通信指揮支持系統設計與實現
1 管理信息系統
1970年,Walter T. Kenova給剛剛出現的管理信息系統一詞下了一個定義:“以口頭或書面的形式,在合適的時間向經理、職員以及外界人員提供過去的、現在的、預測未來的有關企業內部及其環境的信息,以幫助他們進行決策。”在這個定義里強調了用信息支持決策,但并沒有強調應用模型,沒有提到計算機的應用。1985年,管理信息系統的創始人,明尼蘇達大學的管理學教授Gordon B. Davis給了管理信息系統一個較完整的定義,即“管理信息系統是一個利用計算機軟硬件資源,手工作業,分析、計劃、控制和決策模型以及數據庫的人-機系統。它能提供信息支持企業或組織的運行、管理和決策功能。”這個定義全面地說明了管理信息系統的目標、功能和組成,而且反映了管理信息系統在當時達到的水平。
管理信息系統在企業中的應用存在3個要素,這就是人、計算機和數據。人是指企業領導者、管理人員、技術人員,以及MIS建設的領導機構和實施機構,在系統中起主導作用。MIS是一項系統工程,不是只靠一些計算機開發人員就可以完成的,必須有企業管理人員,尤其是企業領導的積極參與。計算機技術是MIS得以實施的主要技術。在這些技術中,軟件開發是MIS開發的重點。
2 數據庫設計
該通信指揮支持系統的數據庫設計是指在現有數據庫管理系統上建立數據庫的過程。其設計內容包括數據庫的結構設計和數據庫的安全設計。
根據對系統的一般要求及其運行過程和業務流程的分析,可以確定數據的E-R模型。如圖1所示。
2.1 數據庫結構設計
根據系統需求,數據庫包含19張數據表,分別為通信文檔資料表、電話資源表、網絡資源表、通信單位表、通信部(分)隊的人員資料表表、電話話費總表、電話話費詳細表、通信裝備表、地點表、發料單、發料物資表、類別表、器材發料單、器材收料單、器材收料物資表、日志表、收料物資表,系統全部數據放于一個數據庫中。其中通信文檔資
2.2 數據庫安全設計
由于本系統數據庫存儲的是機密級以上的信息,因此數據庫安全性和保密性尤其重要。SQL Server數據庫安全性主要是指允許具有相應數據訪問權限的用戶能夠登錄到SQL Server并訪問數據以及對數據庫對象實施各種權限范圍內的操作,但是拒絕所有的非授權用戶的非法操作。因此,安全性管理與用戶管理密不可分。SQL Server提供了內置的安全性和數據保護,并且這種管理簡單、有效。結合SQL Server本身的安全機制,本系統采取了主要采取了以下措施以保證數據庫安全:
(1)使用Windows身份驗證模式。對指向SQL Server的連接要求Windows NT身份驗證模式。Microsoft SQL Server提供兩個登錄認證機制:Windows NT認證機制;Windows NT和Microsoft SQL Server混合認證機制。Windows NT認證模式使用Windows NT認證模式使用Windows NT平臺的安全機制驗證用戶身份,其具有較高的安全性,其安全性能達到美國國防部定義的C2級安全標準,具有安全確認、口令加密、審核、口令有效期保護、最短口令長度限制、非法登錄時的帳戶鎖定等功能。
(2)使用安全的密碼策略和安全的帳戶策略。帳號和密碼的組合是安全性的最外圍防御。如果這些密碼中有一個被攻破。未授權或惡意用戶將可以獲得數據庫資源的訪問權。數據庫帳號的密碼保證一定的長度和復雜性,如位數不少于8位,并由字母、數字和符號等混合而成,并定時修改替換;為sa賬戶分配一個強健的密碼,同時不讓sa 賬戶密碼寫于應用程序或者腳本中。將原來的Guest賬戶禁用并改名。為不讓操作系統管理員來通過操作系統登錄來接觸數據庫,在帳號管理中將系統帳號BUILTIN Administrators 刪除。
(3)對數據庫用戶帳號訪問數據庫對象授予相應的訪問權限。SQL Server 2000 使用權限來加強系統的安全性。管理權限就是指對User 帳戶授予權限(Grant) 、收回權限(Revoke) 、否定權限(Deny) 等操作,這是確保數據庫中的數據不受侵害的重要措施。將一個登錄帳戶映射為數據庫的用戶帳戶,并將該帳戶添加到某種數據庫角色中,其實都是對數據庫的訪問權限進行設置, 以便讓各個用戶能進行適合于其工作職能的操作。
(4)進行端口設置。默認情況下,SQL Server使用1433端口監聽。通過微軟未公開的1434端口的UDP探測可以很容易知道SQL Server使用什么TCP/IP端口。為解決這一問題,可選擇隱藏SQL Server實例,這樣就可禁止試圖對網絡上現有的SQL Server實例的客戶端所發生的廣播做出響應,非法攻擊便不能用1434端口來探測TCP/IP端口了。
(5)其它措施。包括定期審核數據庫日志、使用更安全的NTFS文件系統、安裝最新補丁程序如SQL Server 2000 Service Pack 4、刪除原有的數據庫安裝文件等。
3 系統的模塊設計與實現
3.1 數據庫注冊模塊
數據庫系統模塊中一個重要模塊,在系統第一次運行時,或者系統數據庫服務器變更時,系統主程序需要讀取數據庫連接信息。這些信息需要數據庫注冊模塊來提供。通過數據庫注冊模塊將數據庫連接信息加密保存到一個配置文件中。這樣系統主程序運行的時候就可以讀取配置文件連接到數據庫服務器。模塊具體工作流程見圖2。 數據庫注冊模塊中,存儲了成功注冊的數據庫連接的信息,主要一是數據源及數據庫服務器名稱或數據庫服務器的IP地址,二是數據庫名稱。
3.2 身份驗證模塊
身份驗證模塊也是系統一個重要模塊,系統每次啟動運行的時候,需要用戶輸入用戶名和口令以及用戶的指紋信息。用戶在每次登錄系統時,系統調用該模塊要求用戶輸入登錄系統的用戶名,系統會檢查該用戶名是否是授權用戶,登錄機器的IP是否匹配,一切驗證正常后,系統選擇用戶驗證模式,驗證模式主要有3種:口令驗證、指紋驗證、口令加指紋混合驗證模式。系統設計3種模式,主要是由于不同用戶的權限不同,要求的安全等級不同,對于系統核心操作人員,必須要求口令加指紋驗證模式。用戶的指紋信息通過前期的數據采用已經存在系統數據庫中,用戶在系統的提示下,輸入口令或錄入指紋。第一種模式,用戶通過口令驗證成功后登錄系統;第二種模式,用戶只需通過指紋驗證成功后,會成功登錄系統;第三種模式,用戶需要通過口令和指紋雙重驗證后,才成功登錄系統。設置口令和指紋雙重驗證方式,確保系統的登錄的高安全性。模塊具體工作流程見圖3。
在該模塊使用加密一個子功能模塊ClsEncrypt。ClsEncrypt類主要實現采用TripleDES算法對文件或字符串實現加解密的功能。
3.4 網絡檢測模塊
網絡檢測模塊是系統一個實時運行的功能模塊。主要采用ICMP和SNMP協議來實時監測網絡運行狀況。一種方法采用ICMP的協議的Ping的方法來檢測網絡的連通狀況,另一種方法是讀取網絡通信設備,如路由器、交換機的MIB信息來檢測網絡通信質量。實時檢測模塊監測到網絡異常的情況,進行聲音報警,提醒網絡值班員進行處理。該模塊還負責記錄網絡運行情況,填寫每天網絡通信日記。以便值班員查詢登記回報。該模塊具體工作流程見圖6。
①實現對指揮通信現狀的實時掌控功能。建立通信能力數據庫,實時掌握部隊指揮通信能力,包括有線電通信組織圖、無線電通信組織圖,確保在履行使命任務時的指揮通信順暢;②實現通信裝備的可視化管理功能。建立通信裝備數據庫,對現有通信裝備的入庫、領用登記、庫存統計查詢等利用條形碼等技術手段進行計算機聯網輔助管理,便于平時和戰時對通信裝備資源的統一調配和分發;③實現對通信部(分)隊人員情況的掌控功能。建立通信人員庫,實時了解通信部(分)隊所有人員的基本情況,并在此基礎上建立通信人才庫,以便于更好地加強通信人才隊伍建設;④實現輔助擬制通信組織方案的功能。建立相應的模板,輔助通信參謀擬制通信組織方案,提高作業效率;⑤實現對電話資源和網絡資源的掌控功能。通過建立電話資源庫、網絡IP地址庫,便于實時掌握現有電話資源和網絡資源;⑥實現對電話計費系統的統一管理功能;⑦實現對通信文件資料的統一管理功能;⑧實現對重點要害部位的遠程實時監控,并對出入重點要害部位的人員進行指紋識別安檢,記錄其出入人員的時間等信息。
5 結語
本系統在進行實際試用測試,得到通信各級部隊使用的好評。無論數據庫表結構的設計,還是系統的軟件界面,都符合用戶的需求。對于研制人員來說,進行需求分析和系統建模是最重要的工作。設計科學適用的管理信息系統,必須要對實物對象有準確的認識和理解,這樣建立的模型才有較高的科學性;靈活合理地使用建模工具也是有效建立模型的關鍵;詳細的模塊工作流程也是系統設計的關鍵之一。
