出口木制品备案、检验监管管理信息系统的研究与开发

2010-01-12范成林郭曙超李海龙乔龙颜世国

质量安全与检验检测 2010年6期

范成林郭曙超李海龙乔龙颜世国

(1.滨州出入境检验检疫局山东滨州 256600;2.山东出入境检验检疫局)

1 前言

出口木制品是检验监管模式转变后检验检疫部门重点加强监管的商品,但目前的检验管理手段相对比较落后。首先是申报繁琐,效率低下。备案是出口木制品检验首要环节,目前做法是出口企业先准备资料,然后到分支局备案,分支局审查资料、组织考核,考核通过后报直属局审查发证。这个过程一般需对资料反复修改,企业负担重,直属局和分支局也要多次重复“审单”,效率低,劳动强度大。其次统计汇总和查阅繁琐,全靠手工实现,特别一些备案书、注册证书等大量单证都靠人工制作,工作量非常大。本研究利用先进的网络技术手段,研发了出口木制品备案检验监管备案管理信息系统。本系统可实现网上申报,建立企业数据库,在检验监管时实行动态管理,快速反应,信息预警,定期公布检验情况,互相交流,从而全面提高检验检疫人员和企业的技术水平。

2 系统组成和功能

2.1 组成

本系统分为两个子系统:一是出口木制品备案网上申报系统,面向企业开放;二是出口木制品备案、检验监管信息管理系统,面向承担审核和检验监管任务的分支局和直属局开放,主要分为网上申报、备案审核、检验信息、监管信息、系统维护、检验论坛 6个模块,具备增加 /删除、查询、统计等功能。

2.2 功能

2.2.1 网上申报与审单

企业可在网上填写表格等申请资料,然后直接发送到分支局,正确无误后,系统自动发送回执;现场考核通过后分支局在网上填写备案所需资料,发送到直属局;如果符合条件备案,直属局审核无误后,根据情况打印备案书。

2.2.2 检验监管信息

通过输入分支局日常监管信息及抽检记录、符合性验证记录、国外警示通报信息等,一方面使检验人员了解企业的整体情况,另一方面实现信息共享。如果某个油漆、胶、密度板等原材料生产厂的产品检测不合格,其他木制品生产企业和检验检疫人员都可以看到,对其“慎用”和加严检测,甚至列入“黑名单”。

2.2.3 查询统计

提供证书进度流程查询,使企业能够了解证书的办理进度,在初次出口时能够合理安排进度。基于数据库建立一个证书综合查询页面,对每个企业未获得的证书、已获得的证书、已超期的证书、失效的证书、因某种原因被吊销的证书等相关信息可以很快查询,避免因证书有效期等因素影响正常出口。还可以查询统计某一时间段、某个区域、某个种类的出口木制品通过备案的情况、快速反应信息与预警信息等。

2.2.4 系统维护

分为企业信息、分支机构信息、检验员、备案人员等有关系统使用人员权限维护、数据导入导出等。

2.2.5 检验论坛

建立交流平台,定期公布检验情况。可以将检验出的问题在网上公布,遇到问题也可以提出,就疑难问题交流,实现“专家会诊”。

3 硬件系统设计

硬件系统组成见图 1[1]。

图 1 硬件系统组成

本硬件系统采用基于 J2EE的三层 B/S结构,改变了以往 C/S框架下各客户端都必须安装数据库软件和应用软件的现象。用户只需安装浏览器,并与网络相连就可以使用本系统,实现各企业及检验检疫部门以及与各上级部门之间的数据一致,信息共享,有效地解决了异地数据传输的困难。HTTP服务器负责 HT ML的处理,接受用户请求并返回给用户静态的页面。

HTTP服务器将信息组织成分布式的超文本,通过超文本标记语言 (HT ML)和超文本传输协议(HTTP)来描述和组织信息,简单而实用地实现了以整个网络空间为操作背景的超文本/超数据的数据存取[2]。

应用服务器负责应用的处理,包括应用逻辑、开发、维护等几乎所有的工作并通过数据接口动态地访问数据库。如果用户请求的是静态页面,则由HTTP服务器处理返回;如果用户请求的是信息查询等动态页面,就由应用服务器处理,将处理结果返回 HTTP服务器,由 HTTP服务器将处理好的页面返回给用户。

数据库服务器负责综合信息平台数据的存储和管理;数据库服务器软件根据应用服务器的请求进行数据操作,并将操作结果传送给应用服务器[3]。

4 软件系统设计

本系统软件部分主要包括数据库服务器、HTTP服务器、数据管理系统和客户端浏览器软件,应用系统分为网上申报系统和信息管理系统 (如 2.1所述)。软件系统层次见图 2。

图 2 软件系统层次

4.1 系统软件

操作系统采用 Windows 2000 Server,它允许组织利用最新的网络技术,提供全面的 Web及 Internet服务。

数据库软件采用的是Microsoft公司出品的 SQL Server 2000数据库,它是一个具备完全Web支持的数据库产品,提供了对可扩展标记语言 (XML)的核心支持以及在 Internet上和防火墙外进行查询的能力。无论以应用程序开发速度还是以事务处理运行速度来衡量,SQL Server 2000都堪称非常快捷的数据库系统[4]。

4.2 应用系统

4.2.1 出口木制品备案网上申报系统

出口木制品备案网上申报系统是专门为企业设计的功能模块。企业通过自己联入公网的计算机使用 IE浏览器即可进入系统,根据导引进入系统后填报一系列表格,并将要求的文档如《营业执照》等影印件上传,全部提交完成后,等待有关部门审核。具体工作流程见图 3。

图 3 企业网上申报系统工作流程

4.2.2 出口木制品备案、检验监管信息管理系统

出口木制品备案、检验监管信息管理系统是专门为检验检疫各级部门设计的应用系统。部门通过自己联入公网的计算机,使用通用的 IE浏览器即可进入系统,根据导引输入用户名密码进入系统后,即可进行相应的操作。系统的功能组成见图 4。

图 4 出口木制品备案、检验监管信息管理系统组成

4.2.3 系统界面

系统界面如图 5所示。

图 5 系统界面

5 系统安全

SQL Server、Internet信息服务器都提供了坚实可靠的安全模型,为了保证用户数据和应用程序的安全,Microsoft为每项服务的默认设置设置了相当低的值。如何使用 SQL Server、IIS在应用程序和数据之间设置适当的信任级别,而不会留下可被别人轻易攻入的安全漏洞涉及到检验检疫重要数据安全问题,为保险起见,该系统采用两级验证的办法,第一关在服务器端利用 IIS提供的工具实现,第二关主要是防范 SQL注入式攻击[5]。

(1)保证 Web应用程序安全性的最安全的方法是定义一个权限有限的自定义用户,然后对 IIS进行配置,使之能够在执行您的 Web应用程序时能作为自定义用户运行。在安装了 IIS的服务器端启动“Internet安全服务管理员”,选取我们系统的存放目录,选取“编辑属性”,选取“目录安全安全设置”选项,点击“匿名存取及验证控制”按钮,将“允许匿名”取消,选取“基本”。当上网用户登陆该系统时,浏览器就会提示用户输入帐号和口令,该帐号和口令已预先在W indow2000 Server中设置好。

(2)第二关的帐号和口令放在数据库中,其验证通过应用程序实现。传统做法是在数据库中查询用户输入的帐号和口令,如果该帐号和口令存在,证明是合法用户,允许进入该系统,否则,禁止进入。实际上该方法存在安全隐患,这就是 SQL注入式攻击的问题。攻击者把 SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的 SQL命令。在某些表单中,用户输入的内容直接用来构造 (或者影响)动态 SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击,只要懂得 SQL语法,就可以利用“’"等特殊符号符号进入系统,而不必知道正确的帐号和口令。如用户输入“123’or’A’= ’A’”或类似的帐号和密码,查询语句就变为“Select＊ From数据库Where帐号 =′123′or′A′=′A′and口令 =′123′or′A′=A′”,实际上等同于“select＊ from数据库 ”语句,查询结果就回返回全部的纪录。

对此我们采取对表单输入的内容在构造 SQL命令之前,把所有输入内容进行过滤的办法,过滤输入内容按以下方案进行:

①对于动态构造 SQL查询的场合,替换单引号即把所有单独出现的单引号改成两个单引号,防止攻击者修改 SQL命令的含义;删除用户输入内容中的所有连字符,防止攻击者构造出类似上述 SQL查询语句办法;此外对于用来执行查询的数据库帐户,限制其权限,隔离了不同帐户可执行的操作。

②尽可能用存储过程来执行查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行。

③限制表单或查询字符串输入的长度、检查用户输入的合法性,数据检查在客户端和服务器端都执行——执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。