通信指挥支持系统设计与实现
1 管理信息系统
1970年,Walter T. Kenova给刚刚出现的管理信息系统一词下了一个定义:“以口头或书面的形式,在合适的时间向经理、职员以及外界人员提供过去的、现在的、预测未来的有关企业内部及其环境的信息,以帮助他们进行决策。”在这个定义里强调了用信息支持决策,但并没有强调应用模型,没有提到计算机的应用。1985年,管理信息系统的创始人,明尼苏达大学的管理学教授Gordon B. Davis给了管理信息系统一个较完整的定义,即“管理信息系统是一个利用计算机软硬件资源,手工作业,分析、计划、控制和决策模型以及数据库的人-机系统。它能提供信息支持企业或组织的运行、管理和决策功能。”这个定义全面地说明了管理信息系统的目标、功能和组成,而且反映了管理信息系统在当时达到的水平。
管理信息系统在企业中的应用存在3个要素,这就是人、计算机和数据。人是指企业领导者、管理人员、技术人员,以及MIS建设的领导机构和实施机构,在系统中起主导作用。MIS是一项系统工程,不是只靠一些计算机开发人员就可以完成的,必须有企业管理人员,尤其是企业领导的积极参与。计算机技术是MIS得以实施的主要技术。在这些技术中,软件开发是MIS开发的重点。
2 数据库设计
该通信指挥支持系统的数据库设计是指在现有数据库管理系统上建立数据库的过程。其设计内容包括数据库的结构设计和数据库的安全设计。
根据对系统的一般要求及其运行过程和业务流程的分析,可以确定数据的E-R模型。如图1所示。
2.1 数据库结构设计
根据系统需求,数据库包含19张数据表,分别为通信文档资料表、电话资源表、网络资源表、通信单位表、通信部(分)队的人员资料表表、电话话费总表、电话话费详细表、通信装备表、地点表、发料单、发料物资表、类别表、器材发料单、器材收料单、器材收料物资表、日志表、收料物资表,系统全部数据放于一个数据库中。其中通信文档资
2.2 数据库安全设计
由于本系统数据库存储的是机密级以上的信息,因此数据库安全性和保密性尤其重要。SQL Server数据库安全性主要是指允许具有相应数据访问权限的用户能够登录到SQL Server并访问数据以及对数据库对象实施各种权限范围内的操作,但是拒绝所有的非授权用户的非法操作。因此,安全性管理与用户管理密不可分。SQL Server提供了内置的安全性和数据保护,并且这种管理简单、有效。结合SQL Server本身的安全机制,本系统采取了主要采取了以下措施以保证数据库安全:
(1)使用Windows身份验证模式。对指向SQL Server的连接要求Windows NT身份验证模式。Microsoft SQL Server提供两个登录认证机制:Windows NT认证机制;Windows NT和Microsoft SQL Server混合认证机制。Windows NT认证模式使用Windows NT认证模式使用Windows NT平台的安全机制验证用户身份,其具有较高的安全性,其安全性能达到美国国防部定义的C2级安全标准,具有安全确认、口令加密、审核、口令有效期保护、最短口令长度限制、非法登录时的帐户锁定等功能。
(2)使用安全的密码策略和安全的帐户策略。帐号和密码的组合是安全性的最外围防御。如果这些密码中有一个被攻破。未授权或恶意用户将可以获得数据库资源的访问权。数据库帐号的密码保证一定的长度和复杂性,如位数不少于8位,并由字母、数字和符号等混合而成,并定时修改替换;为sa账户分配一个强健的密码,同时不让sa 账户密码写于应用程序或者脚本中。将原来的Guest账户禁用并改名。为不让操作系统管理员来通过操作系统登录来接触数据库,在帐号管理中将系统帐号BUILTIN Administrators 删除。
(3)对数据库用户帐号访问数据库对象授予相应的访问权限。SQL Server 2000 使用权限来加强系统的安全性。管理权限就是指对User 帐户授予权限(Grant) 、收回权限(Revoke) 、否定权限(Deny) 等操作,这是确保数据库中的数据不受侵害的重要措施。将一个登录帐户映射为数据库的用户帐户,并将该帐户添加到某种数据库角色中,其实都是对数据库的访问权限进行设置, 以便让各个用户能进行适合于其工作职能的操作。
(4)进行端口设置。默认情况下,SQL Server使用1433端口监听。通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用什么TCP/IP端口。为解决这一问题,可选择隐藏SQL Server实例,这样就可禁止试图对网络上现有的SQL Server实例的客户端所发生的广播做出响应,非法攻击便不能用1434端口来探测TCP/IP端口了。
(5)其它措施。包括定期审核数据库日志、使用更安全的NTFS文件系统、安装最新补丁程序如SQL Server 2000 Service Pack 4、删除原有的数据库安装文件等。
3 系统的模块设计与实现
3.1 数据库注册模块
数据库系统模块中一个重要模块,在系统第一次运行时,或者系统数据库服务器变更时,系统主程序需要读取数据库连接信息。这些信息需要数据库注册模块来提供。通过数据库注册模块将数据库连接信息加密保存到一个配置文件中。这样系统主程序运行的时候就可以读取配置文件连接到数据库服务器。模块具体工作流程见图2。 数据库注册模块中,存储了成功注册的数据库连接的信息,主要一是数据源及数据库服务器名称或数据库服务器的IP地址,二是数据库名称。
3.2 身份验证模块
身份验证模块也是系统一个重要模块,系统每次启动运行的时候,需要用户输入用户名和口令以及用户的指纹信息。用户在每次登录系统时,系统调用该模块要求用户输入登录系统的用户名,系统会检查该用户名是否是授权用户,登录机器的IP是否匹配,一切验证正常后,系统选择用户验证模式,验证模式主要有3种:口令验证、指纹验证、口令加指纹混合验证模式。系统设计3种模式,主要是由于不同用户的权限不同,要求的安全等级不同,对于系统核心操作人员,必须要求口令加指纹验证模式。用户的指纹信息通过前期的数据采用已经存在系统数据库中,用户在系统的提示下,输入口令或录入指纹。第一种模式,用户通过口令验证成功后登录系统;第二种模式,用户只需通过指纹验证成功后,会成功登录系统;第三种模式,用户需要通过口令和指纹双重验证后,才成功登录系统。设置口令和指纹双重验证方式,确保系统的登录的高安全性。模块具体工作流程见图3。
在该模块使用加密一个子功能模块ClsEncrypt。ClsEncrypt类主要实现采用TripleDES算法对文件或字符串实现加解密的功能。
3.4 网络检测模块
网络检测模块是系统一个实时运行的功能模块。主要采用ICMP和SNMP协议来实时监测网络运行状况。一种方法采用ICMP的协议的Ping的方法来检测网络的连通状况,另一种方法是读取网络通信设备,如路由器、交换机的MIB信息来检测网络通信质量。实时检测模块监测到网络异常的情况,进行声音报警,提醒网络值班员进行处理。该模块还负责记录网络运行情况,填写每天网络通信日记。以便值班员查询登记回报。该模块具体工作流程见图6。
①实现对指挥通信现状的实时掌控功能。建立通信能力数据库,实时掌握部队指挥通信能力,包括有线电通信组织图、无线电通信组织图,确保在履行使命任务时的指挥通信顺畅;②实现通信装备的可视化管理功能。建立通信装备数据库,对现有通信装备的入库、领用登记、库存统计查询等利用条形码等技术手段进行计算机联网辅助管理,便于平时和战时对通信装备资源的统一调配和分发;③实现对通信部(分)队人员情况的掌控功能。建立通信人员库,实时了解通信部(分)队所有人员的基本情况,并在此基础上建立通信人才库,以便于更好地加强通信人才队伍建设;④实现辅助拟制通信组织方案的功能。建立相应的模板,辅助通信参谋拟制通信组织方案,提高作业效率;⑤实现对电话资源和网络资源的掌控功能。通过建立电话资源库、网络IP地址库,便于实时掌握现有电话资源和网络资源;⑥实现对电话计费系统的统一管理功能;⑦实现对通信文件资料的统一管理功能;⑧实现对重点要害部位的远程实时监控,并对出入重点要害部位的人员进行指纹识别安检,记录其出入人员的时间等信息。
5 结语
本系统在进行实际试用测试,得到通信各级部队使用的好评。无论数据库表结构的设计,还是系统的软件界面,都符合用户的需求。对于研制人员来说,进行需求分析和系统建模是最重要的工作。设计科学适用的管理信息系统,必须要对实物对象有准确的认识和理解,这样建立的模型才有较高的科学性;灵活合理地使用建模工具也是有效建立模型的关键;详细的模块工作流程也是系统设计的关键之一。
