详细设计概算调整版（仅用于学习的参考模板）

智市项目数据开放平台详细设计方案概述编写目的以项目概要设计和数据库设计为依据，对项目中各个模块进行具体实现方案的涉及，说明项目各个层次中的每一个模块的具体信息，此说明书包括：模块的关系图。各程序的详细设计细节包括：模块描述、功能、性能、输入项、输出项、算法、流程逻辑、接口、储存分配、注释设计、限制条件、测试计划、尚未解决的问题。该说明书目的是明确开发者的具体思路，并为测试者提供一定的测试依据。定义Apache：最通用的网络服务器。PostgreSQL：PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统。PostgreSQL支持大部分的SQL标准并且提供了很多其他现代特性，如复杂查询、外键、触发器、视图、事务完整性、多版本并发控制等。同样，PostgreSQL也可以用许多方法扩展，例如通过增加新的数据类型、函数、操作符、聚集函数、索引方法、过程语言等。JAVA：Java是一门面向对象编程语言，不仅吸收了C++语言的各种优点，还摒弃了C++里难以理解的多继承、指针等概念，因此Java语言具有功能强大和简单易用两个特征。Java语言作为静态面向对象编程语言的代表，极好地实现了面向对象理论，允许程序员以优雅的思维方式进行复杂的编程。B/S：基于浏览器服务器的开发环境。HTML：超文本标记语言。MySQL：MySQL是一种关系数据库管理系统，关系数据库将数据保存在不同的表中，而不是将所有数据放在一个大仓库内，这样就增加了速度并提高了灵活性。Oracle：它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。总体建设思路总体设计原则（1）标准性、开放性系统所采用的相关标准必须与国际、国家、自治区、市级标准相符合，确保系统具有良好的开放性，能够实现与多种技术和软硬件平台的有机集成。（2）安全性系统应具有完整、全面的安全体系和良好的安全性，能够提供信息传输保密性、数据完整性、身份识别和数字认证、防抵赖性等安全保障措施，确保信息交换的安全运行。系统设计不影响各部门相关信息系统的安全性。（3）可扩展性系统采用可扩展的技术体系架构，以适应信息化建设和应用系统快速发展的要求。系统必须支持异构数据库之间数据交换和共享，支持主流关系型数据库，支持不同操作系统之间信息交换应用的互联互通。（4）高可靠性系统应具有良好的可靠性，建立各种故障的快速恢复机制，确保实现7×24小时地正常运转，确保信息交换工作正常运行。（5）可管理性系统应具有良好的可管理性，允许管理人员通过管理工具实现系统全面的监控、管理和配置，并为系统故障的判断、排错和分析提供支撑，可对信息交换流程进行简易、灵活地定制和调整，同时对系统运行情况能够实时的统计分析、报表展示。（6）实现信息全生命周期管理所谓全生命周期管理，就是指从人们对信息的需求开始，到信息报废的全部生命历程的管理。实现全生命周期，需要对城市管理部件、企业和公众的信息进行全方位的收集和管理，优化、控制城市部件、企业的生命历程，提升数据融合服务平台的服务能力和的执政能力。（7）学设计，分步实施市数据开放平台作为数据融合、联网应用和服务的重要载体其建设是一个庞大而复杂的系统工程，必须采取强有力的统一规划、统一标准，总体把握、统筹推进，根据发展阶段和现实需要，有计划、有步骤地推进具体项目建设，并能有机融合，形成整体。其中系统的可靠性、高性能、安全性、绿色节能和扩展性五项将成为建设设计重点。（8）信息为基，应用为本市数据开放平台建设的目的是打造高效的市城市管理、企业服务和公众服务业务系统。因而，市数据开放平台是业务系统建设的基础，建立完善的应用系统才是建设平台最终目的。只有基于市数据开放平台建立的业务系统，才能发挥平台的作用。总体目标 平台建设目标为：本项目依托信息技术建立市数据开放平台，顺应国家以及省市加强政务信息资源的开发利用，加强政务信息共享，规范政务信息资源社会化增值开发利用工作，合理规划政务信息的采集工作，加强政务信息资源管理的思路和要求。以前期倒逼、后期需求为导向，形成市数据资源开放的顺向机制。目前智慧城市已经建设了大数据平台项目，形成了一套政务大数据的数据标准体系、数据共享交换平台，在此基础上，数据开放平台将进一步整合的各类数据。目标可分解为如下的子目标：一、促进部门理清数据家底，明确数据分类分级通过数据开放契机，建立健全统一的数据梳理规则，面对各家单位的信息化建设特点，有针对性的制定数据梳理方案，定义和指导数据整理工作，将各单位数据资源理清摸透，掌握数据家底，最终明确数据分类分级规则要求。二、促进部门数据目录编制，形成统一开放数据资源目录统一目录编制方法，有利于实现数据的开放与共享。三、建立统一数据标准，提升数据使用质量参照我区地方标准，实现数据的统一分类分级、格式表示、描述规范。通过建立统一的数据标准，打通数据壁垒，建立数据采集、共享校核机制和比对、清洗的数据质量管控机制，为实现数据开放提供保障。四、建成数据开放门户，实现开放数据统一存储及管理利用大数据思维和技术建立统一的数据开放门户，将整合后的各部门的数据和业务专题数据，以多样化数据格式面向公众开放，一方面统一集中的实现开放数据的存储和管理。一方实现为社会提供开放共享、安全可控的数据资源，促进数据资源学配置和有效利用。满足社会需求，促进社会参与，推进大数据应用发展，充分发挥出大数据的经济效益和社会效益，实现对各类数据的共享整合和开发应用。五、形成数据开放长效机制，促进数据增值利用信息公开已经在全国深入推开，“政务”走向透明化，“公开”渐成常态化。以前期倒逼、后期需求为导向，形成市数据资源开放的顺向长效机制。通过数据开放服务，为社会公众提供公开数据资源，深入挖掘和有效分析开放数据，实现数据的创新增值。六、丰富服务形态提升数据供给，打造数据开放新模式学习和总结国内外数据开放先进经验，实现全国首次以四大方式（xls、csv、xml、json）开放数据，以丰富的服务形式拓展数据可用性，以深入梳理提升数据供给。将数据资源开放的同时，大力引导和鼓励其他社会数据资源和应用向“智慧大数据平台”汇聚，整合形成区域内的“块数据”，促进数据商用、政用及民用。为“大众创业、万众创新”提供新的资源宝库，提供孵化大数据产业资源支持。以大数据综合创新试验区建设为契机，打造具有生命力大数据生态环境，形成具有示范效应的数据开放“新模式”。总体建设任务数据开放平台通过将各委办及投资公司信息资源梳理和整合，建立基础地理空间库、人口库、法人库、宏观经济库、信用信息库和城市建筑信息库六大基础库，建立信息系统的基底数据，实现城市管理中各要素的全面管理，为应用信息系统建设提供统一的数据服务。通过统一的数据管理平台，提供数据标准化工具，使得数据的收集、清理、整合等更加标准与完善，实现各个系统数据的一致性，保证不同来源的信息能够无缝使用，实现提供数据检查、数据转换、数据入库、数据库性能调优、数据备份与恢复管理、数据权限控制、数据导入导出、数据查询统计等功能，在保证数据高效应用基础上，保证数据的安全性。通过建立数据开放平台，需实现自动抓取各委办和投资公司信息系统中的增量数据，使得各个单位收集及产生的数据向公共基础数据库的汇聚，保证公共基础数据库数据的能更新、可更新和及时更新，保障公共基础数据库数据的现势性。系统安全设计我方系统已经在物理层、网络层、操作系统层、应用层、管理层已经设计足够的安全保护措施，保证系统实体安全、平台安全、应用安全、运行安全和管理安全。系统安全策略算法代码安全通过对系统的如系统用户登录权限设置、访问IP段的限制，登录时间段的限制，连接数的限制，特定时间段内登录次数的限制等，可有效防止防止外界或内部用户的非法或恶意访问、修改算法系统。产品使用安全根据不同用户特点,通过对程序资源的访问控制可有效保证，不同用户对算法产品的使用权限，避免用户越权或非法使用。对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单，操作按钮；在服务端则对URL程序资源和业务服务类方法的的调用进行访问控制。客户端程序资源访问控制是对用户界面操作入口进行控制：即用户的操作界面是否出现某一功能菜单，在具体业务功能页面中，是否包含某一功能按钮等。客户端程序资源访问控制保证用户仅看到有权执行的界面功能组件，或者让无权执行的功能组件呈不可操作状态。简言之，就是为不同权限的用户提供不同的操作界面。服务端程序资源访问控制是指会话在调用某一具体的程序资源（如业务接口方法，URL资源等）之前，判断会话用户是否有权执行目标程序资源，若无权，调用被拒绝，请求定向到出错页面，反之，目标程序资源被成功调用。服务端的控制是最重要和最可靠的保障方式，而客户端的控制仅仅是貌似安全，实则存在隐患，不过它提高了用户界面的清洁度和友好性，否则需要等到用户点击了界面操作组件后，服务端才返回一个“您无权访问该功能”之类的报错信息，未免有“误导犯错”的嫌疑。所以，一个完善而友好的程序资源访问控制最好同时包括服务端和客户端两个层面的控制。业务软件安全权限控制：制定用户权限控制表，限制用户的各种非授权操作，分级管理系统操作人员的访问权限，严格分开业务权限和系统维护权限。具备系统容错、用户权限设置、抗干扰、抗故障等功能，并具有高度的可靠性，从技术手段上保证系统安全稳定运行，保证系统的数据安全。对系统管理员可授予不同级别的管理权限，保证只有授权的人员或系统可以访问某种功能，获取系统数据。报警机制：系统具有已异常信息报警的能力，一旦传感设备回传数据出现异常，给操作人员发出警报，指出异常的来源，为业务员提供问题寻找途径。应用安全在应用层提供系统的安全访问控制，是信息系统安全的主要安全策略。由于应用层控制访问的复杂性，不可能只对某一类资源或协议进行单独保护，必须对整个应用层提供一个完整的安全解决方案。提供一个对系统资源进行完全控制的安全平台，所有用户访问该系统的任何资源必须且只能通过该安全平台的控制。在本项目应用平台安全模型设计上，应满足：①系统必须有相应的措施使用户对有效的操作不能进行恶意抵赖。②为用户提供防止对网站主页、电子文档进行任何形式的篡改的功能，通过该功能，既可用来备份、监控、自动恢复网站的主页，也可用来备份、监控电子文档，防止对电子文档的人为破坏或病毒侵蚀等任何形式的篡改。③密码技术为基础的数据完整与保密机制。数据存储策略系统运行安全a）守护进程及时监控每个分系统的CPU、内存、I/O等计算机资源，通过事先设定好的资源阀值，及时提醒系统管理员进行人工干预或者通过分系统自身设计的守护进程及时关掉异常模块，可

防止该异常模块导致系统的其它成分无法运行。b)双机热备双机热备份能够通过故障点的转移保障业务的连续性，简单的讲，高可用(热备)就是一种利用故障点转移的方式来保障业务连续性。其业务的恢复不是在原服务器，而是在备用服务器。热备不具有修复故障服务器的功能，而只是将故障隔离。故障检测是双机热备技术的任务，不同的双机检测点的多少决定了双机热备软件在功能和性能上的优劣，并不是所有的软件都具有相同的检测功能，以PlusWell双机热备技术软件为例，其提供的是一种全系统检测能力，即检测分为系统级、应用级、网络级三个方面。系统级检测主要通过双机热备技术软件之间的心跳提供系统的检测功能，应用级提供用户应用程序、数据库等的检测功能，网络级的检测提供对网卡的检测及可选的对网络路径的检测功能，因此称为全故障检测能力。双机热备技术的切换一般分为手动切换和故障切换，即计划性切换(即人为切换)和非计划性切换(即故障切换)。需要注意的是并不是所有资源都具有可切换性，(1)本地资源监控，即不可切换的资源。(2)普通资源，即可以在主备机切换的资源。(3)快速资源，指的是快速切换的资源。一般情况下的双机切换时间为1-5分钟，而快速切换的时间为3-5秒种，可根据系统特点来选择相关的切换服务。信息安全作为项目的主要业务系统，应急快交付业务系统涉及大量卫星数据的处理、加工。在数据加工处理过程中，系统保证数据信息源的可靠性，在安全加工生产和管理规范制度及国家相关安全法规的监督下进行。系统确保所传输、处理、存储的数据和影响评估产品的正确性、完整性。系统保密措施环境与硬件层专业机房环境：系统存放在广西云计算管理中心，通过专业机房提供静电、除尘、温控和物理访问控制保护。专业服务器：系统采用专业服务器，单机对CPU、硬盘、电源、风扇、网口予以冗余保护，同时还提供双机热备功能，从而实现7×24小时不间断服务。网络安全网络入口提供硬件防火墙或UTM综合网关，对该服务器的网络访问的IP和端口予以限定，只开放系统必要服务端口，杜绝网络攻击。通过IP地址限定和访问限定技术，严格VPN和专线等外接入网络机器的访问控制。通过IP地址限定和访问限定技术，严禁互联网接入地址的访问控制。利用现有的电子政务网络环境，加上相应的加密机制。传输的SSL加密：全部的传输数据采用SSL数字签字加密技术。双向的访问控制：应该同时防止来自电子政务外网的攻击者进入财内部业务网络，也要防止内部用户非法越权进入系统数据库。系统安全服务器采用WINDOWSERVER或HPUNIX/IBMAIX，达到商用最高安全级别C2级别。在个人电脑都安装360安全卫士等漏洞扫描软件，定期升级，修复系统漏洞。核心服务器采用商用应用服务软件和数据库软件MYSQL，严格管理服务器用户和密码，提升应用安全强度。在确保系统网络传输安全的同时，还必须通过多种安全措施确保系统业务主机的安全，构筑安全防御体系的另一道防线。系统数据库服务器的安全对于网上报送和内部业务的正常运行都是最为关键的，制定数据库服务器安全策略，确保数据库服务器平台的自身安全及数据安全。并在确保系统平台安全的同时，应严格控制数据库用户的权限配置，保障本系统中数据的完整性，可用性及可恢复性。数据备份与恢复：数据库采用可靠的备份，通过备份计划实现并可联机备份与恢复，保证恢复的正确性和可用性。在服务器物理硬件收到损坏后，为确保将损失降低到最低，系统需配备一套安全实时的在线备份系统。当系统收到破坏或物理服务器收到损坏，可安全快速地恢复系统应用，确保数据安全。安全性设计网络安全解决方案数据在传输过程中，可采用信息加密技术来保障数据的安全性。加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是适用的数据加密技术及其在分布式系统中的应用。数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务。前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，例如使用Kerberos服务的telnet、NFS、rlogion等，以及用作电子邮件加密的PEM（PrivacyEnhancedMail）和PGP（PrettyGoodPrivacy）。这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。数字签名和认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。UserName/Passname认证该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。使用摘要算法的认证Radius(拨号认证协议)、路由协议(OSPF)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的securitykey，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1.基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。前面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。数字签名数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。如何保证远程访问的安全性对于从外部单位访问内部域网的用户，由于使用外部网络进行数据传输所带来的风险，必须严格控制其安全性。首先，应严格限制拨号上网用户所能访问的系统信息和资源，这一功能可通过在拨号访问服务器后设置的防火墙来实现；其次，应加强对拨号用户的身份验证功能，使用一些专用身份验证协议和服务器。一方面，可以实现对拨号用户帐号的统一管理；另一方面，在身份验证过程中采用加密手段，避免用户口令泄密的可能性；最后，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是对数据直接加密。网络策略影响防火墙系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。Firewall设计策略Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止。禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。主机系统的安全性系统主机安全主要通过网络操作系统和双机容错技术来实现。1、利用操作系统的安全特性来实施控制True64Unix操作系统是一个非常完善的Unix操作系统，在安全性方面逐层管理，在物理层，EPROM层，用户登录层，应用程序层，物理层等均有相应严格的安全保护措施。True64Unix符合美国的C2级保密要求，也满足DES(DataEncryptionStanderd)网络可靠性标准，True64Unix含有一套自动增强加密工具等，保证系统的安全运作。2、利用双机容错技术：为了提高系统的安全性、可用性，不至于在一台服务器发生故障时，使整个系统服务停止。在两台主服务器上采用带磁盘阵列的双机容错技术以及磁盘镜象等硬件备份技术，以提高整个系统的服务能力。这样当其中任一服务器发生硬软故障，另一台服务器会自动承担该服务器所做的业务，不致于使业务停止。作到7X24小时不间断运行。防病毒的安全解决方案1、客户端的防病毒系统由于50%以上的病毒是通过软盘进入企业的网络系统，因此对桌面系统的病毒应采用严加防范，网络系统采用Windows95/98操作系统，本部分可以采用通过国家部认证的专业防病毒软件。2、服务器的防病毒系统网络系统的服务器包括WindowsNT和NetWare和Unix等多种平台。由于服务器若被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，基于服务器的病毒保护已成为当务之急。建议采用全面的基于服务器的病毒保护解决方案。防黑客的安全解决方案利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：1、入侵者可寻找防火墙背后可能敞开的后门。2、入侵者可能就在防火墙内。3、由于性能的限制，防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够阻止hacker的入侵。侵检测系统可分为两类：1、基于主机2、基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。基于网络的入侵检测系统用于实时监控网络关键路径的信息。基于主机及网络的入侵监控系统通常均可配置为分布式模式：在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。在需要监视的网络路径上，放置监视模块(sensor)，分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。系统软件的安全解决方案操作系统的安全性市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。将系统的安全级别设置为最高级。WebServer的安全性为了防止Web服务器成为被攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：1、Web服务器置于防火墙保护之下；2、在Web服务器上安装实时安全监控软件；3、在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统；4、经常审查Web服务器配置情况及运行日志；5、运行新的应用前，先进行安全测试。如新的CGI应用；6、认证过程采用加密通讯或使用X。509证书模式；7、小心设置Web服务器的访问控制表。SSLSSL协议SSL(SecuritysocketLayer)安全套接层协议主要是使用公开密钥体制和X。509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用WebServer方式。安全套接层协议（SSL，SecuritySocketLayer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中，用于安全地传送数据，集中到每个WEB服务器和浏览器中，从而来保证来用户都可以与Web站点安全交流。SSL安全协议在WEB服务器中的应用当具有SSL功能的浏览器（Navigator、IE)与Web服务器(Apache、IIS)通信时，它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的，并被用于生成公共密钥。当最初的认证完成后，浏览器向服务器发送48字节利用服务器公共密钥加密的主密钥，然后Web服务器利用自己的私有密钥解密这个主密钥。最后，浏览器和服务器在会话过程中用来加解密的对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商，最广泛使用的加密标准为"数据加密标准"（DES）和RC4.一旦完成上述启动过程，安全通道就建立了，保密的数据传输就可以开始了。如何实现WEB和Internet安全在安装好CertificateServer后，给自己的WebServer发一张证书，安全站点已经建立起来了，在IIS管理器中打开安全通道（先不要接受客户证书验证，如果没有浏览器证书的话），如果没有在浏览器中安装根证书，就要安装它，同时其他人通过Internet访问站点如果没有安装根证书，需要将根证书放在网上让别人下载。用IE安装根证书很简单，浏览器提示用户打开或保存时选择打开，会看到根证书信息然后按安装证书就可以了。一切都已经就绪，进入安全网页了，在IE的状态栏里应该有一个小锁，双击这个小锁能看到站点证书信息，同时也能看到整个证书链。现在浏览器和Web服务器之间交换的所有信息都已经被加密，SSL是工作在网络层与会话层之间的协议，它在TCP/IP和HTTP之间增加了一个加密层，所以对于工作在HTTP协议以上的用户而言，加密是完全透明的。应用软件的安全解决方案利用数据库本身所固有的安全体系我们的应用系统在系统登录时，首先要对用户身份进行验证，表现形式就是要求用户输入自己合法用户名和口令，只有通过身份验证的用户才能使用系统。用户在通过其身份验证之后，并不意味着他在系统中想干什么就干什么，我们必须要约束用户的数据库操作，对于用户在数据库中可以拥有哪些系统权限，可以查询哪些表以及表上的哪几个字段，可以对哪些表以及表上的哪几个字段可以进行增、删、改的操作，诸如这些问题都可以通过是使用数据库的权限与角色机制来实现。三层式结构安全体系保障我们的应用系统的体系结构采用三层式C/S体系结构，三层C/S体系结构是将应用功能分成表示层、事务逻辑层和数据层三部分。其解决方案是：对这三层进行明确分割，并在逻辑上使其独立，原来的数据层作为DBMS已经独立出来。三层C/S体系结构的一个重要的优点就是可以进行严密的安全管理。越是关键的应用，用户的识别和存取权限设定愈重要。在三层C/S结构中，识别用户的机构是按层来构筑的，对应用和数据的存取权限也可以按层进行设定。例如，即使外部的入侵者突破了表示层的安全防线，若在事务逻辑层中备有另外的安全机构，系统也可以阻止入侵者进入其他部分。同样，即使外部的入侵者突破了事务逻辑层的安全防线，最后还有数据层的安全体系作屏障。采用三层式C/S体系结构一个重要的安全优势在于表示层与事务逻辑层之间不需要安装数据库厂商的网络通信协议，只需在事务逻辑层与数据层安装数据库厂商的网络通信协议，这就杜绝了前端通过数据库厂商的网络通信协议直接攻击数据库的可能，我们后台采用MySQL数据库。应用系统内部的安全措施在应用系统中，程序与数据库之间的连接由用户设定，并可在实际应用中随时修改。因此，即使是开发者，也无法通过非正常渠道接入用户数据库。系统要求相关的功能模块都要有数据的导入导出功能，如人员管理中要能将人员资料导出给对方以便核对，或将个人按某种指定格式输入好的资料经审核后有选择地导入到本系统中。这些功能要根据相关模块的实际需要，分散到各个管理模块中。控制数据的采集途径及合法性、有效性和唯一性。根据各操作员所属的部门代码，确认操作范围，明确工作责任，防止数据的误录入和串录入，保障数据确实合法、有效。根据人员身份证号确定是否已录入某人员资料并归属某个部门所管理，确保数据的唯一性，防止人员信息重复录入。用户权限分配到菜单项，用户登录后所见的菜单项全部是有权项，无权的项目不再显示。在系统中，某些功能为配合权限管理的需要，允许功能重复。如增加、删除、修改、查询等功能，可根据实际需要设计成四个不同的菜单项（调用同一个模块，根据传入的参数来加以区分）。在系统的主要业务表中都要加上“创建者”、“创建日期”、“修改者”、“修改日期”四个字段，用于标注该数据的创建情况和最后一次修改的情况。以便于明确责任，强化管理。要严格控制对系统中有关公共数据的删除操作，严格控制对公共关联数据项的修改，制约类似的删除和修改操作，以保证系统中各类关联数据的一致性。网络系统安全性的规划系统安全和系统管理的关系系统安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁缺乏认识。1、安全威胁主要利用以下途径：系统实现存在的漏洞；系统安全体系的缺陷；使用人员的安全意识薄弱；管理制度的薄弱。2、良好的系统管理有助于增强系统的安全性：及时发现系统安全的漏洞；审查系统安全体系；加强对使用人员的安全知识教育；建立完善的系统管理制度。安全策略的管理面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。因为诸多不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各级部门领导的重视。下面，我们提出有关信息系统安全管理的若干原则和实施措施以供参考。一、安全管理原则计算机信息系统的安全管理主要基于三个原则。1、多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。2、任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。3、职责分离原则除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。二、安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：1、确定该系统的安全等级；2、根据确定的安全等级，确定安全管理的范围；3、制订相应的机房出入管理制度。对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；4、制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；5、制订完备的系统维护制度。维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录；6、制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。7、建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。8、安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施；其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。数据库安全设计物理层的安全性该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。控制物理接触是系统安全性建设的第一步，也是最会有成效，最应该优先执行的一步。比如，授权人员才可以进入机房，管理人员的密码不要记录在显眼的地方，离开个人终端锁定屏幕，等等。但是如果缺少了这些意识，即使我们运用了再好的安全性技术，再复杂的数据分离技术，当一个人可以接近需要保护的服务器，当一个人可以通过窃取的密码接近需要保护的数据，那么一切的安全性建设都将是一个摆设。用户角色的管理用户安全性一般用户的安全性权限管理对于那些用户很多，应用程序和数据对象很丰富的数据库，应充分利用“角色”这个机制所带的方便性对权限进行有效管理。对于复杂的系统环境，“角色”能大大地简化权限的管理。终端用户的安全性您必须针对终端用户制定安全性策略。例如，对于一个有很多用户的大规模数据库，安全性管理者可以决定用户组分类，为这些用户组创建用户角色，把所需的权限和应用程序角色授予每一个用户角色，以及为用户分配相应的用户角色。当处理特殊的应用要求时，安全性管理者也必须明确地把一些特定的权限要求授予给用户。您可以使用“角色”对终端用户进行权限管理。系统用户安全性为了保护DM数据库服务器的安全，应保证$DM_HOME/bin目录下的所有内容的所有权为DM用户所有。

在操作系统下建立用户组也是保证数据库安全性的一种有效方法。DM程序为了安全性目的一般分为两类：一类所有的用户都可执行，另一类只dba可执行。在unix环境下组设置的配置文件是/etc/group。保证安全性的几种方法：(1)在安装DMserver前，创建数据库管理员组(dba)而且分配root和DM软件拥有者的用户id给这个组。在安装过程中sql*dba系统权限命令被自动分配给dba组。

(2)允许一部分unix用户有限制地访问DM服务器系统，增加一个由授权用户组的DM组，确保给DM服务器实用例程DM组id，公用的可执行程序，比如sql*plus，sql*forms等，应该可被这组执行，它将允许同组的用户执行，而其他用户不能。应用程序开发者的安全性应用程序开发者和他们的权限数据库应用程序开发者是唯一一类需要特殊权限组完成自己工作的数据库用户。开发者需要诸如createtable,createprocedure等系统权限，然而，为了限制开发者对数据库的操作，只应该把一些特定的系统权限授予开发者。应用程序开发者有一下两种权限：freedevelopment应用程序开发者允许创建新的模式对象，包括table,index,procedure,package等，它允许应用程序开发者开发独立于其他对象的应用程序。Controlleddevelopment应用程序开发者不允许创建新的模式对象。所有需要table,indesprocedure等都由数据库管理者创建，它保证了数据库管理者能完全控制数据空间的使用以及访问数据库信息的途径。但有时应用程序开发者也需这两种权限的混和管理数据库用户数据库用户是访问DM数据库信息的途径，因此，应该很好地维护管理数据库用户的安全性。按照数据库系统的大小和管理数据库用户所需的工作量，数据库安全性管理者可能只是拥有create，alter，或drop数据库用户的一个特殊用户，或者是拥有这些权限的一组用户，应注意的是，只有那些值得信任的个人才应该有管理数据库用户的权限为每个应用程序开发者设置以下的一些限制：

a开发者可以创建table或index的表空间；

b在每一个表空间中，开发者所拥有的空间份额。应用程序管理者的安全在有许多数据库应用程序的数据库系统中，您可能需要一应用程序管理者，应用程序管理者应负责以下的任务：

c为每一个应用程序创建角色以及管理每一个应用程序的角色；

d创建和管理数据库应用程序使用的数据对象；e需要的话，维护和更新应用程序代码和DM的存储过程和程序包。系统安全性管理数据库用户数据库用户是访问DM数据库信息的途径，因此，应该很好地维护管理数据库用户的安全性。按照数据库系统的大小和管理数据库用户所需的工作量，数据库安全性管理者可能只是拥有create，alter，或drop数据库用户的一个特殊用户，或者是拥有这些权限的一组用户，应注意的是，只有那些值得信任的个人才应该有管理数据库用户的权限。用户身份确认数据库用户可以通过操作系统，网络服务，或数据库进行身份确认，通过主机操作系统进行用户身份认证的优点有：A用户能更快，更方便地联入数据库；

B通过操作系统对用户身份确认进行集中控制：如果操作系统与数据库用户信息一致，那么DM无须存储和管理用户名以及密码；

C用户进入数据库和操作系统审计信息一致。操作系统安全性A数据库管理员必须有create和delete文件的操作系统权限；

B一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限；

C如果操作系统能为数据库用户分配角色，那么安全性管理者必须有修改操作系统帐户安全性区域的操作系统权限。网络安全性当处理网络安全性时，以下是额外要考虑的几个问题在网络上使用密码在网上的远端用户可以通过加密或不加密方式键入密码，当用户用不加密方式键入密码时，密码很有可能被非法用户截获，导致破坏了系统的安全性。用户的密码将通过加密后保存到数据库中。网络上的DBA权限控制您可以通过下列两种方式对网络上的DBA权限进行控制设置成拒绝远程DBA访问通过orapwd给DBA设置特殊的密码为了加强数据库在网络中的安全性，对于远程用户，使用加密方式通过密码来访问数据库，加强网络上的DBA权限控制，如拒绝远程的DBA访问等。数据库的加密由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。数据库管理系统分层次的安全加密方法主要用来解决这一问题，它可以保证当前面的层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。我们可以考虑在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS内核层和DBMS外层。（1）在OS层加密。在OS层无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。（2）在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。（3）在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/解密处理。采用这种加密方式进行加密，加/解密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。数据库加密系统分成两个功能独立的主要部件：一个是加密字典管理程序，另一个是数据库加/解密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中，通过调用数据加/解密引擎实现对数据库表的加密、脱密及数据转换等功能。数据库信息的加/解密处理是在后台完成的，对数据库服务器是透明的。按以上方式实现的数据库加密系统具有很多优点：首先，系统对数据库的最终用户是完全透明的，管理员可以根据需要进行明文和密文的转换工作；其次，加密系统完全独立于数据库应用系统，无须改动数据库应用系统就能实现数据加密功能；第三，加解密处理在客户端进行，不会影响数据库服务器的效率。数据库加/解密引擎是数据库加密系统的核心部件，它位于应用程序与数据库服务器之间，负责在后台完成数据库信息的加/解密处理，对应用开发人员和操作人员来说是透明的。数据加/解密引擎没有操作界面，在需要时由操作系统自动加载并驻留在内存中，通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加/解密引擎由三大模块组成：加/解密处理模块、用户接口模块和数据库接口模块。其中，“数据库接口模块”的主要工作是接受用户的操作请求，并传递给“加/解密处理模块”，此外还要代替“加/解密处理模块”去访问数据库服务器，并完成外部接口参数与加/脱密引擎内部数据结构之间的转换。“加/解密处理模块”完成数据库加/解密引擎的初始化、内部专用命令的处理、加密字典信息的检索、加密字典缓冲区的管理、SQL命令的加密变换、查询结果的脱密处理以及加脱密算法实现等功能，另外还包括一些公用的辅助函数。数