厦门软件园管理服务系统-毕业论文

本科毕业论文 (科研训练、毕业设计)题 目：厦门软件园管理服务系统 技术部子系统和财务部子系统姓 名：学 院：软件学院系：专 业：软件工程年 级：学 号：指导教师（校内）： 职称： 年 月摘 要随着厦门软件园产业基地的全面开园和入住园区企业的不断增多，如何对这些企业的服务进行有效的管理，如何改善与入住园区企业的交互，如何提高自身的业务效率，如何向更多的软件企业提供更多的信息就成为了厦门软件产业投资有限公司关注的一件事。在这样的需求驱动下，厦门软件产业投资有限公司希望开发一个厦门软件园管理服务系统作为公用信息平台，与各大网络实现互联互通，最大限度利用现有网络资源为入园企业及周边地区服务。厦门软件园管理服务系统是以.NET为开发平台，使用Microsoft SQL Server2005为后台的数据库管理系统，采用MVC三层编程模式。该系统综合了公司日常所要管理的各模块，包括行政部、企业服务部、技术部和财务部等模块的功能，从而有效解决了公司中存在的一系列的问题。本文主要介绍本人负责的技术部与财务部系统设计与开发。首先介绍了厦门软件园管理服务系统的开发背景和现状；然后提出我们的方案，介绍整个系统的设计；接着详细介绍了技术部与财务部管理系统的设计与开发；最后对整个项目的开发进行了总结并对接下来的工作进行了展望了。关键词：面向对象软件工程 企业管理系统 系统安全Development of XMSP Management Service System Development of Technique System and Finance SystemAbstractAs the number of companies registered in Xiamen Software Park (XMSP) grows, it is becoming an increasing important issue for Xiamen Software Park to improve its working efficiency, to better its service to these companies, to provide more information to software companies. Under these circumstances, XMSP wish a management service system to work all these for them.XMSP Management Service System is developed in the .NET platform, using SQL Server 2005 as the database. The system is developed for the purpose of solving the companys existing problems. It integrates all parts of information needed in the companys daily work, including administration department module, customer service department module, technique department module and finance department module and so on. Therefore the platform is able to solve a series of problems effectively. This paper mainly discusses design and development of technique department system and finance department system.In this paper, I start with giving a brief introduction of the background of the whole system, and then I bring forward our plan of the project. Following that, I discuss the two systems that I worked on in details. Lastly, I end my paper with conclusion and future work.Key words: Software Engineering Enterprise Management System System Security目 录第一章 绪论11.1项目背景11.2现状及存在的问题21.2.1 国内外现状21.2.2 厦门软件园现状及存在问题31.2.3 技术解决方案41.3 小组分工51.4 本文结构安排6第二章 厦门软件园管理服务系统（XMSPMS）框架设计72.1 系统的物理架构72.1 系统组成与功能实现82.2 系统总体框架说明82.2.1 企业管理服务部系统82.2.2 园区企业管理系统92.2.3 行政部管理系统92.2.4 技术部管理系统102.2.5 财务部管理系统102.3 安全问题及解决方案102.3.1 Web系统安全需求102.3.2 Internet网络安全需求112.3.3 系统安全设计122.4 小结15第三章 技术部与财务部管理系统的设计与开发163.1 开发环境163.2 系统总界面173.3 技术部管理系统的设计与开发173.3.1 服务器租赁合同管理模块183.3.2 费用管理模块223.4 财务部管理系统的设计与开发253.4.1 费用查询模块253.4.2 费用到帐管理模块273.5 开发工具和技术简介283.5.1 ASP.NET技术介绍293.5.2 ADO.NET简介293.5.3 MVC设计模式30第四章 总结与展望324.1 总结324.2 展望32致谢34参考文献35ContentsChapter 1 Introduction11.1 Project Background11.2 International status quo21.2.1 International status quo21.2.2 Software Parks Status quo and Existing Problems31.2.3 Technical Resolving Method41.3 Task Division51.4 Outline of Thesis6Chapter 2 XMSP Management Service Systems Architecture72.1 Systems Physical Architecture72.1 Systems Components and Functions82.2 Systems Overall Framework Description82.2.1 Enterprise Management Service Department System82.2.2 Enterprise Management Department System92.2.3 Administration Department System92.2.4 Technique Department System102.2.5 Finance Department System102.3 Security Issues102.3.1 Web-Based Systems Security Requirements102.3.2 Internet Security Requirements112.3.3 Systems Security Design122.4 Conclusion15Chapter 3 Design and Development of Sub-Systems163.1 Developing Environment163.2 Systems Interface173.3 Implement of Technique Department System173.3.1 Server Contract Management Module183.3.2 Fee Management Module223.4 Implement of Finance Department System253.4.1 Fee Querying Module253.4.2 Fee Management Module273.5 A Brief Introduction of Developing Tools and Related Technologies283.5.1 ASP.NET293.5.2 ADO.NET293.5.3 MVC30Chapter 4 Conclusion and Future Work324.1 Conclusion324.2 Futuer Work32Acknowledgement34Bibliography35VII第一章 绪论第一章 绪论计算机应用技术的迅猛发展与日趋成熟为现代企业应用技术的研究与发展带来了新的机遇，如何把计算机和网络技术更有效地引进企业管理领域来为企业服务，已成为各级各类企业面临的一个新的课题。厦门软件投资发展有限公司也希望通过建立厦门软件园管理服务系统，加强对厦门软件园的管理。本章简要介绍厦门软件园管理服务系统的开发背景、国内外管理服务系统发展现状、厦门软件园的现状，小组任务分工情况，以及本篇论文的结构安排。1.1 项目背景当今世界信息技术的快速发展，给软件产业带来了难得的发展机遇。当前，我国已经初步形成软件产业发展的良好环境，也有了一定的发展基础。但是与国内需求相比，与飞速发展的国际软件产业相比，我们还有相当大的差距。厦门市委、市政府非常重视软件产业的发展，在“十一五”规划中将软件产业明确定位为“我市优先扶持发展的重点产业”，并做出了“加快厦门软件园建设”的决定。作为国家火炬计划软件产业基地的厦门软件园，已成为经济增长快、投资回报高、创新能力强、具有极大发展前景的经济增长点，并以其配套完善的基础设施、主动细致的服务环境、优惠稳定的政策环境、诚实公正的信用环境、和谐向上的人文环境和舒适优美的生态环境，日益成为海峡西岸软件企业、软件人才研发基地和集聚基地1。厦门软件园包括软件园孵化基地（一期）和软件园产业基地（二期）。厦门软件园孵化区位于厦门环岛路海景观光线上，由华讯楼、科讯楼和创新大厦组成，总建筑面积约7.5万平方米。孵化区拥有完善的硬件和商务配套设施，配套有IDC机房、会议室、培训中心、餐厅、休闲活动中心等共享服务设施，吸引了东南融通、翼华科技、美亚柏科、台湾客服等170多家企业入园，业务涵盖软件开发、系统集成、信息服务、芯片设计、信息安全等领域，从业人员达5000余人。目前，厦门软件园已经形成了发展软件产业的良好环境，以“发挥比较优势、发展特色产业、实施可持续发展战略”作为产业基地发展的原则，探索出一条具有自身特色的路子，初步实现了海峡两岸合作与交流和外向型两大优势，在通讯软件、城市信息化软件、IC研发设计等具有相对优势的特色产业2。图1-1厦门软件园在这样的背景下，作为厦门软件园的运营主体，厦门软件产业投资公司希望通过建立一个软件园管理服务系统来管理公司日常运作，增加人们对厦门软件园的了解，扩大厦门软件园的影响，同时也为入住软件园的企业提供了一个网上查询与自身企业相关信息的平台，并使之成为集宣传、客户关系管理、综合服务于一体的“虚拟园区”。在由邱明老师和王备战老师的带领与参与下，开发小组对厦门软件园进行了实地的考察与调研，经过多次与软件园方面的相关负责人沟通并获得需求，最后设计并开发出厦门软件园管理服务系统。该系统旨在与各大网络实现互联互通，最大限度利用现有网络资源为入园企业及周边地区服务。1.2 现状及存在的问题1.2.1国内外现状互联网以蓬勃的发展速度席卷全球，它的虚拟商业行为改变着我们的交易方式和经济活动。网络改变了竞争，也改变了企业的经营模式和管理理念。美国早在1993年就已有2.4万家企业使用电子数据交换(EDI)。随后，美国所有的大公司都实现了办公自动化，一些跨国公司还实现了虚拟办公室。美国企业的信息化建设已经进入了比较高级的阶段：60%的小企业、80%的中型企业、90%以上的大企业已借助互联网广泛开展电子商务活动，其中B2B占电子商务总额的80%以上。比如美国思科(CISCO)公司把管理和运营成功地迁移到了互联网上，其全部产品(路由器、交换机和其它网络互联设备)建立了虚拟的订货系统。目前，思科在全球范围内80%的订单通过网络来处理3。相比之下，中国企业信息化整体水平还比较低。2004年，某权威机构对我国2000多家大型企业信息化建设的调查显示，应用ERP的企业仅占调查企业总数的10%；对3000家大型企业信息化建设状况的调查显示，只有3.7%的企业信息化建设进入成熟期阶段。随着计算机网络技术的发展与普及，小型ERP（Enterprise Resource Planning）已经成为一个企业管理热点。如何更好地管理企业资源成为各类公司面临的问题。基于网络企业资源管理系统是企业管理的重要组成部分4。企业管理系统的数量也随着互联网技术的不断革新和全球化的普及，以惊人的速度增长着。在现代企业信息化的应用热点中，无论是MRP、MRP还是ERP，无一不是通过梳理企业的内部流程来提高企业的内部效率的，而许多企业在实施ERP后往往发现很多问题并未得到有效解决。随着市场竞争的加剧，ERP不仅在内部不能满足企业个性化生产、准确的成本控制、决策支持和对企业潜在问题进行预警等的要求，在外部，随着生产的社会化，企业更加需要全面整合企业财务、业务等各方面的信息，将企业对外部的控制和对内部的管理结合起来，以适应经济全球化的趋势5。1.2.2厦门软件园现状及存在问题厦门软件园经过几年的建设和发展，已经在企业服务工作上积累了一定的经验，并拥有了一定的硬件环境条件，如互联网数据中心（IDC）和园区网站。如何更好地利用现有条件，建立完善的信息管理系统，强化内部管理，提升对外部提供服务的质量，是厦门软件产业投资有限公司当前急需解决的问题。园区的网站是软件园对外宣传的一个重要的窗口。但是现阶段由于缺乏管理信息系统的支持，园区的网站只能提供一些静态的信息，没有充分发挥其服务于园区的日常管理、为广大园区企业提供信息资源的功能，也不能对相关的信息进行共享等。目前园区的内部信息管理基本采用手工方式，主要借助于Excel和Word记录园区的管理数据，使用电子邮件传递信息。由于信息格式的不统一和传递渠道的不畅通，使得各部门之间的信息无法共享，管理数据在多个部门中重复输入，不仅影响各部门的协作效率，更增加了管理成本。例如，入住园区的企业产生的费用分散于软件园的行政部、企业服务部和技术部等多个部门，但是由于缺乏信息传递的有效途径，目前财务部还不能即时了解各部门的费用产生情况，无法及时汇总，并通知入园企业缴纳各项费用。同时入园企业也缺乏渠道了解自己费用的产生情况，无法实现企业服务的透明化管理。随着厦门软件园产业基地的全面开园和入住园区企业的不断增多，如何对这些企业的服务进行有效的管理，如何改善与入住园区企业的交互，如何提高自身的业务效率，如何向更多的软件企业提供更多的信息就成为了厦门软件产业投资有限公司关注的一件事。在这样的需求驱动下，厦门软件产业投资有限公司希望开发一个厦门软件园管理服务系统作为公用信息平台，与各大网络实现互联互通，最大限度利用现有网络资源为入园企业及周边地区服务。1.2.3技术解决方案目前，在国内诸多的软件园里，也有不少的软件园已经具备了自身的软件园管理服务系统。这些软件园依靠自身的管理服务系统来向入园的企业和周边地区提供广泛的信息服务。而这些管理服务系统大多采用三层的B/S/S体系结构。B/S/S体系结构是指在TCP/IP的支持下以HTTP为传输协议，客户通过浏览器访问Web服务器以及与之相连的后台数据库的体系结构，它由Web浏览器、Web服务器、中间件和数据库服务器组成。在B/S/S结构中，各组成部分之间物理上通过Intranet或Internet相连，软件上遵守HTTP协议，浏览器通过发送请求和服务器端建立连接，从而实现以整个Internet为背景的数据存储和访问。B/S/S结构在C/S/S结构的基础上将客户机统一安装Web浏览器，Web服务器充当应用服务器，如图1-2所示.图1-2 Web数据库系统的B/S/S体系结构从应用功能的角度，任何一个典型的应用系统都由3个部分组成：表示层、应用层、数据层12。1) 表示层：直接面向用户，主要完成应用的前端的人机界面处理，实现与用户的交互，一般指界面程序。2) 应用层：进行具体的运算和数据处理。3) 数据层：实现对数据库中数据的存取、修改、查询及访问数据的安全性、完整性、一致性。在B/S/S结构中，表示层放在客户端即WEB浏览器，应用层放在中间层即WEB服务器上，数据层位于数据库服务器上。在参考借鉴了其他软件园管理服务系统，并与厦门软件园方面沟通后，开发小组决定采用三层B/S/S体系结构来开发厦门软件园管理服务系统。1.3 小组分工厦门软件园管理服务系统是一项开发周期较长的项目，将持续到今年年底。初期软件园方面对自身需求的不明确性，需求基本处于一个持续变化的状态。在系统的开发过程中，开发小组经常地与软件园方面沟通交流，以明确软件园的需求，并根据软件园方的要求修改必要的地方。现阶段，由于开发周期和开发人员的限制，我们只完成了对系统的原型的开发，而系统功能的完善将在下一个开发阶段完成。在项目进行的过程中本项目组的分工情况如表1-1所示：表1-1项目小组分工情况组员工作内容林 华需求调研，负责技术部和财务部管理系统的设计及开发。吴 起需求调研，负责行政部子系统的部分设计及开发。王佑玉需求调研，负责系统的框架设计、数据库的设计以及行政部子系统的部分开发，后台数据库管理。刘尚渊需求调研，负责企业服务部管理系统的设计及开发。本人的主要工作内容：与软件园方面的部门相关负责人协调、沟通，获得需求；设计整个厦门软件园管理服务系统的框架；重点设计和开发技术部管理系统与财务部管理系统，包括两个系统的几大功能模块、数据字段设计、页面设计；针对系统的安全性问题进行了研究并给出了解决方案。1.4 本文结构安排本文共分为四个章节，具体结构如下所示：第一章简要的介绍了现阶段国内软件产业的发展情况；对比分析了国内外电子商务的发展情况；简要介绍了厦门软件园的现状及存在的问题；在借鉴了其他软件园类似的管理服务系统下提出了本系统的技术解决方案；提出了开发小组所要做的工作和本人的工作重点。第二章介绍了整个厦门软件园管理服务系统的框架设计。概括的说明了系统的组成与功能实现；描述了系统的总体框架即各个子系统的功能模块、详细地阐述了本人的负责的技术部管理系统和财务部管理系统的功能与数据字段的设计、并针对系统的网络安全问题进行了讨论并提出解决方案。第三章主要是对我负责的两个系统进行了详细的描述。包括了整个系统的开发环境；技术部管理系统功能的实现；财务部管理系统功能的实现；并简要的介绍了系统开发工具和应用到的技术，比如ASP.NET、ADO.NET、MVC等等。第四章对开发小组现阶段的工作进行了总结，对开发小组取得的阶段性的成果进行了阐述，同时分析了目前该系统中存在的一些不足，并对系统的下一步开发与完善进行展望。35第二章 厦门软件园管理服务（XMSPMS）框架设计第二章 厦门软件园管理服务系统（XMSPMS）框架设计XMSPMS系统是一个相对比较大的管理服务系统，包括了行政部、企业服务部、技术部和财务部五个大的功能模块，几乎涵盖了公司日常工作中所涉及的各个方面。本章介绍了系统的整体框架以及各个模块要实现的功能，然后详细介绍了我负责的技术部管理系统和财务部管理系统实现的功能，并对系统的安全问题进行了探讨，给出了一系列的安全解决方案。2.1系统的物理架构三层体系结构，是在客户端与数据库之间加入了一个“中间层”，也叫组件层。三层体系的应用程序将业务规则、数据访问、合法性校验等工作放到了中间层进行处理。通常情况下，客户端不直接与数据库进行交互，而是通过COM/DCOM通讯与中间层建立连接，再经由中间层与数据库进行交互。厦门软件园管理服务系统对系统涉及公司各种设施以及各种费用的录入以及收取，对系统的安全性要求比较高，因此采用两个服务器，分别服务于内网和外网。外网服务器用防火墙隔开。（如图2-1所示）图2-1三层体系结构2.1系统组成与功能实现根据软件园方面对系统功能的需求，我们将XMSPMS系统分为企业服务部管理系统、行政部管理系统、财务部管理系统、技术部管理系统和园区企业管理系统五大部分。其中企业服务部管理系统、行政部管理系统、财务部管理系统和技术部管理系统的功能分别对应与园区的企业服务部、行政部、财务部和技术部的业务需求。这样的功能设置使每个部门的工作人员基本上都只使用本部门的模块，这样可以加快系统使用人员熟悉系统使用的过程。系统的功能模型如图2-所示。图2- 系统功能模型2.2系统总体框架说明2.2.1企业管理服务部系统系统的企业服务部管理系统对应于园区的企业服务部所属的内容。该系统主要负责为园区企业提供各种基本服务，其中包括了对企业基本信息的管理、招商管理、物业管理及其它基本设施的管理等。1) 企业基本信息管理模块：企业基本信息的添加、修改、查询。这里的企业是指已经登记并入住在厦门软件园里的企业。查询操作主要提供针对企业名称、企业地址、公司性质及注册资本等相关信息查询。2) 入园企业信息管理：入园企业信息、修改、查询。查询操作主要提供针对租用地址、客户经理及租用场地相关信息查询。3) 招商信息管理模块：招商基本信息的添加、修改、查询、对企业服务情况进行跟踪。4) 招商服务跟踪：对企业服务情况进行跟踪及反馈。5) 基金申报模块：基金申报模块主要用于申报科技型中小企业技术创新基金。包括三个主要功能：入园企业基金申报信息的添加、入园企业基金申报信息的修改、入园企业基金申报信息的查询。6) 合同信息管理模块：入园企业相关合同信息的添加、修改和查询。这里的合同主要涉及到办公场地租用等。7) 费用管理：提供入园企业基本水电费、房租、物业、空调、设备租用、托管、企业服务费、楼层公共电费、公共水费等费用的录入修改与查询界面。2.2.2园区企业管理系统园区企业管理子系统的作用是为实现园区管理的透明化实现信息的共享，使园区企业能及时了解自身各种费用的产生情况。本系统主要提供入园企业费用查询：1) 提供入园企业相关费用信息的查询界面，输出查询结果。2) 入园企业申请会议室及设备的租用。3) 提供会议室及设备申请表格的在线填写、提交功能。4) 入园企业信息发布：允许入园企业在网站上发布自身企业的信息。比如企业的发展情况，或者招聘信息等。5) 提供停车位信息查询功能：提供对停车位的空闲及租用情况的查询界面，此功能同时供内网及外网用户使用。2.2.3行政部管理系统行政部主要负责园区内部的事务，其主要的业务需求如下所示：1) 从财务部获得资金到帐相关到帐信息。2) 从财务部获得电业局、水务局缴费通知信息。3) 实现行政部的水电公摊计算功能模块（即应缴费用）。4) 行政部可录入停车缴费情况（已缴费用、未收，期限等）。5) 实现后期可以人为修改费用功能（即实缴费用。并记录下修改人名称，修改理由等）。6) 行政部能自动生成缴费通知单（房租、物业、水电、空调、停车收费）。7) 行政部物业相关资料数据库（合同、楼层面积、电子公告等）。8) 合同/押金状态管理。2.2.4技术部管理系统技术部管理系统主要负责入园企业的弱电需要实现功能包括：1) 入园企业弱电管理：弱电信息的添加、修改、查询。查询操作主要提供针对业务号及企业名称相关信息查询。2) 费用管理：技术部的费用管理主要涉及到会议室、多功能厅、会议室设备等的租赁，包括了费用费用情况的添加、修改与查询。其中查询操作主要针对费用类别、企业名称来查询。2.2.5财务部管理系统财务部管理系统主要负责整个园区的费用管理，主要为行政部子系统提供财务数据。包括：1) 费用到帐管理：财务部的相关人员可以通过这个页面对入园企业的各种缴费到帐情况进行登记，并通知其他各个部门此到帐信息。2) 提供入园企业费用查询功能：财务部要求能够查看各个企业的费用生成情况，并希望针对费用类别进行统计等。财务部从其他各个部门获得资金来源信息后可以在此模块修改相应企业的相应费用的状态。2.3 安全问题及解决方案2.3.1 Web系统安全需求B/S/S(或多层B/S结构)体系结构的特点决定了数据库系统的安全需求：1) B/S/S体系结构具有传统C/S结构的优点，且用户接口(表示层)、业务处理(应用层)和数据管理(数据层)的分布更加灵活。但由于网络环境复杂多变，系统资源分散，给系统的安全带来许多不利因素，需要在多个层次上考虑系统的安全问题。2) B/S/S体系结构的操作界面统一、使用灵活。理论上说来，任何地方的计算机只要连网并安装浏览器就可以进入数据库系统进行操作。正是这种方便性为非法入侵提供了有利条件。3) 由于客户端不存放应用秘密和数据，只要保证传到浏览器上的HTML源码不包含关键程序代码，客户端用户就不能看到更不能更改应用程序，只要各类服务器安全设计合理，就可以保证应用程序和数据不被破坏。4) 由于要保证信息不被破坏或窃取，不仅要保证数据库服务器中数据和程序的安全，还应该保证信息传输过程中的安全。因此，Internet网络安全是关系整个信息系统安全的一个部分，整个信息系统的安全设计与Internet网络安全设计密切相关。2.3.2 Internet网络安全需求Internet网络安全主要包括：身份认证、授权控制、数据完整性、以及防止否认。1) 身份认证身份认证是授权认证的基础。身份认证必须做到准确无二义地将对方辨认出来，同时还应该提供双向的认证，即互相证明自己的身份。网络环境下的身份认证主要考虑到验证身份的双方一般都是通过网络而非直接交互，目前一般采用的是基于对称密钥或公开密钥等方法，采用高强度的密码技术来进行身份认证的。2) 授权控制授权控制是控制不同用户对信息资源的访问权限。3) 通信加密数据加密是保证安全通信的手段。目前加密技术主要有三大类：一类是基于对称加密的算法，也称私钥算法；另一类是基于非对称密钥的加密算法，也称公钥算法；还有一类是基于单向哈希函数(hash function)。常用的哈希函数有：消息摘要4(MD4)算法、消息摘要5(MD5)算法、安全哈希算法(SHA)。具体到加密手段，一般分软件加密和硬件加密两种：软件加密成本低且使用灵活，更换也方便；硬件加密效率高，本身安全性高。可以根据不同需要采用不同的方法。4) 数据完整性数据完整性是指通过网上传输的数据应防止被修改、删除、插入、替换或重发，以保证用户接收和使用该数据的真实性。单向哈希函数提供了消息的完整性和认证7。2.3.3系统安全设计基于B/S/S体系结构的Web数据库系统安全性设计应从以下多个方面进行考虑：1. 硬件安全系统硬件的安全性能确证系统硬件设备的安全性和可靠性。安全性是硬件设备的好坏，直接影响到存储数据的安全性以及数据存储设备的安全性，也包括非法设备的介入，因此注重设备和机房的屏蔽措施和备用接入端口的保护；可靠性是机器无故障运行的估量，也就是采用性能及价格比较好的设备7。2. 网络安全Web数据库系统的运行环境Internet是开放性的网络环境，因此网络安全是整个信息系统安全的一部分，整个信息系统的安全设计和网络安全设计密切相关。网络的安全要求网络操作系统及网络协议服务的正常运行，这主要涉及到网络安全的关键技术如防火墙、加密技术、网络监控、代理服务器配置等。当企业内部网(Intranet)和Internet相连时，应考虑隔离措施，避免将Intranet上的资源毫无设防地暴露在Internet环境中，隔离的方式有多种，可以采用路由器的IP过滤功能、网关、防火墙、代理服务器等。通过交换机或路由器将Intranet划分成多个子网，可以有效减少网络频带压力，使大部分信息在子网范围之内传输，减少信息外泄的机会，还可以同时实现IP地址身份验证机制，防止持有非法IP地址的人访问本子网的资源。3. 服务器安全基于B/S/S结构的Web数据库应用系统的资源都在各类服务器，对这些资源的使用，应根据具体情况，通过给不同的用户赋予不同的权限，来对系统资源的访问加以限制。i、 在用户使用服务器资源之前，首先应检查其合法性-身份验证。身份验证的方式很多。可以采用在网络中登录验证服务器的方法。凡是要使用本系统的用户计算机，必须要经过登录验证服务器的检验，才能成为网络的合法用户进入系统操作，未经过检验的用户为非法用户，系统将拒绝其使用系统资源。ii、 基于B/S/S结构的Web数据库应用系统都是通过网页来访问业务处理程序，可以在Web服务器上设计相应的权限限制，只有合法的用户才能根据自己的权限访问信息系统的网页。iii、 数据库服务器上保存有整个信息系统的所有数据，它的安全性特别重要。理论上，网络上的计算机既可以通过Web页面调用业务处理程序来访问数据库，也可以绕过业务处理程序使用数据库。一些数据库客户端工具直接登录数据库服务器，存取其中的数据。所以，应在数据库服务器中对允许访问的用户授予合适的权限，未经授权的用户禁止访问7。另外，对于服务器和数据库中的重要资源信息需要确定备份计划，经常备份。iv、 SQL Server 2005有两种登录验证机制：Windows NT验证机制和混合验证机制，如图2-3所示：图2-3 QL Server的登陆验证其中，NT验证模式是指要登录到SQL Server系统的用户身份由NT系统来进行验证。在这种方式下，用户不必提供登录名或密码让SQL Server验证；混合验证模式是指用户登录SQL Server系统时，其身份验证由Windows NT和SQL Server共同进行。提供SQL Server身份验证是为了考虑非Windows客户及向后兼容，早期SQL Server的应用程序可能要求使用SQL Server和密码登录。当SQL Server实例在Windows 98/Windows 2000 professional上运行时，由于Windows 98/Windows 2000 professional不支持Windows身份验证模式，所以必须使用混合模式。非Windows客户端也必须使用SQL Server身份验证。登录名是访问SQL Server的通行证。登录名本身不能让用户访问服务器中的数据库资源，要访问特定的用户，还必须有数据库用户名。在SQL Server中，登录账户和数据库用户是SQL Server进行权限管理的两种不同的对象。一个登录账户可以与服务器上的所有数据库进行关联，而数据库用户是一个登录账户在某个数据库中的映射。为数据库用户授权的过程也就是为登录对象提供数据库的访问权限的过程。数据库角色分为固定数据库角色和自定义数据库角色。固定数据库角色不能删除。在SQL Server中，许可有3种类型：默认许可、对象许可、和语句许可。默认许可就是数据库中的用户根据它们在数据库中的角色被设定了某些缺省权限。对象许可是指用户基于数据库对象层次上的访问和操作权限如果没有对象的许可，用户将不能访问该对象。对象许可有五种：查询、插入、修改、删除和执行。前4个是用于表和视图的，执行许可只用于存储过程。语句许可通常授予需要在数据库中创建对象或修改对象、执行数据库和事务日志备份的用户。如果一个用户获得某个语句的许可，该用户就具有了执行该语句的权力。有4种用户可以管理许可9：a) 系统管理员：有sa账户或具有相同权限的用户b) 数据库的属主c) 对象的属主d) 数据库用户：不属于以上用户的其他用户4. 应用程序安全在业务处理程序中，应对各层次中的用户名及其口令加以屏蔽，绝不能使它们以任何形式出现在客户端操作人员可以查看的地方，以免给非法侵入者以可乘之机。例如，传送到浏览器的HTML文件源代码中不能出现各类服务器的用户名和口令。(本系统对系统口令用MD5进行加密)。5. 信息传输安全主要是指在服务器和客户器端建立安全有效的传输通道。如果关键信息(例如用户口令等)需要通过Internet/Intranet进行远程传播，应该有防窃听的措施，防止在传输过程中被窃取，一般通过在传输过程中对数据进行加密，或通过数字签名来验证用户的真实性等来实现信息传输安全。(本系统使用SSL技术对HTTP协议加密)6. 事故处理安全性的破坏通常叫做一个事故。在事故发生以前，规划和制定处理事故的过程是任何一个安全策略的中的最重要的部分。最困难的工作是确定一些可疑的系统或用户操作是否真的是事故。然而，在确定发生了一次安全破坏事故以后，一个最基本的目标是恢复对被影响系统的控制，并且限制事故的影响和损坏7。(本文不做具体讨论)。总之，网络安全设置的目的是使系统的敏感数据和机密信息受到保护，使之免受来自Internet用户的侵扰和攻击。在实际的系统设计时，应当有一个明确和完善的安全策略，并根据安全策略进行系统结构设计。2.4小结本章首先对厦门软件园管理服务系统的组成与功能实现进行了简要的介绍；第二节对系统的总体框架进行介绍，包括了对企业管理服务部、园区企业管理、行政部、技术部、财务部5个系统的功能的介绍；第三节对对系统的安全问题进行了探讨，给出了一系列的安全解决方案。参考文献第三章 技术部与财务部管理系统的设计与开发本章主要讨论了技术部与财务部管理系统的设计与开发，包括了整个系统的开发环境，技术部与财务部的功能实现，其中技术部包括了服务器租赁合同管理和费用管理，而财务部包括了费用查询和费用到帐管理。3.1开发环境厦门软件园管理服务系统的开发设计，是以.NET为开发平台，采用ASP.NET技术，使用Visual C作为ASP.NET编译的程序语言，以Microsoft SQL Server 2005为后台的数据库管理系统。系统采用三层的Browser/Server架构，使用MVC设计模式，很好的实现了控制逻辑、业务逻辑、数据逻辑和显示。NET是一个开发和运行软件的新的环境，更加易于使用,使多种语言之间以及网络上机群之间的基于组件的交互访问更加方便。.NET Framework 即以前NGWS (Next Generation Windows Services)，它的目标是成为新一代基于因特网的分布式计算应用开发平台，其大体结构如图3-1所示。图3-1 .NET Framework 的层次结构Microsoft SQL Server2005数据库管理系统也是微软公司推出的一种关系型数据库产品。它具有良好的可靠性、安全性和易用性，是大规模联机事务处理（OLTP）、数据仓库和电子商务应用程序的优秀数据库平台。3.2系统总界面根据厦门软件园的要求和实际情况，我们分析确定了XMSPMS系统的总体界面，包括登陆首页、导航设计、页面总量等基本内容。首先是整个系统的进站页面，如图3-2所示。图3-2 XMSPMS系统登陆页面选择行政部登陆后进入行政管理管理系统，包含系统提示信息、合同管理、费用管理、设施管理，其主要内容是费用管理。系统的页面样式如图所示。本系统将主菜单目录设计系统的左边栏目，系统使用者可对其点击访问。除此之外，本系统也在各个子目录中提供了目录栏，使用者同样可以点击访问，直接可从某个主栏目的子模块跳转到另一主栏目或其子模块中。这种目录栏起到了类似“分类导航”条的作用，方便使用，界面的右边部分为信息的输入、显示和修改区。3.3技术部管理系统的设计与开发技术部管理系统是为技术部的负责人和管理层服务的，提供与技术部业务相关信息的存储与查询功能和打印报表功能。根据厦门软件产业投资发展有限公司技术部的实际业务情况，初步设计了技术部下的4个功能模块：即服务器租赁合同管理、入园企业弱电管理、费用管理和部门负责人查询及报表生成。按照厦门软件产业投资有限公司的要求，其中的入园企业弱电管理子系统有软投公司的技术部来完成。技术部管理系统的功能模块如图3-所示。图3-3 术部功能结构图3.3.1服务器租赁合同管理模块 合同管理现状与需求分析合同管理是商务运作中极其重要的一部分，其管理的优劣直接影响商务流程的顺畅。因此，充足的信息资源、便捷的功能操作是合同信息管理子系统应提供的重要性能。目前，人们往往用传统的人工管理方式结合电子表格来进行合同管理，这种管理方式存在着诸多弊端，如：效率低、保密性差、电子表格容量小，关联性差，不易于查询、更新和维护等。厦门软件产业投资发展有限公司每年都有大量的合同需要管理，例如入园合同，采购合同，服务器租赁合同等。但是处理和管理起来总是非常的吃力，查找一份合同有时都要花好长的时间，更别提汇总合同结算数据。有时单位领导想看看合同的整体状况，员工们忙了一周才理出一份不准确的汇总报告。这时，领导已经等得不耐烦了。这些弊端都源于目前公司内部的合同管理完全是手工管理的。随着计算机技术的发展，特别是数据库技术和.NET技术的发展，为合同信息管理模块功能的实现提供了良好的开发环境。 模块流程根据厦门软件产业投资发展有限公司技术部的实际业务情况，初步设计了服务器租赁合同管理模块的四个主功能，即服务器租赁合同信息的添加、修改、查询和删除四个操作。服务器租赁合同管理模块的用例图如图3-所示。图3-服务器租赁合同管理系统用例图1) 合同录入合同录入流程如图3-5所示：图3-5 合同录入流程图2) 合同管理合同管理流程如图3-6所示：图3-6 合同管理流程 合同管理模块的实现技术部管理员登入技术部管理系统后，选择“服务器租赁合同管理”后进入合同管理页面，该页面放置了查询与添加功能。如若管理员要查看、修改或修改某一合同，则先查找到该合同，然后选择对应的操作即可。服务器租赁合同管理登陆界面如图3-7所示：图3-7 务器租赁合同管理登陆界面1) 技术部管理员选择“添加合同信息”则进入新合同信息添加模块，输入合同的相关字段，这里提供一个上传附件的功能，比如合同的扫描图片。新合同信息的录入界面如图3-8所示：图3-8新合同信息的录入界面 合同管理模块的数据字段设计数据库结构设计的好坏将直接对系统的效率以及实现的效果产生影响，好的数据库设计会减少数据库的存储量，数据的完整性和一致性比较高，系统具有较快的响应速度，简化基于此数据库的应用程序的实现等等。在此次开发过程中，因需求与代码研发未能协调统一，使得数据库相应字段（包括名称、类型、长度）多次修改，而在修改过程中出现过漏改、错改的情况，给开发进度带来了很大影响。下面对服务器租赁合同管理字段设计进行说明。合同的基本信息，即服务器租赁合同管理的数据字段包括有合同ID、合同类型、企业名称、付款方式、台租用费用、季租用托管费用、服务器开通时间、数量、最后修改人、最后修改日期、上传附件、备注等。其中最后修改人和最后修改日期是为了方便管理员察看与管理，备注里面可以记录最后修改的原因等。服务器租赁合同管理的数据字段设计如表3-1示:表3-1 服务器租赁合同管理的数据字段字段名数据类型长度是否为主键能否为空ContractIDVarchar(20)20truefalseContractTypeVarchar(20)20falsefalseCompanyNameVarchar(20)20falsefalsePayTypeVarchar(20)20falsefalseUnitPriceDoublefalsefalseQuarterPriceDoublefalsefalseServerSDateDateTimefalsefalseQuantityIntfalsefalseLast_Modify_EmpVarchar(20)20falsetrueLast_Modify_DateDateTimefalsetrueRemarkVarchar(100)100falsetrue3.3.2费用管理模块费用管理的现状与需求分析厦门软件产业投资有限公司的技术部涉及到的费用主要包括有会议室、多功能厅、设备等等的租赁费用。这些租赁的费用都是单次收费，即租用完现金缴费。技术部设置此功能模块主要是为了对会议室、多功能厅、设备等等的租用情况进行统计与跟踪。模块流程根据技术部相关负责人的要求，初步设定了费用管