楊博喻

是一種使用RUP和XP中的最佳部分來構(gòu)建和管理SOA項(xiàng)目的軟件方法[3]。調(diào)整現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。配置高性安全網(wǎng)關(guān)，將網(wǎng)絡(luò)劃分為若干個(gè)區(qū)域，分別用來限制外部用戶、內(nèi)部用戶、直屬事業(yè)單位及市縣殘疾人局用戶訪問。

改造現(xiàn)有網(wǎng)絡(luò)布線。目前每個(gè)辦公室中至少有2個(gè)以上的信息點(diǎn)，由于增加了上互聯(lián)網(wǎng)的客戶端設(shè)備現(xiàn)有信息點(diǎn)不夠，將選擇2個(gè)信息點(diǎn)在機(jī)房端一條與政務(wù)外網(wǎng)互聯(lián)，一條與內(nèi)部辦公網(wǎng)互聯(lián)；辦公室端分別增加桌面型小交換機(jī)，辦公室內(nèi)的客戶端設(shè)備分別與之相連，達(dá)到局機(jī)關(guān)用戶訪問政務(wù)外網(wǎng)和內(nèi)部辦公網(wǎng)完全分開。

部署硬件安全網(wǎng)關(guān)。系統(tǒng)服務(wù)器需考慮設(shè)備的安全性，同時(shí)考慮數(shù)據(jù)流量，中心機(jī)房將部署千兆硬件安全網(wǎng)關(guān)（吞吐量大于3G，并發(fā)連接數(shù)大于200萬）。安全網(wǎng)關(guān)采用全新多核處理器+ASIC芯片+高速交換總線的硬件設(shè)計(jì)，結(jié)合基于并行的殺毒機(jī)制，整合防毒公司病毒庫，能最終實(shí)現(xiàn)高性能的網(wǎng)關(guān)病毒防護(hù)功能、支持IPSec VPN和SSL VPN等功能。

建立日志審核系統(tǒng)。對(duì)網(wǎng)絡(luò)中存在的MAC地址沖突、內(nèi)網(wǎng)攻擊等信息記錄日志，對(duì)ARP欺騙攻擊等的發(fā)生情況進(jìn)行統(tǒng)計(jì)，并以報(bào)表形式表達(dá)給管理員，以便集中處理網(wǎng)絡(luò)中威脅最大的客戶端主機(jī)。

利用安全網(wǎng)關(guān)提供內(nèi)網(wǎng)攻擊防護(hù)，結(jié)合來自網(wǎng)絡(luò)外部的攻擊防護(hù)功能，能全面杜絕內(nèi)網(wǎng)ARP、DDoS攻擊和外部非可信網(wǎng)絡(luò)的攻擊，全面、高效、安全的保護(hù)用戶的網(wǎng)絡(luò)，構(gòu)建一個(gè)安全、干凈、舒適的信息環(huán)境（考慮到安全等級(jí)保護(hù)的原則，方案中所有網(wǎng)絡(luò)安全產(chǎn)品必須為國內(nèi)自主研發(fā)，具備自主知識(shí)產(chǎn)權(quán)的產(chǎn)品）。

在DMZ與外網(wǎng)服務(wù)器之間，實(shí)現(xiàn)內(nèi)外網(wǎng)邏輯隔離，所以必須要求安全網(wǎng)關(guān)具有多個(gè)端口對(duì)區(qū)域進(jìn)行靈活劃分，要求安全網(wǎng)關(guān)僅開通需要對(duì)外提供服務(wù)的協(xié)議，實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證系統(tǒng)的安全性。

圖1顯示了SOUP過程。此方法也沒有非常特別的地方：所有軟件或SOA項(xiàng)目都是采用類似的方式定義的，可分為六個(gè)階段。

相當(dāng)于以前的系統(tǒng)分析的技術(shù)，為了便于系統(tǒng)分析人員與客戶的溝通和交流，我們采用了IBM公司的可視化圖形分析方法，讓系統(tǒng)開發(fā)人員和系統(tǒng)維護(hù)人員用很少的時(shí)間設(shè)計(jì)或修改工作流程。

各個(gè)階段的模型如圖2所示。

每個(gè)階段主要的工作內(nèi)容如下：

1.初始階段

殘疾人信息審核管理人員信息系統(tǒng)采用Jboss v4作為應(yīng)用服務(wù)器，系統(tǒng)使用基于Spring的Acegi進(jìn)行安全認(rèn)證和授權(quán)；其中還大量采用了Javascript技術(shù)，所有其對(duì)于url的解析處理，需要?jiǎng)討B(tài)進(jìn)行處理[4]。

針對(duì)于殘疾人信息審核管理人員信息系統(tǒng)應(yīng)用的以上特點(diǎn)，圖6-1是系統(tǒng)的3種登錄模式，結(jié)合實(shí)際使用情況分為三種場景進(jìn)行測試，測試內(nèi)容選擇了系統(tǒng)的功能1和功能2：

（1）使用用戶名/密碼，但不進(jìn)行登陸驗(yàn)證：此場景如同一般用戶登陸系統(tǒng)，但不進(jìn)行登陸驗(yàn)證，即不判斷針對(duì)特殊應(yīng)用安全的登陸，是否存在安全問題。

（2）使用用戶名/密碼，進(jìn)行登陸驗(yàn)證：此場景選擇正常用戶登陸系統(tǒng)，進(jìn)行登陸驗(yàn)證，即判斷針對(duì)特殊應(yīng)用安全的登陸，是否存在安全問題。

（3）基于不同角色登陸處理：結(jié)合權(quán)限較高的admin用戶和權(quán)限較低的cqusr1用戶進(jìn)行登陸，除了常規(guī)的安全的檢測，特別還要針對(duì)跨權(quán)限的安全訪問進(jìn)行判斷。

二、基于SOA的殘疾人審核系統(tǒng)需求分析

（一）總體功能分析

政府部門具有若干職能部門，其中辦公室完成總體的管理職能，各級(jí)政府部門既是政府部門工作單位，同時(shí)具有管理職能，一切政府部門事務(wù)

由省政府部門辦公室統(tǒng)一協(xié)調(diào)管理。的政府部門政策有自身的特點(diǎn)：政府在殘疾人審核時(shí)就要把殘疾人特點(diǎn)確定，系統(tǒng)根據(jù)上述信息自動(dòng)分配并生成殘疾人審核編號(hào)和交材料代碼，這是其二。該殘疾人審核系統(tǒng)由省政府部門辦公室系統(tǒng)管理員根據(jù)實(shí)際要求在規(guī)定時(shí)間內(nèi)開放。該系統(tǒng)應(yīng)具備功能如下：

1.對(duì)于登陸信息審核系統(tǒng)的殘疾人審核政府，通過網(wǎng)上殘疾人審核系統(tǒng)的政府界面：

（1）政府通過身份證號(hào)和姓名注冊(cè)并登陸；

（2）政府通過殘疾人審核頁面進(jìn)行信息填寫、照片上傳等殘疾人審核程序；

（3）政府在允許的時(shí)間范圍內(nèi)修改報(bào)考信息甚至取消殘疾人審核；

（4）政府可以在系統(tǒng)允許的時(shí)間內(nèi)打印政府殘疾人審核核對(duì)表；

（5）政府可以在允許的時(shí)間內(nèi)查詢殘疾人數(shù)據(jù)和審核結(jié)果。

2.省市兩級(jí)政府部門管理員的功能

市級(jí)政府部門辦公室系統(tǒng)殘疾人審核管理功能需能完成殘疾人審核數(shù)據(jù)、申請(qǐng)材料數(shù)據(jù)、及申請(qǐng)的制作和打印等，由于計(jì)算機(jī)編程技術(shù)和計(jì)算機(jī)的硬件水平，從上世紀(jì)90年代以來，基于網(wǎng)絡(luò)的軟件架構(gòu)采用客戶服務(wù)的模式，隨著網(wǎng)絡(luò)的快速發(fā)展和計(jì)算機(jī)管理軟件的普及，這種開發(fā)技術(shù)存在許多弊端，新的基于面向?qū)ο蟮乃枷氲刃麻_發(fā)理念的指引下， B/S架構(gòu)應(yīng)運(yùn)而生?？蛻舳说谋憩F(xiàn)層與業(yè)務(wù)層分離

（1）可以對(duì)政府殘疾人審核表進(jìn)行編輯和維護(hù)，得到準(zhǔn)確數(shù)據(jù)；

（2）依托銀行和中國建設(shè)銀行的網(wǎng)上交材料系統(tǒng)收取殘疾人審核費(fèi)用；

（3）可以對(duì)殘疾人審核數(shù)據(jù)進(jìn)行統(tǒng)計(jì)并生成報(bào)表；

本系統(tǒng)采用B/S模式，其解決方案是：對(duì)這三層進(jìn)行明確分割，并在邏輯上使其獨(dú)立，這種計(jì)算模型極大地方便了應(yīng)用程序的開發(fā)和維護(hù)，無須考慮客戶端的兼容性，它實(shí)現(xiàn)了開發(fā)環(huán)境與應(yīng)用環(huán)境的分離，大大提高了工作效率[4]。JSP技術(shù)是以Java語言作為腳本語言，跨平臺(tái)，是一種較成熟與穩(wěn)定的動(dòng)態(tài)網(wǎng)頁編程技術(shù)；且目前國內(nèi)外有大量的大型互聯(lián)網(wǎng)平臺(tái)都使用Java進(jìn)行開發(fā)實(shí)現(xiàn)的。Java平臺(tái)是由Sun等國際大公司支持的語言，其本人就非常成熟，功能非常豐富，技術(shù)非常先進(jìn)。系統(tǒng)的開發(fā)需要大量的技術(shù)人員的參與，但是目前具有Java技術(shù)的人員已能滿足我們的需要。

（二）用戶分析

該殘疾人審核系統(tǒng)從系統(tǒng)的用戶角度分析，主要有省政府部門辦公室系統(tǒng)管理員、市級(jí)政府部門辦公室管理員和政府三大用戶。政府用戶主要是面向河北省所有地市、縣區(qū)具有同等職能政府部門，政府可以自己上網(wǎng)進(jìn)行殘疾人審核，也可以委托他人網(wǎng)上代報(bào)。管理員用戶分為省政府部門辦公室、各市政府部門和直屬辦公單位辦公室、殘疾人審核點(diǎn)等多個(gè)級(jí)別。

為了提高網(wǎng)頁制作的水平，加快軟件開發(fā)的效率，許多軟件廠商多開發(fā)了各種的網(wǎng)頁制作工具，網(wǎng)頁從靜態(tài)網(wǎng)頁到動(dòng)態(tài)網(wǎng)頁，涌現(xiàn)了許多好的開發(fā)工具和腳本語言，微軟公司也推出了解決方案，這就是ASP技術(shù)，它為廣大的網(wǎng)頁設(shè)計(jì)人員提供了制作動(dòng)態(tài)交互的高性能Web信息審核系統(tǒng)，ASP中內(nèi)置開發(fā)對(duì)象，這些對(duì)象使ASP具有更好的開發(fā)效率，可以充分的使用其他高級(jí)語言開發(fā)的免費(fèi)的控件或者商業(yè)控件，減少了開發(fā)時(shí)間，大大的提供了軟件開發(fā)的效率，減少了重復(fù)勞動(dòng)[5]。

1.軟件開發(fā)人員認(rèn)為ASP程序具有以下幾個(gè)優(yōu)點(diǎn)：

（1）ASP程序以業(yè)務(wù)層為核心，提供了很多工具。

（2）ASP采用的是后臺(tái)管理模式，所有的服務(wù)軟件安裝在遠(yuǎn)程的web服務(wù)器上，容易統(tǒng)一集中管理。

（3）ASP能提供一種通用的網(wǎng)絡(luò)服務(wù)，許多企業(yè)不需要另外定制軟件。

2.工作原理：

（1）用戶在瀏覽器可以對(duì)遠(yuǎn)程才web服務(wù)器發(fā)出各種請(qǐng)求，例如在瀏覽器輸入相關(guān)的全路徑的asp程序名稱。

（2）瀏覽器先分析發(fā)送的內(nèi)容，將內(nèi)容轉(zhuǎn)發(fā)給后臺(tái)的IIS做進(jìn)一步的解析。

（3）IIS接收到這個(gè)請(qǐng)求，并會(huì)由其ASP后綴意識(shí)到這是一個(gè)ASP請(qǐng)求。

（4）IIS將從硬盤或內(nèi)存中來取出正確的ASP文件。

（5）IIS將這個(gè)ASP文件成功發(fā)送到ASP.dll中。

2. 系統(tǒng)管理員功能流程

省和市級(jí)政府部門系統(tǒng)管理員根據(jù)自己的權(quán)限編排申請(qǐng)材料、修改、增加、刪除殘疾人審核信息等[7]，省級(jí)政府部門辦公室管理員有權(quán)限進(jìn)行殘疾人數(shù)據(jù)錄入，公布?xì)埣踩藬?shù)據(jù)和審核結(jié)果等。系統(tǒng)管理員的功能流程圖如圖5所示：

的數(shù)據(jù)統(tǒng)計(jì)及打印和殘疾人數(shù)據(jù)與審核結(jié)果查詢等功能，因此，凡這六方面的內(nèi)容均屬于網(wǎng)上殘疾人審核系統(tǒng)的職責(zé)范圍。

2.定義參與者

政府通過殘疾人審核系統(tǒng)進(jìn)行網(wǎng)上殘疾人審核、通過網(wǎng)上支付系統(tǒng)支付殘疾人審核材料；銀行代收殘疾人審核材料并存入考點(diǎn)在銀行開設(shè)的帳戶，銀行還要通過殘疾人審核系統(tǒng)向管理員反饋殘疾人審核材料的辦理信息。在本系統(tǒng)中，省政府部門辦公室系統(tǒng)管理員（最高權(quán)限）的用例圖如圖7所示：

大學(xué)，2006.

[10] 王毅芳.基于SOAD的應(yīng)用系統(tǒng)設(shè)計(jì)方法研究與應(yīng)用[D].清華大學(xué)，2005.

[11] [美]Grady Booch，James Rumbaugh，Iver Jackson著.邵維忠，麻志毅，張文娟，孟祥文譯.UML用戶指南[M].信息審核工業(yè)出版社，2001.

[12] [美]Grady Booch，James Rumbaugh，Iver Jackson著.邵維忠，麻志毅，張文娟，孟祥文譯.UML用戶指南[M].信息審核工業(yè)出版社，2001.

[13] [美]Sandy Carter著.袁月?lián)P，麻麗莉譯.SOA&Web; 2.0—新商業(yè)語言[M].清華大學(xué)出版社，2007.

[14] 劉國靜.基于SOA架構(gòu)的企業(yè)應(yīng)用研究[D].華東師范大學(xué)，2006.

[15] 高巖，張少鑫，張斌，那俊，張文斌.基于SOA架構(gòu)的Web服務(wù)組合系統(tǒng)[J].小型微型計(jì)算機(jī)系統(tǒng)，2007（4）.