【正文】 度和系統(tǒng)性能的優(yōu)化、以及保證系統(tǒng)數(shù)據(jù)庫的安全，系統(tǒng)中應(yīng)用了一些較流行的新技術(shù)如數(shù)據(jù)庫SQL SERVER查詢的優(yōu)化、數(shù)據(jù)挖掘技術(shù)（Data Mining）。本章將系統(tǒng)所采用的關(guān)鍵技術(shù)進(jìn)行闡述。 系統(tǒng)的安全機(jī)制數(shù)據(jù)安全是數(shù)據(jù)庫系統(tǒng)中一個非常重要的性能指標(biāo)。目前數(shù)據(jù)庫系統(tǒng)在安全和安全保障有以下幾種方法。 系統(tǒng)一般可能包含大量的敏感數(shù)據(jù)，為保證系統(tǒng)數(shù)據(jù)在存MIS存儲時和網(wǎng)絡(luò)傳輸中不被未經(jīng)授權(quán)的用戶訪問或解讀，需用用戶名來標(biāo)明用戶身份，經(jīng)系統(tǒng)鑒別用戶的合法性后，再利用口令進(jìn)一步核實(shí)用戶身份。為保證口令的安全性，在口令提交過程中，不能采用明文形式，即：先對口令加密后再傳輸（在數(shù)據(jù)庫中以密文形式存放），39這樣就可以保證其安全性，使用戶和服務(wù)器在通信過程中，可以防竊聽、防干擾、防消息偽造。在實(shí)驗(yàn)室信息管理系統(tǒng)中對每個用戶設(shè)置口令,并安全存儲,為各個用戶分配角色并為角色設(shè)置一定的操作應(yīng)用的權(quán)限。每一權(quán)限對應(yīng)一個或多個的功能項(xiàng)。在程序中可動態(tài)維護(hù)功能項(xiàng),從而能動態(tài)設(shè)置用戶的權(quán)限。系統(tǒng)中有系統(tǒng)管理員、超級用戶、普通用戶三種用戶。整個應(yīng)用系統(tǒng)只有一個系統(tǒng)管理員,也只有系統(tǒng)管理員擁有全部權(quán)限操作，其他用戶的權(quán)限由系統(tǒng)管理員來自由設(shè)定。超級用戶可以查詢實(shí)驗(yàn)室信息管理系統(tǒng)中的所有數(shù)據(jù)、對部分?jǐn)?shù)據(jù)有新增、修改、刪除的權(quán)限。普通用戶是級別最低的用戶，他只具有對實(shí)驗(yàn)室數(shù)據(jù)庫部分?jǐn)?shù)據(jù)的查詢和修改功能，B/S模式下客戶端的用戶大部分屬于這一類。對數(shù)據(jù)庫本身來說,為應(yīng)用系統(tǒng)只建立一個賬號,它具有操作相關(guān)數(shù)據(jù)庫實(shí)體全部的權(quán)限。而為實(shí)際用戶建立的賬號,實(shí)為數(shù)據(jù)庫中用戶表中的記錄。這樣的安全策略使應(yīng)用系統(tǒng)變成數(shù)據(jù)庫的直接用戶,而所有操作人員則是數(shù)據(jù)庫的間接用戶。應(yīng)用系統(tǒng)本身起到一種防火墻的功能,真正的數(shù)據(jù)庫賬號登錄信息在應(yīng)用系統(tǒng)編譯后自動加密到可執(zhí)行文件中,幾乎不會泄漏,而所有用戶必須通過應(yīng)用系統(tǒng)這一“門戶”訪問數(shù)據(jù)庫,并通過用戶表中記錄鑒別身份、確定權(quán)限 [20]。為了控制用戶的訪問權(quán)限，還可以采用基于角色的訪問控制(RBAC，Role Based Access Control) 技術(shù)，其核心思想就是將訪問權(quán)限與角色相聯(lián)系,通過給用戶分配合適的角色,讓用戶與訪問權(quán)限相聯(lián) [21]。眾所周知，MIS系統(tǒng)通常都包含許多相對獨(dú)立的應(yīng)用子系統(tǒng),為了避免各子系統(tǒng)單獨(dú)使用自己的權(quán)限管理系統(tǒng),導(dǎo)致重復(fù)開發(fā)、權(quán)限管理分散等問題,考慮將系統(tǒng)訪問權(quán)限管理也獨(dú)立出來,對權(quán)限進(jìn)行集中管理。根據(jù)用戶在企業(yè)中的職責(zé)來設(shè)定他們的角色。用戶可以在角色間進(jìn)行轉(zhuǎn)換,系統(tǒng)可以添加、刪除角色,還可以對角色的權(quán)限進(jìn)行添加、刪除、更新。這樣通過應(yīng)用RBAC將權(quán)限管40理變成類似于企業(yè)日常的組織管理。在RBAC中,角色作為一個橋梁、溝通于用戶和資源之間。對用戶的訪問授權(quán)轉(zhuǎn)變?yōu)閷巧氖跈?quán),然后再將用戶與特定的角色聯(lián)系起來。權(quán)限被授予給角色,角色被授予給用戶,用戶不直接與權(quán)限相關(guān)聯(lián)。用戶只有通過角色才享有該角色所對應(yīng)的權(quán)限,從而訪問相應(yīng)的客體。角色的權(quán)限即為角色所擁有的功能,表現(xiàn)為對某一子系統(tǒng)或一系列菜單項(xiàng)可執(zhí)行功能,稱為功能項(xiàng)。一旦一個RBAC系統(tǒng)建立起來以后,主要的管理工作即為對角色授權(quán)或更改用戶的角色。因此,在開發(fā)實(shí)例中,應(yīng)用層引入基于角色的訪問控制的思想,將權(quán)限管理單獨(dú)作為一個子系統(tǒng)來實(shí)現(xiàn)。數(shù)據(jù)備份與恢復(fù)是實(shí)現(xiàn)信息安全運(yùn)行的重要技術(shù)之一，能保證信息系統(tǒng)因各種原因遭到破壞時，能盡快投入使用。任何一個數(shù)據(jù)庫在使用過程中，都可能因各種原因而使數(shù)據(jù)庫受到破壞，而導(dǎo)致系統(tǒng)崩潰，這時就需要對數(shù)據(jù)庫進(jìn)行相應(yīng)的安全恢復(fù)。一般來說，數(shù)據(jù)庫的恢復(fù)可以通過磁盤鏡像、數(shù)據(jù)庫備份文件和數(shù)據(jù)庫在線日志三種方式來完成。在數(shù)據(jù)庫優(yōu)化設(shè)計中，應(yīng)該同時考慮數(shù)據(jù)庫的恢復(fù)能力和性能，找到二者的平衡點(diǎn)。在實(shí)驗(yàn)室信息管理系統(tǒng)數(shù)據(jù)庫設(shè)計中，考慮到系統(tǒng)對實(shí)時性要求不高，采用了定期數(shù)據(jù)備份和數(shù)據(jù)庫在線日志兩種方式來完成數(shù)據(jù)庫的備份與恢復(fù)，保證了數(shù)據(jù)庫的安全性與可靠性，對數(shù)據(jù)庫的訪問具有較高的效率。這種技術(shù)在數(shù)據(jù)庫安全機(jī)制中也不是孤立存在的，必須與其他相關(guān)安全控制技術(shù)結(jié)合才能保證數(shù)據(jù)庫的真正安全，如同前一種具有靈活權(quán)限設(shè)置的用戶身份驗(yàn)證技術(shù)結(jié)合就是目前MIS系統(tǒng)安全控制較為流行的一種方法。 41 考慮到原始數(shù)據(jù)以可讀的形式存儲在數(shù)據(jù)庫中，高明的入侵者可以從計算機(jī)系統(tǒng)的內(nèi)存中導(dǎo)出所需要的信息，或者采用某種方式打入系統(tǒng)，從系統(tǒng)的后備存儲器上竊取數(shù)據(jù)或篡改數(shù)據(jù)，這樣也沒法保護(hù)數(shù)據(jù)的真實(shí)性、可靠性，而且還要防止非授權(quán)用戶訪問其他用戶的信息。因此，要徹底解決數(shù)據(jù)庫的安全保密，除了在數(shù)據(jù)的傳輸過程中采取加密保護(hù)和控制非法訪問之外，還必須對存儲的數(shù)據(jù)進(jìn)行加密保護(hù)。使得用戶在以明文的方式寫入數(shù)據(jù)時，數(shù)據(jù)庫中保存的是密文數(shù)據(jù)；在讀出數(shù)據(jù)時，則先把數(shù)據(jù)庫中的密文轉(zhuǎn)化成對應(yīng)的明文，然后再進(jìn)行相應(yīng)的操作 [22]。數(shù)據(jù)加密技術(shù)主要是在體現(xiàn)在系統(tǒng)的應(yīng)用程序中，由開發(fā)技術(shù)人員在程序中對用戶的口令或者其他重要數(shù)據(jù)編寫一個算法，即使有非法用戶有能力繞過應(yīng)用邏輯進(jìn)入數(shù)據(jù)庫,他看到的也只是不能理解的符號而已，對數(shù)據(jù)庫的安全造成不了多大的破壞。下面舉一個對用戶口令加密的算法， 編寫。加密程序的基本算法 [23]是:首先定義一個長為20個字符關(guān)鍵字串,作為密碼轉(zhuǎn)換字用,然后提取用戶在登錄界面輸入的口令。如果口令不夠20個字符長,則先將口令重復(fù)組成20個字符長,再將其各字符與關(guān)鍵字對應(yīng)字符的SCII 碼相加,轉(zhuǎn)換成另一個ASCII碼,最后循環(huán)20 次,各字母加上循環(huán)時次數(shù)和輸入的口令長度值。具體程序通過如下一個函數(shù)passchange()來完成。// 參數(shù)名:a_ymm,參數(shù)類型:string,返回ls_passsecretInteger i ,li_passlen ,li_i ,li_value ,li_posString ls_1 ,ls_ pass ,ls_passsecretstring keycode =‘gdut_missoft2022cims’//本關(guān)鍵詞作為密碼轉(zhuǎn)換字用　　　　　　　　　　　　　　　　li_passlen = len (a_ymm)if li_passlen 20 then42　 for li_i = li_passlen + 1 to 20　li_pos = li_pos + 1　 if li_pos li_passlen then li_pos = 1a_ymm = a_ymm + mid(a_ymm ,li_pos ,1)　 nextend iffor li_i = 1 to 20　li_value = asc(mid(a+ymm ,li_i ,1)) + asc(mid( key2code ,li_ i ,1))　　do while li_value 127　　 　li_value = li_value ～ 127　 loop // 轉(zhuǎn)換成可顯示的ASCII 字符　 ls_1 = char(li_value)　 ls_pass = ls_pass + ls_1nextfor i = 1 to 20ls_passsecret=ls_passsecret + char(asc(mid(ls_pass,i ,1)) + I + amp。li_passlen)　 next　 return ls_passsecret調(diào)用這個函數(shù),以加密后的口令信息與用戶表中的口令字段相比較,從而確定用戶的身份。在新建立用戶或修改用戶口令時,同樣調(diào)用該函數(shù),口令調(diào)用加密后再保存在用戶表中。在用戶登錄過程中,應(yīng)用程序首選核查實(shí)際用戶所擁有的帳號,如果合法,43則再以數(shù)據(jù)庫系統(tǒng)帳號登錄,。 系統(tǒng)登錄窗口 實(shí)驗(yàn)室信息管理系統(tǒng)就采用了以上三種保證數(shù)據(jù)庫安全的方法，普通用戶可由系統(tǒng)管理員來設(shè)定訪問系統(tǒng)的權(quán)限，系統(tǒng)管理員同時兼任系統(tǒng)數(shù)據(jù)庫的備份與恢復(fù)的任務(wù)，數(shù)據(jù)庫的備份與恢復(fù)可選擇定期動作或手工動作。加密技術(shù)使惡意進(jìn)入系統(tǒng)的黑客對系統(tǒng)數(shù)據(jù)也造成不了太大的破壞。 系統(tǒng)性能的優(yōu)化系統(tǒng)性能優(yōu)化的目的就是為了提高系統(tǒng)執(zhí)行效率和系統(tǒng)運(yùn)行的速度。其中效率包括前端功能的執(zhí)行效率、網(wǎng)絡(luò)傳輸I/O效率、后端數(shù)據(jù)庫的執(zhí)行效率。系統(tǒng)性能優(yōu)化的方法有數(shù)據(jù)庫設(shè)計的優(yōu)化和應(yīng)用程序的優(yōu)化。作為應(yīng)用程序的基礎(chǔ),數(shù)據(jù)庫結(jié)構(gòu)設(shè)計和物理空間分布的好壞對應(yīng)用系統(tǒng)的性能有直接影響,因此數(shù)據(jù)庫結(jié)構(gòu)優(yōu)化可以說是數(shù)據(jù)庫優(yōu)化最基本的部分,它包括邏輯優(yōu)化和物理結(jié)構(gòu)優(yōu)化。物理結(jié)構(gòu)優(yōu)化的一個重要方面就是合理地分配數(shù)據(jù)存儲空間,減少不必要的物理存儲結(jié)構(gòu)的擴(kuò)充,從而減少磁盤的讀寫競爭。對于這樣的系統(tǒng)最好的辦法是在建立數(shù)據(jù)庫時根據(jù)具體應(yīng)用預(yù)先分配足夠大的空間、增長合適的幅度和最大值,使數(shù)據(jù)庫在物理存儲上和動態(tài)增長上達(dá)44到一個平衡點(diǎn)；邏輯結(jié)構(gòu)優(yōu)化是通過對應(yīng)用系統(tǒng)中的操作語句進(jìn)行統(tǒng)計分析,根據(jù)其結(jié)果合理地建立索引,使用Unique索引為每個表建立一個唯一的主鍵。規(guī)范的表設(shè)計可以避免在插入、刪除和更新期間可能引起的異常功能,因?yàn)閹熘械谋硖?必然面臨許多鏈接,這樣會增大性能上的開銷,因此在進(jìn)行數(shù)據(jù)庫設(shè)計時,要根據(jù)具體情況,采用規(guī)范化設(shè)計和有選擇地采用非規(guī)范的設(shè)計 [24]。系統(tǒng)優(yōu)化采用的技術(shù)主要有：索引的合理運(yùn)用和優(yōu)化的SQL語句查詢。建立索引是為了提高系統(tǒng)檢索數(shù)據(jù)庫的速度,但也并不是索引越多越好,有的時候索引多了反而影響系統(tǒng)的速度,所以說優(yōu)化數(shù)據(jù)庫設(shè)計是人合理的運(yùn)用索引。在建立索引時，必須充分地對編輯和查詢方面的折衷考慮，要根據(jù)應(yīng)用系統(tǒng)的需求目標(biāo)，仔細(xì)分析，才能滿足兩方面的要求。在設(shè)計查詢時，應(yīng)遵循這樣的原則：只要有充分理由需要索引，就堅決不要創(chuàng)建對應(yīng)的索引項(xiàng)。增加索引的目標(biāo)必須是在仔細(xì)分析了應(yīng)用的工作負(fù)荷后，達(dá)到改善應(yīng)用中關(guān)鍵的處理性能的目的。索引在優(yōu)化設(shè)計之前必須針對具體系統(tǒng)進(jìn)行分析，系統(tǒng)中索引是什么原因?qū)е聰?shù)據(jù)庫檢索速度下降。如果是Select語句執(zhí)行時間長，或者是執(zhí)行數(shù)據(jù)修改操作很好，但執(zhí)行查詢操作時很慢，這就是表示缺少索引；如果系統(tǒng)表現(xiàn)為執(zhí)行查詢操作運(yùn)行速度快，但執(zhí)行數(shù)據(jù)修改操作時很慢，這就是索引太多；如果執(zhí)行查詢操作快，但執(zhí)行范圍查詢時很慢，這就是系統(tǒng)缺少限制范圍的索引；如果是兩表或多表之間執(zhí)行連接操作慢，這就是系統(tǒng)不精確索引太多；還有其他問題如索引條目太大導(dǎo)致系統(tǒng)查詢和編輯操作慢 [25]。只有找到了系統(tǒng)問題所在，才可能設(shè)計出優(yōu)化的索引。要優(yōu)化系統(tǒng)索引的設(shè)計，同時還必須熟悉具體采用的數(shù)據(jù)庫管理系統(tǒng)的查詢優(yōu)化器的基本原理，確保設(shè)計的索引是滿足查詢優(yōu)化器的優(yōu)先順序。在實(shí)驗(yàn)室信息管理系統(tǒng)中，數(shù)據(jù)量最大的是學(xué)校設(shè)備管理這個模塊，而且設(shè)備管理涉及的部門聯(lián)系多，有必要建立一個以設(shè)備資產(chǎn)編號的索引來提高系統(tǒng)的檢索速度。45優(yōu)化的SQL查詢語句將會直接影響到數(shù)據(jù)庫檢索速度，對于海量的數(shù)據(jù)，劣質(zhì)的SQL語句和優(yōu)質(zhì)的SQL語句在數(shù)據(jù)檢索速度上可能相差上百倍。對于本系統(tǒng)所采用的SQL Server數(shù)據(jù)庫系統(tǒng)來說，優(yōu)化SQL語句有以下幾種方法 [26，27，28] ：；,使優(yōu)化器有更多的選擇余地；“”或“NOT”這樣的操作符；(如數(shù)學(xué)、字符串函數(shù)等)；；；(%)在搜尋詞首出現(xiàn)；；； [29]。在實(shí)驗(yàn)室信息管理系統(tǒng)編寫SQL語句時都盡量做到以上幾點(diǎn)，同時和索引的優(yōu)化相結(jié)合，真正在系統(tǒng)性能上實(shí)現(xiàn)優(yōu)化。 數(shù)據(jù)挖掘技術(shù)在系統(tǒng)中的應(yīng)用隨著計算機(jī)技術(shù)和數(shù)據(jù)庫技術(shù)的快速發(fā)展，全球各行各業(yè)都開始采用計算機(jī)及相應(yīng)的信息技術(shù)對其日常業(yè)務(wù)進(jìn)行管理,其結(jié)果是企業(yè)生成、收集、存儲和處理數(shù)據(jù)的能力大大提高,數(shù)據(jù)量與日俱增。但數(shù)據(jù)增多不一定就是信息量增大，有時恰恰相反用戶獲取所需信息難度加大成了“數(shù)據(jù)墳?zāi)埂?，如在金融、保險等行業(yè)就存在這樣的問題。面對海量數(shù)據(jù),傳統(tǒng)數(shù)據(jù)庫技術(shù)很難快速而有效地進(jìn)行數(shù)據(jù)處理,而數(shù)據(jù)倉庫技46術(shù)則可以很好地適用于數(shù)據(jù)分析，數(shù)據(jù)挖掘（DATA Mining,簡稱DM）技術(shù)正是在這種情形下產(chǎn)生的。數(shù)據(jù)挖掘，又稱數(shù)據(jù)庫中的知識發(fā)現(xiàn)（Knowledge Discovery in Database ,簡稱KDD）是指從大型數(shù)據(jù)庫或數(shù)據(jù)倉庫中提取隱含的、未知的、非平凡的及有潛在應(yīng)用價值的信息或模式 [30]，這些信息通常是以概念、約束或規(guī)律形式來表現(xiàn)。這種定義把數(shù)據(jù)挖掘的對象定義為數(shù)據(jù)庫,而更廣義的說法是:數(shù)據(jù)挖掘是在一些事實(shí)或觀察數(shù)據(jù)的集合中尋找模式的決策支持過程,數(shù)據(jù)挖掘的對象不僅是數(shù)據(jù)庫,也可以是文件系統(tǒng),或其他任何組織在一起的數(shù)據(jù)集合 [31]。數(shù)據(jù)挖掘技術(shù)目前常用的方法有：決策樹方法、神經(jīng)網(wǎng)絡(luò)方法、覆蓋正例排斥反例方法、粗集(RoughSet)方法、概念樹方法、遺傳算法、公式發(fā)現(xiàn)、統(tǒng)計分析方法、模糊集方法、可視化技術(shù)[32，33，34，35] 。針對以上不同方法，全球大公司也推出了相應(yīng)數(shù)據(jù)挖掘軟件如SAS/Enterprise、 Miner SPSS/Clementine、ORACLE/Draw in、IBM/Intelligent MINER等，用戶可根據(jù)自己的特定需求選擇相應(yīng)軟件。在我們所開發(fā)的高校實(shí)驗(yàn)室信息管理系統(tǒng)的設(shè)備管理這個模塊中使用數(shù)據(jù)挖掘技術(shù)來統(tǒng)計分析設(shè)備運(yùn)行規(guī)律。數(shù)據(jù)挖掘的工作流程主要有以下幾個步驟 [36]：1. 獲得預(yù)先知識 對應(yīng)用領(lǐng)域進(jìn)行充分的理解和分析，如在企業(yè)應(yīng)用中要對企業(yè)的工作流程和數(shù)據(jù)流進(jìn)行分析，獲得對數(shù)據(jù)挖掘有幫助的專業(yè)知識加入到數(shù)據(jù)挖掘工具的知識庫中，并由此確定數(shù)據(jù)挖掘的最終目標(biāo)；2. 選擇數(shù)據(jù) 在大型數(shù)據(jù)庫和數(shù)據(jù)倉庫選取數(shù)據(jù)挖掘的目標(biāo)數(shù)據(jù)集，即數(shù)據(jù)挖掘的樣本集和需分析的變量集，在關(guān)系數(shù)據(jù)庫即選擇行和列的過程；3.