序論:好文章的創作是一個不斷探索和完善的過程��,我們為您推薦十篇網站設計安全性范例���,希望它們能助您一臂之力���,提升您的閱讀品質��,帶來更深刻的閱讀感受。
篇(1)
從CNCERT/CC掌握的半年情況來看����,攻擊者的攻擊目標明確��,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯����。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式���,也不排除放置惡意代碼的可能��。對中小企業,尤其是以網絡為核心業務的企業��,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索��,影響企業正常業務的開展。對于個人用戶�,攻擊者更多的是通過用戶身份竊取等手段�,偷取該用戶游戲賬號��、銀行賬號�、密碼等����,竊取用戶的私有財產�����。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行�、電子商務�����、網上調查、網上查詢����、BBS�����、搜索引擎等各種互聯網應用中。但是�����,該解決方案在為我們帶來便捷的同時��,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件��。攻擊原理:在有些編輯ASP程序的工具中����,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件����,攻擊者可以直接下載�,這樣源程序就會被下載�����。
防范技巧:上傳程序之前要仔細檢查�,刪除不必要的文檔����。對以BAK為后綴的文件要特別小心。
inc文件泄露問題���。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象����。如果這時候有人利用搜索引擎對這些網頁進行查找���,會得到有關文件的定位�����,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件����,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密����。為有效地防止ASP源代碼泄露�,可以對ASP頁面進行加密��。我們曾采用兩種方法對ASP頁面進行加密���。一是使用組件技術將編程邏輯封裝入DLL之中���;二是使用微軟的ScriptEncoder對ASP頁面進行加密����。3.3程序設計與驗證不全漏洞
驗證碼����。普遍的客戶端交互如留言本���、會員注冊等僅是按照要求輸入內容��,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB�����,掃描表單�����,然后在系統上頻繁注冊����,頻繁發送不良信息���,造成不良的影響�����,或者通過軟件不斷的嘗試,盜取你的密碼���。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證�,從而可以解決這個問題�����。
登陸驗證。對于很多網頁����,特別是網站后臺管理部分���,是要求有相應權限的用戶才能進入操作的�����。但是,如果這些頁面沒有對用戶身份進行驗證��,黑客就可以直接在地址欄輸入收集到的相應的URL路徑��,避開用戶登錄驗證頁面�,從而獲得合法用戶的權限��。所以�,登陸驗證是非常必要的�。
SQL注入�。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別���,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣��,可能被入侵很長時間都不會發覺�。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶���,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框���,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶��。試想�,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么�,OR后面的0=0總是成立的�����,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄���,可是�,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表����,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22��,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值�����,構成某SQL語句���,這種情況很常見?��?墒牵绻诳蛯⒌刂纷優镠TTP://……asp?id=22anduser=0����,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話�,黑客就獲得了數據庫的用戶名�,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用�,其實�����,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員���,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符��,提示用戶且終止程序進行��;
第三:為了防止黑客避開客戶端校驗直接進入后臺����,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查��,一旦發現可疑輸入�,立即終止程序�,但不進行提示,同時���,將黑客IP、動作���、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況���,頁面利用QueryString或者Quest取得參數后����,要對每個參數進行判斷處理,發現異常字符�,要利用replace函數將異常字符過濾掉�����,然后再做下一步操作。
第五:只給出一種錯誤提示信息�����,服務器都只提示HTTP500錯誤��。
第六:在IIS中為每個網站設置好執行權限����。千萬別給靜態網站以“腳本和可執行”權限��。一般情況下給個“純腳本”權限就夠了���,對于那些通過網站后臺管理中心上傳的文件存放的目錄�,就更吝嗇一點吧���,執行權限設為“無”好了����。
第七:數據庫用戶的權限配置�����。對于MS_SQL�����,如果PUBLIC權限足夠使用的絕不給再高的權限����,千萬不要SA級別的權限隨隨便便地給���。
3.4傳漏洞
諸如論壇���,同學錄等網站系統都提供了文件上傳功能�����,但在網頁設計時如果缺少對用戶提交參數的過濾���,將使得攻擊者可以上傳網頁木馬等惡意文件����,導致攻擊事件的發生���。
防文件上傳漏洞
在文件上傳之前��,加入文件類型判斷模塊���,進行過濾���,防止ASP�����、ASA��、CER等類型的文件上傳�����。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地���。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名��,則該數據庫就可以被下載到本地��。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單���,即使設置了密碼�,解密也很容易�。因此,只要數據庫被下載���,其信息就沒有任何安全性可言了。
防止數據庫被下載���。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載���,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單�、有效�。
非常規命名法�����。為Access數據庫文件起一個復雜的非常規名字����,并把它放在幾個目錄下���。
使用ODBC數據源��。在ASP程序設計中����,如果有條件�����,應盡量使用ODBC數據源����,不要把數據庫名寫在程序中���,否則�����,數據庫名將隨ASP源代碼的失密而一同失密�。
使用密碼加密�����。經過MD5加密�,再結合生成圖片驗證碼技術����,暴力破解的難度會大大增強�����。
使用數據備份��。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據���,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能����,所以這種ASP腳本的木馬后門����,不會被殺毒軟件查殺��。被黑客們稱為“永遠不會被查殺的后門”����。我在這里講講如何有效的發現web空間中的asp木馬并清除���。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單����,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬���。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密��,躲藏殺毒軟件���,怎么辦�?
我們可以利用一些FTP客戶端軟件(例如cuteftp�����,FlashFXP)提供的文件對比功能�,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件��。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬��,可以將代碼插入到指定web文件中�����,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬�����,其隱蔽性非常高���。BeyondCompare2這時候就會作用比較明顯了��。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕��。
大家在查找web空間的asp木馬時,最好幾種方法結合起來���,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳�、維護網頁��,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證���,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性����,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改�,數據庫文件名稱也要有一定復雜性����。
要盡量保持程序是最新版本����。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞����,可以在維護后刪除后臺管理程序的登陸頁面���,下次維護時再通過上傳即可�。
要時常備份數據庫等重要文件��。
日常要多維護���,并注意空間中是否有來歷不明的asp文件��。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件��。重新上傳文件前����,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施��,您的網站只能說是相對安全了�,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統����,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會�����。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
篇(2)
從CNCERT/CC掌握的半年情況來看�����,攻擊者的攻擊目標明確�����,針對不同網站和用戶采用不同的攻擊手段�����,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能���。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展���。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號���、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術���,被廣泛應用在網上銀行、電子商務、網上調查�����、網上查詢����、BBS���、搜索引擎等各種互聯網應用中��。但是��,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題����。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論�。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件�����。攻擊原理:在有些編輯ASP程序的工具中����,當創建或者修改一個ASP文件時����,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件���,攻擊者可以直接下載,這樣源程序就會被下載����。
防范技巧:上傳程序之前要仔細檢查���,刪除不必要的文檔�����。對以BAK為后綴的文件要特別小心��。
inc文件泄露問題��。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象��。如果這時候有人利用搜索引擎對這些網頁進行查找���,會得到有關文件的定位�����,并能在瀏覽器中查看到數據庫地點和結構的細節�,并以此揭示完整的源代碼�����。
防范技巧:程序員應該在網頁前對它進行徹底的調試����。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件�����,使用戶無法從瀏覽器直接觀看文件的源代碼�。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露�����,可以對ASP頁面進行加密�����。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中����;二是使用微軟的ScriptEncoder對ASP頁面進行加密�����。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件�,如注冊機����,可以通過瀏覽WEB��,掃描表單���,然后在系統上頻繁注冊�����,頻繁發送不良信息,造成不良的影響�����,或者通過軟件不斷的嘗試�,盜取你的密碼。而我們使用通過使用驗證碼技術���,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證����。對于很多網頁,特別是網站后臺管理部分�,是要求有相應權限的用戶才能進入操作的����。但是�����,如果這些頁面沒有對用戶身份進行驗證��,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面�,從而獲得合法用戶的權限�����。所以,登陸驗證是非常必要的�����。
SQL注入���。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺�����。
SQL注入攻擊是最為常見的程序漏洞攻擊方式�,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼���,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0����,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的��,最后結果就是該黑客成為了合法的用戶�����。
B.用戶輸入:假設網頁中有個搜索功能���,只要用戶輸入搜索關鍵字�,系統就列出符合條件的所有記錄��,可是�����,如果黑客在關鍵字文本框中輸入''''GODROPbr用戶表,后果是用戶表被徹底刪除�。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22�,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值����,構成某SQL語句,這種情況很常見�����?����?墒?����,如果黑客將地址變為HTTP://……asp?id=22anduser=0����,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用��,其實���,黑客利用“猜測+精通的sql語言+反復嘗試”的方式���,可以構造出各種各樣的sql入侵�����。作為程序員����,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注����,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗�,發現非法字符����,提示用戶且終止程序進行����;
第三:為了防止黑客避開客戶端校驗直接進入后臺��,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入���,立即終止程序���,但不進行提示�,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查�。
第四:對于參數的情況����,頁面利用QueryString或者Quest取得參數后��,要對每個參數進行判斷處理�����,發現異常字符,要利用replace函數將異常字符過濾掉�����,然后再做下一步操作�����。
第五:只給出一種錯誤提示信息���,服務器都只提示HTTP500錯誤���。
第六:在IIS中為每個網站設置好執行權限���。千萬別給靜態網站以“腳本和可執行”權限�。一般情況下給個“純腳本”權限就夠了���,對于那些通過網站后臺管理中心上傳的文件存放的目錄�,就更吝嗇一點吧��,執行權限設為“無”好了����。
第七:數據庫用戶的權限配置��。對于MS_SQL�����,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給�。
3.4傳漏洞
諸如論壇�,同學錄等網站系統都提供了文件上傳功能�,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件��,導致攻擊事件的發生����。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊����,進行過濾����,防止ASP����、ASA、CER等類型的文件上傳�����。
暴庫�。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址���,并將數據非法下載到本地。
數據庫可能被下載�。在IIS+ASP網站中��,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地�。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單���,即使設置了密碼��,解密也很容易。因此��,只要數據庫被下載�����,其信息就沒有任何安全性可言了�。
防止數據庫被下載��。由于Access數據庫加密機制過于簡單�����,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重�。以下兩種方法簡單����、有效�。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字�����,并把它放在幾個目錄下�。
使用ODBC數據源�����。在ASP程序設計中��,如果有條件,應盡量使用ODBC數據源���,不要把數據庫名寫在程序中,否則����,數據庫名將隨ASP源代碼的失密而一同失密����。
使用密碼加密����。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強�。
使用數據備份�。當網站被黑客攻擊或者其它原因丟失了數據���,可以將備份的數據恢復到原始的數據���,保證了網站在一些人為的�����、自然的不可避免的條件下的相對安全性�����。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能�����,所以這種ASP腳本的木馬后門��,不會被殺毒軟件查殺��。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單����,所以利用殺毒軟件對web空間中的文件進行掃描��,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密��,躲藏殺毒軟件�,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能�����,通過對比FTP的中的web文件和本地的備份文件����,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示�����,只有使用觸發語句才能打開asp木馬��,其隱蔽性非常高�����。BeyondCompare2這時候就會作用比較明顯了��。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕��。
大家在查找web空間的asp木馬時,最好幾種方法結合起來����,這樣就能有效的查殺被隱藏起來的asp木馬���。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳�����、維護網頁,盡量不安裝asp的上傳程序�����。
對asp上傳程序的調用一定要進行身份認證�����,并只允許信任的人使用上傳程序����。
asp程序管理員的用戶名和密碼要有一定復雜性�,不能過于簡單,還要注意定期更換���。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改���,數據庫文件名稱也要有一定復雜性�。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接��。
為防止程序有未知漏洞�,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可�����。
要時常備份數據庫等重要文件�。
篇(3)
現在,網絡安全態勢感知還是缺乏一個標準進行規范�����,由于各研究領域對態勢感知的理解不同,使得態勢感知實現方式呈現出多元化的現象���。本文主要對業內成熟的Endsley態勢模型在網絡安全領域的作用,加以改進使之成為態勢感知領域內實用的網絡安全方案����。
1�����、基本概念
本文主要用三個概念對態勢提取的過程進行規范:定義1:時空知識庫:將態勢提取過程中的時間和空間專家知識的表示,存儲形式是哈希表���。定義2:嚴重度知識庫:是態勢提取過程中的入侵或攻擊的專家描述,存儲形式為哈希表�。定義3:權重分配函數:是對定義1及定義2的專家的知識函數表現��。利用攻擊嚴重度指標、Timelndex和Spacelndex為參數��,從而獲得權重系數�。
2、態勢模型分析及框架設計
2.1態勢模型與過程框架
網絡安全領域中的底層事件和ESM處理的事件是不同的���,但是ESM數據處理的過程可以借鑒到網絡安全態勢分析中���。ESM對環境對象定義為威脅單元�����,多個威脅單元構成一個組���,該組包括感興趣的參數�。許多威脅單元共同用作態勢提取的模塊��,與歷史態勢進行比對�,從而獲取態勢信息�����。按照ESM的運行過程��,提出網絡安全態勢提取框架,如圖1.
對態勢分析的過程中�����,根據攻擊的嚴重度可以講網絡攻擊分為高危�����、中危�����、低危及位置威脅,用Phigh(t)、Pmedium(t)�、Plow(t)和Punknown(t)4類威脅單元來劃分表示,四類威脅單元共同構成網絡安全的總體態勢��,則有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上兩式中�����,t表示評估時序���;Count表示評估時間內的統計值�;Timelndex與Spacelndex則表示攻擊的時間與空間要素���。則有某威脅單元特定時段內的態勢:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權重系數分配函數結果�����。根據以上計算過程����,得出態勢的提取過程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受網絡攻擊程度的影響,一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態勢提取的過程是符合實際情況的����,即(4)可以變化為:[10Whigh 10Wmedium 10Wlow 0]T�。
2.2安全域劃分及指標分配
根據信任等級的不同���,常常對網絡系統劃分不同的安全域或建立信任級別�。在不同安全域受到攻擊的視乎,對網絡造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域�����,也用這一參數來作為WCAF的輸入����,然后獲取不同安全域的重要性指標��。根據以上內容��,可以劃分不同的安全域,其規則如表1:
2.3告警融合模塊
網絡中存在一些系統固件在以往運行中會產生大量的冗余低危報警�����。如果不將這些冗余信息處理掉�����,在大量的低危告警的存在下��,系統對高危攻擊的態勢分析就會失去準確的辨別能力。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息�,這種方式是根據不同長度時間窗的比較來去除冗余的效果�����,這樣就可以保證在對冗余信息進行消除的同時而保留有用的信息。
3���、實驗仿真及評估
3.1數據采集及預處理
根據以上設計進行仿真實驗,如圖2所示����,局域網可以和互聯網直接相連����,并且有OA�����、Web及Proxy等服務內容。根據主機資源及部署的服務的重要性,就可以對該網段進行安全域的劃分,可以劃分其為兩個安全域���,標記為安全域1和安全域2,分別表示為SZ-1和SZ-2。
根據實驗目的���,對數據首先進行采集,以五天為一個采集單元,共獲取305000條數據信息。對五天的數據隨機挑選三天的數據進行分析��,分別表示為Day1#�、Day2#和Day3#,然后對原始數據進行冗余處理,再對數據進行預處理����。表2為預處理前的數據分布�。如果選擇20s與30s當作時間窗長度�,那么數據約減的效果不是很明顯。所以選擇20s作為時間窗的長度����。
在態勢分析中�,TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定�����,此次實驗將評估周期定為1天���,按照小時來劃分Timelndex分配�,即1至24,然后將評估間隔的重要度按照網絡流量的等級劃分為3個等級��。
表3為評估間隔重要性等級��,WC表示歸一化的量化權重系數�����,安全域的劃分參照表1��。
3.2仿真結果
Day1#中嚴重度系數分配的前后如圖3a和圖3b顯示����。因為Day1#中出現的高危攻擊要比相應間隔的中低危告警要少的多��,也就是說�����,圖3a中的低危態勢表現要嚴重與高危和中危態勢。這就說明���,在對統計值進行建立時,對網絡攻擊中的嚴重度無法準確的進行評估��。圖3b反應了網絡安全態勢的嚴重度系數分配突出高危攻擊的影響��。
與圖3表述相一致�����,圖4中a和b也表示嚴重度系數,不同的是安全域是SZ-2,與圖3a面臨的問題相似,圖4a也反應了低危攻擊比高危和中危攻擊嚴重����,例如在Day1#數據中����,第10�、15與19小時都發生了高危攻擊,但是,這些高危攻擊在圖4a中�����,完全淹沒在低危告警中��,圖4b中則完全顯示出高危態勢的變化。
在將SpaceIndex引入SZ-1和SZ-2前后��,總體安全態勢如圖5a和圖5b的變化���。在周期評估時����,比較接近的是SZ-1中的攻擊分布和攻擊數量和SZ-2比較接近。所以在引入SpaceIndex之前��,二者的態勢曲線是最為接近的�����,但是不同的是SZ-1中的主機和服務要比SZ-2中的主機和服務重要�,因此�,如果對兩個安全域同時進行攻擊時,兩個安全域所在的網絡系統受到的影響是完全不同的��,只有在引入Spacelndex后��,才能體現出態勢的變化����,如圖5b�����。
圖6a中���,主要是對Day2#總體態勢變化和不同安全域的態勢變化進行比較��,從圖中可以看出��,總體態勢的變化主要是有SZ-2所決定的��。在特定時段內��,SZ-2的變化并未引起SZ-1的態勢變化而被忽視。該思想在圖6b中Day3#數據中也被驗證�����。
4�、結論
篇(4)
1.2系統數據庫利用JSP語言設計校園網站數據庫時,可以建立E-R模型�。這種模型既能迎合JSP語言����,又能將各個欄目的信息反饋給瀏覽者�����。在設計校園網站時����,可以對各個欄目的信息進行設置���。根據此模型���,網站設計者就可以給每個項目進行命名����,并編輯相關代碼,最后將每個項目的代碼綜合起來形成一個大的數據庫���。可以利用數據代碼將教師職工表編譯成數據庫����,例如:IdintPK/NN/UQ主鍵id;Tnumchar(13)NN教職工號����;Tnamevarchar(30)NN教師的姓名�;Ttitlechar(13)NN外鍵教師職稱����;Tmajorchar(30)NN外鍵教師研究的專業;Tcollegechar(40)NN外鍵教師所在學院���,這些項目依次為字段名、數據類型、約束����、鍵引用�、備注����。
1.3網站部分功能進行框架設計之后,已經將校園主頁的首頁基本設置完成了。但是為了讓網站能實現更多的功能����,讓校園網站更靈活�,網站設計者還要根據用戶的需求設計出網站的更多功能�,讓網站總體呈現簡潔、統一,但其內容又要十分豐富����。根據校園網站的特點以及其面對的群體來看��,網站設計者在進行網站設計時應該注重以下幾個功能地設計,例如:圖片展示功能��、用戶登錄及密碼驗證功能����、信息功能�、上傳下載功能、權限功能等����。主要介紹用戶登錄及密碼驗證功能����。利用JSP計算機語言設計用戶密碼登錄功能時,應該以保證后臺管理的安全性為首要目標。具體設計過程:管理員先對訪問的用戶身份進行驗證���,在用戶輸入正確的用戶名和密碼之后,才能讓用戶訪問校園網站的重要數據;如用戶輸入的密碼不正確����,用戶則不能訪問相關數據��,用戶界面便返回到原來的登錄界面。為了提升網站安全性,避免用戶使用非法的URL登錄,網站設計者應該在每一個后臺頁面訪問中進行身份認證�����,以此保證校園網站能夠穩定運行����。
2健康信息網站設計
2.1系統設計原則基于JSP語言設計的健康信息網站與校園網站的建設過程大致相同,但健康網站的信息量要完全大于校園網站的信息量�����,同時健康信息網站還應該設立較為完善的人人對話平臺���,以此滿足用戶的基本需求����。那么健康信息網站在進行設計時應該滿足如下設計原則:(1)實用性原則�;(2)先進性原則;(3)開放性原則����;(4)完整性原則�����;(5)安全可靠性原則。
2.2相關代碼以及流程在設計健康信息網站的過程中�����,先要對網站的咨詢流程進行設計�,進行咨詢流程地設計之后,就要對網站的數據代碼進行設計���。利用JSP語言設計健康信息網站數據庫時,可以借鑒上文中校園網站數據庫設計���,但是為了讓健康信息網站擁有更高的可移植性,就需要設置相關代碼將信息與數據庫連接起來�����。
篇(5)
2電子政務中安全問題的應對策略
2.1安全意識的培養
安全意識需要從基礎開始培養的��,因此對相關的基層人員進行相應的知識培訓��。一般的電子政務的是一個政府機構的官方網站,而且這些網站的后臺都需要登錄域名和密碼�,還有就是網站的信息等需要登錄后臺或者是需要用戶名才可以���,這些就存在入侵空間了�,類似的還有很多����,因此要對基層人員培養安全意識�,最有用的方法就是向基層人員講解那些方面存在安全隱患,并實時對這些基層進行抽查�,避免他們進行危險操作����。這些都是簡單的從表面上解決問題��,但這并不能根除所有的安全隱患���,因此要提高安全性����,還要從另外幾個方向上解決根本的問題。
2.2規范操作方式
對安全意識的培養�����,只是在理論上對基層人員進行了一定程度上的培養����,但是還需要在實際操作上進行培養。這主要包括安全瀏覽�,安全登錄���,安全�。安全瀏覽主要是指日常工作在網頁上的安全使用���,要求在使用前進行殺毒處理����,檢查是否開啟防火墻,不要在非官網上填寫登錄名等���;安全登錄是指在安全的網絡環境中登錄賬號����,主要操作為先檢查網絡環境是否安全,在進行防火墻設置,最重要的是在登錄賬號之前進行病毒查殺�����,在進行相關的內容���,或信息瀏覽等�����,在做完所有的事項之后退出賬號�����。這非常重要的一步,有很多基層人員做好了所有的事�����,但是最后忘了退出了����,就導致賬號信息的泄露,這也是很常見的基礎錯誤,還有一種就是很多人喜歡保存登錄號密碼���,這會在別人用你的電腦時,可以很輕松的登錄進入相關頁面,并進行違法操作等。
2.3提高電子政務建設中的技術支持
很多時候不是電子政務的建設上的問題�����,而是后臺的維護技術不足���,再遇到病毒時���,安全維護工具和防火墻技術不足�����,導致網站被病毒感染,使不法分子利用�����,從而獲取民眾的信息,這在一定程度上這也是地方政府的失誤。在防火墻的技術方面的突破��,是需要政府進行招聘的高技術人員�,進行防火墻技術升級,網站優化等技術方面的改善。
2.4加強相關人員的保密工作
有的地方政府會把很簡單把電子政務建設的工作簡簡單單的交給一個網絡公司來完成����,在這個過程中就會存在很多的問題���。因為網站的第一設計者并不是政府人員���,這個在一定程度上就存在很大的安全隱患���,畢竟網站設計過程存在的bug只有網站設計者最為清楚�,如果網站設計者將這個網站的設計腳本泄露了���,那么就給了那些不法分子利用的機會��,可以通過網站設計的源代碼來找出設計上的bug,借此來來尋找機會攻擊網站��,嚴重的會導致所有的信息泄露��。因此為了杜絕這些事項的發生����,地方政府在建設網站時�����,可以將網站設計的任務交給網絡設計公司����,但是同時也要和他們簽訂相應的協議�,一是為防止他們泄露網站設計思路和源代碼,二是在防止他們私自登錄網站的后臺��。還有就是利用政府的網絡技術人員對網站進行修改��,在一定程度上完善網站設計�����,減少bug,以減少信息泄露的風險���。
篇(6)
引言:所謂的電子商務,主要指的是語用用訊的方式進行產品的經銷��、存貨���、查詢�、交易、廣告宣傳以及付款等商業活動[1]�����。在發達國家�,電子商務早在20世紀90年代初期的時候就得到了發展���,并建立了健全的電子商務服務體系�����。隨著社會經濟的快速發展��,電子商務也成為了21世紀國際貿易的主要形式和發展趨勢之一,在推動經濟發展的過程中�,具有重要作用����。就我國來說����,在2013年,中國電子商務交易額突破10萬億元,同比增長26.8%。其中網絡零售額超過1.85萬�����,有關報告顯示,我國成為世界最大的網絡零售市場���,超過1.85萬億元的網絡零售交易額相當于社會消費品零售總額的7.8%;�����,2014年上半年����,我國電子商務繼續保持快速發展的勢頭��,市場規模不斷擴大�,網上消費群體增長迅速��。根據研究機構初步測算�����,上半年我國電子商務交易額約為5.66萬億元,同比增長30.1%��。電子商務拉動內需���、促進就業作用明顯�����;移動互聯網���、大數據等新一代技術的應用成為電子商務發展的新熱點���;與此同時�����,電子商務市場競爭日益激烈,企業服務能力和行業集中度均有提升;而隨著商務部聯合多個部委跨境電子商務有關政策����,跨境電子商務正在迎來一個全新的發展階段[2]��。
一、電子商務網站設計
(一)設計原則
網上交易商品,不僅需要大量的的數據處理����,還需要保證數據信息的安全性,在功能上也要滿足商業流程����。電子商務交易網站和一般的web網站相比����,電子商務網站對數據處理�、數據傳輸以及數據流程方面的要求更高,其處理也更為復雜��。因此�,對于電子商務網站的設計,必須保證其系統的可靠性��、安全性���、經濟性����、可拓展性、先進性以及開放性���。其次,要站在用戶的角度進行分析���。電子商務網站是企業和各種商品機構開展電子商務的基礎設施和信息平臺,是各種服務對象之間的交互界面�����,也是電子商務系統的承擔者和表現者[3]。站在用戶的角度來設計網站�,可以保證電子商務網站的易用性����。
(二)電子商務網站設計概要
關于電子商務網站的設計����,是一項復雜的系統工程����,需要企業對各項業務流程進行整合,并將外部信息集成�����,是一個對網絡信息資源組織�����、開發以及利用的綜合過程����,無論是在商務層面上�,還是在設計開發的技術層面上,都面臨著諸多的問題����。
1.對電子商務網站設計模式的分析
一般來說�����,電子商務主要有兩種模式,一種是企業對企業模式���,即我們常說的B2B模式,另外一種模式就是消費者模式�,即B2C模式�。企業在實際的操作過程中�����,一般都是將兩種模式結合使用,因此�,在對模式進行設計的過程中����,需要根據企業的實際需要進行設計����。
2.電子商務功能設計的分析
在分析客戶和企業需求的基礎上,還要對商務網站的設目標、業務流程等進行詳盡的了解很分析,明確系統是否能夠滿足客戶的需求���,從而確定目標系統的功能設計。一般來說,對于電子商務網站需要滿足一下幾個功能:第一���、企業的形象宣傳,第二、產品和服務項目展示�,第三�、商品和服務訂購�����,第四����、轉帳與支付����、運輸,第五�、信息搜索與查詢����,除此以外��,還要有客戶信息管理模塊����、銷售業務信息管理模塊以及新聞����、供求信息等模塊。
3.電子商務網站的結構設計
關于電子商務的結構設計,目前有多重類型���,可以分為三層,第一層為表現層,第二層為商務層,第三層為數據層�����。
二��、電子商務的管理設計
對于電子商務網站的管理��,包含多個方面的內容,其管理質量的高低,直接關系到了商務電子網站的正常運行和運行的安全性�,因此���,應該對電子商務系統管理引起重視���?���?偟膩碚f�,電子商務網站管理主要包含以下幾個部分:
第一、系統管理。系統管理主要就是對系統中的軟件管理����、硬件管理���、文件傳輸管理、電子郵件系統管理�、支付系統管理���、數據庫系統管理等�。
第二�����、應用管理���。所謂的應用管理�,主要指的是對實現網站功能的軟件進行管理����,包括個性化服務管理,購物車管理以及聊天室管理等主要內容��。
第三�、內容管理。內容管理主要指的就是集約業務的管理��。網站內容管理是電子商務網站管理的核心內容���,是確保電子商務網站有效運行的基本手手段���。其包含了在線購物管理�、在線支持管理以及客戶信息管理等內容。
第四���、安全管理。安全管理主要負責的就是針對網站中的安全威脅因素采取有效的管理措施���,解決網站系統中的安全問題,確保系統運行的安全性����。主要包括網絡安全管理、應用安全管理以及數據庫安全管理三個方面的內容��。
目前���,關于電子商務的管理模式有很多�,智能結構模式管理是其管理發展的主要方向����。采用智能管理的模式��,可以將管理內容結構化�,并完善各種管理流程��,實現遠程辦公確保信息來源的質量�,再通過一系列智能化的手段�����,提供信息相關的商貿信息�����,實現電子商務網站的智能管理,也能實現動態信息的發送�����。
參考文獻:
[1] 閔惜琳.人工神經網絡結合遺傳算法對網站開發優化的應用[J].系統工程��,2011�,25(2):22-26.
[2] 梁姝.基于云計算技術的電子商務平臺的設計與實現[D].黑龍江大學�����,2012.
[3] 杜成昊.利用軟件工程基本原理進行電子商務網站設計[J].湖北師范學院學報(自然科學版),2006,26(3):84-88.
[4] 嚴莉.多元化教學模式在《電子商務網站設計與管理》中的應用[J].科技信息���,2011,(35):1081,1108.
[5] 田博,覃正.B2C電子商務中的在線信任分析及其在網站設計中的應用[J].科技管理研究����,2011����,28(7):422-424.
篇(7)
一����、引言
網絡技術的不斷成熟和發展,促進了基于網絡技術的校園網站的發展�。校園網站開發是一項很復雜的工作��,我校根據學校實際,確定網站的定位和需求�����,從軟件工程的角度出發����,針對學校網站建設的特點和重點,整理出一套適合學校網站建設管理和控制的方法,以此來保證網站建設的高效率����、高質量�����。
二、網站立項
校園網站建設,要成立一個專門的項目小組:學校領導、學校網絡管理員、美術教師�����、各科室人員���、計算機專業教師等8人~9人以及“計算機學會”社團學生代表5人組成����,由網絡管理員作為項目負責人負責對該項目的統一調度和安排�����。
三��、網站設計開發過程
(一)系統分析階段
建立一個網站�,首要明確設計思想����,編寫一份詳盡的需求說明書,這是網站建設成功的關鍵所在。
我校根據各方面的反饋意見進行認真的分析�,對網站設計進行準確定位:學校網站規劃要著重考慮教師和學生的需求�;內容上要以學校整體宣傳為主��,同時也要為訪問者提供其所關心的內容����;內容要求及時更新����;版面要求新穎有特色,同時還要增強網站的方便性、整體性和安全性���。
(二)系統設計階段
1.網站總體設計
網站設計有了一份詳盡的需求說明書后,就可以根據需求說明書,對網站進行總體規劃,給出一份網站總體建設方案?�?傮w規劃具體要明確網站需要實現的目的和目標�;網站形象說明�����;網站的欄目版塊和結構�;網站內容的安排��,相互鏈接關系��;使用軟件、硬件和技術分析說明�;開發時間進度表���;維護方案�;制作費用�����;需要遵循的規則和標準有哪些等�。
2.網站詳細設計
總體設計階段以比較抽象概括的方式提出解決問題的辦法��,具體設計階段的任務就是把解決方法具體化��、明確化,設計中應注意的問題有:
(1)網站設計的風格定位���。網站要有自己的特色,設計中不要太多地考慮技術問題�,而應該更多地考慮不斷增加網站的內涵����,要在能夠動態反映學校情況的內容上下功夫����。
(2)網站設計的整體性。網站設計����,注意考慮網站的易維護性,技術上多采用CSS、模板等,對網站的整體風格進行定位��,方便日常維護與更新�����。
(3)關鍵技術的研究及應用�。網站設計中�����,怎樣防黑����,保護網站內容不被別人竊取�、修改是網站建設必須考慮的技術性問題���。本人主要從IIS��、ASP和Access三方面來總結網站系統面臨的常見的安全威脅及解決方法。
①集中管理ASP的目錄���,設置訪問權限。在設置WEB站點時�����,將HTMI文件同ASP文件分開放置在不同的目錄下�,然后將HTML子目錄設置為“讀”;將ASP子目錄設置為“執行”�����。
②對IIS中的特殊Web目錄禁止匿名訪問并限制IP地址���。對IIS中的sample�����、scripts、iisadmin等web目錄,通過各目錄屬性對話框中的“目錄安全性”標簽設置為禁止匿名訪問并限制IP地址���,并用NTFS的特性設置詳細的安全權限,除了Administrator,其它帳號都應該設置為只讀權限�。
③防止Access數據庫被下載��。有效地防止數據庫被下載的方法有:非常規命名法:為Access數據庫文件取一個復雜的非常規名字,并把它放在幾層目錄下;使用ODBC數據源:在ASP程序設計中,如果有條件�,應盡量使用ODBC數據源���,不要把數據庫名寫在程序中�。
④進行數據備份�。運用FSO組件對Access數據庫進行備份,以便在數據被破壞時進行快速恢復,盡可能多地挽回損失。
⑤對ASP頁面進行加密�。為了有效地防止ASP源代碼泄露��,可以對ASP頁面進行加密。加密的方法一般有兩種:一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。
⑥后臺用戶注冊驗證�。為了防止后臺用戶未經注冊的用戶繞過注冊界面直接進入應用系統�,我們采用Session對象進行注冊驗證:<%UserID=Request(“UserID”)
‘讀取使用者所輸入的用戶名和密碼
Password=Request(“Password”)
IfUserID<>“hrmis”OrPassword<>“password”Then
Response.Write“用戶名錯誤!”
Response.End
EndIf
‘將Session對象設置為通過驗證狀態
Session(“Passed”)=True%>
進入應用程序后,首先進行驗證:
<%‘如果未通過驗證,返回Login.asp頁面登陸狀態
IfNotSession(“Passed”)ThenResponse.Redirect“Login.asp”
EndIf%>
⑦讓學生參與網站設計����。優秀學生參與設計,無論對豐富網站內容、提高學校網站的點擊率還是擴大學校網站的影響都能起到相當大的作用。
(三)網站測試
有了網站的具體設計方案,各網站制作人員就可以全力進入開發階段�����。盡量采用邊制作邊調試����,即采用本機調試和上傳服務器調試的方法,觀察速度、兼容性��、交互性等�����。
投入運行之前,需對網站需求分析���、系統分析、設計規格說明和編碼最終復審����,還要對系統進行各種綜合測試�����。測試結束后,制作有關文檔存檔��,并寫出一個校園網站使用說明文檔�����。至此���,網站項目建設完畢��。
(四)網站的管理和更新
做好網站的管理與更新��,是一個網站樹立形象的根本、生存的根本。我校專門成立了安全組織機構����,制定出適合我校的《校園網站管理辦法》����、《校園網站信息審核制度》�、《校園網站異常情況案件報告制度》等規定����,建立健全了各項安全管理制度。
四�����、結論
我校網站已經試運行一段時間�����,為學校的教師�����、學生和教學管理人員提供教學管理、教學研究����、日常辦公��、信息交流等應用服務的平臺,較好地滿足了設計最初的需求����。在整個設計網站的過程中�,重視學校網站的“規劃—設計—管理—發展”的規律����,實現可持續性發展。
參考文獻:
[1]田原.高職院校校園網站主頁設計探討[J].十堰職業技術學院學報��,2007����,(7).
[2]方照.立足校本�����,探索校園網建設之路[J].教育信息技術��,2007,(12).
[3]田建勇.淺析學校網站的設計與建設[J].安順師范高等專科學校學報��,2006�,(6).
篇(8)
中圖分類號:TP393.092 文獻標識碼:A 文章編號:1007-9416(2017)04-0161-01
1 精品課程網站概述
精品課程網站本質上來說是將課程轉換為電子版,屬于信息資源庫的一種。它能否對課堂教學以及教材中的內容進行擴展和補充���。通過網上平臺能否實現教學資源的共享和更新,便于學生間以及學生和教師之間的交流和學習。另外����,還可通過測試���、教學評價等方法豐富教學內容和形式�,并能對教學狀況和成果進行反饋����,使教師結合具體情況及時對教學內容和進度進行調整。將精品課程網站應用到教學工作中���,可發揮多方面的優勢。
2 Java技術支持下精品課程網站設計與開發
2.1 設計目標
實現功能的擴展是運用Java技術進行精品課程網站設計的主要目標�����,追求網站Web框架實用性和高效性的統一,且便于對其進行維護�����。精品課程網站設計過程中還需要考慮的另一重要因素則是數據的安全�����。為避免客觀因素,系統故障等對數據造成損壞,可采用遠程實時快照等方式做好備份工作,防止數據丟失。
對于數據操作來說,其設計重點應放在客戶端Web遭受垃圾攻擊如何保障其安全上��。在對精品課程網站進行管理的過程中�,需要建立后臺管理系統,對瀏覽器進行實時維護,便于用戶利用瀏覽器π畔⒔行���、更新課程內容以及完成其它操作。對于信息的自主來說,需要設計好網站的信息審核功能�����,確保所的信息安全���、合理�。
2.2 設計原則
精品課程教學需求是網站設計和開發的原則,精品課程網站的設計需要既能與教學目標相適應,又能保障其服務質量的提升,便于學生對信息的查找和課程的學習��。精品課程網站的服務對象是教師以及學生��,其主要功能在于對教學工作進行輔助����,在對精品課程網站進行設計的過程中���,還應以信息的更新���、網站管理更為方便為原則����。
2.3 技術手段
B/S在精品課程網站Web系統中發揮著十分重要的作用�。基于Java技術對精品課程網站進行設計和開發時�,需要綜合運用Tomcat等多種技術���,才能使網站功能得以擴展�,以下是對精品課程網站設計開發過程的技術手段的分析:首先�����,可利用Java語言初步完成對客戶端數據的認證�����,并對信息進行過濾。其次���,為了確保安全,可以利用用戶名以及密碼機制保障登錄的安全性�����,還可結合不同用戶對其權限進行限定�,利用MDA技術完成信息的加密,避免用戶信息泄漏�。最后��,需要充分掌握Web運行環境,特別是Tomcat安全設置相關問題���,并了解其操作功能。另外��,需要將Java語言以及ECIIPse集成開發平臺結合起來完成精品課程網站建設的開發與設計�����。
2.4 數據庫設計
要確保數據庫的完整性����,全面覆蓋各類資料�。具體來說,需包含學生信息�����、試題庫���、學生自我測試成績等����。
2.5 登錄功能設計
對于登錄功能的設計來說,需要綜合考慮教師�、學生和管理員三個群體����。用戶利用賬戶名及密碼完成登錄����,若需要修改基本信息或登錄密碼需完成相應的驗證。若通過身份驗證之后����,證明登錄用戶身份為學生�,則其在網站上的權限可包括交流互動��、課程學習等方面����,并可執行相應操作����。若驗證后登錄用戶身份為教師�,則其權限可包括課程上傳、信息查詢、課程討論等�。若驗證后登錄用戶身份為管理員����,則其在網站上的權限可以包括對網站試題的管理�、維護網站公告信息等。
2.6 公告欄設計
精品課程網站公告欄主要由管理員進行維護,其對公告欄實行管理�,權限還該對公告欄內容的設定����、上傳�、刪除等。具體步驟為:驗證管理員身份��,成功登錄網站��,選選種所要修改的內容��,然后便可對該部分內同進行修改。若公告欄內容以及失去作用,則需要刪除該部分內容��。操作方法為:首先登錄網站頁面����,選中需刪除內容,然后執行刪除操作。
3 結語
信息技術和計算機技術的進步��,使得其在各領域中的應用越來越普遍�����?���;谛畔⒓夹g的發展����,精品課程網站應運而生����,并逐漸成為教學方法改革的一大趨勢。將Java技術和精品課程網站的設計和開發結合起來���,成為新的研究熱點。本文在對網站設計目標以及原則進行分析的基礎之上����,提出將Java技術應用于精品課程網站設計和開發中具體方法�,主要包括數據庫、登錄功能、公告欄三個方面�����,使精品課程網站具備在線學習�、交流互動、答疑解難、自我測評等多方面的功能�,為教學工作的開展提供便利����。
參考文獻
篇(9)
網絡技術不斷成熟和發展��,促進了基于網絡技術的網站的發展��。網站開發是一項很復雜的工作,我校根據學校實際,確定網站的定位和需求�����,從軟件工程的角度出發����,針對學校網站建設的特點和重點,整理出一套適合學校網站建設管理和控制的方法��,以此來保證網站建設的高效率�����、高質量。
一����、基于ASP的動態網站建設概述
(一)動態的概念
所謂動態�����,并不是指那兒個放在網頁上的GIF動態圖片,在這里是為動態頁面的概念制定了以下兒條規則:
1.交互性�����,即網頁會根據用戶的要求和選擇而動態改變和響應����,將瀏覽器作為客戶端界面,這將是今后WEB發展的大勢所趨����。
2.自動更新���,即無須手動地更新HTML文檔�,便會自動生成新的頁面��,可以大大節省工作量�����。
3.因時因人而變,即當不同的時問��、不同的人訪問同一網址時會產生不同的頁面��。
(二)ASP的概念及特點
Microsoft Active Server Pages即我們所稱的ASP,其實是一套微軟開發的服務器端腳本環境���,ASP內含于IIS3.0和4.0之中,通過ASP我們可以結合HTML網頁�,ASP指令和ActiveX元件建立動態��、交互、高效的WEB服務器應用程序��。有了ASP你就不必擔心客戶的瀏覽器是否能運行你所編寫的代碼�����,因為所有的程序都將在服務器端執行����,包括所有嵌在普通HTML中的腳本程序。當程序執行完畢后���,服務器僅將執行的結果返回給客戶瀏覽器,這樣也就減輕了客戶端瀏覽器的負擔�,大大提高了交互的速度���。以下羅列了Active Server Pages所獨具的一些特點:
1.使用VBScript JScript等簡單易懂的腳本語言���,結合HTML代碼�����,即可快速地完成網站的應用程序。
2.無須Compile編譯����,容易編寫,可在服務器端直接執行�����。
3.使用普通的文本編輯器����,如Window、的記事本,即可進行編輯設計。
4.與瀏覽器無關(Br+wser In
5.Active Server Pages能與任何AotiveX scripting語言相容��。除了可使用V BSoript或JSoript語言來設計外���,還通過plug-in的方式����,使用由第三方所提供的其他腳本語言,譬如REXX,Perl����,Tol等�。腳本引擎是處理腳本程序的COM(Component Object Model)物件����。
6.Active Server Pages的源程序,不會被傳到客戶瀏覽器,因而可以避免所寫的源程序被他人票J竊�����,也提高了程序的安全性�。
7.可使用服務器端的腳本來產生客戶端的腳本。
8.物件導向(Objerient-ed)。
9.AotiveX Server Components
(AotiveX服務器元件)具有無限可擴充性����?���?梢允褂肰isual Basic�,Java VisualC++�,Cobol等編程語言來編寫你所需要的AotiveX Server Component。
二����、ASP程序設計安全技術
Asp程序設計的安全主要涉及三個方面:Asp源代碼的安全�����、Asp程序設計的安全和數據庫安全。
(一)ASP源代碼的安全
1.保證ASP源碼的安全的主要技術是Asp腳本加密技術��。常用方法有兩種:一是ASP2DLL技術����。其基本思想是利用VB6.0提供的Activexdll對象將Asp代碼進行封裝,編譯為DLL文件����,在Asp程序中調用該DLL文件�。二是利用微軟提供的Script Encoder加密軟件對Asp頁面進行加密。
2.置合適的腳本映射���。應用程序的腳本映射保證了Web服務器不會意外地下載Asp文件的源代碼,但不安全或有錯誤的腳本映射易導致Asp源代碼泄漏���。因此,應將用不到的有一定危險性的腳本映射刪掉(如*.htr文件及*.htw,*.ida,*.idq等索引文件)。
(二)程序設計中的安全
1.用戶名�、口令機制��。用戶名、口令是最基本的安全技術,在Asp中常采用Form表單提交用戶輸入的帳號和密碼���,與用戶標識數據庫中相應的字段進行匹配,在必要的場合可以使用MD5算法來加密用戶輸入的密碼,可以保證在線路被竊聽的情況下依然保證數據的安全,保護用戶口令的安全����。
2.注冊驗證。為了網站資源的安全性和易于管理�,可以對用戶進行分級�,給定權限��,使特定用戶訪問特定的資源群��,也可以阻止未授權用戶使用網站的資源,這就需要對用戶進行注冊驗證操作��。在ASP中��,我們可以利用Session對象和Http頭信息來實現此類安全控制��。當訪問者通過身份驗證頁面后,就把Session對象的Sessionid屬性作為一個Session變量存儲起來����,當訪問者試圖導航到一種有效鏈接的頁面時���,可將當前的Sessionid與存儲在Session對象中的ID進行比較����,如果不匹配�,則拒絕訪問。如在Session(“id”)中保存著第一次鏈接的Sessionid�����,’拒絕訪問�。
3.網頁過期管理?����?紤]到有可能用戶在使用網頁的過程中���,有可能會長時間離開計算機處理別的事情�����,這樣會給別有用心的人有可乘之機,所以應該給網頁一個過期時間。這樣不僅保證了用戶的安全�����,也可以減少服務器的鏈接數��,減少服務器壓力����?�?梢允褂胹ession.timeout=時間���,過了這么長時間網頁就失效了�,前提是你用一個session值來判斷登錄狀態如session.timeout=20��。
三��、基于ASP的動態網站設計開發過程
(一)系統分析階段
建立一個網站,首要明確設計思想����,編寫一份詳盡的需求說明書�,這是網站建設成功的關鍵所在。
根據各方面的反饋意見進行認真的分析��,對網站設計進行準確定位:網站規劃要著重考慮顧客的需求��;內容上要以工作內容為主���,同時也要為訪問者提供其所關心的內容���;內容要求及時更新;版面要求新穎有特色,同時還要增強網站的方便性、整體性和安全性�����。
(二)系統設計階段
1.網站總體設計
網站設計有了一份詳盡的需求說明書后����,就可以根據需求說明書,對網站進行總體規劃,給出一份網站總體建設方案��?�?傮w規劃具體要明確網站需要實現的目的和目標���;網站形象說明���;網站的欄目版塊和結構���;網站內容的安排����,相互鏈接關系���;使用軟件����、硬件和技術分析說明;開發時間進度表;維護方案����;制作費用���;需要遵循的規則和標準有哪些等。
2.網站詳細設計
總體設計階段以比較抽象概括的方式提出解決問題的辦法���,具體設計階段的任務就是把解決方法具體化、明確化���,設計中應注意的問題有:
(1)網站設計的風格定位。網站要有自己的特色��,設計中不要太多地考慮技術問題��,而應該更多地考慮不斷增加網站的內涵����,要在能夠動態反映情況的內容上下功夫�。
(2)網站設計的整體性。網站設計����,注意考慮網站的易維護性�,技術上多采用CSS�����、模板等�,對網站的整體風格進行定位�����,方便日常維護與更新���。
(3)關鍵技術的研究及應用���。網站設計中����,怎樣防黑��,保護網站內容不被別人竊取��、修改是網站建設必須考慮的技術性問題。主要從IIS�、ASP和Access三方面來總結網站系統面臨的常見的安全威脅及解決方法�����。
①集中管理ASP的目錄,設置訪問權限�。在設置WEB站點時�,將HTMI文件同ASP文件分開放置在不同的目錄下�,然后將HTML子目錄設置為“讀”;將ASP子目錄設置為“執行”�����。
②對IIS中的特殊Web目錄禁止匿名訪問并限制IP地址�����。對IIS中的sample�����、scripts、iisadmin等web目錄���,通過各目錄屬性對話框中的“目錄安全性”標簽設置為禁止匿名訪問并限制IP地址,并用NTFS的特性設置詳細的安全權限��,除了Administrator�����,其它帳號都應該設置為只讀權限。
③防止Access數據庫被下載。有效地防止數據庫被下載的方法有:非常規命名法:為Access數據庫文件取一個復雜的非常規名字����,并把它放在幾層目錄下��;使用ODBC數據源:在ASP程序設計中,如果有條件����,應盡量使用ODBC數據源�,不要把數據庫名寫在程序中��。
④進行數據備份��。運用FSO組件對Access數據庫進行備份,以便在數據被破壞時進行快速恢復,盡可能多地挽回損失。
⑤對ASP頁面進行加密���。為了有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。加密的方法一般有兩種:一是使用組件技術將編程邏輯封裝入DLL之中����;二是使用微軟的Script Encoder對ASP頁面進行加密�。
⑥后臺用戶注冊驗證�。為了防止后臺用戶未經注冊的用戶繞過注冊界面直接進入應用系統,我們采用Session對象進行注冊驗證:
‘讀取使用者所輸入的用戶名和密碼
Password = Request(“Password”)
IfUserID “hrmis” Or Password “password” Then
Response.Write“用戶名錯誤!”
Response.End
End If
‘將Session對象設置為通過驗證狀態
Session(“Passed”) = True %>
進入應用程序后,首先進行驗證:
If Not Session(“Passed”)Then Response.Redirect“Login.asp”
End If %>
(三)網站測試
有了網站的具體設計方案�����,各網站制作人員就可以全力進入開發階段�����。盡量采用邊制作邊調試�����,即采用本機調試和上傳服務器調試的方法���,觀察速度、兼容性、交互性等。
在整個設計網站的過程中���,重視網站的“規劃—設計—管理—發展”的規律,實現可持續性發展。動態網站設計與實現是目前網頁設計的主流和時尚技術��。其基本技術由基于客戶端的編程和基于服務器端的編程兩部分組成����。客戶端的編程語言一般:是采用Javascript腳本語言。而采用VBScript腳本語言結合ASP技術(Active Server Pages)來開發服務器端的內容���,可以很好地實現網站網頁豐富的動態效果。
參考文獻
篇(10)
1.1電子商務中消費者追求簡單化的購買過程
消費者在網上購物的過程越來越追求簡單、方便、快捷��,他們希望花費最少的時間和金錢來獲得自己所需要的商品��。拿傳統的銷售模式來說�,消費者在購買之前一定會經過各種思考��、權衡�����,才能決定是不是購買或者怎么購買自己所需要的商品。對于電子商務來說,必要的站內導航設計���,可以讓消費者在網站上尋找商品的時間大大縮短,消費者只要在網站上輸入關鍵字就可以搜索到滿意的商品��,找不到自己需要商品的消費者幾乎不再存在�。隨著電子商務的不斷發展,可以滿足消費者對購買行為便捷化的要求�����,網上購物已經實現了消費者便利的購買自己所需要的商品目的�����。購物網站上的搜索工具在這里就顯得尤為重要,趨于簡單化�����、方便化的網購離不開站內的搜索工具���,因此在網站設計的時候���,網站內部的搜索工具必不可少�,而且,消費者隨著網購使用年限的增長���,網購用戶尋找商品的搜索的方式也會逐步的從通用型的一般搜索轉為專業化的站內搜索,雖然只是一個小小的轉變�����,但是這給公司銷售帶來的利潤是十分可觀的�����。
1.2電子商務交易下消費者的購買頻繁化
消費者在網上可以獲得比傳統的購物模式更多的關于商品信息�����,因此,在某種程度上說�����,網上購物更能吸引消費者���。消費者獲得更多的關于商品質量���、價格等方面的信息�,就會有了更多的選擇機會����,更多的購買途徑����,為購買商品而產生的各種費用也可以得到相應的減少��,也就是減少了購買的成本�����。電子商務中網購用戶的網購次數趨于頻繁化,說明了消費者已經不再局限于過去傳統的購物方式�,開始接受更加便捷�、更加簡單的電子商務交易�。這主要是由于電子商務帶給消費者諸多的便利,越來越多的消費者會更加傾向于網上購物���。另一方面,隨著我國網民規模持續增加�,每年都會有不斷的新網民進入網民群體����,成為網購群體的新一代主體��,因此�����,中國的電子商務有著巨大的潛在市場��。電子商務可以更大程度的滿足消費者的各種不同的需求�����,電子商務交易下的網購正成為一種難以忽視的潮流,中國網購用戶的網購次數頻繁化也就不足為奇了。
1.3電子商務交易下消費者的購買行為個性化凸顯
在過去的傳統的銷售模式中,許多企業都會針對消費者的不同特征�����,為不同的消費者提供滿足其個性需求的產品和服務����。可是由于個體消費者和目標企業之間的溝通存在著或大或小的障礙,盡管企業會采取多種方式的去調研��,研究消費者的消費行為���、消費心理���,可是企業仍舊無法直接了解消費者的需求�,消費者所追求的個性需求也就沒有辦法法直接傳達給企業,這種情況下,消費者的個性需求也就得不到很好的滿足�����。電子商務的不斷發展卻給了企業與消費者之間直接溝通的機會����,消費者和商家之間的距離越來越近,商家可以通過網路對消費者進行深入的了解。這個時候的消費者不再是傳統模式下的被動的接受企業的產品,而是自動的尋找符合自己需求的產品�。在電子商務交易下�����,消費者可以直接向商家提出自己的個性需求����,企業可以按照顧客的需求設計出符合消費者個性需求的商品。電子商務交易下網購網站的不斷發展壯大使得消費者不再被局限于在有限的網站進行購物����,而是根據自己需求以及個性選擇合適的網站進行購物與消費����。
二��、網站設計對電子商務中消費者網上購買行為影響的主要因素
2.1網站頁面的設計及視覺效果影響消費者的行為
開展電子商務中在“注意力經濟”時代����,網頁的設計風格以及網頁的視覺效果都是影響顧客購買行為以及消費者滿意程度的主要因素,如果消費者對網頁都不滿意����,那么愿意在網頁上停留的時間會大打折扣�,更談不上購物的興趣�����,網頁的設計應該在體現企業文化和企業經營理念的同時�����,滿足訪問者的需求迎合消費者的消費心理,進一步理解消費者的消費行為,在此基礎上設計出一個合理有效的網頁界面,達到促進銷售的目的��。
2.2產品的價格優勢在網站設計中的突出地位
現實中的世界并不是一個完全競爭的市場���,現實的市場最明顯的特征是壟斷�、寡頭和壟斷競爭�����,因此決定商品價格的主體僅僅是那些具有壟斷性質的大企業���。但是互聯網的出現���,打破了這種局面�����,創造了一個完善的市場機制。因為在互聯網中�����,與傳統的營銷模式相比����,各種信息具有相對的透明性、完全性和平等性的特點�,消費者的選擇權由此得到了極大的提高���,購買交易的過程也編的更加的直接��。另外,大多數的消費者對互聯網中的電子商務交易有一個免費的心理預期�,電子商務交易下的互聯網市場和傳統營銷市場相比�,營銷活動中的中間費用和一些額外的產品信息介紹費用可以被相應的減少����,產品的成本和銷售費用大大降低����,也就是說產品的價格相對較低。相對而言,電子商務交易既然擁有這么大的優勢�����,在網站設計的時候���,就不得不將此類的信息放在重要顯眼的突出位置����。
2.3網站設計時加強對電子商務中網絡的安全性和可靠性
當前網上購物出現問題的主要障礙就是:安全性和可靠性。網絡的安全性和可靠性就是指網絡數據存儲和提取的安全�、個人隱私��、操作權限的安全等。就目前來說�����,國內大多數網購網站的安全性還有待提高,網購用戶不敢使用自己的信用卡支付���,擔心賬戶和密碼會被竊取。另外一個方面是有網絡購物的特點決定的����,網絡購物一般需要先付款后送貨��,這樣的購買方式,就更決定了消費者對網絡購物安全性及其可靠性的擔心�����。因此�,在網站設計的時候��,應該體會到消費者的擔心��,打消消費者的消費顧慮,在消費者進行支付的時候,可以溫馨提示���,系統的安全性有保障,消費者可以安全的使用,不會出現賬戶及密碼被盜的情況。
