论混合软件架构的设计
摘要
2007 年3月,我所在的公司组织开发了一套完整的变电综合信息管理系统,在这个项目中,我担任系统架构设计师职务,主要负责软件架构和网络安全体系架构设计的工作。该系统包括变电运行所需的运行记录、图形开票、安全生产管理、生产技术管理、行政管理、总体信息管理、技术台帐管理、班组建设、学习培训、系统维护等各个业务层次模块。
本文首先简单地分析了 C/S 架构和 B/S 架构各自的优缺点,然后说明了混合C/S架构和 B/S架构的必要性,分析了“内外有别”和“查改有别”两种混合模型,并以变电综合信息管理系统为例,结合实际情况,讨论了 CS 和 BS 混合架构的应用,实践证明,在软件项目的开发中,使用 C/S 与B/S 混合软件架构,能节省开发和维护成本,使系统具有良好的开放性,易扩展性,便于移植等优点。
正文
典型的软件架构风格有很多。例如,设计图形用户界面常用的事件驱动风格、设计操作系统常用的层次化设计风格、设计编译程序常用的管道与过滤器风格、设计分布式应用程序常用的客户机/服务器风格等。一个实用的软件系统通常是几种典型架构风格的组合。
1.项目概述
当前,我国电力系统正在进行精简机构的改革,变电站也在朝无人、少人和一点带面的方向发展(如:一个有人值班220KV变电站带若千个无人值班 220KV和110KV变电站)“减人增效”是必然的趋势,而要很好地达到这个目的,使用一套完善的变电综合信息管理系统(TSIMIS)显得很有必要,2007 年3月,笔者所在的公司组织有关力量,针对电力系统变电运行管理工作的需要,结合变电站运行工作经验,开发了一套完整的变电综合信息管理系统,在这个项目中,我担任系统架构设计师职务,主要负责软件架构和网络安全体系架构设计的工作
系统的实现采用 Visual C++、Visual Basic、Visual InterDev 和 Java 语言和开发平台进行混合编程。服务器操作系统使用Windows 2003 Advanced Server,后台数据库采用 SQLServer 2005。系统的实现充分考虑到我国变电站所电压等级的分布,可以适用于大、中、小电压等级的变电站所。
2.C/S与B/S分析
C/S架构具有强大的数据操作和事务处理能力,模型思想简单,易于人们理解和接受但随着企业规模的日益扩大,软件的复杂程度不断提高,C/S 架构逐渐暴露了以下缺点:
(1)开发成本较高。C/S 架构对客户端软硬件配置要求较高,增加了整个系统的成本
(2)客户端程序设计复杂。采用 C/S 架构进行软件开发,大部分工作量放在客户端的程序设计上,客户端显得十分庞大。
(3)软件移植困难。采用不同开发工具或平台开发的软件,一般互不兼容,不能或很难移植到其它平台上运行。
(4)软件维护和升级困难。采用 C/S 架构的软件要升级,开发人员必须到现场为客户机升级,每个客户机上的软件都需维护。对软件的一个小小改动(例如,只改动一个变量),每一个客户端都必须更新。
B/S 架构主要是利用不断成熟的 WWW 浏览器技术,结合浏览器的多种脚本语言,用通用浏览器就实现了原来需要复杂的专用软件才能实现的强大功能,并节约了开发成本,是一种全新的软件架构。基于 B/S 架构的软件,系统安装、修改和维护全在服务器端解决用户在使用系统时,仅仅需要一个浏览器就可运行全部的模块,真正达到了“零客户端”的功能,很容易在运行时自动升级。B/S 架构还提供了异种机、异种网、异种应用服务的联机、联网、统一服务的最现实的开放性基础。
与C/S 架构相比,B/S 架构也有许多不足之处,例如:
(1)B/S架构缺乏对动态页面的支持能力,没有集成有效的数据库处理功能
(2)B/S 架构的系统扩展能力差,安全性难以控制
(3)采用 B/S 架构的应用系统,在数据查询等响应速度上,要远远地低于 C/S 架构
(4)B/S架构的数据提交一般以页面为单位,数据的动态交互性不强,不利于在线事务处理应用
3.C/S与B/S混合软件架构
传统的 C/S 架构并非一无是处,而新兴的 B/S 架构也并非十全十美。由于 C/S 架构根深蒂固,技术成熟,原来的很多软件系统都是建立在 C/S 架构基础上的,因此,B/S 架构要想在软件开发中起主导作用,要走的路还很长。我们认为,C/S 架构与 B/S 架构还将长期共存,其结合方式主要有两种。下面,我们分别介绍 C/S 与B/S 合架构的两个模型
(1)“内外有别”模型
在C/S与B/S合架构的“内外有别”模型中,企业内部用户通过局域网直接访问数据库服务器,软件系统采用 C/S 架构,企业外部用户通过 Internet 可 Web 服务器,通过
Web 服务器再访问数据库服务器,软件系统采用 B/S 架构“内外有别”模型的优点是外部用户不直接访问数据库服务器,能保证企业数据库的相对安全。企业内部用户的交互性较强,数据查询和修改的响应速度较快。“内外有别”模型的缺点是企业外部用户修改和维护数据时,速度较慢,较烦琐,教据的动态交互性不强
(2)“查改有别”模型
在C/S与B/S 混合软件架构的“查改有别”模型中,不管用户是通过什么方式(局域网或Internet)连接到系统,凡是需执行维护和修改数据操作的,就使用 C/S 架构,如果只是执行一般的查询和浏览操作,则使用 B/S架构
“查改有别”模型体现了 B/S 架构和 C/S架构的共同优点但因为外部用户能直接通过Internet 连接到数据库服务器,企业数据容易暴露给外部用户,给数据安全造成了一定的威胁。
4.应用实例
在设计 TSMIS 系统时,我们充分考虑到变电站分布管理的需要,采用 C/S 与 B/S 混合架构的“内外有别”模型,如下图所示。
在TSMIS系统中,变电站内部用户通过局域网直接访问数据库服务器,外部用户(包括县调、地调和省局的用户及普通 Internet 用户)通过Internet 访问 Web 服务器,再通过Web 服务器访问数据库服务器。外部用户只需一台接入 Internet 的算机,就可以通过Internet 查询运行生产管理情况,无须做太大的投入和复杂的设置。这样也方便所属电业局及时了解各变电站所的运行生产情况,对各变电站的运行生产进行宏观调控。此设计能很好地满足用户的需求,符合可持续发展的原则,使系统有较好的开放性和易扩展性。该系统已经在全国的多个变电站使用,用户反映良好。真正满足了变电管理朝无人、少人和一点带面发展趋势的需要,提高工作效率、增强准确性,对工作过程中的各种记录都能详实、准确地记载,减少大量手工重复录入,达到变电站无人、少人值班的目的。实践证明,在软件项目的开发中,使用 C/S 与 B/S 混合架构,能节省开发和维护成本,使系统具有良好的开放性,易扩展性,便于移植等优点。
论信息系统的安全风险评估
摘要
2005年3月,我参加了某石化公司的实验室信息管理系统项目的开发工作,该系统作为该石化公司产品质量信息管理平台,将实验室的自动化分析仪器与计算机网络进行联结,实现自动采集样品分析数据,对样品检验过程、实验室资源进行严格管理,实现从原料进厂、生产、中间控制直至成品出厂的全过程质量数据管理,以及全公司范围内质量数据的快速传递与共享。我作为项目负责人,负责项目实施中的项目管理工作和系统投运后的运行维护工作。
为了做好系统的开发和应用,必须对系统将面临的安全风险进行评估。我在系统的安全风险评估方面采取了如下措施:分析现有业务流程和新系统信息流的安全因素,做好安全风险分析,建立安全风险评估标准,对安全风险评估分级、分类,在信息系统的各个阶段,反复对安全风险进行评估。系统在 12 月底通过验收,在两年多的运行期间,没有发生重大安全问题,系统建设、运行中的安全风险评估起了很大作用
正文
2005年3月我参加了某石化公司的实验室信息管理系统(以下简称LIMS,Laboratory Information Management System)项目的开发工作, LIMS 主要实现四个方面的功能:实验室数据管理,实验室资源管理,实验室自动化仪器联结,检验数据 ED 发布LIS 项目实施完成后,LIMS 将作为该石化公司产品质量信息管理平台,通过 LIMS 将实验室的自动化分析仪器与计算机网络进行联结,实现自动采集样品分析数据,按照ISO/TEC 17025实验室管理体系对样品检验过程、实验室资源进行严格管理,实现从原料进厂、生产、中间控制直至成品出厂的全过程质量数据管理,以及全公司范围内质量数据的快速传递与共享
我从系统的可行性分析阶段就参与系统的调研工作,项目立项后作为 LIMS 项目的项目负责人,主要负责项目管理,同时负责项目的需求分析、系统集成、系统测试和系统投运后的运行维护工作。
系统拟采用C/S和 B/S 混合架构方式,后台数据库采用 0racle 9i,前端客户端采用visual C++6.0开发,WEB端采用ASP.NET技术开发,B/S和C/S模式均要支持三层结构。
不仅要从开发技术上要保证系统的信息安全,也要从管理上预知系统开发过程和运行过程中的信息安全风险。LIMS 本身服务于石化公司产品质量和生产安全,其系统本身更要有好的质量,包括完善的软件功能和投运后的较高的稳定性、可靠性。在网络环境下运行的信息系统,复杂性更高,在开发系统之前、开发过程中、系统运行时,都要注意信息系统的安全风险。
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
信息安全风险评估是实现信息系统安全必要的步骤,通过信息安全风险评估,可以洁楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点,哪些威胁出现的可能性较大,造成的影响也较大,提出的安全方案需要多少技术和费用的支持,分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险。
信息系统安全风险评估有三种形式,即自我评估、委托评估和检查评估。在 LIMS 系统中采用了自我评估方式。
在LIMS 的实施与运行维护中,我首先确立 LIMS 的安全目标与策略,然后在风险分析中进行风险评估,在方案设计中对风险接受度进行评估,在安全计划实施中进行系统测评,在系统运行与维护中进行日常检查和定期评估,安全风险评估贯穿于信息系统安全管理的全过程,具有极为重要的作用。
在 LIMS的安全风评估工作方面,我采取了如下措施:
一、分析现有业务流程和新系统信息流的安全因素,做好安全风险分析
为了全面了解新建 LIMS 系统的安全需求,我们仔分析了现有业务流程各环节的安全因素,并通过对新系统信息流的来源、传输、处理和存储等环节的分析,识别 LIMS系统的安全风险,做好安全风险分析,为下一步的安全风险评估做好准备。从 LIIS 数据的来源上看,基础数来自于两种方式手工录入,自动采集。通过各种化验分析仪器,产生了样品的分析数据,部分数据需要手工录入,部分数据通过采集器(如色谱采集器)进入系统,数据采集器的质量和化验员的操作水平会直接影响最后的分析结果,进而影响石化产品质量的判定,影响产品的出厂。部分化验分析仪器可以直接导出格式文本或 Exce1数据,这部分数据可以直接通过程序读取。数据收集过程的安全因素是必须逐个识别和分析的。
从LIMS 数据的传输过程上看,网络设备(如 HUB、交换机、网、光纤等)的质量是重要的安全因素,由于化验分析室中有毒、有害气体对网络设备腐蚀严重,一些重要的设备必须集中到工作环境相对较好的房间,在综合布线时必须考虑。每一个色谱数据采集器都要使用一个 IP 地址,部分化验分析仪器也要使用 IP地址, IP地址的管理不仅要考虑办公微机,也要考虑数采设备。网络安全是 LIMS 系统的重中之重,从LIMS数据的处理和存储上看,许多分析计算要在LIMS客户端上完成,服务器上存放中间计算结果和最终结果(如审核过程和质量合格证),LIMS 查询机要应用在各生产车间和油品罐区操作室,操作员的素质和 LINS 查询机的安全设置也是不能忽视的安全因素新系统投用后,业务流程会发生改变,比如会取消部分纸质台帐,审核方式也不再是人工审核,为了保证系统的正常运行,需要制定事故预案、应急措施,并要有系统运行管理部门。业务流程改变引发的管理方式改变,会造成许多不确定的安全因素。
二、建立安全风险评估标准,对安全风险评估分级、分类识别安全风险之后,就要进行风险评估。在风险评估过程中全面评估资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定信息系统的风险,并判断风险的优先级,建议处理风险的措施。风险评估是分级防护和突出重点的具体体现,有些风险可以接受,有些风险则要消除每个风险的解决成本是不一样的,必须综合考虑。不存在绝对的安全,也不可能做到绝对安全。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的,也不是分级防护原则所要求的。
我们参照《信息安全风险评估指南》,结合 LIMS 项目的实际情况,建立安全风险评估标准,用定性和定量的方法为涉及到的安全风险进行评估,可以分级、分类,确定风险等级和优先风险控制顺序,在评估结论中指出所有安全隐患,并给出解决方案建议。在对 LIMIS查询机的安全风险分析中,我认为操作员有可能通过 WEB 上的恶意访间和在 LIS 查询机上的非法操作影响 LIMS 整个系统的运行,对几个解决方案进行了分析,认为在普通微机上进行一些安全设置,屏蔽掉一些多余的功能,比较可行,成本也低,而采用无盘工作站方式虽然安全效果更好,但成本太高,参照评估标准,选择最优的解决方案。数据库服务器的安全风险级别较高,我们采用了双机热备软件,通过镜像引擎将数据由专用的直联线进行实时复制,当一台服务器发生硬件或软件故障时,自动启用另一台服务器,保证数据存储的安全和 LIMS的长周期运行优先解决级别高的风险,是安全风险评估分级的目的三、在信息系统的各个阶段,反复对安全风险进行评估。信息系统的安全是一个动态的复杂过程,它贵穿于信息系统的整个生命周期,对信息系统进行不断的安全风险评估是十分必要的。在 LIMS 系统规划设计阶段,通过风险评估明确系统建设的安全需求和安全目标,在验收阶段,通过风险评估验证信息系统安全措施能否实现安全目标:在信息系统运行维护阶段,定期进行风险评估,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。LIMS 系统在 12 月底通过验收,正式投入运行,在两年多的运行期间,没有发生重大安全问题,LIMS 系统的建设、运行中的安全风险评估起了很大作用,明确的安全需求,合
理的安全体系,严格的安全评估,灵活的安全措施,是系统安全运行的保障风险评估在信息安全保障工作中具有不可替代的地位和重要作用,我们在 LIMS 安全风险评估中采用的评估标准来源于多年信息系统实施和运行中积累的行业经验,并不是国家标准,还需要进一步完善,还存在着一些问题需要加以解决,如建立完善的工作机制、提高评估能力和技术水平等。信息安全风险评估是一项长期的工作,还有很多问题需要在实践中不断摸索,在理论中深入研究加以解决。