网站结构设计的安全防范

任务2　网站结构设计的安全防范

任务综述

通过此任务的学习，学生能对网站结构进行很好的安全设置，达到防止黑客进攻的目的。

任务分析

电子商务系统与网站。电子商务系统是基于Internet并支持企业价值链增值的信息系统，网站甚至Web仅为这一系统的一个部分或技术手段之一。尽管电子商务系统大多以网站作为服务客户的窗口，但两者并不相同。

电子商务系统的构成。电子商务系统作为一个整体，不仅包括企业开展商务活动的外部电子化环境，还包括企业内部的商务活动的电子化环境，这两部分必须结合起来才能满足企业在Internet上开展商务活动的需要。

网站结构。网站结构通常在逻辑上分为三层：即表示层、应用逻辑层和数据层。这种结构使网站具有较好的可扩充性，把表示层与业务功能的实现分离开，能更灵活地适应业务发展。网站不需要对业务逻辑组件作任何变动，就能适应新出现的表示形式和不同的客户端。例如，为使网站用户更方便地在网上购物，网站调整了页面格局和页面风格。由于网站的结构层次分明，需要改变的只是网站表示层，业务逻辑和数据连接层则不需变动。

任务实施

一、网站的作用

（1） 表示层。表示层用于为最终用户提供一个友好的用户界面，接收用户提交的事件，并将处理结果返回给用户。该层作为应用的前端和“脸面”，决定了用户对网站优劣的评价和总体印象。

（2） 网站的核心。网站从总体上说是“客户端独立”的、中间层业务逻辑相同的和多样化的用户接口。这些客户端包括基于浏览器的HTML客户端、基于Java的客户端、传统的C/C++应用、Power Builder客户端以及VB客户端。

“客户端独立”允许利用阶段式的、分布的方法构建应用系统。采用Client/Server结构在扩充新的用户接口时，需对整个应用系统进行全局调整。采用“客户端独立”结构能快速建立或局部地增加新的功能。因此，将表示层从业务逻辑中分离出来，对阶段性的分布开发是必需的。

（3） 表示层使用的语言。在表示层除使用最基本的HTML语言外，还利用JavaScript Internet脚本语言与Java Internet程序开发语言。JavaScript程序运行在客户端，能完成用户事件获取、数据提交前的合法性校验、错误检查和实现动画效果等功能。利用Java语言开发的Java Servlet程序运行于服务器端，负责实现与业务逻辑层的交互，从业务逻辑层获得数据，并将用户提交的信息传给业务逻辑层。基于Java语言的JSP程序，则实现数据的动态显示，将Java Servlet程序获得的数据形成相应的HTML页面传给客户端。

为适应电子商务应用的各种需求，新的表示层技术不断涌现，XML——可拓展标志语言和RDF——资源描述框架是当前两种最新的、对表示层产生重大影响的技术。XML能以一种结构化的文本方式表述数据；RDF提供一种统一的、可互操作的方法通过Internet在程序之间交换元数据。

例如，在一个股票交易市场的应用中，能利用XML和RDF技术对股票价格信息（当前最新价、当口最高价、最低价等）进行编码，使表示层只需对数据进行非常简单的操作，即可将股票信息提供给最终用户。

二、网站设计应满足的要求

无论是建立一个为员工提供服务的企业内部网站、一个向合作伙伴或者供应商提供产品和服务的商业网站、一个销售产品或为消费者提供服务的零售网站，还是建立一个发布新闻和其他多媒体信息的传媒和娱乐网站，作为一个成功的网站设计，应满足几方面的要求：

（1） 网站必须有良好的可扩充性。

（2） 高效率的并发处理能力。

（3） 强大的管理工具。

（4） 与企业已有信息资源的整合。

（5） 网站必须可靠地确保提供24小时的服务。

（6） 良好的容错性能。

（7） 支持多种客户终端。

（8） 安全的运行环境。

三、企业网站的构件组成

为实现网站设计的基本要求，一个企业的网站应由以下构件组成：

（1） 应用服务器（App Ucation Server）。主要用于企业较大规模电子商务应用的开发、发布和管理，同时实现与企业原有系统的集成。

（2） 工作流和群件子系统。其作用主要在于使工作人员和商业伙伴能通过Internet共享资源、协同工作。

（3） 内容管理子系统。主要是简化企业网站的产品管理、提高效率，并将相应的、经过筛选的内容发送给最终用户。

（4） 目录服务器。企业使用它来管理防火墙内外用户、资源和控制安全权限，用户通信和电子商务交易提供一个通道。

（5） 性能优化工具。主要是改善网站服务质量。

（6） 邮件和消息服务器。使得企业和服务提供者能为所有员工，合作伙伴和客户社区提供商业级的通信架构。

（7） 个性化信息服务。在实时分析用户数据的基础上提供one-to-one的交易平台。通过对用户行为的更好地理解，企业能跟踪、分析和理解网站用户。

（8） 搜索引擎。为用户提供更广范围的资源。

（9） 安全服务器。包括数据安全、应用安全和交易安全。

（10） 网站服务器（Web Server）。将各种网站的信息发布给用户。

知识拓展

（1） 网站结构通常在逻辑上分为三层：表示层、应用逻辑层和数据层。

（2） 网站从总体上说是“客户端独立”的、中间层业务逻辑相同的和多样化的用户接口。这些客户端包括基于浏览器的HTML客户端、基于Java的客户端、传统的C/C++应用、Power B uilder客户端以及VB客户端。

（3） 利用Java语言开发的Java Servlet程序运行于服务器端，负责实现与业务逻辑层的交互，从业务逻辑层获得数据，并将用户提交的信息传给业务逻辑层。

任务总结

一个安全性网站须具备以上结构才能更好地抵御各种入侵和攻击。学习了本任务后，学生应掌握网站的基本结构与各种语言的使用。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的调研情况进行自查，找出成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的调研报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标