文/卞艺杰 张国宝 张新华 李景奇 郭晶 杨莉

河海大学“云雁”解决统一通讯难题

文/卞艺杰 张国宝 张新华 李景奇 郭晶 杨莉

随着学校校区的增多，人员活动范围也越来越大，师生经常在不同城市之间参加学术活动开展科学研究，学校内部消息无法及时传播，从而影响工作效率，造成沟通成本办公成本居高不下。

学校信息化的快速推进，各种业务应用系统越来越多，人事系统、科研系统、财务系统、教务系统、资产系统、后勤系统、学工系统、一卡通系统等，每一种系统都需要和师生用户进行交流，为了提升用户的体验，还需要提供主动的、实时的、随时随地的通讯交流和通知服务，每个系统都需要发送手机短信，电子邮件，即时通讯的QQ、微哨、微信信息，所以每个系统都要维护学生老师的个人通信地址信息，重复冗余。每个业务系统都需要和不同通讯的营运商、系统服务商联系、谈判，难于形成批量优势，通讯费用居高不下。

当用户的个人通信地址，如手机号码，电子邮件，QQ、微信发生变化以后，就需要到每个业务系统去更新和维护，不仅工作量大，还难免疏漏或差错。这时，高校迫切需要一种统一的、按姓名、按岗位来进行多种通讯方式的一个服务平台，建设基于云服务的高校统一通讯平台。

河海大学与相关公司潜心两年多不断改进版本，适应了大学的特殊的需要，保障学校的资源得到最大程度的共享、公用，提升用户体验，减少运行的复杂度和工作量，在云雁统一通讯平台原型的基础上，建设了基于云服务理念的河海大学统一通讯平台。

基于云服务的高校统一通讯平台是在高校统一的身份认证和学校组织架构体系，将校内办公通知、移动短信、即时消息、文件与音视频传输、以及电子邮件等多种通讯方式融合为一体化的、并具有面向应用的集成接口的基础通讯平台。整合与丰富现有组织内部的沟通方式，实现浏览器方式、PC客户端、移动客户端等应用多种用户体验，提高沟通的多样性和方便性，增强信息传递的针对性和及时性，为业务系统提供基础通讯云服务，提高组织内沟通效率。

平台功能架构

首先，由基于云服务的高校统一通讯平台分别与外部的各营运商的短信平台对接，与提供即时通讯服务的微哨平台对接，与微信公众号服务进行对接，与办公系统的通知公告对接、与电子邮件系统对接，并在平台层面进行统一身份认证与管理，通过平台分别封装为一个个的云服务；其次，开发不同类型的Web应用和客户端应用，在每一种应用中，都集成了短信、邮件、微哨等各种通讯服务功能，供学校师生进行沟通交流；再次，提供对各个系统的服务和服务集成接口（有的高校业务应用不支持云服务应用），使得各个业务系统能够方面地使用短信等通信功能服务，在系统中自动、批量的发送和接受有关信息。从而实现统一的云服务。

平台主要功能

基于云服务的高校统一通讯平台不仅要提供各种通讯的相关服务，而且还要提供开发出人工通讯使用的各种应用：Web应用、PC客户端、移动应用客户端等。

作为一个实用性的统一通讯应用平台，不仅需要具有通讯，发送接收各种信息的功能，还需要信息的集成、维护等的平台基础功能和相应的管理功能。

通讯基础信息维护功能

通讯基础信息维护功能主要有：集成和维护多维机构树的通讯录结构的建立，人员信息的收集维护。基于学校的组织架构对师生的通讯录进行在线管理和有序呈现。支持多级组织和多级群组。支持同一人员属于多组织。平台主要功能如图1所示。

1.机构与个人通讯信息

通讯录项目包括人员常用联系信息，如：移动电话、电子信箱、微信、微哨等信息，个人可以更新自己的联系信息和设定隐私信息。通讯录有灵活完善权限体系，支持部门管理员对权限范围内的人员信息进行维护。通讯录实现与统一身份认证的单点登录，实现与数据中心的组织、人员等基础数据的同步。

在河海大学的统一通讯平台中，学校的行政、党务、院系、直属机构、研究机构的信息都来自人事系统，并需要与人事系统进行同步。本科生的信息来自教务系统，并根据学院、系、专业、年级建立机构树。研究生由于和本科生不同，同时入学的研究生其毕业时间差异比较大，而且还有很繁的学科信息，所以集成的研究生管理系统的机构在学院后以年级为主。

为了进行通讯必须将人员的通讯地址信息收集到统一通讯平台中，并进行维护。有两种方式收集个人信息，一种是组织收集和录入，另一种方法是在人员首次使用系统时，都必须将自己的手机号、电子邮件、微信、QQ等信息填入到系统中，并且要进行安全性的设定，是公开还是不公开。所谓公开个人通讯信息是系统的用户、其他人可以看到他真实的手机号、邮件地址、微信号等，而不公开，别人可以利用统一通讯平台按姓名进行信息沟通，但是看不到真实的手机号等，也就是只能利用学校的云雁统一通讯平台发送信息。由于看不到手机号，所以别人不能在平台外向手机号码发送信息。

2.共有群与私有群

共有群是根据管理工作的需要，由管理部门建立的群。管理员在公有群发布的各种信息，群成员都会接收到，群成员不能屏蔽公有群信息。如根据工作需要教务处需要建立一个按照“用户身份为教学秘书”的职能特性来组织的群组，同样可以建立“科研秘书”、“组织秘书”、“教学院长”、“分工会主席”等很多群组。

图1 平台主要功能

在实际工作中，为了某个项目可能需要临时设置一个项目组，其中的人员来自多个部门，在这种情况下需要利用组织架构数据来生成群/组，以方便现实中的管理工作。群组支持多级多分，一人可以属于多群组。

部门的公共群组对部门人员可见，全局公共群组对所有组织内用户可见。

私有群，个人根据学习、工作、兴趣、生活等需要，建立的群组，如科研项目组，既可以包括不同学院的老师，也可以包括不同层级的有关学生。私有群由群主建立和指定群管理员。群可以“公开的”即其他人可以申请加入，也可以是“隐藏的”，只有群主或管理员能选择群成员。

3.个人通讯录

每个人可以建立自己的个人通讯录信息，个人通讯录视图中支持常用联系人、常用部门、最近联系人等视图。支持个人通讯录到云端同步管理，并提供联系人信息导入和导出功能，以便进行联系人数据的备份和恢复。

个人通讯录中还可以包括学校以外的自己经常联系的人员（业务联系人、家人、朋友等），以便利用统一通讯平台的低成本和便捷性与他们的联系沟通。

通讯功能

通过Web页、PC客户端、手机（pad）客户端进行人工的信息交流，客户端能够直接给对方联系人的平台、手机、邮件进行信息发送，个人可以设定几种方式的先后顺序。发送方式满足顺序性，成功后过程即停止。即时通讯具备是否在线的状态感知功能。

1.即时通讯功能

具有基于文本、音频、视频、文件等多媒体的点对点消息传输，满足主流操作系统Windows、Linux、iOS、Android等平台需求。支持单人、多人、群组各种对像的文本型会话，支持多种形式在线以及离线文件传输。有权限的用户可以发起语音、视频会议，会议成员可以从组织架构中联系人名单中选取。

为了便于推广和用户熟悉使用，河海大学的pc、手机客户端是集成了微信、微哨使用的，web方式是云雁统一通讯平台自制的。

2.短信功能

能够按师生的姓名来收发移动、联通、电信等全部三家公司的短信。具备常用短信模板，支持定时发送、群发；支持短信回复到指定手机号码。能够对发送到三个公司的短信分别按不同单价计费。还支持账户组，以便账户组中的成员用该公用账户中的经费支付短信费用。支持对短信费的配额管理。还可以对组织机构赊账，即使偶然忘了充值，也不影响通讯。

3.邮件等其他功能

利用统一通讯平台可以按姓名来发送邮件。

4.统一通讯云服务接口

云雁统一通讯平台支持数据库、Java、WebService等集成方式供学校的其他各种业务应用第三方集成，提供基于网络的统一通讯云服务。

基于云服务理念的应用系统集成接口

应用系统集成采用在WebService服务上扩展其他接口模式，所有的集成提供开放的组件、服务接口，只要进行简单的配置即可，包括：WebService服务、URL资源功能服务、API集成服务。

开放的认证接口，支持不同开发语言（Java、. net、ASP、PHP、C/C++、COM、Radius等接口）、不同应用服务器平台实现的应用系统的认证集成方式，提供WebService、API等方式集成服务。

为了与校内的主要具有机构和人员的管理系统，如人事系统、教务系统、研究生系统等进行数据集成，由于这些系统没有提供相应的数据服务，所以只有通过基于数据交换管理工具，支持交换周期、交换模型、交换方式等由用户进行设置或选择，数据交换管理工具解释执行的数据接口。根据现阶段的实际情况，为了适应更多数据集成方式，系统还能进行目前常用的交换接口方式包括文件交换：XML文件、DBF文件、Excel文件、TXT文件等；标准数据交换：共享视图、SQL操作；当然也支持采用ETL、MQ、WebService、ESB数据服务的交换方式，这是将来发展的方向。

管理功能

为了使平台具有实际的服务功能，除了具有按名按岗进行信息发送、统一通讯地址管理、数据与信息发送接口服务等核心功能外，平台还需要相应的管理功能。

1.通讯系统管理

需要采用开放的体系架构，管理统一通讯平台挂接的各类通讯媒介，以便很容易扩展新的通讯媒介。

该功能用来设置通讯媒介的相关连接参数及资费信息，并通过“是否显示”开关来设定该项目是否在用户的通讯方式基本信息栏中显示，通过“已集成”开关，来判定该通讯媒介是否已经集成处于可使用的状态。目前系统中已集成了“电子邮件”、“微哨”、“短信”、“微信”等。可以增加和删除某种通讯服务。

2.系统管理

为了增加系统的灵活性和功能的可扩展性，平台需要对一些“核心参数”和“编码”进行管理维护。

核心参数管理：用于设置跟系统运行相关的一些重要参数，以及通用常规的模板信息等。

（1）三家运营商的号码段的管理维护，用于系统识别某个号码属于哪家运营商，以便选择合适的通道和准确计费。

（2）白名单管理员号码：设置白名单管理员的短信接收号码，以便管理员能及时处理白名单信息，减少信息发送的延时。

（3）日志运行记录开关：用于设置是否记录“运行记录”类型。一般是打开的，此项记录是进行统计汇总的重要依据。

（4）白名单检查开关：设置系统在发送信息时，是否进行白名单检查，如打开此开关，后台在发送信息时，会先将要发送的号码与系统白名单进行比对，若在白名单中则正常发送；若不在，则做失败信息处理，并通知白名单管理员进行同步。反之，关闭的话就不作白名单检查，直接向营运商接口提交信息。

另外还对各类信息、邮件等模板进行管理，适应各种不同的需要。

编码维护

在数据集成时，由于不同的业务系统有不同的编码，所以需要进行不同系统编码对应关系的设置，这样才能保证集成信息的准确性。

平台的云安全

云安全是云服务的基本保障，也是云服务系统可以投入使用的前提，所以云服务十分重要。为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。

系统安全保障方案

系统所涉及的重要信息数据不断增加，不可避免地面临着众多安全威胁。应用系统的安全风险主要体现在信息资源被非法使用，越权访问系统资源等方面。采用授权用户通过用户名、密码的方式访问系统并按权限进行相应的操作。相关的安全工作有以下几个方面。

(1)认证授权：保证用户的合法性和用户使用应用信息资源的权利，避免内部敏感信息泄漏和服务所提供的信息资源被非法访问，造成严重的安全事件。

(2)信息保密：充分利用密码技术，对于需要保密的信息，采用密码技术进行加解密处理，防止信息的非授权泄漏，确保涉密信息在产生、存储、传递和处理过程中的保密。

(3)数据完整性：建立数据完整性检验机制，保证收发双方数据的一致性，防止信息被非授权修改。

(4)防抵赖性：为第三方验证信息源的真实性和信息的完整性提供证据。

(5)审计：记录应用日志，对事件进行分析，并能提供预警信息。

(6)数据的可回溯性，当发生数据误操作后，可以实现数据的可回溯性。

针对系统安全威胁详细设计系统安全体系，提供安全保障方案，保障系统安全。

存储安全

对于用户密码等敏感信息采用不可逆的加密算法加密后再保存到数据库；根据需要的关键信息可采用可逆的加密算法加密后再保存到数据库，显示时进行解密处理的方式，以保证关键信息的安全性和保密性。

为了防止存储设备的异常损坏，采用可热插拔的SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。数据文件，每周做一次全量备份，每天做增量备份。

为了防止人为的失误或破坏，系统中建立强大的数据库触发器以备份重要数据的删除操作，甚至更新任务。保证在任何情况下，重要数据均能最大程度地有效恢复。

硬件网络安全

物理层安全技术：从校园网的环境安全、网络运行设备安全、对于绝密资料进行物理隔离等方面进行考虑。

网络层安全技术：在数据库服务器与应用服务器之间，应用服务器、Web服务器与校园网加入必要的防火墙进行安全过滤，并加入侵检测安全技术，在服务器和用户终端安装防病毒软件，并安装网络病毒监控和清除软件。

日志系统

日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中，日志将记录自某用户登录时起，到其退出系统时止，这期间所执行的所有操作，包括对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等，以备日后审计核查之用。

基于云服务的高校统一通讯平台建设，师生和学校的应用系统在一个平台上，使用最适合的多种通讯方式，满足沟通的需要；实现了实名制按岗进行通讯的平台，不仅提升了便利性，而且提高了信息的一致性，便于维护与共享。这一平台已经成为学校的信息化基础设施，为学校的各类业务信息系统提供了统一的通讯平台，也为师生的交流和协同学习和研究，提供了充分的条件和文件信息交换的平台，对促进学习和科研提供了基础信息服务。

（作者单位为河海大学）