蔡建新

摘要：隨著信息管理系統(tǒng)在各行各業(yè)的普及，越來(lái)越多的專(zhuān)家學(xué)者不止于滿(mǎn)足業(yè)務(wù)功能建設(shè)，而更關(guān)注信息化技術(shù)對(duì)業(yè)務(wù)管理系統(tǒng)的性能提升。系統(tǒng)基于SOA架構(gòu)思想，采用現(xiàn)階段流行的resful技術(shù)進(jìn)行架構(gòu)設(shè)計(jì)，并以廣東省工程技術(shù)研究中心管理系統(tǒng)為案例，結(jié)合實(shí)際需求完成系統(tǒng)的建設(shè)。

關(guān)鍵詞：SOA；resful；信息系統(tǒng)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）21-0067-03

廣東省工程技術(shù)研究中心（以下簡(jiǎn)稱(chēng)工程中心）是根據(jù)我省實(shí)施創(chuàng)新驅(qū)動(dòng)發(fā)展戰(zhàn)略和產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化升級(jí)的重大戰(zhàn)略需求， 依托技術(shù)水平在行業(yè)內(nèi)處于領(lǐng)先地位、綜合實(shí)力和創(chuàng)新能力強(qiáng)的科技型企業(yè)以及在領(lǐng)域內(nèi)有較大影響、研究開(kāi)發(fā)和工程化能力強(qiáng)的高校、科研院所構(gòu)建的技術(shù)創(chuàng)新平臺(tái)，通過(guò)對(duì)SOA架構(gòu)思想和restful技術(shù)的研究，將兩者結(jié)合并運(yùn)用于工程中心信息管理系統(tǒng)。為進(jìn)一步掌握廣東省工程技術(shù)研究中心建設(shè)現(xiàn)狀，加強(qiáng)以信息化方式對(duì)工程技術(shù)研究中心的管理作好充分的準(zhǔn)備，實(shí)現(xiàn)對(duì)省級(jí)工程中心動(dòng)態(tài)管理。

1 系統(tǒng)關(guān)鍵技術(shù)

1.1 基于SOA架構(gòu)思想

SOA（Service Oriented Architecture，縮寫(xiě)SOA），即面向服務(wù)的體系架構(gòu)，它提供了一種構(gòu)建IT組織的標(biāo)準(zhǔn)和方法，并通過(guò)建立可組合、可重用的服務(wù)體系來(lái)減少I(mǎi)T業(yè)務(wù)冗余并加快項(xiàng)目開(kāi)發(fā)的進(jìn)程。SOA允許一個(gè)企業(yè)高效地平衡現(xiàn)有的資源和財(cái)產(chǎn)，這種體系能夠使得IT部門(mén)效率更高、開(kāi)發(fā)周期更短、項(xiàng)目分發(fā)更快，在幫助IT技術(shù)和業(yè)務(wù)整合方面有著深遠(yuǎn)的意義。

企業(yè)服務(wù)總線（Enterprise Service Bus，縮寫(xiě)ESB），是面向服務(wù)架構(gòu)的骨干，在完成服務(wù)的接入，服務(wù)間的通信和交互基礎(chǔ)上，還提供安全性、可靠性、高性能的服務(wù)能力保障。采用SOA架構(gòu)，基于ESB總線進(jìn)行企業(yè)應(yīng)用集成，應(yīng)用系統(tǒng)之間的交互通過(guò)總線進(jìn)行，這樣可以降低應(yīng)用系統(tǒng)、各個(gè)組件及相關(guān)技術(shù)的耦合度，消除應(yīng)用系統(tǒng)點(diǎn)對(duì)點(diǎn)集成瓶頸，降低集成開(kāi)發(fā)難度，提高復(fù)用，增進(jìn)系統(tǒng)開(kāi)發(fā)和運(yùn)行效率，便于業(yè)務(wù)系統(tǒng)靈活重構(gòu)，快速適應(yīng)業(yè)務(wù)及流程變化需要。

基于SOA架構(gòu)的應(yīng)用集成開(kāi)發(fā)方法，與傳統(tǒng)的軟件開(kāi)發(fā)方法略有不同，角色分工更加明確。就整個(gè)項(xiàng)目開(kāi)發(fā)周期來(lái)講，首先由業(yè)務(wù)分析員進(jìn)行業(yè)務(wù)及流程定義，然后由架構(gòu)師和設(shè)計(jì)人員利用SOA方法將業(yè)務(wù)和復(fù)雜系統(tǒng)進(jìn)行分割，抽象出對(duì)應(yīng)的業(yè)務(wù)服務(wù)及流程服務(wù)；再由開(kāi)發(fā)人員使用不同的開(kāi)發(fā)技術(shù)，基于選定的SOA基礎(chǔ)架構(gòu)，進(jìn)行組件和服務(wù)的開(kāi)發(fā)實(shí)現(xiàn)、服務(wù)的組裝與合成，并打包部署和運(yùn)行調(diào)試；最后移交管理人員對(duì)服務(wù)和業(yè)務(wù)流程的運(yùn)行系統(tǒng)進(jìn)行監(jiān)控和管理，SOA系統(tǒng)運(yùn)行中，還可能會(huì)涉及操作人員參與業(yè)務(wù)流程的處理和使用。

1.2 restful技術(shù)

REST（英文： Representational State Transfer，簡(jiǎn)稱(chēng) REST）描述了一個(gè)架構(gòu)樣式的網(wǎng)絡(luò)系統(tǒng)。REST 指的是一組架構(gòu) 約束條件和原則。滿(mǎn)足這些約束條件和原則的 應(yīng)用程序或設(shè)計(jì)就是 RESTful。

RESTful使用 RPC 樣式架構(gòu)構(gòu)建的基于 SOAP 的 Web 服務(wù)成為實(shí)現(xiàn) SOA 最常用的方法。RPC 樣式的 Web 服務(wù) 客戶(hù)端將一個(gè)裝滿(mǎn)數(shù)據(jù)的信封（包括方法和參數(shù)信息）通過(guò) HTTP 發(fā)送到服務(wù)器。服務(wù)器打開(kāi)信封并使用傳入?yún)?shù)執(zhí)行指定的方法。方法的結(jié)果打包到一個(gè)信封并作為響應(yīng)發(fā)回 客戶(hù)端。 客戶(hù)端收到響應(yīng)并打開(kāi)信封。每個(gè)對(duì)象都有自己獨(dú)特的方法以及僅公開(kāi)一個(gè) URI 的 RPC 樣式 Web 服務(wù)，URI 表示單個(gè)端點(diǎn)。它忽略 HTTP 的大部分特性且僅支持 POST 方法。

由于輕量級(jí)以及通過(guò) HTTP 直接傳輸數(shù)據(jù)的特性，Web 服務(wù)的 RESTful 方法已經(jīng)成為最常見(jiàn)的替代方法。可以使用各種語(yǔ)言（比如 Java 程序、Perl、Ruby、Python、PHP 和 Javascript[包括 Ajax]）實(shí)現(xiàn) 客戶(hù)端。RESTful Web 服務(wù)通?？梢酝ㄟ^(guò)自動(dòng) 客戶(hù)端或代表用戶(hù)的 應(yīng)用程序訪問(wèn)。但是，這種服務(wù)的簡(jiǎn)便性讓用戶(hù)能夠與之直接交互，使用它們的 Web 瀏覽器構(gòu)建一個(gè) GET URL 并讀取返回的內(nèi)容。

在 REST 樣式的 Web 服務(wù)中，每個(gè)資源都有一個(gè)地址。資源本身都是方法調(diào)用的目標(biāo)，方法列表對(duì)所有資源都是一樣的。這些方法都是標(biāo)準(zhǔn)方法，包括 HTTP GET、POST、PUT、DELETE，還可能包括 HEADER 和 OPTIONS。

在 RPC 樣式的架構(gòu)中，關(guān)注點(diǎn)在于方法，而在 REST 樣式的架構(gòu)中，關(guān)注點(diǎn)在于資源 —— 將使用標(biāo)準(zhǔn)方法檢索并操作信息片段（使用表示的形式）。資源表示形式在表示形式中使用 超鏈接互聯(lián)。

總之：REST 描述了一個(gè)架構(gòu)樣式的互聯(lián)系統(tǒng)（如 Web 應(yīng)用程序）。REST 約束條件作為一個(gè)整體應(yīng)用時(shí)，將生成一個(gè)簡(jiǎn)單、可擴(kuò)展、有效、安全、可靠的架構(gòu)。由于它簡(jiǎn)便、輕量級(jí)以及通過(guò) HTTP 直接傳輸數(shù)據(jù)的特性，RESTful Web 服務(wù)成為基于 SOAP 服務(wù)的一個(gè)最有前途的替代方案。用于 web 服務(wù)和動(dòng)態(tài) Web 應(yīng)用程序的多層架構(gòu)可以實(shí)現(xiàn)可重用性、簡(jiǎn)單性、可擴(kuò)展性和組件可響應(yīng)性的清晰分離。開(kāi)發(fā)人員可以輕松使用 Ajax 和 RESTful Web 服務(wù)一起創(chuàng)建豐富的界面。

2系統(tǒng)架構(gòu)設(shè)計(jì)

廣東省工程技術(shù)研究中心管理系統(tǒng)（以下簡(jiǎn)稱(chēng)“系統(tǒng)”）采用基于服務(wù)的前后端分離的架構(gòu)設(shè)計(jì)，將系統(tǒng)的功能按照不同的業(yè)務(wù)需求封裝成不同層次顆粒大小的restful服務(wù)，內(nèi)容涵蓋對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限、瀏覽、查詢(xún)、統(tǒng)計(jì)、分析等各個(gè)方面的需求。功能包可以按照不同的權(quán)限設(shè)置分發(fā)給任何需要管線信息的其他部門(mén)的應(yīng)用系統(tǒng)。

前端基于Bootstrap框架主題，通過(guò)簡(jiǎn)潔優(yōu)雅的HTML和CSS，實(shí)現(xiàn)流暢和清新風(fēng)格的web視圖界面。所有靜態(tài)資源通過(guò)Seajs模塊化按需加載的訪問(wèn)方式，實(shí)現(xiàn)頁(yè)面的快速渲染。通過(guò)前端VUE框架構(gòu)建單頁(yè)應(yīng)用的Web交互界面，并使用其MVVM 數(shù)據(jù)綁定和可組合的組件系統(tǒng)，結(jié)合AJAX調(diào)用后端服務(wù)的API，實(shí)現(xiàn)豐富的數(shù)據(jù)呈現(xiàn)和交互。

摘要：該文闡述了療養(yǎng)院網(wǎng)絡(luò)安全的概念以及在完全管理中出現(xiàn)問(wèn)題的原因，并就網(wǎng)絡(luò)安全的分類(lèi)及技術(shù)特點(diǎn)及影響網(wǎng)絡(luò)安全的因素，提出了相應(yīng)的解決方法，讓療養(yǎng)院網(wǎng)絡(luò)安全、可靠、高效的運(yùn)行，增強(qiáng)網(wǎng)絡(luò)的保密性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵監(jiān)測(cè)；防火墻；包過(guò)濾

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）21-0061-02

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)和不斷發(fā)展，療養(yǎng)院信息化的也呈跨越式的發(fā)展。所有療養(yǎng)人員的信息都已經(jīng)通過(guò)網(wǎng)絡(luò)數(shù)字化存入了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，使療養(yǎng)人員的健康管理，療案跟蹤以及醫(yī)護(hù)人員的定點(diǎn)服務(wù)能夠快速、準(zhǔn)確。所以療養(yǎng)院網(wǎng)絡(luò)的安全，將直接關(guān)系到療養(yǎng)工作的正常進(jìn)行。網(wǎng)絡(luò)上的漏洞、病毒等如果不進(jìn)行有效的技術(shù)控制防護(hù)殺毒，將會(huì)帶來(lái)巨大的災(zāi)難和損失。那么，對(duì)于網(wǎng)絡(luò)安全管理來(lái)說(shuō)，管理員應(yīng)該從哪些方面，如何才能做到安全管理呢，我們一步一步進(jìn)行分析。

1 網(wǎng)絡(luò)安全技術(shù)分析

網(wǎng)絡(luò)安全技術(shù)一般都由多種安全技術(shù)組成，如網(wǎng)絡(luò)防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)。

1.1 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻又分為硬件防火墻和軟件防火墻，他們的功能基本相同，都是在療養(yǎng)院內(nèi)部可信任網(wǎng)絡(luò)和外部不可信任的公共網(wǎng)絡(luò)之架起一座橋梁，然后根據(jù)內(nèi)部網(wǎng)絡(luò)的要求，允許授權(quán)的包通過(guò)，同時(shí)防止外部未經(jīng)授權(quán)的用戶(hù)非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，也可以完全阻止外部用戶(hù)的訪問(wèn)，進(jìn)而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶(hù)的入侵。不管是硬件防火墻還是軟件防火墻都能夠根據(jù)一定的安全規(guī)則來(lái)控制內(nèi)外網(wǎng)之間的信息流，并且保護(hù)自身不受非法用戶(hù)的攻擊。防火墻技術(shù)從應(yīng)用上來(lái)說(shuō)一般分為“包過(guò)濾”型（Packet Filtering）、“應(yīng)用代理”型（Application Proxy），網(wǎng)絡(luò)地址轉(zhuǎn)換型（Network Address Translation）三種。

“包過(guò)濾”型：它是依據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包傳輸，根據(jù)防火墻制作的過(guò)濾包的規(guī)則來(lái)檢測(cè)攻擊行為。因?yàn)榫W(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，每一個(gè)數(shù)據(jù)包都包含特定的信息，像數(shù)據(jù)源地址、目的地址、端口號(hào)等等。包過(guò)濾會(huì)檢查這些是否來(lái)自可信任的安全站點(diǎn)，如果發(fā)現(xiàn)數(shù)據(jù)包不正?；騺?lái)自不安全的地址，就會(huì)拒絕這些數(shù)據(jù)包通過(guò)。管理員可根據(jù)自身網(wǎng)絡(luò)的需要來(lái)制定相應(yīng)的包過(guò)濾規(guī)則。包過(guò)濾也有一定的缺點(diǎn)，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層，通過(guò)數(shù)據(jù)包的信息來(lái)判斷，如果有黑客偽造地址和端口等方法就能很容易通過(guò)包過(guò)濾型的防火墻。

“應(yīng)用代理”型：應(yīng)用代理型的防火墻其實(shí)就是使用代理服務(wù)器作為防火墻用，代理服務(wù)器處于客戶(hù)機(jī)和服務(wù)器之間，內(nèi)部網(wǎng)絡(luò)用戶(hù)可以通過(guò)代理服務(wù)使用外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)用戶(hù)無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)，保護(hù)了內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)。由于內(nèi)外之間沒(méi)有直接連接，都是通過(guò)代理服務(wù)器進(jìn)行，所以安全性較高。代理服務(wù)器還可以同時(shí)提供安全審計(jì)和日志服務(wù)。代理服務(wù)雖然安全性較高，對(duì)病毒和木馬入侵十分有效，但是因?yàn)樗锌蛻?hù)機(jī)的訪問(wèn)都要由代理服務(wù)器進(jìn)行連接，加重了代理服務(wù)器的負(fù)擔(dān)，而且速度較慢。

“網(wǎng)絡(luò)地址轉(zhuǎn)換”型：它是把內(nèi)部網(wǎng)絡(luò)用戶(hù)的內(nèi)部IP臨時(shí)轉(zhuǎn)換成具有外部網(wǎng)絡(luò)的IP地址的計(jì)算機(jī)來(lái)訪問(wèn)外網(wǎng)。外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)的機(jī)器在訪問(wèn)外網(wǎng)果，都由NAT服務(wù)器來(lái)產(chǎn)生一個(gè)映射地址，然后在映射出一個(gè)偽裝的端口通過(guò)網(wǎng)卡訪問(wèn)，這樣就隱藏了實(shí)際的內(nèi)部網(wǎng)絡(luò)地址?！熬W(wǎng)絡(luò)地址轉(zhuǎn)換”型的優(yōu)點(diǎn)是可以使內(nèi)部所有的機(jī)器共享幾個(gè)外網(wǎng)的IP訪問(wèn)外網(wǎng)，對(duì)于內(nèi)網(wǎng)安全性較高，但是同樣網(wǎng)絡(luò)訪問(wèn)速度慢。

1.2 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)能夠監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的各種事件并形成日志文件，并且進(jìn)行完整檢測(cè)分析，從中找到不安全的因素或系統(tǒng)中存在的漏洞。一般把入侵檢測(cè)的軟件與硬件的組合稱(chēng)為入侵檢測(cè)系統(tǒng)。它是一種主動(dòng)型的安全防護(hù)系統(tǒng)，可以對(duì)內(nèi)部攻擊、誤操作和外部攻擊做實(shí)時(shí)防護(hù)，在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前提前報(bào)警、攔截和響應(yīng)。入侵檢測(cè)系統(tǒng)可分為兩類(lèi)。基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問(wèn)的闖入等。特點(diǎn)是：精確，可以精確地判斷入侵事件；高級(jí)，可以判斷應(yīng)用層的入侵事件；對(duì)入侵時(shí)間立即進(jìn)行反應(yīng)；針對(duì)不同操作系統(tǒng)特點(diǎn)；占用主機(jī)寶貴資源?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。特點(diǎn)是：能夠監(jiān)視經(jīng)過(guò)本網(wǎng)段的任何活動(dòng)；實(shí)時(shí)網(wǎng)絡(luò)監(jiān)視；監(jiān)視粒度更細(xì)致；精確度較差；防入侵欺騙的能力較差；交換網(wǎng)絡(luò)環(huán)境難于配置。

1.3 網(wǎng)絡(luò)防病毒技術(shù)

計(jì)算機(jī)病毒是危害網(wǎng)絡(luò)信息系統(tǒng)安全的重要問(wèn)題之一，它可以通過(guò)光盤(pán)、優(yōu)盤(pán)、移動(dòng)硬盤(pán)、網(wǎng)上下載、電子郵件等方式進(jìn)行傳播，一旦網(wǎng)絡(luò)中的某一臺(tái)主機(jī)受到病毒感染，病毒程序就會(huì)很快迅速傳播，一般的蠕蟲(chóng)病毒可能拖慢計(jì)算機(jī)速度，惡意的病毒則可能使用信息泄漏、文件丟失甚至造成計(jì)算機(jī)崩潰，最嚴(yán)重的病毒甚至可以造成計(jì)算機(jī)硬件燒毀，如CIH病毒等。網(wǎng)絡(luò)防病毒一般是在全網(wǎng)安裝防病毒軟件客戶(hù)端，由一臺(tái)防病毒服務(wù)器來(lái)運(yùn)行服務(wù)端軟件。服務(wù)端和客戶(hù)軟件都具有檢查和清除病毒的功能，服務(wù)端還可以設(shè)置所有在線機(jī)器的定時(shí)殺毒以及網(wǎng)全網(wǎng)殺毒。當(dāng)服務(wù)端的殺毒程序升級(jí)更新后所有的客戶(hù)端都可以自動(dòng)更新，增加內(nèi)部網(wǎng)絡(luò)的防病毒能力。

1.4 網(wǎng)絡(luò)安全漏洞掃描技術(shù)

網(wǎng)絡(luò)安全漏洞掃描技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可或缺的一部分，它能夠增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，能夠掃描分析系統(tǒng)中存在的安全問(wèn)題，并針對(duì)掃描到的安全漏洞提供詳細(xì)的安全解決方案，使系統(tǒng)管理員及時(shí)打好系統(tǒng)安全補(bǔ)丁，避免因存在的漏洞而讓黑客有可乘之機(jī)，造成數(shù)據(jù)丟失?，F(xiàn)在的漏洞掃描工具分為兩類(lèi)，一類(lèi)是基于服務(wù)的，一類(lèi)是基于網(wǎng)絡(luò)的。基于服務(wù)器的漏洞掃描工具可以對(duì)服務(wù)器進(jìn)行全方位的掃描，如弱口令、共享文件、WWW服務(wù)、系統(tǒng)漏洞等，掃描完成后會(huì)給出詳盡的分析說(shuō)明。基于網(wǎng)絡(luò)的安全掃描工具主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的交換機(jī)、路由器、數(shù)據(jù)庫(kù)服務(wù)器、防火墻等設(shè)備的安全漏洞，還可以設(shè)定模擬攻擊，以便測(cè)試系統(tǒng)的防御能力。通過(guò)漏洞掃描技術(shù)的應(yīng)用，管理可以針對(duì)相應(yīng)的問(wèn)題，制定切實(shí)可行的安全解決方案。