高鴻電商-系統(tǒng)架構(gòu)規(guī)劃

1、高鴻電子商務(wù)平臺系統(tǒng)架構(gòu)規(guī)劃易觀商業(yè)解決方案公司2011年01月22日目錄目錄21.高鴻電子商務(wù)平臺概述41.1.項目背景41.2.設(shè)計目標(biāo)41.3.設(shè)計原則41.4.設(shè)計依據(jù)42.高鴻電子商務(wù)平臺體系架構(gòu)42.1.系統(tǒng)架構(gòu)42.2.主要的技術(shù)特點42.3.系統(tǒng)設(shè)計原則51.1.1先進(jìn)性原則61.1.2實用性、操作性原則61.1.3投資保護(hù)原則71.1.4安全性、可靠性原則73.安全和可靠性方案83.1.數(shù)據(jù)級安全83.1.1.數(shù)據(jù)庫設(shè)計原則.內(nèi)存設(shè)計原則.數(shù)據(jù)備份設(shè)計原則83.1.2.數(shù)據(jù)安全93.2.應(yīng)用級安全103.2.1.傳輸層安全機制103.2.2.業(yè)

2、務(wù)安全103.2.3.日志安全103.2.4.口令安全123.2.5.防病毒措施123.3.網(wǎng)絡(luò)級安全123.3.1.防火墻機制123.3.2.入侵檢測機制133.4.功能可擴(kuò)展性133.4.1.可伸展的系統(tǒng)功能結(jié)構(gòu)133.4.2.可繼承的分組權(quán)限管理143.5.容量可擴(kuò)展性163.5.1.WEB服務(wù)器集群技術(shù)173.5.2.數(shù)據(jù)庫集群技術(shù)173.6.系統(tǒng)可靠性保障183.6.1.性能快速響應(yīng)183.6.2.設(shè)備可靠性203.6.3.容災(zāi)及備份203.7.系統(tǒng)維護(hù)和升級214.處理能力核算方案214.1.系統(tǒng)主要性能指標(biāo)214.2.業(yè)務(wù)量模型224.3.處理能力核算224.3.1.消息代理服務(wù)

3、器MPServer224.3.2.核心業(yè)務(wù)服務(wù)器CSServer224.3.3.網(wǎng)站服務(wù)器WWWServer224.3.4.數(shù)據(jù)庫服務(wù)器DBServer224.4.存儲容量估算224.5.帶寬計算225.設(shè)備配置及組網(wǎng)方案225.1.組網(wǎng)方案225.2.組網(wǎng)說明225.3.組網(wǎng)設(shè)備配置235.4.方案配置總結(jié)231. 高鴻電子商務(wù)平臺概述1.1. 項目背景1.2. 設(shè)計目標(biāo)n1.3. 設(shè)計原則 1.4. 設(shè)計依據(jù)1.2. 高鴻電子商務(wù)平臺體系架構(gòu)2.1. 系統(tǒng)架構(gòu)2.2. 主要的技術(shù)特點n 開放性與先進(jìn)性基于開放式標(biāo)準(zhǔn)。采用先進(jìn)成熟的J2EE技術(shù)和被廣泛應(yīng)用的標(biāo)準(zhǔn)，確保系統(tǒng)的技術(shù)先進(jìn)性，保證投

4、資的有效性和延續(xù)性。n 靈活性與可擴(kuò)展性結(jié)合業(yè)務(wù)處理模式，在硬件和應(yīng)用軟件兩個方面，采用基于功能模塊化集群的技術(shù)，系統(tǒng)可平滑線性升級，理論上升級的集群規(guī)模不受限制，不考慮網(wǎng)絡(luò)帶寬限制的情況下，總處理能力可以進(jìn)一步擴(kuò)充。方便擴(kuò)展設(shè)備容量和提升設(shè)備性能；具備支持業(yè)務(wù)處理的靈活的、參數(shù)化配置，業(yè)務(wù)功能的重組與更新的靈活性，新的應(yīng)用業(yè)務(wù)可靈活加載，并不影響原有業(yè)務(wù)流程。n 安全性與可靠性提供良好的安全策略，與外部系統(tǒng)的連接設(shè)置防火墻，入侵檢測設(shè)備等來實現(xiàn)網(wǎng)絡(luò)級的安全保障，按照用戶對象的不同接口進(jìn)行認(rèn)證，驗證及授權(quán)等來實現(xiàn)業(yè)務(wù)級的安全保障，提供可動態(tài)配置的權(quán)限分配、安全保護(hù)與過濾機制等來實現(xiàn)用戶級的安全

5、保障，支持多種安全技術(shù)手段，制定嚴(yán)格的安全可靠性管理措施。在硬件及網(wǎng)絡(luò)方面采用集群技術(shù)、雙機系統(tǒng)、冗余備份、硬盤RAID1或RAID5等措施，確保系統(tǒng)無單點故障。同時提供按照業(yè)務(wù)類型、優(yōu)先級等因素動態(tài)調(diào)整消息調(diào)度策略。實現(xiàn)對用戶、終端以及系統(tǒng)平臺之間等不同接口的優(yōu)先級的動態(tài)配置?？煽刂泼總€接口與系統(tǒng)平臺之間的最大流量，防止惡意應(yīng)用程序可以利用該屬性對平臺進(jìn)行攻擊。另外當(dāng)系統(tǒng)達(dá)到一定的流量閥值時可自我保護(hù)機制，從而保證系統(tǒng)的高可靠性與高可用性。n 準(zhǔn)確性與實時性保證系統(tǒng)數(shù)據(jù)處理的準(zhǔn)確性，提供多種核查手段，如采用高效的數(shù)據(jù)緩存技術(shù)和緩存設(shè)計，大大節(jié)省了數(shù)據(jù)訪問時間，關(guān)鍵的用戶數(shù)據(jù)、常用的業(yè)務(wù)數(shù)據(jù)以

6、及控制消息都使用了緩存技術(shù)，并根據(jù)相關(guān)算法及時刷新。對實時性要求高的處理提供特殊有效的處理方法。n 易用性與可管理性平臺本身具有良好的操作界面、詳細(xì)的幫助信息，系統(tǒng)參數(shù)的維護(hù)與管理通過操作界面完成。平臺應(yīng)具有良好的管理手段，可管理安全、網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用等。提供完善的用戶管理，角色管理。豐富的日常維護(hù)測試功能，完成對業(yè)務(wù)的測試與記錄、業(yè)務(wù)升級情況的記錄，業(yè)務(wù)內(nèi)容信息的記錄、業(yè)務(wù)內(nèi)容的管理等功能。滿足系統(tǒng)管理員對日志的管理，對性能的統(tǒng)計。此外還能根據(jù)需要提供不同的統(tǒng)計分析報表2.3. 系統(tǒng)設(shè)計原則電子商務(wù)系統(tǒng)工程建設(shè)是一個長期而復(fù)雜的過程，為保證整個工程建設(shè)目標(biāo)的實現(xiàn)，系統(tǒng)的方

7、案設(shè)計將堅持如下基本原則：1.1.1 先進(jìn)性原則由于IT技術(shù)發(fā)展的速度驚人。因此，在電子商務(wù)項目進(jìn)行系統(tǒng)總體規(guī)劃時，我們選擇業(yè)界到目前為止先進(jìn)和成熟的技術(shù)作為整個系統(tǒng)的技術(shù)架構(gòu)，以保證系統(tǒng)有不斷發(fā)展和擴(kuò)充的余地。系統(tǒng)總體設(shè)計的先進(jìn)性原則主要體現(xiàn)在以下幾方面：l 系統(tǒng)結(jié)構(gòu)選擇當(dāng)前先進(jìn)的J2EE多層B/S架構(gòu)進(jìn)行系統(tǒng)開發(fā)；l 軟件的設(shè)計中利用先進(jìn)的面向?qū)ο蠹夹g(shù)、設(shè)計模式和組件技術(shù)來提高軟件的通用性和復(fù)用性；1.1.2 實用性、操作性原則衡量一個系統(tǒng)的好壞決不是看它投入了多少、如何的先進(jìn)，而是看它是否真正滿足業(yè)務(wù)需求，是否真正實用。因此，在進(jìn)行系統(tǒng)的建設(shè)時，始終不忘實用性原則，努力保證投資花在實處，

8、保證建設(shè)出來的系統(tǒng)切切實實是所需要的，而不是一個富麗堂皇的空架子，光有一個外表而沒有實際的內(nèi)容。實用性是每個信息系統(tǒng)在建設(shè)過程中所必須考慮的，從實際應(yīng)用的角度來看，這個性能更加重要。為了提高系統(tǒng)的實用性，本系統(tǒng)考慮如下幾個方面：A、設(shè)計上充分考慮當(dāng)前各業(yè)務(wù)層次、各環(huán)節(jié)管理中數(shù)據(jù)處理的便利和可行，把滿足用戶業(yè)務(wù)管理作為第一要素進(jìn)行考慮；B、采取總體設(shè)計、分步實施的技術(shù)方案，在總體設(shè)計的前提下，系統(tǒng)實施時先進(jìn)行業(yè)務(wù)處理層及低層管理，穩(wěn)步向中高層管理及全面自動化過渡。這樣做可以使系統(tǒng)始終與業(yè)務(wù)實際需求緊密連在一起，不但增加了系統(tǒng)的實用性，而且可使系統(tǒng)建設(shè)保持很好的連貫性；C、.全部人機操作設(shè)計均充分

9、考慮不同使用者的實際需要；D、用戶接口及界面設(shè)計充分考慮人體結(jié)構(gòu)特征及視覺特征進(jìn)行優(yōu)化設(shè)計，界面盡可能美觀大方，操作簡便實用。 統(tǒng)一及一致性原則在統(tǒng)一的用戶界面風(fēng)格前提下，實現(xiàn)各GUI中各類按鈕、圖標(biāo)、文字（字體、大?。徭I（快捷鍵）的統(tǒng)一和一致，達(dá)到便于使用、便于學(xué)習(xí)、交互友好的目的。 人機工程及標(biāo)準(zhǔn)化原則在保證界面風(fēng)格統(tǒng)一、一致的基礎(chǔ)上，按照人機工程原理，遵循IBM 和 Microsoft的界面設(shè)計標(biāo)準(zhǔn)，將界面的布局（包括按鈕、菜單、顯示框等）設(shè)計成符合操作者習(xí)慣的形式，并在界面顏色的搭配上滿足操作者長時間工作要求，提供一個人性化的人機操作環(huán)境，以保證用戶使用的舒適性。 業(yè)務(wù)引導(dǎo)及易用性

10、原則充分考慮業(yè)務(wù)的管理需求，在界面的菜單及功能的組合設(shè)計中，將界面的操作順序按業(yè)務(wù)歸類，以便操作的有效引導(dǎo)，保證軟件的易用性。同時，在各功能名稱的用詞、信息提示文字等方面，使用政府審批業(yè)務(wù)的規(guī)范化、習(xí)慣化用詞，以保證軟件使用者的習(xí)慣性，符合現(xiàn)有政府審批管理模式，有利于操作者在較快的時間熟練用好軟件。 友好及方便性原則鼠標(biāo)、鍵盤的靈活輸入方式；熱鍵的使用，以保證各種業(yè)務(wù)數(shù)據(jù)信息的錄入界面，更新維護(hù)界面和記錄增刪界面及部門內(nèi)部信息查詢界面和信息統(tǒng)計報表界面等使用的方便性、友好性，確保各種業(yè)務(wù)信息數(shù)據(jù)都能通過用戶界面方便地、快速錄入。1.1.3 投資保護(hù)原則系統(tǒng)建設(shè)充分考慮目前已實施的業(yè)務(wù)系統(tǒng)的實際

11、情況，充分利用原系統(tǒng)資源，在實現(xiàn)新系統(tǒng)建設(shè)同時保護(hù)原有系統(tǒng)的投資。任何一個系統(tǒng)的建設(shè)，如果不能合理和有效地利用以前的投資，這樣的系統(tǒng)應(yīng)該算不了成功或絕對的成功。因此，在進(jìn)行該系統(tǒng)建設(shè)時，充分考慮如何利用以前的信息系統(tǒng)、網(wǎng)絡(luò)和其他設(shè)備，并對以前實施的應(yīng)用系統(tǒng)進(jìn)行整合，一方面保證原有的設(shè)備可以重新利用，另一方面保證以前的應(yīng)用重獲新生。在真正意義上做到既完成了新系統(tǒng)的建設(shè)又保護(hù)了原有設(shè)備和系統(tǒng)的投資。1.1.4 安全性、可靠性原則考慮到電子商務(wù)系統(tǒng)工程建設(shè)項目安全性、可靠性的需求，在系統(tǒng)設(shè)計中，應(yīng)充分注意系統(tǒng)的安全性和可靠性，采用多種安全防范技術(shù)和措施，保障系統(tǒng)的信息安全，保障系統(tǒng)長期穩(wěn)定可靠運行，

12、同時在系統(tǒng)設(shè)計要充分考慮系統(tǒng)運行性能，達(dá)到“簡便、實用、快捷、安全、準(zhǔn)確”的目的。3. 安全和可靠性方案3.1. 數(shù)據(jù)級安全3.1.1. 數(shù)據(jù)庫設(shè)計原則. 內(nèi)存設(shè)計原則1) 內(nèi)存設(shè)計根據(jù)數(shù)據(jù)庫的內(nèi)存管理特點，提出和確定數(shù)據(jù)庫共享內(nèi)存段設(shè)計定位在一個合適的范圍內(nèi)：物理內(nèi)存的50%70%，當(dāng)共享內(nèi)存段過大的時候會導(dǎo)致內(nèi)存分頁，影響系統(tǒng)性能。2) 交換區(qū)設(shè)計在設(shè)計數(shù)據(jù)交互區(qū)時，根據(jù)系統(tǒng)特點和運行情況，確定當(dāng)物理內(nèi)存在2G以下的情況下，交換分區(qū)swap為物理內(nèi)存的3倍，當(dāng)物理內(nèi)存2G的情況下，swap大小為物理內(nèi)存的12倍。. 數(shù)據(jù)備份設(shè)計原則平臺提供了多種數(shù)據(jù)備份的可選方

13、式：l 采用數(shù)據(jù)庫的導(dǎo)入導(dǎo)出工具數(shù)據(jù)庫的導(dǎo)入導(dǎo)出工具提供了數(shù)據(jù)快速的備份和恢復(fù)手段，提供了數(shù)據(jù)庫級、用戶級和表級的數(shù)據(jù)備份恢復(fù)方式。這種方法一般作為數(shù)據(jù)庫輔助備份手段。 l 采用數(shù)據(jù)庫聯(lián)機備份工具作為724環(huán)境下的聯(lián)機熱備份系統(tǒng)在數(shù)據(jù)庫建設(shè)是，單獨建立備份恢復(fù)用的數(shù)據(jù)庫實例，與生產(chǎn)環(huán)境的數(shù)據(jù)庫分開，確保管理信息與生產(chǎn)數(shù)據(jù)庫的網(wǎng)絡(luò)連接良好。在系統(tǒng)使用良好的備份策略，支持完全使用控制文件保存管理信息。增量備份：只備份上次備份以后有變化的數(shù)據(jù)；差分備份：只備份上次完全備份以后有變化的數(shù)據(jù)；按需備份：根據(jù)臨時需要有選擇地進(jìn)行數(shù)據(jù)備份。3.1.2. 數(shù)據(jù)安全采用標(biāo)準(zhǔn)關(guān)系型數(shù)據(jù)庫DBMS作為后臺數(shù)據(jù)庫，數(shù)

14、據(jù)庫支持C2或以上級安全標(biāo)準(zhǔn)、多級安全控制。支持?jǐn)?shù)據(jù)庫存儲加密、數(shù)據(jù)傳輸通道加密。采用Triple DES (3DES, 2Key 和 3Key)加密方法，采用56位鑰匙鍵的標(biāo)準(zhǔn)DES，一旦被加密，密碼文本將以密碼的方式在網(wǎng)絡(luò)中傳遞，在這種方式中，如果沒有正確的鑰匙鍵就幾乎不可能把密碼文本轉(zhuǎn)換回相應(yīng)的純文本。 另外通過對數(shù)據(jù)庫建立相應(yīng)的安全性策略來進(jìn)一步控制安全：系統(tǒng)安全性策略（）管理數(shù)據(jù)庫用戶 數(shù)據(jù)庫用戶是訪問數(shù)據(jù)庫信息的途徑，因此，應(yīng)該很好地維護(hù)管理數(shù)據(jù)庫用戶的安全性，只有那些值得信任的個人才應(yīng)該有管理數(shù)據(jù)庫用戶的權(quán)限。（）用戶身份確認(rèn)數(shù)據(jù)庫用戶可以通過操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)或數(shù)據(jù)庫進(jìn)行身份確

15、認(rèn)。通過主機操作系統(tǒng)進(jìn)行用戶身份認(rèn)證的優(yōu)點有：用戶能更快、更方便地聯(lián)入數(shù)據(jù)庫；通過操作系統(tǒng)對用戶身份確認(rèn)進(jìn)行集中控制，如果操作系統(tǒng)與數(shù)據(jù)庫用戶信息一致，那么數(shù)據(jù)庫無需存儲和管理用戶名以及密碼；用戶進(jìn)入數(shù)據(jù)庫和操作系統(tǒng)的審計信息一致。（）操作系統(tǒng)安全性首先，數(shù)據(jù)庫管理員必須有Create和Delete文件的操作系統(tǒng)權(quán)限；其次，一般數(shù)據(jù)庫用戶不應(yīng)該有Create和Delete與數(shù)據(jù)庫相關(guān)文件的操作系統(tǒng)權(quán)限；如果操作系統(tǒng)能為數(shù)據(jù)庫用戶分配角色，那么安全性管理者必須有修改操作系統(tǒng)賬戶安全性區(qū)域的操作系統(tǒng)權(quán)限。數(shù)據(jù)的安全性策略對數(shù)據(jù)安全性的考慮應(yīng)該基于數(shù)據(jù)的重要程度。如果數(shù)據(jù)不是很重要，那么數(shù)據(jù)安全性策

16、略可以稍稍放松一些。然而，如果數(shù)據(jù)很重要，那么精心設(shè)計一套安全性策略，以有效控制對數(shù)據(jù)對象的訪問。用戶安全性策略（）一般用戶的安全性如果用戶通過數(shù)據(jù)庫對用戶身份確認(rèn)，那么，使用密碼加密方式與數(shù)據(jù)庫連接。（）終端用戶的安全性安全性管理者按照用戶組分類，為這些用戶組創(chuàng)建用戶角色，把所需的權(quán)限和應(yīng)用程序角色授予每一個用戶角色，以及為用戶分配相應(yīng)的用戶角色。當(dāng)處理特殊的應(yīng)用要求時，安全性管理者也必須明確地把一些特定的權(quán)限要求授予用戶。數(shù)據(jù)庫管理者安全性策略（）保護(hù)作為管理員用戶的連接當(dāng)數(shù)據(jù)庫創(chuàng)建好以后，立即更改有管理權(quán)限的管理員用戶的密碼，防止非法用戶訪問數(shù)據(jù)庫。當(dāng)作為管理員用戶連入數(shù)據(jù)庫后，用戶有強

17、大的權(quán)限用各種方式對數(shù)據(jù)庫進(jìn)行改動。3.2. 應(yīng)用級安全3.2.1. 傳輸層安全機制用戶通過平臺的Web Portal自助服務(wù)時，為了確保用戶交易數(shù)據(jù)的傳輸安全，Portal Server的采用HTTPS協(xié)議進(jìn)行通訊。為了防止攻擊，用戶登錄終端管理平臺Web Portal時，需要輸入動態(tài)生成的圖形隨機數(shù)。3.2.2. 業(yè)務(wù)安全對于客戶端和服務(wù)器來說，一般都是客戶端主動向服務(wù)器發(fā)送認(rèn)證信息。采用MD5認(rèn)證方式。MD5是一種計算摘要的方式，其計算參數(shù)為Group ID，User ID，Password和Nonce。MD5的算法參見RFC1321。MD5計算的值被放在內(nèi)部登錄消息的頭部。3.2.3.

18、 日志安全系統(tǒng)具有完善的日志功能，能夠記錄系統(tǒng)異常情況及其他安全事件。審計日志保留規(guī)定的時長（在線3月，離線3月），以便支持日后的事件調(diào)查和訪問控制監(jiān)控，記錄的日志類型包括： 應(yīng)用系統(tǒng)日志：應(yīng)用系統(tǒng)具有完善的日志功能，能夠記錄系統(tǒng)異常情況及其他安全事件。應(yīng)用系統(tǒng)日志包括以下內(nèi)容：n 用戶創(chuàng)建、刪除等操作。n 用戶登錄、退出的日期和具體時間及IP地址等信息。n 成功的和被拒絕的系統(tǒng)訪問活動的記錄。n 成功的和被拒絕的數(shù)據(jù)與其他資源的訪問記錄。n 成功的和被拒絕的管理操作記錄。n 用戶操作記錄。 數(shù)據(jù)庫日志n 記錄創(chuàng)建、修改和刪除數(shù)據(jù)庫用戶的操作。n 記錄創(chuàng)建、修改和刪除任何數(shù)據(jù)庫存儲結(jié)構(gòu)的操作。

19、n 記錄創(chuàng)建、修改和刪除任何數(shù)據(jù)庫對象的操作。n 記錄創(chuàng)建、修改和刪除表的操作。n 記錄創(chuàng)建、修改和刪除索引的操作。n 記錄賦予、撤銷某個賬戶數(shù)據(jù)庫權(quán)限的操作。n 記錄賦予和撤銷某個角色或賬戶對于某個對象權(quán)限的行為。n 記錄目錄和數(shù)據(jù)庫配置的變更。n 記錄數(shù)據(jù)應(yīng)該包括失敗的連接。 操作系統(tǒng)日志n 開啟操作系統(tǒng)日志功能對系統(tǒng)日志進(jìn)行記錄。n 系統(tǒng)日志應(yīng)至少記錄以下內(nèi)容：對系統(tǒng)登陸進(jìn)行記錄，記錄登陸主機的IP地址、用戶名、時間等。n 記錄系統(tǒng)成功以及失敗的登陸事件。n 記錄系統(tǒng)事件。3.2.4. 口令安全系統(tǒng)具備訪問權(quán)限的識別和控制功能。對應(yīng)用管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員根據(jù)不同的應(yīng)用需求提供

20、多級密碼。例如，口令應(yīng)由不少于6位的大小寫字母、數(shù)字以及標(biāo)點符號等字符組成；口令應(yīng)在90天內(nèi)至少更換一次。3.2.5. 防病毒措施系統(tǒng)在必要并經(jīng)測試驗證穩(wěn)定運行的基礎(chǔ)上安裝廠商發(fā)布的最新版本安全補丁，并盡可能安裝病毒代碼庫和系統(tǒng)漏洞庫。3.3. 網(wǎng)絡(luò)級安全3.3.1. 防火墻機制通過雙層異構(gòu)防火墻上劃分三個安全級別區(qū)域：接入?yún)^(qū)，與互聯(lián)網(wǎng)相連，是安全級別最低的區(qū)域；DMZ區(qū)，也就是?；饏^(qū)，放置網(wǎng)站服務(wù)器，為中等安全級別區(qū)域；核心區(qū)，放置核心處理服務(wù)器和數(shù)據(jù)庫服務(wù)器等主機，為安全級別最高的區(qū)域。一層防火墻建議選用CISCO的PIX515E防火墻，用于隔離接入?yún)^(qū)的CMNET公網(wǎng)與DMZ區(qū)，保證公網(wǎng)訪

21、問門戶服務(wù)器等的安全。二層防火墻建議選用Netscreen-50防火墻，用于隔離DMZ區(qū)與核心區(qū)的系統(tǒng)核心平臺，保證平臺應(yīng)用服務(wù)與系統(tǒng)核心平臺交互安全。防火墻是設(shè)置在不同安全級別安全域之間的一道屏障，可以通過設(shè)置安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞活動。從內(nèi)部到外部或從外部到內(nèi)部的所有通信都必須通過防火墻，只有符合防火墻配置的安全策略的通信才允許通過，可以有效的控制低安全級別區(qū)域?qū)Ω甙踩墑e區(qū)域的訪問。因此增加防火墻，并在防火墻上設(shè)置如上的安全策略，一方面可以保證業(yè)務(wù)數(shù)據(jù)的正常聯(lián)通，實現(xiàn)業(yè)務(wù)功能；另一方面，可以有效的控制信息安全，防止業(yè)務(wù)系統(tǒng)主機直接暴露在公網(wǎng)之下。3.3.2.

22、入侵檢測機制利用入侵檢測系統(tǒng)可以了解網(wǎng)絡(luò)的運行狀況和發(fā)生的安全事件，并根據(jù)安全事件來調(diào)整安全策略和防護(hù)手段，同時改進(jìn)實時響應(yīng)和事后恢復(fù)的有效性，為定期的安全評估和分析提供依據(jù)，從而提高網(wǎng)絡(luò)安全的整體水平。3.4. 功能可擴(kuò)展性系統(tǒng)功能的可擴(kuò)展性主要建立在一個系統(tǒng)的核心抽象層架構(gòu)設(shè)計上，嚴(yán)格遵循軟件設(shè)計模式中的開閉原則、接口隔離原則、設(shè)計模式等，針對功能的增加與擴(kuò)展可以快速的進(jìn)行。本系統(tǒng)功能的可擴(kuò)展性主要表現(xiàn)在系統(tǒng)的可成長和權(quán)限的繼承方面。3.4.1. 可伸展的系統(tǒng)功能結(jié)構(gòu)系統(tǒng)資源樹是指對網(wǎng)站系統(tǒng)功能模塊用樹形結(jié)構(gòu)表示的方式。下面首先介紹系統(tǒng)資源樹的構(gòu)架。 如下圖：系統(tǒng)資源樹將網(wǎng)站后臺管理功能系

23、統(tǒng)地組合起來，資源樹上的每一個分支是一個欄目，每一個欄目也就是一個管理模塊。系統(tǒng)資源不是固定不變的，隨著業(yè)務(wù)的要求，它還可以不斷的動態(tài)“長大”，而不會給核心架構(gòu)帶來影響而不可修改。管理員可以根據(jù)不同的需求，對分支點進(jìn)行再分支，可以分為更多不同的小模塊，方便管理。3.4.2. 可繼承的分組權(quán)限管理權(quán)限管理是為了方便管理員管理的一個模塊。它可以對網(wǎng)站系統(tǒng)的用戶和用戶組進(jìn)行不同的權(quán)限設(shè)置，使用戶和用戶組在網(wǎng)站的管理系統(tǒng)中有不同的權(quán)限，管理不同的模塊。權(quán)根的管理使網(wǎng)站的系統(tǒng)管理變得更加簡單系統(tǒng)化，提高工作的效率。權(quán)限管理，它可以對指定的欄目設(shè)置不同的權(quán)限，在欄目之間有繼承的功能。下面我們將從管理用戶和

24、用戶組、權(quán)限的設(shè)定、權(quán)限的繼承和權(quán)限管理幾方面來分析。l 首先，管理用戶和用戶組。用戶是指在系統(tǒng)中注冊單個用戶。用戶組是指具有共同操作權(quán)限的一群用戶的集合，在系統(tǒng)中，用戶組可以被定義為對某個特定功能的操作角色。例如，負(fù)責(zé)所有與訂單處理有關(guān)工作的操作角色可以設(shè)定為訂單管理專員組。一個用戶加入一個組之后，就自動擁有了這個組的所有權(quán)限。一個用戶除了擁有組的權(quán)限之外，還可以被賦予自己獨有的權(quán)限。l 其次，權(quán)限的設(shè)置。權(quán)限的設(shè)置是指對系統(tǒng)資源樹各個支點所具有的管理權(quán)限設(shè)置。也就是設(shè)定特定用戶進(jìn)入該欄目后，對欄目提供的功能的操作權(quán)限。典型的權(quán)限操作界面如下：l 權(quán)限的繼承用戶在某欄目下所擁有的權(quán)限除了通過

25、自行在本欄目的設(shè)置外，還會通過一套繼承規(guī)則從父欄目和該用戶所屬的所有組中獲得。如上圖中，有一個“該欄目用戶繼承父欄目的權(quán)限”的選擇框，如果選擇是，則表示當(dāng)前欄目的所有用戶都繼承自己在當(dāng)前欄目的父欄目中所擁有的權(quán)限。如果要看某用戶是否擁有某一權(quán)限，首先看其權(quán)限設(shè)置欄目里是否有、其組的權(quán)限設(shè)置是否有，如果都沒有，則這套規(guī)則就會找該欄目的父欄目，看看該用戶和其所屬組在父欄目下該權(quán)限有無設(shè)置，如果有則用戶在本地欄目得到該權(quán)限設(shè)置，如沒有則在按同樣規(guī)則找他父欄目的父欄目，如沒有，再往上找，直到最頂，還沒有，那該用戶在本地欄目下該權(quán)限就為沒設(shè)置。以上這一環(huán)節(jié)得到的權(quán)限我們稱為繼承權(quán)限，在設(shè)置權(quán)限頁面上顯示

26、為不可修改，即選擇按鈕為灰色DISABLE狀態(tài)。l 最后，權(quán)限管理用戶組與每個欄目都可以獨立指定權(quán)限的功能使的權(quán)限配置具有極高的靈活性。根據(jù)各個崗位所負(fù)責(zé)的工作范圍的不同，我們可以分別制定不同的權(quán)限，從而通過把一些權(quán)限分配給一個組，那么就可以在系統(tǒng)中建立各種操作的角色。例如訂單管理專員，其主要的工作職能是：客戶訂單的全程處理、主動銷售的實施和其他銷售形式的管理，訂單管理專員擁有查看所有訂單、更改訂單狀態(tài)、刪除或修改訂單信息、發(fā)布主動銷售信息的權(quán)利。3.5. 容量可擴(kuò)展性本系統(tǒng)未來發(fā)展中，必然存在這瀏覽量不斷上升的情況。為了能夠滿足未來大用戶量訪問的需求，我們今天的系統(tǒng)選型必須考慮未來系統(tǒng)如何擴(kuò)

27、容的問題。所以，系統(tǒng)演進(jìn)展望中，首先提到的就是系統(tǒng)集群的問題。所謂系統(tǒng)集群，就是通過增加服務(wù)器數(shù)量的方式，來提高系統(tǒng)的用戶容量。當(dāng)服務(wù)端特別是WEB服務(wù)端工作量迅速增大；為了順應(yīng)這種應(yīng)用需求，對WEB服務(wù)器的性能要求越來越高，而單機服務(wù)器的性能增長總是有限度的。網(wǎng)絡(luò)帶寬的增長速度大于CPU的增長速度，而內(nèi)存處理以及I/O處理的增長速度還遠(yuǎn)跟不上CPU的增長速度，越來越多的瓶頸會出現(xiàn)在服務(wù)器端，集群技術(shù)恰恰能夠極大地緩解這些問題。在我們網(wǎng)站電子商務(wù)平臺系統(tǒng)發(fā)展中，為了提高整個系統(tǒng)的可用性，除了提高計算機各個部件的可靠性以外，已經(jīng)啟動采用集群技術(shù)來解決支持更大的訪問量，并且可以隨著訪問量的增加可以

28、通過增加服務(wù)器的方式很容易的增加處理能力，而不增加用戶的訪問時延；通過集群技術(shù)提高系統(tǒng)穩(wěn)定性，提供幾乎永不停機的服務(wù)質(zhì)量。即使某一臺服務(wù)器軟件或者硬件崩潰系統(tǒng)仍然能對客戶提供服務(wù)。所謂集群，就是共同為客戶機提供網(wǎng)絡(luò)資源的一組計算機系統(tǒng)。而其中的每一臺提供服務(wù)的計算機，我們稱之為節(jié)點。當(dāng)一個節(jié)點不可用或者不能處理客戶的請求時，該請求將會轉(zhuǎn)到另外的可用節(jié)點來處理，而這些對于客戶端來說，它根本不必關(guān)心這些要使用的資源的具體位置，集群系統(tǒng)會自動完成。集群中節(jié)點可以以不同的方式來運行，它們是如何設(shè)置是關(guān)鍵所在。在一個理想的兩個節(jié)點的集群中，兩個服務(wù)器都同時處于活動狀態(tài)，也就是在兩個節(jié)點上同時運行應(yīng)用程序

29、，當(dāng)一個節(jié)點出現(xiàn)故障時，運行在出故障的節(jié)點上的應(yīng)用程序就會轉(zhuǎn)移到另外的沒有出現(xiàn)故障的服務(wù)器上，這樣一來，由于兩個節(jié)點的工作現(xiàn)在由一個服務(wù)器來承擔(dān)，自然會影響服務(wù)器的性能。我們網(wǎng)站電子商務(wù)平臺系統(tǒng)主要從以下兩方面進(jìn)行未來的研究發(fā)展：3.5.1. WEB服務(wù)器集群技術(shù)現(xiàn)在主流的WEB服務(wù)器主要包括BEA WEBLOGIC、IBM WEBSPHERE、JBOSS、RESIN、TOMCAT等。其中，JBOSS、RESIN、TOMCAT應(yīng)用廣泛，并且是免費Web應(yīng)用服務(wù)器。網(wǎng)站系統(tǒng)基于不同的WEB服務(wù)器分別采用以下幾種集群技術(shù)：1. 主/主 (Active/active) 這是最常用的集群模型，它提供了

30、高可用性，并且在只有一個節(jié)點在線時提供可以接受的性能，該模型允許最大程度的利用硬件資源。每個節(jié)點都通過網(wǎng)絡(luò)對客戶機提供資源，每個節(jié)點的容量被定義好，使得性能達(dá)到最優(yōu)，并且每個節(jié)點都可以在故障轉(zhuǎn)移時臨時接管另一個節(jié)點的工作。所有的服務(wù)在故障轉(zhuǎn)移后仍保持可用，但是性能通常都會下降。2. 主/從(Active/passive) 為了提供最大的可用性，以及對性能最小的影響，Active/passive模型需要一個在正常工作時處于備用狀態(tài)，主節(jié)點處理客戶機的請求，而備用節(jié)點處于空閑狀態(tài)，當(dāng)主節(jié)點出現(xiàn)故障時，備用節(jié)點會接管主節(jié)點的工作，繼續(xù)為客戶機提供服務(wù)，并且不會有任何性能上影響。3. 混合型(Hybr

31、id) 混合是上面兩種模型的結(jié)合，只針對關(guān)鍵應(yīng)用進(jìn)行故障轉(zhuǎn)移，這樣可以對這些應(yīng)用實現(xiàn)可用性的同時讓非關(guān)鍵的應(yīng)用在正常運作時也可以在服務(wù)器上運行。當(dāng)出現(xiàn)故障時，出現(xiàn)故障的服務(wù)器上的不太關(guān)鍵的應(yīng)用就不可用了，但是那些關(guān)鍵應(yīng)用會轉(zhuǎn)移到另一個可用的節(jié)點上，從而達(dá)到性能和容錯兩方面的平衡。3.5.2. 數(shù)據(jù)庫集群技術(shù)數(shù)據(jù)庫集群（SQL通常使用術(shù)語稱為目錄集群），一個數(shù)據(jù)庫集群是一系列數(shù)據(jù)庫的集合，這些數(shù)據(jù)庫可以通過單個數(shù)據(jù)庫服務(wù)器的實例訪問。用文件系統(tǒng)的術(shù)語來說，一個數(shù)據(jù)庫集群將是一個目錄，所有數(shù)據(jù)都將存放在這個目錄中。我們把它稱做數(shù)據(jù)目錄或數(shù)據(jù)區(qū)。主要是使用數(shù)據(jù)庫本身的集群技術(shù)結(jié)合我們的網(wǎng)站系統(tǒng)軟件架

32、構(gòu)進(jìn)行配置與應(yīng)用。例如數(shù)據(jù)庫使用Oracle，數(shù)據(jù)庫集群可以采用Oracle RAC?；赗AC的電子商務(wù)應(yīng)用的用戶或者中間層應(yīng)用服務(wù)器客戶，可以通過虛擬數(shù)據(jù)庫服務(wù)名連接到數(shù)據(jù)庫上。Oracle在集群中多個節(jié)點之間自動平衡用戶負(fù)載。不同節(jié)點上的Real Application Clusters數(shù)據(jù)庫實例預(yù)訂所有數(shù)據(jù)庫服務(wù)或者部分子集數(shù)據(jù)庫服務(wù)。這使得DBA高度靈活地選定，連接到特定數(shù)據(jù)庫服務(wù)的特定應(yīng)用程序客戶是否可以連接到某些或者全部的數(shù)據(jù)庫節(jié)點。RAC在工作期間，每個節(jié)點可以單獨的被使用并且被應(yīng)用程序負(fù)載均衡。如果發(fā)生意外，如一個節(jié)點的失敗，可以實現(xiàn)節(jié)點的失敗切換，保證數(shù)據(jù)庫24*7的高可用

33、性。3.6. 系統(tǒng)可靠性保障通過三方面的實來保障系統(tǒng)的可靠性運行。首先在程序的開發(fā)設(shè)計階段：電子商務(wù)平臺采用了多種實現(xiàn)算法保證系統(tǒng)的模塊性與可靠性要求。在開發(fā)過程中，盡可能不讓差錯和缺陷潛入軟件，包括： 算法模型化，把可以保證正確實現(xiàn)需求規(guī)格的算法模型化。 模擬模型化，為了保證在確定的資源條件下的預(yù)測性能的發(fā)揮，使軟件運行時間、內(nèi)存使用量及控制執(zhí)行模型化。 可靠性模型，使用可靠性模型，從差錯發(fā)生頻度出發(fā)，預(yù)測可靠性。 軟件危險分析與故障樹分析，從設(shè)計或編碼的結(jié)構(gòu)出發(fā)，追蹤軟件開發(fā)過程中潛入系統(tǒng)缺陷的原因。 分布接口需求規(guī)格說明，在設(shè)計的各階段使用形式的接口需求規(guī)格說明，以便驗證需求的分布接口實

34、現(xiàn)可能性與完備性。 其次，在系統(tǒng)軟件方面，提供按照業(yè)務(wù)類型、優(yōu)先級等因素動態(tài)調(diào)整消息調(diào)度策略。實現(xiàn)對用戶、終端以及系統(tǒng)平臺之間等不同接口的優(yōu)先級的動態(tài)配置?？煽刂泼總€接口與系統(tǒng)平臺之間的最大流量，防止惡意應(yīng)用程序可以利用該屬性對平臺進(jìn)行攻擊。另外當(dāng)系統(tǒng)達(dá)到一定的流量閥值時可自我保護(hù)機制，從而保證系統(tǒng)的高可靠性與高可用性。系統(tǒng)也采用冗余的容錯技術(shù)，系統(tǒng)容錯技術(shù)的基本思想是使軟件內(nèi)潛在的差錯對可靠性的影響縮小控制到最低程度，系統(tǒng)軟件的容錯可分為錯誤分析、破壞程度斷定、錯誤恢復(fù)、錯誤處理四個階段，具體技術(shù)包括恢復(fù)塊技術(shù)、多備份技術(shù)等。最后，在硬件及網(wǎng)絡(luò)方面采用集群技術(shù)、雙機系統(tǒng)、冗余備份、硬盤RAI

35、D0+1或RAID5等措施，確保系統(tǒng)無單點故障。3.6.1. 性能快速響應(yīng)在系統(tǒng)軟件架構(gòu)分析與設(shè)計上采用先進(jìn)的Cache緩存機制算法，保證了高用戶量并發(fā)訪問給系統(tǒng)服務(wù)器帶來的業(yè)務(wù)邏輯計算、核心組件計算等對各項共享資源的高性能開銷要求降到最低；系統(tǒng)效率，主要涉及到高速緩存的問題。網(wǎng)絡(luò)用戶訪問前端頁面的時候，首先會將請求提交到服務(wù)器，服務(wù)器接收請求，并處理請求，這期間包括各種業(yè)務(wù)邏輯組件執(zhí)行計算、連接數(shù)據(jù)庫或其他存儲系統(tǒng)中實時的檢索并獲取數(shù)據(jù)信息、繪制頁面相關(guān)組件等一系列的操作處理，處理完畢將響應(yīng)結(jié)果發(fā)送網(wǎng)絡(luò)用戶的客戶端并呈現(xiàn)頁面結(jié)果。在這個往返的過程中，快速響應(yīng)是成就銷售交易的重要保證。而我們知

36、道，頁面的繪制、業(yè)務(wù)邏輯計算、訪問數(shù)據(jù)庫或者其他存儲系統(tǒng)建立數(shù)據(jù)庫連接、讀寫相關(guān)硬盤配置文件信息、套接字等都需要通過的有限的系統(tǒng)資源進(jìn)行，而Web 服務(wù)器以及數(shù)據(jù)庫服務(wù)器通常需要處理大量的同時并發(fā)請求，從而因為共享資源的爭奪造成線程等待而延遲頁面請求，直到資源變?yōu)榭捎?。網(wǎng)站系統(tǒng)平臺借鑒了業(yè)界眾多的解決方案，開創(chuàng)提供了一種非常尖端先進(jìn)的緩存數(shù)據(jù)技術(shù)即Cache技術(shù)。緩存的技術(shù)實現(xiàn)主要分為兩種：l 重量級業(yè)務(wù)組件對象實例緩存技術(shù)；l 頁面對象實例緩存技術(shù)我們可以通過圖例來分析一下緩存技術(shù)的應(yīng)用：圖一（請求中的頁面對象實例不在緩存中）圖二（請求中的頁面對象存在于緩存對象中）從上邊兩幅圖可以很清晰的看

37、到，對于并發(fā)訪問的頁面請求，通過頁面的緩存可以極大的減少對緊缺資源（數(shù)據(jù)庫連接）的調(diào)用，減少訪問響應(yīng)的時間，從而提高系統(tǒng)的訪問速度和整體性能。3.6.2. 設(shè)備可靠性系統(tǒng)所有硬件具備業(yè)務(wù)處理功能的主機均為雙機配置。系統(tǒng)軟件采用主備用方式提供可靠服務(wù)。系統(tǒng)中的兩臺主機均運行系統(tǒng)應(yīng)用進(jìn)程，但只有一臺主機上的系統(tǒng)對業(yè)務(wù)進(jìn)行處理；另外一臺備用主機處于備用狀態(tài)，同時監(jiān)視運行主機的狀態(tài)。一旦發(fā)現(xiàn)運行主機發(fā)生硬件或者軟件故障，位于備用主機上的系統(tǒng)應(yīng)用進(jìn)程會立即接管系統(tǒng)服務(wù)，保證系統(tǒng)運行的無間斷性。3.6.3. 容災(zāi)及備份隨著業(yè)務(wù)的不斷發(fā)展，數(shù)據(jù)量不斷增長，對數(shù)據(jù)的安全性與穩(wěn)定性的不斷增加，我們將采用多個級別

38、的數(shù)據(jù)備份和容災(zāi)方案，確保數(shù)據(jù)的安全和業(yè)務(wù)的不間斷。根據(jù)容災(zāi)系統(tǒng)對災(zāi)難的抵抗程度，可分為應(yīng)用容災(zāi)和數(shù)據(jù)容災(zāi)。數(shù)據(jù)的存放會因為各種特別情況例如黑客入侵破壞、服務(wù)器硬件限制或故障、不可抵抗的自然災(zāi)害而遭到災(zāi)難性的破壞，本系統(tǒng)根據(jù)應(yīng)用服務(wù)器和數(shù)據(jù)庫橫向擴(kuò)展的集群技術(shù)手段為基礎(chǔ)，對系統(tǒng)軟件程序內(nèi)部管理與系統(tǒng)業(yè)務(wù)重要數(shù)據(jù)庫進(jìn)行本地以及異地分布式集群技術(shù)實現(xiàn)，從而實現(xiàn)本地或異地的容災(zāi)和數(shù)據(jù)備份。例如，可以在整個系統(tǒng)中采用在每個數(shù)據(jù)中心中的關(guān)鍵性業(yè)務(wù)均采用群集系統(tǒng)進(jìn)行雙機熱備進(jìn)行系統(tǒng)應(yīng)用的保護(hù)。數(shù)據(jù)備份與容災(zāi)將分三步，逐步完善：第一階段實現(xiàn)磁帶備份；第二階段將在第一階段的基礎(chǔ)上增加本地集群，實現(xiàn)本地備份容災(zāi)

39、；第三步將在第二階段的基礎(chǔ)上實現(xiàn)異地集群從而實現(xiàn)異地的容災(zāi)和數(shù)據(jù)備份。3.7. 系統(tǒng)維護(hù)和升級軟件系統(tǒng)支持連續(xù)724小時不間斷工作。當(dāng)應(yīng)用軟件中的任一模塊更新、加載時，可在在不更新與上下模塊的接口的前提下，不影響業(yè)務(wù)運轉(zhuǎn)和服務(wù)；當(dāng)模塊新版本更新、加載時出現(xiàn)問題，可以在1至3分鐘內(nèi)恢復(fù)到原有版本。系統(tǒng)擁有容錯能力：n 允許操作人員有限范圍的誤操作，系統(tǒng)軟件用戶操作界面會顯示相應(yīng)的提示和指導(dǎo)文字，引導(dǎo)用戶操作。n 系統(tǒng)在設(shè)計上考慮了防護(hù)性能，軟件模塊化結(jié)構(gòu)使得軟件錯誤限制在本模塊內(nèi)，而不應(yīng)造成其他軟件模塊的錯誤。軟件系統(tǒng)還為系統(tǒng)管理員提供多種發(fā)現(xiàn)系統(tǒng)故障和非法登錄的手段：n 系統(tǒng)提供error.log文件，分成系統(tǒng)級和應(yīng)用軟件級，提供全面系統(tǒng)和軟件的錯誤信息的記錄。n 如發(fā)現(xiàn)五次試登陸失敗，系統(tǒng)會記錄該用戶的IP地址。系統(tǒng)管理用戶可定期查看非法登陸用戶列表，以便采取相應(yīng)措施。4. 處理能力核算方案4.1. 系統(tǒng)主要性能指標(biāo)系統(tǒng)可平滑線性升級（系統(tǒng)采用模塊化設(shè)