摘要：隨著信息化的發展，信息資源與服務平臺也在不斷的更新換代。目前，互聯網普及全面，云計算、大數據聲名鵲起，信息資源與服務平臺的建設效果參差不齊，大部分平臺還停留在上一代。基于此，本文提出了新型信息資源與服務平臺的設計。

　　關鍵詞：信息資源與服務 信息系統

　　一、信息資源與服務平臺設計概述

　　信息資源與服務平臺核心在于完成信息資源共享，和信息資源服務。其主要特點有信息即時性，數據持久性，操作便利性，控制穩定性，服務高效性等。在項目建設時需要摒棄以往的“一體化”舊思維，將項目的各個部分分為多個層次，形成“低耦合，高內聚”，使平臺的擴展性及復用性更強，靈敏度更高。可以利用云計算提升整體算力，也可以有效防止宕機事件發生。

　　二、信息資源與服務平臺特征分析

　　Ⅰ.功能性

　　適合性：有用戶文檔且其中說明的軟件主要功能點全部實現。

　　準確性：軟件定位準確，響應數據準確，資源位置準確，圖片、視頻加載準確，資源下載準確。

　　互操作性：軟件可以將后臺用戶發布信息及時展示、便于用戶實時查看最新消息，能夠將相關統計數據信息導出到excel，便于管理員后期使用。

　　安全保密性：軟件通過驗證用戶名和密碼等方式來防止非法使用，并提供用戶賬號控制，IP限制等安全措施。

　　Ⅱ.可靠性

　　成熟性：軟件運行穩定，在長時間的運行過程中不會出現響應突然中斷，或者暫停運行，以及自動停止運行的情況。

　　容錯性：軟件對用戶的錯誤操作或者錯誤數據能夠有效的解決并返饋給用戶，用戶的非正常操作不會對軟件本身造成影響，軟件內部異常有日志輸出。

　　易恢復性：在軟件失效情況下，可以通過重新啟動軟件的方式進行正常恢復。

　　Ⅲ.易用性

　　易理解性：軟件界面、提示、消息、結果易于識別和理解。可點擊部分會出現點擊標識，可跳轉部分點擊即可跳轉，特殊輸入格式有詳細說明，界面無重疊，無亂碼。

　　易學習性：提供用戶文檔，對軟件的功能及操作有詳細的說明，復雜部分有演示。

　　易操作性：軟件操作流程符合用戶習慣，提供了選擇項等輔助輸入措施，對刪除重要數據的操作具有提示且要求確認。

　　Ⅳ.維護性

　　易分析性：軟件出錯時會產生相應的提示信息，用戶可以根據所得到的信息來分析實際的失效原因。

　　易測試性：軟件不需要其他附加測試設施就可進行測試。

　　Ⅴ.可移植性

　　適應性：軟件可以適應規定的軟件和硬件環境。

　　共存性：軟件運行環境與其他軟件不會發生沖突，兩者或多者可以獨立完整的穩定的運行。

　　三、安全性分析

　　安全性問題是軟件系統核心問題，此系統將從以下六點分析軟件的安全性。

　　3.1、認證

　　認證采用傳統的賬號密碼認證是不夠的，為提升系統靈敏性認證加入手機驗證碼，郵箱驗證碼，微信等認證渠道，同時在邏輯上加入提交次數鎖定功能，防止反復套試密碼，達到次數后在一定時間范圍內鎖定賬號禁止賬號登錄。認證頁面給出記住功能，該功能實現在完成認證之后的一定時間內再次進入跳過認證。另外，系統還要分析用戶登錄IP分析常用設備，在較大幅度上更換會進行再認證。

　　3.2、權限隔離

　　管理權限擁有最高權限，可以對平臺所有內容進行讀寫操作;角色權限，對所有角色進行增刪改查;審核權限，對用戶及用戶行為進行管理，對資源及資源部分類容有審核修改權限;用戶權限，對用戶本身行為，進行修改。平臺本身利用安全框架實現權限隔離，確定信息資源的最低權限，權限低于最低權限無法繼續操作。

　　3.3、反爬蟲

　　使用基于IP的反爬蟲機制[2]，后臺使用攔截器，針對每一個請求，分析其IP，對于單位時間內請求次數過多，刷新次數頻繁，將IP加入黑名單，對IP進行封禁。也可以在請求cookie里面設置一個key在沒有攜帶的情況下要求請求行為首先要實現登錄才可以繼續訪問。

　　3.4、防止XSS攻擊

　　防止XSS攻擊(跨站腳本攻擊)，需要對輸入進行過濾，對輸出進行編碼。輸入過濾是將輸入信息以及URL參數進行過濾，對與每一個輸入在客戶端以及服務端都需要進行驗證，使用字符白名單或字符黑名單過濾非法字符。對輸出進行編碼，是對輸出到頁面的內容通過HTML等編碼工具，對其進行編碼和轉義。

　　3.5、防止SQL注入

　　后臺時用持久層框架，直接使用可以很好的防止SQL注入，在一些特別之處設置字符過濾，從而防止SQL注入。

　　3.6、不可逆加密

　　不可逆加密是通過Hash算法使數據加密之后無法解密回原數據，相比于傳統的加密/解密方法，不可逆加密更安全，目前可以使用MD5、SHA系列等算法，在用戶填寫如密碼之類的重要信息時，使用SHA-× + 隨機鹽[1](Salt)+ 密鑰對其進行Hash處理，得到Hash值，將Hash值存放在數據庫，之后需要用到的視乎用相同的方法得到一個Hash值，比較兩者是否相同即可。

　　四、設計思路

　　由于功能的復雜性，系統基于B/S 架構模式，采用SpringBoot 開發框架，數據庫使用關系型數據庫MySQL和全文檢索引擎Elasticsearch 配合使用，基礎數據均保存在MySQL中并使用Elasticsearch [3]對數據庫進行索引和檢索實現數據快速響應和大量數據存儲。

　　系統將分為后臺管理和前臺展示兩大部分，前臺展示擁有“用戶登錄”、“訂閱”、“通知公告”、“下載中心”、“資源導航”、“熱門信息”，“服務大廳”，幾大模塊，各模塊有細分為多個子模塊，后臺管理部分分為“用戶管理”，“資源管理”、“信息管理”、“通知管理”、“系統管理”、“日志統計”、“信息反饋”管理所有前端頁面的信息內容。

　　此系統將所有的信息歸為一個“article”類，里面包含了標題、作者、發布時間、修改時間、發布內容、狀態、瀏覽次數，分類，附件、縮略圖等信息。發布內容使用HTML格式存儲方便使用各種樣式，也便于插入圖片視頻等內容。分類包含了所有可以出現的類型，如圖片、圖片組，視頻、文章、通知等，前臺根據不同的類型進行不同樣式的展示。‘狀態’是在每一篇article 顯示之前必須判斷的，如經過管理員審核，用戶發布信息不符合平臺要求對文章進行屏蔽，刪除等效果。

　　系統還要使用緩存組件，將部分響應數據加入緩存，減緩服務器壓力，同時也要做好限流，截流，和高速消息隊列，以保證高并發場景下系統的穩定運行。

　　五、結語

　　信息資源與服務平臺在新的互聯網時代要求更高，開發者需要針對不同的需求情況設計出一種或多種解決方案，本文通過分析信息資源平臺的特征和安全性，提出了設計方案，將類型多樣復雜的信息資源歸為一類，極大的簡化了開發難度。

　　參考文獻

　　[1]祝彥斌，王春玲.一種Hash特征隱藏的加鹽信息摘要模型[J].計算機技術與發展，2013，23(03)：134-138.

　　[2]張淵博.網站反爬蟲策略的分析與研究[J].電子元器件與信息技術，2021，5(01)：14-15.

　　[3]張曉峰.基于ElasticSearch的智能搜索系統設計[J].江蘇通信，2021，37(03)：60-61+67.