如何保證一個電子商務(wù)站點的安全性

1、TNQ400-08,利用Windows DNA設(shè)計、配置和管理一個可伸縮的電子商務(wù)站點 Microsoft 公司,今天你將學(xué)到的內(nèi)容？,可伸縮性、可用性及可靠性 如何配置站點的負(fù)載平衡及優(yōu)化 如何使用安全管理來保證你的站點的安全性 如何分析你的站點的流量,議程,Windows DNA概述 可伸縮性與可用性 如何優(yōu)化一個電子商務(wù)站點 如何保證一個電子商務(wù)站點的安全性 如何分析電子商務(wù)站點的流量,Windows DNAWindows的開發(fā)模型,ExternalApplications,Legacy Systems,Databases,Thin Client,Rich Client,ASP 和 HT

2、ML 頁面,COM 對象,數(shù)據(jù)庫,用戶層,數(shù)據(jù)層,商業(yè)層,HTTP,3層 ASP 商業(yè)應(yīng)用,VBScript,JavaScript,Java,C/C+,Visual Basic,IIS服務(wù)器,活動服務(wù)器頁面,COM 組件,SQL Server,HTTP,3層ASP商業(yè)應(yīng)用的實現(xiàn),可伸縮性與高可靠性,可伸縮性 應(yīng)用隨用戶需求的增加而增加的能力 高可用性 應(yīng)用在丟失單一組件時繼續(xù)運行的能力,可伸縮性與可用性,可用性 硬件 操作系統(tǒng)與服務(wù) 數(shù)據(jù)和文件,可伸縮性 垂直方向可伸縮性 水平方向可伸縮性 結(jié)構(gòu)的可伸縮性,最佳實踐,從一開始就考慮可伸縮性和高可靠性 對開發(fā)人員隱藏物理環(huán)境 使應(yīng)用成為可移植的

3、這會非常有助于可伸縮性、高用性以及安全性 讓系統(tǒng)管理員而不是開發(fā)人員掌握安全性 利用平臺服務(wù)的優(yōu)勢,很好的起點,Web,Web,SQL/成員關(guān)系,LDAP, 鑒別, 活動用戶對象, 內(nèi)容配置, 商業(yè)服務(wù),成員關(guān)系,應(yīng)用全景（Full-Blown Application）,Web Farm,SQL - Basket,SQL - Products,成員關(guān)系,成員關(guān)系,集群,集群,主機(jī),主機(jī)集成對象,LDAP,MTS,LDAP, 鑒別, 活動用戶對象,內(nèi)容配置 商業(yè)服務(wù),其它商業(yè)對象,水平伸縮策略,*Windows 2000中的組件,高可用性策略,* Windows 2000中的組件,群集服務(wù)器 多

4、個 OLAP 服務(wù)器,Membership,群集服務(wù)器（硬件，操作系統(tǒng)/服務(wù)） NLB 熱備份（數(shù)據(jù)）,SQL,Web Farm 位于 IIS 服務(wù)器上 多個 MTS 服務(wù)器 利用COM+* 實現(xiàn)負(fù)載平衡,MTS,Web Farm,IIS,策略,組件,NLB Host,NLB Host,NLB Virtual IP Address,NLB Host,Internet/ Intranet,Microsoft 網(wǎng)絡(luò)負(fù)載平衡機(jī)制,無單點失敗（No single point of failure） 無性能瓶頸 無需額外的硬件,能夠隨應(yīng)用要求的增加而增加 一個Farm內(nèi)可以有多達(dá)32個Windows服務(wù)

5、器,透明地處理有計劃的和無計劃的停機(jī),定義期望的使用場景,設(shè)定不同類型的用戶以及他們的使用模式 建立用于設(shè)置用戶期望行為模式的腳本 在beta測試階段設(shè)置影子用戶 （Shadow users） 在beta測試階段分析日志進(jìn)行交叉檢驗,強(qiáng)化你的站點,用Web應(yīng)用強(qiáng)化工具 (WAS)從先前的主頁開始編寫腳本 查找短點及其行為 規(guī)劃伸縮性路徑 規(guī)劃 3-6月的時間 測試你的小組中一個 “被指派的任務(wù)”的性能,第一個演示,如何使用Web應(yīng)用強(qiáng)度測試工具，來測試你的站點的可伸縮性、可用性及可靠性,任務(wù)性能測試,至少每星期檢查一次使用情況報告 對所發(fā)生的任何重大變化都要運行并調(diào)整腳本 測試已規(guī)劃的伸縮性路

6、徑 強(qiáng)調(diào) 調(diào)整 測量 監(jiān)視 提示 風(fēng)險 = 嚴(yán)重性 * 頻率,第二個演示,使用注冊表和系統(tǒng)設(shè)置對你的站點進(jìn)行優(yōu)化,最佳實踐內(nèi)容,保持HTML的輸出盡可能地小（2KB） 保持圖像盡可能?。ㄆ骄?0KB） 可能的話，應(yīng)重復(fù)使用圖像 利用用戶高速緩沖區(qū)的優(yōu)勢 保持較短的文件名和路徑，從而減少字節(jié)數(shù) 分析你的HTML輸出情況， 在28K波特速率下的字節(jié)數(shù)（ every byte counts at 28K baud ）！,其它方面的優(yōu)化 以及推薦使用的辦法,停止不必要的服務(wù) 去掉不必要的Web站點和IIS服務(wù) 去掉不必要的擴(kuò)展映射 保證IIS已經(jīng)被設(shè)置成自動啟動 去掉屏幕保護(hù)（使用空屏） 增加處理器

7、升級到SQL Server 7.0 考慮將數(shù)據(jù)庫的查找和校驗操作放在不同的服務(wù)器上,我們學(xué)到的內(nèi)容？,創(chuàng)建安全的環(huán)境,物理安全性 不滿意的非雇員 安全的網(wǎng)絡(luò) 防火墻/代理服務(wù)器 安全系統(tǒng) 系統(tǒng)瑣定/策略 安全策略 連續(xù)的過程,安全的站點體系結(jié)構(gòu),試驗服務(wù)器,ERP 系統(tǒng),開發(fā) 服務(wù)器,集成服務(wù)器,Web 客戶端,虛擬 服務(wù)器,SQL 集群,Web Farm,WLBS,IIS / MTS,IIS / MTS,IIS / MTS,防火墻,防火墻,De-Militarized Zone (DMZ),100 MB 交換機(jī),100 MB 交換機(jī),100 MB 交換機(jī),需要安全性的領(lǐng)域,Windows N

8、T 認(rèn)證/活動目錄設(shè)計模型 服務(wù)器角色，用戶/組 文件系統(tǒng)/注冊表 成員關(guān)系- AUO, Forms, Cookies, Certificates COM/DCOM- DCOMCFG MTS 作用 CIP/CIPM- BizTalk 服務(wù)器 證書服務(wù)器 IIS服務(wù)器/FrontPage 用戶 ACLs, Vroot ACLs, Code ACLs, SSL 網(wǎng)絡(luò)協(xié)議 IP 端口，加密，補(bǔ)丁 SQL Server/ODBC DSN 站點服務(wù)器 CSC文件中的連接字符串,安全管理員,安全管理很復(fù)雜 WindowsNT具有豐富的安全機(jī)制 安全性涉及系統(tǒng)的諸多方面 需要更好的配置和分析工具 安全管理員

9、是 one-stop shop 系統(tǒng)安全性配置 宏觀配置 安全性分析和報告 宏觀配置,概要,各種工具和技術(shù) 后門 拒絕服務(wù) 服務(wù)器腳本程序設(shè)計 更多的內(nèi)容,后門與Back Orifice（Back Orifice是一個黑客工具 譯注）,后門是一個程序，它允許網(wǎng)絡(luò)攻擊者繞過安全性控制來訪問系統(tǒng) Back Orifice工具是由Dead Cow (cDc)公司的Cult于1998年引入的 它引起了人們對這個黑客工具所造成的危害的極大關(guān)注 Http:/,拒絕服務(wù),今天，已經(jīng)出現(xiàn)了無數(shù)次拒絕服務(wù)的黑客攻擊 有所指向的廣播攻擊 還有人們更多稱為“ smurf 攻擊”的黑客程序,跨站點的腳本安全性暴光,每

10、一家公司 不僅是微軟公司 產(chǎn)生HTML的Web頁面 只有 當(dāng) Web頁面在動態(tài)頁面中嵌入了瀏覽器輸入 則 可以操縱服務(wù)器，讓它包含允許腳本程序被執(zhí)行那樣的內(nèi)容。,新的問題,跨站點的腳本安全性暴露,Web程序員要分析每一個Web頁面，查找潛在的漏洞 修復(fù)每一個頁面 手工修復(fù)沒有自動工具可以完成這個任務(wù) 因為每一個頁面都是唯一的 更多的內(nèi)容可以訪問網(wǎng)站： ,策略,最佳實踐,考慮安全性的各個方面 時刻都有新的黑客 要保持警惕！ 徹底評估你的環(huán)境 采用 Windows 2000 平臺 黑客的攻擊越來越復(fù)雜，而且也越來越容易使用，越來越容易得到 黑客使用工具發(fā)動攻擊，你也應(yīng)該使

11、用工具進(jìn)行發(fā)現(xiàn)和防范,第三個演示,如何使用 安全配置和分析工具 來保障你的站點的安全,分析你的站點的流量,客戶來自哪里？ 什么類型的廣告作品？ 他們喜歡什么樣的內(nèi)容？ 最受歡迎的網(wǎng)頁有哪些？ 平均會話時間有多長？,決策支持,通過分析客戶點擊鼠標(biāo)的動作流，可以知道： 頁面視圖 擊中動作和唯一的擊中動作（Hits and unique hits） 目標(biāo)頁面、目錄、子目錄、域、站點、服務(wù)以及網(wǎng)絡(luò) 引用的頁面、域、站點、服務(wù)以及網(wǎng)絡(luò) 訪問和引用過的最前面的N個頁面 客戶訪問站點所使用的瀏覽器和操作系統(tǒng) 訪問每個頁面的高峰時間 統(tǒng)計數(shù)據(jù) 按日或按月分析,第四個演示,如何分析你的站點的流量,UA 的限制,

12、數(shù)據(jù)導(dǎo)入時間過長 4GB 數(shù)據(jù)用了12個小時 報告時間過長 需要運行3小時 限制只能分析數(shù)據(jù)庫中10G的數(shù)據(jù) 報告形式的要求太嚴(yán)格 商業(yè)用戶界面不友好 查看摘要數(shù)據(jù)時需要一個報告開發(fā)人員,UA+是什么？,是對SSUA的增強(qiáng) 提供了一些減少數(shù)據(jù)導(dǎo)入時間的提示信息和腳本程序 支持OLAP，以改進(jìn)報告的質(zhì)量,UA+ 的數(shù)據(jù)流,商業(yè)Internet分析（BIA） UA+,商業(yè)Internet分析（BIA）用法分析（Usage Analysis+） 提供了一個基礎(chǔ)方法，以此來分析客戶針對Web頁面點擊鼠標(biāo)的動作流 我的客戶希望訪問我的哪一個站點？ 我應(yīng)該在哪里打廣告？ 利用SQL Server平臺的OL

13、AP服務(wù)，Office 2000， Site Server ，來實現(xiàn)高可伸縮性的解決方案 有力的證明 在MSN上所使用 20多億次的點擊動作/每天 2GB的數(shù)據(jù)量,決策支持,功能強(qiáng)大的鼠標(biāo)點擊流分析工具 用戶行為，廣告效果，銷售情況分析 簡單的報告和復(fù)雜的報告 報告種類（40多種） 報告可以定制 針對Intranet和中等規(guī)模的商業(yè)站點 與Site Server 3.0的集成 定制來自Ad服務(wù)器、搜索服務(wù)器、以及P和M的數(shù)據(jù)導(dǎo)入 對外部數(shù)據(jù)源（ERP和CRM）進(jìn)行分析,要點,摘要報告和詳細(xì)報告 關(guān)于擊中、請求、訪問、用戶以及地理信息的報告 訪問次數(shù)最多和最少的頁面 前N個被引用的域 站點服務(wù)器報告 維（Dimensions 這是OLAP中的一個概念 譯者注） 機(jī)構(gòu)、用戶、訪問、請求,第五個演示,數(shù)據(jù)導(dǎo)入以后進(jìn)行聚合分析 處理OLAP的維和立方體 用Excel PivotTable創(chuàng)建報告,計算,為產(chǎn)生一個可伸縮的、可以的和可靠的站點，需要做哪些工作？ 理解你的模型，然后是測試 測試 測試。 優(yōu)化你的系統(tǒng) 設(shè)置你的系統(tǒng)的安全性 分析你的結(jié)果 根據(jù)需要產(chǎn)生報告,更多的信息,請參