摘 要：查詢平臺建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺可以向某些權(quán)威機構(gòu)購買，也可以自己生成。目前的改進后的系統(tǒng)中要采用由OPENSSL工具包來生成查詢平臺建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺，由于查詢平臺建設(shè)是大家都信任的數(shù)據(jù)網(wǎng)絡(luò)平臺機構(gòu)，因此查詢平臺建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺是自我進行數(shù)字簽名的。需要注意的是，在生成查詢平臺建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺文件和對應(yīng)私鑰文件的過程中，會要求安全管理員設(shè)定私鑰的口令，用來保護私鑰的使用。也就是說，在任何需要使用查詢平臺建設(shè)私鑰對其他的數(shù)據(jù)網(wǎng)絡(luò)平臺進行數(shù)字簽名的情況下，都需要先輸入該私鑰口令。

關(guān)鍵詞：查詢優(yōu)化；網(wǎng)絡(luò)數(shù)據(jù)；平臺建設(shè)

中圖分類號：TP311

在改進后的系統(tǒng)中，客戶端也必須有自己的數(shù)據(jù)網(wǎng)絡(luò)平臺和私鑰來向其他人證明自己的身份，并且其數(shù)據(jù)網(wǎng)絡(luò)平臺必須經(jīng)過查詢平臺建設(shè)的數(shù)字簽名，以便讓信任該查詢平臺建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺的使用者也相信該查詢平臺建設(shè)簽過名的數(shù)據(jù)網(wǎng)絡(luò)平臺。由查詢平臺建設(shè)產(chǎn)生的用戶數(shù)據(jù)網(wǎng)絡(luò)平臺有以下特點：

（1）令任何有查詢平臺建設(shè)公開密鑰的用戶都可以恢復(fù)被證明的用戶公開密鑰。

（2）除了數(shù)據(jù)網(wǎng)絡(luò)平臺權(quán)威機構(gòu)查詢平臺建設(shè)外，沒有任何一方能更改該數(shù)據(jù)網(wǎng)絡(luò)平臺而不被察覺。

1 網(wǎng)絡(luò)數(shù)據(jù)平臺查詢優(yōu)化安全控制設(shè)計

在生成私鑰的時候，會讓系統(tǒng)的安全管理員設(shè)定保護私鑰的口令，日后任何人想使用服務(wù)器的私鑰時，都必須提供該口令，當OPENSSL工具包驗證口令和私鑰相匹配后，才能使用客戶端的私鑰文件，原則上說，只有客戶端數(shù)據(jù)網(wǎng)絡(luò)平臺的擁有者才知道客戶端私鑰的口令，因此輸入用戶密碼如果和私鑰相匹配，則驗證了用戶方的身份。

只有經(jīng)過查詢平臺建設(shè)簽過名的數(shù)據(jù)網(wǎng)絡(luò)平臺對外界來說才是有效的，才可以用來向其他信任查詢平臺建設(shè)的人證明自身的身份[15]，因此，在生成客戶端的數(shù)據(jù)網(wǎng)絡(luò)平臺和私鑰后，還需用查詢平臺建設(shè)的私鑰對數(shù)據(jù)網(wǎng)絡(luò)平臺文件client.pem進行數(shù)字簽名。

服務(wù)器端數(shù)據(jù)網(wǎng)絡(luò)平臺與私鑰的生成與客戶端是相似的，在此不再重復(fù)。

2 查詢優(yōu)化數(shù)據(jù)平臺報文的保護

當安全連接建立完畢后，系統(tǒng)對之后客戶方和服務(wù)器方發(fā)送IIOP報文的保護是通過摘要和對稱加密算法來保證其完整性與機密性的。因此，摘要算法和對稱加密算法的選擇對整個系統(tǒng)的安全健壯性就顯得尤為重要。

當SSL握手成功之后，安全連接就建立起來了，此時只要使用SSL_read（）和SSL_write（）讀寫SSL套接字代替?zhèn)鹘y(tǒng)的recv（）和send（）操作?？蛻舳撕头?wù)器端就可以彼此發(fā)送IIOP報文，進行安全通信了。此時，在客戶端和服務(wù)器端之間發(fā)送的報文都根據(jù)系統(tǒng)規(guī)定的安全保護質(zhì)量，通過3DES加密算法進行了加密與解密并用SHA-1算法進行數(shù)字摘要，以進行完整性與保密性保護。

在數(shù)據(jù)平臺網(wǎng)站中，在前臺會有不同級別的會員來訪問網(wǎng)站，而不同級別的會員能夠享受到的服務(wù)也不同；在后臺管理端，也會有不同級別的管理員來登錄管理網(wǎng)站，不同級別的管理員也會有不同的權(quán)限，所以，基于角色的訪問控制功能非常適用于數(shù)據(jù)平臺網(wǎng)站中。下面就簡單介紹一下基于角色的訪問控制服務(wù)，并提出基于角色的訪問控制模型。

基于角色的訪問控制簡稱RBAC，（RoleBasedAccessControl），這種訪問控制中，訪問許可權(quán)限與角色相對應(yīng)，而用戶則是相應(yīng)角色的成員。角色和訪問控制中用戶組的概念相近。但是，不同的是，角色不僅對應(yīng)于一組用戶，同時還對應(yīng)于一組權(quán)限，而典型用戶組只定義成一組用戶的簡單組合。我們可以把角色看作是為了闡述訪問控制策略而定義的語義結(jié)構(gòu)。和一個角色相對應(yīng)的用戶集和權(quán)限集合可能是暫時的，但是角色本身則相對穩(wěn)定得多，因為一個組織或機構(gòu)的活動或功能一般不會頻繁的變動。

訪問控制策略包含于RBAC的不同組件中，如：角色—權(quán)限、用戶—角色以及角色—角色關(guān)系。這些組件一起決定某個特定的用戶是不是有權(quán)訪問系統(tǒng)中特定的一塊數(shù)據(jù)。RBAC組件可能直接由系統(tǒng)所有人配置或由他委托的適當?shù)慕巧g接地進行配置。某特定系統(tǒng)實施的安全策略都有上述配置好的RBAC組件決定。此外，在系統(tǒng)生命周期中訪問控制可以不斷的進化。RBAC的一個很突出的優(yōu)點就是它可以根據(jù)系統(tǒng)要求的變化很方便地修改策略。

在許多訪問控制系統(tǒng)中，一般都會提供用戶組作為訪問控制的基本單元。組和角色概念一個主要區(qū)別在于：組一般只被看作用戶集合，而不是權(quán)限的集合。角色既是用戶集又是權(quán)限的集合。角色為這兩個集合牽線搭橋，把它們聯(lián)系在一起。

3 網(wǎng)絡(luò)查詢優(yōu)化數(shù)據(jù)信息安全平臺建設(shè)

Linux主機設(shè)備，主流網(wǎng)絡(luò)設(shè)備、Windows服務(wù)器的進行的運行維護操作審計；日常維護人員操作Sybase數(shù)據(jù)庫，通過運維審計系統(tǒng)可以審計到維護數(shù)據(jù)庫的操作；可以支持針對外部廠商遠程運行維護時，進行操作審計；審計協(xié)議支持Telnet、FTP、SSH、SFTP、RDP等；詳細的權(quán)限分配功能，可以根據(jù)時間、登錄IP、目標資源等進行詳細授權(quán)；支持按時間、用戶名、被審計設(shè)備、命令等進行的定制報表，并可以導(dǎo)出Excel或PDF等格式報表；設(shè)備支持硬件冗余方式，并支持HA（雙機備份冗余）。

運維審計系統(tǒng)針對內(nèi)部運維人員、廠商技術(shù)支持人員、外包服務(wù)商等對關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備、查詢平臺建設(shè)信息安全設(shè)備操作進行查詢平臺建設(shè)信息安全審計，規(guī)避查詢平臺建設(shè)信息安全風(fēng)險，減少查詢平臺建設(shè)信息安全事件；規(guī)范運維流程，加強查詢平臺建設(shè)信息安全管理，提高運維查詢平臺建設(shè)信息安全水平；對運維查詢平臺建設(shè)信息安全違規(guī)事件及時追蹤，并提供可信、完整的技術(shù)依據(jù)；定時針對各類系統(tǒng)產(chǎn)生運行維護報告，審計運維內(nèi)容，提交相關(guān)領(lǐng)導(dǎo)審核，并查詢平臺建設(shè)信息安全存檔；協(xié)助完善內(nèi)控機制，達到數(shù)據(jù)平臺的合格性要求。

4 總結(jié)

結(jié)合單位內(nèi)部的參考資料和以往開發(fā)案例系統(tǒng)研究分析可行性方案、概念設(shè)計：分析需求，由粗到精、由模糊到清晰的概括總結(jié)出系統(tǒng)設(shè)計的概念模型使原型系統(tǒng)開發(fā)有一個概念的框架、邏輯設(shè)計、物理設(shè)計、空間屬性數(shù)據(jù)庫設(shè)計：原型系統(tǒng)中用到的數(shù)據(jù)通信空間數(shù)據(jù)庫以及相關(guān)的屬性數(shù)據(jù)庫建庫工作、系統(tǒng)實現(xiàn)：基于Adobe公司的Flex開發(fā)，Actionscript編寫RIA的豐富前臺功能、MyEclipse平臺下Java語言開發(fā)服務(wù)器端的Servlet后臺處理程序或者借助微軟公司的Visualstudio2005開發(fā)后臺、ESRI公司的ArcGISServer或者開源的GeoServer數(shù)據(jù)通信服務(wù)器發(fā)布數(shù)據(jù)通信的WMS服務(wù)處理的緩存交由自定義Servlet處理、數(shù)據(jù)通信的開發(fā)框架選用開源的Modestmaps或者ESRI的arcgisapiforflex進行實現(xiàn)數(shù)據(jù)通信瀏覽（放大、縮小、漫游、全圖等）、查詢（圖查屬性、屬性定位查圖）、鷹眼窗口、圖層控制功能、數(shù)據(jù)通信標繪功能、數(shù)據(jù)通信渲染、專題圖制作等、編碼測試、到最后的性能分析和評價：通過在本單位研發(fā)中心不斷的測試系統(tǒng)，分析預(yù)測結(jié)果，按軟件工程學(xué)的流程進行分析，面對系統(tǒng)用戶給出各種可行性的調(diào)查結(jié)果，分析最終結(jié)果比較得出最佳方案。以及對數(shù)據(jù)通信核心算法的平臺建設(shè)整理研究。

參考文獻：

[1]李瑞軒，霍曉麗，文珠穆.多數(shù)據(jù)庫系統(tǒng)中的全局查詢轉(zhuǎn)換方法研究[J].計算機工程，2011，16.

[2]陶世群.多數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)模式集成與查詢處理[J].電腦開發(fā)與應(yīng)用，2012，12.

[3]李勇，楊蕾.多數(shù)據(jù)庫系統(tǒng)中間件的設(shè)計與實現(xiàn)方法[J].云南工業(yè)大學(xué)學(xué)報，2009，04.

[4]李貴，尹朝萬，鄭懷遠.大規(guī)模多數(shù)據(jù)庫系統(tǒng)的互操作機制[J].計算機科學(xué)，2012，01.

[5]李邦慶，馬玉蘭，夏桂梅.實現(xiàn)PB應(yīng)用程序多數(shù)據(jù)庫系統(tǒng)配置功能[J].計算機工程與應(yīng)用，2012，22.

作者簡介：徐云霞（1971.9-），女，江蘇泗陽人，研究方向：會計信息化。

作者單位：淮陰工學(xué)院校醫(yī)院，江蘇淮安 223003