第二届电子商务大赛 “茶香书社”电子商务系统项目规划书
电子商务解决方案的一部分。对茶香书社网站来说,安全体系结构设计如下:
在整个安全体系结构中,从最基层往上有: 1.密码算法(分组密码、公钥密码HASH) 2.认证手段(数字签名、证书授权、MAC等) 3.安全协议(SET、SSL、S/HTTP等) 4.电子商务支付安全系统 5.电子商务业务安全系统
3.5.2.安全问题的处理
1.首先,要建立防火墙、杀毒软件等进行预防。
2.同时网站是建立在安全设备、安全软件、安全系统和安全检测的基础之上的,因此需要建立实时在线的报警系统。
网站安全和应急系统结构图如下:
系统 日志 配置检 测 风险评 估 病毒检 测 违规检测 异常检测 数据采集 反映回复 消息、警报和管理信息等 规范化 关联分析 可视化 自动报告 恶意代码检测 网络监听 实时攻击 响应 系统状态 监视
图11 网站安全和应急系统结构图
3.最后,还有一种最坏的打算,那就是在采用了以上这些方式进行安全问题防御、处理等之后仍然没有用。此时,就要对这个系统所丢失或被破坏的信息采取补救措施了。系统故障出现后可能采取的补救措施具体包括:
(1)备份技术:在系统操作的过程中,偶尔的误操作,或者系统出错,或者其他意外,都可能导致数据的损缺或丢失。如果用户事先采取了补救措施,利用“备份”工具保存了这些数据,那么就可以即时对系统进行恢复,提高系统的容错能力,做到
- 26 -
第二届电子商务大赛 “茶香书社”电子商务系统项目规划书
有备无患。
(2)降效技术:说明准备采用的后备技术,使用另一个效率稍低的系统或方法来求得所需结果的某些部分,一个自动系统的降效技术可以是手工操作和人工记录。 (3)恢复及再启动技术:说明将使用的恢复再启动技术,使软件从故障点恢复执行或使软件从头开始重新运行的方法。
3.6.网站测试
在网站开发的过程中网站测试是一个不可缺少的环节,主要从以下几个方面介绍:
3.6.1.功能测试
1.链接测试
首先,测试所有链接是否按指示的那样确实链接到了该链接的页面;其次,测试所链接的页面是否存在;最后,保证Web应用系统上没有孤立的页面,所谓孤立页面是指没有链接指向该页面,只有知道正确的URL地址才能访问。 2.表单测试
当网站用户给Web应用系统管理员提交信息时,就需要使用表单操作,例如用户注册、登陆、信息提交等。在这种情况下,我们必须测试提交操作的完整性,以校验提交给服务器的信息的正确性。 3.Cookies测试
当某用户使用Cookies访问了应用系统时,Web服务器将发送关于该用户的信息,把该信息以Cookies的形式存储在客户端计算机上,用来创建动态和自定义页面或者存储登陆等信息。 4.设计语言测试
Web设计语言版本的差异可以引起客户端或服务器端严重的问题,例如使用哪种版本的HTML等。当在分布式环境中开发时,开发人员都不在一起,这个问题就显得尤为重要。除了HTML的版本问题外,不同的脚本语言,例如Java、JavaScript、 ActiveX、VBScript或Perl等也要进行验证。 5.数据库测试
在使用了数据库的Web应用系统中,一般情况下,可能发生两种错误,分别是数据一致性错误和输出错误。数据一致性错误主要是由于用户提交的表单信息不正确而造成的,而输出错误主要是由于网络速度或程序设计问题等引起的,针对这两
- 27 -
第二届电子商务大赛 “茶香书社”电子商务系统项目规划书
种情况,可分别进行测试。
3.6.2.性能测试
1.连接速度测试
用户连接到Web应用系统的速度根据上网方式的变化而变化,他们或许是电话拨号,或是宽带上网。当下载一个程序时,用户可以等较长的时间,但如果仅仅访问一个页面就不会这样。如果Web系统响应时间太长(例如超过5秒钟),用户就会因没有耐心等待而离开。
有些页面如果响应速度太慢,用户可能还没来得及浏览内容,就需要重新登陆了。而且,连接速度太慢,还可能引起数据丢失,使用户得不到真实的页面。 2.负载测试
负载测试是为了测量Web系统在某一负载级别上的性能,以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量,也可以是在线数据处理的数量。 3.压力测试
进行压力测试是指实际破坏一个Web应用系统,测试系统的反映。压力测试是测试系统的限制和故障恢复能力,也就是测试Web应用系统会不会崩溃,在什么情况下会崩溃。压力测试的区域包括表单、登陆和其他信息传输页面等。
3.6.3.可用性测试
1.导航测试
导航描述了用户在一个页面内操作的方式,在不同的用户接口控制之间,例如按钮、对话框、列表和窗口等;或在不同的连接页面之间。
在一个页面上放太多的信息往往起到与预期相反的效果。导航的另一个重要方面是Web应用系统的页面结构、导航、菜单、连接的风格是否一致。确保用户凭直觉就知道Web应用系统里面是否还有内容,内容在什么地方。
Web应用系统的层次一旦决定,就要着手测试用户导航功能,让最终用户参与这种测试。 2.图形测试
在Web应用系统中,适当的图片和动画既能起到广告宣传的作用,又能起到美化页面的功能。一个Web应用系统的图形可以包括图片、动画、边框、颜色、字体、
- 28 -
第二届电子商务大赛 “茶香书社”电子商务系统项目规划书
背景、按钮等。图形测试的内容有:
(1)确保图形有明确的用途,图片或动画不要胡乱地堆在一起,以免浪费传输时间。 (2)验证所有页面字体的风格是否一致。 (3)背景颜色应该与字体颜色和前景颜色相搭配。
(4)图片的大小和质量也是一个很重要的因素,一般采用JPG或GIF压缩。 3.内容测试
内容测试用来检验Web应用系统提供信息的正确性、准确性和相关性。例如,图书的价格测试、图书列表语法或拼写测试等。 4.整体界面测试
整体界面是指整个Web应用系统的页面结构设计,是给用户的一个整体感。对整体界面的测试过程,其实是一个对最终用户进行调查的过程。一般Web应用系统采取在主页上做一个调查问卷的形式,来得到最终用户的反馈信息。
3.6.4.兼容性测试
1.平台测试
市场上有很多不同的操作系统类型, Web应用系统的最终用户究竟使用哪一种操作系统,取决于用户系统的配置。这样,就可能会发生兼容性问题,同一个应用可能在某些操作系统下能正常运行,但在另外的操作系统下可能会运行失败。 故在Web系统发布之前,需要在各种操作系统下对Web系统进行兼容性测试。 2.浏览器测试
浏览器是Web客户端最核心的构件,来自不同厂商的浏览器对不同的HTML规格有不同的支持。另外,框架和层次结构风格在不同的浏览器中也有不同的显示,甚至根本不显示。
测试浏览器兼容性的一个方法是创建一个兼容性矩阵。在这个矩阵中,测试不同厂商、不同版本的浏览器对某些构件和设置的适应性。
3.6.5.安全性测试
1. Web应用系统基本采用先注册,后登陆的方式。因此,必须测试有效和无效的用户名和密码,要注意到是否大小写,可以试多少次的限制,是否可以不登陆而直接浏览某个页面等。
2.Web应用系统是否有超时的限制,也就是说,用户登陆后在一定时间内(例如15
- 29 -
第二届电子商务大赛 “茶香书社”电子商务系统项目规划书
分钟)没有点击任何页面,是否需要重新登陆才能正常使用。
3.为了保证Web应用系统的安全性,日志文件是至关重要的。需要测试相关信息是否写进了日志文件、是否可追踪。
4.当使用了安全套接时,还要测试加密是否正确,检查信息的完整性。
5.服务器端的脚本常常构成安全漏洞,这些漏洞又常常被黑客利用。所以,还要测试没有经过授权,就不能在服务器端放置和编辑脚本的问题。
3.7.系统维护
3.7.1.电子商务网站维护
电子商务网站的维护的基本内容可参见表4:
表4 电子商务网站的维护表
项 目 网站基本内容的维护工作及有关数据的备份工作 网站版面风格维护,包括每年一定次数的改版工作 网络营销推广工作 说 明 公司新闻的管理及维护 向网站上传公司最新的新闻、公告等 产品资料的管理及维护 向网站上传宣传彩页等资料,图片处理等 网站域名、主机维护、企包括国际域名续费、转移注册商,国内域名续费; 业邮局的管理与维护 网站资料备份服务 定期对资料进行整理备份; 及时查看回复留言反馈 定期查看网站留言,并对有关问题进行回复 网站流量统计报告服务 进行网站流量统计 每月提供工作报告 色系 排版 窗口 程序 特效 架构 内容 走向 详细介绍每月工作进展情况 网页的底色、文字字型、图片的色系、颜色等 表格、框架的应用、文字缩排、段落等等; 窗口效果,例如:全屏幕窗口、特效窗口等; 网页互动程序,如ASP PHP XML CGI等 让网页看起来生动活泼的各种应用,如:flash、java script、java applets、DHTML等等; 目录规划,层次浅显易懂,选单应用等等 网站主题、整体实用性、文件关联性等等; 对于网站的未来规划、网站整体内容走向等 在
之间添加网页标题 网站页面优化 添加META标签 正文第一段出现关键词 调整网站的导航设计 - 30 -