運營管理

澤元“中央廚房”解決方案還提供了統一用戶認證、大數據統計分析、廣告管理、賬戶安全管理等功能服務,為媒體用戶平臺的運營管理提供支持,實現媒體資源的增值利用。

統一用戶認證

實現了用戶在多個應用系統中只需要登陸一次就可以訪問所有相互信任的應用系統。支持機構用戶基于機構IP范圍的訪問。

大數據統計分析

全面的訪問統計功能,可以統計PV(頁面訪問量)、UV(獨立用戶數)、IP(IP地址數)、客戶端情況,可以根據統計結果生成柱狀圖、餅狀圖或曲線圖。系統管理人員通過統計分析結果,能夠更好地掌握網站運行情況,并根據網站運行情況優化用戶體驗,最終提升網站的轉化率。平臺中所有的統計數據都支持導出Excel表格。

訪問統計不僅能夠統計整體訪問情況,還能夠逐級統計各欄目的訪問情況,并能夠統計不同的內容類型的訪問情況。平臺還內置了發布統計功能,能夠按部門、欄目、用戶分別統計編輯、審核、發布等各個環節的工作量。


總體情況

總體情況

訪問量排行

訪問量排行

忠誠度分析

忠誠度分析

點擊量來源

點擊量來源

客戶端情況

客戶端情況

廣告管理

廣告是很多網站的重要收入來源,往往以橫幅、多媒體動畫、文本鏈接等方式出現在頁面中顯眼的位置。對于非營利性網站,有時候也需要以彈出層、飄浮層等類似于廣告的形式將一些重要信息突出顯示。

澤元“中央廚房”解決方案中為媒體單位提供了矩形橫幅、彈出窗口、隨屏移動、固定位置、漂浮移動、對聯廣告等類型。一個版位里可以有多個廣告,廣告可以有圖片、動畫、文本、代碼等內容形式,同一個版位里的廣告可以按設定好的上下線時間自動更換。廣告的更換非常簡便,市場運營等部門的工作人員無需技術人員的協助即可自主更換廣告。

系統中的廣告版位被設計成可擴展的,二次開發人員可以通過注冊擴展項到廣告版位擴展服務的方式來實現新的廣告表現形式。系統還支持嵌入Google Adsense等第三方廣告代碼。

賬戶安全

SQL注入檢查

系統提供了全面的應用層安全機制,對主要的威脅網站安全的問題進行了系統的處理。系統中大部分數據庫操作都是基于ORM的,沒有SQL注入的可能。少部分非ORM的SQL語句也全部是基于QueryBuilder機制的,QueryBuilder要求所有的SQL條件都是基于參數的,不允許直接將字符串拼接到SQL語句中 。QueryBuilder是對參數化的Statement的封裝,它將傳入的參數作為字符串傳入Statement,防止傳入的參數侵入到SQL邏輯中并獲得執行,從而達到防止SQL注入的目的。

跨站腳本檢查

XSS(跨站腳本攻擊Cross Site Scripting) 攻擊者提交惡意HTML代碼到服務器端,如果服務器端未經檢查即輸出到HTML頁面,則其他用戶瀏覽該頁之時,嵌入其中Web里面的HTML代碼會被執行,從而達到攻擊者的特殊目的。XSS是常見的網站安全問題。

系統通過嚴格的參數檢查機制,對XSS進行了周密的防范。任何傳遞給服務器的HTTP請求(無論是get還是post請求),請求中的參數默認只允許字母、數字、下劃線等無危害字符,不允許有單引號和雙引號等特殊字符,如果參數中有特殊字符,則系統自動攔截請求并重定向到錯誤頁面。如果頁面確實需要接受含有特殊字符的參數,則相應的后臺方法需要使用 @Verify 注解作特別聲明,并在方法中檢查參數是否合法或進行HTML轉義存儲。

 防止非法文件上傳

系統使用基于Flash的上傳控件,在文件上傳前檢查了文件的擴展名,只允許擴展名在指定的擴展名列表中的文件上傳到服務器。同時在服務器后臺在文件保存到磁盤之前也再次檢查了文件擴展名,只有擴展名被允許的文件才會寫入到磁盤。

系統中所有上傳的文件保存之前還會檢查文件路徑,只允許保存在指定的目錄下,該目錄一般由WEB服務器負責解析,只支持靜態的.html和.shtml文件,不支持PHP/JSP等動態頁面執行。

另外,系統被設計成可以在低級別操作系統權限下運行,系統只需要對應用目錄和發布文件所有目錄(通常是wwwroot)擁有讀寫權限即可正常運行。系統建議運行在非root用戶下。

通過以上措施,系統很好地防止非法上傳程序到服務器,防止服務器被安裝WebShell或被掛馬。

 權限控制體系

除了防止未登錄用戶通過SQL注入、XSS、非法上傳文件等方式破壞系統外,系統還對合法登錄用戶的行為進行了嚴格的權限檢查,以防止低權限用戶非法越權進行高權限操作。

系統對所有的頁面都加入了權限聲明,例如:

<z:priv priv="Platform.Branch" />

此語句限制了當前頁面只有擁有 Platorm.Branch 權限項(即機構管理權限項)的己登錄用戶才能訪問,如果未登錄或者未被授予 Platform.Branch 權限項,則直接重定向權限不足頁面,后續頁面邏輯將不會執行。

系統不僅支持頁面級別的權限檢查,還支持對頁面中的按鈕、控件、顯示區域進行細粒度的權限檢查,可以方便、靈活地為不同的按鈕賦予不同的權限項,只有當前用戶的權限項滿足按鈕要求的權限項時,該按鈕才對用戶可見或可用。

系統還對所有的后臺方法進行了權限檢查,后臺方法被調用時,系統框架會檢查該方法的 @Priv 注解,如果當前用戶不滿足 @Priv 注解中要求的權限,則該方法中的程序邏輯不會被執行,并會提示用戶權限不足。