼：A