王志勃 蔣永華

摘 要：為提高化工企業(yè)銷售管理的水平和效率，整合企業(yè)內(nèi)部銷售、物流、財務(wù)等多個部門協(xié)同工作，設(shè)計開發(fā)了基于B/S架構(gòu)的化工企業(yè)銷售管理系統(tǒng)。系統(tǒng)中包括計劃生成、銷售管理、物流配貨、財務(wù)結(jié)算等多個功能模塊。系統(tǒng)中包含了大量與經(jīng)營相關(guān)的客戶、財務(wù)數(shù)據(jù)，這些數(shù)據(jù)對企業(yè)經(jīng)營發(fā)展至關(guān)重要，如何能夠確保這些數(shù)據(jù)在開放的互聯(lián)網(wǎng)應(yīng)用中安全是系統(tǒng)開發(fā)過程中一項重要工作，文章將結(jié)合系統(tǒng)開發(fā)設(shè)計過程，介紹如何保證信息完整與安全。

關(guān)鍵詞：B/S架構(gòu)；銷售管理；系統(tǒng)安全

中圖分類號：TP311.52 文獻標識碼：A 文章編號：1006-8937（2013）18-0005-02

隨著社會發(fā)展，企業(yè)管理信息化、科技化要求越來越高，而銷售管理科學(xué)化對于任何企業(yè)都是非常必要的，它協(xié)助企業(yè)迅速地掌握市場信息，實現(xiàn)銷售業(yè)務(wù)數(shù)據(jù)的集中、處理、反饋，并對顧客需求做出最快速的反應(yīng)。而化工企業(yè)生產(chǎn)特點與離散生產(chǎn)行業(yè)（加工制造型行業(yè)）有顯著區(qū)別，它的特殊性要求在銷售管理中也有其差異性，用新的管理方法和手段給企業(yè)在市場經(jīng)濟大潮搏擊中注入了新的活力，對化工企業(yè)銷售管理研究有重要的借鑒作用。本銷售管理系統(tǒng)基于B/S架構(gòu)模型設(shè)計銷售管理系統(tǒng)，通過信息化、網(wǎng)絡(luò)化手段，打破瓶頸、改進工作方式，主動服務(wù)，提高工作效率，為企業(yè)領(lǐng)導(dǎo)決策層提供更多必要信息，輔助領(lǐng)導(dǎo)決策，提高企業(yè)核心競爭力。

在系統(tǒng)設(shè)計與實現(xiàn)過程中通過采用工作流的設(shè)計思想解決了多部門協(xié)同工作信息流轉(zhuǎn)問題，實現(xiàn)了在銷售、財務(wù)、物流配送等多個職能部門間進行有效的數(shù)據(jù)交換。但在B/S模式下整個系統(tǒng)將暴露在互聯(lián)網(wǎng)環(huán)境下，如何確保系統(tǒng)的數(shù)據(jù)完整安全是一項重要設(shè)計環(huán)節(jié)。在本文中將通過角色權(quán)限管理、連接器和系統(tǒng)工作日志等全方位多角度的保護系統(tǒng)不被外界非法攻擊，確保數(shù)據(jù)安全可靠。

1 系統(tǒng)框架設(shè)計與功能簡介

系統(tǒng)總體架構(gòu)采用了典型的MVC三層模型進行開發(fā)，系統(tǒng)中的頁面為視圖層（View），中間接受Http請求的是系統(tǒng)的控制層（Control），在后臺實現(xiàn)具體業(yè)務(wù)邏輯的是模型層（Model），具體框架設(shè)計如圖1所示。

系統(tǒng)設(shè)計中具有功能獨立，能被調(diào)用的信息單元叫做模塊。模塊功能分配的目的就是為了將具有相同功能的模塊合并，從中提取公用模塊，形成公用部件，按照構(gòu)件或中間件的方式加以實現(xiàn)，作為本系統(tǒng)的公用資源，甚至作為公司級組織的公用資源，從而充實公司級的構(gòu)件庫或中間件庫，優(yōu)化系統(tǒng)設(shè)計，加快開發(fā)速度，提高開發(fā)質(zhì)量。在基于B/S框架的化工企業(yè)銷售管理系統(tǒng)中共設(shè)計了如圖2所示七個模塊。銷售數(shù)據(jù)通過工作流的方式在不同部門間流轉(zhuǎn)、審批處理，最終生成財務(wù)報表匯總供給管理層進行數(shù)據(jù)分析決策。

2 系統(tǒng)數(shù)據(jù)安全設(shè)計

2.1 使用RBAC管理系統(tǒng)用戶

基于角色的訪問控制（RBAC， Role-Based Access Control）是實現(xiàn)系統(tǒng)安全的有效手段，具體做法是根據(jù)系統(tǒng)應(yīng)用的需要將提取出用戶的分類即角色，通過對角色授權(quán)實現(xiàn)對使用者的分類管理與控制。其中角色代表了一類用戶的操作特性，而用戶是具有某種角色的一個特例，通過角色實現(xiàn)對系統(tǒng)用戶的管理。在本文論述的系統(tǒng)設(shè)計中，通過設(shè)計角色表、用戶表、角色模塊權(quán)限表，實現(xiàn)對整個系統(tǒng)的訪問控制管理。系統(tǒng)將每個功能設(shè)定唯一的ID，每一種角色能夠操作的功能ID集合是不同的，當訪問者使用具有某種角色的用戶名進行系統(tǒng)登錄后，角色判定算法將讀取該用戶對應(yīng)角色能夠操作的ID集合，并與請求的操作ID匹配，若該用戶有權(quán)限訪問這個功能，控制中心將放行，否則將阻斷本次操作。基于RBAC控制算法如圖3所示。

2.2 系統(tǒng)日志

系統(tǒng)日志能夠幫助軟件記錄使用者操作軟件的全部過程，在出現(xiàn)誤操作或數(shù)據(jù)丟失情況下可以盡快找到出錯原因，使損失降低到最小。在本系統(tǒng)中采用了Log4J與Spring開源框架中的AOP技術(shù)，實現(xiàn)了對系統(tǒng)操作日志的設(shè)計功能，具體配置實現(xiàn)系統(tǒng)日志功能的步驟如下。

①配置切面與切入點。

②定義方面代碼。

③在項目中引入Log4J，配置其屬性文件。

④編寫產(chǎn)生日志的類代碼。

2.3 系統(tǒng)攔截器

系統(tǒng)攔截器的作用是對所有通過Http協(xié)議訪問服務(wù)器的請求進行過濾校驗，只有是合法用戶才能夠進一步的訪問系統(tǒng)資源，若想繞過認證直接訪問系統(tǒng)資源將會被攔截器攔截。系統(tǒng)攔截器可以通過使用Filter類實現(xiàn)，通過在系統(tǒng)配置文件加載定義的連接器。在系統(tǒng)中可以同時存在多個攔截器，分別完成不同功能，如完成系統(tǒng)權(quán)限過濾、完成漢字內(nèi)碼轉(zhuǎn)換等多種任務(wù)。多個攔截器形成先后有序的攔截器鏈條，從第一個定義的開始依次執(zhí)行到最后一個。系統(tǒng)中的攔截器配置如下所示代碼。

3 結(jié) 語

在基于Internet環(huán)境下的B/S模式應(yīng)用系統(tǒng)中，數(shù)據(jù)安全至關(guān)重要。本文在介紹基于B/S模式的化工企業(yè)銷售管理系統(tǒng)基本功能的基礎(chǔ)上，重點對如何實現(xiàn)系統(tǒng)數(shù)據(jù)安全進行了論述。系統(tǒng)中主要采取了基于角色權(quán)限控制的用戶管理、系統(tǒng)操作日志以及系統(tǒng)攔截器三種手段進行設(shè)計，保證既能屏蔽非法用戶，又能區(qū)分不同角色實現(xiàn)不同操作。同時，利用了攔截器和日志手段，立體化全方位的實現(xiàn)了系統(tǒng)數(shù)據(jù)安全需求，保證軟件安全高效運行。

參考文獻：

[1] 王曉利，韋鵬.基于B/S結(jié)構(gòu)的服裝銷售管理系統(tǒng)的設(shè)計與實現(xiàn)[J].信息技術(shù)，2007，（10）.