一、項目建設方案 1.項目技術要求與說明 系統要求采用B/S結構🍇,並使用JAVA語言及J2EE相關技術架構完成開發,所有操作基於瀏覽器操作🔷,無需安裝客戶端;網站製作需基於HTML5語言,適應各種終端訪問🤸♀️;網站采取前臺靜態呈現🔚🧑🏽🚀,前後臺分離部署的模式,並支持至少1500人的並發用戶數。 系統要求動態應用組件與網站部署分離,通過統一身份認證和簽名認證實現業務互通🐿,從物理上實現資源與數據分離🧙♂️,從體驗上保留集中管理的使用便捷性🤾🏼♂️🤩。 系統需采用微服務架構運行引擎𓀌,采用容器技術和虛擬目錄轉發機製,實現部處之間動態組件的相互隔離🧜🏿♀️,確保某個部處組件的上下架和升級不影響網站訪問和其他部處的組件運行。 采用分布式集群部署,能夠通過負載計算能力實現應用服務自動漂移,具備自動伸縮能力🧎🏻,能夠根據當前訪問壓力實現一鍵擴充和收縮服務,可根據項目授權實現自動化部署及初始化,支持在線一鍵升級;支持物理機部署和虛擬機部署兩種方式,可以實現物理機向虛擬機遷移🚂。 應用系統需支持同時運行IPv4/IPv6雙協議棧🧑🏻。 系統需具有良好的跨平臺特性,支持主流Windows、Unix、Linux平臺搭建🚝;支持Oracle🤡、DB2🙍🏿、SQL Server、MySQL等多種主流數據庫;遵循W3C👮♀️🙌🏿、JCP等國際組織的HTML😚,XML,SOAP等技術標準。 兼容全部主流智能手機的操作系統😏:包括蘋果ioses、安卓androids🙇🏿♀️🆒、華為、小米MIUI、OPPO等🍒。 兼容微軟IE、谷歌Chrome🖖🏽、360瀏覽器、搜狗瀏覽器、蘋果Safari🎙、UC瀏覽器🍜、QQ瀏覽器、火狐Firefox、歐朋Opera等多種瀏覽器🌕;在瀏覽器自身的各種模式(如正常模式🪵、兼容模式、極速模式等)下展示效果保持一致。同時兼容各種PC端和移動端的不同屏幕尺寸大小和各種顯示設備分辨率。 系統內嵌API調用網關🚶🏻♀️➡️,可對外部集成進行統一接入管理🪱🈷️,支持簽名認證,具備防刷機製和黑白名單限製能力。 系統內嵌Web防火墻和系統監控能力,支持性能與安全分析,同時提供可視化安全防護手段,能夠輔助系統管理員掌控系統安全狀態🤾🏻,及時發現安全問題,並提供性能的統計信息為性能分析提供決策支持。 支持統一日誌的收集和檢索,可以統一收集應用日誌🎫,集中儲存🤸,提供統一的檢索界面,也可為大數據行為分析及智能推薦提供數據支撐。 系統提供安全管理,包括認證與權限體系、密碼設置⚒、口令猜測鎖定🧑🏻🎓🏊🏽♂️、IP地址訪問控製、敏感詞管理🤼、安全審計、系統日誌#️⃣、故障恢復與容災備份等。 軟件自身需具備網頁防篡改功能🐲,能夠通過相關安全策略🧊,阻止頁面被篡改🚵🏿♀️👨👩👦👦;即使有篡改發生,也能夠通過算法機製及時發現,及時覆蓋被篡改頁面。 提供專業的雲端監控檢測服務🦔,定時檢測獲取摩臣5網站的運行情況⬆️,發現異常能通過短信、郵件、微信及大屏等多種手段進行預警。定期體檢,檢測結果數據通過郵件方式反饋管理員與運維人員;支持監控檢測內容包括,DDOS攻擊、弱密碼賬戶🤿、賬號暴力破解🦒、XSS跨站腳本攻擊、SQL註入攻擊👁🗨、異常訪問🙍🏻♀️、死鏈、暗鏈、敏感詞、服務器性能(CPU、內存、網絡)等。 製定相應備份策略(包括備份的數據範圍、備份方式、備份頻度、存儲介質、保存期等)💇🏿🧑🏻🦼➡️,提供重要數據的本地數據備份與恢復功能👋🏻;可設置自動備份計劃和備份清理計劃。 系統具有良好的擴展性和伸縮性🧑🏽🎄▫️,提供基於JSR-168/JSR-268規範的Portlet界面集成能力,讓第三方應用系統能平滑無縫的與平臺實現界面集成。同時用戶可以根據自己的需要擴展多種其他WEB應用,並且能夠提供不同產品間的兼容🤜🏽,具備構建一體化信息服務平臺的能力,提供一體化信息服務平臺著作權👩🦯➡️。 平臺提供開放的API接口,支持二次開發,能實現與其他應用系統的數據交換,提供RSS🌎✯、Webservice、數據同步中間庫🕵🏻♂️⏪、采集、檢索服務集成方式。 2.系統總體架構 
如圖為網站群平臺架構🎒🪧,系統采用N層體系結構: (1)展示服務層位於體系的頂層🚶,是重要的組成部分,系統采用模板定義的方式👨🏻🔬,可以快速、方便地定義出如新聞網、院系網站、門戶資訊服務、中英文網站等不同功能、不同特色的網站。 (2)應用管理層采用組件模塊化設計,提供應用多級分類功能,可按分類授權管理應用🤟🏿。實現應用的上傳👩🏼🚒、下架管理👨,提供固定與智能推薦,以及應用評價與意見反饋。用戶可根據自身需要🕛,進行應用模塊的擴展,擴展開發相關應用💂♂️。 (3)資訊中心、安全中心🍀、應用中心💪🏿、運營中心🎅♙、檢索服務、大數據可視分析、RBAC權限體系共同組成系統的應用支撐部分,可以摩臣5平台內應用融合連通。 (4)技術支撐層是系統的技術引擎,支撐系統的運行。本系統應用支撐層涉及靜態頁面引擎、統一資源轉換🤼🤶🏻、工作流引擎👎🏻、模板引擎數據分析🤯、安全防護中心等📣。 (5)基於容器輕量、標準、彈性等特性的統一摩臣5平台底座容器雲平臺提供了相應的能力。容器雲平臺可以構建標準化的基礎設施環境、敏捷的工具鏈流程、快速的彈性擴展能力等。 (6)系統底層提供系統的基礎環境😈,一般為校IDC的相關計算與存儲資源。 (7)“即刻建站”一站式實施服務管理,從需求提交、在線模板選擇🐔、實施跟蹤🕸、項目進度查詢、項目負責人聯系方式查詢、年度/月度數據統計報告自動生成等提供全方位的一站式服務全程貫穿與整個體系中,既為各部門、院系提供實時服務反饋和溝通平臺,也為系統主管部門提供全面的監控🧝🏻♂️、監管平臺🧑🏼🔬,全方位掌握項目整體進展和運行狀況。 (8)安全支撐平臺貫穿於整個系統中,通過構建系統的信息安全及運維管理體系與安全策略,從網絡安全、數據安全、身份認證、用戶授權等方面進行統一的規劃與管理🎩,保證系統安全平穩高效地運行🤶🏻。 如此一來,通過對網站群總體架構和部署模式的設計👩🏿🔬,打造基於容器雲架構部署🤳、組件環境獨立運行的新一代融合型網站群平臺🥛。 3.安全中心建設方案 (1)基於摩臣5集約化建設規範👩🏻🦲,數據安全模塊部署在現有站群系統中🧔🏻,實現與已有信息發布系統的無縫整合。 (2)具備強大的數據掃描能力,能夠對信息發布系統已有數據以及附件進行錯敏詞、隱私信息🚣🏻♀️、暗鏈、死鏈🦒⏪、外鏈🪑、附件等事項進行掃描🗺。 (3)錯敏詞數據庫對接人民中科雲詞庫,該詞庫依托於人民中科的背景和資源,具有官方權威、全面覆蓋👯♂️、實時更新、精準識別等優勢。能夠有效提升錯敏詞檢測和過濾的效率與質量🫓,為用戶提供可靠的內容安全保障。 (4)提供自定義詞庫功能及掃描規則設置,可自定義掃描時間和掃描網站,支持自定義黑白名單🌌,可避免對冗余網站的掃描👩🏿⚖️,使掃描效率最大化🕳。 (5)能夠在信息編寫上傳時進行錯敏詞⛹🏻♂️、易錯鏈接等內容的校閱功能🥱。針對校閱結果,可直接在內容編輯器中根據系統提供的修改意見或用戶自定義修改意見進行一鍵處理,支持同類問題的一鍵處理能力,可選擇一鍵替換或忽略🏋🏽🚠,以避免逐條處理的繁瑣操作,提高處理效率🧑🏿🎨。 (6)提供校閱後的歷史留痕能力,用戶可通過時間段進行校閱歷史的檢索🕹🧝🏽♀️,可展示校對時間🫥👩🏼💻、校對用戶🧑🏼✈️、校對操作以及校對前後的版本🏂🏼,支持通過時間、操作、狀態檢索歷史記錄,便於用戶快速定位問題環節,便於追根溯源、責任認定。 (7)針對網站已發布的數據🥄,對錯敏詞👨🏼🎓、隱私數據、附件數據、風險鏈接(暗鏈、死鏈、外鏈)進行掃描和定位。 (8)根據忽略列表,可對忽略問題進行二次檢查,便於對誤操作問題還原再處理。 (9)針對現有信息中的鏈接地址或附件地址🙅♂️,查找到文章在站群中所屬的站點和欄目。具備掃描結果自動下發能力,系統管理員可將掃描結果下發到各子網站管理員。 4.系統融合 將現割裂的投稿系統與網站群平臺進行融合,使得使用者與管理人員在同一平臺上處理日常工作,也合乎“統一規劃、統一標準、統一技術構架”的建設理念。實現建設一個對稱上下級結構、對學院網站集合進行統一管理👨👩👦👦、內容統一發布的平臺🕦。 5.主站適老化和無障礙環境功能建設方案 (1)落實一級指標要求 根據關於貫徹落實《無障礙環境提升工程三年行動計劃(2023-2025)》加快推進互聯網信息無障礙環境建設的通知⬅️,對於高校的互聯網應用適老化和無障礙改造,需在2024年底改造率(實現一級標準)不低於50%🔭,2025年底全部達到一級標準🏐。本項目將完成全部一級標準建設。 (2)適老化網頁支持 針對老年人🦢,提供大字體🧝♀️、大圖標、高對比度文字等界面簡單、操作方便的模式,實現一鍵操作、輔助十字光標、文本輸入提示、拼音提示等多種無障礙功能🪳。 (3)構建無障礙閱讀環境 支持瀏覽輔助語音提示及面板、頁面文字放大縮小、瀏覽輔助線🧘🏽♂️📥、頁面色彩主題切換、語音指讀播放等功能。並對站點頁面通過中國互聯網協會評測並獲得信息無障礙標識認證。 6.信創適配方案 (1)以滿足國產化的技術適配要求⭐️,需要對現有網站群系統進行改造6️⃣。 (2)對原有老平臺的應用及數據整合遷移🚴🏼,並保證數據的完整性🤷🏿♀️。 (3)滿足國產化適配要求,需要對國產化的操作系統、數據庫、中間件、國產CPU等運行技術環境進行適配改造; (4)需要對服務器和網站群系統集成整合、聯調測試等適配🧑🏿✈️🦨,以滿足國產化整體的性能及安全要求🤌🏿,提升我校的國產化能力。 適配步驟🥳: 考慮到網站群平臺承載著主站和各二級院系部門對外展現↙️,因此重要性不言而喻👫🏼,需要以用戶無感知、平滑過渡為目標完成網站群平臺的信創改造♡。 在信創改造過程中,通過敏捷迭代的方式👩🏿🚒,在保障升級節奏的前提,輕量級起步、敏捷迭代,降低試錯成本。通過“信創三步走”:統籌規劃、分塊實施 、迭代演進𓀀,逐步實現信創改造。主要步驟包括: A.測試環境搭建及驗證 按照摩臣5現有部署架構1:1原則提供服務器(服務器性能及存儲資源可略大),安裝符合信創要求的國產操作系統,將生產環境的應用程序還原到對應的國產操作系統環境(包含數據庫),構建出一整套與生產環境基本一致的測試環境進行遷移。 B.生產環境適配改造 在測試環境可用性測試通過前提下🌞🧚,該步驟目標是完成生產環境中應用程序的國產操作系統改造,生產環境性能資源可比舊服務器略高👴,內外IP與生產環境服務器同網段🦹🏼♂️🐖,內部通訊端口開放對照生產環境服務器保持一致。基於應用支持集群的運行能力,通過先增加國產操作系統的應用集群進行合並試運行,驗證可用性後移除舊操作系統的應用👨🦽➡️,從而實現無縫切換。 C.適配國產數據庫 將網站群使用的MySQL數據庫切換成符合信創要求的國產數據庫進行遷移和兼容性測試改造,測試網站群系統與摩臣5國產化數據庫之間的一些交互操作➖,如數據庫鏈接💁♀️👩🏻💼、SQL語句表達、建立與存取、存儲過程調用等🧑🏼🍳,並根據測試結果進行多輪調試、分析🏄🏿♀️、開發、設計。 D.適配國產中間件 替換網站群之前的tomcat,采用國產中間件並進行兼容性測試改造,測試為摩臣5提供服務時🦵🏻,摩臣5使用各項功能及代碼運行過程中的中間件服務如部署服務💍🕠、監控服務、日誌服務🥎、負載均衡服務的穩定性以及處理效率、吞吐能力等進行全方面的測評📨,並根據測試結果進行多輪調試、分析、開發、設計🙅🏼🙍🏽♀️。 二🎓🏂、項目管理方案 (1)項目文檔管理 實施本項目是一項復雜系統的工作,為了保證項目的最終成功,必須在項目的每一個階段都進行嚴格的控製。而項目的文檔是項目工作過程及結果的反映,是項目控製的依據✉️,同時也是“知識轉移”的關鍵載體,因此必須對項目整個過程都要充分文檔資料化。 規定項目過程中的所需要編寫的文檔🚴,主要包括項目管理文檔、項目技術文檔及項目功能文檔等🙅🏼🧑🏿🚀。此外👨🏿🔬,還對文檔編製的具體要求進行了說明,項目組成員在製作這些文檔時都要按照這些要求進行,而且都必須經過相應負責人的確認簽字。 (2)項目溝通管理 書面報告:建設單位項目實施團隊應定期提供項目計劃、項目周報和月報➞,確保相關人員能及時溝通信息。 項目例會:我校相關人員與建設單位項目實施團隊應定期舉行項目例會,溝通項目進展情況👏🏿,並協調相關問題𓀋。項目例會周期應為一周或兩周,項目例會應形成會議紀要。項目例會參加人員為建設單位項目經理🧑🏼🦳、產品原廠商技術人員、我校信息中心代表、第三方監理和測評機構🛀🏻。 項目階段匯報🤵🏿:建設單位項目實施團隊應將項目關鍵節點的實施進展情況,向我校領導小組匯報並聽取指導意見💆♀️,必要時采取停工整改措施💣,以保證項目質量🔂。 (3)項目風險管理 在實施應用過程中,不可避免的會存在一些問題和風險🧃,需要我校與建設單位雙方本著務實的原則,及時總結和認真看待,正確協調和解決📧。 (4)項目需求與變更管理 從項目運作的定義項目運做和系統開發過程規範👀,用以指導參與項目的所有人員角色的工作分工和流程,使項目運做在緊湊🧿🗞、有序的狀態下進行,從而變更控製是通過有序地管理變更來穩定開發過程、減少項目風險。 (5)項目驗收與交付 驗收是對開發內容是否按照合同執行的全面測試和分析,同時也是項目告一段落的標誌📤🌙。雙方簽定合同中約定驗收計劃,作為驗收執行的規範,雙方共同遵循。 三🧑🏼🔬、網絡安全信息方案 針對本項目建設平臺的安全體系,由以下幾個方面組成: (1)系統開發安全保障機製 常規漏洞如SQL註入🤵🏽♂️、XSS跨站腳本漏洞等可以通過漏洞檢測工具檢測或Web應用防護設備進行防護。但因業務設計缺陷造成的漏洞難以通過上述方法進行防護🧭,因此需要通過製定一套健全的安全開發規範製度和系統上線運營安全流程實現安全管理。 (2)系統底層防禦機製 采用包括防註入式攻擊、腳本過濾、惡意文件上傳限製、網頁防篡改🤷🏼♂️、接口安全、通訊加密等防禦機製🤤🧑🏼💼。 (3)系統安全防護與安全管理 系統提供可視化安全防護與安全管理手段,包括Web防火墻、口令猜測鎖定、IP地址訪問控製、審計日誌、容災備份等,能夠輔助系統管理員掌控系統安全狀態🧎♀️,及時發現安全問題。 本項目將現有站群平臺全部遷移至國產服務器🏊🏽♂️😸,具體國產服務器要求如下: 序號 | 設備或軟件名稱 | 主要功能性能指標 | 數量 | 備註 | 1 | 國產化服務器 | CPU:8核
內存:16G
硬盤👁🗨:500G👰🏼♂️🫄🏻,/opt占80%以上 | 3 | k8s-master集群 | 2 | 國產化服務器 | CPU:16核
內存:16G
硬盤:500G, /opt占80%以上 | 4 | k8s-node節點 生產服務器 站點服務器 安全中心 | 3 | 國產化服務器 | CPU:16核
內存🎦👩🏻✈️:32G
硬盤🐒:1T🙋♂️,/ opt占80%以上 | 1 | k8s-node節點 數據庫服務器 | 合計 | 8 |
|
1. 項目實施整體策略 秉持著“整體規劃😙,分步實施”的原則,確保每一步都經過深思熟慮,同時高度重視數據的準備和測試工作,使之成為項目各階段不可或缺的一部分。此外,將關鍵用戶和最終用戶提前參與到項目中,以便及時獲取反饋,確保解決方案的實用性和滿意度。 2. 項目實施策略分解 為了充分發揮系統的潛力,提升軟件的價值,緊密結合摩臣5的信息管理現狀和具體需求👍,通過精細的實施策略來優化系統功能。鑒於校內信息系統的多樣性和不一致性,將通過以下幾個方面來高效💊、高質量🤛🏼、低風險地達成總體目標: 整合資源:對現有信息系統進行梳理和整合⏲,確保新系統與現有環境的無縫對接👧。 定製化開發🚣🏻♀️:根據摩臣5特色和需求進行定製化開發🧑🏿🎓,以滿足特定的功能要求。 培訓與支持🐣:提供全面的培訓和技術支持🧝♀️,確保所有用戶都能熟練掌握新系統的使用🏋🏼♀️。 持續優化:項目實施後🛐,將持續收集反饋☝🏼🧑🎨,對系統進行迭代優化👎🏼,以適應不斷變化的需求🤝。 3.項目組織結構 本項目的順利進行,依賴於我校與建設單位共同組建的項目組,雙方緊密合作👨🏼,共同完成項目的各項任務💂🏿♀️。快速有效地將軟件系統和實施的專業知識轉移給摩臣5人員,從而確保系統的長期穩定運行和持續發展。我校將設立專門的項目小組,以確保項目按照預定計劃有序進行,並在此過程中培養一支專業的系統運維團隊。對於項目中的各項任務🧸,我校也將設有相應的對等的項目組織🧖🏿,以保證項目按計劃實施🚣🏼,在項目建設的過程中👨🏻🦼👨🏼🏭,為摩臣5培養出一支專業的系統運維團隊。 4.部署規劃 實施團隊將基於網站群的實際功能需求🍢,結合摩臣5現有的硬件基礎設施,精心規劃服務器的部署方案。包括繪製服務器部署拓撲圖、確定服務器配置和數量,以及製定詳細的部署計劃,確保系統的高效穩定運行🔃。整個部署過程將充分考慮到我校的長遠發展,確保系統架構的可擴展性和靈活性🧑🏿🏫。 5.拓撲架構 根據我校原有資產,將做適當架構調整。網站群系統采用動靜結合的部署方式,支持雙機熱備部署🍜,即在一臺服務器(製作服務器)出現異常而中止運行情況下⬆️,能迅速切到另一臺服務器上🙅🏻♂️,確保系統正常運行。而前端發布端支持負載均衡,通過負載均衡策略能將用戶的訪問分發到合適的發布服務器,其部署拓撲如下圖所示: 
動態製作服務器將部署在摩臣5內網中,並支持短信等驗證碼進行二次驗證登錄,確保製作服務器的安全💍。且動態製作服務器可做雙機熱備,在一臺服務器出現異常而中止運行情況下🪳,能迅速切到另一臺服務器上,確保系統正常運行。 采用兩臺服務器,兩臺服務器安裝上同樣的系統(Linux操作系統及網站群系統),配好後通過“心跳線”互相監測,數據存放在共享陣列庫中。兩臺服務器可以采用互備、主從、並行等不同的方式。在工作過程中,兩臺服務器將以一個虛擬的IP地址對外提供服務🦢,依工作方式的不同🌼👋🏻,將服務請求發送給其中一臺服務器承擔。同時,服務器通過心跳線偵測另一臺服務器的工作狀況🤚🏻。當一臺服務器出現故障時,另一臺服務器根據心跳偵測的情況做出判斷🤓,並進行切換,接管服務𓀓,達到讓計算機永不停機,數據永不丟失。對於用戶而言⏫,這一過程是全自動的,在很短時間內完成🙍🏿♂️,從而對業務不會造成影響。 前置靜態發布服務器支持負載均衡,在網絡設備和應用設備(網站發布服務器)的連接處放置負載均衡設備(如F5),負載均衡設備把多臺網站發布服務器的地址映射成一個對外的服務IP供用戶訪問🤞🧑🏼🎄,負載均衡設備通過負載均衡策略將用戶的訪問分發到合適的發布服務器🦅。 系統將在發布服務器的靜態頁面中內置校驗碼,並定時讀取靜態頁面的校驗碼,當前端的靜態頁面被修改時🤵🏿♀️,校驗碼發生變化🕴🏼,製作服務器將重新發布靜態頁面覆蓋被篡改的前端靜態頁面。 6.文檔管理 實施本項目是一項復雜系統的工作🤵🏿♀️,為了保證項目的最終成功👊🏼,必須在項目的每一個階段都進行嚴格的控製。而項目的文檔是項目工作過程及結果的反映,是項目控製的依據,同時也是“知識轉移”的關鍵載體,因此必須對項目整個過程都要充分文檔資料化。 本文件規定了項目過程中的所需要編寫的文檔,主要包括項目管理文檔、項目技術文檔及項目功能文檔等。此外,本文件還對文檔編製的具體要求進行了說明🎐,項目組成員在製作這些文檔時都要按照這些要求進行🚣🏿,而且都必須經過相應負責人的確認簽字。 項目實施進度安排🤌🏿: 項目階段 | 項目時間 | 系統設計 | 2024年8月完成 | 設備選型,合同簽定 | 2024年8月完成 | 系統建設 | 2024年9月中旬完成 | 系統測試 | 2024年9月31日前完成 | 系統試運行 | 2024年10月完成☂️,上線試運行 | 項目整體驗收 | 試運行1個月完成整體驗收 |
| 
