搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當前位置：首頁 >互聯(lián)網(wǎng)?IT > 管理信息化 > 軟件 > ERP > 正文

三上IT系統(tǒng) 我那焦灼的63個日夜

來源：：ENI經(jīng)濟和信息化網(wǎng) 2010-04-14 14:05:28

在線用戶和并發(fā)連接并沒有直接換算關(guān)系，在進行壓力測試時要設(shè)置一個典型標準用戶操作的場景來衡量。而完整的壓力測試場景包括單場景、混合場景的壓力（極限）測試、性能測試、穩(wěn)定性測試……

對我而言，IT系統(tǒng)就像個桀驁不馴的頑童。以我的經(jīng)驗與資歷，在與這個小家伙的每次斗智斗勇中我總能小勝一籌。直到我變身為一家中等規(guī)模證券公司的IT主管，經(jīng)歷了公司的新業(yè)務系統(tǒng)上線，那令人焦灼、磕磕碰碰的63個日夜讓我明白了什么叫失控，至此，我也終于徹底地被IT給尥了次蹶子。

　　【一】上線第一天：驚心動魄的40分鐘

網(wǎng)上下單系統(tǒng)宕了，才剛上線就這樣，你這什么破系統(tǒng)?速度地解決，咱這客戶都給得罪光就該哭了!客戶服務部主管老李一通怒吼，啪一聲摔了電話。

我抬眼看了下時間，9:30開市，此時指針已無情地指向10:50分。系統(tǒng)已經(jīng)宕機多久了?我不得而知。不過，我迅速在幾秒鐘內(nèi)理清了目前形勢：

1、努力三個月的新系統(tǒng)第一天就遭遇毀滅性打擊，我?guī)缀跄茴A想到項目總結(jié)會上BOSS的一張陰沉臉。哎呀，這月工資必定被打折了。

2、算算時間，離中午休市僅剩40分鐘，必須利用11:30到下午1:00的這段時間趕緊給系統(tǒng)做個體檢，問題到底出在哪兒呢?

時間緊迫，我把IT部門一票人員火速聚集，對系統(tǒng)現(xiàn)狀進行了簡單描述，接著就是緊促的分工部署。

真是分秒必爭，先是對核心物理設(shè)備進行細致盤查，接著是系統(tǒng)訪問日志、數(shù)據(jù)庫……絲毫沒有頭緒。這時指針已指向了11:00，隨著宕機時間逐漸累積，緊張的情緒讓我血脈賁張。

難道是高負載宕機?部門負責運維的小王指著一堆數(shù)據(jù)驚呼。今天有支股票走勢異常，并發(fā)下單量也許已超我們預期了。

該死，竟然是高并發(fā)壓力測試沒過關(guān)。刻不容緩，我隨即啟動了可用性方案消除了宕機影響。

11:30，宕機掃雷行動圓滿完成，興奮之余我終于長吁口氣?？烧l會料想到：兩天之后來自老李的另一通電話足以讓現(xiàn)在每個人臉上的笑容凝固……

問題分析：

手動測試導致結(jié)果不精確

采用手動測試，無法模擬完整的壓力測試場景，可能導致測試結(jié)果不精確。

　　【二】48小時后：堵不住的漏洞

系統(tǒng)安全性，一直是我關(guān)注的重點，我絕不允許病毒在我的區(qū)域內(nèi)肆虐。但事實證明，在Web應用世界，誰也不能妄自夸下?？?。

一上班，我發(fā)現(xiàn)了公司網(wǎng)站正被某位黑客鎖定。當然，我首先分析了下Web應用普遍的安全問題類型：

◆服務器向公眾提供了不應該提供的服務，導致存在安全隱患。

◆服務器把本應私有的數(shù)據(jù)放到了公開訪問的區(qū)域，導致敏感信息泄露。

◆服務器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)，導致受到攻擊。

但要對這三種類型進行甄別實在不是件容易的事，我需要對Web應用服務器使用端口掃描程序進行系統(tǒng)風險分析，查看是否有服務本不應該面向公眾開放，是否有人修改了對外提供服務的應用程序的banner信息，使攻擊者容易獲取到Web服務器對外提供應用程序的相關(guān)版本信息，并根據(jù)信息找到相對應的攻擊方法和攻擊程序。

當然，最終，我總會找到Web應用攻擊的來源的原因。但是，在這一過程中，公司網(wǎng)站已然受到了重創(chuàng)。

接下來，我花了26天的時間集中火力尋找Web應用漏洞和攻擊來源。當然，我首先要對Web應用程序進行系統(tǒng)檢查，查看是否在開發(fā)過程中存在安全漏洞（bug），其次，我也需要對Web應用環(huán)境進行系統(tǒng)的掃描，甚至要對可能存在的Web應用漏洞實施模擬攻擊，以檢驗漏洞的真實性。通過這一系列操作，我最終分析得出了Web漏洞攻擊原因。但即便這樣，在接下來的30天中，我始終惴惴不安，Web應用總讓我感到危機重重，我時刻擔心著員工的上網(wǎng)操作、擔心著從網(wǎng)上下載的某個文件會讓再次將公司網(wǎng)站置于黑客槍口之下。

果然，在系統(tǒng)上線后的第58天，我的擔心成了現(xiàn)實。

　　問題分析：

用笨辦法檢證漏洞耗時耗力

Web應用攻擊之所以與其他攻擊不同，是因為它們很難被發(fā)現(xiàn)，而且它可能來自任何在線用戶，甚至是經(jīng)過驗證的用戶。對CIO而言，發(fā)現(xiàn)和解決它們的過程十分艱辛。

對于Web應用攻擊，我們確實需要一個智能的方式來正確監(jiān)測到問題，檢證實際的漏洞。也許，一個能夠持續(xù)更新并不斷發(fā)現(xiàn)Web應用層中已知與未知漏洞的工具對我而言十分必要。

　　【三】致命一擊：客戶投訴奪命call

現(xiàn)實往往不如想象中美好，懷揣對系統(tǒng)意外故障的戰(zhàn)戰(zhàn)兢兢，我等來了再一次的致命一擊，但這次卻不是Web應用漏洞惹的禍。

現(xiàn)在網(wǎng)上下單簡直龜速，客服部電話快打爆了，你趕緊解決下啊。一陣風后，老李面目猙獰地沖進了我的辦公室。

5分鐘后，部門全員投入了新的一次救火行動。但是很奇怪，并沒有檢測到網(wǎng)絡堵塞或是系統(tǒng)服務器忙。我感到有點困惑。

不如從前臺來看下：登錄網(wǎng)上下單系統(tǒng)，查閱了近期關(guān)注的幾支股票，我對其中一支股進行了買進處理，居然發(fā)現(xiàn)了問題的癥結(jié)。下單之后的反應速度確實很慢，頁面一直處于操作等待狀態(tài)。而經(jīng)過后來的分析，我才弄明白：這是因為操作反饋的確認按鈕彈出功能出現(xiàn)了問題。

面對這種系統(tǒng)功能的缺陷，我實在無語。于是，接下來連續(xù)5天，我總是將自己封閉在辦公室中，系統(tǒng)上線以來的各種問題讓我不得不重新審視系統(tǒng)軟件質(zhì)量監(jiān)控的重要性。系統(tǒng)質(zhì)量安全面前無小事，也許某一天，這些小問題會釀成大災害，甚至可能毀掉我的職業(yè)生涯……

我應該選擇一個信得過的合作伙伴來幫我對整個系統(tǒng)應用過程進行質(zhì)量管理，想到這，我撥下了一串熟悉的號碼：108007440327

　　編者小結(jié)：

三上IT系統(tǒng)，讓CIO焦灼抓狂的63天：先是手動測試導致的系統(tǒng)壓力峰值結(jié)果誤差，然后是Web應用漏洞攻擊，最后是軟件功能缺陷。

其實，這三個問題都可以規(guī)避在系統(tǒng)上線之前。在軟件開發(fā)測試過程中，通過智能的測試工具就可以輕松完成測試管理，加速測試過程、縮短測試時間；針對Web應用安全威脅，可以通過應用安全解決方案定期檢查Web應用程序的安全漏洞，幫助IT團隊實現(xiàn)即時安全監(jiān)測、糾正安全漏洞；對于軟件可能存在的性能或功能缺陷，通過系統(tǒng)性能測評評估方案可以在系統(tǒng)上線前盡可能排查發(fā)現(xiàn)可能存在的瓶頸。

針對案例中CIO面臨的各種問題，惠普應用質(zhì)量解決方案提供一套完整的解決方案。它包括質(zhì)量中心、應用安全中心和性能中心。

質(zhì)量中心主要提供的是測試過程中的測試管理、功能測試和業(yè)務流程測試功能。

應用安全中心在軟件開發(fā)生命周期的每個階段檢查Web應用程序安全漏洞，幫助研發(fā)人員、質(zhì)量保證（QA）團隊和安全專家迅速高效的監(jiān)測和糾正安全漏洞，全面修復整個應用程序的生命周期。

性能中心提供的是測試過程中對性能的測試和診斷功能，通過系統(tǒng)性能測評評估未上線系統(tǒng)的性能并發(fā)現(xiàn)可能的瓶頸。

編輯：phpcms

關(guān)鍵字：物理設(shè)備數(shù)據(jù) 數(shù)據(jù)庫 CIO