2010年內(nèi)審師CIA《分析和信息技術(shù)》:信息技術(shù)(18)

字號:

1. Web基礎(chǔ)設(shè)施
    1.1. 因特網(wǎng)概述
    因特網(wǎng)是計算機網(wǎng)絡(luò)發(fā)展的劃時代結(jié)果,利用因特網(wǎng),任何人均可以使用網(wǎng)絡(luò)瀏覽器(web browser)來瀏覽互聯(lián)網(wǎng)上的超文本文件等各種信息。因特網(wǎng)為人們提供了幾乎是無窮無盡的信息資源,但與此同時,如何在如此眾多的信息中找到的信息源也成了使用因特網(wǎng)的困難。
    因特網(wǎng)除了能提供各類信息外,還為人們的交流提供了各種手段和場所,如電子郵件(E-mail)、遠程登錄(telnet)、文件傳輸(Ftp)、萬維網(wǎng)(WWW)、專題論壇(UseNet)、電子公告牌(BBS)等。
    專題論壇(UseNet)是用戶可以張貼問題,并由其他專家用戶回答問題的專題小組
    電子公告牌(BBS)是一種計算機系統(tǒng),具有特殊興趣的小組可以在BBS上發(fā)布和閱讀信息,進行交流。
    內(nèi)聯(lián)網(wǎng)(Intranet)和外聯(lián)網(wǎng)(Extranet):內(nèi)聯(lián)網(wǎng)是企業(yè)基于因特網(wǎng)技術(shù)建立的面向其內(nèi)部職員的網(wǎng)絡(luò),企業(yè)職員可以通過內(nèi)聯(lián)網(wǎng)遠程訪問公司內(nèi)部網(wǎng)絡(luò);外聯(lián)網(wǎng)則將服務(wù)對象擴展到了企業(yè)的合作伙伴(客戶、供應(yīng)商、各類機構(gòu))。顯然,無論是內(nèi)聯(lián)網(wǎng)還是外聯(lián)網(wǎng)都需有設(shè)置適當?shù)脑L問控制措施以防止用戶濫用網(wǎng)絡(luò)資源。
    1.2. 因特網(wǎng)基礎(chǔ)
    1.2.1. 因特網(wǎng)的網(wǎng)絡(luò)架構(gòu)
    因特網(wǎng)的基礎(chǔ)是一個由主干網(wǎng)、次級網(wǎng)和園區(qū)網(wǎng)構(gòu)成的覆蓋全球的通信網(wǎng)絡(luò)。
    ¡ 主干網(wǎng):由代表國家或者行業(yè)的有限個中心結(jié)點通過專線連接形成,覆蓋到國家一級;連接各個國家的因特網(wǎng)互聯(lián)中心(如中國互聯(lián)網(wǎng)信息中心CNNIC)。主干網(wǎng)節(jié)點之間通過主干線路連接,主干線路通常由長途電話公司或政府管理。
    ¡ 次級網(wǎng)(區(qū)域網(wǎng)):若干個作為中心結(jié)點代理的次中心結(jié)點組成。次中心節(jié)點之間通過區(qū)域性線路連接,通常由區(qū)域電話或電信公司經(jīng)營,這些通信公司將其信道帶寬租給因特網(wǎng)服務(wù)提供商(ISP)經(jīng)營。次級網(wǎng)和主干網(wǎng)之間的連接點稱為網(wǎng)絡(luò)接入點(NAPs)。
    ¡ 園區(qū)網(wǎng)(校園網(wǎng)、企業(yè)網(wǎng)):直接面向用戶的網(wǎng)絡(luò)(最后一公里),常見的連接手段有入戶光纖、有線電視、DSL及電話撥號等。
    與因特網(wǎng)的基礎(chǔ)通信網(wǎng)絡(luò)不同,因特網(wǎng)(資源網(wǎng))本身是一個松散的網(wǎng)絡(luò),它既不屬于任何組織,也不被任何機構(gòu)所管理。正因為如此,有些國家嚴格控制甚至完全禁止其國民使用因特網(wǎng)。
    1.1.1. 因特網(wǎng)的工作原理
    因特網(wǎng)采用TCP/IP協(xié)議簇作為其通信協(xié)議。TCP(傳輸控制協(xié)議)和IP(網(wǎng)間傳輸協(xié)議)是其中的兩個核心協(xié)議。
    TCP/IP協(xié)議中用于確定網(wǎng)絡(luò)節(jié)點地址的是IP地址,IP V4(版本4)地址由32位二進制(4個字節(jié))組成,通常用4個十進制來表示,如:202.119.2.199。
    由于IP地址難于理解和記憶,采用了一套有助于記憶的符號化“域名地址”來表示網(wǎng)絡(luò)節(jié)點,域名也采用層次命名結(jié)構(gòu):域.子域(.子域(.子域)),體現(xiàn)了一種隸屬關(guān)系,如:seu.edu.cn中國.教育科研網(wǎng).東南大學
    域名管理系統(tǒng)(DNS)負責域名和IP地址之間的轉(zhuǎn)換。
    因特網(wǎng)上的節(jié)點可分為服務(wù)節(jié)點(服務(wù)器)和訪問節(jié)點(終端),訪問節(jié)點也稱為網(wǎng)絡(luò)終端或瀏覽器終端,服務(wù)節(jié)點則可能是運行各種操作系統(tǒng)和應(yīng)用服務(wù)的設(shè)備。
    一個服務(wù)節(jié)點可以提供多種服務(wù),通過服務(wù)端口號來區(qū)分,可以為每個服務(wù)端口號賦予一個名稱,多數(shù)的服務(wù)均有默認的端口號和名稱,如:WWW(萬維網(wǎng))的默認端口號為80。
    1.1.2. 因特網(wǎng)術(shù)語
    ¡ HTTP/HTTPS(超文本傳輸協(xié)議/安全的超文本傳輸協(xié)議):實現(xiàn)因特網(wǎng)消息格式化和傳輸?shù)臉藴蕝f(xié)議,其中HTTPS是其加密版本。
    ¡ IP地址/域名:標識因特網(wǎng)上設(shè)備的數(shù)字似符號化地址。
    ¡ 域名管理系統(tǒng)(DNS):負責域名和IP地址之間轉(zhuǎn)換的層次化服務(wù)系統(tǒng)。
    ¡ URL(統(tǒng)一資源定位符):地表示因特網(wǎng)上的任一資源,由傳輸協(xié)議、域名、服務(wù)名、目錄路徑、文件名和參數(shù)構(gòu)成。
    ¡ FTP(文件傳輸協(xié)議):TCP/IP協(xié)議簇中包含的一種應(yīng)用層協(xié)議,用于通過網(wǎng)絡(luò)傳輸各種文件。
    ¡ Telnet(遠程登錄協(xié)議):TCP/IP協(xié)議簇中包含的一種應(yīng)用層協(xié)議,用于通過網(wǎng)絡(luò)遠程登錄主機。
    ¡ IM(即時消息傳遞):一種服務(wù),可通過網(wǎng)絡(luò)實現(xiàn)文本消息的實時傳遞。
    ¡ CGI(通用網(wǎng)關(guān)腳本語言):一種標準的編程語言,服務(wù)例程可通過調(diào)用它們動態(tài)訪問服務(wù)器上的資源。其它常用的類似語言還有:perl,php,asp。
    ¡ Cookies(小甜餅):是由Internet站點創(chuàng)建的并存儲在本地計算機上的一段文本信息,例如訪問站點時的首選項和個人可識別信息等,其作用是簡化網(wǎng)頁訪問過程。
    ¡ Applets(小應(yīng)用程序):瀏覽器在訪問網(wǎng)頁時動態(tài)從服務(wù)器下載并執(zhí)行的一段小程序,通常由JAVA編寫。
    ¡ SMTP(簡單郵件傳輸協(xié)議):規(guī)定怎樣將個人計算機連接到Internet的郵件服務(wù)器和發(fā)送電子郵件的協(xié)議。
    ¡ POP3(郵局協(xié)議 版本3):規(guī)定怎樣將個人計算機連接到Internet的郵件服務(wù)器和下載電子郵件的協(xié)議。
    1.1. 電子郵件安全
    電子郵件是因特網(wǎng)上應(yīng)用最廣泛的功能之一,隨著電子郵件的廣泛使用,其安全控制也變得越來越重要。常見的控制措施包括:
    ¡ 公司應(yīng)該規(guī)定雇員不能用電子郵件發(fā)送高度敏感或機密的信息。
    ¡ 對敏感電子郵件要進行加密。
    ¡ 限制使用電子郵件軟件的種類。
    ¡ 在工作終端上的一些商務(wù)電子郵件需要保存以備公司查閱。
    ¡ 保密性電子郵件不能儲存在郵件服務(wù)器中。
    ¡ 雇員離職后,應(yīng)保留其電子郵件以備查閱。
    ¡ 在較大的公司,可以在安全程度不等的不同地點由幾人同時負責管理電子郵件的安全性。
    電子郵件系統(tǒng)的密碼可以有效防止電子郵件被其他人隨便接觸,包括防止有人企圖以用戶的名義隨意訪問用戶的個人數(shù)據(jù)。但電子郵件不可能比它賴以運行的計算機環(huán)境更安全,當計算機操作系統(tǒng)的安全得不到保障時,電子郵件的密碼很容易被繞過。
    1.2. 瀏覽器安全控制
    瀏覽器的安全缺陷是很多攻擊的根源。與其它應(yīng)用程序一樣,即使是最新版本的瀏覽器也會存在各種程序故障,需要通過補丁包進行升級。一般來說,管理員應(yīng)該關(guān)閉所有不需要的瀏覽器特性,如動態(tài)頁面和插件。雖然實現(xiàn)這些特性的編程語言(Active X或JAVA)是在一個受控的環(huán)境中運行,不能直接訪問系統(tǒng)的其它部分,但這種保護很可能被黑客攻破,因此很多企業(yè)規(guī)定只允許瀏覽靜態(tài)頁面。Cookies(小甜餅)是瀏覽器的另一個特性,它是Web站點在用戶計算機中生成的,存放用戶登錄信息等參數(shù),以便用戶再次訪問時無需重復(fù)輸入相關(guān)信息。但這也會帶來安全隱患,通常應(yīng)該禁用cookies或只允許在訪問可信站點時使用。
    彈出窗口(如廣告)有可能引入惡意代碼,因此也應(yīng)該阻斷。對于外部站點,管理員應(yīng)該將其安全控制屬性設(shè)為“高”,在該設(shè)置下,管理員需要定義“可信”站點,即允許正常訪問的站點,而其它站點則只能在受控方式下瀏覽或根本禁止訪問。
    1.1. 面向服務(wù)的體系結(jié)構(gòu)
    SOA是目前非常有發(fā)展?jié)摿Φ囊环NIT體系結(jié)構(gòu)樣式,它將應(yīng)用程序的不同功能單元(稱為服務(wù))通過這些服務(wù)之間定義良好的接口和契約聯(lián)系起來。接口是采用中立的方式進行定義的,它獨立于實現(xiàn)服務(wù)的硬件平臺、操作系統(tǒng)和編程語言。這使得構(gòu)建在這樣的系統(tǒng)中的各種服務(wù)可以以一種統(tǒng)一和通用的方式進行交互。
    這種具有中立的接口定義(沒有強制綁定到特定的實現(xiàn)上)的特征稱為服務(wù)之間的松耦合。松耦合系統(tǒng)的好處有兩點,一點是它的靈活性,另一點是,當組成整個應(yīng)用程序的每個服務(wù)的內(nèi)部結(jié)構(gòu)和實現(xiàn)逐漸地發(fā)生改變時,它能夠繼續(xù)存在。而另一方面,緊耦合意味著應(yīng)用程序的不同組件之間的接口與其功能和結(jié)構(gòu)是緊密相連的,因而當需要對部分或整個應(yīng)用程序進行某種形式的更改時,它們就顯得非常脆弱。
    對松耦合的系統(tǒng)的需要來源于業(yè)務(wù)應(yīng)用程序要根據(jù)業(yè)務(wù)的需要變得更加靈活,以適應(yīng)不斷變化的環(huán)境,比如經(jīng)常改變的政策、業(yè)務(wù)級別、業(yè)務(wù)重點、合作伙伴關(guān)系、行業(yè)地位以及其他與業(yè)務(wù)有關(guān)的因素,這些因素甚至會影響業(yè)務(wù)的性質(zhì)。這種能夠靈活地適應(yīng)環(huán)境變化的業(yè)務(wù)被稱為按需(On demand)業(yè)務(wù),在按需業(yè)務(wù)中,一旦需要,就可以對完成或執(zhí)行任務(wù)的方式進行必要的更改。
    SOA可以說是更傳統(tǒng)的面向?qū)ο蟮哪P偷奶娲P?。面向?qū)ο蟮哪P褪蔷o耦合的,而基于SOA的系統(tǒng)雖然并不排除使用面向?qū)ο蟮脑O(shè)計來構(gòu)建單個服務(wù),但是其整體設(shè)計卻是面向服務(wù)的。
    1.1. 環(huán)球網(wǎng)基礎(chǔ)設(shè)施
    WEB基礎(chǔ)設(shè)施是指構(gòu)成當今電子商務(wù)應(yīng)用中間層的基礎(chǔ)資源——運行在操作系統(tǒng)平臺上的網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器。如IBM的Websphere Application Server、Oracle的Application Server、BEA的WebLogic等。因為這些資源經(jīng)常是面向客戶的應(yīng)用,所以它是所有要求具有高性能和可用性的網(wǎng)絡(luò)應(yīng)用的公共基礎(chǔ)。不良的性能不僅會影響到終端用戶的工作效率,也會影響到提供應(yīng)用的組織的形象。網(wǎng)絡(luò)基礎(chǔ)設(shè)施必須得到有效的管理。