129如何保证一个电子商务站点的安全性

TNQ400-08今天你将学到的内容？今天你将学到的内容？u可伸缩性、可用性及可靠性可伸缩性、可用性及可靠性u如何配置站点的负载平衡及优化如何配置站点的负载平衡及优化u如何使用安全管理来保证你的站点的安如何使用安全管理来保证你的站点的安全性全性u如何分析你的站点的流量如何分析你的站点的流量议程议程uWindows DNA概述概述u可伸缩性与可用性可伸缩性与可用性u如何优化一个电子商务站点如何优化一个电子商务站点u如何保证一个电子商务站点的安全性如何保证一个电子商务站点的安全性u如何分析电子商务站点的流量如何分析电子商务站点的流量Windows DNAWindows的开发模型的开发模型3层层 ASP 商业应用商业应用3层层ASP商业应用的实现商业应用的实现可伸缩性与高可靠性可伸缩性与高可靠性可伸缩性可伸缩性u应用随用户需求的增加而增加的能力应用随用户需求的增加而增加的能力高可用性高可用性u应用在丢失单一组件时继续运行的能力应用在丢失单一组件时继续运行的能力可伸缩性与可用性可伸缩性与可用性u可用性可用性u硬件硬件u操作系统与服务操作系统与服务u数据和文件数据和文件u可伸缩性可伸缩性u垂直方向可伸缩性垂直方向可伸缩性u水平方向可伸缩性水平方向可伸缩性u结构的可伸缩性结构的可伸缩性最佳实践最佳实践u从一开始就考虑可伸缩性和高可靠性从一开始就考虑可伸缩性和高可靠性u对开发人员隐藏物理环境对开发人员隐藏物理环境使应用成为可移植的使应用成为可移植的 这会非常有助于可伸缩性、高用性以及安全性这会非常有助于可伸缩性、高用性以及安全性u让系统管理员而不是开发人员掌握安全性让系统管理员而不是开发人员掌握安全性u利用平台服务的优势利用平台服务的优势很好的起点很好的起点应用全景（应用全景（Full-Blown Application）水平伸缩策略水平伸缩策略高可用性策略高可用性策略Microsoft 网络负载平衡机制网络负载平衡机制u无单点失败（无单点失败（No single point of failure）u无性能瓶颈无性能瓶颈u无需额外的硬件无需额外的硬件u能够随应用要求的增加能够随应用要求的增加而增加而增加u一个一个Farm内可以有多达内可以有多达32个个Windows服务器服务器定义期望的使用场景定义期望的使用场景u设定不同类型的用户设定不同类型的用户以及他们的使用模式以及他们的使用模式u建立用于设置用户期望行为模式的脚本建立用于设置用户期望行为模式的脚本u在在beta测试阶段设置影子用户测试阶段设置影子用户（Shadow users）u在在beta测试阶段分析日志测试阶段分析日志进行交叉检验进行交叉检验强化你的站点强化你的站点u用用Web应用强化工具应用强化工具 (WAS)从先前的主从先前的主页开始编写脚本页开始编写脚本u查找短点及其行为查找短点及其行为u规划伸缩性路径规划伸缩性路径u规划规划 3-6月的时间月的时间u测试你的小组中测试你的小组中一个一个 “被指派的任务被指派的任务”的性能的性能第一个演示第一个演示u如何使用如何使用Web应用强度测试工具，来测试应用强度测试工具，来测试你的站点的可伸缩性、可用性及可靠性你的站点的可伸缩性、可用性及可靠性任务性能测试任务性能测试u至少每星期检查一次使用情况报告至少每星期检查一次使用情况报告u对所发生的任何重大变化都要运行并调整对所发生的任何重大变化都要运行并调整脚本脚本u测试已规划的伸缩性路径测试已规划的伸缩性路径u强调强调 调整调整 测量测量 监视监视第二个演示第二个演示u使用注册表和系统设置对你的站点进行使用注册表和系统设置对你的站点进行优化优化最佳实践最佳实践内容内容u保持保持HTML的输出尽可能地小（的输出尽可能地小（2KB）u保持图像尽可能小（平均保持图像尽可能小（平均20KB）u可能的话，应重复使用图像可能的话，应重复使用图像利用用户高速缓冲区的优势利用用户高速缓冲区的优势u保持较短的文件名和路径，从而减少字节保持较短的文件名和路径，从而减少字节数数u分析你的分析你的HTML输出情况，输出情况， 在在28K波特速波特速率下的字节数（率下的字节数（ every byte counts at 28K baud ）！）！其它方面的优化其它方面的优化 以及推荐使用的办法以及推荐使用的办法u停止不必要的服务停止不必要的服务u去掉不必要的去掉不必要的Web站点和站点和IIS服务服务u去掉不必要的扩展映射去掉不必要的扩展映射u保证保证IIS已经被设置成自动启动已经被设置成自动启动u去掉屏幕保护（使用空屏）去掉屏幕保护（使用空屏）u增加处理器增加处理器u升级到升级到SQL Server 7.0我们学到的内容？我们学到的内容？创建安全的环境创建安全的环境u物理安全性物理安全性不满意的非雇员不满意的非雇员安全的站点体系结构安全的站点体系结构需要安全性的领域需要安全性的领域uWindows NT 认证认证/活动目录设计模型活动目录设计模型服务器角色，用户服务器角色，用户/组组文件系统文件系统/注册表注册表安全管理员安全管理员u安全管理很复杂安全管理很复杂Windows NT具有丰富的安全机制具有丰富的安全机制安全性涉及系统的诸多方面安全性涉及系统的诸多方面需要更好的配置和分析工具需要更好的配置和分析工具概要概要u各种工具和技术各种工具和技术后门与后门与Back Orifice工具工具u后门是一个程序，它允许网络攻击者绕过后门是一个程序，它允许网络攻击者绕过安全性控制来访问系统安全性控制来访问系统uBack Orifice工具是由工具是由Dead Cow (cDc)公司的公司的Cult于于1998年引入的年引入的拒绝服务拒绝服务u今天，已经出现了无数次拒绝服务的黑客今天，已经出现了无数次拒绝服务的黑客攻击攻击u有所指向的广播攻击有所指向的广播攻击跨站点的脚本安全性暴光跨站点的脚本安全性暴光u每一家公司每一家公司 不仅是微软公司不仅是微软公司u产生产生HTML的的Web页面页面 只有只有当当uWeb页面在动态页面中嵌入了浏览器输入页面在动态页面中嵌入了浏览器输入 则则u可以操纵服务器，让它包含允许脚本程序可以操纵服务器，让它包含允许脚本程序被执行那样的内容。被执行那样的内容。跨站点的脚本安全性暴露跨站点的脚本安全性暴露uWeb程序员要分析每一个程序员要分析每一个Web页面，查找页面，查找潜在的漏洞潜在的漏洞u修复每一个页面修复每一个页面 手工修复手工修复没有自动工具可以完成这个任务没有自动工具可以完成这个任务因为每一个页面都是唯一的因为每一个页面都是唯一的u更多的内容可以访问网站：更多的内容可以访问网站： 要保持警惕！要保持警惕！u彻底评估你的环境彻底评估你的环境u采用采用 Windows 2000 平台平台u黑客的攻击越来越复杂，而且也越来越容黑客的攻击越来越复杂，而且也越来越容易使用，越来越容易得到易使用，越来越容易得到u黑客使用工具发动攻击，你也应该使用工黑客使用工具发动攻击，你也应该使用工具进行发现和防范具进行发现和防范第三个演示第三个演示如何使用如何使用安全配置和分析工具安全配置和分析工具来保障你的站点的安全来保障你的站点的安全分析你的站点的流量分析你的站点的流量u客户来自哪里？客户来自哪里？u什么类型的广告作品？什么类型的广告作品？u他们喜欢什么样的内容？他们喜欢什么样的内容？u最受欢迎的网页有哪些？最受欢迎的网页有哪些？u平均会话时间有多长？平均会话时间有多长？决策支持决策支持u通过分析客户点击鼠标的动作流，可以知道：通过分析客户点击鼠标的动作流，可以知道：第四个演示第四个演示如何分析你的站点的流量如何分析你的站点的流量UA 的限制的限制u数据导入时间过长数据导入时间过长4GB 数据用了数据用了12个小时个小时UA+是什么？是什么？u是对是对SSUA的增强的增强UA+ 的数据流的数据流商业商业Internet分析（分析（BIA） UA+u商业商业Internet分析（分析（BIA）用法分析（用法分析（Usage Analysis+）决策支持决策支持u功能强大的鼠标点击流分析工具功能强大的鼠标点击流分析工具用户行为，广告效果，销售情况分析用户行为，广告效果，销售情况分析要点要点u摘要报告和详细报告摘要报告和详细报告关于击中、请求、访问、用户以及地理信息的关于击中、请求、访问、用户以及地理信息的报告报告访问次数最多和最少的页面访问次数最多和最少的页面前前N个被引用的域个被引用的域第五个演示第五个演示u数据导入以后进行聚合分析数据导入以后进行聚合分析u处理处理OLAP的维和立方体的维和立方体u用用Excel PivotTable创建报告创建报告计算计算u为产生一个可伸缩的、可以的和可靠的站为产生一个可伸缩的、可以的和可靠的站点，需要做哪些工作？点，需要做哪些工作？更多的信息更多的信息u请参看请参看TechNet 站点：站点： 正式课程正式课程MOC站点：站点： 鸣谢鸣谢u作者：作者：Jim Osborneu制作人制作人/编辑：编辑：Ken Kubotau参与者：参与者：Todd WankeMichael KroppRebekka KumarKen Mallit