■文/徐穎 林曄

?

移動(dòng)采編系統(tǒng)的新轉(zhuǎn)變及安全保障

■文/徐穎 林曄

摘 要：本文主要針對(duì)近年來(lái)媒體應(yīng)用的網(wǎng)絡(luò)化，及傳統(tǒng)媒體人全員轉(zhuǎn)型的現(xiàn)象，提出相應(yīng)的應(yīng)用解決方案。著重介紹，在采編人員工作方式逐漸變成以移動(dòng)發(fā)稿為主，同時(shí)既要追求速度也要追求質(zhì)量的情況下，為了滿(mǎn)足需求、保障安全，在應(yīng)用技術(shù)上所作的支持。

關(guān)鍵詞：移動(dòng)發(fā)稿；微信企業(yè)號(hào)；手機(jī)客戶(hù)端；Citrix XenApp；網(wǎng)絡(luò)安全；Mac操作系統(tǒng)

互聯(lián)網(wǎng)媒體的日益崛起，傳統(tǒng)媒體的日益衰退，是近幾年所有傳統(tǒng)媒體人越來(lái)越重視的問(wèn)題。從新聞網(wǎng)站到各種各樣移動(dòng)新聞客戶(hù)端的出現(xiàn)，從微博到微信自媒體，可以獲取新聞的渠道愈加寬廣，傳統(tǒng)媒體想要在如今的市場(chǎng)上屹立不倒，必然要適應(yīng)當(dāng)前受眾獲取新聞的方式，并隨之加以轉(zhuǎn)變。

這不僅僅是指對(duì)外新聞發(fā)布的方式，也包括媒體人內(nèi)部流程的自我轉(zhuǎn)變。也就是意味著，傳統(tǒng)媒體在適應(yīng)發(fā)展互聯(lián)網(wǎng)應(yīng)用模式的同時(shí)，傳統(tǒng)媒體人也必須跟著一起進(jìn)步，在做好紙媒等傳統(tǒng)媒體工作的同時(shí)，也要了解并學(xué)會(huì)適應(yīng)網(wǎng)絡(luò)新聞的節(jié)奏。歸根結(jié)底，也就是要“快”。

從技術(shù)上來(lái)說(shuō)，就是怎樣在記者們?nèi)蝿?wù)愈加繁重的現(xiàn)下，對(duì)他們工作提供最好的支持，這也是媒體技術(shù)人員不斷思考和嘗試的問(wèn)題。

隨著這兩年4G網(wǎng)絡(luò)的迅速發(fā)展，媒體記者對(duì)于在外發(fā)稿的要求相對(duì)于以往更多更高，既有對(duì)系統(tǒng)功能上的要求，也有對(duì)發(fā)稿設(shè)備多樣化的要求。因此，這兩年我們對(duì)各種新技術(shù)不斷研究和嘗試，終于形成了一套能滿(mǎn)足記者所有在外發(fā)稿需求的遠(yuǎn)程采編系統(tǒng)，包括：微信全媒體采編系統(tǒng)和虛擬化應(yīng)用全媒體采編系統(tǒng)。

1 基于微信企業(yè)號(hào)的全媒體采編系統(tǒng)

通常，記者在外采訪(fǎng)當(dāng)然都希望能輕身上陣，當(dāng)獲得第一手新聞后，一定希望能馬上發(fā)稿，搶到時(shí)間優(yōu)勢(shì)。而由于傳統(tǒng)媒體內(nèi)容發(fā)布?xì)v來(lái)有三審流程的約束，一篇新聞必須經(jīng)過(guò)幾道程序才能發(fā)布。按照以往依賴(lài)電腦的工作流程來(lái)看，記者、責(zé)編、總編，其中任何一個(gè)環(huán)節(jié)若當(dāng)時(shí)身邊沒(méi)有電腦，一定會(huì)對(duì)新聞時(shí)效性造成不小影響，明顯這已經(jīng)不符合現(xiàn)在的新聞需求了。但是，有一樣?xùn)|西一定會(huì)在身邊，就是手機(jī)或者ipad之類(lèi)的平板，而這些移動(dòng)設(shè)備上一般都會(huì)安裝微信。因此，如果能在微信上就完成所有的審發(fā)稿流程，一定是最快捷的新聞審核工作方式。

1.1微信企業(yè)號(hào)與全媒體采編的融合

2015年初，微信發(fā)布了企業(yè)號(hào)。微信企業(yè)號(hào)為企業(yè)客戶(hù)提供了移動(dòng)應(yīng)用入口，此開(kāi)發(fā)接口為企業(yè)應(yīng)用提供了兩種調(diào)用模式：主動(dòng)調(diào)用和回調(diào)模式，以便企業(yè)應(yīng)用和微信企業(yè)號(hào)之間發(fā)送消息或進(jìn)行數(shù)據(jù)交互。首先，對(duì)兩種模式做一下介紹：

主動(dòng)調(diào)用：是指企業(yè)應(yīng)用主動(dòng)調(diào)用企業(yè)號(hào)后臺(tái)所提供的各種接口以管理或訪(fǎng)問(wèn)企業(yè)號(hào)后臺(tái)的資源或給企業(yè)號(hào)成員發(fā)消息。

回調(diào)模式：企業(yè)既可以主動(dòng)調(diào)用企業(yè)號(hào)接口，還可以接收成員的消息或事件。在回調(diào)模式下，企業(yè)號(hào)在回調(diào)企業(yè)應(yīng)用URL時(shí)，會(huì)對(duì)消息體本身做加密，以XML格式傳遞到企業(yè)應(yīng)用的URL上；企業(yè)應(yīng)用在被動(dòng)響應(yīng)時(shí)，也需要對(duì)數(shù)據(jù)加密，以XML格式返回給微信?；卣{(diào)模式支持文本、圖片、語(yǔ)音、視頻、圖文等格式。

由此可見(jiàn)，這兩種模式更適合微信全媒體采編的是回調(diào)模式，也就是我們采用的模式。在微信企業(yè)號(hào)發(fā)布之初，我們就開(kāi)始研究其與全媒體平臺(tái)結(jié)合的可行性，隨著對(duì)微信企業(yè)號(hào)接口的研究，經(jīng)過(guò)一段時(shí)間的開(kāi)發(fā)，通過(guò)啟用微信企業(yè)號(hào)接口的回調(diào)模式來(lái)實(shí)現(xiàn)采編數(shù)據(jù)交互，現(xiàn)已基本做到了微信全媒體與電腦端全媒體平臺(tái)的功能及數(shù)據(jù)保持一致。

企業(yè)號(hào)中的每個(gè)應(yīng)用最多可以有15個(gè)菜單，一級(jí)菜單最多為3個(gè)，二級(jí)菜單最多為5個(gè)。當(dāng)然，要設(shè)置自定義菜單，企業(yè)應(yīng)用也必須是回調(diào)模式。

我們搭建的微信全媒體應(yīng)用，利用這15個(gè)菜單涵蓋了全媒體平臺(tái)中的最主要功能，每個(gè)菜單代表一個(gè)全媒體功能模塊，包括新建文字、圖片、音視頻；點(diǎn)對(duì)點(diǎn)傳稿；審核簽發(fā)；版面瀏覽；內(nèi)部公告與交流等，基本能完全替代在PC端上的主要采編工作。讓記者編輯在手機(jī)上就能完成主要的發(fā)稿審核流程，就如同在電腦前一樣。

而在所有流程中，記者最關(guān)心的稿件流轉(zhuǎn)信息和稿件修改痕跡功能，在微信全媒體中也得到了完整保留。修改痕跡功能，采用不同于PC端的鍵盤(pán)抓取的方式，利用對(duì)比不同時(shí)間的稿件版本，通過(guò)對(duì)于xml里每次修改的作者、時(shí)間、內(nèi)容的比較，得出修改人在什么時(shí)間做了什么改動(dòng)。稿件流轉(zhuǎn)信息，不論是微信端還是PC端的操作都是直接寫(xiě)入后臺(tái)數(shù)據(jù)庫(kù)合并記錄的，因此，在PC端和微信端查看稿件時(shí)看到的流程記錄都是一樣的，這樣，記者就能隨時(shí)隨地通過(guò)手機(jī)查看稿件現(xiàn)狀。

下圖展示了微信自定義菜單效果圖：

圖1　微信自定義菜單界面

最終在微信中的展示效果如下：

圖2　手機(jī)展示效果圖

1.2微信采編系統(tǒng)的安全防護(hù)

我們?yōu)槲⑿湃襟w單獨(dú)搭建了一套適用于微信企業(yè)號(hào)的對(duì)外訪(fǎng)問(wèn)應(yīng)用，擁有獨(dú)立于內(nèi)部全媒體平臺(tái)的軟硬件環(huán)境。向來(lái)是在內(nèi)部局域網(wǎng)內(nèi)運(yùn)行的、對(duì)于數(shù)據(jù)安全要求極高的采編系統(tǒng)，現(xiàn)在要直接暴露在外部英特網(wǎng)上，這樣一來(lái)安全工作就顯得尤為重要。

我們的安全防護(hù)工作主要可以從兩方面來(lái)實(shí)現(xiàn)：

1.2.1微信企業(yè)號(hào)認(rèn)證接口

微信企業(yè)號(hào)提供了身份驗(yàn)證接口，包含OAuth驗(yàn)證接口和userid與openid互換接口，這里我們采用的OAuth驗(yàn)證接口，引用微信官方對(duì)OAuth驗(yàn)證接口定義，如下：

●企業(yè)應(yīng)用中的URL鏈接直接填寫(xiě)企業(yè)自己的頁(yè)面地址。

●成員跳轉(zhuǎn)到企業(yè)頁(yè)面時(shí)，企業(yè)校驗(yàn)是否有代表成員身份的cookie，此cookie由企業(yè)生成。

●如果沒(méi)有獲取到cookie，重定向到OAuth驗(yàn)證鏈接，獲取成員身份后，由企業(yè)生成代表成員身份的cookie。

●根據(jù)cookie獲取成員身份，進(jìn)入相應(yīng)的頁(yè)面。

如上所述，企業(yè)用戶(hù)首先得是微信企業(yè)號(hào)的成員，由管理員先將其微信號(hào)加入到微信企業(yè)號(hào)中，之后用戶(hù)才能成功關(guān)注此微信企業(yè)號(hào)。關(guān)注后能否看到企業(yè)應(yīng)用，如：微信全媒體，還需要管理員賦予他相應(yīng)權(quán)限。如果擁有訪(fǎng)問(wèn)企業(yè)應(yīng)用的權(quán)限，還需要在企業(yè)應(yīng)用中已有代表用戶(hù)身份的cookie信息，填寫(xiě)此身份信息與用戶(hù)微信號(hào)綁定，此后才能正常訪(fǎng)問(wèn)所有內(nèi)部數(shù)據(jù)，并根據(jù)企業(yè)應(yīng)用中的cookie身份信息所具有的權(quán)限對(duì)數(shù)據(jù)進(jìn)行交互。如此，多了一層微信號(hào)的身份限制，即使擁有內(nèi)部賬號(hào)也無(wú)法隨意登錄訪(fǎng)問(wèn)全媒體平臺(tái)。

1.2.2企業(yè)應(yīng)用服務(wù)器的安全防護(hù)

微信企業(yè)應(yīng)用服務(wù)器需要提供對(duì)外訪(fǎng)問(wèn)URL，位于Internet上，存在太多的被攻擊可能，例如病毒攻擊、黑客攻擊。對(duì)于外部攻擊的防護(hù)，我們可以從兩方面進(jìn)行。

服務(wù)器本身的防護(hù)措施：首先開(kāi)啟系統(tǒng)本身的所有防火墻策略，最小限度地單獨(dú)設(shè)定需要被微信企業(yè)號(hào)訪(fǎng)問(wèn)的入站出站策略；安裝穩(wěn)定可靠的防病毒軟件；為服務(wù)器配備一臺(tái)備份服務(wù)器，平時(shí)不對(duì)外發(fā)布，只做以防萬(wàn)一。

在服務(wù)器和Internet之間、外網(wǎng)服務(wù)器和內(nèi)部服務(wù)器之間增加安全設(shè)備，功能完善性能強(qiáng)大的防火墻，既能主動(dòng)攔截一些我們熟知的外部攻擊，也能隨我們的需要而設(shè)定對(duì)外或?qū)?nèi)的訪(fǎng)問(wèn)策略。例如，我們可以指定微信企業(yè)號(hào)能訪(fǎng)問(wèn)URL的某個(gè)端口，或指定內(nèi)外網(wǎng)服務(wù)器之間相互能訪(fǎng)問(wèn)的具體應(yīng)用。

圖3　企業(yè)應(yīng)用安全結(jié)構(gòu)圖

1.3 手機(jī)客戶(hù)端與微信的比較

在微信企業(yè)號(hào)啟用之前，我們使用的是手機(jī)客戶(hù)端形式的移動(dòng)端全媒體采編。不同于微信采編是基于.net開(kāi)發(fā)的微信網(wǎng)頁(yè)版應(yīng)用，和BS結(jié)構(gòu)的內(nèi)部全媒體平臺(tái)功能實(shí)現(xiàn)方式大同小異，相對(duì)來(lái)說(shuō)能實(shí)現(xiàn)的功能比較多，手機(jī)客戶(hù)端的開(kāi)發(fā)需要兼顧安卓、IOS的不同版本，并且所有功能都需要單獨(dú)開(kāi)發(fā)實(shí)現(xiàn)，費(fèi)時(shí)又費(fèi)力。

同時(shí)在用戶(hù)體驗(yàn)上來(lái)說(shuō)，手機(jī)客戶(hù)端每次更新一個(gè)功能或解決一個(gè)bug，都需要重新下載安裝，具體使用過(guò)程中用戶(hù)會(huì)覺(jué)得比較麻煩。在功能性上，手機(jī)客戶(hù)端能實(shí)現(xiàn)的功能有限，并不能滿(mǎn)足用戶(hù)的全部需求，無(wú)法完成一個(gè)完整的審稿流程。

另外，由于手機(jī)客戶(hù)端相對(duì)開(kāi)放，只要手機(jī)上有安裝此客戶(hù)端，理論上來(lái)說(shuō)只要獲得系統(tǒng)賬號(hào)就能登錄訪(fǎng)問(wèn)應(yīng)用，相較于微信采編不夠安全。

表1　兩種移動(dòng)應(yīng)用對(duì)比表

2.基于虛擬化及數(shù)據(jù)安全的全媒體采編系統(tǒng)

雖然已經(jīng)有了手機(jī)移動(dòng)端的微信全媒體采編，但在外寫(xiě)長(zhǎng)篇稿件或大量編輯稿件的時(shí)候，用戶(hù)還是喜歡使用PC電腦。以往使用的VPN +手機(jī)短信遠(yuǎn)程系統(tǒng)相當(dāng)于把家用或便攜式電腦連接進(jìn)內(nèi)部網(wǎng)絡(luò)，以?xún)?nèi)部PC的角色來(lái)訪(fǎng)問(wèn)全媒體采編，這個(gè)方式在近年逐步展現(xiàn)出了各種各樣的問(wèn)題。

●不支持蘋(píng)果MAC系統(tǒng)，但確有越來(lái)越多的用戶(hù)開(kāi)始購(gòu)買(mǎi)使用蘋(píng)果筆記本。

●只支持IE，其他瀏覽器都不支持，而隨著微軟瀏覽器升級(jí)，最新版本的IE也已經(jīng)無(wú)法正常使用全部功能。

●個(gè)人電腦極不可控，若本身系統(tǒng)出現(xiàn)問(wèn)題，將影響正常的采編工作進(jìn)行。

●由于之前采用的是短信驗(yàn)證方式，和基站、運(yùn)營(yíng)商、短信發(fā)送系統(tǒng)相關(guān)，會(huì)有延遲或無(wú)法發(fā)送的情況存在。

因此，為了解決這些問(wèn)題，我們經(jīng)過(guò)調(diào)研測(cè)試一段時(shí)間后，確定Citrix虛擬化應(yīng)用能解決以上所有問(wèn)題，并且有較好的用戶(hù)體驗(yàn)。

2.1虛擬化應(yīng)用介紹

不同于之前的遠(yuǎn)程系統(tǒng)，所有需要被遠(yuǎn)程訪(fǎng)問(wèn)的應(yīng)用，都需要被安裝在用戶(hù)PC端上，虛擬化應(yīng)用統(tǒng)一在我們數(shù)據(jù)中心的服務(wù)器上管理發(fā)布。當(dāng)用戶(hù)發(fā)起遠(yuǎn)程訪(fǎng)問(wèn)請(qǐng)求，Citrix通過(guò)其專(zhuān)有ICA協(xié)議連接運(yùn)行在服務(wù)器上的虛擬應(yīng)用和遠(yuǎn)程客戶(hù)端設(shè)備，并發(fā)布相應(yīng)應(yīng)用。在我們用戶(hù)看起來(lái)，好像是在本機(jī)打開(kāi)了應(yīng)用系統(tǒng)，事實(shí)上系統(tǒng)并沒(méi)有在客戶(hù)端設(shè)備上運(yùn)行，而是打開(kāi)了服務(wù)器上預(yù)先配置好的虛擬應(yīng)用。這個(gè)功能由ICA協(xié)議將應(yīng)用進(jìn)程數(shù)據(jù)重定向來(lái)實(shí)現(xiàn)，同時(shí)將數(shù)據(jù)交換進(jìn)行壓縮和加密，每個(gè)連接將只占用十幾K的帶寬，能減輕對(duì)我們服務(wù)器和網(wǎng)絡(luò)帶寬的壓力。

通過(guò)對(duì)遠(yuǎn)程應(yīng)用的集中部署，我們可以有效地根據(jù)用戶(hù)需要來(lái)限定訪(fǎng)問(wèn)內(nèi)容。通過(guò)與預(yù)控的結(jié)合，統(tǒng)一管理用戶(hù)的登陸賬號(hào)，同時(shí)結(jié)合預(yù)先設(shè)置好的AD組策略，確保用戶(hù)對(duì)應(yīng)用和文檔的訪(fǎng)問(wèn)權(quán)限。不論內(nèi)網(wǎng)用戶(hù)還是外網(wǎng)用戶(hù)接入之后，都可進(jìn)行嚴(yán)格的權(quán)限控制。根據(jù)不同的接入用戶(hù)，提供相應(yīng)的訪(fǎng)問(wèn)策略，合理地分配應(yīng)用資源。

虛擬化應(yīng)用可以提供三種發(fā)布方式，恰好能滿(mǎn)足我們的需求：

●BS發(fā)布方式，在服務(wù)端發(fā)布相應(yīng)的瀏覽器URL鏈接（比如：我們BS結(jié)構(gòu)的全媒體采編，可預(yù)先在服務(wù)器上安裝所需插件）。同時(shí)可禁用IE地址欄，防止訪(fǎng)問(wèn)其他網(wǎng)站，保護(hù)服務(wù)器的安全。

●CS 發(fā)布方式，在服務(wù)器安裝相應(yīng)的應(yīng)用后，發(fā)布執(zhí)行程序即可，用戶(hù)登錄后可直接使用。如：OFFICE。

●文檔發(fā)布方式，在服務(wù)器端指定發(fā)布一個(gè)用戶(hù)專(zhuān)用（例如：我的文檔），用戶(hù)產(chǎn)生的所有文件都會(huì)存儲(chǔ)在此目錄中，即使換了設(shè)備也能隨時(shí)登陸訪(fǎng)問(wèn)。

2.2虛擬化應(yīng)用的優(yōu)勢(shì)

2.2.1高效統(tǒng)一管理

對(duì)于虛擬化應(yīng)用的部署、配置和維護(hù)，在初始部署完成后，日后可統(tǒng)一使用其鏡像管理功能對(duì)服務(wù)器進(jìn)行管理，在主鏡像服務(wù)器上發(fā)布更新和升級(jí)程序后，其他子服務(wù)器只要重啟就可獲得這些更新程序。目前，我們利用數(shù)據(jù)中心原有的虛擬化環(huán)境，僅用兩臺(tái)實(shí)體服務(wù)器就完成了初始虛擬化部署，所有的鏡像服務(wù)器分別安裝在這兩臺(tái)實(shí)體機(jī)上。以后，我們還可根據(jù)實(shí)際應(yīng)用使用情況，人員增加情況來(lái)按需擴(kuò)展子服務(wù)器數(shù)量。服務(wù)器擴(kuò)展也只需利用鏡像功能一鍵部署，大大簡(jiǎn)化了應(yīng)用管理，提高了我們的工作效率。

由于虛擬化應(yīng)用管理為每種應(yīng)用配備了一個(gè)程序包，部署在所有子服務(wù)器上，當(dāng)用戶(hù)發(fā)出請(qǐng)求時(shí)，子服務(wù)器就會(huì)將應(yīng)用程序交付到用戶(hù)PC上，我們也不再需要為每臺(tái)用戶(hù)PC端安裝部署應(yīng)用軟件，直接請(qǐng)求訪(fǎng)問(wèn)即可。

2.2.2不受設(shè)備限制

目前，我們的多數(shù)應(yīng)用是基于Windows IE開(kāi)發(fā)的，Mac、Linux系統(tǒng)，以及google、safari等不同于IE結(jié)構(gòu)的瀏覽器，是無(wú)法使用這些應(yīng)用的，甚至不同版本的IE本身也會(huì)受到限制。而應(yīng)用虛擬化技術(shù)這種將各種應(yīng)用部署在服務(wù)器上的方式，使應(yīng)用完全在服務(wù)器上運(yùn)行，用戶(hù)連接到運(yùn)行應(yīng)用的遠(yuǎn)程會(huì)話(huà)即可，不再受到用戶(hù)端操作系統(tǒng)和瀏覽器的限制，明顯優(yōu)于傳統(tǒng)的遠(yuǎn)程應(yīng)用解決方案。而且，使用iPhone、iPad、Windows Mobile等移動(dòng)設(shè)備的用戶(hù)也可訪(fǎng)問(wèn)XenApp交付的應(yīng)用，任何設(shè)備、任何地方都可使用這套遠(yuǎn)程系統(tǒng)來(lái)訪(fǎng)問(wèn)內(nèi)部應(yīng)用。

2.2.3數(shù)據(jù)安全保障

虛擬化應(yīng)用的數(shù)據(jù)全部保存在數(shù)據(jù)中心的服務(wù)器或存儲(chǔ)設(shè)備上，只有用戶(hù)登陸后的少量數(shù)據(jù)修改經(jīng)加密后通過(guò)網(wǎng)絡(luò)傳輸。

我們時(shí)常會(huì)碰到用戶(hù)在外使用遠(yuǎn)程編寫(xiě)稿件的時(shí)候，突然遭遇斷網(wǎng)的情況，只能依靠全媒體采編本身的定時(shí)保存功能取回部分內(nèi)容。現(xiàn)在，由于虛擬化應(yīng)用將所有修改的數(shù)據(jù)都保存在數(shù)據(jù)中心，當(dāng)網(wǎng)絡(luò)中斷時(shí)，就不會(huì)造成數(shù)據(jù)丟失。當(dāng)用戶(hù)重新建立遠(yuǎn)程應(yīng)用連接后，將會(huì)看到斷網(wǎng)之前的屏幕狀態(tài)和完整的數(shù)據(jù)。

2.3虛擬化應(yīng)用安全訪(fǎng)問(wèn)

遠(yuǎn)程應(yīng)用的安全一直都是我們相當(dāng)重視的方面，因此，我們?yōu)樘摂M化應(yīng)用部署了NetScaler設(shè)備和RSA認(rèn)證系統(tǒng)。

2.3.1NetScaler安全設(shè)備

NetScaler是Citrix虛擬應(yīng)用系統(tǒng)的安全層，是對(duì)外提供應(yīng)用交付業(yè)務(wù)的安全設(shè)備，擁有流量管理功能和集成應(yīng)用防火墻功能，部署在應(yīng)用服務(wù)器前端，可提供高速負(fù)載均衡、內(nèi)容交換、數(shù)據(jù)壓縮、內(nèi)容緩存、網(wǎng)絡(luò)優(yōu)化等功能。

我們將NetScaler部署在了XenApp之前，外部防火墻之后，起到雙重防護(hù)作用。外部防火墻上可設(shè)置合適的對(duì)外訪(fǎng)問(wèn)策略，用來(lái)進(jìn)行訪(fǎng)問(wèn)控制。而NetScaler本身也擁有DoS/DDoS防御功能抵御外部攻擊，更重要的是它可智能地將用戶(hù)請(qǐng)求和數(shù)據(jù)內(nèi)容分配到恰當(dāng)?shù)姆?wù)器，而用戶(hù)經(jīng)常請(qǐng)求的內(nèi)容可經(jīng)由存儲(chǔ)在設(shè)備中的數(shù)據(jù)緩存直接交付，提高用戶(hù)體驗(yàn)。內(nèi)置的AAA認(rèn)證功能，可阻止未經(jīng)授權(quán)的用戶(hù)登錄訪(fǎng)問(wèn)，來(lái)保護(hù)虛擬化應(yīng)用的數(shù)據(jù)安全，實(shí)現(xiàn)安全的遠(yuǎn)程訪(fǎng)問(wèn)。

圖4　NetScaler安全方案結(jié)構(gòu)圖

2.3.2RSA SecurID雙因素認(rèn)證系統(tǒng)

我們?cè)谔摂M化應(yīng)用中使用了RSA SecurID雙因素認(rèn)證系統(tǒng)，通過(guò)域控賬戶(hù)和RSA認(rèn)證結(jié)合方式來(lái)實(shí)現(xiàn)安全登錄，每當(dāng)用戶(hù)發(fā)起請(qǐng)求登陸Citrix遠(yuǎn)程系統(tǒng)，將會(huì)要求其提供域賬號(hào)和RSA令牌碼，來(lái)確保此用戶(hù)的合法性。RSA加密算法每分鐘會(huì)生成一串新的8位數(shù)字，只有服務(wù)器端和用戶(hù)端之間的密鑰是同一個(gè)，才被認(rèn)為是合法的。認(rèn)證令牌有硬件和軟件兩種形式，就硬件來(lái)說(shuō)，是一個(gè)類(lèi)似U盤(pán)大小的設(shè)備，擁有內(nèi)置芯片和一個(gè)8位數(shù)字的屏幕；軟件令牌是一個(gè)安裝在手機(jī)上的應(yīng)用程序，加載由服務(wù)器生成的令牌文件，可顯示8位數(shù)字的令牌碼，以及令牌碼的有效時(shí)間。

圖5　手機(jī)軟件令牌圖

如果有人獲得某個(gè)員工的賬號(hào)，試圖登陸遠(yuǎn)程虛擬應(yīng)用，雙因素認(rèn)證會(huì)要求提供正確的令牌碼，確保系統(tǒng)不會(huì)被非法侵入。因此，只要RSA令牌沒(méi)有遺失，賬戶(hù)的安全依舊可以保證。同時(shí)，我們會(huì)要求用戶(hù)如果遺失了令牌，必須及時(shí)向管理員報(bào)失，以免造成重大損失。

登錄過(guò)程描述如下：

用戶(hù)終端設(shè)備先向陸Citrix 遠(yuǎn)程應(yīng)用發(fā)送驗(yàn)證請(qǐng)求，將被要求輸入AD賬號(hào)和密碼，以及與賬號(hào)綁定的RSA令牌碼，向認(rèn)證系統(tǒng)進(jìn)行驗(yàn)證之后得到合法的返還結(jié)果，才會(huì)交付桌面給終端設(shè)備，用戶(hù)即能對(duì)應(yīng)用進(jìn)行訪(fǎng)問(wèn)。

3. 總結(jié)

至今，這種工作模式已經(jīng)運(yùn)行了一年有余，用戶(hù)長(zhǎng)時(shí)間以來(lái)深受困擾的問(wèn)題大部分得以解決。

之前，記者遇到突發(fā)新聞，一定會(huì)帶著笨重的筆記本電腦出去采訪(fǎng)，現(xiàn)在可以隨時(shí)隨地通過(guò)隨身的移動(dòng)設(shè)備發(fā)稿；責(zé)任編輯也不用等候在電腦前，只要在有網(wǎng)絡(luò)的地方即可隨時(shí)查看并編輯簽發(fā)稿件。

以前，為了能在外使用內(nèi)部采編系統(tǒng)發(fā)稿編稿，很多編輯記者要去專(zhuān)門(mén)配置一臺(tái)能夠符合采編系統(tǒng)要求的PC?，F(xiàn)在，任意操作系統(tǒng)，不管是Windows還是Mac系統(tǒng)；任意瀏覽器版本，不管是IE還是Google、Safari都能得到全面支持。管理員也不需要再費(fèi)時(shí)費(fèi)力地維護(hù)客戶(hù)端。

（作者單位：上海報(bào)業(yè)集團(tuán)）

中圖分類(lèi)號(hào)：F49

文獻(xiàn)標(biāo)識(shí)碼：A