摘要：隨著信息化的發(fā)展，信息資源與服務(wù)平臺(tái)也在不斷的更新?lián)Q代。目前，互聯(lián)網(wǎng)普及全面，云計(jì)算、大數(shù)據(jù)聲名鵲起，信息資源與服務(wù)平臺(tái)的建設(shè)效果參差不齊，大部分平臺(tái)還停留在上一代。基于此，本文提出了新型信息資源與服務(wù)平臺(tái)的設(shè)計(jì)。

　　關(guān)鍵詞：信息資源與服務(wù) 信息系統(tǒng)

　　一、信息資源與服務(wù)平臺(tái)設(shè)計(jì)概述

　　信息資源與服務(wù)平臺(tái)核心在于完成信息資源共享，和信息資源服務(wù)。其主要特點(diǎn)有信息即時(shí)性，數(shù)據(jù)持久性，操作便利性，控制穩(wěn)定性，服務(wù)高效性等。在項(xiàng)目建設(shè)時(shí)需要摒棄以往的“一體化”舊思維，將項(xiàng)目的各個(gè)部分分為多個(gè)層次，形成“低耦合，高內(nèi)聚”，使平臺(tái)的擴(kuò)展性及復(fù)用性更強(qiáng)，靈敏度更高。可以利用云計(jì)算提升整體算力，也可以有效防止宕機(jī)事件發(fā)生。

　　二、信息資源與服務(wù)平臺(tái)特征分析

　　Ⅰ.功能性

　　適合性：有用戶文檔且其中說明的軟件主要功能點(diǎn)全部實(shí)現(xiàn)。

　　準(zhǔn)確性：軟件定位準(zhǔn)確，響應(yīng)數(shù)據(jù)準(zhǔn)確，資源位置準(zhǔn)確，圖片、視頻加載準(zhǔn)確，資源下載準(zhǔn)確。

　　互操作性：軟件可以將后臺(tái)用戶發(fā)布信息及時(shí)展示、便于用戶實(shí)時(shí)查看最新消息，能夠?qū)⑾嚓P(guān)統(tǒng)計(jì)數(shù)據(jù)信息導(dǎo)出到excel，便于管理員后期使用。

　　安全保密性：軟件通過驗(yàn)證用戶名和密碼等方式來防止非法使用，并提供用戶賬號(hào)控制，IP限制等安全措施。

　　Ⅱ.可靠性

　　成熟性：軟件運(yùn)行穩(wěn)定，在長(zhǎng)時(shí)間的運(yùn)行過程中不會(huì)出現(xiàn)響應(yīng)突然中斷，或者暫停運(yùn)行，以及自動(dòng)停止運(yùn)行的情況。

　　容錯(cuò)性：軟件對(duì)用戶的錯(cuò)誤操作或者錯(cuò)誤數(shù)據(jù)能夠有效的解決并返饋給用戶，用戶的非正常操作不會(huì)對(duì)軟件本身造成影響，軟件內(nèi)部異常有日志輸出。

　　易恢復(fù)性：在軟件失效情況下，可以通過重新啟動(dòng)軟件的方式進(jìn)行正常恢復(fù)。

　　Ⅲ.易用性

　　易理解性：軟件界面、提示、消息、結(jié)果易于識(shí)別和理解。可點(diǎn)擊部分會(huì)出現(xiàn)點(diǎn)擊標(biāo)識(shí)，可跳轉(zhuǎn)部分點(diǎn)擊即可跳轉(zhuǎn)，特殊輸入格式有詳細(xì)說明，界面無重疊，無亂碼。

　　易學(xué)習(xí)性：提供用戶文檔，對(duì)軟件的功能及操作有詳細(xì)的說明，復(fù)雜部分有演示。

　　易操作性：軟件操作流程符合用戶習(xí)慣，提供了選擇項(xiàng)等輔助輸入措施，對(duì)刪除重要數(shù)據(jù)的操作具有提示且要求確認(rèn)。

　　Ⅳ.維護(hù)性

　　易分析性：軟件出錯(cuò)時(shí)會(huì)產(chǎn)生相應(yīng)的提示信息，用戶可以根據(jù)所得到的信息來分析實(shí)際的失效原因。

　　易測(cè)試性：軟件不需要其他附加測(cè)試設(shè)施就可進(jìn)行測(cè)試。

　　Ⅴ.可移植性

　　適應(yīng)性：軟件可以適應(yīng)規(guī)定的軟件和硬件環(huán)境。

　　共存性：軟件運(yùn)行環(huán)境與其他軟件不會(huì)發(fā)生沖突，兩者或多者可以獨(dú)立完整的穩(wěn)定的運(yùn)行。

　　三、安全性分析

　　安全性問題是軟件系統(tǒng)核心問題，此系統(tǒng)將從以下六點(diǎn)分析軟件的安全性。

　　3.1、認(rèn)證

　　認(rèn)證采用傳統(tǒng)的賬號(hào)密碼認(rèn)證是不夠的，為提升系統(tǒng)靈敏性認(rèn)證加入手機(jī)驗(yàn)證碼，郵箱驗(yàn)證碼，微信等認(rèn)證渠道，同時(shí)在邏輯上加入提交次數(shù)鎖定功能，防止反復(fù)套試密碼，達(dá)到次數(shù)后在一定時(shí)間范圍內(nèi)鎖定賬號(hào)禁止賬號(hào)登錄。認(rèn)證頁(yè)面給出記住功能，該功能實(shí)現(xiàn)在完成認(rèn)證之后的一定時(shí)間內(nèi)再次進(jìn)入跳過認(rèn)證。另外，系統(tǒng)還要分析用戶登錄IP分析常用設(shè)備，在較大幅度上更換會(huì)進(jìn)行再認(rèn)證。

　　3.2、權(quán)限隔離

　　管理權(quán)限擁有最高權(quán)限，可以對(duì)平臺(tái)所有內(nèi)容進(jìn)行讀寫操作;角色權(quán)限，對(duì)所有角色進(jìn)行增刪改查;審核權(quán)限，對(duì)用戶及用戶行為進(jìn)行管理，對(duì)資源及資源部分類容有審核修改權(quán)限;用戶權(quán)限，對(duì)用戶本身行為，進(jìn)行修改。平臺(tái)本身利用安全框架實(shí)現(xiàn)權(quán)限隔離，確定信息資源的最低權(quán)限，權(quán)限低于最低權(quán)限無法繼續(xù)操作。

　　3.3、反爬蟲

　　使用基于IP的反爬蟲機(jī)制[2]，后臺(tái)使用攔截器，針對(duì)每一個(gè)請(qǐng)求，分析其IP，對(duì)于單位時(shí)間內(nèi)請(qǐng)求次數(shù)過多，刷新次數(shù)頻繁，將IP加入黑名單，對(duì)IP進(jìn)行封禁。也可以在請(qǐng)求cookie里面設(shè)置一個(gè)key在沒有攜帶的情況下要求請(qǐng)求行為首先要實(shí)現(xiàn)登錄才可以繼續(xù)訪問。

　　3.4、防止XSS攻擊

　　防止XSS攻擊(跨站腳本攻擊)，需要對(duì)輸入進(jìn)行過濾，對(duì)輸出進(jìn)行編碼。輸入過濾是將輸入信息以及URL參數(shù)進(jìn)行過濾，對(duì)與每一個(gè)輸入在客戶端以及服務(wù)端都需要進(jìn)行驗(yàn)證，使用字符白名單或字符黑名單過濾非法字符。對(duì)輸出進(jìn)行編碼，是對(duì)輸出到頁(yè)面的內(nèi)容通過HTML等編碼工具，對(duì)其進(jìn)行編碼和轉(zhuǎn)義。

　　3.5、防止SQL注入

　　后臺(tái)時(shí)用持久層框架，直接使用可以很好的防止SQL注入，在一些特別之處設(shè)置字符過濾，從而防止SQL注入。

　　3.6、不可逆加密

　　不可逆加密是通過Hash算法使數(shù)據(jù)加密之后無法解密回原數(shù)據(jù)，相比于傳統(tǒng)的加密/解密方法，不可逆加密更安全，目前可以使用MD5、SHA系列等算法，在用戶填寫如密碼之類的重要信息時(shí)，使用SHA-× + 隨機(jī)鹽[1](Salt)+ 密鑰對(duì)其進(jìn)行Hash處理，得到Hash值，將Hash值存放在數(shù)據(jù)庫(kù)，之后需要用到的視乎用相同的方法得到一個(gè)Hash值，比較兩者是否相同即可。

　　四、設(shè)計(jì)思路

　　由于功能的復(fù)雜性，系統(tǒng)基于B/S 架構(gòu)模式，采用SpringBoot 開發(fā)框架，數(shù)據(jù)庫(kù)使用關(guān)系型數(shù)據(jù)庫(kù)MySQL和全文檢索引擎Elasticsearch 配合使用，基礎(chǔ)數(shù)據(jù)均保存在MySQL中并使用Elasticsearch [3]對(duì)數(shù)據(jù)庫(kù)進(jìn)行索引和檢索實(shí)現(xiàn)數(shù)據(jù)快速響應(yīng)和大量數(shù)據(jù)存儲(chǔ)。

　　系統(tǒng)將分為后臺(tái)管理和前臺(tái)展示兩大部分，前臺(tái)展示擁有“用戶登錄”、“訂閱”、“通知公告”、“下載中心”、“資源導(dǎo)航”、“熱門信息”，“服務(wù)大廳”，幾大模塊，各模塊有細(xì)分為多個(gè)子模塊，后臺(tái)管理部分分為“用戶管理”，“資源管理”、“信息管理”、“通知管理”、“系統(tǒng)管理”、“日志統(tǒng)計(jì)”、“信息反饋”管理所有前端頁(yè)面的信息內(nèi)容。

　　此系統(tǒng)將所有的信息歸為一個(gè)“article”類，里面包含了標(biāo)題、作者、發(fā)布時(shí)間、修改時(shí)間、發(fā)布內(nèi)容、狀態(tài)、瀏覽次數(shù)，分類，附件、縮略圖等信息。發(fā)布內(nèi)容使用HTML格式存儲(chǔ)方便使用各種樣式，也便于插入圖片視頻等內(nèi)容。分類包含了所有可以出現(xiàn)的類型，如圖片、圖片組，視頻、文章、通知等，前臺(tái)根據(jù)不同的類型進(jìn)行不同樣式的展示。‘狀態(tài)’是在每一篇article 顯示之前必須判斷的，如經(jīng)過管理員審核，用戶發(fā)布信息不符合平臺(tái)要求對(duì)文章進(jìn)行屏蔽，刪除等效果。

　　系統(tǒng)還要使用緩存組件，將部分響應(yīng)數(shù)據(jù)加入緩存，減緩服務(wù)器壓力，同時(shí)也要做好限流，截流，和高速消息隊(duì)列，以保證高并發(fā)場(chǎng)景下系統(tǒng)的穩(wěn)定運(yùn)行。

　　五、結(jié)語(yǔ)

　　信息資源與服務(wù)平臺(tái)在新的互聯(lián)網(wǎng)時(shí)代要求更高，開發(fā)者需要針對(duì)不同的需求情況設(shè)計(jì)出一種或多種解決方案，本文通過分析信息資源平臺(tái)的特征和安全性，提出了設(shè)計(jì)方案，將類型多樣復(fù)雜的信息資源歸為一類，極大的簡(jiǎn)化了開發(fā)難度。

　　參考文獻(xiàn)

　　[1]祝彥斌，王春玲.一種Hash特征隱藏的加鹽信息摘要模型[J].計(jì)算機(jī)技術(shù)與發(fā)展，2013，23(03)：134-138.

　　[2]張淵博.網(wǎng)站反爬蟲策略的分析與研究[J].電子元器件與信息技術(shù)，2021，5(01)：14-15.

　　[3]張曉峰.基于ElasticSearch的智能搜索系統(tǒng)設(shè)計(jì)[J].江蘇通信，2021，37(03)：60-61+67.