范成林 郭曙超 李海龍 喬龍 顏世國

(1.濱州出入境檢驗檢疫局 山東濱州 256600;2.山東出入境檢驗檢疫局)

1 前言

出口木制品是檢驗監(jiān)管模式轉變后檢驗檢疫部門重點加強監(jiān)管的商品,但目前的檢驗管理手段相對比較落后。首先是申報繁瑣,效率低下。備案是出口木制品檢驗首要環(huán)節(jié),目前做法是出口企業(yè)先準備資料,然后到分支局備案,分支局審查資料、組織考核,考核通過后報直屬局審查發(fā)證。這個過程一般需對資料反復修改,企業(yè)負擔重,直屬局和分支局也要多次重復“審單”,效率低,勞動強度大。其次統(tǒng)計匯總和查閱繁瑣,全靠手工實現(xiàn),特別一些備案書、注冊證書等大量單證都靠人工制作,工作量非常大。本研究利用先進的網(wǎng)絡技術手段,研發(fā)了出口木制品備案檢驗監(jiān)管備案管理信息系統(tǒng)。本系統(tǒng)可實現(xiàn)網(wǎng)上申報,建立企業(yè)數(shù)據(jù)庫,在檢驗監(jiān)管時實行動態(tài)管理,快速反應,信息預警,定期公布檢驗情況,互相交流,從而全面提高檢驗檢疫人員和企業(yè)的技術水平。

2 系統(tǒng)組成和功能

2.1 組成

本系統(tǒng)分為兩個子系統(tǒng):一是出口木制品備案網(wǎng)上申報系統(tǒng),面向企業(yè)開放;二是出口木制品備案、檢驗監(jiān)管信息管理系統(tǒng),面向承擔審核和檢驗監(jiān)管任務的分支局和直屬局開放,主要分為網(wǎng)上申報、備案審核、檢驗信息、監(jiān)管信息、系統(tǒng)維護、檢驗論壇 6個模塊,具備增加 /刪除、查詢、統(tǒng)計等功能。

2.2 功能

2.2.1 網(wǎng)上申報與審單

企業(yè)可在網(wǎng)上填寫表格等申請資料,然后直接發(fā)送到分支局,正確無誤后,系統(tǒng)自動發(fā)送回執(zhí);現(xiàn)場考核通過后分支局在網(wǎng)上填寫備案所需資料,發(fā)送到直屬局;如果符合條件備案,直屬局審核無誤后,根據(jù)情況打印備案書。

2.2.2 檢驗監(jiān)管信息

通過輸入分支局日常監(jiān)管信息及抽檢記錄、符合性驗證記錄、國外警示通報信息等,一方面使檢驗人員了解企業(yè)的整體情況,另一方面實現(xiàn)信息共享。如果某個油漆、膠、密度板等原材料生產(chǎn)廠的產(chǎn)品檢測不合格,其他木制品生產(chǎn)企業(yè)和檢驗檢疫人員都可以看到,對其“慎用”和加嚴檢測,甚至列入“黑名單”。

2.2.3 查詢統(tǒng)計

提供證書進度流程查詢,使企業(yè)能夠了解證書的辦理進度,在初次出口時能夠合理安排進度。基于數(shù)據(jù)庫建立一個證書綜合查詢頁面,對每個企業(yè)未獲得的證書、已獲得的證書、已超期的證書、失效的證書、因某種原因被吊銷的證書等相關信息可以很快查詢,避免因證書有效期等因素影響正常出口。還可以查詢統(tǒng)計某一時間段、某個區(qū)域、某個種類的出口木制品通過備案的情況、快速反應信息與預警信息等。

2.2.4 系統(tǒng)維護

分為企業(yè)信息、分支機構信息、檢驗員、備案人員等有關系統(tǒng)使用人員權限維護、數(shù)據(jù)導入導出等。

2.2.5 檢驗論壇

建立交流平臺,定期公布檢驗情況?？梢詫z驗出的問題在網(wǎng)上公布,遇到問題也可以提出,就疑難問題交流,實現(xiàn)“專家會診”。

3 硬件系統(tǒng)設計

硬件系統(tǒng)組成見圖 1[1]。

圖 1 硬件系統(tǒng)組成

本硬件系統(tǒng)采用基于 J2EE的三層 B/S結構,改變了以往 C/S框架下各客戶端都必須安裝數(shù)據(jù)庫軟件和應用軟件的現(xiàn)象。用戶只需安裝瀏覽器,并與網(wǎng)絡相連就可以使用本系統(tǒng),實現(xiàn)各企業(yè)及檢驗檢疫部門以及與各上級部門之間的數(shù)據(jù)一致,信息共享,有效地解決了異地數(shù)據(jù)傳輸?shù)睦щy。HTTP服務器負責 HT ML的處理,接受用戶請求并返回給用戶靜態(tài)的頁面。

HTTP服務器將信息組織成分布式的超文本,通過超文本標記語言 (HT ML)和超文本傳輸協(xié)議(HTTP)來描述和組織信息,簡單而實用地實現(xiàn)了以整個網(wǎng)絡空間為操作背景的超文本/超數(shù)據(jù)的數(shù)據(jù)存取[2]。

應用服務器負責應用的處理,包括應用邏輯、開發(fā)、維護等幾乎所有的工作并通過數(shù)據(jù)接口動態(tài)地訪問數(shù)據(jù)庫。如果用戶請求的是靜態(tài)頁面,則由HTTP服務器處理返回;如果用戶請求的是信息查詢等動態(tài)頁面,就由應用服務器處理,將處理結果返回 HTTP服務器,由 HTTP服務器將處理好的頁面返回給用戶。

數(shù)據(jù)庫服務器負責綜合信息平臺數(shù)據(jù)的存儲和管理;數(shù)據(jù)庫服務器軟件根據(jù)應用服務器的請求進行數(shù)據(jù)操作,并將操作結果傳送給應用服務器[3]。

4 軟件系統(tǒng)設計

本系統(tǒng)軟件部分主要包括數(shù)據(jù)庫服務器、HTTP服務器、數(shù)據(jù)管理系統(tǒng)和客戶端瀏覽器軟件,應用系統(tǒng)分為網(wǎng)上申報系統(tǒng)和信息管理系統(tǒng) (如 2.1所述)。軟件系統(tǒng)層次見圖 2。

圖 2 軟件系統(tǒng)層次

4.1 系統(tǒng)軟件

操作系統(tǒng)采用 Windows 2000 Server,它允許組織利用最新的網(wǎng)絡技術,提供全面的 Web及 Internet服務。

數(shù)據(jù)庫軟件采用的是Microsoft公司出品的 SQL Server 2000數(shù)據(jù)庫,它是一個具備完全Web支持的數(shù)據(jù)庫產(chǎn)品,提供了對可擴展標記語言 (XML)的核心支持以及在 Internet上和防火墻外進行查詢的能力。無論以應用程序開發(fā)速度還是以事務處理運行速度來衡量,SQL Server 2000都堪稱非?？旖莸臄?shù)據(jù)庫系統(tǒng)[4]。

4.2 應用系統(tǒng)

4.2.1 出口木制品備案網(wǎng)上申報系統(tǒng)

出口木制品備案網(wǎng)上申報系統(tǒng)是專門為企業(yè)設計的功能模塊。企業(yè)通過自己聯(lián)入公網(wǎng)的計算機使用 IE瀏覽器即可進入系統(tǒng),根據(jù)導引進入系統(tǒng)后填報一系列表格,并將要求的文檔如《營業(yè)執(zhí)照》等影印件上傳,全部提交完成后,等待有關部門審核。具體工作流程見圖 3。

圖 3 企業(yè)網(wǎng)上申報系統(tǒng)工作流程

4.2.2 出口木制品備案、檢驗監(jiān)管信息管理系統(tǒng)

出口木制品備案、檢驗監(jiān)管信息管理系統(tǒng)是專門為檢驗檢疫各級部門設計的應用系統(tǒng)。部門通過自己聯(lián)入公網(wǎng)的計算機,使用通用的 IE瀏覽器即可進入系統(tǒng),根據(jù)導引輸入用戶名密碼進入系統(tǒng)后,即可進行相應的操作。系統(tǒng)的功能組成見圖 4。

圖 4 出口木制品備案、檢驗監(jiān)管信息管理系統(tǒng)組成

4.2.3 系統(tǒng)界面

系統(tǒng)界面如圖 5所示。

圖 5 系統(tǒng)界面

5 系統(tǒng)安全

SQL Server、Internet信息服務器都提供了堅實可靠的安全模型,為了保證用戶數(shù)據(jù)和應用程序的安全,Microsoft為每項服務的默認設置設置了相當?shù)偷闹?。如何使?SQL Server、IIS在應用程序和數(shù)據(jù)之間設置適當?shù)男湃渭墑e,而不會留下可被別人輕易攻入的安全漏洞涉及到檢驗檢疫重要數(shù)據(jù)安全問題,為保險起見,該系統(tǒng)采用兩級驗證的辦法,第一關在服務器端利用 IIS提供的工具實現(xiàn),第二關主要是防范 SQL注入式攻擊[5]。

(1)保證 Web應用程序安全性的最安全的方法是定義一個權限有限的自定義用戶,然后對 IIS進行配置,使之能夠在執(zhí)行您的 Web應用程序時能作為自定義用戶運行。在安裝了 IIS的服務器端啟動“Internet安全服務管理員”,選取我們系統(tǒng)的存放目錄,選取“編輯屬性”,選取“目錄安全安全設置”選項,點擊“匿名存取及驗證控制”按鈕,將“允許匿名”取消,選取“基本”。當上網(wǎng)用戶登陸該系統(tǒng)時,瀏覽器就會提示用戶輸入帳號和口令,該帳號和口令已預先在W indow2000 Server中設置好。

(2)第二關的帳號和口令放在數(shù)據(jù)庫中,其驗證通過應用程序?qū)崿F(xiàn)。傳統(tǒng)做法是在數(shù)據(jù)庫中查詢用戶輸入的帳號和口令,如果該帳號和口令存在,證明是合法用戶,允許進入該系統(tǒng),否則,禁止進入。實際上該方法存在安全隱患,這就是 SQL注入式攻擊的問題。攻擊者把 SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串,欺騙服務器執(zhí)行惡意的 SQL命令。在某些表單中,用戶輸入的內(nèi)容直接用來構造 (或者影響)動態(tài) SQL命令,或作為存儲過程的輸入?yún)?shù),這類表單特別容易受到SQL注入式攻擊,只要懂得 SQL語法,就可以利用“’"等特殊符號符號進入系統(tǒng),而不必知道正確的帳號和口令。如用戶輸入“123’or’A’= ’A’”或類似的帳號和密碼,查詢語句就變?yōu)椤癝elect＊ From數(shù)據(jù)庫Where帳號 =′123′or′A′=′A′and口令 =′123′or′A′=A′”,實際上等同于“select＊ from數(shù)據(jù)庫 ”語句,查詢結果就回返回全部的紀錄。

對此我們采取對表單輸入的內(nèi)容在構造 SQL命令之前,把所有輸入內(nèi)容進行過濾的辦法,過濾輸入內(nèi)容按以下方案進行:

①對于動態(tài)構造 SQL查詢的場合,替換單引號即把所有單獨出現(xiàn)的單引號改成兩個單引號,防止攻擊者修改 SQL命令的含義;刪除用戶輸入內(nèi)容中的所有連字符,防止攻擊者構造出類似上述 SQL查詢語句辦法;此外對于用來執(zhí)行查詢的數(shù)據(jù)庫帳戶,限制其權限,隔離了不同帳戶可執(zhí)行的操作。

②盡可能用存儲過程來執(zhí)行查詢。SQL參數(shù)的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外,它還使得數(shù)據(jù)庫權限可以限制到只允許特定的存儲過程執(zhí)行。

③限制表單或查詢字符串輸入的長度、檢查用戶輸入的合法性,數(shù)據(jù)檢查在客戶端和服務器端都執(zhí)行——執(zhí)行服務器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。

6 結束語

出口木制品備案、檢驗監(jiān)管信息管理系統(tǒng)采用先進計算機及網(wǎng)絡技術,克服了檢驗檢疫部門目前對出口木制品備案、檢驗、監(jiān)管、檢索手工操作所帶來的效率低下、工作量大、企業(yè)負擔重的缺點,實現(xiàn)了管理的自動化,能產(chǎn)生很好的社會效益和經(jīng)濟效益,應用前景非常廣闊。

[1] 古玲,苑志勇.基于 B/S結構的檔案管理信息系統(tǒng)研究[J].華中科技大學學報 (自然科學版),2005,33(1):50～51.

[2] 柯宏力等.Intranet信息網(wǎng)絡技術與企業(yè)信息化[M].北京:北京郵電大學出版社,2000.11.

[3] 彭江平等.Internet/Intranet的開發(fā)與應用[M].成都:成都電子科技大學出版社,1999.01.

[4] 劉松海,朱志堅,等.Intranet設計及實現(xiàn)[M].北京:國防工業(yè)出版社,1999.01.

[5] Tom Myers.Java XML編程指南[M].王輝,張曉暉等譯.北京:電子工業(yè)出版社,2001.4.