,信息系统分析与设计, 1
第六章 基于 WEB的信息系统开发
? 第一节 基于 WEB的信息系统开发概述。
? 第二节 基于 WEB的信息系统软件运行环境。
? 第三节 基于 WEB的信息系统开发技术。
? 第四节 基于 WEB的信息系统安全。
? 第五节 基于 WEB的信息系统开发工具。
? 第六节 基于 WEB的信息系统的发展。
? 第七节 远程销售管理系统开发案例。
,信息系统分析与设计, 2
第一节 基于 WEB的信息系统开发概述
? 信息系统计算模式是指组成系统的硬件、软件和数据等
资源的逻辑和物理配置及其共同工作方式。
? 信息系统计算模式经历从以单机系统和面向终端的多用
户系统为代表的集中计算模式到以资源共享式、客户机
/服务器( Client/Server,简记为 C/S)模式和浏览器
/WEB服务器 (Browser/WEB Server,简记为 B/S)模式为
代表的分布式计算模式的从简单到复杂、从低级到高级
的发展过程。
? 在目前和今后的一段时间里,B/S模式仍将是信息系统
的主流计算模式。
,信息系统分析与设计, 3
第一节 基于 WEB的信息系统开发概述
? 大量基于 WEB的信息系统研究和开发的实践表明:尽管
新技术带来了信息系统计算模式的改变,但已有的信
息系统分析和设计方法,如结构化方法和面向对象方
法等在基于 WEB的信息系统开发中仍然适用。
? 因此,在采用结构化方法或面向对象方法等信息系统
分析和设计方法的基础上,了解和掌握运用各种基于
WEB的信息系统开发技术,实现信息系统分析和设计以
及信息系统计算模式的要求是进行基于 WEB的信息系统
开发的重点。
,信息系统分析与设计, 4
第二节 基于 WEB的信息系统软件运行环境
? 典型基于 WEB的信息系统软件运行环境包括三个部分:
WEB浏览器,WEB服务器和数据库管理系统。
W e b 浏 览 器
数 据 库 管 理 系 统
图 6 - 1   典 型 基 于 W E B 的 信 息 系 统 软 件 运 行 环 境
W E B 服 务 器
服 务 请 求
请 求 响 应
数 据 库 操 作
请 求
数 据 库 操 作
结 果
,信息系统分析与设计, 5
第二节 基于 WEB的信息系统软件运行环境
? WEB浏览器
WEB浏览器是与 WEB服务器交互的工具软件,它向
WEB服务器发出服务请求,同时接收 WEB服务器送回的
请求响应,并以 WEB页面的形式将其显示出来。
? WEB浏览器的基本功能包括:
? 检索查询功能。读入超文本标记语言( HTML:
Hyper Text Markup Language)文件,解释 HTML
所描述的图表、声音、动画、表格以及链接信息。
? 文件服务功能。在文件下载时实时查阅该文件,
并通过 HTTP协议跟踪感兴趣的链接;也可以随时
中止下载过程,对正在查阅的文件随时保存、打
印、前后浏览等。
,信息系统分析与设计, 6
第二节 基于 WEB的信息系统软件运行环境
?热表管理功能。, 热表, 是用户刚刚访问过的 WEB
地址的列表,浏览器能够记住这些地址,供用户进
行不同网页地址之间的快速切换。
?离线浏览功能。把从 WEB服务器上获得的网页、图
像以及其它数据存放在磁盘缓存中,并建立相应的
文档索引,当使用浏览器进行数据检索时,浏览器
首先检索磁盘缓存中是否存在相应的数据,如果有
则直接从本地磁盘上读取显示,而不再从 WEB服务
器上下载。
?其它 Internet服务。还可以提供如文件传输( FTP:
File Transfer Protocol)、电子邮件( E-mail:
Electronic Mail)、远程登录( Telnet:
Telecommunication Network)、网络新闻组
( UseNet,Usenet Newsgroups)等其它 Internet
服务。
,信息系统分析与设计, 7
第二节 基于 WEB的信息系统软件运行环境
? 表 6-1 几种常用的 WEB浏览器
浏览器名

开发

适用平台 主要特点
Netscape
Navigator
网景
公司
Unix,Linux、
Windows以及
Mac OS等
功能强大;使用方便;可免费获得
Internet
Explore
(简称 IE)
微软
公司
Windows和 Mac
OS
功能强大; Windows环境下运行速度快、
稳定性好;与 Windows操作系统捆绑免
费赠送
Opera Opera
公司
Unix,Linux、
Windows以及
Mac OS等
体积小;浏览速度快;可获得免费版

Hotjava SUN公

各种操作系统
平台
实现了动画效果;提供真实生动的交
互功能;可以免费获得非商业版本
,信息系统分析与设计, 8
第二节 基于 WEB的信息系统软件运行环境
? WEB服务器
WEB服务器是驻留在 WEB服务器计算机上的一个应
用程序,它通过 WEB浏览器与用户进行交互。
? WEB服务器的主要功能包括:
?静态信息发布。 WEB服务器可以将大量 HTML文件及
其它信息文件存储在自己的文件系统中,然后根据
浏览器发出的请求,将相应的文件发送给浏览器。
?动态信息发布。 WEB服务器还可以根据用户要求动
态生成页面以获得与用户交互的效果。如,用户可
以将姓名、地址、信用卡号、购买意向等通过页面
上的表格发送给 WEB服务器,WEB服务器可以将这些
信息写入数据库,并给用户一个反馈,实现电子购
物。
,信息系统分析与设计, 9
? 表 6-2 几种常用的 WEB服务器
第二节 基于 WEB的信息系统软件运行环境
WEB服务器名

开发

适用平台 主要特点
Internet
Information
Server
微软
公司
Windows Server 图形管理界面;支持 CGI,ISAPI、
PHP以及 ASP编程;与 Windows
Server紧密集成
IPlanet Web
Server
网景
公司
Unix,Linux和
Windows Server
支持 CGI、服务器端 Javascript、
Servlet/JSP以及 NSAPI编程
Apache 阿帕
奇组

Unix,Linux、和
Windows Server等
使用最广泛的 WEB服务器;源代
码公开并可免费获得;支持 CGI、
PHP和 Servlet/JSP编程
WebSphere IBM
公司
Unix和 Windows
Server
符合 J2EE标准的完善和开放的
WEB应用服务器
WebLogic BEA
公司
Unix,Linux、和
Windows Server等
符合 J2EE标准的完善和开放的
WEB应用服务器
,信息系统分析与设计, 10
第二节 基于 WEB的信息系统软件运行环境
? 数据库管理系统
数据库管理系统是由建立、管理和维护数据库的
一组程序组成的复杂软件系统。
? 数据库管理系统的主要功能包括:
?定义数据库。包括定义数据的整体逻辑结构(模
式)、局部逻辑结构(外模式)、存储结构(内模
式)。
?管理数据库。包括控制数据库系统的运行,控制用
户的并发性访问,执行对数据库的安全性、保密性
和完整性检验,实施对数据的检索、插入、删除和
修改等操作。
,信息系统分析与设计, 11
?维护数据库。包括初始时装入数据库,运行时记录
工作日志、监视数据库性能、在性能变坏时修改和
更新数据库,在系统软硬件发生变化时修改和更新
数据库。在软硬件系统出现故障时恢复数据库。
?数据通信。负责数据传输工作,通常与操作系统协
同完成。此外,实现分时系统和远程作业输入的接
口。
第二节 基于 WEB的信息系统软件运行环境
,信息系统分析与设计, 12
? 表 6-3 几种常用的数据库管理系统
第二节 基于 WEB的信息系统软件运行环境
数据库管理
系统名称
开发者 适用平台 主要特点
Microsoft
SQL Server
微软公

Windows
Server
图形管理界面; 与 Windows Server
紧密集成
Oracle Oracle
公司
Unix,Linux和
Windows
Server等
可移植、可兼容和可联接性强;支
持多用户和高性能的事务处理
Sybase Sybas
e公司
Unix,Linux和
Windows
Server等
高性能的、具有开放的、可扩展体
系结构和易于使用的事务处理系统;
并支持异构 DBMS间的复制
DB2 IBM公

Unix,Linux和
Windows
Server等
具有高性能、可伸缩性和高度可用
性的大型 DBMS
,信息系统分析与设计, 13
第三节 基于 WEB的信息系统开发技术
? 基于 WEB的信息系统开发技术主要包括三个方面,WEB
网络协议; WEB页面技术和数据库连接技术。
H T M L, X M L,
V B S c r i p t,
J a v a S c r i p t,
A c t i v e X 控 件 和 J a v a
A p p l e t
O D B C, O L E D B 和 J D B C
图 6 - 2   基 于 W E B 的 信 息 系 统 开 发 技 术
V B S c r i p t,
J a v a S c r i p t, C G I,
A P I, A S P, P H P,
S e r v l e t 和 J S P
W e b 浏 览 器 W E B 服 务 器 数 据 库 管 理 系 统
T C P / I P 和
H T T P
,信息系统分析与设计, 14
第三节 基于 WEB的信息系统开发技术
? WEB网络协议
网络协议是网络中各台计算机进行通信的一种语
言基础和规范准则,它定义了计算机进行信息交换所
必须遵循的规则。基于 WEB的信息系统采用了建立在传
输控制协议 /网间协议( TCP/ IP,Transmit Control
Protocol/ Internet Protoco1)基础上的 HTTP协议。
?传输控制协议 /网间协议( TCP/IP协议)
TCP/ IP协议最早是由美国国防部高级研究计
划局( ARPA,Advanced Research Projects
Agency)制定并加入到 Internet中的。它提供了一
个开放的环境,能够把各种计算机平台,包括大型
机、小型机、工作站和 PC机连接在一起,从而达到
不同网络系统互联的目的。目前,它已经成为网络
互联的工业标准。
,信息系统分析与设计, 15
第三节 基于 WEB的信息系统开发技术
?TCP/ IP协议采用了层次体系结构,所涉及的层次
包括数据链路层、网络层、传输层和应用层。
? 数据链路层。提供与各种物理网络的接口。
? 网络层。 IP协议提供 IP地址管理、路由选择和数
据包分段与重组功能。
? 传输层。 TCP协议自动检测丢失的数据包并自动
重传;过滤多个重复的数据包;负责计算机通信
前的连接准备。
? 应用层。提供计算机之间的各种应用服务。包含
的主要协议有,HTTP协议,FTP协议和 SMTP协议
等。
,信息系统分析与设计, 16
第三节 基于 WEB的信息系统开发技术
?超文本传输协议( HTTP协议)
HTTP协议是 WEB浏览器和 WEB服务器间 TCP/IP应用
层通信协议。
?HTTP协议具有的六个重要特点:
? 以 WEB为基础。支持浏览器与 WEB服务器之间的通
信及数据传送。
? 简易性。浏览器要连接到服务器,只需发送请求
方式和路径等少量信息。
,信息系统分析与设计, 17
第三节 基于 WEB的信息系统开发技术
? 灵活性与内容 —类型( Content-Type)标识。允
许传送任意类型的数据,内容 —类型标识指示了
传输数据的类型。
? 无连接。每次连接只限处理一个请求。在完成一
个请求后,服务器不会继续为这个请求负责。
? 无状态。后续事务处理如果需要以前事务处理的
信息就必须将这些信息在协议以外保存;
? 元信息。浏览器根据元信息确定服务器发来的内
容、数据量以及数据是否完整。
,信息系统分析与设计, 18
第三节 基于 WEB的信息系统开发技术
? WEB页面技术
基于 WEB的信息系统以 WEB页面作为系统和用户交互
的接口。因此,WEB页面技术是系统开发中最重要的技
术。根据软件环境不同,将基于 WEB的信息系统页面技
术分为浏览器端页面技术和 WEB服务器端页面技术两类,
参见图 6-2。
?浏览器端页面技术
? 超文本标记语言( HTML,Hyper Text Markup
Language)
HTML是国际互联网联盟( W3C,World Wide
WEB Consortium)从通用标记语言标准( SGML:
Standard Generalized Markup Language)中抽
取部分技术而制定的标准,是基本的 WEB页面开发
语言。它定义了一个复杂的标记集,并通过使用
,标记, 字符串来表明 WEB页面的静态组成结构。
,信息系统分析与设计, 19
第三节 基于 WEB的信息系统开发技术
使用 HTML语言编写的 HTML文件存放在 WEB服务器文件
目录中, 并通过网络传送给浏览器, 浏览器解释 HTML
文件, 并将其内容显示在浏览器上 。 下面是一个在浏
览器中显示绿色, Hello World!”的 HTML例子:
<HTML>
<HEAD>
<TITLE>Hello World!</TITLE>
</HEAD>
<BODY>
<FONTCOLOR=”GREEN”FACE=”ARIAL”>Hello
World!</FONT>
</BODY>
</HTML>
,信息系统分析与设计, 20
第三节 基于 WEB的信息系统开发技术
? 可扩展标识语言( XML,Extended Markup
Language)
在 SGML简化的基础上,1998年 W3C宣布了
XML1.0的标准。与 HTML相比,XML在三个方面进
行了改进:
– 允许用户根据需要自行定义新的标记及属性
名;
– 文件结构嵌套可以复杂到任意程度并能表示
面向对象的等级层次;
– 包括了一个语法描述,使应用程序可以对此
文件进行结构确认。
XML文档包括两个部分:定义标记及其
相互关系的文档类型定义 ( DTD,Document
Type Definition) 和文档内容 。 以下是部分
DTD和 XML文档的例子:
,信息系统分析与设计, 21
第三节 基于 WEB的信息系统开发技术
DTD文档 ( ourstudents.dtd),
<! DOCTYPE students [
<! ELEMENT main (#PCDATA | student) *>
<! ELEMENT student (#PCDATA | ( No,name,sex,birthday))>
<! ELEMENT No (#PCDATA)>
<! ELEMENT name (#PCDATA)>
… … ] >
Xml文档 ( students.xml),
<? Xml version=”1.0” encoding=”UTF-8” standalone=”yes”?>
<! DOCTYPE students SYSTEM,ourstudents.dtd”>
<main><student>
<No> 990001 </No>
<name> Mary </name>
… … </student>
… … </main>
,信息系统分析与设计, 22
第三节 基于 WEB的信息系统开发技术
? JavaScript和 VBScript
JavaScript是网景公司推出的跨平台、面
向对象的脚本语言。客户端的 JavaScript被用于
控制浏览器的对象和文档对象模型( DOM:
Document Object Model),响应鼠标移动、点
击事件以及输入校验等功能。
VBScript是微软公司推出的以 Visual
Basic语言为基础的脚本语言。它通过编写事件
驱动的客户端脚本来增强 HTML功能,客户端脚本
由浏览器解释执行,因此只有得到浏览器支持才
能正常执行。 IE支持 VBScript,而 Netscape不
支持 VBScript。 IE和 Netscape都支持
JavaScript。
,信息系统分析与设计, 23
第三节 基于 WEB的信息系统开发技术
? Java Applet和 ActiveX控件
Java Applet是用 Java编写的、含有可视化
内容的、并被嵌入 WEB页面中用来产生特殊页面
效果的小程序。它可以为页面带来动态交互内容,
如声音、动画等效果。
类似于 Java Applet,ActiveX控件是一个提
供特定功能的二进制对象,具有属性、方法以及
外界可以捕获的事件。 ActiveX控件可以加入使
用 JavaScript和 VBScript的 WEB页面中,以增强
WEB页面的功能,提供如交互性和动画等特殊的
页面效果,并能与脚本语言实现互操作以完成特
定的功能。 IE和 Netscape都支持 Java Applet,
只有 IE支持 ActiveX控件。
,信息系统分析与设计, 24
第三节 基于 WEB的信息系统开发技术
?WEB服务器端页面技术
? 公共网关接口( CGI,Common Gateway
Interface)
CGI定义了 WEB服务器与外部程序间通信的标
准,使外部程序能够生成 HTML文档和图像。这样,
浏览器的 HTML页面就能通过 CGI同 WEB服务器进行
动态交互。 CGI开发简单、投入低。但性能不佳。
? 应用程序接口( API,Application
Programming Interface)
API允许第三方软件开发者以标准方式编写
处理请求与返回动态内容的程序。与 CGI不同,
API程序将保持装入 WEB服务器的地址空间,因此
运行效率大大优于 CGI;但其开发困难、程序也
不够健壮。
,信息系统分析与设计, 25
第三节 基于 WEB的信息系统开发技术
? 动态服务器页面( ASP,Active Server Pages)
ASP是微软 1996年推出的进行动态, 交互和
高性能 WEB页面开发的技术 。 它适用于微软的
Windows服务器平台, 与 IIS WEB服务器紧密集
成, 采用 VBScript编写程序 。
ASP通过扩展名为,asp的 ASP文件来实现 。
这些,asp文件位于 WEB服务器的文件目录下 。 当
浏览器向 WEB服务器发出,asp文件请求时, WEB
服务器解释执行 ASP脚本, 然后动态生成一个
HTML页面发送给浏览器 。
,信息系统分析与设计, 26
第三节 基于 WEB的信息系统开发技术
ASP具有如下特点:
– ASP脚本完全嵌入在 HTML文件中;
– 在 ASP脚本中可以方便地引用 ASP内置组件和
第三方组件,方便扩展 ASP的功能;
– 使用 ADO组件作为数据库接口;
– 用户只需使用可解释 HTML代码的浏览器即可
浏览 ASP页面内容,ASP的运行独立于浏览器;
– ASP脚本在 WEB服务器端运行,因此,ASP源
代码不会泄露;
– ASP脚本无需编译或链接即可解释运行。
,信息系统分析与设计, 27
第三节 基于 WEB的信息系统开发技术
一个处理用户登录的 ASP程序的部分代码:
<%@ Language=VBScript %>
<HTML><HEAD>
<TITLE>用户登录 </TITLE>
<%?服务器端 ASP脚本语句开始, 建立数据库连接 。
set con=server.CreateObject ("adodb.connection")
con.Open“DSN=student; uid=; pwd=; database=student”
'从上一个页面中获得用户输入的用户名和密码
id=Request.Form("id") password=Request.Form("password")
… …
</HEAD>
<BODY> </BODY>
</HTML>
,信息系统分析与设计, 28
第三节 基于 WEB的信息系统开发技术
? 超文本预处理器( PHP,Hypertext Preprocessor)
PHP是运行于 WEB服务器端、内嵌于 HTML中用来
实现动态 WEB页面的脚本语言。其源代码开放并且
可以免费获得。它可以运行在 Windows,Unix和
Linux多种操作系统平台上,支持 IIS,Apache等
多种 WEB服务器。
? Servlet
Servlet是 Sun公司推出的运行在 WEB服务器端、
扩展 WEB服务器功能的软件,其模式类似于 CGI,但
Servlet内部以线程方式提供服务,执行效率比 CGI
高。同时,编写 Servlet的是 Java语言,所以
Servlet具有平台无关性。
,信息系统分析与设计, 29
第三节 基于 WEB的信息系统开发技术
? Java服务器页面( JSP,Java Server Pages)
JSP是 SUN公司推出的动态页面开发技术。与
ASP相似,它是一个技术框架,能够生成动态的、
交互的和高性能的 WEB服务器端应用程序。另外,
JSP也提供了在 HTML 中混合程序代码并由语言
引擎解释执行程序代码的能力。 HTML代码负责描
述信息的显示样式,而程序代码则用来描述处理
逻辑。
与 ASP不同的是,JSP使用 Java语言。另外,
在 ASP中,VBScript脚本直接被 ASP引擎解释执行。
而在 JSP中,程序代码先被编译成 Servlet,然后
由 Java虚拟机执行,这种编译操作仅在对 JSP页
面的第一次请求时发生。
,信息系统分析与设计, 30
第三节 基于 WEB的信息系统开发技术
JSP页面文件的扩展名是,jsp。当 WEB服务器
和 JSP引擎遇到访问 JSP页面的请求时,JSP引擎
将请求对象发送给服务器端的组件,如 Java
Bean组件,Servlet或企业级 Java Bean组件
( EJB,Enterprise Java Bean)等,然后由服
务器端组件处理这些请求,服务器端组件再将响
应对象返回 JSP引擎。 JSP引擎将响应对象传递给
JSP页面,根据 JSP页面的 HTML格式完成数据编排,
最后 WEB服务器和 JSP引擎将格式化后的 JSP页面
返回浏览器。
,信息系统分析与设计, 31
第三节 基于 WEB的信息系统开发技术
一个处理学生登录的 JSP程序的部分代码:
<html>
<head><title>学生登录 </title></head>
<% // ?服务器端 JSP脚本语句开始 。
@ page language="java" import="java.sql.*"
contentType="text/html; charset=gb2312"%>
<% java.sql.Connection Conn; //建立数据库连接对象
java.sql.Statement Stmt; //建立语句对象
… …
//读取上一页面表单中输入的账号密码
String user=request.getParameter("dlyhm").trim();
String password=request.getParameter("dlmm").trim();
… …
<body></body>
</html>
,信息系统分析与设计, 32
第三节 基于 WEB的信息系统开发技术
? 数据库连接技术
基于 WEB信息系统的数据库连接技术主要包括:开
放数据互联( ODBC,Open Database Connection)、对
象连接嵌入数据库( OLE DB,Object Linking and
Embedding Database)和 Java 数据库互联( JDBC:
Java Database Connectivity)三种。参见图 6-2。
?ODBC和 OLE DB
ODBC和 OLE DB都是微软提供的访问数据库的编
程接口。 ODBC主要针对访问关系型数据库。 OLE DB
除了可以访问关系型数据库,还可以访问非关系型
数据库、电子邮件系统、电子表格和文本文件等数
据源。
,信息系统分析与设计, 33
第三节 基于 WEB的信息系统开发技术
?JDBC
JDBC是用于执行 SQL语句的 Java应用程序接口。
它由一组 Java语言编写的类和接口组成。 JDBC是一种
规范,其目的是让各数据库开发商为 Java程序员提供
标准的数据库访问类和接口。使用 JDBC,用户可以很
容易地把 SQL语言传送到绝大部分关系数据库中,实
现对数据库的访问。 JDBC的连接方式有三种:
? JDBC本地驱动程序。 JDBC提供与 DBMS客户端的通
信方法,与 DBMS服务器的通信依赖 DBMS客户端。
? JDBC-ODBC桥接方式。 JDBC架构于 ODBC上,通过
JDBC-ODBC桥访问 DBMS。
? JDBC网络连接方式。 DBMS的一个空闲端口设置一
个进程来侦听数据库操作请求。
,信息系统分析与设计, 34
第四节 基于 WEB的信息系统安全
? 从基于 WEB的信息系统组成结构来看,基于 WEB的信息
系统安全主要包括:浏览器安全,WEB服务器(包括硬
件和软件)安全和 WEB传输安全三个方面。
? WEB服务器的安全策略
?周密定制安全政策。包括:定义安全资源并进行重
要等级划分;进行风险评估,权衡各类安全资源的
价值和对它们保护所需要的费用;制定安全策略的
基本原则,为系统定义预期的安全级别;建立安全
培训制度;具有意外事件的处理措施。
?认真选择 WEB服务器。包括:在已知的 WEB服务器
(软硬件)漏洞中,针对该类型的最少;对服务器
的管理操作只能由授权用户执行;拒绝通过 WEB访
问不公开的信息;禁止内嵌不必要的网络服务;控
制各种形式的可执行程序的访问;对某些 WEB操作
进行日志记录;具有一定容错性。
,信息系统分析与设计, 35
第四节 基于 WEB的信息系统安全
?仔细配置 WEB服务器。包括:将服务器与内部网络
分隔开;维护安全的 WEB备份;合理配置服务器操
作系统;合理配置 WEB服务器软件。
?谨慎组织 WEB服务器的内容。包括:查看链接路径
所提供的内容是否和网页描述的一致;防止非法用
户恶意使用 CGI程序。
?安全管理 WEB服务器。包括:采用安全方式更新服
务器内容;经常审查日志;必要的数据备份;定期
安全检查,安全检查;使用辅助工具。
?跟踪最新安全指南。避免继续使用存在漏洞的软件;
了解最新发现的安全漏洞和新的攻击工具的特点;
了解、掌握最新的安全保护技术和工具;修订原来
的安全策略,引进必要的安全工具。
,信息系统分析与设计, 36
第四节 基于 WEB的信息系统安全
? 利用防火墙增强 WEB服务器的安全性
防火墙是放在网间的一个组件和系统的聚集体,
所有从内到外或从外到内的通信流量都必须通过它;
仅仅被本地安全策略定义的且被授权的通信量才允许
通过。
? 根据采用的技术不同,防火墙有三种基本类型:
?包过滤型。网络上的数据都以, 包, 为单位进行传
输,每一个数据包包含诸如数据源地址、目标地址、
TCP/UDP源端口地址和目标端口地址等特定信息。
包过滤型防火墙通过读取数据包中的地址信息并通
过与系统管理员制定的规则表进行对比来判断数据
包是否来自可信任的安全地点,并自动将来自危险
地点的数据拒之门外。
,信息系统分析与设计, 37
第四节 基于 WEB的信息系统安全
?代理型。也称为代理服务器或应用网关,位于客户
机与服务器之间,阻隔两者之间直接的数据交流。
当客户机需要使用服务器上的数据时,首先将数据
请求发送给代理服务器,代理服务器检查访问用户
是否有权访问该服务器以及是否能够执行所要求的
应用,然后根据检测的请求向服务器索取数据,服
务器将数据再由代理服务器传送给客户机。代理服
务是在应用层实现的,因此能够对应用层协议进行
过滤,如,HTTP,FTP,Telnet,SMTP等。
?监测型。能够对各层数据进行主动的、实时地监测,
并在对这些数据加以分析的基础上,有效地判断出
各层中的非法侵入。
,信息系统分析与设计, 38
第四节 基于 WEB的信息系统安全
? WEB安全传输
?安全套接层( SSL,Secure Socket Layer)
SSL最初是由网景公司针对 WEB服务器和浏览器间
信息安全传输而提出的协议。它处于 TCP协议层和
应用层之间,为上层协议,如,HTTP和 FTP等提供
服务和加密方案。它的主要功能有:
? 服务器认证(客户端核对服务器身份)和客户认
证(服务器核对客户端身份);
? 加密的数据传输;
? 可靠的数据传输。所有传输信息都包含一段它自
身的完整性校验和信息认证码( MAC,Message
Authentication Code)。
,信息系统分析与设计, 39
第四节 基于 WEB的信息系统安全
SSL协议的操作分为两个阶段:
? 握手阶段:发送方和接收方协商并确定加密算法
和密钥;
? 数据加密传输阶段:以第一阶段商定的密钥加密
数据。
?传输层安全协议( TLSP,Translate Layer Secure
Protocol)
TLSP的目的在于为基于网络传输的应用提供私
有性和数据完整性, 它由两个协议层构成:
? TLS记录协议层。封装 TLS握手协议等上层协议,
提供具有私有和可靠的连接安全。
? TLS握手协议层。提供服务器和客户机间相互认
证的机制,并允许双方在应用层协议传输或接收
之前协商加密算法和交换密钥,提供具有三个基
本特征的安全连接:
,信息系统分析与设计, 40
第四节 基于 WEB的信息系统安全
– 通信双方的身份可以通过非对称加密技术进
行认证;
– 双方共享机密的协商过程是秘密的(不能被
窃听);
– 协商过程是可靠的(任何对协商信息的非授
权篡改都将被发现)。
?安全超文本传输协议( SHTTP,Secure HTTP)
SHTTP是由 Enterprise Integration
Technologies设计的方案,该协议是一个高层次的
协议,向后兼容 HTTP协议。 SHTTP具有以下特点:
,信息系统分析与设计, 41
第四节 基于 WEB的信息系统安全
? 允许 WEB服务器和浏览器使用不同的信息加密方
案,包括 PEM,PGP和 PKCS-7。
? 不支持 SHTTP的 WEB服务器或浏览器也可以通过
SHTTP与支持的 SHTTP的 WEB浏览器 /服务器通信;
? SHTTP不要求 WEB浏览器提供公开密钥,用户无需
事先建立自己的密钥对即可以进行安全传输。
? 目前,SHTTP的使用情况是:服务器一端由 Open
Marketplace服务器实现,客户端由 Secure
HTTP Mosaic实现。
,信息系统分析与设计, 42
第五节 基于 WEB的信息系统开发工具
? 基于 WEB的信息系统开发离不开工具的支持。目前,用
于 WEB系统开发的工具有很多,根据其主要功能不同可
以分为三类:页面编辑调试工具;动态页面开发工具
以及图形和动画制作工具。
? 网页编辑调试工具
微软的 FrontPage是这类工具中突出的代表,它不
但能编辑调试网页,而且还能对网页进行管理。其它
常用的还有 Micromedia公司的 Dreamweaver。微软的
WORD也有网页编辑功能。它们主要的功能特点包括:
? 将其它文档(包括 Word,Excel等文档)转换成
HTML文档;
,信息系统分析与设计, 43
第五节 基于 WEB的信息系统开发工具
? 完全实现了所见即所得的工作方式;
? 为制作网页提供了许多功能强大的向导和模板;
? 同时打开多个网页;在多个网页间切换、复制或
移动信息;
? 即可以自动生成 HTML代码,也可以自己键入 HTML
代码;
? 方便地创建超级链接,把网页有效而直观地组织
和联系起来;
? 支持几乎所有类型的图像并具有图像编辑功能;
? 可以方便地建立窗体,处理窗体中的信息;
? 方便地制作表格或者用框架来组织信息;
? 可以把 Java Applet,ActiveX控件、
JavaScript和 VBScript加入到网页中。
,信息系统分析与设计, 44
第五节 基于 WEB的信息系统开发工具
? 动态页面开发工具
当需要设计动态、交互式页面时应该选用集成化
动态页面开发工具。这一类工具主要有:微软的
Visual InterDev,网景的 LiveWare,Borland的
Delphi WEB Broker,Powersoft的 Power Builder和
Sybase的 Web.sql等。
Visual InterDev是微软 Visual系列工具。它将许
多 WEB开发和编程工具集成到一个 GUI工具中;提供了
多种向导,支持快速开发;自动为应用程序增加复杂、
交互的页面;支持团体开发,和 Visual SourceSafe一
起工作以控制多个程序员的工作;能和 Microsoft
FrontPage协同工作以便非编程人员在创建 WEB页面时
和编程人员合作。
,信息系统分析与设计, 45
第五节 基于 WEB的信息系统开发工具
? 图形和动画制作工具
图形和动画不但可以增加页面的审美效果,还可
以方便、轻松地表达出文本所不能表现的内容。因此,
各种图形和动画制作工具也就成为制作网页必须的工
具。这类常用的制作工具有,Adobe的 Photoshop,
Macromedia的 Flash和 Firework以及 Ulead的 Cool 3D等。
,信息系统分析与设计, 46
第六节 基于 WEB的信息系统的发展
? 基于 WEB的信息系统的出现将组织原有分散的信息系统
集中到一个统一的应用环境下,信息系统的管理和维
护变得更加方便。但是,现有基于 WEB的信息系统仍然
存在以下问题:系统可扩展性有限;系统功能模块移
植工作量大;代码重用率低,重复开发现象严重等。
分布对象技术和 Agent技术为解决 WEB信息系统面临的
上述问题提供了有效的方法和途径。
,信息系统分析与设计, 47
第六节 基于 WEB的信息系统的发展
? 分布对象技术在基于 WEB的信息系统中的应用
分布对象技术与 WEB技术的结合产生了新型的 WEB
体系结构,WEB浏览器作为客户层提供图形用户界面,
并通过 HTTP协议从中间层 WEB服务器下载并执行内嵌的
客户方程序或中间代码(如 Java字节码和 ActiveX控件
等)。客户方程序能通过内部通信机制向应用服务器
服务对象发出请求。服务对象封装了相关业务逻辑,
它们之间可通过内部协议彼此通信,并能访问资源层
数据库服务器以完成用户请求。根据采用的分布对象
技术不同,这种新型的 WEB体系结构可分为基于公共对
象请求代理( CORBA,Common Object Request Broker
Architecture);基于 ActiveX和基于 Java远程方法调
用( RMI,Remote Method Invocation)三种。
,信息系统分析与设计, 48
第六节 基于 WEB的信息系统的发展
I I OP
H T T P
W E B 浏览器
J a v a 小应用
J a v a OR B




功能
调用
返回
RDB M S 1
DB1
DB2
RDB M S 2
D B3
服务器
W E B 服务器
应用服务器
J a v a
O R B
D B 1 服务对象
D B 3 服务对象
D B 2 服务对象
图 6 - 3 基于 C O R B A 和 J a v a 的三层 W E B 体系结构
,信息系统分析与设计, 49
第六节 基于 WEB的信息系统的发展
表 6-4 三种体系结构的主要区别
开发者 实现语言 支持平台 核心 通信协议
ActiveX 微软 VB,VC,Java,
JavaScript等
只支持
Windows
平台
COM/DC
OM
ORPC
Java
RMI
SUN Java 只能访问
Java对象
RMI 现在 RMI
将来 IIOP
CORBA OMG C/C++,
Java,
Smalltalk等
多种平台 ORM IIOP
,信息系统分析与设计, 50
第六节 基于 WEB的信息系统的发展
? Agent技术在基于 WEB的信息系统中的应用
?Agent技术是 90年代在网络技术和 Internet发展的
基础上兴起的一门实用性很强的计算机软件技术。
目前,人们还没有对它做出精确的定义,但学术界
对 Agent技术的一些特性有一定的共识。 Agent具有
如下特性:
? 自主性。即 Agent可以通过它自身的内部状态控
制自己的行为。
? 社会性。即 Agent可以通过其通讯语言与其它
Agent进行交互。
? 反应性。即对环境的感知和响应。
? 能动性。即 Agent可以主动采取面向目标的行动。
? 时间连续性。 Agent可以在长时间内连续运行。
,信息系统分析与设计, 51
第六节 基于 WEB的信息系统的发展
?Agent技术在 WEB信息系统中的应用包括以下方面:
? 界面自动定制。界面 Agent能捕捉用户的偏好,
根据不同用户的使用习惯,自动定制用户界面,
使系统更具人性化。
? 信息自动查询。信息自动查询 Agent能记住用户
经常要查询的资源,利用休息日或者休息时间
(如晚上)提前查询或下载资料,这样,当用户
使用时能提高速度,减少不必要的等待时间。
? 业务处理。业务 Agent具有一定学习和思维能力,
可以在一定范围内适应企业规则变化,是提高系
统健壮性的一个捷径。
? 通讯。通讯 Agent能根据业务 Agent的状态,动态
分配请求,确保系统具有良好的整体性能。
,信息系统分析与设计, 52
第六节 基于 WEB的信息系统的发展
,信息系统分析与设计, 53
第七节 远程销售管理系统开发案例
? 系统背景
某医药有限责任公司在全国设立了多个大区市场
部,大区市场部以下设立省区市场部,省区市场部以
下设立更低一级的小区级市场部,最后是经销商和消
费者,从而在全国形成了树状分销体系网络。但随着
企业的发展壮大,在通过多层次的分销网络扩大产品
销售的同时,企业出现了部门间信息沟通不畅,信息
传递不及时,工作效率低下,办公费用过高等诸多管
理问题。为了使企业的效益随着分销网络的延伸得到
同步的增长,进一步提高管理水平,公司提出实现网
络远程销售管理的要求,决定开发建设基于 WEB的管理
信息系统 ——“远程销售管理系统,,其最终目标是以
基于 Internet 的开放平台,通过互动的方式,实现产
品销售真正意义上的客户关系管理和供应链管理。
,信息系统分析与设计, 54
订单 省区初
步审核
一次审核
后订单
大区
审核
二次审核
后合同
发货申
请单
省区初
步审核
一次审核
后发货
申请单
大区
审核
有效
发货申请单
发货申请单
省区
业务员
省区
业务员
客户信

销售部
批准
有效
合同
销售合同
填写客
户记录 客户档案
二次审核
后发货
申请单
销售部
批准
省区
财务 回款信 息
登记
回款记录 回款档案
图 6-6 医药销售业务流程图
,信息系统分析与设计, 55
图 6-7 远程销售管理数据流图
销售部
省区
1
销售合同及
发货申请单
省区级管理
2
销售合同及
发货申请单
大区级管理
3
销售合同及
发货申请单
销售部管理
4
销售合同及
发货申请单
高层管理
5
客户档案
管理
6
回款
信息管理
D3 客户档案
F1.1 销售合同及发货申请
F2.1 发货信息,销售信息
D1 销售合同
D2 发货申请单
F1.3 客户档案信息
F2.2 客户信息
F1.4 回款信息
F2.3 回款统计
大区 高层
F1.2 新增客
户的合同及申 请
F3 新增客户的合同及申请审核信息
F4 销售信息
F7 合同及申请确认信息
F8 客户信息,销售信息,系统管理信息
F5 特例合同及申请批准信息
F6 销售信息
D4 回款档案
,信息系统分析与设计, 56
第七节 远程销售管理系统开发案例
远程销售管理系统
省区子系统 大区子系统 销售部子系统 高层子系统
销售
合同
录入
发货
申请
单录

客户
信息
录入
回款
信息
录入
发货
与回
款查

销售
查询

统计
客户
信息
查询
销售
查询

统计
系统
管理
特例
合同
申请
销售
查询

统计
新增客户销
售合同及发
货申请单二
次审核
销售
查询

统计
图 6-8 远程销售管理系统功能分解图
,信息系统分析与设计, 57
? 系统结构模型有三层。如图 6-9所示,第一层是客户服
务层,即分布在公司销售部及全国各地 (大区、省区、
小区 )的网络用户工作站,有关人员可以使用工作站上
的浏览器 (Internet Explorer浏览器或 Netscape浏览
器 ),在被授权范围内,从任何地方上网进入远程销售
管理系统;第二层是业务服务层,即位于公司总部信
息网络中心的 WEB服务器,本系统采用的是微软公司的
Internet Information Server(IIS)服务器,它负责
接受各地用户的访问请求,并把处理结果通过网络送
给用户;第三层是数据服务层,即位于信息网络中心
的数据库服务器,本系统的数据库采用的是微软公司
的 SQL Server数据库,它负责存储,处理通过网络收
集的数据。
第七节 远程销售管理系统开发案例
,信息系统分析与设计, 58
第七节 远程销售管理系统开发案例
浏览器 1
浏览器 n

,..
W E B 应用服务器 ( I I S )
数据库服务器
( S Q L S er v e r )
使用 A D O 的
,as p 文件
客户服务层
浏览器 2
H t t p 协议 S Q L 语言
业务服务层 数据服务层
相关数据
图 6 - 9 远程销售管理系统结构模型
? 系统核心部分是 WEB服务器。当用户通过浏览器发出更
改,删除,新增数据记录的 HTTP请求时,WEB服务器上
的,asp文件使用 IIS中的 ADO组件将其转化成 SQL语句,
并通过 ODBC驱动程序提交到数据库服务器,在数据库执
行完语句后,将相关数据结果返回给 WEB服务器,再将结
果转换成 HTML语言传送回提出请求的浏览器。
,信息系统分析与设计, 59
第七节 远程销售管理系统开发案例
? 远程销售管理系统的网络简化拓扑结构如图 6-10所示。
I N T E R N E T
信 息 网 络 中 心
省 区 销 售 分 公 司
大 区 销 售 分 公 司
高 层 用 户
公 司 授 权 用 户
数 据 库 备
份 服 务 器
数 据 库 服
务 器 交 换 机
公 司 授 权 用 户
网 络 管
理 员
销 售 财 务 销 售 计 划 销 售 部 经 理 公 司 经 理
图 6 - 1 0 远 程 销 售 管 理 系 统 网 络 简 化 拓 扑 结 构
,信息系统分析与设计, 60
第七节 远程销售管理系统开发案例
? 系统实施