5.2系统安全探讨对于信息系统,特别是基于web的信息系统而言,系统及其信息的安全至关重要,可以说没有系统及其信息的安全,就没有成功的信息应用。 信息发布系统也不例外,虽然信息发布系统处理的大多是公共信息,但是也有少量保密信息,如管理员身份、审核员身份等信息。另外,由于信息发布完后,发布的人少,但浏览的人很多,所以信息的影响面很大,因此特别加强了信息的管理与控制,防止向信息系统发布假信息、垃圾信息甚至是恶意信息。因此,信息发布系统对安全的要求比较高,应该采用对windows 2000操作系统、Access数据库、Asp页面三个层面进行安全设置。 安全问题是技术方面的,一般破坏者不一定是具高超编程技术的计算机天才,大部分黑客只是比一般的网络使用者更有耐心更细心,他们利用一般用户使用不到的功能或系统管理员的马虎对系统进行入侵。据CERT统计80%的安全问题出自于管理的漏洞,也就是说绝大部分安全漏洞是系统管理员的操作失误导致的(这种失误包括授予普通用户过多的权利和没有对自己的网络拓扑结构透彻地分析),而目前大多数安全方面的文章都是讨论防火墙的运用。所以首先要做好系统基本的安全设置,再制定一套完整的安全管理体制,防火墙是必须的。 “防火墙”是一种形象的说法, 它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scuritygatewa), 从而保护内部网免受非法用户的侵入,就是一个把互联网与内部网(通常这局域网或城域网)隔开的屏障[18]。
防火墙如果从实现方式上来分,又分为硬件防火墙和软件防火墙两类,我们通常意义上讲的硬防火墙为硬件防火墙,它是通过硬件和软件的结合来达到隔离内、外部网络的目的,价格较贵,但效果较好,一般小型企业和个人很难实现;软件防火墙它是通过纯软件的方式来达到,价格很便宜,但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。现在软件防火墙主要有天网防火墙个人及企业版,Norton的个人及企业版软件防火墙,还有许多原来是开发杀病毒软件的开发商现在也开发了软件防火墙,如KV系列、KILL系列、金山系列等。这些软件安全方面都比较好,如果服务器配置允许,选择Norton企业版是最佳的。 硬件防火墙如果从技术上来分又可分为两类,即标准防火墙和双穴网关防火墙。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网; 另一个则连接内部网。标准防火墙使用专门的软件,并要求较高的管理水平, 而且在信息传输上有一定的延迟。双穴网关 (dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边界,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 随着防火墙技术的发展, 双穴网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关方式,另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供 多了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。 因此经济情况选择适应的防火墙方案。采用双穴防火强和软件防火墙结合的方案是最适合的。 5.3系统性能优化5.3.1 IIS优化Web的性能优化主要从数据库和服务器两个方面考虑,其实除了服务器端外,还和客户端的浏览器有关,但客户端情况各异,只能根据个人情况而定。 IIS高速缓存是对IIS进行优化时要考虑的最重要的项目之一。服务器保留了一部分内存空间用作IIS高速缓存,为将来的请求存储对象,这样IIS就可从高速缓存中检索对象而不用从硬盘中检索。调整IIS高速缓存的容量需要修改注册表,按Win+R:输入regedit 点击确定。展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\InetInf\ Parameters在其右边将项目MemoryCacheSize的范围设为从0道4GB,缺省值为3072000(3MB)。IIS通过高速缓存系统句柄、目录列表以及其他常用数据的值来提高系统的性能。这个参数指明了分配给高速缓存的内存大小。如果该值为0,那就意味着“不进行任何高速缓冲存储”。在这种情况下系统的性能可能会降低。要重新启动才能使新值生效。 为了使IIS使用处理器时间最长。服务器的CPU处理器能力总是有限的。哪一个应用程序占用处理器的时间最长,谁的性能就能得到最大的提高。(1)在NT的控制面板中,双击系统图标。(2)单击性能标签。(3)在应用程序性能下将游标拖到None的位置,这样就可以使所有正在运行的服务,包括IIS,使用处理器的时间达到最大值。 服务器属性设置。在服务器属性里有一项可以使网络应用程序的总处理能力最大的选项,你当然应该选择它(1)在桌面上右键单击网络邻居图标,然后选择属性选项。(2)单击“服务标签”。单击“服务器”,然后按“属性”。选择最大化网络应用程序的总处理能力。然后单击“OK”。提高硬件配置来优化IIS性能,当进行了上述的优化配置,IIS的性能仍然没有什么明显改善的话。当经济允许时可以考虑用更新硬件。处理器可以升级为速度更快的CPU,还可以再增加一个CPU。硬盘:硬盘空间被NT和IIS服务以如下两种方式使用:一种是简单地存储数据;另一种是作为虚拟内存使用。如果使用Ultra2的SCSI硬盘,可以显著提高IIS的性能。网络接口卡:如果服务器是在企业内部网上运行,那么可以考虑将他的网卡升级为100M网卡。这在网络带宽是瓶颈的情况下特别有效。内存:增加内存可能是升级系统最简单、最有效的方法。 优化IIS的注意事项,在安装IIS之时就应该注意到IIS的优化。:1.为了提高性能和节约资源,应该只运行需要的协议。这一点很多管理员都没有注意,笔者曾见到在一台只作Web服务的机器上同时安装有NetBEUI、TCP/IP和IPX协议。显然这是不合理的。2.应该将IIS服务器,设置为独立的服务器,不要让服务器去承受域控制器要求的额外负荷。服务器一边在响应用户的登录,一边还要提供IIS服务,性能多少都会有影响[19]。3.可以把NT服务器的页交换文件分布到多个物理磁盘上,注意是多个“物理磁盘”,分布在多个分区上是无效的。另外,将页交换文件放在与WIndows NT引导区相同的分区中。4.使用磁盘镜像或磁盘带区集可以提高磁盘的读取性能。5.关于日志的记录,应该采用文件记录而不是记录到ODBC数据源。此外,还可以在记录期间增加用来记录日志的内存缓冲区的容量来减少磁盘的活动。该缓冲区的缺省容量值为64KB。6.最好把所有的数据都储存在一个单独的分区里。然后定期运行磁盘碎片整理程序以保证在存储Web服务器数据的分区中没有碎片。使用NTFS有助于减少碎片。使用Norton的Speeddisk,很快地整理NTFS分区。7.虽然SSL可以提供相当可靠的加密传输。但是所需的额外开销会导致IIS服务器速度下降,尤其是在处理大型文件的时候。在安装Windows2000的时候,如果你选择了安装IIS,那么在安装的时候系统将会你的系统驱动%SystemDrive%里创建一个InetPub目录,而且还会在Inetpub目录下创建一个Scripts目录,IIS还会创建一个虚拟目录SCIPTS指向该目录,并且给这个目录执行权限[20]。 5.3.2 Microsoft Access 数据库优化从硬件上来优化, 硬件是解决速度问题的根本,为了提高数据库程序的速度,提高数据库程序性能,程序所运行的硬件平台是其中最大的决定因素。显而易见,实现优化的第一条原则应该是较快的硬件=较快的数据库,对于CPU和RAM都有较高的要求,为了要达到一个令人满意的性能,需要8MB的RAM和一个奔腾Ⅲ以上的CPU。所以,要想提高其程序性能,首先必须要从硬件入手,可以说硬件是最关键。 有效的磁盘访问也是一个重要的优化问题。在有一个令人满意的硬件配置下,对于数据库程序而言,影响其性能的第二位因素就是磁盘访问了。在执行过程中,对物理磁盘的访问总是一个速度的瓶颈(与访问存储在 RAM中的数据相比较而言),所以,应该尽量减少对磁盘的访问。然而,应用程序总是要和一些磁盘或其他一些物理设备打交道,所以,我们的目标应该是保证所有的磁盘访问都尽可能有效。要实现这一点就是经常整理你的磁盘数据碎片,整理你的数据库所在的磁盘驱动器以及所有你执行你的数据库程序时要涉及的磁盘驱动器,而且还应定期清理磁盘碎片,以此保证磁盘访问一直有效。这将最大程度地减少在对物理磁盘进行读写而花费的时间,尽管这些读写是不可避免的,同时优化了整个体系的性能。 | 
