摘要：隨著信息化的發(fā)展，信息資源與服務(wù)平臺也在不斷的更新?lián)Q代。目前，互聯(lián)網(wǎng)普及全面，云計算、大數(shù)據(jù)聲名鵲起，信息資源與服務(wù)平臺的建設(shè)效果參差不齊，大部分平臺還停留在上一代。基于此，本文提出了新型信息資源與服務(wù)平臺的設(shè)計。

　　關(guān)鍵詞：信息資源與服務(wù) 信息系統(tǒng)

　　一、信息資源與服務(wù)平臺設(shè)計概述

　　信息資源與服務(wù)平臺核心在于完成信息資源共享，和信息資源服務(wù)。其主要特點有信息即時性，數(shù)據(jù)持久性，操作便利性，控制穩(wěn)定性，服務(wù)高效性等。在項目建設(shè)時需要摒棄以往的“一體化”舊思維，將項目的各個部分分為多個層次，形成“低耦合，高內(nèi)聚”，使平臺的擴(kuò)展性及復(fù)用性更強，靈敏度更高。可以利用云計算提升整體算力，也可以有效防止宕機(jī)事件發(fā)生。

　　二、信息資源與服務(wù)平臺特征分析

　　Ⅰ.功能性

　　適合性：有用戶文檔且其中說明的軟件主要功能點全部實現(xiàn)。

　　準(zhǔn)確性：軟件定位準(zhǔn)確，響應(yīng)數(shù)據(jù)準(zhǔn)確，資源位置準(zhǔn)確，圖片、視頻加載準(zhǔn)確，資源下載準(zhǔn)確。

　　互操作性：軟件可以將后臺用戶發(fā)布信息及時展示、便于用戶實時查看最新消息，能夠?qū)⑾嚓P(guān)統(tǒng)計數(shù)據(jù)信息導(dǎo)出到excel，便于管理員后期使用。

　　安全保密性：軟件通過驗證用戶名和密碼等方式來防止非法使用，并提供用戶賬號控制，IP限制等安全措施。

　　Ⅱ.可靠性

　　成熟性：軟件運行穩(wěn)定，在長時間的運行過程中不會出現(xiàn)響應(yīng)突然中斷，或者暫停運行，以及自動停止運行的情況。

　　容錯性：軟件對用戶的錯誤操作或者錯誤數(shù)據(jù)能夠有效的解決并返饋給用戶，用戶的非正常操作不會對軟件本身造成影響，軟件內(nèi)部異常有日志輸出。

　　易恢復(fù)性：在軟件失效情況下，可以通過重新啟動軟件的方式進(jìn)行正常恢復(fù)。

　　Ⅲ.易用性

　　易理解性：軟件界面、提示、消息、結(jié)果易于識別和理解。可點擊部分會出現(xiàn)點擊標(biāo)識，可跳轉(zhuǎn)部分點擊即可跳轉(zhuǎn)，特殊輸入格式有詳細(xì)說明，界面無重疊，無亂碼。

　　易學(xué)習(xí)性：提供用戶文檔，對軟件的功能及操作有詳細(xì)的說明，復(fù)雜部分有演示。

　　易操作性：軟件操作流程符合用戶習(xí)慣，提供了選擇項等輔助輸入措施，對刪除重要數(shù)據(jù)的操作具有提示且要求確認(rèn)。

　　Ⅳ.維護(hù)性

　　易分析性：軟件出錯時會產(chǎn)生相應(yīng)的提示信息，用戶可以根據(jù)所得到的信息來分析實際的失效原因。

　　易測試性：軟件不需要其他附加測試設(shè)施就可進(jìn)行測試。

　　Ⅴ.可移植性

　　適應(yīng)性：軟件可以適應(yīng)規(guī)定的軟件和硬件環(huán)境。

　　共存性：軟件運行環(huán)境與其他軟件不會發(fā)生沖突，兩者或多者可以獨立完整的穩(wěn)定的運行。

　　三、安全性分析

　　安全性問題是軟件系統(tǒng)核心問題，此系統(tǒng)將從以下六點分析軟件的安全性。

　　3.1、認(rèn)證

　　認(rèn)證采用傳統(tǒng)的賬號密碼認(rèn)證是不夠的，為提升系統(tǒng)靈敏性認(rèn)證加入手機(jī)驗證碼，郵箱驗證碼，微信等認(rèn)證渠道，同時在邏輯上加入提交次數(shù)鎖定功能，防止反復(fù)套試密碼，達(dá)到次數(shù)后在一定時間范圍內(nèi)鎖定賬號禁止賬號登錄。認(rèn)證頁面給出記住功能，該功能實現(xiàn)在完成認(rèn)證之后的一定時間內(nèi)再次進(jìn)入跳過認(rèn)證。另外，系統(tǒng)還要分析用戶登錄IP分析常用設(shè)備，在較大幅度上更換會進(jìn)行再認(rèn)證。

　　3.2、權(quán)限隔離

　　管理權(quán)限擁有最高權(quán)限，可以對平臺所有內(nèi)容進(jìn)行讀寫操作;角色權(quán)限，對所有角色進(jìn)行增刪改查;審核權(quán)限，對用戶及用戶行為進(jìn)行管理，對資源及資源部分類容有審核修改權(quán)限;用戶權(quán)限，對用戶本身行為，進(jìn)行修改。平臺本身利用安全框架實現(xiàn)權(quán)限隔離，確定信息資源的最低權(quán)限，權(quán)限低于最低權(quán)限無法繼續(xù)操作。

　　3.3、反爬蟲

　　使用基于IP的反爬蟲機(jī)制[2]，后臺使用攔截器，針對每一個請求，分析其IP，對于單位時間內(nèi)請求次數(shù)過多，刷新次數(shù)頻繁，將IP加入黑名單，對IP進(jìn)行封禁。也可以在請求cookie里面設(shè)置一個key在沒有攜帶的情況下要求請求行為首先要實現(xiàn)登錄才可以繼續(xù)訪問。

　　3.4、防止XSS攻擊

　　防止XSS攻擊(跨站腳本攻擊)，需要對輸入進(jìn)行過濾，對輸出進(jìn)行編碼。輸入過濾是將輸入信息以及URL參數(shù)進(jìn)行過濾，對與每一個輸入在客戶端以及服務(wù)端都需要進(jìn)行驗證，使用字符白名單或字符黑名單過濾非法字符。對輸出進(jìn)行編碼，是對輸出到頁面的內(nèi)容通過HTML等編碼工具，對其進(jìn)行編碼和轉(zhuǎn)義。

　　3.5、防止SQL注入

　　后臺時用持久層框架，直接使用可以很好的防止SQL注入，在一些特別之處設(shè)置字符過濾，從而防止SQL注入。

　　3.6、不可逆加密

　　不可逆加密是通過Hash算法使數(shù)據(jù)加密之后無法解密回原數(shù)據(jù)，相比于傳統(tǒng)的加密/解密方法，不可逆加密更安全，目前可以使用MD5、SHA系列等算法，在用戶填寫如密碼之類的重要信息時，使用SHA-× + 隨機(jī)鹽[1](Salt)+ 密鑰對其進(jìn)行Hash處理，得到Hash值，將Hash值存放在數(shù)據(jù)庫，之后需要用到的視乎用相同的方法得到一個Hash值，比較兩者是否相同即可。

　　四、設(shè)計思路

　　由于功能的復(fù)雜性，系統(tǒng)基于B/S 架構(gòu)模式，采用SpringBoot 開發(fā)框架，數(shù)據(jù)庫使用關(guān)系型數(shù)據(jù)庫MySQL和全文檢索引擎Elasticsearch 配合使用，基礎(chǔ)數(shù)據(jù)均保存在MySQL中并使用Elasticsearch [3]對數(shù)據(jù)庫進(jìn)行索引和檢索實現(xiàn)數(shù)據(jù)快速響應(yīng)和大量數(shù)據(jù)存儲。

　　系統(tǒng)將分為后臺管理和前臺展示兩大部分，前臺展示擁有“用戶登錄”、“訂閱”、“通知公告”、“下載中心”、“資源導(dǎo)航”、“熱門信息”，“服務(wù)大廳”，幾大模塊，各模塊有細(xì)分為多個子模塊，后臺管理部分分為“用戶管理”，“資源管理”、“信息管理”、“通知管理”、“系統(tǒng)管理”、“日志統(tǒng)計”、“信息反饋”管理所有前端頁面的信息內(nèi)容。

　　此系統(tǒng)將所有的信息歸為一個“article”類，里面包含了標(biāo)題、作者、發(fā)布時間、修改時間、發(fā)布內(nèi)容、狀態(tài)、瀏覽次數(shù)，分類，附件、縮略圖等信息。發(fā)布內(nèi)容使用HTML格式存儲方便使用各種樣式，也便于插入圖片視頻等內(nèi)容。分類包含了所有可以出現(xiàn)的類型，如圖片、圖片組，視頻、文章、通知等，前臺根據(jù)不同的類型進(jìn)行不同樣式的展示。‘狀態(tài)’是在每一篇article 顯示之前必須判斷的，如經(jīng)過管理員審核，用戶發(fā)布信息不符合平臺要求對文章進(jìn)行屏蔽，刪除等效果。

　　系統(tǒng)還要使用緩存組件，將部分響應(yīng)數(shù)據(jù)加入緩存，減緩服務(wù)器壓力，同時也要做好限流，截流，和高速消息隊列，以保證高并發(fā)場景下系統(tǒng)的穩(wěn)定運行。

　　五、結(jié)語

　　信息資源與服務(wù)平臺在新的互聯(lián)網(wǎng)時代要求更高，開發(fā)者需要針對不同的需求情況設(shè)計出一種或多種解決方案，本文通過分析信息資源平臺的特征和安全性，提出了設(shè)計方案，將類型多樣復(fù)雜的信息資源歸為一類，極大的簡化了開發(fā)難度。

　　參考文獻(xiàn)

　　[1]祝彥斌，王春玲.一種Hash特征隱藏的加鹽信息摘要模型[J].計算機(jī)技術(shù)與發(fā)展，2013，23(03)：134-138.

　　[2]張淵博.網(wǎng)站反爬蟲策略的分析與研究[J].電子元器件與信息技術(shù)，2021，5(01)：14-15.

　　[3]張曉峰.基于ElasticSearch的智能搜索系統(tǒng)設(shè)計[J].江蘇通信，2021，37(03)：60-61+67.