移動采編系統的新轉變及安全保障

■文/徐穎 林曄

?

移動采編系統的新轉變及安全保障

■文/徐穎 林曄

摘 要：本文主要針對近年來媒體應用的網絡化，及傳統媒體人全員轉型的現象，提出相應的應用解決方案。著重介紹，在采編人員工作方式逐漸變成以移動發稿為主，同時既要追求速度也要追求質量的情況下，為了滿足需求、保障安全，在應用技術上所作的支持。

關鍵詞：移動發稿；微信企業號；手機客戶端；Citrix XenApp；網絡安全；Mac操作系統

互聯網媒體的日益崛起，傳統媒體的日益衰退，是近幾年所有傳統媒體人越來越重視的問題。從新聞網站到各種各樣移動新聞客戶端的出現，從微博到微信自媒體，可以獲取新聞的渠道愈加寬廣，傳統媒體想要在如今的市場上屹立不倒，必然要適應當前受眾獲取新聞的方式，并隨之加以轉變。

這不僅僅是指對外新聞發布的方式，也包括媒體人內部流程的自我轉變。也就是意味著，傳統媒體在適應發展互聯網應用模式的同時，傳統媒體人也必須跟著一起進步，在做好紙媒等傳統媒體工作的同時，也要了解并學會適應網絡新聞的節奏。歸根結底，也就是要“快”。

從技術上來說，就是怎樣在記者們任務愈加繁重的現下，對他們工作提供最好的支持，這也是媒體技術人員不斷思考和嘗試的問題。

隨著這兩年4G網絡的迅速發展，媒體記者對于在外發稿的要求相對于以往更多更高，既有對系統功能上的要求，也有對發稿設備多樣化的要求。因此，這兩年我們對各種新技術不斷研究和嘗試，終于形成了一套能滿足記者所有在外發稿需求的遠程采編系統，包括：微信全媒體采編系統和虛擬化應用全媒體采編系統。

1 基于微信企業號的全媒體采編系統

通常，記者在外采訪當然都希望能輕身上陣，當獲得第一手新聞后，一定希望能馬上發稿，搶到時間優勢。而由于傳統媒體內容發布歷來有三審流程的約束，一篇新聞必須經過幾道程序才能發布。按照以往依賴電腦的工作流程來看，記者、責編、總編，其中任何一個環節若當時身邊沒有電腦，一定會對新聞時效性造成不小影響，明顯這已經不符合現在的新聞需求了。但是，有一樣東西一定會在身邊，就是手機或者ipad之類的平板，而這些移動設備上一般都會安裝微信。因此，如果能在微信上就完成所有的審發稿流程，一定是最快捷的新聞審核工作方式。

1.1微信企業號與全媒體采編的融合

2015年初，微信發布了企業號。微信企業號為企業客戶提供了移動應用入口，此開發接口為企業應用提供了兩種調用模式：主動調用和回調模式，以便企業應用和微信企業號之間發送消息或進行數據交互。首先，對兩種模式做一下介紹：

主動調用：是指企業應用主動調用企業號后臺所提供的各種接口以管理或訪問企業號后臺的資源或給企業號成員發消息。

回調模式：企業既可以主動調用企業號接口，還可以接收成員的消息或事件。在回調模式下，企業號在回調企業應用URL時，會對消息體本身做加密，以XML格式傳遞到企業應用的URL上；企業應用在被動響應時，也需要對數據加密，以XML格式返回給微信。回調模式支持文本、圖片、語音、視頻、圖文等格式。

由此可見，這兩種模式更適合微信全媒體采編的是回調模式，也就是我們采用的模式。在微信企業號發布之初，我們就開始研究其與全媒體平臺結合的可行性，隨著對微信企業號接口的研究，經過一段時間的開發，通過啟用微信企業號接口的回調模式來實現采編數據交互，現已基本做到了微信全媒體與電腦端全媒體平臺的功能及數據保持一致。

企業號中的每個應用最多可以有15個菜單，一級菜單最多為3個，二級菜單最多為5個。當然，要設置自定義菜單，企業應用也必須是回調模式。

我們搭建的微信全媒體應用，利用這15個菜單涵蓋了全媒體平臺中的最主要功能，每個菜單代表一個全媒體功能模塊，包括新建文字、圖片、音視頻；點對點傳稿；審核簽發；版面瀏覽；內部公告與交流等，基本能完全替代在PC端上的主要采編工作。讓記者編輯在手機上就能完成主要的發稿審核流程，就如同在電腦前一樣。

而在所有流程中，記者最關心的稿件流轉信息和稿件修改痕跡功能，在微信全媒體中也得到了完整保留。修改痕跡功能，采用不同于PC端的鍵盤抓取的方式，利用對比不同時間的稿件版本，通過對于xml里每次修改的作者、時間、內容的比較，得出修改人在什么時間做了什么改動。稿件流轉信息，不論是微信端還是PC端的操作都是直接寫入后臺數據庫合并記錄的，因此，在PC端和微信端查看稿件時看到的流程記錄都是一樣的，這樣，記者就能隨時隨地通過手機查看稿件現狀。

下圖展示了微信自定義菜單效果圖：

圖1　微信自定義菜單界面

最終在微信中的展示效果如下：

圖2　手機展示效果圖

1.2微信采編系統的安全防護

我們為微信全媒體單獨搭建了一套適用于微信企業號的對外訪問應用，擁有獨立于內部全媒體平臺的軟硬件環境。向來是在內部局域網內運行的、對于數據安全要求極高的采編系統，現在要直接暴露在外部英特網上，這樣一來安全工作就顯得尤為重要。

我們的安全防護工作主要可以從兩方面來實現：

1.2.1微信企業號認證接口

微信企業號提供了身份驗證接口，包含OAuth驗證接口和userid與openid互換接口，這里我們采用的OAuth驗證接口，引用微信官方對OAuth驗證接口定義，如下：

●企業應用中的URL鏈接直接填寫企業自己的頁面地址。

●成員跳轉到企業頁面時，企業校驗是否有代表成員身份的cookie，此cookie由企業生成。

●如果沒有獲取到cookie，重定向到OAuth驗證鏈接，獲取成員身份后，由企業生成代表成員身份的cookie。

●根據cookie獲取成員身份，進入相應的頁面。

如上所述，企業用戶首先得是微信企業號的成員，由管理員先將其微信號加入到微信企業號中，之后用戶才能成功關注此微信企業號。關注后能否看到企業應用，如：微信全媒體，還需要管理員賦予他相應權限。如果擁有訪問企業應用的權限，還需要在企業應用中已有代表用戶身份的cookie信息，填寫此身份信息與用戶微信號綁定，此后才能正常訪問所有內部數據，并根據企業應用中的cookie身份信息所具有的權限對數據進行交互。如此，多了一層微信號的身份限制，即使擁有內部賬號也無法隨意登錄訪問全媒體平臺。

1.2.2企業應用服務器的安全防護

微信企業應用服務器需要提供對外訪問URL，位于Internet上，存在太多的被攻擊可能，例如病毒攻擊、黑客攻擊。對于外部攻擊的防護，我們可以從兩方面進行。

服務器本身的防護措施：首先開啟系統本身的所有防火墻策略，最小限度地單獨設定需要被微信企業號訪問的入站出站策略；安裝穩定可靠的防病毒軟件；為服務器配備一臺備份服務器，平時不對外發布，只做以防萬一。

在服務器和Internet之間、外網服務器和內部服務器之間增加安全設備，功能完善性能強大的防火墻，既能主動攔截一些我們熟知的外部攻擊，也能隨我們的需要而設定對外或對內的訪問策略。例如，我們可以指定微信企業號能訪問URL的某個端口，或指定內外網服務器之間相互能訪問的具體應用。

圖3　企業應用安全結構圖

1.3 手機客戶端與微信的比較

在微信企業號啟用之前，我們使用的是手機客戶端形式的移動端全媒體采編。不同于微信采編是基于.net開發的微信網頁版應用，和BS結構的內部全媒體平臺功能實現方式大同小異，相對來說能實現的功能比較多，手機客戶端的開發需要兼顧安卓、IOS的不同版本，并且所有功能都需要單獨開發實現，費時又費力。

同時在用戶體驗上來說，手機客戶端每次更新一個功能或解決一個bug，都需要重新下載安裝，具體使用過程中用戶會覺得比較麻煩。在功能性上，手機客戶端能實現的功能有限，并不能滿足用戶的全部需求，無法完成一個完整的審稿流程。

另外，由于手機客戶端相對開放，只要手機上有安裝此客戶端，理論上來說只要獲得系統賬號就能登錄訪問應用，相較于微信采編不夠安全。

表1　兩種移動應用對比表

2.基于虛擬化及數據安全的全媒體采編系統

雖然已經有了手機移動端的微信全媒體采編，但在外寫長篇稿件或大量編輯稿件的時候，用戶還是喜歡使用PC電腦。以往使用的VPN +手機短信遠程系統相當于把家用或便攜式電腦連接進內部網絡，以內部PC的角色來訪問全媒體采編，這個方式在近年逐步展現出了各種各樣的問題。

●不支持蘋果MAC系統，但確有越來越多的用戶開始購買使用蘋果筆記本。

●只支持IE，其他瀏覽器都不支持，而隨著微軟瀏覽器升級，最新版本的IE也已經無法正常使用全部功能。

●個人電腦極不可控，若本身系統出現問題，將影響正常的采編工作進行。

●由于之前采用的是短信驗證方式，和基站、運營商、短信發送系統相關，會有延遲或無法發送的情況存在。

因此，為了解決這些問題，我們經過調研測試一段時間后，確定Citrix虛擬化應用能解決以上所有問題，并且有較好的用戶體驗。

2.1虛擬化應用介紹

不同于之前的遠程系統，所有需要被遠程訪問的應用，都需要被安裝在用戶PC端上，虛擬化應用統一在我們數據中心的服務器上管理發布。當用戶發起遠程訪問請求，Citrix通過其專有ICA協議連接運行在服務器上的虛擬應用和遠程客戶端設備，并發布相應應用。在我們用戶看起來，好像是在本機打開了應用系統，事實上系統并沒有在客戶端設備上運行，而是打開了服務器上預先配置好的虛擬應用。這個功能由ICA協議將應用進程數據重定向來實現，同時將數據交換進行壓縮和加密，每個連接將只占用十幾K的帶寬，能減輕對我們服務器和網絡帶寬的壓力。

通過對遠程應用的集中部署，我們可以有效地根據用戶需要來限定訪問內容。通過與預控的結合，統一管理用戶的登陸賬號，同時結合預先設置好的AD組策略，確保用戶對應用和文檔的訪問權限。不論內網用戶還是外網用戶接入之后，都可進行嚴格的權限控制。根據不同的接入用戶，提供相應的訪問策略，合理地分配應用資源。

虛擬化應用可以提供三種發布方式，恰好能滿足我們的需求：

●BS發布方式，在服務端發布相應的瀏覽器URL鏈接（比如：我們BS結構的全媒體采編，可預先在服務器上安裝所需插件）。同時可禁用IE地址欄，防止訪問其他網站，保護服務器的安全。

●CS 發布方式，在服務器安裝相應的應用后，發布執行程序即可，用戶登錄后可直接使用。如：OFFICE。

●文檔發布方式，在服務器端指定發布一個用戶專用（例如：我的文檔），用戶產生的所有文件都會存儲在此目錄中，即使換了設備也能隨時登陸訪問。

2.2虛擬化應用的優勢

2.2.1高效統一管理

對于虛擬化應用的部署、配置和維護，在初始部署完成后，日后可統一使用其鏡像管理功能對服務器進行管理，在主鏡像服務器上發布更新和升級程序后，其他子服務器只要重啟就可獲得這些更新程序。目前，我們利用數據中心原有的虛擬化環境，僅用兩臺實體服務器就完成了初始虛擬化部署，所有的鏡像服務器分別安裝在這兩臺實體機上。以后，我們還可根據實際應用使用情況，人員增加情況來按需擴展子服務器數量。服務器擴展也只需利用鏡像功能一鍵部署，大大簡化了應用管理，提高了我們的工作效率。

由于虛擬化應用管理為每種應用配備了一個程序包，部署在所有子服務器上，當用戶發出請求時，子服務器就會將應用程序交付到用戶PC上，我們也不再需要為每臺用戶PC端安裝部署應用軟件，直接請求訪問即可。

2.2.2不受設備限制

目前，我們的多數應用是基于Windows IE開發的，Mac、Linux系統，以及google、safari等不同于IE結構的瀏覽器，是無法使用這些應用的，甚至不同版本的IE本身也會受到限制。而應用虛擬化技術這種將各種應用部署在服務器上的方式，使應用完全在服務器上運行，用戶連接到運行應用的遠程會話即可，不再受到用戶端操作系統和瀏覽器的限制，明顯優于傳統的遠程應用解決方案。而且，使用iPhone、iPad、Windows Mobile等移動設備的用戶也可訪問XenApp交付的應用，任何設備、任何地方都可使用這套遠程系統來訪問內部應用。

2.2.3數據安全保障

虛擬化應用的數據全部保存在數據中心的服務器或存儲設備上，只有用戶登陸后的少量數據修改經加密后通過網絡傳輸。

我們時常會碰到用戶在外使用遠程編寫稿件的時候，突然遭遇斷網的情況，只能依靠全媒體采編本身的定時保存功能取回部分內容。現在，由于虛擬化應用將所有修改的數據都保存在數據中心，當網絡中斷時，就不會造成數據丟失。當用戶重新建立遠程應用連接后，將會看到斷網之前的屏幕狀態和完整的數據。

2.3虛擬化應用安全訪問

遠程應用的安全一直都是我們相當重視的方面，因此，我們為虛擬化應用部署了NetScaler設備和RSA認證系統。

2.3.1NetScaler安全設備

NetScaler是Citrix虛擬應用系統的安全層，是對外提供應用交付業務的安全設備，擁有流量管理功能和集成應用防火墻功能，部署在應用服務器前端，可提供高速負載均衡、內容交換、數據壓縮、內容緩存、網絡優化等功能。

我們將NetScaler部署在了XenApp之前，外部防火墻之后，起到雙重防護作用。外部防火墻上可設置合適的對外訪問策略，用來進行訪問控制。而NetScaler本身也擁有DoS/DDoS防御功能抵御外部攻擊，更重要的是它可智能地將用戶請求和數據內容分配到恰當的服務器，而用戶經常請求的內容可經由存儲在設備中的數據緩存直接交付，提高用戶體驗。內置的AAA認證功能，可阻止未經授權的用戶登錄訪問，來保護虛擬化應用的數據安全，實現安全的遠程訪問。

圖4　NetScaler安全方案結構圖

2.3.2RSA SecurID雙因素認證系統

我們在虛擬化應用中使用了RSA SecurID雙因素認證系統，通過域控賬戶和RSA認證結合方式來實現安全登錄，每當用戶發起請求登陸Citrix遠程系統，將會要求其提供域賬號和RSA令牌碼，來確保此用戶的合法性。RSA加密算法每分鐘會生成一串新的8位數字，只有服務器端和用戶端之間的密鑰是同一個，才被認為是合法的。認證令牌有硬件和軟件兩種形式，就硬件來說，是一個類似U盤大小的設備，擁有內置芯片和一個8位數字的屏幕；軟件令牌是一個安裝在手機上的應用程序，加載由服務器生成的令牌文件，可顯示8位數字的令牌碼，以及令牌碼的有效時間。

圖5　手機軟件令牌圖

如果有人獲得某個員工的賬號，試圖登陸遠程虛擬應用，雙因素認證會要求提供正確的令牌碼，確保系統不會被非法侵入。因此，只要RSA令牌沒有遺失，賬戶的安全依舊可以保證。同時，我們會要求用戶如果遺失了令牌，必須及時向管理員報失，以免造成重大損失。

登錄過程描述如下：

用戶終端設備先向陸Citrix 遠程應用發送驗證請求，將被要求輸入AD賬號和密碼，以及與賬號綁定的RSA令牌碼，向認證系統進行驗證之后得到合法的返還結果，才會交付桌面給終端設備，用戶即能對應用進行訪問。

3. 總結

至今，這種工作模式已經運行了一年有余，用戶長時間以來深受困擾的問題大部分得以解決。

之前，記者遇到突發新聞，一定會帶著笨重的筆記本電腦出去采訪，現在可以隨時隨地通過隨身的移動設備發稿；責任編輯也不用等候在電腦前，只要在有網絡的地方即可隨時查看并編輯簽發稿件。

以前，為了能在外使用內部采編系統發稿編稿，很多編輯記者要去專門配置一臺能夠符合采編系統要求的PC。現在，任意操作系統，不管是Windows還是Mac系統；任意瀏覽器版本，不管是IE還是Google、Safari都能得到全面支持。管理員也不需要再費時費力地維護客戶端。

（作者單位：上海報業集團）

中圖分類號：F49

文獻標識碼：A