蔡建新

摘要：随着信息管理系统在各行各业的普及，越来越多的专家学者不止于满足业务功能建设，而更关注信息化技术对业务管理系统的性能提升。系统基于SOA架构思想，采用现阶段流行的resful技术进行架构设计，并以广东省工程技术研究中心管理系统为案例，结合实际需求完成系统的建设。

关键词：SOA；resful；信息系统

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）21-0067-03

广东省工程技术研究中心（以下简称工程中心）是根据我省实施创新驱动发展战略和产业结构优化升级的重大战略需求， 依托技术水平在行业内处于领先地位、综合实力和创新能力强的科技型企业以及在领域内有较大影响、研究开发和工程化能力强的高校、科研院所构建的技术创新平台，通过对SOA架构思想和restful技术的研究，将两者结合并运用于工程中心信息管理系统。为进一步掌握广东省工程技术研究中心建设现状，加强以信息化方式对工程技术研究中心的管理作好充分的准备，实现对省级工程中心动态管理。

1 系统关键技术

1.1 基于SOA架构思想

SOA（Service Oriented Architecture，缩写SOA），即面向服务的体系架构，它提供了一种构建IT组织的标准和方法，并通过建立可组合、可重用的服务体系来减少IT业务冗余并加快项目开发的进程。SOA允许一个企业高效地平衡现有的资源和财产，这种体系能够使得IT部门效率更高、开发周期更短、项目分发更快，在帮助IT技术和业务整合方面有着深远的意义。

企业服务总线（Enterprise Service Bus，缩写ESB），是面向服务架构的骨干，在完成服务的接入，服务间的通信和交互基础上，还提供安全性、可靠性、高性能的服务能力保障。采用SOA架构，基于ESB总线进行企业应用集成，应用系统之间的交互通过总线进行，这样可以降低应用系统、各个组件及相关技术的耦合度，消除应用系统点对点集成瓶颈，降低集成开发难度，提高复用，增进系统开发和运行效率，便于业务系统灵活重构，快速适应业务及流程变化需要。

基于SOA架构的应用集成开发方法，与传统的软件开发方法略有不同，角色分工更加明确。就整个项目开发周期来讲，首先由业务分析员进行业务及流程定义，然后由架构师和设计人员利用SOA方法将业务和复杂系统进行分割，抽象出对应的业务服务及流程服务；再由开发人员使用不同的开发技术，基于选定的SOA基础架构，进行组件和服务的开发实现、服务的组装与合成，并打包部署和运行调试；最后移交管理人员对服务和业务流程的运行系统进行监控和管理，SOA系统运行中，还可能会涉及操作人员参与业务流程的处理和使用。

1.2 restful技术

REST（英文： Representational State Transfer，简称 REST）描述了一个架构样式的网络系统。REST 指的是一组架构 约束条件和原则。满足这些约束条件和原则的 应用程序或设计就是 RESTful。

RESTful使用 RPC 样式架构构建的基于 SOAP 的 Web 服务成为实现 SOA 最常用的方法。RPC 样式的 Web 服务 客户端将一个装满数据的信封（包括方法和参数信息）通过 HTTP 发送到服务器。服务器打开信封并使用传入参数执行指定的方法。方法的结果打包到一个信封并作为响应发回 客户端。 客户端收到响应并打开信封。每个对象都有自己独特的方法以及仅公开一个 URI 的 RPC 样式 Web 服务，URI 表示单个端点。它忽略 HTTP 的大部分特性且仅支持 POST 方法。

由于轻量级以及通过 HTTP 直接传输数据的特性，Web 服务的 RESTful 方法已经成为最常见的替代方法。可以使用各种语言（比如 Java 程序、Perl、Ruby、Python、PHP 和 Javascript[包括 Ajax]）实现 客户端。RESTful Web 服务通常可以通过自动 客户端或代表用户的 应用程序访问。但是，这种服务的简便性让用户能够与之直接交互，使用它们的 Web 浏览器构建一个 GET URL 并读取返回的内容。

在 REST 样式的 Web 服务中，每个资源都有一个地址。资源本身都是方法调用的目标，方法列表对所有资源都是一样的。这些方法都是标准方法，包括 HTTP GET、POST、PUT、DELETE，还可能包括 HEADER 和 OPTIONS。

在 RPC 样式的架构中，关注点在于方法，而在 REST 样式的架构中，关注点在于资源 —— 将使用标准方法检索并操作信息片段（使用表示的形式）。资源表示形式在表示形式中使用 超链接互联。

总之：REST 描述了一个架构样式的互联系统（如 Web 应用程序）。REST 约束条件作为一个整体应用时，将生成一个简单、可扩展、有效、安全、可靠的架构。由于它简便、轻量级以及通过 HTTP 直接传输数据的特性，RESTful Web 服务成为基于 SOAP 服务的一个最有前途的替代方案。用于 web 服务和动态 Web 应用程序的多层架构可以实现可重用性、简单性、可扩展性和组件可响应性的清晰分离。开发人员可以轻松使用 Ajax 和 RESTful Web 服务一起创建丰富的界面。

2系统架构设计

广东省工程技术研究中心管理系统（以下简称“系统”）采用基于服务的前后端分离的架构设计，将系统的功能按照不同的业务需求封装成不同层次颗粒大小的restful服务，内容涵盖对数据的访问权限、浏览、查询、统计、分析等各个方面的需求。功能包可以按照不同的权限设置分发给任何需要管线信息的其他部门的应用系统。

前端基于Bootstrap框架主题，通过简洁优雅的HTML和CSS，实现流畅和清新风格的web视图界面。所有静态资源通过Seajs模块化按需加载的访问方式，实现页面的快速渲染。通过前端VUE框架构建单页应用的Web交互界面，并使用其MVVM 数据绑定和可组合的组件系统，结合AJAX调用后端服务的API，实现丰富的数据呈现和交互。

摘要：该文阐述了疗养院网络安全的概念以及在完全管理中出现问题的原因，并就网络安全的分类及技术特点及影响网络安全的因素，提出了相应的解决方法，让疗养院网络安全、可靠、高效的运行，增强网络的保密性。

关键词：网络安全；入侵监测；防火墙；包过滤

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）21-0061-02

随着计算机技术和网络和不断发展，疗养院信息化的也呈跨越式的发展。所有疗养人员的信息都已经通过网络数字化存入了网络数据库，使疗养人员的健康管理，疗案跟踪以及医护人员的定点服务能够快速、准确。所以疗养院网络的安全，将直接关系到疗养工作的正常进行。网络上的漏洞、病毒等如果不进行有效的技术控制防护杀毒，将会带来巨大的灾难和损失。那么，对于网络安全管理来说，管理员应该从哪些方面，如何才能做到安全管理呢，我们一步一步进行分析。

1 网络安全技术分析

网络安全技术一般都由多种安全技术组成，如网络防火墙技术、网络入侵检测技术、网络防病毒技术、网络安全漏洞扫描技术。

1.1 网络防火墙技术

网络防火墙又分为硬件防火墙和软件防火墙，他们的功能基本相同，都是在疗养院内部可信任网络和外部不可信任的公共网络之架起一座桥梁，然后根据内部网络的要求，允许授权的包通过，同时防止外部未经授权的用户非法访问内部网络，也可以完全阻止外部用户的访问，进而保护内部网络免受非法用户的入侵。不管是硬件防火墙还是软件防火墙都能够根据一定的安全规则来控制内外网之间的信息流，并且保护自身不受非法用户的攻击。防火墙技术从应用上来说一般分为“包过滤”型（Packet Filtering）、“应用代理”型（Application Proxy），网络地址转换型（Network Address Translation）三种。

“包过滤”型：它是依据网络中的数据包传输，根据防火墙制作的过滤包的规则来检测攻击行为。因为网络上传输的数据都是以“包”为单位进行传输的，每一个数据包都包含特定的信息，像数据源地址、目的地址、端口号等等。包过滤会检查这些是否来自可信任的安全站点，如果发现数据包不正常或来自不安全的地址，就会拒绝这些数据包通过。管理员可根据自身网络的需要来制定相应的包过滤规则。包过滤也有一定的缺点，因为它是工作在网络层，通过数据包的信息来判断，如果有黑客伪造地址和端口等方法就能很容易通过包过滤型的防火墙。

“应用代理”型：应用代理型的防火墙其实就是使用代理服务器作为防火墙用，代理服务器处于客户机和服务器之间，内部网络用户可以通过代理服务使用外部网络，而外部网络用户无法访问内部网络，保护了内部网络上的数据。由于内外之间没有直接连接，都是通过代理服务器进行，所以安全性较高。代理服务器还可以同时提供安全审计和日志服务。代理服务虽然安全性较高，对病毒和木马入侵十分有效，但是因为所有客户机的访问都要由代理服务器进行连接，加重了代理服务器的负担，而且速度较慢。

“网络地址转换”型：它是把内部网络用户的内部IP临时转换成具有外部网络的IP地址的计算机来访问外网。外部网络不能访问内部网络，所有内部网络的机器在访问外网果，都由NAT服务器来产生一个映射地址，然后在映射出一个伪装的端口通过网卡访问，这样就隐藏了实际的内部网络地址。“网络地址转换”型的优点是可以使内部所有的机器共享几个外网的IP访问外网，对于内网安全性较高，但是同样网络访问速度慢。

1.2 网络入侵检测技术

入侵检测技术能够监视计算机系统或网络系统中发生的各种事件并形成日志文件，并且进行完整检测分析，从中找到不安全的因素或系统中存在的漏洞。一般把入侵检测的软件与硬件的组合称为入侵检测系统。它是一种主动型的安全防护系统，可以对内部攻击、误操作和外部攻击做实时防护，在计算机网络和系统受到危害之前提前报警、拦截和响应。入侵检测系统可分为两类。基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等。特点是：精确，可以精确地判断入侵事件；高级，可以判断应用层的入侵事件；对入侵时间立即进行反应；针对不同操作系统特点；占用主机宝贵资源。基于网络的入侵检测系统用于实时监控网络关键路径的信息。特点是：能够监视经过本网段的任何活动；实时网络监视；监视粒度更细致；精确度较差；防入侵欺骗的能力较差；交换网络环境难于配置。

1.3 网络防病毒技术

计算机病毒是危害网络信息系统安全的重要问题之一，它可以通过光盘、优盘、移动硬盘、网上下载、电子邮件等方式进行传播，一旦网络中的某一台主机受到病毒感染，病毒程序就会很快迅速传播，一般的蠕虫病毒可能拖慢计算机速度，恶意的病毒则可能使用信息泄漏、文件丢失甚至造成计算机崩溃，最严重的病毒甚至可以造成计算机硬件烧毁，如CIH病毒等。网络防病毒一般是在全网安装防病毒软件客户端，由一台防病毒服务器来运行服务端软件。服务端和客户软件都具有检查和清除病毒的功能，服务端还可以设置所有在线机器的定时杀毒以及网全网杀毒。当服务端的杀毒程序升级更新后所有的客户端都可以自动更新，增加内部网络的防病毒能力。

1.4 网络安全漏洞扫描技术

网络安全漏洞扫描技术是网络安全技术中不可或缺的一部分，它能够增强内部网络的安全性，能够扫描分析系统中存在的安全问题，并针对扫描到的安全漏洞提供详细的安全解决方案，使系统管理员及时打好系统安全补丁，避免因存在的漏洞而让黑客有可乘之机，造成数据丢失。现在的漏洞扫描工具分为两类，一类是基于服务的，一类是基于网络的。基于服务器的漏洞扫描工具可以对服务器进行全方位的扫描，如弱口令、共享文件、WWW服务、系统漏洞等，扫描完成后会给出详尽的分析说明。基于网络的安全扫描工具主要扫描设定网络内的交换机、路由器、数据库服务器、防火墙等设备的安全漏洞，还可以设定模拟攻击，以便测试系统的防御能力。通过漏洞扫描技术的应用，管理可以针对相应的问题，制定切实可行的安全解决方案。