序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程�����,我們?yōu)槟扑]十篇網(wǎng)站設(shè)計(jì)安全性范例�����,希望它們能助您一臂之力����,提升您的閱讀品質(zhì)�����,帶來(lái)更深刻的閱讀感受。
篇(1)
從CNCERT/CC掌握的半年情況來(lái)看�����,攻擊者的攻擊目標(biāo)明確�,針對(duì)不同網(wǎng)站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點(diǎn)表現(xiàn)明顯�。對(duì)政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁(yè)的攻擊形式��,也不排除放置惡意代碼的可能。對(duì)中小企業(yè)�����,尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)�����,采用有組織的分布式拒絕服務(wù)攻擊(DDoS)等手段進(jìn)行勒索����,影響企業(yè)正常業(yè)務(wù)的開展����。對(duì)于個(gè)人用戶,攻擊者更多的是通過(guò)用戶身份竊取等手段�,偷取該用戶游戲賬號(hào)��、銀行賬號(hào)、密碼等����,竊取用戶的私有財(cái)產(chǎn)。
2用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)�,被廣泛應(yīng)用在網(wǎng)上銀行�����、電子商務(wù)、網(wǎng)上調(diào)查�����、網(wǎng)上查詢���、BBS�����、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中�。但是���,該解決方案在為我們帶來(lái)便捷的同時(shí)�����,也帶來(lái)了嚴(yán)峻的安全問(wèn)題���。本文從ASP程序設(shè)計(jì)角度對(duì)WEB信息安全及防范進(jìn)行分析討論�。
3SP安全漏洞和防范
3.1程序設(shè)計(jì)與腳本信息泄漏隱患
bak文件���。攻擊原理:在有些編輯ASP程序的工具中�,當(dāng)創(chuàng)建或者修改一個(gè)ASP文件時(shí)�����,編輯器自動(dòng)創(chuàng)建一個(gè)備份文件��,如果你沒(méi)有刪除這個(gè)bak文件,攻擊者可以直接下載,這樣源程序就會(huì)被下載��。
防范技巧:上傳程序之前要仔細(xì)檢查���,刪除不必要的文檔。對(duì)以BAK為后綴的文件要特別小心。
inc文件泄露問(wèn)題。攻擊原理:當(dāng)存在ASP的主頁(yè)正在制作且沒(méi)有進(jìn)行最后調(diào)試完成以前�����,可以被某些搜索引擎機(jī)動(dòng)追加為搜索對(duì)象�����。如果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找��,會(huì)得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫(kù)地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)���,并以此揭示完整的源代碼。
防范技巧:程序員應(yīng)該在網(wǎng)頁(yè)前對(duì)它進(jìn)行徹底的調(diào)試���。首先對(duì).inc文件內(nèi)容進(jìn)行加密,其次也可以使用.asp文件代替.inc文件���,使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。
3.2對(duì)ASP頁(yè)面進(jìn)行加密�。為有效地防止ASP源代碼泄露����,可以對(duì)ASP頁(yè)面進(jìn)行加密�����。我們?cè)捎脙煞N方法對(duì)ASP頁(yè)面進(jìn)行加密。一是使用組件技術(shù)將編程邏輯封裝入DLL之中�����;二是使用微軟的ScriptEncoder對(duì)ASP頁(yè)面進(jìn)行加密���。3.3程序設(shè)計(jì)與驗(yàn)證不全漏洞
驗(yàn)證碼�����。普遍的客戶端交互如留言本�、會(huì)員注冊(cè)等僅是按照要求輸入內(nèi)容��,但網(wǎng)上有很多攻擊軟件�,如注冊(cè)機(jī)����,可以通過(guò)瀏覽WEB,掃描表單,然后在系統(tǒng)上頻繁注冊(cè)��,頻繁發(fā)送不良信息��,造成不良的影響�����,或者通過(guò)軟件不斷的嘗試,盜取你的密碼��。而我們使用通過(guò)使用驗(yàn)證碼技術(shù)����,使客戶端輸入的信息都必須經(jīng)過(guò)驗(yàn)證�,從而可以解決這個(gè)問(wèn)題。
登陸驗(yàn)證���。對(duì)于很多網(wǎng)頁(yè),特別是網(wǎng)站后臺(tái)管理部分����,是要求有相應(yīng)權(quán)限的用戶才能進(jìn)入操作的�����。但是,如果這些頁(yè)面沒(méi)有對(duì)用戶身份進(jìn)行驗(yàn)證�,黑客就可以直接在地址欄輸入收集到的相應(yīng)的URL路徑�����,避開用戶登錄驗(yàn)證頁(yè)面����,從而獲得合法用戶的權(quán)限�����。所以��,登陸驗(yàn)證是非常必要的。
SQL注入��。SQL注入是從正常的WWW端口訪問(wèn)����,而且表面看起來(lái)跟一般的Web頁(yè)面訪問(wèn)沒(méi)什么區(qū)別,所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)���,如果管理員沒(méi)查看IIS日志的習(xí)慣�,可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。
SQL注入攻擊是最為常見(jiàn)的程序漏洞攻擊方式�����,引起攻擊的根本原因就是盲目信任用戶����,將用戶輸入用來(lái)直接構(gòu)造SQL語(yǔ)句或存儲(chǔ)過(guò)程的參數(shù)。以下列出三種攻擊的形式:
A.用戶登錄:假設(shè)登錄頁(yè)面有兩個(gè)文本框,分別用來(lái)供用戶輸入帳號(hào)和密碼,利用執(zhí)行SQL語(yǔ)句來(lái)判斷用戶是否為合法用戶�。試想�,如果黑客在密碼文本框中輸入''''OR0=0�����,即不管前面輸入的用戶帳號(hào)和密碼是什么����,OR后面的0=0總是成立的�,最后結(jié)果就是該黑客成為了合法的用戶。
B.用戶輸入:假設(shè)網(wǎng)頁(yè)中有個(gè)搜索功能��,只要用戶輸入搜索關(guān)鍵字�,系統(tǒng)就列出符合條件的所有記錄,可是�����,如果黑客在關(guān)鍵字文本框中輸入''''GODROPTABLE用戶表��,后果是用戶表被徹底刪除����。
C.參數(shù)傳遞:假設(shè)我們有個(gè)網(wǎng)頁(yè)鏈接地址是HTTP://……asp?id=22���,然后ASP在頁(yè)面中利用Request.QueryString[''''id'''']取得該id值�,構(gòu)成某SQL語(yǔ)句�����,這種情況很常見(jiàn)�����。可是,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0,結(jié)果會(huì)怎樣?如果程序員有沒(méi)有對(duì)系統(tǒng)的出錯(cuò)提示進(jìn)行屏蔽處理的話��,黑客就獲得了數(shù)據(jù)庫(kù)的用戶名���,這為他們的進(jìn)一步攻擊提供了很好的條件�。
解決方法:以上幾個(gè)例子只是為了起到拋磚引玉的作用,其實(shí),黑客利用“猜測(cè)+精通的sql語(yǔ)言+反復(fù)嘗試”的方式�,可以構(gòu)造出各種各樣的sql入侵���。作為程序員��,如何來(lái)防御或者降低受攻擊的幾率呢?作者在實(shí)際中是按以下方法做的:
第一:在用戶輸入頁(yè)面加以友好備注,告知用戶只能輸入哪些字符���;
第二:在客戶端利用ASP自帶的校驗(yàn)控件和正則表達(dá)式對(duì)用戶輸入進(jìn)行校驗(yàn)����,發(fā)現(xiàn)非法字符�����,提示用戶且終止程序進(jìn)行�;
第三:為了防止黑客避開客戶端校驗(yàn)直接進(jìn)入后臺(tái)����,在后臺(tái)程序中利用一個(gè)公用函數(shù)再次對(duì)用戶輸入進(jìn)行檢查�,一旦發(fā)現(xiàn)可疑輸入,立即終止程序��,但不進(jìn)行提示���,同時(shí)�����,將黑客IP�、動(dòng)作�����、日期等信息保存到日志數(shù)據(jù)表中以備核查��。
第四:對(duì)于參數(shù)的情況,頁(yè)面利用QueryString或者Quest取得參數(shù)后���,要對(duì)每個(gè)參數(shù)進(jìn)行判斷處理,發(fā)現(xiàn)異常字符�,要利用replace函數(shù)將異常字符過(guò)濾掉��,然后再做下一步操作。
第五:只給出一種錯(cuò)誤提示信息�����,服務(wù)器都只提示HTTP500錯(cuò)誤�����。
第六:在IIS中為每個(gè)網(wǎng)站設(shè)置好執(zhí)行權(quán)限�����。千萬(wàn)別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權(quán)限��。一般情況下給個(gè)“純腳本”權(quán)限就夠了�,對(duì)于那些通過(guò)網(wǎng)站后臺(tái)管理中心上傳的文件存放的目錄����,就更吝嗇一點(diǎn)吧,執(zhí)行權(quán)限設(shè)為“無(wú)”好了����。
第七:數(shù)據(jù)庫(kù)用戶的權(quán)限配置����。對(duì)于MS_SQL���,如果PUBLIC權(quán)限足夠使用的絕不給再高的權(quán)限�����,千萬(wàn)不要SA級(jí)別的權(quán)限隨隨便便地給��。
3.4傳漏洞
諸如論壇,同學(xué)錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能����,但在網(wǎng)頁(yè)設(shè)計(jì)時(shí)如果缺少對(duì)用戶提交參數(shù)的過(guò)濾���,將使得攻擊者可以上傳網(wǎng)頁(yè)木馬等惡意文件��,導(dǎo)致攻擊事件的發(fā)生���。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊�,進(jìn)行過(guò)濾���,防止ASP�����、ASA、CER等類型的文件上傳����。
暴庫(kù)����。暴庫(kù)��,就是通過(guò)一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫(kù)的地址����,并將數(shù)據(jù)非法下載到本地�����。
數(shù)據(jù)庫(kù)可能被下載��。在IIS+ASP網(wǎng)站中,如果有人通過(guò)各種方法獲得或者猜到數(shù)據(jù)庫(kù)的存儲(chǔ)路徑和文件名,則該數(shù)據(jù)庫(kù)就可以被下載到本地。
數(shù)據(jù)庫(kù)可能被解密
由于Access數(shù)據(jù)庫(kù)的加密機(jī)制比較簡(jiǎn)單��,即使設(shè)置了密碼�����,解密也很容易���。因此,只要數(shù)據(jù)庫(kù)被下載,其信息就沒(méi)有任何安全性可言了��。
防止數(shù)據(jù)庫(kù)被下載����。由于Access數(shù)據(jù)庫(kù)加密機(jī)制過(guò)于簡(jiǎn)單,有效地防止數(shù)據(jù)庫(kù)被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡(jiǎn)單�����、有效��。
非常規(guī)命名法����。為Access數(shù)據(jù)庫(kù)文件起一個(gè)復(fù)雜的非常規(guī)名字�����,并把它放在幾個(gè)目錄下���。
使用ODBC數(shù)據(jù)源�。在ASP程序設(shè)計(jì)中��,如果有條件�����,應(yīng)盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫(kù)名寫在程序中,否則���,數(shù)據(jù)庫(kù)名將隨ASP源代碼的失密而一同失密。
使用密碼加密���。經(jīng)過(guò)MD5加密,再結(jié)合生成圖片驗(yàn)證碼技術(shù)��,暴力破解的難度會(huì)大大增強(qiáng)�����。
使用數(shù)據(jù)備份���。當(dāng)網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù)����,可以將備份的數(shù)據(jù)恢復(fù)到原始的數(shù)據(jù)���,保證了網(wǎng)站在一些人為的��、自然的不可避免的條件下的相對(duì)安全性�����。
3.5SP木馬
由于ASP它本身是服務(wù)器提供的一項(xiàng)服務(wù)功能,所以這種ASP腳本的木馬后門��,不會(huì)被殺毒軟件查殺�����。被黑客們稱為“永遠(yuǎn)不會(huì)被查殺的后門”�。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除���。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單�����,所以利用殺毒軟件對(duì)web空間中的文件進(jìn)行掃描,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬���。
技巧2:FTP客戶端對(duì)比
asp木馬若進(jìn)行偽裝,加密��,躲藏殺毒軟件��,怎么辦�?
我們可以利用一些FTP客戶端軟件(例如cuteftp�,F(xiàn)lashFXP)提供的文件對(duì)比功能,通過(guò)對(duì)比FTP的中的web文件和本地的備份文件��,發(fā)現(xiàn)是否多出可疑文件���。
技巧3:用BeyondCompare2進(jìn)行對(duì)比
滲透性asp木馬�,可以將代碼插入到指定web文件中,平常情況下不會(huì)顯示,只有使用觸發(fā)語(yǔ)句才能打開asp木馬���,其隱蔽性非常高。BeyondCompare2這時(shí)候就會(huì)作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時(shí),最好幾種方法結(jié)合起來(lái)�����,這樣就能有效的查殺被隱藏起來(lái)的asp木馬����。
結(jié)束語(yǔ)
總結(jié)了ASP木馬防范的十大原則供大家參考:
建議用戶通過(guò)FTP來(lái)上傳、維護(hù)網(wǎng)頁(yè)�����,盡量不安裝asp的上傳程序�����。
對(duì)asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證�����,并只允許信任的人使用上傳程序��。
asp程序管理員的用戶名和密碼要有一定復(fù)雜性�����,不能過(guò)于簡(jiǎn)單�����,還要注意定期更換。
到正規(guī)網(wǎng)站下載asp程序,下載后要對(duì)其數(shù)據(jù)庫(kù)名稱和存放路徑進(jìn)行修改�,數(shù)據(jù)庫(kù)文件名稱也要有一定復(fù)雜性���。
要盡量保持程序是最新版本����。
不要在網(wǎng)頁(yè)上加注后臺(tái)管理程序登陸頁(yè)面的鏈接�。
為防止程序有未知漏洞,可以在維護(hù)后刪除后臺(tái)管理程序的登陸頁(yè)面���,下次維護(hù)時(shí)再通過(guò)上傳即可。
要時(shí)常備份數(shù)據(jù)庫(kù)等重要文件�。
日常要多維護(hù)�,并注意空間中是否有來(lái)歷不明的asp文件����。
一旦發(fā)現(xiàn)被人侵,除非自己能識(shí)別出所有木馬文件,否則要?jiǎng)h除所有文件。重新上傳文件前�����,所有asp程序用戶名和密碼都要重置�����,并要重新修改程序數(shù)據(jù)庫(kù)名稱和存放路徑以及后臺(tái)管理程序的路徑。
做好以上防范措施����,您的網(wǎng)站只能說(shuō)是相對(duì)安全了�,決不能因此疏忽大意�,因?yàn)槿肭峙c反入侵是一場(chǎng)永恒的戰(zhàn)爭(zhēng)!網(wǎng)站安全是一個(gè)較為復(fù)雜的問(wèn)題���,嚴(yán)格的說(shuō),沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)�����,我們只有通過(guò)不斷的改進(jìn)程序�����,將各種可能出現(xiàn)的問(wèn)題考慮周全��,對(duì)潛在的異常情況進(jìn)行處理,才能減少被黑客入侵的機(jī)會(huì)�����。
參考文獻(xiàn)
[1]袁志芳田曉芳李桂寶《ASP程序設(shè)計(jì)與WEB信息安全》中國(guó)教育信息化2007年21期.
篇(2)
從CNCERT/CC掌握的半年情況來(lái)看��,攻擊者的攻擊目標(biāo)明確�,針對(duì)不同網(wǎng)站和用戶采用不同的攻擊手段����,且攻擊行為趨利化特點(diǎn)表現(xiàn)明顯。對(duì)政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁(yè)的攻擊形式����,也不排除放置惡意代碼的可能。對(duì)中小企業(yè)�,尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)��,采用有組織的分布式拒絕服務(wù)攻擊(DDoS)等手段進(jìn)行勒索,影響企業(yè)正常業(yè)務(wù)的開展����。對(duì)于個(gè)人用戶��,攻擊者更多的是通過(guò)用戶身份竊取等手段,偷取該用戶游戲賬號(hào)、銀行賬號(hào)、密碼等�����,竊取用戶的私有財(cái)產(chǎn)。
2用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)�����,被廣泛應(yīng)用在網(wǎng)上銀行���、電子商務(wù)����、網(wǎng)上調(diào)查、網(wǎng)上查詢���、BBS、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中�����。但是���,該解決方案在為我們帶來(lái)便捷的同時(shí)����,也帶來(lái)了嚴(yán)峻的安全問(wèn)題���。本文從ASP程序設(shè)計(jì)角度對(duì)WEB信息安全及防范進(jìn)行分析討論����。
3SP安全漏洞和防范
3.1程序設(shè)計(jì)與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中����,當(dāng)創(chuàng)建或者修改一個(gè)ASP文件時(shí)���,編輯器自動(dòng)創(chuàng)建一個(gè)備份文件�,如果你沒(méi)有刪除這個(gè)bak文件����,攻擊者可以直接下載,這樣源程序就會(huì)被下載�����。
防范技巧:上傳程序之前要仔細(xì)檢查���,刪除不必要的文檔���。對(duì)以BAK為后綴的文件要特別小心���。
inc文件泄露問(wèn)題���。攻擊原理:當(dāng)存在ASP的主頁(yè)正在制作且沒(méi)有進(jìn)行最后調(diào)試完成以前���,可以被某些搜索引擎機(jī)動(dòng)追加為搜索對(duì)象���。如果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找�����,會(huì)得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫(kù)地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié),并以此揭示完整的源代碼���。
防范技巧:程序員應(yīng)該在網(wǎng)頁(yè)前對(duì)它進(jìn)行徹底的調(diào)試。首先對(duì).inc文件內(nèi)容進(jìn)行加密,其次也可以使用.asp文件代替.inc文件�����,使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。
3.2對(duì)ASP頁(yè)面進(jìn)行加密。為有效地防止ASP源代碼泄露���,可以對(duì)ASP頁(yè)面進(jìn)行加密。我們?cè)捎脙煞N方法對(duì)ASP頁(yè)面進(jìn)行加密。一是使用組件技術(shù)將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對(duì)ASP頁(yè)面進(jìn)行加密�。3.3程序設(shè)計(jì)與驗(yàn)證不全漏洞
驗(yàn)證碼�����。普遍的客戶端交互如留言本、會(huì)員注冊(cè)等僅是按照要求輸入內(nèi)容,但網(wǎng)上有很多攻擊軟件���,如注冊(cè)機(jī),可以通過(guò)瀏覽WEB,掃描表單��,然后在系統(tǒng)上頻繁注冊(cè)���,頻繁發(fā)送不良信息��,造成不良的影響,或者通過(guò)軟件不斷的嘗試���,盜取你的密碼。而我們使用通過(guò)使用驗(yàn)證碼技術(shù),使客戶端輸入的信息都必須經(jīng)過(guò)驗(yàn)證��,從而可以解決這個(gè)問(wèn)題���。
登陸驗(yàn)證����。對(duì)于很多網(wǎng)頁(yè),特別是網(wǎng)站后臺(tái)管理部分����,是要求有相應(yīng)權(quán)限的用戶才能進(jìn)入操作的����。但是���,如果這些頁(yè)面沒(méi)有對(duì)用戶身份進(jìn)行驗(yàn)證���,黑客就可以直接在地址欄輸入收集到的相應(yīng)的URL路徑�,避開用戶登錄驗(yàn)證頁(yè)面,從而獲得合法用戶的權(quán)限�����。所以�,登陸驗(yàn)證是非常必要的。
SQL注入��。SQL注入是從正常的WWW端口訪問(wèn)�����,而且表面看起來(lái)跟一般的Web頁(yè)面訪問(wèn)沒(méi)什么區(qū)別,所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)���,如果管理員沒(méi)查看IIS日志的習(xí)慣,可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)����。
SQL注入攻擊是最為常見(jiàn)的程序漏洞攻擊方式���,引起攻擊的根本原因就是盲目信任用戶��,將用戶輸入用來(lái)直接構(gòu)造SQL語(yǔ)句或存儲(chǔ)過(guò)程的參數(shù)。以下列出三種攻擊的形式:
A.用戶登錄:假設(shè)登錄頁(yè)面有兩個(gè)文本框���,分別用來(lái)供用戶輸入帳號(hào)和密碼,利用執(zhí)行SQL語(yǔ)句來(lái)判斷用戶是否為合法用戶���。試想,如果黑客在密碼文本框中輸入''''OR0=0�����,即不管前面輸入的用戶帳號(hào)和密碼是什么�,OR后面的0=0總是成立的,最后結(jié)果就是該黑客成為了合法的用戶。
B.用戶輸入:假設(shè)網(wǎng)頁(yè)中有個(gè)搜索功能�����,只要用戶輸入搜索關(guān)鍵字,系統(tǒng)就列出符合條件的所有記錄����,可是��,如果黑客在關(guān)鍵字文本框中輸入''''GODROPbr用戶表,后果是用戶表被徹底刪除��。
C.參數(shù)傳遞:假設(shè)我們有個(gè)網(wǎng)頁(yè)鏈接地址是HTTP://……asp?id=22�,然后ASP在頁(yè)面中利用Request.QueryString[''''id'''']取得該id值�,構(gòu)成某SQL語(yǔ)句,這種情況很常見(jiàn)�??墒?�,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0�,結(jié)果會(huì)怎樣?如果程序員有沒(méi)有對(duì)系統(tǒng)的出錯(cuò)提示進(jìn)行屏蔽處理的話�����,黑客就獲得了數(shù)據(jù)庫(kù)的用戶名���,這為他們的進(jìn)一步攻擊提供了很好的條件���。
解決方法:以上幾個(gè)例子只是為了起到拋磚引玉的作用�,其實(shí)�����,黑客利用“猜測(cè)+精通的sql語(yǔ)言+反復(fù)嘗試”的方式����,可以構(gòu)造出各種各樣的sql入侵�。作為程序員,如何來(lái)防御或者降低受攻擊的幾率呢?作者在實(shí)際中是按以下方法做的:
第一:在用戶輸入頁(yè)面加以友好備注,告知用戶只能輸入哪些字符�����;
第二:在客戶端利用ASP自帶的校驗(yàn)控件和正則表達(dá)式對(duì)用戶輸入進(jìn)行校驗(yàn)�,發(fā)現(xiàn)非法字符,提示用戶且終止程序進(jìn)行����;
第三:為了防止黑客避開客戶端校驗(yàn)直接進(jìn)入后臺(tái)�,在后臺(tái)程序中利用一個(gè)公用函數(shù)再次對(duì)用戶輸入進(jìn)行檢查��,一旦發(fā)現(xiàn)可疑輸入,立即終止程序,但不進(jìn)行提示���,同時(shí),將黑客IP�����、動(dòng)作����、日期等信息保存到日志數(shù)據(jù)表中以備核查。
第四:對(duì)于參數(shù)的情況���,頁(yè)面利用QueryString或者Quest取得參數(shù)后,要對(duì)每個(gè)參數(shù)進(jìn)行判斷處理��,發(fā)現(xiàn)異常字符�����,要利用replace函數(shù)將異常字符過(guò)濾掉���,然后再做下一步操作����。
第五:只給出一種錯(cuò)誤提示信息�����,服務(wù)器都只提示HTTP500錯(cuò)誤����。
第六:在IIS中為每個(gè)網(wǎng)站設(shè)置好執(zhí)行權(quán)限��。千萬(wàn)別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權(quán)限����。一般情況下給個(gè)“純腳本”權(quán)限就夠了���,對(duì)于那些通過(guò)網(wǎng)站后臺(tái)管理中心上傳的文件存放的目錄�����,就更吝嗇一點(diǎn)吧���,執(zhí)行權(quán)限設(shè)為“無(wú)”好了����。
第七:數(shù)據(jù)庫(kù)用戶的權(quán)限配置����。對(duì)于MS_SQL,如果PUBLIC權(quán)限足夠使用的絕不給再高的權(quán)限���,千萬(wàn)不要SA級(jí)別的權(quán)限隨隨便便地給。
3.4傳漏洞
諸如論壇����,同學(xué)錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能����,但在網(wǎng)頁(yè)設(shè)計(jì)時(shí)如果缺少對(duì)用戶提交參數(shù)的過(guò)濾���,將使得攻擊者可以上傳網(wǎng)頁(yè)木馬等惡意文件��,導(dǎo)致攻擊事件的發(fā)生。
防文件上傳漏洞
在文件上傳之前�����,加入文件類型判斷模塊�,進(jìn)行過(guò)濾,防止ASP����、ASA���、CER等類型的文件上傳�。
暴庫(kù)�。暴庫(kù),就是通過(guò)一些技術(shù)手段或者程序漏洞得到數(shù)據(jù)庫(kù)的地址,并將數(shù)據(jù)非法下載到本地�����。
數(shù)據(jù)庫(kù)可能被下載�����。在IIS+ASP網(wǎng)站中���,如果有人通過(guò)各種方法獲得或者猜到數(shù)據(jù)庫(kù)的存儲(chǔ)路徑和文件名���,則該數(shù)據(jù)庫(kù)就可以被下載到本地��。
數(shù)據(jù)庫(kù)可能被解密
由于Access數(shù)據(jù)庫(kù)的加密機(jī)制比較簡(jiǎn)單,即使設(shè)置了密碼��,解密也很容易���。因此����,只要數(shù)據(jù)庫(kù)被下載,其信息就沒(méi)有任何安全性可言了。
防止數(shù)據(jù)庫(kù)被下載���。由于Access數(shù)據(jù)庫(kù)加密機(jī)制過(guò)于簡(jiǎn)單,有效地防止數(shù)據(jù)庫(kù)被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡(jiǎn)單���、有效。
非常規(guī)命名法。為Access數(shù)據(jù)庫(kù)文件起一個(gè)復(fù)雜的非常規(guī)名字��,并把它放在幾個(gè)目錄下�。
使用ODBC數(shù)據(jù)源。在ASP程序設(shè)計(jì)中,如果有條件,應(yīng)盡量使用ODBC數(shù)據(jù)源�,不要把數(shù)據(jù)庫(kù)名寫在程序中����,否則��,數(shù)據(jù)庫(kù)名將隨ASP源代碼的失密而一同失密����。
使用密碼加密�����。經(jīng)過(guò)MD5加密���,再結(jié)合生成圖片驗(yàn)證碼技術(shù)�����,暴力破解的難度會(huì)大大增強(qiáng)。
使用數(shù)據(jù)備份。當(dāng)網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù)��,可以將備份的數(shù)據(jù)恢復(fù)到原始的數(shù)據(jù)����,保證了網(wǎng)站在一些人為的����、自然的不可避免的條件下的相對(duì)安全性。
3.5SP木馬
由于ASP它本身是服務(wù)器提供的一項(xiàng)服務(wù)功能��,所以這種ASP腳本的木馬后門���,不會(huì)被殺毒軟件查殺�。被黑客們稱為“永遠(yuǎn)不會(huì)被查殺的后門”。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單�,所以利用殺毒軟件對(duì)web空間中的文件進(jìn)行掃描�,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬��。
技巧2:FTP客戶端對(duì)比
asp木馬若進(jìn)行偽裝����,加密���,躲藏殺毒軟件��,怎么辦�����?
我們可以利用一些FTP客戶端軟件(例如cuteftp,F(xiàn)lashFXP)提供的文件對(duì)比功能�,通過(guò)對(duì)比FTP的中的web文件和本地的備份文件����,發(fā)現(xiàn)是否多出可疑文件���。
技巧3:用BeyondCompare2進(jìn)行對(duì)比
滲透性asp木馬����,可以將代碼插入到指定web文件中�,平常情況下不會(huì)顯示,只有使用觸發(fā)語(yǔ)句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時(shí)候就會(huì)作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕����。
大家在查找web空間的asp木馬時(shí)�,最好幾種方法結(jié)合起來(lái),這樣就能有效的查殺被隱藏起來(lái)的asp木馬���。
結(jié)束語(yǔ)
總結(jié)了ASP木馬防范的十大原則供大家參考:
建議用戶通過(guò)FTP來(lái)上傳、維護(hù)網(wǎng)頁(yè)�����,盡量不安裝asp的上傳程序����。
對(duì)asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證,并只允許信任的人使用上傳程序��。
asp程序管理員的用戶名和密碼要有一定復(fù)雜性��,不能過(guò)于簡(jiǎn)單�,還要注意定期更換�。
到正規(guī)網(wǎng)站下載asp程序,下載后要對(duì)其數(shù)據(jù)庫(kù)名稱和存放路徑進(jìn)行修改���,數(shù)據(jù)庫(kù)文件名稱也要有一定復(fù)雜性。
要盡量保持程序是最新版本�。
不要在網(wǎng)頁(yè)上加注后臺(tái)管理程序登陸頁(yè)面的鏈接���。
為防止程序有未知漏洞�����,可以在維護(hù)后刪除后臺(tái)管理程序的登陸頁(yè)面��,下次維護(hù)時(shí)再通過(guò)上傳即可�。
要時(shí)常備份數(shù)據(jù)庫(kù)等重要文件����。
篇(3)
現(xiàn)在,網(wǎng)絡(luò)安全態(tài)勢(shì)感知還是缺乏一個(gè)標(biāo)準(zhǔn)進(jìn)行規(guī)范��,由于各研究領(lǐng)域?qū)B(tài)勢(shì)感知的理解不同���,使得態(tài)勢(shì)感知實(shí)現(xiàn)方式呈現(xiàn)出多元化的現(xiàn)象�。本文主要對(duì)業(yè)內(nèi)成熟的Endsley態(tài)勢(shì)模型在網(wǎng)絡(luò)安全領(lǐng)域的作用,加以改進(jìn)使之成為態(tài)勢(shì)感知領(lǐng)域內(nèi)實(shí)用的網(wǎng)絡(luò)安全方案��。
1�����、基本概念
本文主要用三個(gè)概念對(duì)態(tài)勢(shì)提取的過(guò)程進(jìn)行規(guī)范:定義1:時(shí)空知識(shí)庫(kù):將態(tài)勢(shì)提取過(guò)程中的時(shí)間和空間專家知識(shí)的表示����,存儲(chǔ)形式是哈希表����。定義2:嚴(yán)重度知識(shí)庫(kù):是態(tài)勢(shì)提取過(guò)程中的入侵或攻擊的專家描述,存儲(chǔ)形式為哈希表。定義3:權(quán)重分配函數(shù):是對(duì)定義1及定義2的專家的知識(shí)函數(shù)表現(xiàn)���。利用攻擊嚴(yán)重度指標(biāo)、Timelndex和Spacelndex為參數(shù),從而獲得權(quán)重系數(shù)。
2、態(tài)勢(shì)模型分析及框架設(shè)計(jì)
2.1態(tài)勢(shì)模型與過(guò)程框架
網(wǎng)絡(luò)安全領(lǐng)域中的底層事件和ESM處理的事件是不同的,但是ESM數(shù)據(jù)處理的過(guò)程可以借鑒到網(wǎng)絡(luò)安全態(tài)勢(shì)分析中。ESM對(duì)環(huán)境對(duì)象定義為威脅單元,多個(gè)威脅單元構(gòu)成一個(gè)組�����,該組包括感興趣的參數(shù)���。許多威脅單元共同用作態(tài)勢(shì)提取的模塊,與歷史態(tài)勢(shì)進(jìn)行比對(duì)�����,從而獲取態(tài)勢(shì)信息����。按照ESM的運(yùn)行過(guò)程,提出網(wǎng)絡(luò)安全態(tài)勢(shì)提取框架,如圖1.
對(duì)態(tài)勢(shì)分析的過(guò)程中�����,根據(jù)攻擊的嚴(yán)重度可以講網(wǎng)絡(luò)攻擊分為高危�����、中危�、低危及位置威脅,用Phigh(t)、Pmedium(t)����、Plow(t)和Punknown(t)4類威脅單元來(lái)劃分表示�,四類威脅單元共同構(gòu)成網(wǎng)絡(luò)安全的總體態(tài)勢(shì)��,則有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上兩式中���,t表示評(píng)估時(shí)序���;Count表示評(píng)估時(shí)間內(nèi)的統(tǒng)計(jì)值�����;Timelndex與Spacelndex則表示攻擊的時(shí)間與空間要素���。則有某威脅單元特定時(shí)段內(nèi)的態(tài)勢(shì):
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)與Ws(Spacelndcx)是時(shí)間與空間權(quán)重系數(shù)分配函數(shù)結(jié)果���。根據(jù)以上計(jì)算過(guò)程�����,得出態(tài)勢(shì)的提取過(guò)程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T��。受網(wǎng)絡(luò)攻擊程度的影響,一次高危攻擊的危害要比三次低級(jí)別攻擊的危害大����。那么態(tài)勢(shì)提取的過(guò)程是符合實(shí)際情況的�����,即(4)可以變化為:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域劃分及指標(biāo)分配
根據(jù)信任等級(jí)的不同���,常常對(duì)網(wǎng)絡(luò)系統(tǒng)劃分不同的安全域或建立信任級(jí)別。在不同安全域受到攻擊的視乎���,對(duì)網(wǎng)絡(luò)造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域����,也用這一參數(shù)來(lái)作為WCAF的輸入���,然后獲取不同安全域的重要性指標(biāo)��。根據(jù)以上內(nèi)容,可以劃分不同的安全域��,其規(guī)則如表1:
2.3告警融合模塊
網(wǎng)絡(luò)中存在一些系統(tǒng)固件在以往運(yùn)行中會(huì)產(chǎn)生大量的冗余低危報(bào)警���。如果不將這些冗余信息處理掉�����,在大量的低危告警的存在下,系統(tǒng)對(duì)高危攻擊的態(tài)勢(shì)分析就會(huì)失去準(zhǔn)確的辨別能力���。本文主要介紹滑動(dòng)時(shí)間窗的方式來(lái)過(guò)濾掉冗余的低危告警信息,這種方式是根據(jù)不同長(zhǎng)度時(shí)間窗的比較來(lái)去除冗余的效果�����,這樣就可以保證在對(duì)冗余信息進(jìn)行消除的同時(shí)而保留有用的信息����。
3、實(shí)驗(yàn)仿真及評(píng)估
3.1數(shù)據(jù)采集及預(yù)處理
根據(jù)以上設(shè)計(jì)進(jìn)行仿真實(shí)驗(yàn),如圖2所示����,局域網(wǎng)可以和互聯(lián)網(wǎng)直接相連�����,并且有OA���、Web及Proxy等服務(wù)內(nèi)容��。根據(jù)主機(jī)資源及部署的服務(wù)的重要性,就可以對(duì)該網(wǎng)段進(jìn)行安全域的劃分�,可以劃分其為兩個(gè)安全域�,標(biāo)記為安全域1和安全域2���,分別表示為SZ-1和SZ-2����。
根據(jù)實(shí)驗(yàn)?zāi)康?����,?duì)數(shù)據(jù)首先進(jìn)行采集�����,以五天為一個(gè)采集單元,共獲取305000條數(shù)據(jù)信息。對(duì)五天的數(shù)據(jù)隨機(jī)挑選三天的數(shù)據(jù)進(jìn)行分析�,分別表示為Day1#���、Day2#和Day3#��,然后對(duì)原始數(shù)據(jù)進(jìn)行冗余處理,再對(duì)數(shù)據(jù)進(jìn)行預(yù)處理。表2為預(yù)處理前的數(shù)據(jù)分布���。如果選擇20s與30s當(dāng)作時(shí)間窗長(zhǎng)度,那么數(shù)據(jù)約減的效果不是很明顯。所以選擇20s作為時(shí)間窗的長(zhǎng)度。
在態(tài)勢(shì)分析中�,TimeIndex與Spaeelndex按照安全域劃分與評(píng)估間隔來(lái)定���,此次實(shí)驗(yàn)將評(píng)估周期定為1天���,按照小時(shí)來(lái)劃分Timelndex分配����,即1至24�,然后將評(píng)估間隔的重要度按照網(wǎng)絡(luò)流量的等級(jí)劃分為3個(gè)等級(jí)。
表3為評(píng)估間隔重要性等級(jí)��,WC表示歸一化的量化權(quán)重系數(shù)�����,安全域的劃分參照表1。
3.2仿真結(jié)果
Day1#中嚴(yán)重度系數(shù)分配的前后如圖3a和圖3b顯示����。因?yàn)镈ay1#中出現(xiàn)的高危攻擊要比相應(yīng)間隔的中低危告警要少的多��,也就是說(shuō),圖3a中的低危態(tài)勢(shì)表現(xiàn)要嚴(yán)重與高危和中危態(tài)勢(shì)����。這就說(shuō)明�����,在對(duì)統(tǒng)計(jì)值進(jìn)行建立時(shí),對(duì)網(wǎng)絡(luò)攻擊中的嚴(yán)重度無(wú)法準(zhǔn)確的進(jìn)行評(píng)估�。圖3b反應(yīng)了網(wǎng)絡(luò)安全態(tài)勢(shì)的嚴(yán)重度系數(shù)分配突出高危攻擊的影響�。
與圖3表述相一致��,圖4中a和b也表示嚴(yán)重度系數(shù)����,不同的是安全域是SZ-2,與圖3a面臨的問(wèn)題相似�,圖4a也反應(yīng)了低危攻擊比高危和中危攻擊嚴(yán)重,例如在Day1#數(shù)據(jù)中,第10、15與19小時(shí)都發(fā)生了高危攻擊���,但是����,這些高危攻擊在圖4a中����,完全淹沒(méi)在低危告警中,圖4b中則完全顯示出高危態(tài)勢(shì)的變化。
在將SpaceIndex引入SZ-1和SZ-2前后,總體安全態(tài)勢(shì)如圖5a和圖5b的變化��。在周期評(píng)估時(shí)�����,比較接近的是SZ-1中的攻擊分布和攻擊數(shù)量和SZ-2比較接近。所以在引入SpaceIndex之前���,二者的態(tài)勢(shì)曲線是最為接近的,但是不同的是SZ-1中的主機(jī)和服務(wù)要比SZ-2中的主機(jī)和服務(wù)重要��,因此���,如果對(duì)兩個(gè)安全域同時(shí)進(jìn)行攻擊時(shí)�����,兩個(gè)安全域所在的網(wǎng)絡(luò)系統(tǒng)受到的影響是完全不同的����,只有在引入Spacelndex后����,才能體現(xiàn)出態(tài)勢(shì)的變化,如圖5b�����。
圖6a中��,主要是對(duì)Day2#總體態(tài)勢(shì)變化和不同安全域的態(tài)勢(shì)變化進(jìn)行比較��,從圖中可以看出,總體態(tài)勢(shì)的變化主要是有SZ-2所決定的�����。在特定時(shí)段內(nèi)����,SZ-2的變化并未引起SZ-1的態(tài)勢(shì)變化而被忽視��。該思想在圖6b中Day3#數(shù)據(jù)中也被驗(yàn)證�。
4���、結(jié)論
篇(4)
1.2系統(tǒng)數(shù)據(jù)庫(kù)利用JSP語(yǔ)言設(shè)計(jì)校園網(wǎng)站數(shù)據(jù)庫(kù)時(shí)����,可以建立E-R模型。這種模型既能迎合JSP語(yǔ)言,又能將各個(gè)欄目的信息反饋給瀏覽者。在設(shè)計(jì)校園網(wǎng)站時(shí),可以對(duì)各個(gè)欄目的信息進(jìn)行設(shè)置����。根據(jù)此模型���,網(wǎng)站設(shè)計(jì)者就可以給每個(gè)項(xiàng)目進(jìn)行命名�,并編輯相關(guān)代碼����,最后將每個(gè)項(xiàng)目的代碼綜合起來(lái)形成一個(gè)大的數(shù)據(jù)庫(kù)?����?梢岳脭?shù)據(jù)代碼將教師職工表編譯成數(shù)據(jù)庫(kù)��,例如:IdintPK/NN/UQ主鍵id�;Tnumchar(13)NN教職工號(hào)�;Tnamevarchar(30)NN教師的姓名;Ttitlechar(13)NN外鍵教師職稱;Tmajorchar(30)NN外鍵教師研究的專業(yè);Tcollegechar(40)NN外鍵教師所在學(xué)院,這些項(xiàng)目依次為字段名、數(shù)據(jù)類型�����、約束�����、鍵引用�、備注��。
1.3網(wǎng)站部分功能進(jìn)行框架設(shè)計(jì)之后���,已經(jīng)將校園主頁(yè)的首頁(yè)基本設(shè)置完成了�����。但是為了讓網(wǎng)站能實(shí)現(xiàn)更多的功能,讓校園網(wǎng)站更靈活�����,網(wǎng)站設(shè)計(jì)者還要根據(jù)用戶的需求設(shè)計(jì)出網(wǎng)站的更多功能����,讓網(wǎng)站總體呈現(xiàn)簡(jiǎn)潔、統(tǒng)一,但其內(nèi)容又要十分豐富��。根據(jù)校園網(wǎng)站的特點(diǎn)以及其面對(duì)的群體來(lái)看��,網(wǎng)站設(shè)計(jì)者在進(jìn)行網(wǎng)站設(shè)計(jì)時(shí)應(yīng)該注重以下幾個(gè)功能地設(shè)計(jì)�����,例如:圖片展示功能、用戶登錄及密碼驗(yàn)證功能、信息功能、上傳下載功能、權(quán)限功能等��。主要介紹用戶登錄及密碼驗(yàn)證功能���。利用JSP計(jì)算機(jī)語(yǔ)言設(shè)計(jì)用戶密碼登錄功能時(shí)�,應(yīng)該以保證后臺(tái)管理的安全性為首要目標(biāo)����。具體設(shè)計(jì)過(guò)程:管理員先對(duì)訪問(wèn)的用戶身份進(jìn)行驗(yàn)證,在用戶輸入正確的用戶名和密碼之后�,才能讓用戶訪問(wèn)校園網(wǎng)站的重要數(shù)據(jù)���;如用戶輸入的密碼不正確���,用戶則不能訪問(wèn)相關(guān)數(shù)據(jù)�,用戶界面便返回到原來(lái)的登錄界面���。為了提升網(wǎng)站安全性��,避免用戶使用非法的URL登錄�,網(wǎng)站設(shè)計(jì)者應(yīng)該在每一個(gè)后臺(tái)頁(yè)面訪問(wèn)中進(jìn)行身份認(rèn)證�,以此保證校園網(wǎng)站能夠穩(wěn)定運(yùn)行。
2健康信息網(wǎng)站設(shè)計(jì)
2.1系統(tǒng)設(shè)計(jì)原則基于JSP語(yǔ)言設(shè)計(jì)的健康信息網(wǎng)站與校園網(wǎng)站的建設(shè)過(guò)程大致相同�����,但健康網(wǎng)站的信息量要完全大于校園網(wǎng)站的信息量�����,同時(shí)健康信息網(wǎng)站還應(yīng)該設(shè)立較為完善的人人對(duì)話平臺(tái)���,以此滿足用戶的基本需求�。那么健康信息網(wǎng)站在進(jìn)行設(shè)計(jì)時(shí)應(yīng)該滿足如下設(shè)計(jì)原則:(1)實(shí)用性原則�����;(2)先進(jìn)性原則;(3)開放性原則;(4)完整性原則;(5)安全可靠性原則�����。
2.2相關(guān)代碼以及流程在設(shè)計(jì)健康信息網(wǎng)站的過(guò)程中,先要對(duì)網(wǎng)站的咨詢流程進(jìn)行設(shè)計(jì)����,進(jìn)行咨詢流程地設(shè)計(jì)之后����,就要對(duì)網(wǎng)站的數(shù)據(jù)代碼進(jìn)行設(shè)計(jì)�。利用JSP語(yǔ)言設(shè)計(jì)健康信息網(wǎng)站數(shù)據(jù)庫(kù)時(shí),可以借鑒上文中校園網(wǎng)站數(shù)據(jù)庫(kù)設(shè)計(jì)��,但是為了讓健康信息網(wǎng)站擁有更高的可移植性���,就需要設(shè)置相關(guān)代碼將信息與數(shù)據(jù)庫(kù)連接起來(lái)�����。
篇(5)
2電子政務(wù)中安全問(wèn)題的應(yīng)對(duì)策略
2.1安全意識(shí)的培養(yǎng)
安全意識(shí)需要從基礎(chǔ)開始培養(yǎng)的�,因此對(duì)相關(guān)的基層人員進(jìn)行相應(yīng)的知識(shí)培訓(xùn)�。一般的電子政務(wù)的是一個(gè)政府機(jī)構(gòu)的官方網(wǎng)站,而且這些網(wǎng)站的后臺(tái)都需要登錄域名和密碼�����,還有就是網(wǎng)站的信息等需要登錄后臺(tái)或者是需要用戶名才可以�����,這些就存在入侵空間了�,類似的還有很多�,因此要對(duì)基層人員培養(yǎng)安全意識(shí)���,最有用的方法就是向基層人員講解那些方面存在安全隱患�,并實(shí)時(shí)對(duì)這些基層進(jìn)行抽查,避免他們進(jìn)行危險(xiǎn)操作����。這些都是簡(jiǎn)單的從表面上解決問(wèn)題����,但這并不能根除所有的安全隱患�,因此要提高安全性,還要從另外幾個(gè)方向上解決根本的問(wèn)題���。
2.2規(guī)范操作方式
對(duì)安全意識(shí)的培養(yǎng),只是在理論上對(duì)基層人員進(jìn)行了一定程度上的培養(yǎng)���,但是還需要在實(shí)際操作上進(jìn)行培養(yǎng)。這主要包括安全瀏覽,安全登錄���,安全。安全瀏覽主要是指日常工作在網(wǎng)頁(yè)上的安全使用,要求在使用前進(jìn)行殺毒處理��,檢查是否開啟防火墻�,不要在非官網(wǎng)上填寫登錄名等;安全登錄是指在安全的網(wǎng)絡(luò)環(huán)境中登錄賬號(hào),主要操作為先檢查網(wǎng)絡(luò)環(huán)境是否安全,在進(jìn)行防火墻設(shè)置,最重要的是在登錄賬號(hào)之前進(jìn)行病毒查殺,在進(jìn)行相關(guān)的內(nèi)容,或信息瀏覽等����,在做完所有的事項(xiàng)之后退出賬號(hào)����。這非常重要的一步�,有很多基層人員做好了所有的事,但是最后忘了退出了,就導(dǎo)致賬號(hào)信息的泄露���,這也是很常見(jiàn)的基礎(chǔ)錯(cuò)誤,還有一種就是很多人喜歡保存登錄號(hào)密碼����,這會(huì)在別人用你的電腦時(shí),可以很輕松的登錄進(jìn)入相關(guān)頁(yè)面,并進(jìn)行違法操作等。
2.3提高電子政務(wù)建設(shè)中的技術(shù)支持
很多時(shí)候不是電子政務(wù)的建設(shè)上的問(wèn)題,而是后臺(tái)的維護(hù)技術(shù)不足,再遇到病毒時(shí)�����,安全維護(hù)工具和防火墻技術(shù)不足�,導(dǎo)致網(wǎng)站被病毒感染,使不法分子利用,從而獲取民眾的信息����,這在一定程度上這也是地方政府的失誤��。在防火墻的技術(shù)方面的突破�����,是需要政府進(jìn)行招聘的高技術(shù)人員,進(jìn)行防火墻技術(shù)升級(jí),網(wǎng)站優(yōu)化等技術(shù)方面的改善���。
2.4加強(qiáng)相關(guān)人員的保密工作
有的地方政府會(huì)把很簡(jiǎn)單把電子政務(wù)建設(shè)的工作簡(jiǎn)簡(jiǎn)單單的交給一個(gè)網(wǎng)絡(luò)公司來(lái)完成,在這個(gè)過(guò)程中就會(huì)存在很多的問(wèn)題。因?yàn)榫W(wǎng)站的第一設(shè)計(jì)者并不是政府人員�,這個(gè)在一定程度上就存在很大的安全隱患��,畢竟網(wǎng)站設(shè)計(jì)過(guò)程存在的bug只有網(wǎng)站設(shè)計(jì)者最為清楚,如果網(wǎng)站設(shè)計(jì)者將這個(gè)網(wǎng)站的設(shè)計(jì)腳本泄露了,那么就給了那些不法分子利用的機(jī)會(huì),可以通過(guò)網(wǎng)站設(shè)計(jì)的源代碼來(lái)找出設(shè)計(jì)上的bug�����,借此來(lái)來(lái)尋找機(jī)會(huì)攻擊網(wǎng)站���,嚴(yán)重的會(huì)導(dǎo)致所有的信息泄露��。因此為了杜絕這些事項(xiàng)的發(fā)生����,地方政府在建設(shè)網(wǎng)站時(shí)��,可以將網(wǎng)站設(shè)計(jì)的任務(wù)交給網(wǎng)絡(luò)設(shè)計(jì)公司,但是同時(shí)也要和他們簽訂相應(yīng)的協(xié)議�����,一是為防止他們泄露網(wǎng)站設(shè)計(jì)思路和源代碼��,二是在防止他們私自登錄網(wǎng)站的后臺(tái)�。還有就是利用政府的網(wǎng)絡(luò)技術(shù)人員對(duì)網(wǎng)站進(jìn)行修改����,在一定程度上完善網(wǎng)站設(shè)計(jì),減少bug�����,以減少信息泄露的風(fēng)險(xiǎn)���。
篇(6)
引言:所謂的電子商務(wù)�,主要指的是語(yǔ)用用訊的方式進(jìn)行產(chǎn)品的經(jīng)銷、存貨���、查詢、交易�����、廣告宣傳以及付款等商業(yè)活動(dòng)[1]�����。在發(fā)達(dá)國(guó)家���,電子商務(wù)早在20世紀(jì)90年代初期的時(shí)候就得到了發(fā)展,并建立了健全的電子商務(wù)服務(wù)體系����。隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展��,電子商務(wù)也成為了21世紀(jì)國(guó)際貿(mào)易的主要形式和發(fā)展趨勢(shì)之一,在推動(dòng)經(jīng)濟(jì)發(fā)展的過(guò)程中���,具有重要作用。就我國(guó)來(lái)說(shuō)�,在2013年����,中國(guó)電子商務(wù)交易額突破10萬(wàn)億元��,同比增長(zhǎng)26.8%��。其中網(wǎng)絡(luò)零售額超過(guò)1.85萬(wàn),有關(guān)報(bào)告顯示,我國(guó)成為世界最大的網(wǎng)絡(luò)零售市場(chǎng),超過(guò)1.85萬(wàn)億元的網(wǎng)絡(luò)零售交易額相當(dāng)于社會(huì)消費(fèi)品零售總額的7.8%;�,2014年上半年�����,我國(guó)電子商務(wù)繼續(xù)保持快速發(fā)展的勢(shì)頭���,市場(chǎng)規(guī)模不斷擴(kuò)大�����,網(wǎng)上消費(fèi)群體增長(zhǎng)迅速。根據(jù)研究機(jī)構(gòu)初步測(cè)算�����,上半年我國(guó)電子商務(wù)交易額約為5.66萬(wàn)億元����,同比增長(zhǎng)30.1%�。電子商務(wù)拉動(dòng)內(nèi)需、促進(jìn)就業(yè)作用明顯��;移動(dòng)互聯(lián)網(wǎng)���、大數(shù)據(jù)等新一代技術(shù)的應(yīng)用成為電子商務(wù)發(fā)展的新熱點(diǎn)�;與此同時(shí),電子商務(wù)市場(chǎng)競(jìng)爭(zhēng)日益激烈,企業(yè)服務(wù)能力和行業(yè)集中度均有提升���;而隨著商務(wù)部聯(lián)合多個(gè)部委跨境電子商務(wù)有關(guān)政策,跨境電子商務(wù)正在迎來(lái)一個(gè)全新的發(fā)展階段[2]。
一、電子商務(wù)網(wǎng)站設(shè)計(jì)
(一)設(shè)計(jì)原則
網(wǎng)上交易商品�����,不僅需要大量的的數(shù)據(jù)處理�,還需要保證數(shù)據(jù)信息的安全性,在功能上也要滿足商業(yè)流程。電子商務(wù)交易網(wǎng)站和一般的web網(wǎng)站相比,電子商務(wù)網(wǎng)站對(duì)數(shù)據(jù)處理、數(shù)據(jù)傳輸以及數(shù)據(jù)流程方面的要求更高,其處理也更為復(fù)雜。因此����,對(duì)于電子商務(wù)網(wǎng)站的設(shè)計(jì)��,必須保證其系統(tǒng)的可靠性、安全性����、經(jīng)濟(jì)性���、可拓展性�、先進(jìn)性以及開放性��。其次�����,要站在用戶的角度進(jìn)行分析。電子商務(wù)網(wǎng)站是企業(yè)和各種商品機(jī)構(gòu)開展電子商務(wù)的基礎(chǔ)設(shè)施和信息平臺(tái),是各種服務(wù)對(duì)象之間的交互界面���,也是電子商務(wù)系統(tǒng)的承擔(dān)者和表現(xiàn)者[3]����。站在用戶的角度來(lái)設(shè)計(jì)網(wǎng)站,可以保證電子商務(wù)網(wǎng)站的易用性�����。
(二)電子商務(wù)網(wǎng)站設(shè)計(jì)概要
關(guān)于電子商務(wù)網(wǎng)站的設(shè)計(jì)��,是一項(xiàng)復(fù)雜的系統(tǒng)工程��,需要企業(yè)對(duì)各項(xiàng)業(yè)務(wù)流程進(jìn)行整合,并將外部信息集成����,是一個(gè)對(duì)網(wǎng)絡(luò)信息資源組織�����、開發(fā)以及利用的綜合過(guò)程,無(wú)論是在商務(wù)層面上��,還是在設(shè)計(jì)開發(fā)的技術(shù)層面上,都面臨著諸多的問(wèn)題。
1.對(duì)電子商務(wù)網(wǎng)站設(shè)計(jì)模式的分析
一般來(lái)說(shuō)���,電子商務(wù)主要有兩種模式,一種是企業(yè)對(duì)企業(yè)模式,即我們常說(shuō)的B2B模式��,另外一種模式就是消費(fèi)者模式�,即B2C模式。企業(yè)在實(shí)際的操作過(guò)程中,一般都是將兩種模式結(jié)合使用,因此�,在對(duì)模式進(jìn)行設(shè)計(jì)的過(guò)程中��,需要根據(jù)企業(yè)的實(shí)際需要進(jìn)行設(shè)計(jì)。
2.電子商務(wù)功能設(shè)計(jì)的分析
在分析客戶和企業(yè)需求的基礎(chǔ)上,還要對(duì)商務(wù)網(wǎng)站的設(shè)目標(biāo)���、業(yè)務(wù)流程等進(jìn)行詳盡的了解很分析,明確系統(tǒng)是否能夠滿足客戶的需求,從而確定目標(biāo)系統(tǒng)的功能設(shè)計(jì)��。一般來(lái)說(shuō)����,對(duì)于電子商務(wù)網(wǎng)站需要滿足一下幾個(gè)功能:第一�����、企業(yè)的形象宣傳���,第二����、產(chǎn)品和服務(wù)項(xiàng)目展示���,第三�、商品和服務(wù)訂購(gòu),第四����、轉(zhuǎn)帳與支付����、運(yùn)輸�,第五、信息搜索與查詢�,除此以外�,還要有客戶信息管理模塊���、銷售業(yè)務(wù)信息管理模塊以及新聞�����、供求信息等模塊。
3.電子商務(wù)網(wǎng)站的結(jié)構(gòu)設(shè)計(jì)
關(guān)于電子商務(wù)的結(jié)構(gòu)設(shè)計(jì),目前有多重類型���,可以分為三層,第一層為表現(xiàn)層,第二層為商務(wù)層,第三層為數(shù)據(jù)層��。
二�����、電子商務(wù)的管理設(shè)計(jì)
對(duì)于電子商務(wù)網(wǎng)站的管理�����,包含多個(gè)方面的內(nèi)容,其管理質(zhì)量的高低���,直接關(guān)系到了商務(wù)電子網(wǎng)站的正常運(yùn)行和運(yùn)行的安全性,因此�����,應(yīng)該對(duì)電子商務(wù)系統(tǒng)管理引起重視��?�?偟膩?lái)說(shuō),電子商務(wù)網(wǎng)站管理主要包含以下幾個(gè)部分:
第一�����、系統(tǒng)管理。系統(tǒng)管理主要就是對(duì)系統(tǒng)中的軟件管理��、硬件管理���、文件傳輸管理�����、電子郵件系統(tǒng)管理、支付系統(tǒng)管理、數(shù)據(jù)庫(kù)系統(tǒng)管理等。
第二�、應(yīng)用管理����。所謂的應(yīng)用管理���,主要指的是對(duì)實(shí)現(xiàn)網(wǎng)站功能的軟件進(jìn)行管理���,包括個(gè)性化服務(wù)管理���,購(gòu)物車管理以及聊天室管理等主要內(nèi)容���。
第三����、內(nèi)容管理。內(nèi)容管理主要指的就是集約業(yè)務(wù)的管理。網(wǎng)站內(nèi)容管理是電子商務(wù)網(wǎng)站管理的核心內(nèi)容��,是確保電子商務(wù)網(wǎng)站有效運(yùn)行的基本手手段��。其包含了在線購(gòu)物管理����、在線支持管理以及客戶信息管理等內(nèi)容����。
第四、安全管理。安全管理主要負(fù)責(zé)的就是針對(duì)網(wǎng)站中的安全威脅因素采取有效的管理措施�,解決網(wǎng)站系統(tǒng)中的安全問(wèn)題�,確保系統(tǒng)運(yùn)行的安全性����。主要包括網(wǎng)絡(luò)安全管理����、應(yīng)用安全管理以及數(shù)據(jù)庫(kù)安全管理三個(gè)方面的內(nèi)容。
目前��,關(guān)于電子商務(wù)的管理模式有很多�����,智能結(jié)構(gòu)模式管理是其管理發(fā)展的主要方向�。采用智能管理的模式�����,可以將管理內(nèi)容結(jié)構(gòu)化���,并完善各種管理流程�,實(shí)現(xiàn)遠(yuǎn)程辦公確保信息來(lái)源的質(zhì)量���,再通過(guò)一系列智能化的手段�����,提供信息相關(guān)的商貿(mào)信息����,實(shí)現(xiàn)電子商務(wù)網(wǎng)站的智能管理����,也能實(shí)現(xiàn)動(dòng)態(tài)信息的發(fā)送。
參考文獻(xiàn):
[1] 閔惜琳.人工神經(jīng)網(wǎng)絡(luò)結(jié)合遺傳算法對(duì)網(wǎng)站開發(fā)優(yōu)化的應(yīng)用[J].系統(tǒng)工程����,2011��,25(2):22-26.
[2] 梁姝.基于云計(jì)算技術(shù)的電子商務(wù)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].黑龍江大學(xué),2012.
[3] 杜成昊.利用軟件工程基本原理進(jìn)行電子商務(wù)網(wǎng)站設(shè)計(jì)[J].湖北師范學(xué)院學(xué)報(bào)(自然科學(xué)版)��,2006���,26(3):84-88.
[4] 嚴(yán)莉.多元化教學(xué)模式在《電子商務(wù)網(wǎng)站設(shè)計(jì)與管理》中的應(yīng)用[J].科技信息���,2011�,(35):1081,1108.
[5] 田博�,覃正.B2C電子商務(wù)中的在線信任分析及其在網(wǎng)站設(shè)計(jì)中的應(yīng)用[J].科技管理研究�,2011����,28(7):422-424.
篇(7)
一、引言
網(wǎng)絡(luò)技術(shù)的不斷成熟和發(fā)展��,促進(jìn)了基于網(wǎng)絡(luò)技術(shù)的校園網(wǎng)站的發(fā)展�����。校園網(wǎng)站開發(fā)是一項(xiàng)很復(fù)雜的工作����,我校根據(jù)學(xué)校實(shí)際�����,確定網(wǎng)站的定位和需求����,從軟件工程的角度出發(fā)���,針對(duì)學(xué)校網(wǎng)站建設(shè)的特點(diǎn)和重點(diǎn)����,整理出一套適合學(xué)校網(wǎng)站建設(shè)管理和控制的方法��,以此來(lái)保證網(wǎng)站建設(shè)的高效率����、高質(zhì)量�����。
二�����、網(wǎng)站立項(xiàng)
校園網(wǎng)站建設(shè),要成立一個(gè)專門的項(xiàng)目小組:學(xué)校領(lǐng)導(dǎo)、學(xué)校網(wǎng)絡(luò)管理員�����、美術(shù)教師�、各科室人員、計(jì)算機(jī)專業(yè)教師等8人~9人以及“計(jì)算機(jī)學(xué)會(huì)”社團(tuán)學(xué)生代表5人組成,由網(wǎng)絡(luò)管理員作為項(xiàng)目負(fù)責(zé)人負(fù)責(zé)對(duì)該項(xiàng)目的統(tǒng)一調(diào)度和安排。
三�����、網(wǎng)站設(shè)計(jì)開發(fā)過(guò)程
(一)系統(tǒng)分析階段
建立一個(gè)網(wǎng)站���,首要明確設(shè)計(jì)思想�,編寫一份詳盡的需求說(shuō)明書��,這是網(wǎng)站建設(shè)成功的關(guān)鍵所在���。
我校根據(jù)各方面的反饋意見(jiàn)進(jìn)行認(rèn)真的分析����,對(duì)網(wǎng)站設(shè)計(jì)進(jìn)行準(zhǔn)確定位:學(xué)校網(wǎng)站規(guī)劃要著重考慮教師和學(xué)生的需求;內(nèi)容上要以學(xué)校整體宣傳為主,同時(shí)也要為訪問(wèn)者提供其所關(guān)心的內(nèi)容���;內(nèi)容要求及時(shí)更新;版面要求新穎有特色,同時(shí)還要增強(qiáng)網(wǎng)站的方便性�����、整體性和安全性�����。
(二)系統(tǒng)設(shè)計(jì)階段
1.網(wǎng)站總體設(shè)計(jì)
網(wǎng)站設(shè)計(jì)有了一份詳盡的需求說(shuō)明書后�,就可以根據(jù)需求說(shuō)明書���,對(duì)網(wǎng)站進(jìn)行總體規(guī)劃�����,給出一份網(wǎng)站總體建設(shè)方案���?�?傮w規(guī)劃具體要明確網(wǎng)站需要實(shí)現(xiàn)的目的和目標(biāo);網(wǎng)站形象說(shuō)明;網(wǎng)站的欄目版塊和結(jié)構(gòu)��;網(wǎng)站內(nèi)容的安排�����,相互鏈接關(guān)系;使用軟件�、硬件和技術(shù)分析說(shuō)明����;開發(fā)時(shí)間進(jìn)度表�;維護(hù)方案;制作費(fèi)用�����;需要遵循的規(guī)則和標(biāo)準(zhǔn)有哪些等����。
2.網(wǎng)站詳細(xì)設(shè)計(jì)
總體設(shè)計(jì)階段以比較抽象概括的方式提出解決問(wèn)題的辦法,具體設(shè)計(jì)階段的任務(wù)就是把解決方法具體化��、明確化�,設(shè)計(jì)中應(yīng)注意的問(wèn)題有:
(1)網(wǎng)站設(shè)計(jì)的風(fēng)格定位。網(wǎng)站要有自己的特色�,設(shè)計(jì)中不要太多地考慮技術(shù)問(wèn)題����,而應(yīng)該更多地考慮不斷增加網(wǎng)站的內(nèi)涵�,要在能夠動(dòng)態(tài)反映學(xué)校情況的內(nèi)容上下功夫。
(2)網(wǎng)站設(shè)計(jì)的整體性���。網(wǎng)站設(shè)計(jì),注意考慮網(wǎng)站的易維護(hù)性�����,技術(shù)上多采用CSS�����、模板等,對(duì)網(wǎng)站的整體風(fēng)格進(jìn)行定位����,方便日常維護(hù)與更新��。
(3)關(guān)鍵技術(shù)的研究及應(yīng)用。網(wǎng)站設(shè)計(jì)中��,怎樣防黑�,保護(hù)網(wǎng)站內(nèi)容不被別人竊取、修改是網(wǎng)站建設(shè)必須考慮的技術(shù)性問(wèn)題。本人主要從IIS、ASP和Access三方面來(lái)總結(jié)網(wǎng)站系統(tǒng)面臨的常見(jiàn)的安全威脅及解決方法�����。
①集中管理ASP的目錄,設(shè)置訪問(wèn)權(quán)限�����。在設(shè)置WEB站點(diǎn)時(shí)��,將HTMI文件同ASP文件分開放置在不同的目錄下����,然后將HTML子目錄設(shè)置為“讀”�;將ASP子目錄設(shè)置為“執(zhí)行”。
②對(duì)IIS中的特殊Web目錄禁止匿名訪問(wèn)并限制IP地址���。對(duì)IIS中的sample、scripts�����、iisadmin等web目錄�,通過(guò)各目錄屬性對(duì)話框中的“目錄安全性”標(biāo)簽設(shè)置為禁止匿名訪問(wèn)并限制IP地址,并用NTFS的特性設(shè)置詳細(xì)的安全權(quán)限��,除了Administrator�,其它帳號(hào)都應(yīng)該設(shè)置為只讀權(quán)限����。
③防止Access數(shù)據(jù)庫(kù)被下載。有效地防止數(shù)據(jù)庫(kù)被下載的方法有:非常規(guī)命名法:為Access數(shù)據(jù)庫(kù)文件取一個(gè)復(fù)雜的非常規(guī)名字,并把它放在幾層目錄下�����;使用ODBC數(shù)據(jù)源:在ASP程序設(shè)計(jì)中�����,如果有條件�,應(yīng)盡量使用ODBC數(shù)據(jù)源����,不要把數(shù)據(jù)庫(kù)名寫在程序中。
④進(jìn)行數(shù)據(jù)備份����。運(yùn)用FSO組件對(duì)Access數(shù)據(jù)庫(kù)進(jìn)行備份����,以便在數(shù)據(jù)被破壞時(shí)進(jìn)行快速恢復(fù),盡可能多地挽回?fù)p失���。
⑤對(duì)ASP頁(yè)面進(jìn)行加密����。為了有效地防止ASP源代碼泄露,可以對(duì)ASP頁(yè)面進(jìn)行加密。加密的方法一般有兩種:一是使用組件技術(shù)將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對(duì)ASP頁(yè)面進(jìn)行加密����。
⑥后臺(tái)用戶注冊(cè)驗(yàn)證。為了防止后臺(tái)用戶未經(jīng)注冊(cè)的用戶繞過(guò)注冊(cè)界面直接進(jìn)入應(yīng)用系統(tǒng)����,我們采用Session對(duì)象進(jìn)行注冊(cè)驗(yàn)證:<%UserID=Request(“UserID”)
‘讀取使用者所輸入的用戶名和密碼
Password=Request(“Password”)
IfUserID<>“hrmis”O(jiān)rPassword<>“password”Then
Response.Write“用戶名錯(cuò)誤!”
Response.End
EndIf
‘將Session對(duì)象設(shè)置為通過(guò)驗(yàn)證狀態(tài)
Session(“Passed”)=True%>
進(jìn)入應(yīng)用程序后,首先進(jìn)行驗(yàn)證:
<%‘如果未通過(guò)驗(yàn)證,返回Login.asp頁(yè)面登陸狀態(tài)
IfNotSession(“Passed”)ThenResponse.Redirect“Login.asp”
EndIf%>
⑦讓學(xué)生參與網(wǎng)站設(shè)計(jì)��。優(yōu)秀學(xué)生參與設(shè)計(jì),無(wú)論對(duì)豐富網(wǎng)站內(nèi)容���、提高學(xué)校網(wǎng)站的點(diǎn)擊率還是擴(kuò)大學(xué)校網(wǎng)站的影響都能起到相當(dāng)大的作用。
(三)網(wǎng)站測(cè)試
有了網(wǎng)站的具體設(shè)計(jì)方案�,各網(wǎng)站制作人員就可以全力進(jìn)入開發(fā)階段��。盡量采用邊制作邊調(diào)試,即采用本機(jī)調(diào)試和上傳服務(wù)器調(diào)試的方法���,觀察速度、兼容性、交互性等���。
投入運(yùn)行之前,需對(duì)網(wǎng)站需求分析�����、系統(tǒng)分析、設(shè)計(jì)規(guī)格說(shuō)明和編碼最終復(fù)審,還要對(duì)系統(tǒng)進(jìn)行各種綜合測(cè)試。測(cè)試結(jié)束后���,制作有關(guān)文檔存檔,并寫出一個(gè)校園網(wǎng)站使用說(shuō)明文檔。至此,網(wǎng)站項(xiàng)目建設(shè)完畢�。
(四)網(wǎng)站的管理和更新
做好網(wǎng)站的管理與更新����,是一個(gè)網(wǎng)站樹立形象的根本�����、生存的根本���。我校專門成立了安全組織機(jī)構(gòu),制定出適合我校的《校園網(wǎng)站管理辦法》�、《校園網(wǎng)站信息審核制度》�、《校園網(wǎng)站異常情況案件報(bào)告制度》等規(guī)定�,建立健全了各項(xiàng)安全管理制度。
四�、結(jié)論
我校網(wǎng)站已經(jīng)試運(yùn)行一段時(shí)間���,為學(xué)校的教師��、學(xué)生和教學(xué)管理人員提供教學(xué)管理、教學(xué)研究����、日常辦公����、信息交流等應(yīng)用服務(wù)的平臺(tái)�,較好地滿足了設(shè)計(jì)最初的需求。在整個(gè)設(shè)計(jì)網(wǎng)站的過(guò)程中����,重視學(xué)校網(wǎng)站的“規(guī)劃—設(shè)計(jì)—管理—發(fā)展”的規(guī)律��,實(shí)現(xiàn)可持續(xù)性發(fā)展。
參考文獻(xiàn):
[1]田原.高職院校校園網(wǎng)站主頁(yè)設(shè)計(jì)探討[J].十堰職業(yè)技術(shù)學(xué)院學(xué)報(bào)���,2007,(7).
[2]方照.立足校本����,探索校園網(wǎng)建設(shè)之路[J].教育信息技術(shù)��,2007,(12).
[3]田建勇.淺析學(xué)校網(wǎng)站的設(shè)計(jì)與建設(shè)[J].安順師范高等?�?茖W(xué)校學(xué)報(bào)�,2006,(6).
篇(8)
中圖分類號(hào):TP393.092 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2017)04-0161-01
1 精品課程網(wǎng)站概述
精品課程網(wǎng)站本質(zhì)上來(lái)說(shuō)是將課程轉(zhuǎn)換為電子版�����,屬于信息資源庫(kù)的一種�����。它能否對(duì)課堂教學(xué)以及教材中的內(nèi)容進(jìn)行擴(kuò)展和補(bǔ)充。通過(guò)網(wǎng)上平臺(tái)能否實(shí)現(xiàn)教學(xué)資源的共享和更新,便于學(xué)生間以及學(xué)生和教師之間的交流和學(xué)習(xí)�����。另外����,還可通過(guò)測(cè)試、教學(xué)評(píng)價(jià)等方法豐富教學(xué)內(nèi)容和形式�����,并能對(duì)教學(xué)狀況和成果進(jìn)行反饋��,使教師結(jié)合具體情況及時(shí)對(duì)教學(xué)內(nèi)容和進(jìn)度進(jìn)行調(diào)整�。將精品課程網(wǎng)站應(yīng)用到教學(xué)工作中�,可發(fā)揮多方面的優(yōu)勢(shì)。
2 Java技術(shù)支持下精品課程網(wǎng)站設(shè)計(jì)與開發(fā)
2.1 設(shè)計(jì)目標(biāo)
實(shí)現(xiàn)功能的擴(kuò)展是運(yùn)用Java技術(shù)進(jìn)行精品課程網(wǎng)站設(shè)計(jì)的主要目標(biāo),追求網(wǎng)站W(wǎng)eb框架實(shí)用性和高效性的統(tǒng)一�,且便于對(duì)其進(jìn)行維護(hù)���。精品課程網(wǎng)站設(shè)計(jì)過(guò)程中還需要考慮的另一重要因素則是數(shù)據(jù)的安全����。為避免客觀因素,系統(tǒng)故障等對(duì)數(shù)據(jù)造成損壞��,可采用遠(yuǎn)程實(shí)時(shí)快照等方式做好備份工作�����,防止數(shù)據(jù)丟失。
對(duì)于數(shù)據(jù)操作來(lái)說(shuō),其設(shè)計(jì)重點(diǎn)應(yīng)放在客戶端Web遭受垃圾攻擊如何保障其安全上���。在對(duì)精品課程網(wǎng)站進(jìn)行管理的過(guò)程中,需要建立后臺(tái)管理系統(tǒng),對(duì)瀏覽器進(jìn)行實(shí)時(shí)維護(hù),便于用戶利用瀏覽器π畔⒔行����、更新課程內(nèi)容以及完成其它操作��。對(duì)于信息的自主來(lái)說(shuō),需要設(shè)計(jì)好網(wǎng)站的信息審核功能�����,確保所的信息安全��、合理����。
2.2 設(shè)計(jì)原則
精品課程教學(xué)需求是網(wǎng)站設(shè)計(jì)和開發(fā)的原則���,精品課程網(wǎng)站的設(shè)計(jì)需要既能與教學(xué)目標(biāo)相適應(yīng)��,又能保障其服務(wù)質(zhì)量的提升�,便于學(xué)生對(duì)信息的查找和課程的學(xué)習(xí)��。精品課程網(wǎng)站的服務(wù)對(duì)象是教師以及學(xué)生�,其主要功能在于對(duì)教學(xué)工作進(jìn)行輔助���,在對(duì)精品課程網(wǎng)站進(jìn)行設(shè)計(jì)的過(guò)程中��,還應(yīng)以信息的更新���、網(wǎng)站管理更為方便為原則�����。
2.3 技術(shù)手段
B/S在精品課程網(wǎng)站W(wǎng)eb系統(tǒng)中發(fā)揮著十分重要的作用��?�;贘ava技術(shù)對(duì)精品課程網(wǎng)站進(jìn)行設(shè)計(jì)和開發(fā)時(shí),需要綜合運(yùn)用Tomcat等多種技術(shù)���,才能使網(wǎng)站功能得以擴(kuò)展,以下是對(duì)精品課程網(wǎng)站設(shè)計(jì)開發(fā)過(guò)程的技術(shù)手段的分析:首先���,可利用Java語(yǔ)言初步完成對(duì)客戶端數(shù)據(jù)的認(rèn)證,并對(duì)信息進(jìn)行過(guò)濾��。其次�����,為了確保安全�,可以利用用戶名以及密碼機(jī)制保障登錄的安全性����,還可結(jié)合不同用戶對(duì)其權(quán)限進(jìn)行限定,利用MDA技術(shù)完成信息的加密�,避免用戶信息泄漏�。最后�,需要充分掌握Web運(yùn)行環(huán)境,特別是Tomcat安全設(shè)置相關(guān)問(wèn)題�����,并了解其操作功能。另外��,需要將Java語(yǔ)言以及ECIIPse集成開發(fā)平臺(tái)結(jié)合起來(lái)完成精品課程網(wǎng)站建設(shè)的開發(fā)與設(shè)計(jì)����。
2.4 數(shù)據(jù)庫(kù)設(shè)計(jì)
要確保數(shù)據(jù)庫(kù)的完整性�,全面覆蓋各類資料。具體來(lái)說(shuō)���,需包含學(xué)生信息、試題庫(kù)�����、學(xué)生自我測(cè)試成績(jī)等���。
2.5 登錄功能設(shè)計(jì)
對(duì)于登錄功能的設(shè)計(jì)來(lái)說(shuō)���,需要綜合考慮教師��、學(xué)生和管理員三個(gè)群體��。用戶利用賬戶名及密碼完成登錄,若需要修改基本信息或登錄密碼需完成相應(yīng)的驗(yàn)證���。若通過(guò)身份驗(yàn)證之后,證明登錄用戶身份為學(xué)生����,則其在網(wǎng)站上的權(quán)限可包括交流互動(dòng)�、課程學(xué)習(xí)等方面�,并可執(zhí)行相應(yīng)操作。若驗(yàn)證后登錄用戶身份為教師���,則其權(quán)限可包括課程上傳、信息查詢���、課程討論等。若驗(yàn)證后登錄用戶身份為管理員���,則其在網(wǎng)站上的權(quán)限可以包括對(duì)網(wǎng)站試題的管理、維護(hù)網(wǎng)站公告信息等�。
2.6 公告欄設(shè)計(jì)
精品課程網(wǎng)站公告欄主要由管理員進(jìn)行維護(hù),其對(duì)公告欄實(shí)行管理����,權(quán)限還該對(duì)公告欄內(nèi)容的設(shè)定���、上傳�����、刪除等。具體步驟為:驗(yàn)證管理員身份,成功登錄網(wǎng)站���,選選種所要修改的內(nèi)容,然后便可對(duì)該部分內(nèi)同進(jìn)行修改。若公告欄內(nèi)容以及失去作用,則需要?jiǎng)h除該部分內(nèi)容����。操作方法為:首先登錄網(wǎng)站頁(yè)面����,選中需刪除內(nèi)容����,然后執(zhí)行刪除操作。
3 結(jié)語(yǔ)
信息技術(shù)和計(jì)算機(jī)技術(shù)的進(jìn)步,使得其在各領(lǐng)域中的應(yīng)用越來(lái)越普遍?��;谛畔⒓夹g(shù)的發(fā)展,精品課程網(wǎng)站應(yīng)運(yùn)而生����,并逐漸成為教學(xué)方法改革的一大趨勢(shì)��。將Java技術(shù)和精品課程網(wǎng)站的設(shè)計(jì)和開發(fā)結(jié)合起來(lái),成為新的研究熱點(diǎn)����。本文在對(duì)網(wǎng)站設(shè)計(jì)目標(biāo)以及原則進(jìn)行分析的基礎(chǔ)之上,提出將Java技術(shù)應(yīng)用于精品課程網(wǎng)站設(shè)計(jì)和開發(fā)中具體方法���,主要包括數(shù)據(jù)庫(kù)�、登錄功能��、公告欄三個(gè)方面�,使精品課程網(wǎng)站具備在線學(xué)習(xí)����、交流互動(dòng)、答疑解難、自我測(cè)評(píng)等多方面的功能�,為教學(xué)工作的開展提供便利��。
參考文獻(xiàn)
篇(9)
網(wǎng)絡(luò)技術(shù)不斷成熟和發(fā)展,促進(jìn)了基于網(wǎng)絡(luò)技術(shù)的網(wǎng)站的發(fā)展。網(wǎng)站開發(fā)是一項(xiàng)很復(fù)雜的工作,我校根據(jù)學(xué)校實(shí)際��,確定網(wǎng)站的定位和需求����,從軟件工程的角度出發(fā),針對(duì)學(xué)校網(wǎng)站建設(shè)的特點(diǎn)和重點(diǎn),整理出一套適合學(xué)校網(wǎng)站建設(shè)管理和控制的方法����,以此來(lái)保證網(wǎng)站建設(shè)的高效率����、高質(zhì)量�。
一、基于ASP的動(dòng)態(tài)網(wǎng)站建設(shè)概述
(一)動(dòng)態(tài)的概念
所謂動(dòng)態(tài),并不是指那兒個(gè)放在網(wǎng)頁(yè)上的GIF動(dòng)態(tài)圖片���,在這里是為動(dòng)態(tài)頁(yè)面的概念制定了以下兒條規(guī)則:
1.交互性,即網(wǎng)頁(yè)會(huì)根據(jù)用戶的要求和選擇而動(dòng)態(tài)改變和響應(yīng),將瀏覽器作為客戶端界面���,這將是今后WEB發(fā)展的大勢(shì)所趨。
2.自動(dòng)更新,即無(wú)須手動(dòng)地更新HTML文檔�,便會(huì)自動(dòng)生成新的頁(yè)面���,可以大大節(jié)省工作量。
3.因時(shí)因人而變�,即當(dāng)不同的時(shí)問(wèn)����、不同的人訪問(wèn)同一網(wǎng)址時(shí)會(huì)產(chǎn)生不同的頁(yè)面���。
(二)ASP的概念及特點(diǎn)
Microsoft Active Server Pages即我們所稱的ASP�����,其實(shí)是一套微軟開發(fā)的服務(wù)器端腳本環(huán)境�����,ASP內(nèi)含于IIS3.0和4.0之中,通過(guò)ASP我們可以結(jié)合HTML網(wǎng)頁(yè)����,ASP指令和ActiveX元件建立動(dòng)態(tài)����、交互�����、高效的WEB服務(wù)器應(yīng)用程序�。有了ASP你就不必?fù)?dān)心客戶的瀏覽器是否能運(yùn)行你所編寫的代碼�����,因?yàn)樗械某绦蚨紝⒃诜?wù)器端執(zhí)行�����,包括所有嵌在普通HTML中的腳本程序��。當(dāng)程序執(zhí)行完畢后��,服務(wù)器僅將執(zhí)行的結(jié)果返回給客戶瀏覽器,這樣也就減輕了客戶端瀏覽器的負(fù)擔(dān),大大提高了交互的速度。以下羅列了Active Server Pages所獨(dú)具的一些特點(diǎn):
1.使用VBScript JScript等簡(jiǎn)單易懂的腳本語(yǔ)言,結(jié)合HTML代碼�����,即可快速地完成網(wǎng)站的應(yīng)用程序。
2.無(wú)須Compile編譯��,容易編寫�����,可在服務(wù)器端直接執(zhí)行�。
3.使用普通的文本編輯器�,如Window、的記事本��,即可進(jìn)行編輯設(shè)計(jì)�����。
4.與瀏覽器無(wú)關(guān)(Br+wser In
5.Active Server Pages能與任何AotiveX scripting語(yǔ)言相容��。除了可使用V BSoript或JSoript語(yǔ)言來(lái)設(shè)計(jì)外,還通過(guò)plug-in的方式��,使用由第三方所提供的其他腳本語(yǔ)言�����,譬如REXX����,Perl�����,Tol等。腳本引擎是處理腳本程序的COM(Component Object Model)物件。
6.Active Server Pages的源程序,不會(huì)被傳到客戶瀏覽器�,因而可以避免所寫的源程序被他人票J竊�,也提高了程序的安全性�����。
7.可使用服務(wù)器端的腳本來(lái)產(chǎn)生客戶端的腳本�����。
8.物件導(dǎo)向(Objerient-ed)。
9.AotiveX Server Components
(AotiveX服務(wù)器元件)具有無(wú)限可擴(kuò)充性�����?����?梢允褂肰isual Basic���,Java VisualC++���,Cobol等編程語(yǔ)言來(lái)編寫你所需要的AotiveX Server Component����。
二�、ASP程序設(shè)計(jì)安全技術(shù)
Asp程序設(shè)計(jì)的安全主要涉及三個(gè)方面:Asp源代碼的安全���、Asp程序設(shè)計(jì)的安全和數(shù)據(jù)庫(kù)安全�����。
(一)ASP源代碼的安全
1.保證ASP源碼的安全的主要技術(shù)是Asp腳本加密技術(shù)�。常用方法有兩種:一是ASP2DLL技術(shù)���。其基本思想是利用VB6.0提供的Activexdll對(duì)象將Asp代碼進(jìn)行封裝�,編譯為DLL文件,在Asp程序中調(diào)用該DLL文件��。二是利用微軟提供的Script Encoder加密軟件對(duì)Asp頁(yè)面進(jìn)行加密。
2.置合適的腳本映射。應(yīng)用程序的腳本映射保證了Web服務(wù)器不會(huì)意外地下載Asp文件的源代碼�����,但不安全或有錯(cuò)誤的腳本映射易導(dǎo)致Asp源代碼泄漏�。因此,應(yīng)將用不到的有一定危險(xiǎn)性的腳本映射刪掉(如*.htr文件及*.htw,*.ida��,*.idq等索引文件)�����。
(二)程序設(shè)計(jì)中的安全
1.用戶名����、口令機(jī)制���。用戶名�、口令是最基本的安全技術(shù),在Asp中常采用Form表單提交用戶輸入的帳號(hào)和密碼,與用戶標(biāo)識(shí)數(shù)據(jù)庫(kù)中相應(yīng)的字段進(jìn)行匹配����,在必要的場(chǎng)合可以使用MD5算法來(lái)加密用戶輸入的密碼,可以保證在線路被竊聽的情況下依然保證數(shù)據(jù)的安全���,保護(hù)用戶口令的安全。
2.注冊(cè)驗(yàn)證���。為了網(wǎng)站資源的安全性和易于管理,可以對(duì)用戶進(jìn)行分級(jí)��,給定權(quán)限���,使特定用戶訪問(wèn)特定的資源群���,也可以阻止未授權(quán)用戶使用網(wǎng)站的資源���,這就需要對(duì)用戶進(jìn)行注冊(cè)驗(yàn)證操作����。在ASP中,我們可以利用Session對(duì)象和Http頭信息來(lái)實(shí)現(xiàn)此類安全控制��。當(dāng)訪問(wèn)者通過(guò)身份驗(yàn)證頁(yè)面后�����,就把Session對(duì)象的Sessionid屬性作為一個(gè)Session變量存儲(chǔ)起來(lái)�����,當(dāng)訪問(wèn)者試圖導(dǎo)航到一種有效鏈接的頁(yè)面時(shí),可將當(dāng)前的Sessionid與存儲(chǔ)在Session對(duì)象中的ID進(jìn)行比較����,如果不匹配�,則拒絕訪問(wèn)�����。如在Session(“id”)中保存著第一次鏈接的Sessionid,’拒絕訪問(wèn)��。
3.網(wǎng)頁(yè)過(guò)期管理��?���?紤]到有可能用戶在使用網(wǎng)頁(yè)的過(guò)程中���,有可能會(huì)長(zhǎng)時(shí)間離開計(jì)算機(jī)處理別的事情���,這樣會(huì)給別有用心的人有可乘之機(jī)���,所以應(yīng)該給網(wǎng)頁(yè)一個(gè)過(guò)期時(shí)間���。這樣不僅保證了用戶的安全,也可以減少服務(wù)器的鏈接數(shù)�����,減少服務(wù)器壓力���?�?梢允褂胹ession.timeout=時(shí)間�,過(guò)了這么長(zhǎng)時(shí)間網(wǎng)頁(yè)就失效了���,前提是你用一個(gè)session值來(lái)判斷登錄狀態(tài)如session.timeout=20����。
三����、基于ASP的動(dòng)態(tài)網(wǎng)站設(shè)計(jì)開發(fā)過(guò)程
(一)系統(tǒng)分析階段
建立一個(gè)網(wǎng)站,首要明確設(shè)計(jì)思想�,編寫一份詳盡的需求說(shuō)明書�,這是網(wǎng)站建設(shè)成功的關(guān)鍵所在��。
根據(jù)各方面的反饋意見(jiàn)進(jìn)行認(rèn)真的分析�����,對(duì)網(wǎng)站設(shè)計(jì)進(jìn)行準(zhǔn)確定位:網(wǎng)站規(guī)劃要著重考慮顧客的需求;內(nèi)容上要以工作內(nèi)容為主,同時(shí)也要為訪問(wèn)者提供其所關(guān)心的內(nèi)容;內(nèi)容要求及時(shí)更新�����;版面要求新穎有特色����,同時(shí)還要增強(qiáng)網(wǎng)站的方便性、整體性和安全性。
(二)系統(tǒng)設(shè)計(jì)階段
1.網(wǎng)站總體設(shè)計(jì)
網(wǎng)站設(shè)計(jì)有了一份詳盡的需求說(shuō)明書后�����,就可以根據(jù)需求說(shuō)明書�,對(duì)網(wǎng)站進(jìn)行總體規(guī)劃,給出一份網(wǎng)站總體建設(shè)方案?�?傮w規(guī)劃具體要明確網(wǎng)站需要實(shí)現(xiàn)的目的和目標(biāo)���;網(wǎng)站形象說(shuō)明��;網(wǎng)站的欄目版塊和結(jié)構(gòu);網(wǎng)站內(nèi)容的安排�,相互鏈接關(guān)系�;使用軟件�、硬件和技術(shù)分析說(shuō)明;開發(fā)時(shí)間進(jìn)度表���;維護(hù)方案;制作費(fèi)用�����;需要遵循的規(guī)則和標(biāo)準(zhǔn)有哪些等�。
2.網(wǎng)站詳細(xì)設(shè)計(jì)
總體設(shè)計(jì)階段以比較抽象概括的方式提出解決問(wèn)題的辦法,具體設(shè)計(jì)階段的任務(wù)就是把解決方法具體化���、明確化,設(shè)計(jì)中應(yīng)注意的問(wèn)題有:
(1)網(wǎng)站設(shè)計(jì)的風(fēng)格定位�����。網(wǎng)站要有自己的特色����,設(shè)計(jì)中不要太多地考慮技術(shù)問(wèn)題,而應(yīng)該更多地考慮不斷增加網(wǎng)站的內(nèi)涵�����,要在能夠動(dòng)態(tài)反映情況的內(nèi)容上下功夫�。
(2)網(wǎng)站設(shè)計(jì)的整體性�����。網(wǎng)站設(shè)計(jì),注意考慮網(wǎng)站的易維護(hù)性,技術(shù)上多采用CSS����、模板等,對(duì)網(wǎng)站的整體風(fēng)格進(jìn)行定位��,方便日常維護(hù)與更新���。
(3)關(guān)鍵技術(shù)的研究及應(yīng)用�����。網(wǎng)站設(shè)計(jì)中���,怎樣防黑��,保護(hù)網(wǎng)站內(nèi)容不被別人竊取、修改是網(wǎng)站建設(shè)必須考慮的技術(shù)性問(wèn)題����。主要從IIS�����、ASP和Access三方面來(lái)總結(jié)網(wǎng)站系統(tǒng)面臨的常見(jiàn)的安全威脅及解決方法。
①集中管理ASP的目錄�,設(shè)置訪問(wèn)權(quán)限�����。在設(shè)置WEB站點(diǎn)時(shí),將HTMI文件同ASP文件分開放置在不同的目錄下���,然后將HTML子目錄設(shè)置為“讀”;將ASP子目錄設(shè)置為“執(zhí)行”���。
②對(duì)IIS中的特殊Web目錄禁止匿名訪問(wèn)并限制IP地址。對(duì)IIS中的sample�����、scripts����、iisadmin等web目錄�����,通過(guò)各目錄屬性對(duì)話框中的“目錄安全性”標(biāo)簽設(shè)置為禁止匿名訪問(wèn)并限制IP地址��,并用NTFS的特性設(shè)置詳細(xì)的安全權(quán)限,除了Administrator,其它帳號(hào)都應(yīng)該設(shè)置為只讀權(quán)限�����。
③防止Access數(shù)據(jù)庫(kù)被下載���。有效地防止數(shù)據(jù)庫(kù)被下載的方法有:非常規(guī)命名法:為Access數(shù)據(jù)庫(kù)文件取一個(gè)復(fù)雜的非常規(guī)名字����,并把它放在幾層目錄下;使用ODBC數(shù)據(jù)源:在ASP程序設(shè)計(jì)中,如果有條件����,應(yīng)盡量使用ODBC數(shù)據(jù)源�����,不要把數(shù)據(jù)庫(kù)名寫在程序中。
④進(jìn)行數(shù)據(jù)備份�。運(yùn)用FSO組件對(duì)Access數(shù)據(jù)庫(kù)進(jìn)行備份���,以便在數(shù)據(jù)被破壞時(shí)進(jìn)行快速恢復(fù)����,盡可能多地挽回?fù)p失�。
⑤對(duì)ASP頁(yè)面進(jìn)行加密。為了有效地防止ASP源代碼泄露,可以對(duì)ASP頁(yè)面進(jìn)行加密����。加密的方法一般有兩種:一是使用組件技術(shù)將編程邏輯封裝入DLL之中���;二是使用微軟的Script Encoder對(duì)ASP頁(yè)面進(jìn)行加密�。
⑥后臺(tái)用戶注冊(cè)驗(yàn)證�。為了防止后臺(tái)用戶未經(jīng)注冊(cè)的用戶繞過(guò)注冊(cè)界面直接進(jìn)入應(yīng)用系統(tǒng),我們采用Session對(duì)象進(jìn)行注冊(cè)驗(yàn)證:
‘讀取使用者所輸入的用戶名和密碼
Password = Request(“Password”)
IfUserID “hrmis” Or Password “password” Then
Response.Write“用戶名錯(cuò)誤!”
Response.End
End If
‘將Session對(duì)象設(shè)置為通過(guò)驗(yàn)證狀態(tài)
Session(“Passed”) = True %>
進(jìn)入應(yīng)用程序后,首先進(jìn)行驗(yàn)證:
If Not Session(“Passed”)Then Response.Redirect“Login.asp”
End If %>
(三)網(wǎng)站測(cè)試
有了網(wǎng)站的具體設(shè)計(jì)方案�����,各網(wǎng)站制作人員就可以全力進(jìn)入開發(fā)階段����。盡量采用邊制作邊調(diào)試,即采用本機(jī)調(diào)試和上傳服務(wù)器調(diào)試的方法,觀察速度、兼容性、交互性等�。
在整個(gè)設(shè)計(jì)網(wǎng)站的過(guò)程中�,重視網(wǎng)站的“規(guī)劃—設(shè)計(jì)—管理—發(fā)展”的規(guī)律�,實(shí)現(xiàn)可持續(xù)性發(fā)展。動(dòng)態(tài)網(wǎng)站設(shè)計(jì)與實(shí)現(xiàn)是目前網(wǎng)頁(yè)設(shè)計(jì)的主流和時(shí)尚技術(shù)。其基本技術(shù)由基于客戶端的編程和基于服務(wù)器端的編程兩部分組成��?�?蛻舳说木幊陶Z(yǔ)言一般:是采用Javascript腳本語(yǔ)言����。而采用VBScript腳本語(yǔ)言結(jié)合ASP技術(shù)(Active Server Pages)來(lái)開發(fā)服務(wù)器端的內(nèi)容����,可以很好地實(shí)現(xiàn)網(wǎng)站網(wǎng)頁(yè)豐富的動(dòng)態(tài)效果。
參考文獻(xiàn)
篇(10)
1.1電子商務(wù)中消費(fèi)者追求簡(jiǎn)單化的購(gòu)買過(guò)程
消費(fèi)者在網(wǎng)上購(gòu)物的過(guò)程越來(lái)越追求簡(jiǎn)單、方便、快捷,他們希望花費(fèi)最少的時(shí)間和金錢來(lái)獲得自己所需要的商品���。拿傳統(tǒng)的銷售模式來(lái)說(shuō)�����,消費(fèi)者在購(gòu)買之前一定會(huì)經(jīng)過(guò)各種思考�����、權(quán)衡,才能決定是不是購(gòu)買或者怎么購(gòu)買自己所需要的商品�����。對(duì)于電子商務(wù)來(lái)說(shuō)����,必要的站內(nèi)導(dǎo)航設(shè)計(jì),可以讓消費(fèi)者在網(wǎng)站上尋找商品的時(shí)間大大縮短�����,消費(fèi)者只要在網(wǎng)站上輸入關(guān)鍵字就可以搜索到滿意的商品�,找不到自己需要商品的消費(fèi)者幾乎不再存在。隨著電子商務(wù)的不斷發(fā)展�,可以滿足消費(fèi)者對(duì)購(gòu)買行為便捷化的要求���,網(wǎng)上購(gòu)物已經(jīng)實(shí)現(xiàn)了消費(fèi)者便利的購(gòu)買自己所需要的商品目的�����。購(gòu)物網(wǎng)站上的搜索工具在這里就顯得尤為重要,趨于簡(jiǎn)單化�����、方便化的網(wǎng)購(gòu)離不開站內(nèi)的搜索工具�����,因此在網(wǎng)站設(shè)計(jì)的時(shí)候����,網(wǎng)站內(nèi)部的搜索工具必不可少����,而且,消費(fèi)者隨著網(wǎng)購(gòu)使用年限的增長(zhǎng)��,網(wǎng)購(gòu)用戶尋找商品的搜索的方式也會(huì)逐步的從通用型的一般搜索轉(zhuǎn)為專業(yè)化的站內(nèi)搜索����,雖然只是一個(gè)小小的轉(zhuǎn)變,但是這給公司銷售帶來(lái)的利潤(rùn)是十分可觀的���。
1.2電子商務(wù)交易下消費(fèi)者的購(gòu)買頻繁化
消費(fèi)者在網(wǎng)上可以獲得比傳統(tǒng)的購(gòu)物模式更多的關(guān)于商品信息,因此�,在某種程度上說(shuō)���,網(wǎng)上購(gòu)物更能吸引消費(fèi)者�。消費(fèi)者獲得更多的關(guān)于商品質(zhì)量�����、價(jià)格等方面的信息�,就會(huì)有了更多的選擇機(jī)會(huì)���,更多的購(gòu)買途徑���,為購(gòu)買商品而產(chǎn)生的各種費(fèi)用也可以得到相應(yīng)的減少��,也就是減少了購(gòu)買的成本。電子商務(wù)中網(wǎng)購(gòu)用戶的網(wǎng)購(gòu)次數(shù)趨于頻繁化,說(shuō)明了消費(fèi)者已經(jīng)不再局限于過(guò)去傳統(tǒng)的購(gòu)物方式,開始接受更加便捷����、更加簡(jiǎn)單的電子商務(wù)交易����。這主要是由于電子商務(wù)帶給消費(fèi)者諸多的便利����,越來(lái)越多的消費(fèi)者會(huì)更加傾向于網(wǎng)上購(gòu)物。另一方面��,隨著我國(guó)網(wǎng)民規(guī)模持續(xù)增加����,每年都會(huì)有不斷的新網(wǎng)民進(jìn)入網(wǎng)民群體,成為網(wǎng)購(gòu)群體的新一代主體,因此�����,中國(guó)的電子商務(wù)有著巨大的潛在市場(chǎng)�����。電子商務(wù)可以更大程度的滿足消費(fèi)者的各種不同的需求���,電子商務(wù)交易下的網(wǎng)購(gòu)正成為一種難以忽視的潮流��,中國(guó)網(wǎng)購(gòu)用戶的網(wǎng)購(gòu)次數(shù)頻繁化也就不足為奇了。
1.3電子商務(wù)交易下消費(fèi)者的購(gòu)買行為個(gè)性化凸顯
在過(guò)去的傳統(tǒng)的銷售模式中,許多企業(yè)都會(huì)針對(duì)消費(fèi)者的不同特征�����,為不同的消費(fèi)者提供滿足其個(gè)性需求的產(chǎn)品和服務(wù)���?��?墒怯捎趥€(gè)體消費(fèi)者和目標(biāo)企業(yè)之間的溝通存在著或大或小的障礙��,盡管企業(yè)會(huì)采取多種方式的去調(diào)研,研究消費(fèi)者的消費(fèi)行為���、消費(fèi)心理��,可是企業(yè)仍舊無(wú)法直接了解消費(fèi)者的需求,消費(fèi)者所追求的個(gè)性需求也就沒(méi)有辦法法直接傳達(dá)給企業(yè),這種情況下,消費(fèi)者的個(gè)性需求也就得不到很好的滿足。電子商務(wù)的不斷發(fā)展卻給了企業(yè)與消費(fèi)者之間直接溝通的機(jī)會(huì)����,消費(fèi)者和商家之間的距離越來(lái)越近�����,商家可以通過(guò)網(wǎng)路對(duì)消費(fèi)者進(jìn)行深入的了解。這個(gè)時(shí)候的消費(fèi)者不再是傳統(tǒng)模式下的被動(dòng)的接受企業(yè)的產(chǎn)品,而是自動(dòng)的尋找符合自己需求的產(chǎn)品����。在電子商務(wù)交易下�����,消費(fèi)者可以直接向商家提出自己的個(gè)性需求,企業(yè)可以按照顧客的需求設(shè)計(jì)出符合消費(fèi)者個(gè)性需求的商品。電子商務(wù)交易下網(wǎng)購(gòu)網(wǎng)站的不斷發(fā)展壯大使得消費(fèi)者不再被局限于在有限的網(wǎng)站進(jìn)行購(gòu)物�,而是根據(jù)自己需求以及個(gè)性選擇合適的網(wǎng)站進(jìn)行購(gòu)物與消費(fèi)�。
二��、網(wǎng)站設(shè)計(jì)對(duì)電子商務(wù)中消費(fèi)者網(wǎng)上購(gòu)買行為影響的主要因素
2.1網(wǎng)站頁(yè)面的設(shè)計(jì)及視覺(jué)效果影響消費(fèi)者的行為
開展電子商務(wù)中在“注意力經(jīng)濟(jì)”時(shí)代�����,網(wǎng)頁(yè)的設(shè)計(jì)風(fēng)格以及網(wǎng)頁(yè)的視覺(jué)效果都是影響顧客購(gòu)買行為以及消費(fèi)者滿意程度的主要因素��,如果消費(fèi)者對(duì)網(wǎng)頁(yè)都不滿意���,那么愿意在網(wǎng)頁(yè)上停留的時(shí)間會(huì)大打折扣����,更談不上購(gòu)物的興趣�,網(wǎng)頁(yè)的設(shè)計(jì)應(yīng)該在體現(xiàn)企業(yè)文化和企業(yè)經(jīng)營(yíng)理念的同時(shí),滿足訪問(wèn)者的需求迎合消費(fèi)者的消費(fèi)心理�,進(jìn)一步理解消費(fèi)者的消費(fèi)行為��,在此基礎(chǔ)上設(shè)計(jì)出一個(gè)合理有效的網(wǎng)頁(yè)界面,達(dá)到促進(jìn)銷售的目的���。
2.2產(chǎn)品的價(jià)格優(yōu)勢(shì)在網(wǎng)站設(shè)計(jì)中的突出地位
現(xiàn)實(shí)中的世界并不是一個(gè)完全競(jìng)爭(zhēng)的市場(chǎng),現(xiàn)實(shí)的市場(chǎng)最明顯的特征是壟斷���、寡頭和壟斷競(jìng)爭(zhēng),因此決定商品價(jià)格的主體僅僅是那些具有壟斷性質(zhì)的大企業(yè)�����。但是互聯(lián)網(wǎng)的出現(xiàn)��,打破了這種局面�,創(chuàng)造了一個(gè)完善的市場(chǎng)機(jī)制���。因?yàn)樵诨ヂ?lián)網(wǎng)中�����,與傳統(tǒng)的營(yíng)銷模式相比�,各種信息具有相對(duì)的透明性���、完全性和平等性的特點(diǎn)����,消費(fèi)者的選擇權(quán)由此得到了極大的提高�,購(gòu)買交易的過(guò)程也編的更加的直接。另外�,大多數(shù)的消費(fèi)者對(duì)互聯(lián)網(wǎng)中的電子商務(wù)交易有一個(gè)免費(fèi)的心理預(yù)期��,電子商務(wù)交易下的互聯(lián)網(wǎng)市場(chǎng)和傳統(tǒng)營(yíng)銷市場(chǎng)相比,營(yíng)銷活動(dòng)中的中間費(fèi)用和一些額外的產(chǎn)品信息介紹費(fèi)用可以被相應(yīng)的減少�����,產(chǎn)品的成本和銷售費(fèi)用大大降低�,也就是說(shuō)產(chǎn)品的價(jià)格相對(duì)較低。相對(duì)而言����,電子商務(wù)交易既然擁有這么大的優(yōu)勢(shì)���,在網(wǎng)站設(shè)計(jì)的時(shí)候��,就不得不將此類的信息放在重要顯眼的突出位置�����。
2.3網(wǎng)站設(shè)計(jì)時(shí)加強(qiáng)對(duì)電子商務(wù)中網(wǎng)絡(luò)的安全性和可靠性
當(dāng)前網(wǎng)上購(gòu)物出現(xiàn)問(wèn)題的主要障礙就是:安全性和可靠性。網(wǎng)絡(luò)的安全性和可靠性就是指網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)和提取的安全�、個(gè)人隱私����、操作權(quán)限的安全等�����。就目前來(lái)說(shuō),國(guó)內(nèi)大多數(shù)網(wǎng)購(gòu)網(wǎng)站的安全性還有待提高���,網(wǎng)購(gòu)用戶不敢使用自己的信用卡支付,擔(dān)心賬戶和密碼會(huì)被竊取�����。另外一個(gè)方面是有網(wǎng)絡(luò)購(gòu)物的特點(diǎn)決定的�,網(wǎng)絡(luò)購(gòu)物一般需要先付款后送貨,這樣的購(gòu)買方式,就更決定了消費(fèi)者對(duì)網(wǎng)絡(luò)購(gòu)物安全性及其可靠性的擔(dān)心�����。因此�����,在網(wǎng)站設(shè)計(jì)的時(shí)候���,應(yīng)該體會(huì)到消費(fèi)者的擔(dān)心���,打消消費(fèi)者的消費(fèi)顧慮���,在消費(fèi)者進(jìn)行支付的時(shí)候��,可以溫馨提示,系統(tǒng)的安全性有保障,消費(fèi)者可以安全的使用,不會(huì)出現(xiàn)賬戶及密碼被盜的情況����。
