Sybase助力國家水上安全監督系統案例

針對海事局部中心系統大型的數據處理系統，應結合子系統不同的實現機制，采用不同的體系結構。另外，在用戶接口層和業務功能層之間，需要存在通信接口層或中間件，將客戶端的業務請求通過網絡或其他途徑（如消息隊列）傳遞給業務功能層。因此，應用軟件體系主要是以交易中間件為基礎框架的三層客戶機/服務器模式，即整個應用分成用戶接口、業務功能、系統平臺三層，現說明如下。

用戶接口：是應用系統的第一層，是系統與最終用戶之間的界面層，其主要功能是控制交易界面，輸入各種交易所需的數據，向第二層--業務功能層提交交易請求，同時處理接收到的處理結果（顯示或打印等）。這一層一般采用圖形操作環境（即GUI-圖形用戶接口），為用戶提供友好、靈活的操作方式和多種操作功能，以完成相應的業務處理操作和管理工作。

業務功能：是應用系統的中間層，其功能是接收用戶接口層傳來的交易請求的指令和數據，對指令進行識別，對數據進行處理，向數據庫提交數據檢索、增刪改等操作請求，實現業務的處理邏輯，完成整個交易的處理，并將處理結果返回到第一層。

系統平臺：它是應用系統的最底層，包括數據庫系統、網絡和操作系統等。它負責管理應用系統的數據資源，完成數據的檢索、增刪改等操作。

其中，業務功能層在整個系統中起著重要作用：

負責維護用戶接口與業務功能之間的通訊聯結。

負責建立和保持業務功能和數據庫之間的聯結。

負責負載平衡，交易調度，提高系統的性能。

保證交易的一致性、完整性。

屏蔽硬件、網絡、數據庫的異構性，向應用層提供統一的訪問接口。

水監信息系統是覆蓋分布在部海事局、全國范圍內19個直屬海事局等的分布式處理計算機網絡系統。各直屬海事局與部海事局的計算機應用系統之間需要進行大量的數據信息交換，以部海事局為中心構成一個協作運行的系統；另外，構成直屬海事局計算機系統的七個子系統既能夠彼此獨立運行，也能夠彼此交換數據，實現信息一次采集，信息共享的目標。所以，從數據信息交換和應用上看，水監系統是一個全局和局部都能夠實現數據共享和交換的信息交換平臺，這是系統內信息共享和綜合利用的基礎，也是應用系統實現靈活的管理、維護和擴充的基礎。水監信息系統的數據存儲、采集和更新機制采用定期更新和實時更新相結合的方式進行：集中存儲的數據采用定期更新的方式，即各直屬海事局每隔一定的時間段將集中存儲的數據匯總到部海事局，統一更新集中存儲的數據；各直屬局日常業務處理過程中產生的數據，其使用者在本局，因此實時產生，實時存儲在當地海事局。因此，為了實現海事信息的共享，對業務數據傳輸的可靠性、一致性和安全性提出了更高的要求。

此外，由于水上安全監督系統中涉及的數據與日常業務密切相關，任何數據的丟失、被非法訪問及修改，都可能造成日常業務的停頓、資金流失、泄漏業務信息等事故，給水監業務帶來極大的影響，嚴重損害海事局的聲譽，甚至造成無法挽回的經濟損失。因此系統的安全與保密是非常重要的。

在Internet/Intranet體系結構日益流行的今天，SYBASE在其適應性組件結構ACA（Adaptive Component Architecture）中特別考慮了基于網絡的數據庫應用的安全問題。通過在Open Client、Open Server這兩種客戶、服務器端間增加了安全控制層、目錄控制層，用于對商業安全服務、命名服務的支持。

通過目錄控制層DCL（Directory Control Layer）支持商業命名服務，使客戶、服務器之間的定位、識別受控于商業命名服務提供的網絡服務，而不僅僅用明碼的Interfaces / SQL.ini文件。      主要安全特色可概括為四個方面：

1、隨意存取控制DAC(Discretionary Access Controls)：給對象屬主以限制對象存取的控制機制，通常是用GRANT和REVOKE命令。由于這種類型的控制取決于對象屬主的意向，故稱隨意存取控制。

身份和驗證控制(Identification and Authentication Controls)：確保只有合法用戶才能注冊到系統。

2、角色的劃分(Division of Roles)：允許給特定用戶賦予特權角色，以便只有特定用戶才能執行特定任務。ASE的角色分兩類：一類是預定義角色(或稱系統角色)，如System Administrator和 System Security Officer；另一類是用戶自定義角色(user-defined roles)，是由有System Security Officer權限的用戶定義的。

審計(Auditing)：提供了審計事件的能力，例如登錄、系統啟動、遠程過程調用、訪問數據庫對象以及特定用戶或特定角色的行為。

3、審計服務器范圍的有關安全的事件。

提供了代理授權機制為多層應用系統提供了改良的安全性和審計。通過代理授權，允許一個用戶得到其他用戶的身份，并獲得在其他用戶權限范圍內工作的權利。當一個用戶被代理授權后，該用戶可以通過執行命令成為其他用戶。

應用軟件可利用SYBASE產品編寫數據應用的安全層。Sybase通過網絡和數據庫的單一登錄用戶標識ID增強了DBMS的安全性，減 少管理的復雜性；提供密碼和網絡數據加密機制，增強網絡間數據的安全性。

4、在數據庫、表和字段三個級別上設置存取權限的特性

限制用戶在數據庫內創建新的表

限制用戶對某個特定的表只能增加，不能修改和刪除

限制用戶對某個表只能檢索，不能增、刪、改

限制用戶只能對特定表中的某個字段操作

上述安全措施能有效防止對數據庫中數據的非法存取。

第四部分：系統實施效果

試運行的結果證明，水監信息系統的可以達到為領導提供各種信息和輔助決策的目的。水監信息系統可以實現提高辦公效率、快速獲取信息、規范管理行為、加強內部管理、支持廉正建設等，從外部來講，這不僅可以加快港口生產周轉效率，而且還可以提高船舶運輸管理的質量，改善港口作業環境，促進港口的國際競爭力，從而全面提高港口生產效率，有利于國家、企業的經濟利益；從內部來講，通過水監信息系統的建設，將能完成水監系統間的協同工作，做了建設前做不到的事情，提高了水監系統的整體管理效益。如果按照社會效益是直接效益的10倍的一般原則考慮，建設水監信息系統的價值將遠遠大于其自身價值。