網(wǎng)頁安全論文范文

時間:2023-03-16 14:39:08

導(dǎo)語:如何才能寫好一篇網(wǎng)頁安全論文,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

網(wǎng)頁安全論文

篇1

網(wǎng)站中有全面的企業(yè)信息,用戶可以通過網(wǎng)站信息對企業(yè)形象和企業(yè)產(chǎn)品有一個全面認(rèn)識,它是企業(yè)和用戶之間的一種重要交流工具,為企業(yè)和用戶交易活動的達(dá)成提供了有力保障。網(wǎng)站是現(xiàn)代企業(yè)發(fā)展的關(guān)鍵,也是電子商務(wù)的重要表現(xiàn)途徑,具有重要意義。網(wǎng)頁設(shè)計工作是網(wǎng)站建設(shè)工作的重要組成部分,企業(yè)網(wǎng)站各項內(nèi)容的建設(shè)其實質(zhì)是網(wǎng)頁設(shè)計的有機(jī)結(jié)合,網(wǎng)頁設(shè)計質(zhì)量的高低對網(wǎng)站實際作用效果的好壞有直接影響。ASP、PHP或JSP等腳本語言是網(wǎng)頁設(shè)計較為常用的服務(wù)器端網(wǎng)頁設(shè)計技術(shù),ASP、PHP或JSP等腳本語言的應(yīng)用為網(wǎng)站技術(shù)開發(fā)人員的開發(fā)工作提供了便利,使網(wǎng)站資源的管理更為高效、便捷,促進(jìn)了用戶與網(wǎng)站之間的溝通交流,用戶通過網(wǎng)站可以及時了解企業(yè)動向、參與企業(yè)的論壇交流、企業(yè)產(chǎn)品相關(guān)信息、在線調(diào)查以及貿(mào)易合作等。企業(yè)與用戶之所以可以通過網(wǎng)站進(jìn)行交互是通過腳本語言編程技術(shù)實現(xiàn)的,腳本語言編程一旦出現(xiàn)問題,就會對網(wǎng)站造成不同程度的威脅,形成相應(yīng)的安全缺陷,為企業(yè)內(nèi)部信息帶來巨大風(fēng)險。用戶輸入什么信息內(nèi)容是無法預(yù)測的,具有不可控性,在網(wǎng)頁設(shè)計過程中如果開發(fā)人員對用戶輸入的信息內(nèi)容考慮不全面或未考慮該方面內(nèi)容,對網(wǎng)站來說此用戶所輸入的內(nèi)容很可能成為一種攻擊企業(yè)網(wǎng)站的危險工具,對企業(yè)網(wǎng)站的正常運(yùn)行造成不利影響。企業(yè)網(wǎng)絡(luò)服務(wù)器與ASP、PHP或JSP等網(wǎng)頁腳本語言編程是直接相連的,網(wǎng)頁腳本語言還與網(wǎng)站設(shè)置、網(wǎng)站數(shù)據(jù)庫有著密切關(guān)聯(lián),腳本語言編程一旦出現(xiàn)問題,就會使整個網(wǎng)站存在安全缺陷,牽連甚廣,企業(yè)網(wǎng)頁受到攻擊之后可能導(dǎo)致企業(yè)內(nèi)部信息被竊取甚至造成整個網(wǎng)絡(luò)癱瘓的不良后果,給企業(yè)帶來巨大損失。

2對網(wǎng)頁設(shè)計常見安全漏洞的分析及相應(yīng)的解決方案

2.1登陸驗證中存在的安全漏洞及解決方案登錄驗證是聊天室、信息網(wǎng)會員區(qū)、論壇等交互性網(wǎng)站中必不可少的一部分,雖然在整個網(wǎng)站運(yùn)行中登陸驗證只是其中的一小部分,卻對整個網(wǎng)絡(luò)的安全運(yùn)行至關(guān)重要,它是整個網(wǎng)站的安全之口。在網(wǎng)頁設(shè)計過程中,開發(fā)人員常常忽略掉這一環(huán)節(jié)的設(shè)計工作。網(wǎng)站開發(fā)人員編程的不嚴(yán)謹(jǐn)致使當(dāng)前很多企業(yè)網(wǎng)站都存在登陸驗證的安全漏洞,安全關(guān)口驗證程序的不到位為網(wǎng)絡(luò)安全埋下了巨大隱患,會讓不法分子有機(jī)可趁,為企業(yè)造成不必要的損失。針對登陸驗證漏洞問題,我們采取了以下解決方案:通過注冊限制的設(shè)定有效避免非法賬戶密碼的申請,對解決以上問題非常有效;其次,在SQL登陸查詢語句生成之前,先對用戶信息進(jìn)行過濾(用戶名和用戶密碼),避免非法賬號密碼的應(yīng)用;最后,在對用戶進(jìn)行驗證之前,先驗證用戶的用戶名是否合乎標(biāo)準(zhǔn),確認(rèn)用戶名屬實后,在對密碼進(jìn)行驗證。

2.2桌面數(shù)據(jù)庫安全漏洞及解決方案在ASP+Access應(yīng)用系統(tǒng)中,網(wǎng)站一般會為用戶提供部分信息的下載權(quán)限,如果用戶知道Access數(shù)據(jù)庫的數(shù)據(jù)庫名和存儲路徑,就可以將其他信息也下載下來,就會造成數(shù)據(jù)的流失。多數(shù)網(wǎng)上圖書館Access數(shù)據(jù)庫的存儲路徑多以根目錄“(URL/”)下或“URL/database”為主,該類數(shù)據(jù)庫通常會被命名為Library.mdb或與之相關(guān)的名稱。用戶了解該信息之后,只需在瀏覽器中輸入“URL/database/Li-brary.mdb”或相關(guān)地址信息,就可以進(jìn)入網(wǎng)上圖書館,并將圖書館中的其他信息下載到用戶本地電腦中。為解決桌面數(shù)據(jù)庫安全漏洞問題,在網(wǎng)站設(shè)計中,ASP程序應(yīng)該采用ODBC數(shù)據(jù)源,通過采用ODBC數(shù)據(jù)源可以有效避免數(shù)據(jù)庫名稱直接出現(xiàn)在運(yùn)行程序中的問題,ASP源代碼即使出現(xiàn)泄漏問題,數(shù)據(jù)庫名稱也不會因此而被竊取或流失,為網(wǎng)站的安全運(yùn)行提供了有力保障。以下一段ASP程序代碼就是利用一般數(shù)據(jù)庫編寫的:DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果該段ASP源代碼失密后,數(shù)據(jù)庫相關(guān)信息也會被竊取,用戶可以輕易將數(shù)據(jù)庫信息下載下來。如果ASP程序代碼利用ODBC數(shù)據(jù)庫編寫,則不會存在conn.ope“nODBC-DSN名,ASP源代碼即使出現(xiàn)泄漏問題,數(shù)據(jù)庫名稱也不會因此而被竊取或流失。

2.3繞過驗證直接進(jìn)入相關(guān)頁面的漏洞及解決方案在進(jìn)入某些敏感頁面前,系統(tǒng)首先會對用戶進(jìn)行身份驗證,如果用戶知道了與敏感頁面相關(guān)的網(wǎng)頁設(shè)計頁面的路徑及文件名,并且該頁面又沒有設(shè)置驗證程序,此時用戶只要輸入該設(shè)計頁面的文件名就可以進(jìn)入設(shè)計頁面,成功繞過登陸驗證界面的篩選。為提高網(wǎng)站安全性能,開發(fā)設(shè)計人員必須對與之相關(guān)的頁面設(shè)置身份驗證程序,對用戶進(jìn)行身份驗證。

2.4文件上傳漏洞及解決方案同學(xué)錄、交友網(wǎng)站等類似網(wǎng)站系統(tǒng)都有文件上傳功能,企業(yè)通過網(wǎng)站文件上傳可以進(jìn)一步增進(jìn)與用戶間的交流互動,但網(wǎng)站開發(fā)者對用戶所提交的信息缺乏充分的分析和必要的過濾,很多惡意攻擊者會利用這一漏洞在網(wǎng)站上上傳病毒文件、惡意文件等不良信息,這些有毒文件可能會對系統(tǒng)數(shù)據(jù)庫造成不同程度的損壞,某些網(wǎng)站攻擊者甚至以Web權(quán)限在系統(tǒng)上執(zhí)行任意命令。通過加入文件類型判斷模塊可以有效解決文件上傳漏洞,對用戶上傳文件進(jìn)行充分的分析和必要的過濾。當(dāng)系統(tǒng)要求用戶上傳圖片文件,用戶只能以系統(tǒng)指定的JPG、GIF文件格式才被允許上傳,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允許上傳的。

2.5源代碼泄露漏洞及解決方案為有效避免源代碼被竊取、遭泄露的威脅,開發(fā)者在網(wǎng)站設(shè)計過程中應(yīng)該對頁面代碼進(jìn)行加密處理,使網(wǎng)站的整體安全性能得到大幅度提高。ASP網(wǎng)頁加密方法一般包括以下兩種:通過采用微軟的ScriptEncoder對ASP網(wǎng)站頁面進(jìn)行加密;通過采用組件技術(shù)將編程邏輯封裝到DLL當(dāng)中,防止信息的丟失。當(dāng)采用組件技術(shù)方案時必須對每段代碼均需組件化,該項方案的工作量較大、操作較為煩瑣,與之相比ScriptEncoder加密方案具有成效佳、操作簡單等顯著優(yōu)點,將其用于解決源代碼泄露漏洞問題可以取得較好的效果,其優(yōu)點主要有:HTML具有較好的可編輯性,系統(tǒng)其他部分無需變化,ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼,通過采用Dreamweaver或FrontPage等常用網(wǎng)頁編輯工具對HTML部分進(jìn)行修改、完善;ScriptEncoder具有制作簡單的優(yōu)點,通過幾個簡單命令行參數(shù)即可完成多功能操作。

3總結(jié)

篇2

摘要:當(dāng)前,在公眾移動通信持續(xù)快速增長、移動通信網(wǎng)絡(luò)向3G全面演進(jìn)的同時,WLAN、UWB、Zig-Bee、RFID等新的寬帶無線接入技術(shù)和短距離無線技術(shù)相繼涌現(xiàn),并不斷走向成熟。無線網(wǎng)絡(luò)逐漸深入到各規(guī)模的企業(yè)中,通過無線方式傳輸數(shù)據(jù)使得企業(yè)內(nèi)部網(wǎng)業(yè)務(wù)更加靈活的開展,不再局限于網(wǎng)線與墻面的接插面板,而無線傳輸標(biāo)準(zhǔn)也在近日有了比較大的改進(jìn),但是無線網(wǎng)絡(luò)或多或少存在著一定的安全隱患問題,對于企業(yè)已經(jīng)建立的無線網(wǎng)絡(luò)又該如何保證他的安全,讓我們的企業(yè)網(wǎng)絡(luò)更加安全。

關(guān)鍵詞:無線;網(wǎng)絡(luò)安全;解決策略

伴隨著無線網(wǎng)絡(luò)設(shè)備的價格不斷走低,以及操作上的越來越簡便,無線局域網(wǎng)網(wǎng)絡(luò)在最近幾年企業(yè)中得到了快速普及。為了方便進(jìn)行資源共享、無線打印、移動辦公操作,只要耗費(fèi)幾百元錢購買一臺普通的無線路由器和一塊無線網(wǎng)卡設(shè)備,就可以快速地搭建好一個簡易的無線局域網(wǎng)網(wǎng)絡(luò)了。在這種情形下由于無線網(wǎng)絡(luò)的特點,使本地?zé)o線局域網(wǎng)就非常容易遭遇插入攻擊、欺詐性接入、無線通信的劫持和監(jiān)視等非法攻擊。

1無線網(wǎng)絡(luò)安全產(chǎn)生因素

1.1安全機(jī)制不太健全

企業(yè)無線局域網(wǎng)大部分都采用了安全防范性能一般的WEP協(xié)議,來對無線上網(wǎng)信號進(jìn)行加密傳輸,而沒有選用安全性能較高的WAP協(xié)議來保護(hù)無線信號的傳輸。普通上網(wǎng)用戶即使采用了WEP加密協(xié)議、進(jìn)行了WEP密鑰設(shè)置,非法攻擊者仍然能通過一些專業(yè)的攻擊工具輕松破解加密信號,從而非常容易地截取客戶上網(wǎng)地址、網(wǎng)絡(luò)標(biāo)識名稱、無線頻道信息、WEP密鑰內(nèi)容等信息,有了這些信息在手,非法攻擊者就能方便地對本地?zé)o線局域網(wǎng)網(wǎng)絡(luò)進(jìn)行偷竊隱私或其他非法入侵操作了。

此外,企業(yè)無線局域網(wǎng)幾乎都不支持系統(tǒng)日志管理、入侵安全檢測等功能,可以這么說企業(yè)無線局域網(wǎng)目前的安全機(jī)制還不太健全。

1.2無法進(jìn)行物理隔離

企業(yè)無線局域網(wǎng)從組建成功的那一刻,就直接暴露在外界,無線網(wǎng)絡(luò)訪問也無法進(jìn)行任何有效的物理隔離,各種有意的、無意的非法攻擊隨時存在,那么無線局域網(wǎng)中的各種隱私信息也會隨時被偷偷竊取、訪問。

1.3用戶安全意識不夠

企業(yè)無線局域網(wǎng)往往只支持簡單的地址綁定、地址過濾以及加密傳輸功能,這些基本安全功能在非法攻擊者面前幾乎沒有多大防范作用。不過,一些不太熟悉無線網(wǎng)絡(luò)知識的用戶為了能夠快速地實現(xiàn)移動辦公、資源共享等目的,往往會毫不猶豫地選用組網(wǎng)成本低廉、管理維護(hù)操作簡便的企業(yè)無線局域網(wǎng),至于無線局域網(wǎng)的安全性能究竟如何,相信這些初級上網(wǎng)用戶幾乎不會進(jìn)行任何考慮。再加上這些不太熟悉無線網(wǎng)絡(luò)知識的初級用戶,對網(wǎng)絡(luò)安全知識了解得更少了,這些用戶在使用無線網(wǎng)絡(luò)的過程中很少有意識去進(jìn)行一些安全設(shè)置操作。

1.4抗外界干擾能力差

無線局域網(wǎng)在工作的過程中,往往會選用一個特定的工作頻段,在相同的工作頻段內(nèi)無線網(wǎng)絡(luò)過多時,信號覆蓋范圍會互相重疊,這樣會嚴(yán)重影響有效信號的強(qiáng)弱,最終可能會影響無線局域網(wǎng)的信號傳輸穩(wěn)定性;此外,無線上網(wǎng)信號在傳輸過程中,特別容易受到墻體之類的建筑物的阻擋或干擾,這樣也會對無線局域網(wǎng)的穩(wěn)定性造成一定的影響。對于那些企業(yè)的無線局域網(wǎng)來說,它的抗外界干擾能力就更差了,顯然這樣的無線局域網(wǎng)是無法滿足高質(zhì)量網(wǎng)絡(luò)訪問應(yīng)用要求的。

2企業(yè)無線解決策略。

無線網(wǎng)絡(luò)的安全性與有線網(wǎng)絡(luò)相差無幾。在許多辦公室中,入侵者可以輕易地訪問并掛在有線網(wǎng)絡(luò)上,并不會產(chǎn)生什么問題。遠(yuǎn)程攻擊者可以通過后門獲得對網(wǎng)絡(luò)的訪問權(quán)。一般的方案可能是一個端到端的加密,并對所有的資源采用獨(dú)立的身份驗證,這種資源不對公眾開放。正因為無線網(wǎng)絡(luò)為攻擊者提供了許多進(jìn)入并危害企業(yè)網(wǎng)絡(luò)的機(jī)會,所以也就有許多安全工具和技術(shù)可以幫助企業(yè)保護(hù)其網(wǎng)絡(luò)的安全性。

防火墻:所謂防火墻指的是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。一個強(qiáng)健的防火墻可以有效地阻止入侵者通過無線設(shè)備進(jìn)入企業(yè)網(wǎng)絡(luò)的企業(yè)。

安全標(biāo)準(zhǔn):最早的安全標(biāo)準(zhǔn)WEP已經(jīng)被證明是極端不安全的,并易于受到安全攻擊。而更新的規(guī)范,如WPA、WPA2及IEEE802.11是更加強(qiáng)健的安全工具。IEEE802.11和RADIUS鑒權(quán)通過使用IEEE802.11標(biāo)準(zhǔn)中規(guī)定的MAC層方法或使用RADIUS等高層方法可對與無線網(wǎng)絡(luò)相關(guān)的終端站進(jìn)行鑒權(quán)。IEEE802.11標(biāo)準(zhǔn)支持MAC層鑒權(quán)業(yè)務(wù)的兩個子層:開放系統(tǒng)和共享密鑰。開放系統(tǒng)鑒權(quán)是設(shè)定鑒權(quán)服務(wù),是終端站間彼此通信或終端站與接入點間通信的理想選擇。802.11共享密鑰鑒權(quán)容易受到攻擊,且不符合Wi-Fi標(biāo)準(zhǔn)。

WPA、WPA2及IEEE802.11i持內(nèi)置的高級加密和身份驗證技術(shù)。WPA2和802.11都提供了對AES(高級加密標(biāo)準(zhǔn))的支持,這項規(guī)范已為許多政府機(jī)構(gòu)所采用。采用無線網(wǎng)絡(luò)的企業(yè)應(yīng)當(dāng)充分利用這兩種技術(shù)中的某一種。

漏洞掃描:許多攻擊者利用網(wǎng)絡(luò)掃描器不斷地發(fā)送探查鄰近接入點的消息,如探查其SSID、MAC等信息。而企業(yè)可以利用同樣的方法來找出其無線網(wǎng)絡(luò)中可被攻擊者利用的漏洞,如可以找出一些不安全的接入點等。

基于網(wǎng)絡(luò)的漏洞掃描?;诰W(wǎng)絡(luò)的漏洞掃描器,就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計算機(jī)中TCP/IP不同端口的服務(wù),然后將這些相關(guān)信息與系統(tǒng)的漏洞庫進(jìn)行模式匹配,如果特征匹配成功,則認(rèn)為安全漏洞存在;或者通過模擬黑客的攻擊手法對目標(biāo)主機(jī)進(jìn)行攻擊,如果模擬攻擊成功,則認(rèn)為安全漏洞存在。

基于主機(jī)的漏洞。主機(jī)漏洞掃描則通過在主機(jī)本地的程序?qū)ο到y(tǒng)配置、注冊表、系統(tǒng)日志、文件系統(tǒng)或數(shù)據(jù)庫活動進(jìn)行監(jiān)視掃描,搜集他們的信息,然后與系統(tǒng)的漏洞庫進(jìn)行比較,如果滿足匹配條件,則認(rèn)為安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻擊者能夠獲取root權(quán)限,侵入系統(tǒng)或者攻擊者能夠在遠(yuǎn)程計算機(jī)中執(zhí)行惡意代碼。使用基于網(wǎng)絡(luò)的漏洞掃描工具,能夠監(jiān)測到這些低版本的DNSBind是否在運(yùn)行。一般來說,基于網(wǎng)絡(luò)的漏洞掃描工具可以看作為一種漏洞信息收集工具,根據(jù)不同漏洞的特性,構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包,發(fā)給網(wǎng)絡(luò)中的一個或多個目標(biāo)服務(wù)器,以判斷某個特定的漏洞是否存在。

降低功率:使無線接入點保持封閉安全的第一步是正確放置天線,從而限制能夠到達(dá)天線有效范圍的信號量。天線的理想位置是目標(biāo)覆蓋區(qū)域的中心,并使泄露到墻外的信號盡可能的少。同時,仔細(xì)地調(diào)整天線的位置也可有助于防止信號落于非法用戶手中。不過,完全控制無線信號是幾乎不可能的,所以還需要同時采取其它一些措施來保證網(wǎng)絡(luò)安全。其中降低發(fā)射器的功率,從而減少設(shè)備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。

用戶管理:企業(yè)要教育雇員正確使用無線設(shè)備,要求雇員報告其檢測到或發(fā)現(xiàn)的任何不正?;蚩梢傻幕顒印!翱萍家匀藶楸尽币訌?qiáng)所有雇員的安全防范意識,才能使企業(yè)無線網(wǎng)絡(luò)安全防護(hù)真正實施。

當(dāng)然,不能說這些保護(hù)方法是全面而深入的,因為無線網(wǎng)絡(luò)的弱點是動態(tài)的,還有很多,如對無線路由器的安全配置也是一個很重要的方面。所以無線網(wǎng)絡(luò)安全并不是一蹴而就的事情。

結(jié)束語:管理制度要與時俱進(jìn),而無線網(wǎng)絡(luò)安全技術(shù)也是如此,為了企業(yè)能夠更好的使用無線網(wǎng)絡(luò),享受新無線標(biāo)準(zhǔn)帶來的高信號覆蓋,高速度傳輸?shù)确矫娴臉啡?企業(yè)網(wǎng)絡(luò)管理員也應(yīng)該實實在在的學(xué)會針對無線網(wǎng)絡(luò)的安全管理,讓企業(yè)網(wǎng)絡(luò)特別是無線傳輸更加安全,將病毒與黑客入侵阻擋在無線信號大門之外。

參考文獻(xiàn)

[1]《無線網(wǎng)絡(luò)技術(shù)導(dǎo)論》作者:汪濤主編出版社:清華大學(xué)出版社

[2]《計算機(jī)網(wǎng)絡(luò)與Internet教程[M]》.張堯?qū)W,王曉春,趙艷標(biāo),等.北京:清華大學(xué)出版社,2001.

篇3

在計算機(jī)網(wǎng)絡(luò)迅猛發(fā)展和廣泛普及的時代,企業(yè)的各種經(jīng)營活動都立足于計算機(jī)網(wǎng)絡(luò)平臺,因此網(wǎng)絡(luò)安全一旦受到威脅,企業(yè)將面臨直接的經(jīng)濟(jì)損失,更有可能給社會和整個國家?guī)砭薮蟮陌踩[患?,F(xiàn)階段,我國的大中型企業(yè)隨著業(yè)務(wù)的不斷壯大,網(wǎng)絡(luò)規(guī)模也不斷擴(kuò)充。有些企業(yè)各地都有分公司,在不同的區(qū)域都建有局域網(wǎng),這樣一個分布全國各地的龐大的網(wǎng)絡(luò)體系就成為企業(yè)運(yùn)行的技術(shù)保障。這種企業(yè)的網(wǎng)絡(luò)安全更需要強(qiáng)有力的保障,否則一旦出現(xiàn)問題便有可能帶來災(zāi)難性的后果。

1.1Internet的安全性

互聯(lián)網(wǎng)是把雙刃劍,在給企業(yè)帶來極大便利的同時,也不可避免地給企業(yè)的運(yùn)營帶來了極大風(fēng)險。因為黑客與病毒無孔不入,稍有疏漏,就可能使整個網(wǎng)絡(luò)遭受攻擊,并帶來不可逆轉(zhuǎn)的損害。因此,建立科學(xué)的網(wǎng)絡(luò)體系,保障系統(tǒng)網(wǎng)絡(luò)安全迫在眉睫。

1.2大中型企業(yè)內(nèi)網(wǎng)的安全性

ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)已經(jīng)在企業(yè)中得到普遍性應(yīng)用,隨之而來的就是企業(yè)對這些系統(tǒng)的高依賴性。這樣帶來的另一個問題是內(nèi)網(wǎng)面臨的風(fēng)險。內(nèi)網(wǎng)運(yùn)行穩(wěn)定、可靠、可控才能保障日常生產(chǎn)和辦公的進(jìn)行,一定程度上,將內(nèi)網(wǎng)信息網(wǎng)絡(luò)比作企業(yè)的生命線也不為過。這個內(nèi)網(wǎng)同時由大量終端設(shè)備,大中小型服務(wù)器,各種網(wǎng)絡(luò)設(shè)備構(gòu)成,這個其中每一個部分都要確保正常工作,否則一點小問題都有可能引發(fā)網(wǎng)絡(luò)的停滯甚至癱瘓。但目前大中型企業(yè)的內(nèi)網(wǎng)安全依然存在很多安全隱患,主要表現(xiàn)為以下幾種情形:對外服務(wù)器缺少安全防護(hù)遭到黑客攻擊;員工上網(wǎng)過程缺乏有效監(jiān)管,一方面會造成網(wǎng)絡(luò)安全隱患,另一方面也影響工作效率;此外還有一些內(nèi)部的服務(wù)器被非法訪問,造成企業(yè)信息的外泄。

2大中型石油企業(yè)信息網(wǎng)絡(luò)安全威脅及安全體系構(gòu)建

2.1大中型石油企業(yè)面臨的信息網(wǎng)絡(luò)安全威脅

進(jìn)入21世紀(jì)以來,大中型石油企業(yè)對數(shù)字化信息網(wǎng)絡(luò)建設(shè)可謂不遺余力,軟硬件的建設(shè)開發(fā)中,信息網(wǎng)絡(luò)的安全性卻未得到足夠的重視。由于對網(wǎng)絡(luò)安全防護(hù)重視程度不夠,我國的大中型石油企業(yè)長期飽受網(wǎng)絡(luò)安全的困擾。有相關(guān)調(diào)查顯示,我國企業(yè)中,約有41%經(jīng)常受到惡意軟件和間諜的入侵,63%的企業(yè)經(jīng)常遭受病毒或蠕蟲攻擊。而就大中型石油企業(yè)而言,不僅面臨著外部病毒的攻擊,同時內(nèi)部人員的信息泄露也考驗著企業(yè)的網(wǎng)絡(luò)安全。由于員工信息安全意識淡薄,上網(wǎng)過程又缺乏有效監(jiān)管,在員工無意識的情況下,就可能引起發(fā)一系列問題。比如,企業(yè)機(jī)密信息的泄露,各種垃圾郵件的充斥,各種網(wǎng)絡(luò)病毒的侵襲,黑客的攻擊等等,這些問題隨著信息化的發(fā)展進(jìn)程和企業(yè)經(jīng)濟(jì)發(fā)展利益競爭白熱化,成為大中型石油企業(yè)最為棘手的問題。

2.2大中型石油企業(yè)網(wǎng)絡(luò)安全體系的全方位構(gòu)建

隨著網(wǎng)絡(luò)攻擊的多元化,攻擊方式也是五花八門。傳統(tǒng)的只針對網(wǎng)絡(luò)層面以下的安全對策已經(jīng)不足以應(yīng)對如今復(fù)雜的網(wǎng)絡(luò)安全情況,企業(yè)必須要建立起多層次多元化的安全體系才能有效提升企業(yè)網(wǎng)絡(luò)信息安全指數(shù)。大中型石油企業(yè)信息網(wǎng)絡(luò)安全的五個重要組成:物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全。

1)物理安全。物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提,物理安全旨在為企業(yè)提供一個安全可靠的物理運(yùn)行環(huán)境,這個更多指對企業(yè)相應(yīng)硬件設(shè)施的安全防護(hù),比如,企業(yè)服務(wù)器、數(shù)據(jù)介質(zhì)、數(shù)據(jù)庫等、

2)鏈路安全。鏈路安全指的是信息輸送通道。數(shù)據(jù)傳輸過程中能夠確保內(nèi)容安全、可靠、可控、能有效抵御攻擊。常見的幾種數(shù)據(jù)鏈路層安全攻擊有MAC地址擴(kuò)散、ARP攻擊與欺騙、DHCP服務(wù)器欺騙與DHCP地址耗盡、IP地址欺騙。

3)網(wǎng)絡(luò)安全。這主要針對于系統(tǒng)信息方面。這個是涵蓋范圍相對廣泛的一個方面。比如,用戶口令鑒別,計算機(jī)病毒防治,用戶存取權(quán)限控制,數(shù)據(jù)存取權(quán)限,數(shù)據(jù)加密等都屬于網(wǎng)絡(luò)安全范疇。

4)系統(tǒng)安全。系統(tǒng)的正常運(yùn)行是企業(yè)日常生產(chǎn)和運(yùn)行的根本保障。但是,系統(tǒng)出現(xiàn)崩潰、損壞的風(fēng)險依然存在,這就需要能夠有一套有效的風(fēng)險預(yù)防機(jī)制和辦法。能夠確保系統(tǒng)崩潰時對相關(guān)信息實現(xiàn)最大化備份,同時能夠具備保密功能,防止系統(tǒng)崩潰后的信息外漏。

5)信息安全。這就要分信息的傳播安全和信息的內(nèi)容安全。很大程度上是對不良信息的有效過濾和攔截。側(cè)重于對非法、有害信息可能造成的不良后果的有效遏止。信息內(nèi)容角度更側(cè)重于對信息保密性、真實和完整的保護(hù),防止網(wǎng)絡(luò)黑客對信息的截留、篡改和刪除等手段來達(dá)到損害企業(yè)利益的行為,本質(zhì)上是對企業(yè)利益和隱私的保護(hù)。

2.3大中型石油企業(yè)安全設(shè)計的基本原則

信息保密性、真實性、完整性、未授權(quán)拷貝、寄生系統(tǒng)的安全性等五個方面的內(nèi)容構(gòu)成了信息安全的整體統(tǒng)一。信息安全的原則也就指明了大中型石油企業(yè)“數(shù)字化”網(wǎng)絡(luò)建設(shè)安全設(shè)計的基本原則。

1)保密性:對授權(quán)用戶的保護(hù)和對非授權(quán)用戶的防止,信息利用的用戶、實體的專屬性。

2)完整性:信息的輸入和傳輸要確保完整,防止非法的篡改或者破壞,保證數(shù)據(jù)的穩(wěn)定和一致。

3)可用性:針對授權(quán)用戶而言要確保其合理使用的特性。

4)可控性:信息能夠在處理、傳遞、存儲、輸入、輸出等環(huán)節(jié)中有可控能力。

3大中型石油企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險漏洞的成因及一些防范措施

網(wǎng)絡(luò)信息流量幾何式增長,大中型石油企業(yè)信息資源對系統(tǒng)的應(yīng)用也日漸成熟,生產(chǎn)經(jīng)營數(shù)據(jù)也日益增多。與此同時,國內(nèi)大中型石油企業(yè)信息系統(tǒng)安全問題日益突出。因而,如何保障大中型石油企業(yè)信息數(shù)據(jù)安全,全面建立安全保障體系,這就顯得愈發(fā)重要。應(yīng)從內(nèi)因和外因上進(jìn)行分析和預(yù)防。內(nèi)因上,處于方向性決策的管理層對網(wǎng)絡(luò)信息安全的防護(hù)意識不強(qiáng),不夠重視。這類人群往往關(guān)注的是信息化進(jìn)程給企業(yè)帶來的收益,對于安全隱患和潛在的威脅卻往往忽視。此外,在信息化發(fā)展進(jìn)程中,大中型石油企業(yè)在數(shù)據(jù)化硬件建設(shè)中容易競爭對比,但是對于數(shù)據(jù)的管理安全性建設(shè)要求不高。其次,網(wǎng)絡(luò)信息安全建設(shè)不是一蹴而就的,相反是一個長期過程,需要不斷進(jìn)行系統(tǒng)補(bǔ)丁的更新。其一,信息系統(tǒng)連接于因特網(wǎng),開放的網(wǎng)絡(luò)環(huán)境帶來的是企業(yè)信息安全的脆弱。其二,大中型石油企業(yè)信息化建設(shè)往往求新不求穩(wěn)。云計算,物聯(lián)網(wǎng),只要是當(dāng)下發(fā)展流行技術(shù)都會上馬,而不充分考慮技術(shù)的實際應(yīng)用于企業(yè)的現(xiàn)實貼合。多系統(tǒng)的復(fù)雜應(yīng)用帶來的是更多、更高的系統(tǒng)漏洞風(fēng)險。再次,大中型石油企業(yè)在信息安全技術(shù)團(tuán)隊建設(shè)上海相對滯后,缺乏強(qiáng)有力的信息安全維護(hù)團(tuán)隊帶來的是企業(yè)信息安全的高風(fēng)險。這往往是因為大中型石油企業(yè)往往將預(yù)算優(yōu)先分配于能夠直接帶來經(jīng)濟(jì)效益的生產(chǎn)方面,對于見不到短期回報的信息安全防護(hù)支出是能少則少。然而,一旦企業(yè)信息泄露帶來的可能是災(zāi)難性的后果,因而,有水平有業(yè)務(wù)能力的專業(yè)信息安全維護(hù)隊伍建設(shè)至關(guān)重要。外因上,一些不可抗力造成的硬件設(shè)備損壞,外部對企業(yè)信息的攻擊,相關(guān)法律法規(guī)還不夠健全等等因素都是影響企業(yè)信息安全的外因。因而,加強(qiáng)大中型石油企業(yè)的安全防范可從四個方面著手。在機(jī)制層面,第一,管理層要對信息安全有強(qiáng)意識,第二,信息安全意識要滲透到整個企業(yè)。進(jìn)而建立企業(yè)信息安全管理、運(yùn)行、檢測體系。另外,在面對一些風(fēng)險來臨之時,能夠有有效的應(yīng)急機(jī)制加以應(yīng)對。在技術(shù)面,技術(shù)指標(biāo)相對可量化,過硬的技術(shù)實力是保證大中型石油企業(yè)信息安全的關(guān)鍵,所以說,提高對信息安全水平的投資力度,建設(shè)高水平,高素質(zhì)的技術(shù)隊伍顯得尤為重要。在系統(tǒng)安全性建設(shè)層面,大中型石油企業(yè)在信息系統(tǒng)安全性建設(shè)之初就要結(jié)合企業(yè)實際充分考慮信息系統(tǒng)需要的安全保護(hù)等級以及架構(gòu)建設(shè),對后期風(fēng)險能夠有科學(xué)的分析與控制建議。在企業(yè)人員素養(yǎng)層面,大中型石油企業(yè)能夠在技術(shù)層面實現(xiàn)對企業(yè)信息安全的保障,就需要企業(yè)能夠有具備專業(yè)技術(shù)業(yè)務(wù)水準(zhǔn)的網(wǎng)絡(luò)信息技術(shù)安全人員隊伍。從設(shè)計到操作到運(yùn)維都離不開專業(yè)的技術(shù)人員。這些網(wǎng)絡(luò)管理技術(shù)人員還要能夠在后期不斷得到組織和學(xué)習(xí),不斷得到新的知識補(bǔ)充,能夠讓這些技術(shù)人員時刻與最前沿的IT科技接軌。

4結(jié)束語

篇4

1.1病毒木馬的防護(hù)一般情況下,需在客戶機(jī)上安裝殺毒軟件等安全防護(hù)措施,并通過因特網(wǎng)及時更新病毒庫,從而能夠快速發(fā)現(xiàn)并消滅病毒,有效制止危害和防止其擴(kuò)散。有條件的企業(yè)也可以安裝防病毒墻(應(yīng)用網(wǎng)關(guān)),防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò),有效提升內(nèi)部網(wǎng)絡(luò)的安全防護(hù)能力。

1.2對外部網(wǎng)絡(luò)攻擊的防護(hù)因連接到因特網(wǎng),不可避免地會受到外部網(wǎng)絡(luò)的攻擊,通常的做法是安裝部署網(wǎng)絡(luò)防火墻進(jìn)行防護(hù)。通過設(shè)置防護(hù)策略防止外部網(wǎng)絡(luò)的掃描和攻擊,通過網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT(NetworkAddressTranslation)等方式隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié),防止其窺探,從而加強(qiáng)網(wǎng)絡(luò)的安全性。1.3員工上網(wǎng)行為的管控對于在辦公區(qū)內(nèi)的員工,要禁止其在工作期間做無關(guān)工作的網(wǎng)絡(luò)行為,如QQ聊天、論壇發(fā)帖子、炒股等,尤其禁止其玩征途等各類網(wǎng)絡(luò)游戲。常用做法就是安裝網(wǎng)絡(luò)行為管理設(shè)備(應(yīng)用網(wǎng)關(guān)),也有些企業(yè)會出于成本考慮安裝一些網(wǎng)絡(luò)管理類軟件,但若操作不當(dāng),很容易會造成網(wǎng)絡(luò)擁塞,出現(xiàn)莫名其妙的故障。

1.4對不同接入者權(quán)限的區(qū)分企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的,有些必須接入互聯(lián)網(wǎng),而有些設(shè)備不能接入互聯(lián)網(wǎng);有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過3層交換機(jī)劃分虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)來區(qū)分不同的網(wǎng)段,與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來實現(xiàn)有關(guān)功能。

1.5安全審計功能通過在網(wǎng)絡(luò)旁路掛載的方式,對網(wǎng)絡(luò)進(jìn)行監(jiān)聽,捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包,還原出完整的協(xié)議原始信息,并準(zhǔn)確記錄網(wǎng)絡(luò)訪問的關(guān)鍵信息,從而實現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、不良站點訪問禁止等功能。審計設(shè)備安裝后不能影響原有網(wǎng)絡(luò),并需具有提供內(nèi)容安全控制的功能,使網(wǎng)絡(luò)維護(hù)人員能夠及時發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等,從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運(yùn)行維護(hù)系統(tǒng)SOC(SecurityOperationsCente)r,網(wǎng)管員定時查看日志來分析網(wǎng)絡(luò)狀況,并制定相應(yīng)的策略來維護(hù)穩(wěn)定網(wǎng)絡(luò)的安全運(yùn)行。

.6外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料,出于安全和便捷等因素考慮,需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN(VirtualPrivateNetwork)來實現(xiàn)。通常的做法是安裝VPN設(shè)備(應(yīng)用網(wǎng)關(guān))來實現(xiàn)。

2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用

通過企業(yè)網(wǎng)絡(luò)安全分析,結(jié)合中小企業(yè)網(wǎng)絡(luò)的實際需求進(jìn)行設(shè)計。該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡(luò)安全防護(hù)功能,從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設(shè)備,構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺[2]。通常,UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(防御)和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運(yùn)作,有效降低操作管理難度,研發(fā)人員會從易于操作使用的角度對系統(tǒng)進(jìn)行優(yōu)化,提升產(chǎn)品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術(shù)力量相對薄弱的中小企業(yè)來說,使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實現(xiàn)。因其具有多個接口(即多個網(wǎng)卡),可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段;通過對不同網(wǎng)段設(shè)定不同的訪問規(guī)則,制定不同的訪問策略,來實現(xiàn)非軍事化區(qū)DMZ(demilitarizedzone)、可信任區(qū)以及非信任區(qū)的劃分,從而有效增強(qiáng)網(wǎng)絡(luò)的安全性和穩(wěn)定性。對于上網(wǎng)行為的管理,可以通過內(nèi)置UTM設(shè)備的功能來實現(xiàn)管控,并可以實現(xiàn)Web過濾以及安全審計功能。,設(shè)定了辦公區(qū)和車間1可以訪問互聯(lián)網(wǎng),而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP,可方便人員隨時接入網(wǎng)絡(luò)。通過訪問密碼和身份認(rèn)證等手段,可對接入者進(jìn)行身份識別,對其訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設(shè)備,有條件的單位可進(jìn)行安裝,用以實現(xiàn)對員工上網(wǎng)行為進(jìn)行更為精準(zhǔn)的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設(shè)備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò),實現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。

3結(jié)束語

篇5

關(guān)鍵詞: 廣東高校; 人文社會科學(xué)期刊; 網(wǎng)站建設(shè); 現(xiàn)狀; 調(diào)查分析

中圖分類號: g237.5 文獻(xiàn)標(biāo)識碼: a 文章編號: 1009-055x(2012)04-0120-04

計算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展, 使期刊的組稿、投稿、審稿、編輯、出版?zhèn)鞑ゼ伴喿x方式與途徑經(jīng)歷了重大的變革, 期刊數(shù)字化、網(wǎng)絡(luò)化成為紙質(zhì)期刊生存發(fā)展的必然趨勢。建立獨(dú)立網(wǎng)站, 通過大型期刊全文數(shù)據(jù)庫(如中國知網(wǎng)、萬方數(shù)字化期刊群、維普資訊網(wǎng)等)和中國科技論文在線實現(xiàn)全文上網(wǎng), 可以使紙質(zhì)期刊通過互聯(lián)網(wǎng)傳播得更快、更遠(yuǎn)、更廣, 影響力更大, 宣傳效果更好。

據(jù)統(tǒng)計, 廣東高?,F(xiàn)有20家人文社會科學(xué)期刊。為了解這些期刊的網(wǎng)站建設(shè)現(xiàn)狀, 筆者對這20家期刊的網(wǎng)站進(jìn)行調(diào)查, 重點考察網(wǎng)站建設(shè)的總體狀況, 網(wǎng)站提供有關(guān)期刊信息、稿件在線處理功能、期刊內(nèi)容等方面的特點, 并就建設(shè)和管理期刊網(wǎng)站提出了改進(jìn)建議, 以期為期刊的數(shù)字化、網(wǎng)絡(luò)化建設(shè)提供參考。

一、 調(diào)查對象與調(diào)查方法

調(diào)查時段為2012年4月期間。所調(diào)查的20家人文社會科學(xué)期刊為: 《中山大學(xué)學(xué)報(社會科學(xué)版)》、《華南理工大學(xué)學(xué)報(社會科學(xué)版)》、《華南師范大學(xué)學(xué)報(社會科學(xué)版)》、《華南農(nóng)業(yè)大學(xué)學(xué)報(社會科學(xué)版)》、《暨南學(xué)報(哲學(xué)社會科學(xué)版)》、《華文教學(xué)與研究》、《深圳大學(xué)學(xué)報(人文社會科學(xué)版)》、《現(xiàn)代外語》、《國際經(jīng)貿(mào)探索》、《廣東外語外貿(mào)大學(xué)學(xué)報》、《廣東商學(xué)院學(xué)報》、《廣東金融學(xué)院學(xué)報》、《政法學(xué)刊》、《廣東工業(yè)大學(xué)學(xué)報(社會科學(xué)版)》、《廣州大學(xué)學(xué)報(社會科學(xué)版)》、《廣州體育學(xué)院學(xué)報》、《美術(shù)學(xué)報》、《汕頭大學(xué)學(xué)報(社會科學(xué)版)》、《佛山科學(xué)技術(shù)學(xué)院學(xué)報(社會科學(xué)版)》、《五邑大學(xué)學(xué)報(社會科學(xué)版)》, 使用搜狐、百度、谷歌網(wǎng)絡(luò)搜索引擎在互聯(lián)網(wǎng)上按照刊名或主辦單位進(jìn)行搜索, 訪問期刊網(wǎng)站, 記錄期刊網(wǎng)站的基本情況并進(jìn)行統(tǒng)計分析。

二、 調(diào)查結(jié)果與分析

(一)網(wǎng)站建設(shè)的總體狀況

在調(diào)查的20家人文社會科學(xué)期刊中, 有14家期刊建立了獨(dú)立網(wǎng)站(不包括在中國知網(wǎng)、萬方數(shù)字化期刊群、維普資訊網(wǎng)等大型期刊全文數(shù)據(jù)庫上網(wǎng))。其中有2家期刊可以在線處理稿件(在線投稿、查稿、審稿等), 但網(wǎng)站的大部分欄目內(nèi)容還沒有添加; 有8家期刊網(wǎng)站提供的信息量較大, 信息、稿件在線處理系統(tǒng)、網(wǎng)刊、綜合服務(wù)的功能較為齊全, 網(wǎng)站的質(zhì)量較高, 編輯部能夠根據(jù)期刊自身的特色和要求進(jìn)行欄目設(shè)置, 但這類網(wǎng)站需要編輯部投入一定的資金和人力進(jìn)行定期維護(hù)、更新。

沒有獨(dú)立網(wǎng)站的6家期刊中, 有1家期刊使用了中國知網(wǎng)的新版期刊門戶網(wǎng)站; 有4家期刊在主辦單位網(wǎng)站上開通了一個用于介紹刊物基本信息的網(wǎng)頁, 但這些網(wǎng)頁所刊登的信息量很有限(僅有期刊簡介、主管單位、主辦單位、編委會、編輯部聯(lián)系方式等), 而且網(wǎng)頁信息幾乎沒有更新或很少更新過, 有2家期刊還提供了一些過刊目錄, 如《華文教學(xué)與研究》; 有1家期刊既沒有獨(dú)立網(wǎng)站也沒有使用中國知網(wǎng)的期刊門戶網(wǎng)站。因此, 從總體上來說, 這些期刊普遍重視獨(dú)立網(wǎng)站的建設(shè), 70%的期刊建立了自己的網(wǎng)站。

(二)有關(guān)期刊信息的情況

在14家期刊的獨(dú)立網(wǎng)站上有關(guān)期刊信息的統(tǒng)計結(jié)果(見表1)表明, 期刊獨(dú)立網(wǎng)站能夠比紙質(zhì)期刊提供給讀者更多的有關(guān)期刊信息, 因而起到了更好地宣傳期刊、為作者和讀者服務(wù)的目的。

(三)使用稿件在線處理系統(tǒng)的情況

稿件在線處理系統(tǒng)具有作者在線投稿/查稿、專家在線審稿、編輯在線辦公等功能, 使作者能夠以在線方式更加方便快捷地投稿和了解稿件的狀態(tài), 使審稿專家能夠以在線的形式迅速地接收和處理稿件, 在規(guī)范稿件處理流程和提高每個稿件處理流程的運(yùn)行效率的同時, 加強(qiáng)了各流程之間的銜接與配合, 提高了編輯出版效率, 縮短稿件的處理周期

出版周期[1]。

在14家期刊的獨(dú)立網(wǎng)站上, 有12家期刊網(wǎng)站能同時實現(xiàn)作者在線投稿/查稿、專家在線審稿、編輯在線辦公等功能, 有9家期刊網(wǎng)站使用的稿件在線處理系統(tǒng)還具有期刊組版管理、費(fèi)用管理、數(shù)據(jù)庫(作者庫、專家?guī)斓?管理等功能??梢?, 使用稿件在線處理系統(tǒng)的期刊占調(diào)查期刊的60%, 這些期刊比較重視期刊的數(shù)字化、網(wǎng)絡(luò)化建設(shè), 可以實現(xiàn)編輯出版流程的數(shù)字化和網(wǎng)絡(luò)化。

(四)期刊內(nèi)容的情況

統(tǒng)計結(jié)果顯示, 在14家期刊的獨(dú)立網(wǎng)站上, 有11家了期刊目次(占78.6%), 其中還論文摘要的有9家(占64.3%), 期刊全文的有4家(占28.6%), 有1家期刊提供了從1998年至今的過刊全文, 其它3家期刊主要提供最近兩三年的過刊全文。可見, 大多數(shù)期刊網(wǎng)站都提供了過刊(或當(dāng)期)目錄、摘要, 有些網(wǎng)站還免費(fèi)提供全文, 讀者可以自由下載或在線閱讀, 這些功能方便了讀者對論文的使用, 有助于提高期刊傳播科學(xué)信息的時效性, 擴(kuò)大期刊的影響力。有些編輯部可能擔(dān)心在獨(dú)立網(wǎng)站上提供全文會影響紙質(zhì)期刊的發(fā)行量和在大型期刊全文數(shù)據(jù)庫中的點擊下載量, 因而在獨(dú)立網(wǎng)站上沒有提供全文或者提供的全文要滯后于印刷版。

在獨(dú)立網(wǎng)站上最新錄用稿件或下期稿件的目錄、摘要, 可有利于避免一稿多登現(xiàn)象, 同時讀者還可以了解期刊研究內(nèi)容的最新動態(tài)[2]。調(diào)查中發(fā)現(xiàn), 只有《華南理工大學(xué)學(xué)報(社會科學(xué)版)》了最新錄用稿件, 還沒有哪家期刊網(wǎng)站提供了下期稿件的目錄、摘要或全文。 務(wù)功能

為讀者和作者提供服務(wù)是許多期刊建設(shè)網(wǎng)站的重要目的。14家期刊的獨(dú)立網(wǎng)站上提供的服務(wù)統(tǒng)計結(jié)果(見表2)顯示: 絕大部分期刊獨(dú)立網(wǎng)站都提供了友情鏈接和過刊檢索服務(wù), 有一半的期刊獨(dú)立網(wǎng)站提供了在線留言板, 可以進(jìn)行稿件審理和錄用情況、作者及讀者咨詢等信息的交流, 從而加強(qiáng)了作者、讀者、審者與編輯部之間的交流, 提高讀者對網(wǎng)站的關(guān)注程度。

(六)網(wǎng)站版權(quán)信息標(biāo)注和英文版網(wǎng)站情況

在網(wǎng)站首頁下標(biāo)注網(wǎng)站版權(quán)歸屬信息, 用于提醒瀏覽者所觀看的內(nèi)容是受到版權(quán)法的保護(hù)。有獨(dú)立網(wǎng)站的14家期刊中, 有12家在網(wǎng)站首頁下標(biāo)注了版權(quán)信息, 表明大部分期刊編輯部有一定的知識產(chǎn)權(quán)保護(hù)意識, 注意了期刊的品牌保護(hù); 有7家提供了英文版網(wǎng)站, 但英文版網(wǎng)站上只有英文欄目名稱, 沒有相應(yīng)的英文內(nèi)容, 只有《中山大學(xué)學(xué)報(社會科學(xué)版)》提供了每期的英文目次和英文摘要。顯然, 所調(diào)查的大部分期刊沒有重視英文版網(wǎng)站的建設(shè)。

(七)網(wǎng)頁鏈接的有效性和網(wǎng)站更新速度

無效的網(wǎng)頁鏈接包括打不開的鏈接、顯示錯誤信息的鏈接、打開了網(wǎng)頁但無內(nèi)容顯示的鏈接。網(wǎng)站啟用后, 編輯部還應(yīng)不斷地對網(wǎng)頁信息進(jìn)行更新和完善。網(wǎng)站信息的更新包括關(guān)于期刊信息的更新和期刊內(nèi)容的更新。文中將網(wǎng)站信息的更新速度分為滯后(超過半年沒有更新)、一般(2~6個月內(nèi)有更新)、較快(1個月內(nèi)更新)3種。統(tǒng)計表明: 有獨(dú)立網(wǎng)站的14家期刊中, 所有網(wǎng)頁鏈接均有效的有5家(占35.7%), 有1個或2個網(wǎng)頁鏈接無效的有4家(占28.6%), 3個以上網(wǎng)頁鏈接無效的有5家(占35.7%); 網(wǎng)站更新速度較快的有1家(占7.1%), 兩三個月進(jìn)行1次信息更新的有9家(占64.3%), 這與大部分期刊是雙月刊有關(guān), 半年以上都沒有更新的有3家(占21.4%)。

三、 對期刊獨(dú)立網(wǎng)站建設(shè)的思考與建議

(一)重視期刊獨(dú)立網(wǎng)站的建設(shè)

互聯(lián)網(wǎng)的傳播速度快, 傳播范圍廣, 檢索功能強(qiáng), 具有紙質(zhì)期刊不可替代、無法比擬的天然優(yōu)勢。紙質(zhì)期刊要生存和不斷發(fā)展壯大, 期刊主要負(fù)責(zé)人必須改變傳統(tǒng)的辦刊方式, 更新觀念, 強(qiáng)化網(wǎng)絡(luò)意識, 重視期刊網(wǎng)站的建設(shè)。將期刊網(wǎng)站作為紙質(zhì)期刊的延伸、發(fā)展和補(bǔ)充, 可以加快紙質(zhì)期刊的傳播速度, 讓廣大作者、讀者通過期刊網(wǎng)站對期刊有更全面、更深入的了解, 同時突破時間和空間的制約, 實現(xiàn)網(wǎng)絡(luò)環(huán)境下的資源集中和共享, 進(jìn)一步密切和加強(qiáng)編輯部與作者、讀者、審者之間的溝通與聯(lián)系[3]。因此, 編輯部應(yīng)努力從以下幾方面著手建立一個實用的、信息完備的期刊網(wǎng)站。

第一, 設(shè)置好期刊網(wǎng)站欄目。根據(jù)期刊網(wǎng)站的功能需求, 一般應(yīng)設(shè)置有如下欄目: (1)關(guān)于本刊, 提供期刊簡介、欄目介紹、編委會、辦刊宗旨、獲獎情況、數(shù)據(jù)庫收錄情況、編輯團(tuán)隊、編輯部聯(lián)

系等信息; (2)投稿須知或指南, 提供征稿簡則、稿件處理流程、參考文獻(xiàn)著錄規(guī)則等信息; (3)讀者服務(wù), 提供最新錄用、當(dāng)期目錄、下期目錄、過刊瀏覽、論文檢索等服務(wù); (4)期刊訂閱, 提供電子版訂閱和印刷版訂閱服務(wù); (5)編輯部公告, 提供期刊最新出版信息、出版業(yè)新聞、最新法律和法規(guī)、論文被轉(zhuǎn)載等信息; (6)相關(guān)下載或下載中心, 提供論文模板、版權(quán)轉(zhuǎn)讓協(xié)議書等常用文檔的下載; (7)留言板或交流園地, 為作者、讀者、編輯和審者提供一個動態(tài)的交流平臺; (8)友情鏈接, 提供同行網(wǎng)站的鏈接服務(wù); (9)英語版, 提供英文版網(wǎng)站的鏈接。同時, 在中、英文版網(wǎng)站首頁上應(yīng)分別標(biāo)注“版權(quán)所有”、“copyright”字樣。

第二, 使用稿件在線處理系統(tǒng)。稿件在線處理系統(tǒng)是期刊數(shù)字化、網(wǎng)絡(luò)化進(jìn)程的必然選擇, 近年來已在我國期刊的管理與編輯出版工作中得到了廣泛的使用, 并彰顯了諸多優(yōu)勢。如果經(jīng)濟(jì)條件許可, 編輯部應(yīng)考慮使用商業(yè)化的稿件在線處理系統(tǒng), 在現(xiàn)有獨(dú)立網(wǎng)站中添加作者在線投稿/查稿、專家在線審稿、主編在線終審、編輯在線辦公等模塊, 從而為作者、審者、編者在線處理稿件提供平臺。

第三, 建立英文版網(wǎng)站。為了提高期刊的國際傳播能力, 加快期刊的國際化進(jìn)程, 打造期刊品牌, 擴(kuò)大讀者群和吸引國外作者投稿, 進(jìn)一步促進(jìn)國際學(xué)術(shù)交流, 期刊編輯部應(yīng)該重視英文版網(wǎng)站的建設(shè), 除了提供論文的英文題目、英文摘要和英文關(guān)鍵詞外, 還應(yīng)提供期刊的英文簡介、作者投稿和專家審稿操作的英文說明等內(nèi)容, 制作突出學(xué)術(shù)內(nèi)容、期刊特色和品牌標(biāo)志的高質(zhì)量英文網(wǎng)頁, 以適應(yīng)期刊國際化的需要。

第四, 在獨(dú)立網(wǎng)站上實現(xiàn)優(yōu)先數(shù)字出版。優(yōu)先數(shù)字出版是以數(shù)字出版方式(如通過互聯(lián)網(wǎng)、手機(jī)、光盤等)提前出版紙質(zhì)期刊錄用的稿件, 在期刊獨(dú)立網(wǎng)站上常稱為“在線預(yù)(或優(yōu)先)出版”。優(yōu)先數(shù)字出版是提高學(xué)術(shù)期刊出版速度的一種新模式[4]。將最新錄用稿件或下期稿件的目錄、摘要、全文在獨(dú)立網(wǎng)站上優(yōu)先出版, 既可以防止論文重復(fù)發(fā)表, 又可以為優(yōu)秀稿件搶國際首發(fā)權(quán)開通了一條綠色特快通道, 擴(kuò)大期刊讀者群, 進(jìn)而提高期刊的被引頻次、即年指標(biāo)等期刊評價指標(biāo)。近年來, 國際上一些著名學(xué)術(shù)期刊(如《science》、《nature》)和出版商(如elsevier、springer)均采用了優(yōu)先數(shù)字出版模式: 選擇部分定稿和采用的論文在紙質(zhì)版出版之前在自建網(wǎng)站上優(yōu)先出版, 供讀者閱讀或下載。在國內(nèi), 《浙江大學(xué)學(xué)報(人文社會科學(xué)版)》通過其獨(dú)立網(wǎng)站在線優(yōu)先出版審定通過且達(dá)到正式出版水平的論文[5], 有效地縮短了論文的出版時滯, 促進(jìn)了最新成果的快速交流。

(二)加強(qiáng)網(wǎng)站的管理與數(shù)據(jù)維護(hù)

期刊網(wǎng)站的管理與維護(hù)是一個長期、持續(xù)和動態(tài)的過程。網(wǎng)站啟用前, 應(yīng)設(shè)置好各欄目內(nèi)容, 確保各網(wǎng)頁鏈接的有效性, 盡量避免出現(xiàn)死鏈接; 網(wǎng)站啟用后, 編輯部還應(yīng)及時發(fā)現(xiàn)和修正網(wǎng)站錯誤, 并不斷地對網(wǎng)頁信息進(jìn)行更新和完善。由于編輯對期刊數(shù)字化出版的認(rèn)識不足、資金和人才資源短缺等原因, 有些期刊網(wǎng)站存在信息更新滯后的現(xiàn)象, 提供的過刊目次還停留于幾個月前甚至幾年前的過刊, 這種沒有更新的靜態(tài)閑置的網(wǎng)站毫無意義。因此, 編輯部要及時更新、豐富期刊網(wǎng)站內(nèi)容, 實現(xiàn)期刊全文內(nèi)容同步上網(wǎng), 免費(fèi)提供過刊全文瀏覽, 為作者、讀者和審者提供更為方便的服務(wù), 從而吸引更多的讀者, 進(jìn)而提升期刊的影響力和競爭力。稿件在線處理系統(tǒng)運(yùn)行的數(shù)據(jù)基礎(chǔ)和稿件處理流程所圍繞的核心, 是網(wǎng)站系統(tǒng)功能實現(xiàn)的關(guān)鍵。因此, 網(wǎng)站管理員要使用數(shù)據(jù)庫系統(tǒng)定期自動完成數(shù)據(jù)的本地備份, 定期手工進(jìn)行數(shù)據(jù)庫的異地備份, 使數(shù)據(jù)庫備份做到及時安全, 同時也要做好服務(wù)器的安全性維護(hù)工作(如及時升級殺毒軟件和系統(tǒng)補(bǔ)丁、經(jīng)常全盤殺毒等), 以免系統(tǒng)出現(xiàn)故障時影響網(wǎng)站的正常運(yùn)行。對于高校期刊而言, 可以考慮使用學(xué)校分配的二級域名, 這樣編輯部不用專門申請域名; 一個學(xué)校的多家期刊可以考慮共用一個專用的服務(wù)器, 將服務(wù)器交由學(xué)校網(wǎng)絡(luò)中心托管, 這樣既節(jié)省開支, 也給網(wǎng)站管理和維護(hù)帶來方便。

(三)重視數(shù)字化人才的培養(yǎng)和編輯素質(zhì)的提高

在數(shù)字化、網(wǎng)絡(luò)化的大環(huán)境下, 期刊編輯部應(yīng)注意培養(yǎng)期刊數(shù)字出版各個環(huán)節(jié)所需的專門人才或復(fù)合型人才, 以適應(yīng)期刊數(shù)字化、網(wǎng)絡(luò)化出版的發(fā)展, 提升

其傳播力和影響力。隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)在期刊中的應(yīng)用不斷加強(qiáng), 期刊編輯應(yīng)通過繼續(xù)教育學(xué)習(xí)掌握現(xiàn)代編輯手段, 提高為作者和讀者服務(wù)的質(zhì)量, 促進(jìn)網(wǎng)絡(luò)環(huán)境下期刊編輯工作的發(fā)展。

參考文獻(xiàn):

[1] 許花桃,劉淑華,傅曉琴.縮短稿件處理周期的實踐 [j].編輯學(xué)報,2010,22(1):64-65.

[2] 劉穎,唐永林,曾媛.我國物理類核心期刊網(wǎng)站建設(shè)研究 [j].科技情報開發(fā)與經(jīng)濟(jì),2009,19(2):11-13.

[3] 劉飚,邢飛,徐威.國外科技期刊網(wǎng)站的調(diào)查與思考 [j].中國科技期刊研究,2009,20(3):479-483.

[4] 汪新紅.優(yōu)先數(shù)字出版是提高學(xué)術(shù)期刊出版速度的一種新模式 [j].中國科技期刊研究,2011,22(1):90-92.

[5] 《浙江大學(xué)學(xué)報(人文社會科學(xué)版)》編輯部.最新錄用 [eb/ol].[2012-05-01].http:∥journals.zju.edu.cn/soc/cn/article/downloadarticlefile.do?attachtype=pdf&id=10508.

current status investigation and analysis on website construction of

humanities and social science journals of guangdong universities

xu hua-tao

(editorial department of journal, south china university of technology, guangzhou 510640, guangdong, china)

篇6

論文關(guān)鍵詞:網(wǎng)絡(luò)教學(xué),J2EE,MVC,設(shè)計模式

 

(一)、前言

目前投入使用的網(wǎng)絡(luò)教學(xué)平臺雖然使用B/S結(jié)構(gòu),但僅僅是簡單的請求/應(yīng)答,由網(wǎng)頁中嵌入ASP/JSP代碼段完成數(shù)據(jù)庫的訪問、數(shù)據(jù)計算功能。平臺的體系結(jié)構(gòu)模糊,邏輯分工不明確,代碼的重用性差,存在一定的安全隱患。本文采用J2EE多層體系結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)教學(xué)平臺MVC,將Web層與業(yè)務(wù)層分開,實現(xiàn)代碼進(jìn)一步模塊化。運(yùn)用JSP、JavaBean、EJB等組件技術(shù)實現(xiàn)數(shù)據(jù)庫訪問等有一定共性的業(yè)務(wù)處理功能,提高代碼的重用。同時,采用MVC(Model-View-Controller)、會話外觀(Session Facade)模式、業(yè)務(wù)代表(Business Delegate)等J2EE設(shè)計模式提高網(wǎng)絡(luò)教學(xué)平臺的伸縮性、安全性。

(二)、基于J2EE/MVC的網(wǎng)絡(luò)教學(xué)平臺的設(shè)計

篇7

關(guān)鍵詞:中職院校;計算機(jī)專業(yè);網(wǎng)頁制作;專題學(xué)習(xí)網(wǎng)站

中圖分類號:G434 文獻(xiàn)標(biāo)識碼:A 論文編號:1674-2117(2016)01-0079-02

中職計算機(jī)專業(yè)“網(wǎng)頁制作”課程教學(xué)的重要性

作為我國教育體系重要的組成部分,中職院校在人才培養(yǎng)中扮演著重要的角色。在當(dāng)前時代與社會的發(fā)展要求下,中職院校更需要強(qiáng)化發(fā)展。[1]計算機(jī)專業(yè)中的“網(wǎng)頁制作”課程其培養(yǎng)方向與中職計算機(jī)專業(yè)人才培養(yǎng)的目標(biāo)相一致,即提高學(xué)生的專業(yè)知識、專業(yè)技能以及實踐能力。因此,強(qiáng)化中職計算機(jī)專業(yè)“網(wǎng)頁制作”課程的教學(xué)有著重要的意義和作用。

中職計算機(jī)專業(yè)“網(wǎng)頁制作”課程利用專題學(xué)習(xí)網(wǎng)站的實踐

當(dāng)前,計算機(jī)被廣泛應(yīng)用到各個行業(yè)和領(lǐng)域中,為了提高計算機(jī)專業(yè)的教學(xué)質(zhì)量,為社會培養(yǎng)更多的實用性人才,中職院校在計算機(jī)專業(yè)的教學(xué)中增加了“網(wǎng)頁制作”課程。而在實際教學(xué)中,專題學(xué)習(xí)網(wǎng)站能為學(xué)生學(xué)習(xí)“網(wǎng)頁制作”課程提供幫助,從而提高他們的實踐能力。[2]

專題學(xué)習(xí)網(wǎng)站,是在互聯(lián)網(wǎng)環(huán)境下,將各科學(xué)習(xí)課程或者某些教學(xué)課程之間的某一項或者多項學(xué)習(xí)的知識點有機(jī)結(jié)合起來的學(xué)習(xí)專題,是可以讓學(xué)習(xí)者進(jìn)一步研究和學(xué)習(xí)的一個資源型學(xué)習(xí)網(wǎng)站。它可以用來進(jìn)行資源信息的存儲和加工,對學(xué)生的學(xué)習(xí)情況進(jìn)行在線反饋等。[3]在中職計算機(jī)專業(yè)“網(wǎng)頁制作”課程的教學(xué)中,由于其操作性強(qiáng)、專業(yè)性強(qiáng)等特點,教師需要讓學(xué)生在網(wǎng)頁制作設(shè)計中充分利用各種資源。而專題學(xué)習(xí)網(wǎng)站能為學(xué)生提供豐富的資源,滿足學(xué)生的設(shè)計需求?!熬W(wǎng)頁制作”專題學(xué)習(xí)網(wǎng)站的結(jié)構(gòu)如圖1所示。

在專題學(xué)習(xí)網(wǎng)站中,基礎(chǔ)知識部分為網(wǎng)頁制作的基礎(chǔ)教學(xué)資源,包含了網(wǎng)頁制作基礎(chǔ)理論、網(wǎng)頁制作設(shè)計軟件操作、網(wǎng)頁制作技巧等,是學(xué)生學(xué)習(xí)“網(wǎng)頁制作”課程的入門知識。專題學(xué)習(xí)網(wǎng)站中的實例教學(xué),則是以教學(xué)實例為例子,使用任務(wù)驅(qū)動教學(xué)法,為學(xué)生提供網(wǎng)頁制作所需要的各種資源,以教學(xué)實例為網(wǎng)頁制作知識學(xué)習(xí)的主線,循序漸進(jìn),使學(xué)生掌握網(wǎng)頁制作的相關(guān)知識,并提高網(wǎng)頁制作實踐技能。

網(wǎng)站界面的主要功能是為用戶提供服務(wù),所以在網(wǎng)頁的制作和設(shè)計中,一般需要做到以下幾點:①保證網(wǎng)頁的簡潔性。在網(wǎng)頁制作的過程中,界面的簡潔可以方便用戶的操作、使用和了解,從而減少錯誤操作。②一致性。在網(wǎng)頁設(shè)計中,需要保證每個網(wǎng)頁的一致性,做到結(jié)構(gòu)一致、清晰,風(fēng)格一致等。③清楚。制作網(wǎng)頁需要保證網(wǎng)頁的清晰度,因為清楚的視覺效果便于用戶的瀏覽和使用。④安全性。在網(wǎng)頁制作中,需要保證網(wǎng)頁的安全性,在保證用戶可以自主選擇的同時,也要給予用戶選擇錯誤時必要的系統(tǒng)信息提示等。[4]除此之外,還需要具有靈活性、排列性等。

“網(wǎng)頁制作”課程利用專題學(xué)習(xí)網(wǎng)站,既可以用于課堂教學(xué),也可以用于學(xué)生的課外網(wǎng)站學(xué)習(xí)。例如,“網(wǎng)頁設(shè)計”專題學(xué)習(xí)網(wǎng)站的實例教學(xué)部分,主要是制作教學(xué)案例。案例多以課程教學(xué)中的實施為基礎(chǔ)和依托,案例的設(shè)計不只是一個知識點的應(yīng)用,還會包含多個知識點,是計算機(jī)專業(yè)“網(wǎng)頁制作”課程知識的綜合利用。實例教學(xué)的界面如圖2所示。

教師指導(dǎo)學(xué)生利用專題學(xué)習(xí)網(wǎng)站進(jìn)行網(wǎng)頁制作的主要步驟為:

第一步,欣賞借鑒。教師讓學(xué)生上網(wǎng)瀏覽、欣賞、搜集自己覺得精彩的網(wǎng)頁、個人主頁等。

第二步,設(shè)計網(wǎng)站的基本框架。教師指導(dǎo)學(xué)生建站、鏈接、文本鏈接、圖像鏈接等,建立與E-mail超鏈接。

第三步,設(shè)計頁面布局。學(xué)生利用自己所學(xué)的知識,進(jìn)行網(wǎng)頁、表格、文字等的布局設(shè)置,在網(wǎng)頁中輸入圖像、背景顏色、背景音樂等,設(shè)置文件的保存、命名、移動、刪除等操作。

第四步,創(chuàng)建動態(tài)頁面。學(xué)生利用所學(xué)的計算機(jī)知識,設(shè)置動態(tài)的網(wǎng)站頁面,如字幕、懸停按鈕、圖像、文字等動態(tài)的效果畫面。

第五步,上傳網(wǎng)頁。學(xué)生完成網(wǎng)頁設(shè)計之后,可以申請免費(fèi)的個人網(wǎng)站主頁,在網(wǎng)站空間里上傳自己設(shè)計的網(wǎng)站、網(wǎng)頁。

第六步,評價網(wǎng)頁設(shè)計。教師對學(xué)生上傳的網(wǎng)頁設(shè)計實踐成果進(jìn)行評價,并針對其存在的不足和錯誤進(jìn)行糾正,以幫助學(xué)生認(rèn)識網(wǎng)頁設(shè)計的不足,并逐步完善。

結(jié)語

中職計算機(jī)專業(yè)“網(wǎng)頁制作”課程教學(xué),充分利用專題學(xué)習(xí)網(wǎng)站進(jìn)行實踐,既可以培養(yǎng)和鍛煉學(xué)生的網(wǎng)頁制作設(shè)計技能,還可以為學(xué)生的網(wǎng)頁制作、設(shè)計,提供豐富的信息資源。因此,在中職計算機(jī)專業(yè)“網(wǎng)頁制作”課程教學(xué)中,利用專題學(xué)習(xí)網(wǎng)站進(jìn)行教學(xué)實踐,對培養(yǎng)計算機(jī)專業(yè)人才具有重要意義。

參考文獻(xiàn):

[1]黃以寶.《網(wǎng)頁設(shè)計與制作》專題學(xué)習(xí)網(wǎng)站的設(shè)計[J].電腦知識與技術(shù),2009(15):4089-4090.

[2]李鴻琴.應(yīng)用專題學(xué)習(xí)網(wǎng)站教學(xué)“網(wǎng)頁設(shè)計與制作”[J].中國信息技術(shù)教育,2009(15):43-45.

篇8

論文摘要:網(wǎng)絡(luò)上的動態(tài)網(wǎng)站以ASP為多數(shù),我們學(xué)校的網(wǎng)站也是ASP的。筆者作為學(xué)校網(wǎng)站的制作和維護(hù)人員,與ASP攻擊的各種現(xiàn)象斗爭了多次,也對網(wǎng)站進(jìn)行了一次次的修補(bǔ),根據(jù)工作經(jīng)驗,就ASP網(wǎng)站設(shè)計常見安全漏洞及其防范進(jìn)行一些探討。本文結(jié)合ASP動態(tài)網(wǎng)站開發(fā)經(jīng)驗,對ASP程序設(shè)計存在的信息安全隱患進(jìn)行分析,討論了ASP程序常見的安全漏洞,從程序設(shè)計角度對WEB信息安全及防范提供了參考。

1網(wǎng)絡(luò)安全總體狀況分析

2007年1月至6月期間,半年時間內(nèi),CNCERT/CC接收的網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件,已分別超出去年全年總數(shù)的14.6%和12.5%。

從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標(biāo)明確,針對不同網(wǎng)站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現(xiàn)明顯。對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業(yè),尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè),采用有組織的分布式拒絕服務(wù)攻擊(DDoS)等手段進(jìn)行勒索,影響企業(yè)正常業(yè)務(wù)的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產(chǎn)。

2用IIS+ASP建網(wǎng)站的安全性分析

微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計技術(shù),被廣泛應(yīng)用在網(wǎng)上銀行、電子商務(wù)、網(wǎng)上調(diào)查、網(wǎng)上查詢、BBS、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴(yán)峻的安全問題。本文從ASP程序設(shè)計角度對WEB信息安全及防范進(jìn)行分析討論。

3SP安全漏洞和防范

3.1程序設(shè)計與腳本信息泄漏隱患

bak文件。攻擊原理:在有些編輯ASP程序的工具中,當(dāng)創(chuàng)建或者修改一個ASP文件時,編輯器自動創(chuàng)建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。

防范技巧:上傳程序之前要仔細(xì)檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。

inc文件泄露問題。攻擊原理:當(dāng)存在ASP的主頁正在制作且沒有進(jìn)行最后調(diào)試完成以前,可以被某些搜索引擎機(jī)動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進(jìn)行查找,會得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結(jié)構(gòu)的細(xì)節(jié),并以此揭示完整的源代碼。

防范技巧:程序員應(yīng)該在網(wǎng)頁前對它進(jìn)行徹底的調(diào)試。首先對.inc文件內(nèi)容進(jìn)行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。

3.2對ASP頁面進(jìn)行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進(jìn)行加密。我們曾采用兩種方法對ASP頁面進(jìn)行加密。一是使用組件技術(shù)將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進(jìn)行加密。3.3程序設(shè)計與驗證不全漏洞

驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內(nèi)容,但網(wǎng)上有很多攻擊軟件,如注冊機(jī),可以通過瀏覽WEB,掃描表單,然后在系統(tǒng)上頻繁注冊,頻繁發(fā)送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術(shù),使客戶端輸入的信息都必須經(jīng)過驗證,從而可以解決這個問題。

登陸驗證。對于很多網(wǎng)頁,特別是網(wǎng)站后臺管理部分,是要求有相應(yīng)權(quán)限的用戶才能進(jìn)入操作的。但是,如果這些頁面沒有對用戶身份進(jìn)行驗證,黑客就可以直接在地址欄輸入收集到的相應(yīng)的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權(quán)限。所以,登陸驗證是非常必要的。

SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習(xí)慣,可能被入侵很長時間都不會發(fā)覺。

SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構(gòu)造SQL語句或存儲過程的參數(shù)。以下列出三種攻擊的形式:

A.用戶登錄:假設(shè)登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結(jié)果就是該黑客成為了合法的用戶。

B.用戶輸入:假設(shè)網(wǎng)頁中有個搜索功能,只要用戶輸入搜索關(guān)鍵字,系統(tǒng)就列出符合條件的所有記錄,可是,如果黑客在關(guān)鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。

C.參數(shù)傳遞:假設(shè)我們有個網(wǎng)頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構(gòu)成某SQL語句,這種情況很常見??墒?,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0,結(jié)果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進(jìn)行屏蔽處理的話,黑客就獲得了數(shù)據(jù)庫的用戶名,這為他們的進(jìn)一步攻擊提供了很好的條件。

解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復(fù)嘗試”的方式,可以構(gòu)造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:

第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;

第二:在客戶端利用ASP自帶的校驗控件和正則表達(dá)式對用戶輸入進(jìn)行校驗,發(fā)現(xiàn)非法字符,提示用戶且終止程序進(jìn)行;

第三:為了防止黑客避開客戶端校驗直接進(jìn)入后臺,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進(jìn)行檢查,一旦發(fā)現(xiàn)可疑輸入,立即終止程序,但不進(jìn)行提示,同時,將黑客IP、動作、日期等信息保存到日志數(shù)據(jù)表中以備核查。

第四:對于參數(shù)的情況,頁面利用QueryString或者Quest取得參數(shù)后,要對每個參數(shù)進(jìn)行判斷處理,發(fā)現(xiàn)異常字符,要利用replace函數(shù)將異常字符過濾掉,然后再做下一步操作。

第五:只給出一種錯誤提示信息,服務(wù)器都只提示HTTP500錯誤。

第六:在IIS中為每個網(wǎng)站設(shè)置好執(zhí)行權(quán)限。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權(quán)限。一般情況下給個“純腳本”權(quán)限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執(zhí)行權(quán)限設(shè)為“無”好了。

第七:數(shù)據(jù)庫用戶的權(quán)限配置。對于MS_SQL,如果PUBLIC權(quán)限足夠使用的絕不給再高的權(quán)限,千萬不要SA級別的權(quán)限隨隨便便地給。

3.4傳漏洞

諸如論壇,同學(xué)錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能,但在網(wǎng)頁設(shè)計時如果缺少對用戶提交參數(shù)的過濾,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件,導(dǎo)致攻擊事件的發(fā)生。

防文件上傳漏洞

在文件上傳之前,加入文件類型判斷模塊,進(jìn)行過濾,防止ASP、ASA、CER等類型的文件上傳。

暴庫。暴庫,就是通過一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫的地址,并將數(shù)據(jù)非法下載到本地。

數(shù)據(jù)庫可能被下載。在IIS+ASP網(wǎng)站中,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名,則該數(shù)據(jù)庫就可以被下載到本地。

數(shù)據(jù)庫可能被解密

由于Access數(shù)據(jù)庫的加密機(jī)制比較簡單,即使設(shè)置了密碼,解密也很容易。因此,只要數(shù)據(jù)庫被下載,其信息就沒有任何安全性可言了。

防止數(shù)據(jù)庫被下載。由于Access數(shù)據(jù)庫加密機(jī)制過于簡單,有效地防止數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。

非常規(guī)命名法。為Access數(shù)據(jù)庫文件起一個復(fù)雜的非常規(guī)名字,并把它放在幾個目錄下。

使用ODBC數(shù)據(jù)源。在ASP程序設(shè)計中,如果有條件,應(yīng)盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名寫在程序中,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。

使用密碼加密。經(jīng)過MD5加密,再結(jié)合生成圖片驗證碼技術(shù),暴力破解的難度會大大增強(qiáng)。

使用數(shù)據(jù)備份。當(dāng)網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù),可以將備份的數(shù)據(jù)恢復(fù)到原始的數(shù)據(jù),保證了網(wǎng)站在一些人為的、自然的不可避免的條件下的相對安全性。

3.5SP木馬

由于ASP它本身是服務(wù)器提供的一項服務(wù)功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠(yuǎn)不會被查殺的后門”。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除。

技巧1:殺毒軟件查殺

一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進(jìn)行掃描,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬。

技巧2:FTP客戶端對比

asp木馬若進(jìn)行偽裝,加密,躲藏殺毒軟件,怎么辦?

我們可以利用一些FTP客戶端軟件(例如cuteftp,F(xiàn)lashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發(fā)現(xiàn)是否多出可疑文件。

技巧3:用BeyondCompare2進(jìn)行對比

滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發(fā)語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。

技巧4:利用組件性能找asp木馬

如:思易asp木馬追捕。

大家在查找web空間的asp木馬時,最好幾種方法結(jié)合起來,這樣就能有效的查殺被隱藏起來的asp木馬。

結(jié)束語

總結(jié)了ASP木馬防范的十大原則供大家參考:

建議用戶通過FTP來上傳、維護(hù)網(wǎng)頁,盡量不安裝asp的上傳程序。

對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證,并只允許信任的人使用上傳程序。

asp程序管理員的用戶名和密碼要有一定復(fù)雜性,不能過于簡單,還要注意定期更換。

到正規(guī)網(wǎng)站下載asp程序,下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改,數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。

要盡量保持程序是最新版本。

不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。

為防止程序有未知漏洞,可以在維護(hù)后刪除后臺管理程序的登陸頁面,下次維護(hù)時再通過上傳即可。

要時常備份數(shù)據(jù)庫等重要文件。

日常要多維護(hù),并注意空間中是否有來歷不明的asp文件。

一旦發(fā)現(xiàn)被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。

做好以上防范措施,您的網(wǎng)站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰(zhàn)爭!網(wǎng)站安全是一個較為復(fù)雜的問題,嚴(yán)格的說,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),我們只有通過不斷的改進(jìn)程序,將各種可能出現(xiàn)的問題考慮周全,對潛在的異常情況進(jìn)行處理,才能減少被黑客入侵的機(jī)會。

參考文獻(xiàn)

[1]袁志芳田曉芳李桂寶《ASP程序設(shè)計與WEB信息安全》中國教育信息化2007年21期.

篇9

關(guān)鍵詞:網(wǎng)址,加密,網(wǎng)絡(luò)安全,活動服務(wù)器頁面,服務(wù)器端網(wǎng)頁設(shè)計

0引言 隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展以及電子商務(wù)的興起,許多企業(yè)都建立了自己的商務(wù)網(wǎng)站,針對網(wǎng)絡(luò)和計算機(jī)系統(tǒng)的攻擊已經(jīng)屢見不鮮,在構(gòu)建網(wǎng)站的時候,都會考慮網(wǎng)絡(luò)安全問題,對于網(wǎng)絡(luò)安全的投入較大,如使用防火墻、入侵檢測、企業(yè)防病毒等安全產(chǎn)品,但網(wǎng)站還是有被攻擊,甚至完全被控制的可能。因為企業(yè)的網(wǎng)站一般都采用ASP、PHP或JSP等腳本語言來連接數(shù)據(jù)庫,取得數(shù)據(jù)庫里面的數(shù)據(jù)生成動態(tài)網(wǎng)頁。當(dāng)一個網(wǎng)站完全建立后,程序會很多,特別是網(wǎng)頁設(shè)計的特殊性,服務(wù)器與用戶的交互程序更多,所以,程序的漏洞也會增多,給網(wǎng)站帶來不可估量的安全隱患,這些程序漏洞比網(wǎng)站服務(wù)器的漏洞更為嚴(yán)重 [1][2][3] 。

1網(wǎng)頁設(shè)計安全漏洞的形成ASP、PHP或JSP等腳本語言作為典型的服務(wù)器端網(wǎng)頁設(shè)計技術(shù),為網(wǎng)站開發(fā)人員提供了簡單高效的動態(tài)Web應(yīng)用程序開發(fā)方法。在網(wǎng)站設(shè)計時,使用上述腳本語言編程可以更好地管理網(wǎng)站資源,增加網(wǎng)站與瀏覽者之間的交互,如新聞系統(tǒng)、產(chǎn)品管理系統(tǒng)、會員管理系統(tǒng)、論壇反饋系統(tǒng)、在線調(diào)查系統(tǒng)、在線訂單系統(tǒng)和留言板系統(tǒng)等,其共同點是用戶輸入很多資料,與其他瀏覽者交流或者與網(wǎng)站管理者交流。。而交互正是漏洞形成的一大原因,因為用戶輸入信息不可預(yù)測,如果程序沒有考慮或者考慮不全面,用戶輸入就有可能成為攻擊事件,且不管有意還是無意。網(wǎng)頁編程直接和服務(wù)器打交道,與網(wǎng)站目錄、網(wǎng)站數(shù)據(jù)庫設(shè)置、系統(tǒng)設(shè)置相關(guān),通過這些程序訪問網(wǎng)站目錄、設(shè)置等所有服務(wù)器內(nèi)容,若程序設(shè)計有漏洞,即網(wǎng)站有漏洞。

2網(wǎng)頁設(shè)計的安全漏洞及對策2.1登陸驗證漏洞凡帶有交互性的網(wǎng)站,包括論壇、聊天室、信息網(wǎng)會員區(qū)、網(wǎng)上影院等,登陸驗證是必不可少的組成部分。。雖然登陸的驗證程序只是網(wǎng)站整體的一部分,但卻是網(wǎng)站的安全關(guān)口。網(wǎng)站設(shè)計者容易疏忽這一點,沒有處理好口令驗證程序的關(guān)口,以至他人趁虛而進(jìn),甚至造成重大影響與經(jīng)濟(jì)損失。許多網(wǎng)站都存在一個登陸驗證的漏洞,而這個漏洞是在編寫程序驗證賬號密碼時由于程序不嚴(yán)謹(jǐn)而造成。。如在設(shè)計網(wǎng)站會員區(qū)時,都會將賬號、密碼放在一個叫“User”的數(shù)據(jù)表中,并設(shè)置“username”和“password”兩個字段分別表示用戶的登錄名稱和登錄密碼。當(dāng)驗證時,檢查用戶輸入的兩個參數(shù)是否存在于這個數(shù)據(jù)表,如果存在,證明這個用戶合法;不存在,證明用戶不合法,而漏洞就出現(xiàn)在這段驗證代碼上。

在登陸驗證(以asp為例)中常會用SQL查詢語句來判斷該用戶是否為站點的合法會員。

<!--連接數(shù)據(jù)庫-->

<!--#include file=dbconn.asp -->

<%

Dim rs

Set rs=CreateObject(“Adodb.Recordset”) ‘定義一個Ado數(shù)據(jù)集實例

rs.source='select * from user whereusername=’” & username & “’and password=’” & password & “’”

‘連接登陸驗證語句字串

rs.open rs.sourc,conn,1,1 ‘執(zhí)行查詢語句

...

%>

當(dāng)根據(jù)以上的SQL語句構(gòu)造一組特殊的用戶名和密碼,例如用戶名為該網(wǎng)站任意一個存在的用戶名Admin,密碼為a' or 'a'='a,則程序中SQL變量的值將會變成sql=“select* from username where username=’a’ and password=’a’ or ’a’=’a’” 顯然,該查詢語句的邏輯原意已被徹底改變,一個邏輯運(yùn)算符or使用整個邏輯條件為真,即這條SQL口令驗證語句已經(jīng)失去了效用,只要知道了任意一個存在的用戶名就可以成功地進(jìn)入到敏感區(qū)域。

解決漏洞的方案如下:

1) 生成SQL查詢語句之前,對用戶輸入的參數(shù)(用戶名和密碼)進(jìn)行過濾;

2)先查詢用戶名再進(jìn)行密碼驗證。

2.2繞過驗證直接進(jìn)入設(shè)計頁面漏洞每個敏感的頁面必須進(jìn)行身份驗證,如果用戶知道了一個設(shè)計頁面(如用ASP)的路徑和文件名,而這個頁面又沒有驗證的程序,則用戶可直接輸入這個設(shè)計頁面的文件名,即繞過了登陸驗證,直接進(jìn)入了指定的頁面。。網(wǎng)站設(shè)計者除了登陸驗證外還必須在有關(guān)頁面進(jìn)行身份驗證,才能提高站點的安全指數(shù)。。

2.3桌面數(shù)據(jù)庫被下載漏洞在ASP+Access應(yīng)用系統(tǒng)中,如果獲得Access數(shù)據(jù)庫的存儲路徑和數(shù)據(jù)庫名,則該數(shù)據(jù)庫可以被下載到本地。。如對于網(wǎng)上圖書館的Access數(shù)據(jù)庫,一般命名為Library.mdb等,而存儲的路徑一般為“URL/database”或放在根目錄(“URL/”)下。這樣,只要在瀏覽器地址欄中輸入地址 “URL/database/Library.mdb”,就可以輕易地把Library.mdb下載到本地的機(jī)器中。

在ASP程序設(shè)計中,應(yīng)盡量使用ODBC數(shù)據(jù)源,不直把數(shù)據(jù)庫名直接寫在程序中,否則數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密,例如:

DBPath = Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)

conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

可見,ASP源代碼失密后,數(shù)據(jù)庫也很容易被下載。如果使用ODBC數(shù)據(jù)源,則不會存在 conn.open

“ODBC-DSN名”。2.4 源代碼泄露漏洞為有效防止源代碼泄露,可以對頁面代碼進(jìn)行加密。

一般有以下兩種方法對ASP頁面進(jìn)行加密:

1) 使用組件技術(shù)將編程邏輯封裝入DLL中;

2) 使用微軟的Script Encoder對ASP頁面進(jìn)行加密。

使用組件技術(shù)存在的主要問題是每段代碼均需組件化,操作比較煩瑣,工作量較大,而使用Script Encoder對ASP頁面進(jìn)行加密,操作簡單、收效良好。Script Encoder方法具有以下優(yōu)點:

1)HTML具有很好的可編輯性,Script Encoder只加密在HTML頁面中嵌入的ASP

代碼,其他部分仍保持不變,故仍可以使用FrontPage或Dreamweaver等常用網(wǎng)頁編輯工具對HTML部分進(jìn)行修改、完善,但不能對ASP加密部分進(jìn)行修改,否則將導(dǎo)致文件失效;

2) 作較簡單,只要掌握幾個命令行參數(shù)即可,Script Encoder的運(yùn)行程序是

screnc.exe,其使用方法如下:screnc [/s] [/f] [/xl] [/l defLanguage ] [/e:defExtension] inputfileoutputfile,其中 s為屏蔽屏幕輸出;f為指定輸出文件是否覆蓋同名輸入文件;xl指是否在.asp文件的頂部添加@Language指令;l為defLanguag指定缺省的腳本語言;e為defExtension 指定待加密文件的擴(kuò)展名;

3) 用Script Encoder可以對當(dāng)前目錄中所有的ASP文件進(jìn)行加密,并把加密

后的文件統(tǒng)一輸出到相應(yīng)的目錄中,例如:screnc *.asp c: emp;

4) cript Encoder是免費(fèi)軟件,該加密軟件可以從微軟網(wǎng)站

msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下載,下載后,運(yùn)行安裝即可,利用Session對象進(jìn)行注冊驗證。

2.4文件上傳漏洞許多網(wǎng)站如論壇、同學(xué)錄、郵件服務(wù)系統(tǒng)都提供了文件上傳的功能,但設(shè)計者在設(shè)計用戶提交參數(shù)缺少充分過濾,以至遠(yuǎn)程攻擊者利用這個漏洞可以上傳惡意文件,甚至造成系統(tǒng)數(shù)據(jù)庫破壞或以Web權(quán)限在系統(tǒng)上執(zhí)行任意命令。例如iXmail包含的“ixmail_attach.php”腳本對用戶提交的附件缺少充分過濾,攻擊者可以通過操作URL參數(shù)上傳惡意文件(如php文件)到服務(wù)器上,雖然文件放置在Web目錄下的/tmp目錄中,但可以遠(yuǎn)程訪問,因此攻擊者可能以Web進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意命令,故在文件上傳之前,加入文件類型判斷模塊,并進(jìn)行過濾。如要求用戶上傳圖片時,對上傳的文件格式進(jìn)行判斷,如果是指定的圖片文件格式(如JPG、GIF)允許上傳,其他格式諸如*.EXE,*.PHP,*.ASP,*.JSP等可執(zhí)行或可解釋的程序文件就禁止上傳。

3 結(jié)論本文介紹了網(wǎng)站建設(shè)中網(wǎng)頁設(shè)計容易出現(xiàn)的漏洞和解決方法,安全概念要貫穿在整個網(wǎng)頁設(shè)計過程中,只有隨時考慮安全的問題,網(wǎng)站才會有更強(qiáng)的安全性。

參考文獻(xiàn)[1] 希利爾 S著. Active Server Pages編程指南[M]. 董啟雄譯. 北京: 宇航出版社, 1998.

[2] 沈文智. Microsoft IIS 網(wǎng)頁技術(shù)[M]. 北京: 人民郵電出版社,1998.

[3] 張小斌, 嚴(yán)望佳. 黑客分析與防范技術(shù)[M].北京: 清華大學(xué)出版社, 1999

篇10

關(guān)鍵詞 B/S體系;JSP;信息管理系統(tǒng)

中圖分類號G311 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708(2013)103-0019-02

0引言

隨著近些年網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,國內(nèi)許多高校也掀起了全面信息化管理的浪潮,而科研管理是高校信息化的重要組成部分,過去一些高校的科研管理系統(tǒng)大都是基于局域網(wǎng)系統(tǒng)的,所以信息不能及時更新,共享程度低,所以構(gòu)建一個現(xiàn)代化的高??蒲泄芾硐到y(tǒng)勢在必行[1]。

長期以來,天津商業(yè)大學(xué)科研處一直是采用傳統(tǒng)的手工勞動操作方式,造成了辦公效率低下、信息滯后嚴(yán)重、項目管理松弛等問題,嚴(yán)重影響到學(xué)??蒲械乃?,因此,盡快研發(fā)基于網(wǎng)絡(luò)的科研系統(tǒng)刻不容緩。

1系統(tǒng)設(shè)計目標(biāo)

建立基于B/S結(jié)構(gòu)的科研管理信息系統(tǒng)的設(shè)計目標(biāo)是:

1)建立一個從管理角度出發(fā),實現(xiàn)多層用戶的分級管理,包括科研處管理人員,學(xué)院科研秘書以及教師三個層次的管理;

2)實現(xiàn)科研項目和科研考核的流程化和規(guī)范化,教師項目的申報,中期檢查,結(jié)項等事宜流程化管理,教師的科研成果包括專利,獲獎等實行網(wǎng)上申報和管理;

3)兼容年底的科研統(tǒng)計。兼容各級科研管理部門,例如教育部,天津市科委等部門的統(tǒng)計任務(wù);

4)網(wǎng)上辦公。實現(xiàn)通過管理系統(tǒng)實現(xiàn)信息、資源共享,郵件傳送等功能;

5)輔助科研決策。用戶可以通過對自己感興趣的數(shù)據(jù)進(jìn)行整理分析。

2相關(guān)技術(shù)

2.1系統(tǒng)B/S結(jié)構(gòu)

目前,管理信息系統(tǒng)主要有客戶端/服務(wù)器(Client/Server,C/S)結(jié)構(gòu)和瀏覽器/服務(wù)器(Browser/Sever,B/S)結(jié)構(gòu)[2]。C/S模式的客戶端和服務(wù)器是通過局域網(wǎng)連接,所以能有效降低網(wǎng)絡(luò)通訊量,安全性高,但是客戶端都需要安裝專門的軟件,操作復(fù)雜,不易推廣。B/S模式下,用戶工作界面是通過Internet瀏覽器實現(xiàn)的,它能實現(xiàn)無論何時,何地只要有適當(dāng)?shù)慕尤敕绞蕉寄茉L問操作信息系統(tǒng)??紤]到設(shè)計的科研管理系統(tǒng)面對的有教師,科研管理人員以及上級科研管理部門,所以從易于推廣使用的角度,系統(tǒng)選擇B/S架構(gòu)模式。

2.2 JSP動態(tài)網(wǎng)頁技術(shù)

Java Server Pages(簡稱JSP)是一種基于Java系統(tǒng)的動態(tài)網(wǎng)頁開發(fā)技術(shù),是由Sun Micro system 倡導(dǎo),多公司合作建立的。該技術(shù)就是在傳統(tǒng)的網(wǎng)頁文件中加入Java程序段和JSP標(biāo)記形成新的JSP文件,可以簡捷快速地創(chuàng)建顯示動態(tài)頁面。JSP對于客戶界面的更新非常迅速。系統(tǒng)的應(yīng)用程序均運(yùn)行在服務(wù)器上,它們可以及時升級??蛻舳丝诜浅:唵危菀坠芾砗途S護(hù)[3]。

JSP體系的運(yùn)行需要至少Web服務(wù)器、Java虛擬機(jī)和JSP引擎這三部分。當(dāng)客戶端訪問JSP頁面時,請求類型由Web服務(wù)器進(jìn)行鑒定:HTML頁面請求的話則直接執(zhí)行其中的相關(guān)程序并將結(jié)果反饋。鑒定為JSP請求的話則傳送給JSP引擎,JSP引擎在此處負(fù)責(zé)進(jìn)行代碼轉(zhuǎn)換,若在轉(zhuǎn)換過程中發(fā)現(xiàn)JSP文件有錯誤,系統(tǒng)將中斷轉(zhuǎn)換過程,并輸出出錯信息;如果沒有出現(xiàn)任何錯誤,則把轉(zhuǎn)換好的Servlet代碼送給JVM,JVM負(fù)責(zé)把代碼編譯生成字節(jié)碼并放到服務(wù)器上執(zhí)行,JSP再把執(zhí)行結(jié)果放到Web服務(wù)器上,用戶最后在瀏覽器上看到的就是Web服務(wù)器發(fā)回到客戶端的,一般以HTML或者XML頁面的形式發(fā)回。

2.3 SQL Server 數(shù)據(jù)庫

SQL即結(jié)構(gòu)化查詢語言,全稱為Structured Query Language。其作用是溝通、聯(lián)系各種數(shù)據(jù)庫。SQL Server是一個使用SQL作為數(shù)據(jù)操作語言的標(biāo)準(zhǔn)關(guān)系型數(shù)據(jù)庫管理系統(tǒng)[4]。它支持分布式應(yīng)用,并且并發(fā)性、可靠性和安全性都比較高,是目前應(yīng)用最廣泛的數(shù)據(jù)庫管理系統(tǒng)之一。

Microsoft 于2005年推出的SQL Server 2005,是一個企業(yè)級數(shù)據(jù)庫管理系統(tǒng)產(chǎn)品。它在很多方面如企業(yè)級支持與商業(yè)智能應(yīng)用等都表現(xiàn)突出,應(yīng)用廣泛,本系統(tǒng)采用SQL Server 2005數(shù)據(jù)庫管理系統(tǒng)作為系統(tǒng)的數(shù)據(jù)庫。

3 系統(tǒng)設(shè)計

3.1系統(tǒng)功能模塊設(shè)計

在對科研處調(diào)研的基礎(chǔ)上,結(jié)合本兄弟院校的有關(guān)情況,系統(tǒng)從功能上分為登陸管理,項目管理,成果管理,用戶管理等模塊,如圖所示:

用戶管理模塊:為實現(xiàn)科研系統(tǒng)的分層管理,用戶在登錄系統(tǒng)時,要求輸入“用戶級別”、“用戶名稱”和“登錄密碼”三項信息。用戶級別包括三級:教師,科研秘書和科研處管理人員。每一級都有不同的操作權(quán)限。

項目管理模塊:包括橫向項目和縱向項目,每一項都包括項目申報,項目來源、項目經(jīng)費(fèi)情況、項目執(zhí)行情況和結(jié)項管理等情況。在這個模塊,只有教師才有資格對自己的項目情況進(jìn)行更改,科研秘書和科研處管理人員只負(fù)責(zé)審核校對以及統(tǒng)計。

成果管理模塊:主要包括獲獎、專利情況以及論文論著。這個模塊是教師依據(jù)自身所獲榮譽(yù)網(wǎng)上填報,之后由科研秘書及科研處審核。

科研考核管理模塊:這個模塊是通過建立科研工作量的量化指標(biāo)和設(shè)置崗位考核標(biāo)準(zhǔn)來確定教師的科研水平。這塊也是領(lǐng)導(dǎo)進(jìn)行科研決策的參考依據(jù)之一。

3.2數(shù)據(jù)庫設(shè)計

數(shù)據(jù)庫設(shè)計的組織形式及結(jié)構(gòu)主要是依據(jù)數(shù)據(jù)的不同用途、安全保密性,結(jié)合本科研系統(tǒng)的具體要求,將數(shù)據(jù)庫分為以下幾種類型:1.主題數(shù)據(jù)庫,只有科研處管理人員才有權(quán)修改,主要包括用戶分配,科研人員新增,項目新增等。2. 基礎(chǔ)數(shù)據(jù)庫,包括課題來源庫,獎勵級別庫,成果級別、項目來源等。3.臨時數(shù)據(jù)庫,主要是教師臨時提交待審核的科研數(shù)據(jù),這個在未經(jīng)確認(rèn)之前是可以隨時修改的。通過這幾層設(shè)計,可以大大增強(qiáng)系統(tǒng)的安全性。

在數(shù)據(jù)庫的報表設(shè)計主要包括以下表格:

1)教師基本信息(姓名、職稱、年齡、性別、最后學(xué)歷、所屬院系、學(xué)科領(lǐng)域、聯(lián)系方式);

2)科研項目 (負(fù)責(zé)人、項目編號、起止時間、項目類別、項目來源、經(jīng)費(fèi)統(tǒng)計、備注);

3)科研獲獎 (姓名、獲獎名稱、獲獎級別、頒獎單位, 獲獎年月, 備注);

4)專利(姓名、專利名稱、專利類型、批準(zhǔn)號、備注);

5)論文論著 (姓名、論文名稱、成果形式、發(fā)表期刊、發(fā)表年月、備注)。

4 結(jié)論

本文針對目前高??蒲泄芾硐到y(tǒng)所存在問題進(jìn)行了探討,提出了基于B/S架構(gòu)的應(yīng)用,相信隨著目前網(wǎng)絡(luò)技術(shù)的進(jìn)一步完善,B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的研究將會成為一種趨勢。該系統(tǒng)模塊化清晰,應(yīng)用靈活,使用了目前流行的JSP動態(tài)網(wǎng)頁開發(fā)技術(shù),可移植性大,可以較好地滿足目前學(xué)校對科研管理的需求,具有較好的應(yīng)用價值。

參考文獻(xiàn)

[1]魏江來.科研管理系統(tǒng)數(shù)據(jù)庫設(shè)計與實現(xiàn)[J].山西科技,2009.

[2]任泰明.基于B/S結(jié)構(gòu)的軟件開發(fā)技術(shù)[M].西安:西安電子科技大學(xué)出版社,2006.