网页安全论文范文

时间:2023-03-16 14:39:08

导语:如何才能写好一篇网页安全论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网页安全论文

篇1

网站中有全面的企业信息,用户可以通过网站信息对企业形象和企业产品有一个全面认识,它是企业和用户之间的一种重要交流工具,为企业和用户交易活动的达成提供了有力保障。网站是现代企业发展的关键,也是电子商务的重要表现途径,具有重要意义。网页设计工作是网站建设工作的重要组成部分,企业网站各项内容的建设其实质是网页设计的有机结合,网页设计质量的高低对网站实际作用效果的好坏有直接影响。ASP、PHP或JSP等脚本语言是网页设计较为常用的服务器端网页设计技术,ASP、PHP或JSP等脚本语言的应用为网站技术开发人员的开发工作提供了便利,使网站资源的管理更为高效、便捷,促进了用户与网站之间的沟通交流,用户通过网站可以及时了解企业动向、参与企业的论坛交流、企业产品相关信息、在线调查以及贸易合作等。企业与用户之所以可以通过网站进行交互是通过脚本语言编程技术实现的,脚本语言编程一旦出现问题,就会对网站造成不同程度的威胁,形成相应的安全缺陷,为企业内部信息带来巨大风险。用户输入什么信息内容是无法预测的,具有不可控性,在网页设计过程中如果开发人员对用户输入的信息内容考虑不全面或未考虑该方面内容,对网站来说此用户所输入的内容很可能成为一种攻击企业网站的危险工具,对企业网站的正常运行造成不利影响。企业网络服务器与ASP、PHP或JSP等网页脚本语言编程是直接相连的,网页脚本语言还与网站设置、网站数据库有着密切关联,脚本语言编程一旦出现问题,就会使整个网站存在安全缺陷,牵连甚广,企业网页受到攻击之后可能导致企业内部信息被窃取甚至造成整个网络瘫痪的不良后果,给企业带来巨大损失。

2对网页设计常见安全漏洞的分析及相应的解决方案

2.1登陆验证中存在的安全漏洞及解决方案登录验证是聊天室、信息网会员区、论坛等交互性网站中必不可少的一部分,虽然在整个网站运行中登陆验证只是其中的一小部分,却对整个网络的安全运行至关重要,它是整个网站的安全之口。在网页设计过程中,开发人员常常忽略掉这一环节的设计工作。网站开发人员编程的不严谨致使当前很多企业网站都存在登陆验证的安全漏洞,安全关口验证程序的不到位为网络安全埋下了巨大隐患,会让不法分子有机可趁,为企业造成不必要的损失。针对登陆验证漏洞问题,我们采取了以下解决方案:通过注册限制的设定有效避免非法账户密码的申请,对解决以上问题非常有效;其次,在SQL登陆查询语句生成之前,先对用户信息进行过滤(用户名和用户密码),避免非法账号密码的应用;最后,在对用户进行验证之前,先验证用户的用户名是否合乎标准,确认用户名属实后,在对密码进行验证。

2.2桌面数据库安全漏洞及解决方案在ASP+Access应用系统中,网站一般会为用户提供部分信息的下载权限,如果用户知道Access数据库的数据库名和存储路径,就可以将其他信息也下载下来,就会造成数据的流失。多数网上图书馆Access数据库的存储路径多以根目录“(URL/”)下或“URL/database”为主,该类数据库通常会被命名为Library.mdb或与之相关的名称。用户了解该信息之后,只需在浏览器中输入“URL/database/Li-brary.mdb”或相关地址信息,就可以进入网上图书馆,并将图书馆中的其他信息下载到用户本地电脑中。为解决桌面数据库安全漏洞问题,在网站设计中,ASP程序应该采用ODBC数据源,通过采用ODBC数据源可以有效避免数据库名称直接出现在运行程序中的问题,ASP源代码即使出现泄漏问题,数据库名称也不会因此而被窃取或流失,为网站的安全运行提供了有力保障。以下一段ASP程序代码就是利用一般数据库编写的:DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果该段ASP源代码失密后,数据库相关信息也会被窃取,用户可以轻易将数据库信息下载下来。如果ASP程序代码利用ODBC数据库编写,则不会存在conn.ope“nODBC-DSN名,ASP源代码即使出现泄漏问题,数据库名称也不会因此而被窃取或流失。

2.3绕过验证直接进入相关页面的漏洞及解决方案在进入某些敏感页面前,系统首先会对用户进行身份验证,如果用户知道了与敏感页面相关的网页设计页面的路径及文件名,并且该页面又没有设置验证程序,此时用户只要输入该设计页面的文件名就可以进入设计页面,成功绕过登陆验证界面的筛选。为提高网站安全性能,开发设计人员必须对与之相关的页面设置身份验证程序,对用户进行身份验证。

2.4文件上传漏洞及解决方案同学录、交友网站等类似网站系统都有文件上传功能,企业通过网站文件上传可以进一步增进与用户间的交流互动,但网站开发者对用户所提交的信息缺乏充分的分析和必要的过滤,很多恶意攻击者会利用这一漏洞在网站上上传病毒文件、恶意文件等不良信息,这些有毒文件可能会对系统数据库造成不同程度的损坏,某些网站攻击者甚至以Web权限在系统上执行任意命令。通过加入文件类型判断模块可以有效解决文件上传漏洞,对用户上传文件进行充分的分析和必要的过滤。当系统要求用户上传图片文件,用户只能以系统指定的JPG、GIF文件格式才被允许上传,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允许上传的。

2.5源代码泄露漏洞及解决方案为有效避免源代码被窃取、遭泄露的威胁,开发者在网站设计过程中应该对页面代码进行加密处理,使网站的整体安全性能得到大幅度提高。ASP网页加密方法一般包括以下两种:通过采用微软的ScriptEncoder对ASP网站页面进行加密;通过采用组件技术将编程逻辑封装到DLL当中,防止信息的丢失。当采用组件技术方案时必须对每段代码均需组件化,该项方案的工作量较大、操作较为烦琐,与之相比ScriptEncoder加密方案具有成效佳、操作简单等显著优点,将其用于解决源代码泄露漏洞问题可以取得较好的效果,其优点主要有:HTML具有较好的可编辑性,系统其他部分无需变化,ScriptEncoder只加密在HTML页面中嵌入的ASP代码,通过采用Dreamweaver或FrontPage等常用网页编辑工具对HTML部分进行修改、完善;ScriptEncoder具有制作简单的优点,通过几个简单命令行参数即可完成多功能操作。

3总结

篇2

摘要:当前,在公众移动通信持续快速增长、移动通信网络向3G全面演进的同时,WLAN、UWB、Zig-Bee、RFID等新的宽带无线接入技术和短距离无线技术相继涌现,并不断走向成熟。无线网络逐渐深入到各规模的企业中,通过无线方式传输数据使得企业内部网业务更加灵活的开展,不再局限于网线与墙面的接插面板,而无线传输标准也在近日有了比较大的改进,但是无线网络或多或少存在着一定的安全隐患问题,对于企业已经建立的无线网络又该如何保证他的安全,让我们的企业网络更加安全。

关键词:无线;网络安全;解决策略

伴随着无线网络设备的价格不断走低,以及操作上的越来越简便,无线局域网网络在最近几年企业中得到了快速普及。为了方便进行资源共享、无线打印、移动办公操作,只要耗费几百元钱购买一台普通的无线路由器和一块无线网卡设备,就可以快速地搭建好一个简易的无线局域网网络了。在这种情形下由于无线网络的特点,使本地无线局域网就非常容易遭遇插入攻击、欺诈性接入、无线通信的劫持和监视等非法攻击。

1无线网络安全产生因素

1.1安全机制不太健全

企业无线局域网大部分都采用了安全防范性能一般的WEP协议,来对无线上网信号进行加密传输,而没有选用安全性能较高的WAP协议来保护无线信号的传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置,非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号,从而非常容易地截取客户上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息,有了这些信息在手,非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入侵操作了。

此外,企业无线局域网几乎都不支持系统日志管理、入侵安全检测等功能,可以这么说企业无线局域网目前的安全机制还不太健全。

1.2无法进行物理隔离

企业无线局域网从组建成功的那一刻,就直接暴露在外界,无线网络访问也无法进行任何有效的物理隔离,各种有意的、无意的非法攻击随时存在,那么无线局域网中的各种隐私信息也会随时被偷偷窃取、访问。

1.3用户安全意识不够

企业无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能,这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过,一些不太熟悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的,往往会毫不犹豫地选用组网成本低廉、管理维护操作简便的企业无线局域网,至于无线局域网的安全性能究竟如何,相信这些初级上网用户几乎不会进行任何考虑。再加上这些不太熟悉无线网络知识的初级用户,对网络安全知识了解得更少了,这些用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。

1.4抗外界干扰能力差

无线局域网在工作的过程中,往往会选用一个特定的工作频段,在相同的工作频段内无线网络过多时,信号覆盖范围会互相重叠,这样会严重影响有效信号的强弱,最终可能会影响无线局域网的信号传输稳定性;此外,无线上网信号在传输过程中,特别容易受到墙体之类的建筑物的阻挡或干扰,这样也会对无线局域网的稳定性造成一定的影响。对于那些企业的无线局域网来说,它的抗外界干扰能力就更差了,显然这样的无线局域网是无法满足高质量网络访问应用要求的。

2企业无线解决策略。

无线网络的安全性与有线网络相差无几。在许多办公室中,入侵者可以轻易地访问并挂在有线网络上,并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。一般的方案可能是一个端到端的加密,并对所有的资源采用独立的身份验证,这种资源不对公众开放。正因为无线网络为攻击者提供了许多进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性。

防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企业。

安全标准:最早的安全标准WEP已经被证明是极端不安全的,并易于受到安全攻击。而更新的规范,如WPA、WPA2及IEEE802.11是更加强健的安全工具。IEEE802.11和RADIUS鉴权通过使用IEEE802.11标准中规定的MAC层方法或使用RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴权服务,是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击,且不符合Wi-Fi标准。

WPA、WPA2及IEEE802.11i持内置的高级加密和身份验证技术。WPA2和802.11都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。采用无线网络的企业应当充分利用这两种技术中的某一种。

漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。

基于网络的漏洞扫描。基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中TCP/IP不同端口的服务,然后将这些相关信息与系统的漏洞库进行模式匹配,如果特征匹配成功,则认为安全漏洞存在;或者通过模拟黑客的攻击手法对目标主机进行攻击,如果模拟攻击成功,则认为安全漏洞存在。

基于主机的漏洞。主机漏洞扫描则通过在主机本地的程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。

降低功率:使无线接入点保持封闭安全的第一步是正确放置天线,从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心,并使泄露到墙外的信号尽可能的少。同时,仔细地调整天线的位置也可有助于防止信号落于非法用户手中。不过,完全控制无线信号是几乎不可能的,所以还需要同时采取其它一些措施来保证网络安全。其中降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。

用户管理:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。“科技以人为本”要加强所有雇员的安全防范意识,才能使企业无线网络安全防护真正实施。

当然,不能说这些保护方法是全面而深入的,因为无线网络的弱点是动态的,还有很多,如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。

结束语:管理制度要与时俱进,而无线网络安全技术也是如此,为了企业能够更好的使用无线网络,享受新无线标准带来的高信号覆盖,高速度传输等方面的乐趣,企业网络管理员也应该实实在在的学会针对无线网络的安全管理,让企业网络特别是无线传输更加安全,将病毒与黑客入侵阻挡在无线信号大门之外。

参考文献

[1]《无线网络技术导论》作者:汪涛主编出版社:清华大学出版社

[2]《计算机网络与Internet教程[M]》.张尧学,王晓春,赵艳标,等.北京:清华大学出版社,2001.

篇3

在计算机网络迅猛发展和广泛普及的时代,企业的各种经营活动都立足于计算机网络平台,因此网络安全一旦受到威胁,企业将面临直接的经济损失,更有可能给社会和整个国家带来巨大的安全隐患。现阶段,我国的大中型企业随着业务的不断壮大,网络规模也不断扩充。有些企业各地都有分公司,在不同的区域都建有局域网,这样一个分布全国各地的庞大的网络体系就成为企业运行的技术保障。这种企业的网络安全更需要强有力的保障,否则一旦出现问题便有可能带来灾难性的后果。

1.1Internet的安全性

互联网是把双刃剑,在给企业带来极大便利的同时,也不可避免地给企业的运营带来了极大风险。因为黑客与病毒无孔不入,稍有疏漏,就可能使整个网络遭受攻击,并带来不可逆转的损害。因此,建立科学的网络体系,保障系统网络安全迫在眉睫。

1.2大中型企业内网的安全性

ERP、OA和CAD等生产和办公系统已经在企业中得到普遍性应用,随之而来的就是企业对这些系统的高依赖性。这样带来的另一个问题是内网面临的风险。内网运行稳定、可靠、可控才能保障日常生产和办公的进行,一定程度上,将内网信息网络比作企业的生命线也不为过。这个内网同时由大量终端设备,大中小型服务器,各种网络设备构成,这个其中每一个部分都要确保正常工作,否则一点小问题都有可能引发网络的停滞甚至瘫痪。但目前大中型企业的内网安全依然存在很多安全隐患,主要表现为以下几种情形:对外服务器缺少安全防护遭到黑客攻击;员工上网过程缺乏有效监管,一方面会造成网络安全隐患,另一方面也影响工作效率;此外还有一些内部的服务器被非法访问,造成企业信息的外泄。

2大中型石油企业信息网络安全威胁及安全体系构建

2.1大中型石油企业面临的信息网络安全威胁

进入21世纪以来,大中型石油企业对数字化信息网络建设可谓不遗余力,软硬件的建设开发中,信息网络的安全性却未得到足够的重视。由于对网络安全防护重视程度不够,我国的大中型石油企业长期饱受网络安全的困扰。有相关调查显示,我国企业中,约有41%经常受到恶意软件和间谍的入侵,63%的企业经常遭受病毒或蠕虫攻击。而就大中型石油企业而言,不仅面临着外部病毒的攻击,同时内部人员的信息泄露也考验着企业的网络安全。由于员工信息安全意识淡薄,上网过程又缺乏有效监管,在员工无意识的情况下,就可能引起发一系列问题。比如,企业机密信息的泄露,各种垃圾邮件的充斥,各种网络病毒的侵袭,黑客的攻击等等,这些问题随着信息化的发展进程和企业经济发展利益竞争白热化,成为大中型石油企业最为棘手的问题。

2.2大中型石油企业网络安全体系的全方位构建

随着网络攻击的多元化,攻击方式也是五花八门。传统的只针对网络层面以下的安全对策已经不足以应对如今复杂的网络安全情况,企业必须要建立起多层次多元化的安全体系才能有效提升企业网络信息安全指数。大中型石油企业信息网络安全的五个重要组成:物理安全、链路安全、网络安全、系统安全、信息安全。

1)物理安全。物理安全是整个网络系统安全的前提,物理安全旨在为企业提供一个安全可靠的物理运行环境,这个更多指对企业相应硬件设施的安全防护,比如,企业服务器、数据介质、数据库等、

2)链路安全。链路安全指的是信息输送通道。数据传输过程中能够确保内容安全、可靠、可控、能有效抵御攻击。常见的几种数据链路层安全攻击有MAC地址扩散、ARP攻击与欺骗、DHCP服务器欺骗与DHCP地址耗尽、IP地址欺骗。

3)网络安全。这主要针对于系统信息方面。这个是涵盖范围相对广泛的一个方面。比如,用户口令鉴别,计算机病毒防治,用户存取权限控制,数据存取权限,数据加密等都属于网络安全范畴。

4)系统安全。系统的正常运行是企业日常生产和运行的根本保障。但是,系统出现崩溃、损坏的风险依然存在,这就需要能够有一套有效的风险预防机制和办法。能够确保系统崩溃时对相关信息实现最大化备份,同时能够具备保密功能,防止系统崩溃后的信息外漏。

5)信息安全。这就要分信息的传播安全和信息的内容安全。很大程度上是对不良信息的有效过滤和拦截。侧重于对非法、有害信息可能造成的不良后果的有效遏止。信息内容角度更侧重于对信息保密性、真实和完整的保护,防止网络黑客对信息的截留、篡改和删除等手段来达到损害企业利益的行为,本质上是对企业利益和隐私的保护。

2.3大中型石油企业安全设计的基本原则

信息保密性、真实性、完整性、未授权拷贝、寄生系统的安全性等五个方面的内容构成了信息安全的整体统一。信息安全的原则也就指明了大中型石油企业“数字化”网络建设安全设计的基本原则。

1)保密性:对授权用户的保护和对非授权用户的防止,信息利用的用户、实体的专属性。

2)完整性:信息的输入和传输要确保完整,防止非法的篡改或者破坏,保证数据的稳定和一致。

3)可用性:针对授权用户而言要确保其合理使用的特性。

4)可控性:信息能够在处理、传递、存储、输入、输出等环节中有可控能力。

3大中型石油企业网络信息安全风险漏洞的成因及一些防范措施

网络信息流量几何式增长,大中型石油企业信息资源对系统的应用也日渐成熟,生产经营数据也日益增多。与此同时,国内大中型石油企业信息系统安全问题日益突出。因而,如何保障大中型石油企业信息数据安全,全面建立安全保障体系,这就显得愈发重要。应从内因和外因上进行分析和预防。内因上,处于方向性决策的管理层对网络信息安全的防护意识不强,不够重视。这类人群往往关注的是信息化进程给企业带来的收益,对于安全隐患和潜在的威胁却往往忽视。此外,在信息化发展进程中,大中型石油企业在数据化硬件建设中容易竞争对比,但是对于数据的管理安全性建设要求不高。其次,网络信息安全建设不是一蹴而就的,相反是一个长期过程,需要不断进行系统补丁的更新。其一,信息系统连接于因特网,开放的网络环境带来的是企业信息安全的脆弱。其二,大中型石油企业信息化建设往往求新不求稳。云计算,物联网,只要是当下发展流行技术都会上马,而不充分考虑技术的实际应用于企业的现实贴合。多系统的复杂应用带来的是更多、更高的系统漏洞风险。再次,大中型石油企业在信息安全技术团队建设上海相对滞后,缺乏强有力的信息安全维护团队带来的是企业信息安全的高风险。这往往是因为大中型石油企业往往将预算优先分配于能够直接带来经济效益的生产方面,对于见不到短期回报的信息安全防护支出是能少则少。然而,一旦企业信息泄露带来的可能是灾难性的后果,因而,有水平有业务能力的专业信息安全维护队伍建设至关重要。外因上,一些不可抗力造成的硬件设备损坏,外部对企业信息的攻击,相关法律法规还不够健全等等因素都是影响企业信息安全的外因。因而,加强大中型石油企业的安全防范可从四个方面着手。在机制层面,第一,管理层要对信息安全有强意识,第二,信息安全意识要渗透到整个企业。进而建立企业信息安全管理、运行、检测体系。另外,在面对一些风险来临之时,能够有有效的应急机制加以应对。在技术面,技术指标相对可量化,过硬的技术实力是保证大中型石油企业信息安全的关键,所以说,提高对信息安全水平的投资力度,建设高水平,高素质的技术队伍显得尤为重要。在系统安全性建设层面,大中型石油企业在信息系统安全性建设之初就要结合企业实际充分考虑信息系统需要的安全保护等级以及架构建设,对后期风险能够有科学的分析与控制建议。在企业人员素养层面,大中型石油企业能够在技术层面实现对企业信息安全的保障,就需要企业能够有具备专业技术业务水准的网络信息技术安全人员队伍。从设计到操作到运维都离不开专业的技术人员。这些网络管理技术人员还要能够在后期不断得到组织和学习,不断得到新的知识补充,能够让这些技术人员时刻与最前沿的IT科技接轨。

4结束语

篇4

(1)内网网络结构不健全。

现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。

(2)存在于网络信息化机构漏洞较多。

目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。

(3)职工安全防范意识不够。

想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。

2网络信息安全管理在供电企业中的应用

造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。

3结语

篇5

关键词: 广东高校; 人文社会科学期刊; 网站建设; 现状; 调查分析

中图分类号: g237.5 文献标识码: a 文章编号: 1009-055x(2012)04-0120-04

计算机和网络技术的飞速发展, 使期刊的组稿、投稿、审稿、编辑、出版传播及阅读方式与途径经历了重大的变革, 期刊数字化、网络化成为纸质期刊生存发展的必然趋势。建立独立网站, 通过大型期刊全文数据库(如中国知网、万方数字化期刊群、维普资讯网等)和中国科技论文在线实现全文上网, 可以使纸质期刊通过互联网传播得更快、更远、更广, 影响力更大, 宣传效果更好。

据统计, 广东高校现有20家人文社会科学期刊。为了解这些期刊的网站建设现状, 笔者对这20家期刊的网站进行调查, 重点考察网站建设的总体状况, 网站提供有关期刊信息、稿件在线处理功能、期刊内容等方面的特点, 并就建设和管理期刊网站提出了改进建议, 以期为期刊的数字化、网络化建设提供参考。

一、 调查对象与调查方法

调查时段为2012年4月期间。所调查的20家人文社会科学期刊为: 《中山大学学报(社会科学版)》、《华南理工大学学报(社会科学版)》、《华南师范大学学报(社会科学版)》、《华南农业大学学报(社会科学版)》、《暨南学报(哲学社会科学版)》、《华文教学与研究》、《深圳大学学报(人文社会科学版)》、《现代外语》、《国际经贸探索》、《广东外语外贸大学学报》、《广东商学院学报》、《广东金融学院学报》、《政法学刊》、《广东工业大学学报(社会科学版)》、《广州大学学报(社会科学版)》、《广州体育学院学报》、《美术学报》、《汕头大学学报(社会科学版)》、《佛山科学技术学院学报(社会科学版)》、《五邑大学学报(社会科学版)》, 使用搜狐、百度、谷歌网络搜索引擎在互联网上按照刊名或主办单位进行搜索, 访问期刊网站, 记录期刊网站的基本情况并进行统计分析。

二、 调查结果与分析

(一)网站建设的总体状况

在调查的20家人文社会科学期刊中, 有14家期刊建立了独立网站(不包括在中国知网、万方数字化期刊群、维普资讯网等大型期刊全文数据库上网)。其中有2家期刊可以在线处理稿件(在线投稿、查稿、审稿等), 但网站的大部分栏目内容还没有添加; 有8家期刊网站提供的信息量较大, 信息、稿件在线处理系统、网刊、综合服务的功能较为齐全, 网站的质量较高, 编辑部能够根据期刊自身的特色和要求进行栏目设置, 但这类网站需要编辑部投入一定的资金和人力进行定期维护、更新。

没有独立网站的6家期刊中, 有1家期刊使用了中国知网的新版期刊门户网站; 有4家期刊在主办单位网站上开通了一个用于介绍刊物基本信息的网页, 但这些网页所刊登的信息量很有限(仅有期刊简介、主管单位、主办单位、编委会、编辑部联系方式等), 而且网页信息几乎没有更新或很少更新过, 有2家期刊还提供了一些过刊目录, 如《华文教学与研究》; 有1家期刊既没有独立网站也没有使用中国知网的期刊门户网站。因此, 从总体上来说, 这些期刊普遍重视独立网站的建设, 70%的期刊建立了自己的网站。

(二)有关期刊信息的情况

在14家期刊的独立网站上有关期刊信息的统计结果(见表1)表明, 期刊独立网站能够比纸质期刊提供给读者更多的有关期刊信息, 因而起到了更好地宣传期刊、为作者和读者服务的目的。

(三)使用稿件在线处理系统的情况

稿件在线处理系统具有作者在线投稿/查稿、专家在线审稿、编辑在线办公等功能, 使作者能够以在线方式更加方便快捷地投稿和了解稿件的状态, 使审稿专家能够以在线的形式迅速地接收和处理稿件, 在规范稿件处理流程和提高每个稿件处理流程的运行效率的同时, 加强了各流程之间的衔接与配合, 提高了编辑出版效率, 缩短稿件的处理周期

出版周期[1]。

在14家期刊的独立网站上, 有12家期刊网站能同时实现作者在线投稿/查稿、专家在线审稿、编辑在线办公等功能, 有9家期刊网站使用的稿件在线处理系统还具有期刊组版管理、费用管理、数据库(作者库、专家库等)管理等功能。可见, 使用稿件在线处理系统的期刊占调查期刊的60%, 这些期刊比较重视期刊的数字化、网络化建设, 可以实现编辑出版流程的数字化和网络化。

(四)期刊内容的情况

统计结果显示, 在14家期刊的独立网站上, 有11家了期刊目次(占78.6%), 其中还论文摘要的有9家(占64.3%), 期刊全文的有4家(占28.6%), 有1家期刊提供了从1998年至今的过刊全文, 其它3家期刊主要提供最近两三年的过刊全文。可见, 大多数期刊网站都提供了过刊(或当期)目录、摘要, 有些网站还免费提供全文, 读者可以自由下载或在线阅读, 这些功能方便了读者对论文的使用, 有助于提高期刊传播科学信息的时效性, 扩大期刊的影响力。有些编辑部可能担心在独立网站上提供全文会影响纸质期刊的发行量和在大型期刊全文数据库中的点击下载量, 因而在独立网站上没有提供全文或者提供的全文要滞后于印刷版。

在独立网站上最新录用稿件或下期稿件的目录、摘要, 可有利于避免一稿多登现象, 同时读者还可以了解期刊研究内容的最新动态[2]。调查中发现, 只有《华南理工大学学报(社会科学版)》了最新录用稿件, 还没有哪家期刊网站提供了下期稿件的目录、摘要或全文。 务功能

为读者和作者提供服务是许多期刊建设网站的重要目的。14家期刊的独立网站上提供的服务统计结果(见表2)显示: 绝大部分期刊独立网站都提供了友情链接和过刊检索服务, 有一半的期刊独立网站提供了在线留言板, 可以进行稿件审理和录用情况、作者及读者咨询等信息的交流, 从而加强了作者、读者、审者与编辑部之间的交流, 提高读者对网站的关注程度。

(六)网站版权信息标注和英文版网站情况

在网站首页下标注网站版权归属信息, 用于提醒浏览者所观看的内容是受到版权法的保护。有独立网站的14家期刊中, 有12家在网站首页下标注了版权信息, 表明大部分期刊编辑部有一定的知识产权保护意识, 注意了期刊的品牌保护; 有7家提供了英文版网站, 但英文版网站上只有英文栏目名称, 没有相应的英文内容, 只有《中山大学学报(社会科学版)》提供了每期的英文目次和英文摘要。显然, 所调查的大部分期刊没有重视英文版网站的建设。

(七)网页链接的有效性和网站更新速度

无效的网页链接包括打不开的链接、显示错误信息的链接、打开了网页但无内容显示的链接。网站启用后, 编辑部还应不断地对网页信息进行更新和完善。网站信息的更新包括关于期刊信息的更新和期刊内容的更新。文中将网站信息的更新速度分为滞后(超过半年没有更新)、一般(2~6个月内有更新)、较快(1个月内更新)3种。统计表明: 有独立网站的14家期刊中, 所有网页链接均有效的有5家(占35.7%), 有1个或2个网页链接无效的有4家(占28.6%), 3个以上网页链接无效的有5家(占35.7%); 网站更新速度较快的有1家(占7.1%), 两三个月进行1次信息更新的有9家(占64.3%), 这与大部分期刊是双月刊有关, 半年以上都没有更新的有3家(占21.4%)。

三、 对期刊独立网站建设的思考与建议

(一)重视期刊独立网站的建设

互联网的传播速度快, 传播范围广, 检索功能强, 具有纸质期刊不可替代、无法比拟的天然优势。纸质期刊要生存和不断发展壮大, 期刊主要负责人必须改变传统的办刊方式, 更新观念, 强化网络意识, 重视期刊网站的建设。将期刊网站作为纸质期刊的延伸、发展和补充, 可以加快纸质期刊的传播速度, 让广大作者、读者通过期刊网站对期刊有更全面、更深入的了解, 同时突破时间和空间的制约, 实现网络环境下的资源集中和共享, 进一步密切和加强编辑部与作者、读者、审者之间的沟通与联系[3]。因此, 编辑部应努力从以下几方面着手建立一个实用的、信息完备的期刊网站。

第一, 设置好期刊网站栏目。根据期刊网站的功能需求, 一般应设置有如下栏目: (1)关于本刊, 提供期刊简介、栏目介绍、编委会、办刊宗旨、获奖情况、数据库收录情况、编辑团队、编辑部联

系等信息; (2)投稿须知或指南, 提供征稿简则、稿件处理流程、参考文献著录规则等信息; (3)读者服务, 提供最新录用、当期目录、下期目录、过刊浏览、论文检索等服务; (4)期刊订阅, 提供电子版订阅和印刷版订阅服务; (5)编辑部公告, 提供期刊最新出版信息、出版业新闻、最新法律和法规、论文被转载等信息; (6)相关下载或下载中心, 提供论文模板、版权转让协议书等常用文档的下载; (7)留言板或交流园地, 为作者、读者、编辑和审者提供一个动态的交流平台; (8)友情链接, 提供同行网站的链接服务; (9)英语版, 提供英文版网站的链接。同时, 在中、英文版网站首页上应分别标注“版权所有”、“copyright”字样。

第二, 使用稿件在线处理系统。稿件在线处理系统是期刊数字化、网络化进程的必然选择, 近年来已在我国期刊的管理与编辑出版工作中得到了广泛的使用, 并彰显了诸多优势。如果经济条件许可, 编辑部应考虑使用商业化的稿件在线处理系统, 在现有独立网站中添加作者在线投稿/查稿、专家在线审稿、主编在线终审、编辑在线办公等模块, 从而为作者、审者、编者在线处理稿件提供平台。

第三, 建立英文版网站。为了提高期刊的国际传播能力, 加快期刊的国际化进程, 打造期刊品牌, 扩大读者群和吸引国外作者投稿, 进一步促进国际学术交流, 期刊编辑部应该重视英文版网站的建设, 除了提供论文的英文题目、英文摘要和英文关键词外, 还应提供期刊的英文简介、作者投稿和专家审稿操作的英文说明等内容, 制作突出学术内容、期刊特色和品牌标志的高质量英文网页, 以适应期刊国际化的需要。

第四, 在独立网站上实现优先数字出版。优先数字出版是以数字出版方式(如通过互联网、手机、光盘等)提前出版纸质期刊录用的稿件, 在期刊独立网站上常称为“在线预(或优先)出版”。优先数字出版是提高学术期刊出版速度的一种新模式[4]。将最新录用稿件或下期稿件的目录、摘要、全文在独立网站上优先出版, 既可以防止论文重复发表, 又可以为优秀稿件抢国际首发权开通了一条绿色特快通道, 扩大期刊读者群, 进而提高期刊的被引频次、即年指标等期刊评价指标。近年来, 国际上一些著名学术期刊(如《science》、《nature》)和出版商(如elsevier、springer)均采用了优先数字出版模式: 选择部分定稿和采用的论文在纸质版出版之前在自建网站上优先出版, 供读者阅读或下载。在国内, 《浙江大学学报(人文社会科学版)》通过其独立网站在线优先出版审定通过且达到正式出版水平的论文[5], 有效地缩短了论文的出版时滞, 促进了最新成果的快速交流。

(二)加强网站的管理与数据维护

期刊网站的管理与维护是一个长期、持续和动态的过程。网站启用前, 应设置好各栏目内容, 确保各网页链接的有效性, 尽量避免出现死链接; 网站启用后, 编辑部还应及时发现和修正网站错误, 并不断地对网页信息进行更新和完善。由于编辑对期刊数字化出版的认识不足、资金和人才资源短缺等原因, 有些期刊网站存在信息更新滞后的现象, 提供的过刊目次还停留于几个月前甚至几年前的过刊, 这种没有更新的静态闲置的网站毫无意义。因此, 编辑部要及时更新、丰富期刊网站内容, 实现期刊全文内容同步上网, 免费提供过刊全文浏览, 为作者、读者和审者提供更为方便的服务, 从而吸引更多的读者, 进而提升期刊的影响力和竞争力。稿件在线处理系统运行的数据基础和稿件处理流程所围绕的核心, 是网站系统功能实现的关键。因此, 网站管理员要使用数据库系统定期自动完成数据的本地备份, 定期手工进行数据库的异地备份, 使数据库备份做到及时安全, 同时也要做好服务器的安全性维护工作(如及时升级杀毒软件和系统补丁、经常全盘杀毒等), 以免系统出现故障时影响网站的正常运行。对于高校期刊而言, 可以考虑使用学校分配的二级域名, 这样编辑部不用专门申请域名; 一个学校的多家期刊可以考虑共用一个专用的服务器, 将服务器交由学校网络中心托管, 这样既节省开支, 也给网站管理和维护带来方便。

(三)重视数字化人才的培养和编辑素质的提高

在数字化、网络化的大环境下, 期刊编辑部应注意培养期刊数字出版各个环节所需的专门人才或复合型人才, 以适应期刊数字化、网络化出版的发展, 提升

其传播力和影响力。随着计算机和网络技术在期刊中的应用不断加强, 期刊编辑应通过继续教育学习掌握现代编辑手段, 提高为作者和读者服务的质量, 促进网络环境下期刊编辑工作的发展。

参考文献:

[1] 许花桃,刘淑华,傅晓琴.缩短稿件处理周期的实践 [j].编辑学报,2010,22(1):64-65.

[2] 刘颖,唐永林,曾媛.我国物理类核心期刊网站建设研究 [j].科技情报开发与经济,2009,19(2):11-13.

[3] 刘飚,邢飞,徐威.国外科技期刊网站的调查与思考 [j].中国科技期刊研究,2009,20(3):479-483.

[4] 汪新红.优先数字出版是提高学术期刊出版速度的一种新模式 [j].中国科技期刊研究,2011,22(1):90-92.

[5] 《浙江大学学报(人文社会科学版)》编辑部.最新录用 [eb/ol].[2012-05-01].http:∥journals.zju.edu.cn/soc/cn/article/downloadarticlefile.do?attachtype=pdf&id=10508.

current status investigation and analysis on website construction of

humanities and social science journals of guangdong universities

xu hua-tao

(editorial department of journal, south china university of technology, guangzhou 510640, guangdong, china)

篇6

论文关键词:网络教学,J2EE,MVC,设计模式

 

(一)、前言

目前投入使用的网络教学平台虽然使用B/S结构,但仅仅是简单的请求/应答,由网页中嵌入ASP/JSP代码段完成数据库的访问、数据计算功能。平台的体系结构模糊,逻辑分工不明确,代码的重用性差,存在一定的安全隐患。本文采用J2EE多层体系结构设计网络教学平台MVC,将Web层与业务层分开,实现代码进一步模块化。运用JSP、JavaBean、EJB等组件技术实现数据库访问等有一定共性的业务处理功能,提高代码的重用。同时,采用MVC(Model-View-Controller)、会话外观(Session Facade)模式、业务代表(Business Delegate)等J2EE设计模式提高网络教学平台的伸缩性、安全性。

(二)、基于J2EE/MVC的网络教学平台的设计

篇7

关键词:中职院校;计算机专业;网页制作;专题学习网站

中图分类号:G434 文献标识码:A 论文编号:1674-2117(2016)01-0079-02

中职计算机专业“网页制作”课程教学的重要性

作为我国教育体系重要的组成部分,中职院校在人才培养中扮演着重要的角色。在当前时代与社会的发展要求下,中职院校更需要强化发展。[1]计算机专业中的“网页制作”课程其培养方向与中职计算机专业人才培养的目标相一致,即提高学生的专业知识、专业技能以及实践能力。因此,强化中职计算机专业“网页制作”课程的教学有着重要的意义和作用。

中职计算机专业“网页制作”课程利用专题学习网站的实践

当前,计算机被广泛应用到各个行业和领域中,为了提高计算机专业的教学质量,为社会培养更多的实用性人才,中职院校在计算机专业的教学中增加了“网页制作”课程。而在实际教学中,专题学习网站能为学生学习“网页制作”课程提供帮助,从而提高他们的实践能力。[2]

专题学习网站,是在互联网环境下,将各科学习课程或者某些教学课程之间的某一项或者多项学习的知识点有机结合起来的学习专题,是可以让学习者进一步研究和学习的一个资源型学习网站。它可以用来进行资源信息的存储和加工,对学生的学习情况进行在线反馈等。[3]在中职计算机专业“网页制作”课程的教学中,由于其操作性强、专业性强等特点,教师需要让学生在网页制作设计中充分利用各种资源。而专题学习网站能为学生提供丰富的资源,满足学生的设计需求。“网页制作”专题学习网站的结构如图1所示。

在专题学习网站中,基础知识部分为网页制作的基础教学资源,包含了网页制作基础理论、网页制作设计软件操作、网页制作技巧等,是学生学习“网页制作”课程的入门知识。专题学习网站中的实例教学,则是以教学实例为例子,使用任务驱动教学法,为学生提供网页制作所需要的各种资源,以教学实例为网页制作知识学习的主线,循序渐进,使学生掌握网页制作的相关知识,并提高网页制作实践技能。

网站界面的主要功能是为用户提供服务,所以在网页的制作和设计中,一般需要做到以下几点:①保证网页的简洁性。在网页制作的过程中,界面的简洁可以方便用户的操作、使用和了解,从而减少错误操作。②一致性。在网页设计中,需要保证每个网页的一致性,做到结构一致、清晰,风格一致等。③清楚。制作网页需要保证网页的清晰度,因为清楚的视觉效果便于用户的浏览和使用。④安全性。在网页制作中,需要保证网页的安全性,在保证用户可以自主选择的同时,也要给予用户选择错误时必要的系统信息提示等。[4]除此之外,还需要具有灵活性、排列性等。

“网页制作”课程利用专题学习网站,既可以用于课堂教学,也可以用于学生的课外网站学习。例如,“网页设计”专题学习网站的实例教学部分,主要是制作教学案例。案例多以课程教学中的实施为基础和依托,案例的设计不只是一个知识点的应用,还会包含多个知识点,是计算机专业“网页制作”课程知识的综合利用。实例教学的界面如图2所示。

教师指导学生利用专题学习网站进行网页制作的主要步骤为:

第一步,欣赏借鉴。教师让学生上网浏览、欣赏、搜集自己觉得精彩的网页、个人主页等。

第二步,设计网站的基本框架。教师指导学生建站、链接、文本链接、图像链接等,建立与E-mail超链接。

第三步,设计页面布局。学生利用自己所学的知识,进行网页、表格、文字等的布局设置,在网页中输入图像、背景颜色、背景音乐等,设置文件的保存、命名、移动、删除等操作。

第四步,创建动态页面。学生利用所学的计算机知识,设置动态的网站页面,如字幕、悬停按钮、图像、文字等动态的效果画面。

第五步,上传网页。学生完成网页设计之后,可以申请免费的个人网站主页,在网站空间里上传自己设计的网站、网页。

第六步,评价网页设计。教师对学生上传的网页设计实践成果进行评价,并针对其存在的不足和错误进行纠正,以帮助学生认识网页设计的不足,并逐步完善。

结语

中职计算机专业“网页制作”课程教学,充分利用专题学习网站进行实践,既可以培养和锻炼学生的网页制作设计技能,还可以为学生的网页制作、设计,提供丰富的信息资源。因此,在中职计算机专业“网页制作”课程教学中,利用专题学习网站进行教学实践,对培养计算机专业人才具有重要意义。

参考文献:

[1]黄以宝.《网页设计与制作》专题学习网站的设计[J].电脑知识与技术,2009(15):4089-4090.

[2]李鸿琴.应用专题学习网站教学“网页设计与制作”[J].中国信息技术教育,2009(15):43-45.

篇8

论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。

1网络安全总体状况分析

2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。

从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。

防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。

登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。

SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。

SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:

A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。

B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。

C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。

解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:

第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;

第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;

第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。

第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。

第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。

第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。

防文件上传漏洞

在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。

暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1:杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。

技巧2:FTP客户端对比

asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?

我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。

技巧3:用BeyondCompare2进行对比

渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4:利用组件性能找asp木马

如:思易asp木马追捕。

大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考:

建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护,并注意空间中是否有来历不明的asp文件。

一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。

参考文献

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

篇9

关键词:网址,加密,网络安全,活动服务器页面,服务器端网页设计

0引言 随着网络技术和网络规模的不断发展以及电子商务的兴起,许多企业都建立了自己的商务网站,针对网络和计算机系统的攻击已经屡见不鲜,在构建网站的时候,都会考虑网络安全问题,对于网络安全的投入较大,如使用防火墙、入侵检测、企业防病毒等安全产品,但网站还是有被攻击,甚至完全被控制的可能。因为企业的网站一般都采用ASP、PHP或JSP等脚本语言来连接数据库,取得数据库里面的数据生成动态网页。当一个网站完全建立后,程序会很多,特别是网页设计的特殊性,服务器与用户的交互程序更多,所以,程序的漏洞也会增多,给网站带来不可估量的安全隐患,这些程序漏洞比网站服务器的漏洞更为严重 [1][2][3] 。

1网页设计安全漏洞的形成ASP、PHP或JSP等脚本语言作为典型的服务器端网页设计技术,为网站开发人员提供了简单高效的动态Web应用程序开发方法。在网站设计时,使用上述脚本语言编程可以更好地管理网站资源,增加网站与浏览者之间的交互,如新闻系统、产品管理系统、会员管理系统、论坛反馈系统、在线调查系统、在线订单系统和留言板系统等,其共同点是用户输入很多资料,与其他浏览者交流或者与网站管理者交流。。而交互正是漏洞形成的一大原因,因为用户输入信息不可预测,如果程序没有考虑或者考虑不全面,用户输入就有可能成为攻击事件,且不管有意还是无意。网页编程直接和服务器打交道,与网站目录、网站数据库设置、系统设置相关,通过这些程序访问网站目录、设置等所有服务器内容,若程序设计有漏洞,即网站有漏洞。

2网页设计的安全漏洞及对策2.1登陆验证漏洞凡带有交互性的网站,包括论坛、聊天室、信息网会员区、网上影院等,登陆验证是必不可少的组成部分。。虽然登陆的验证程序只是网站整体的一部分,但却是网站的安全关口。网站设计者容易疏忽这一点,没有处理好口令验证程序的关口,以至他人趁虚而进,甚至造成重大影响与经济损失。许多网站都存在一个登陆验证的漏洞,而这个漏洞是在编写程序验证账号密码时由于程序不严谨而造成。。如在设计网站会员区时,都会将账号、密码放在一个叫“User”的数据表中,并设置“username”和“password”两个字段分别表示用户的登录名称和登录密码。当验证时,检查用户输入的两个参数是否存在于这个数据表,如果存在,证明这个用户合法;不存在,证明用户不合法,而漏洞就出现在这段验证代码上。

在登陆验证(以asp为例)中常会用SQL查询语句来判断该用户是否为站点的合法会员。

<!--连接数据库-->

<!--#include file=dbconn.asp -->

<%

Dim rs

Set rs=CreateObject(“Adodb.Recordset”) ‘定义一个Ado数据集实例

rs.source='select * from user whereusername=’” & username & “’and password=’” & password & “’”

‘连接登陆验证语句字串

rs.open rs.sourc,conn,1,1 ‘执行查询语句

...

%>

当根据以上的SQL语句构造一组特殊的用户名和密码,例如用户名为该网站任意一个存在的用户名Admin,密码为a' or 'a'='a,则程序中SQL变量的值将会变成sql=“select* from username where username=’a’ and password=’a’ or ’a’=’a’” 显然,该查询语句的逻辑原意已被彻底改变,一个逻辑运算符or使用整个逻辑条件为真,即这条SQL口令验证语句已经失去了效用,只要知道了任意一个存在的用户名就可以成功地进入到敏感区域。

解决漏洞的方案如下:

1) 生成SQL查询语句之前,对用户输入的参数(用户名和密码)进行过滤;

2)先查询用户名再进行密码验证。

2.2绕过验证直接进入设计页面漏洞每个敏感的页面必须进行身份验证,如果用户知道了一个设计页面(如用ASP)的路径和文件名,而这个页面又没有验证的程序,则用户可直接输入这个设计页面的文件名,即绕过了登陆验证,直接进入了指定的页面。。网站设计者除了登陆验证外还必须在有关页面进行身份验证,才能提高站点的安全指数。。

2.3桌面数据库被下载漏洞在ASP+Access应用系统中,如果获得Access数据库的存储路径和数据库名,则该数据库可以被下载到本地。。如对于网上图书馆的Access数据库,一般命名为Library.mdb等,而存储的路径一般为“URL/database”或放在根目录(“URL/”)下。这样,只要在浏览器地址栏中输入地址 “URL/database/Library.mdb”,就可以轻易地把Library.mdb下载到本地的机器中。

在ASP程序设计中,应尽量使用ODBC数据源,不直把数据库名直接写在程序中,否则数据库名将随ASP源代码的失密而一同失密,例如:

DBPath = Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)

conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

可见,ASP源代码失密后,数据库也很容易被下载。如果使用ODBC数据源,则不会存在 conn.open

“ODBC-DSN名”。2.4 源代码泄露漏洞为有效防止源代码泄露,可以对页面代码进行加密。

一般有以下两种方法对ASP页面进行加密:

1) 使用组件技术将编程逻辑封装入DLL中;

2) 使用微软的Script Encoder对ASP页面进行加密。

使用组件技术存在的主要问题是每段代码均需组件化,操作比较烦琐,工作量较大,而使用Script Encoder对ASP页面进行加密,操作简单、收效良好。Script Encoder方法具有以下优点:

1)HTML具有很好的可编辑性,Script Encoder只加密在HTML页面中嵌入的ASP

代码,其他部分仍保持不变,故仍可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善,但不能对ASP加密部分进行修改,否则将导致文件失效;

2) 作较简单,只要掌握几个命令行参数即可,Script Encoder的运行程序是

screnc.exe,其使用方法如下:screnc [/s] [/f] [/xl] [/l defLanguage ] [/e:defExtension] inputfileoutputfile,其中 s为屏蔽屏幕输出;f为指定输出文件是否覆盖同名输入文件;xl指是否在.asp文件的顶部添加@Language指令;l为defLanguag指定缺省的脚本语言;e为defExtension 指定待加密文件的扩展名;

3) 用Script Encoder可以对当前目录中所有的ASP文件进行加密,并把加密

后的文件统一输出到相应的目录中,例如:screnc *.asp c: emp;

4) cript Encoder是免费软件,该加密软件可以从微软网站

msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下载,下载后,运行安装即可,利用Session对象进行注册验证。

2.4文件上传漏洞许多网站如论坛、同学录、邮件服务系统都提供了文件上传的功能,但设计者在设计用户提交参数缺少充分过滤,以至远程攻击者利用这个漏洞可以上传恶意文件,甚至造成系统数据库破坏或以Web权限在系统上执行任意命令。例如iXmail包含的“ixmail_attach.php”脚本对用户提交的附件缺少充分过滤,攻击者可以通过操作URL参数上传恶意文件(如php文件)到服务器上,虽然文件放置在Web目录下的/tmp目录中,但可以远程访问,因此攻击者可能以Web进程权限在系统上执行任意命令,故在文件上传之前,加入文件类型判断模块,并进行过滤。如要求用户上传图片时,对上传的文件格式进行判断,如果是指定的图片文件格式(如JPG、GIF)允许上传,其他格式诸如*.EXE,*.PHP,*.ASP,*.JSP等可执行或可解释的程序文件就禁止上传。

3 结论本文介绍了网站建设中网页设计容易出现的漏洞和解决方法,安全概念要贯穿在整个网页设计过程中,只有随时考虑安全的问题,网站才会有更强的安全性。

参考文献[1] 希利尔 S著. Active Server Pages编程指南[M]. 董启雄译. 北京: 宇航出版社, 1998.

[2] 沈文智. Microsoft IIS 网页技术[M]. 北京: 人民邮电出版社,1998.

[3] 张小斌, 严望佳. 黑客分析与防范技术[M].北京: 清华大学出版社, 1999

篇10

关键词 B/S体系;JSP;信息管理系统

中图分类号G311 文献标识码A 文章编号 1674-6708(2013)103-0019-02

0引言

随着近些年网络技术的迅猛发展,国内许多高校也掀起了全面信息化管理的浪潮,而科研管理是高校信息化的重要组成部分,过去一些高校的科研管理系统大都是基于局域网系统的,所以信息不能及时更新,共享程度低,所以构建一个现代化的高校科研管理系统势在必行[1]。

长期以来,天津商业大学科研处一直是采用传统的手工劳动操作方式,造成了办公效率低下、信息滞后严重、项目管理松弛等问题,严重影响到学校科研的水平,因此,尽快研发基于网络的科研系统刻不容缓。

1系统设计目标

建立基于B/S结构的科研管理信息系统的设计目标是:

1)建立一个从管理角度出发,实现多层用户的分级管理,包括科研处管理人员,学院科研秘书以及教师三个层次的管理;

2)实现科研项目和科研考核的流程化和规范化,教师项目的申报,中期检查,结项等事宜流程化管理,教师的科研成果包括专利,获奖等实行网上申报和管理;

3)兼容年底的科研统计。兼容各级科研管理部门,例如教育部,天津市科委等部门的统计任务;

4)网上办公。实现通过管理系统实现信息、资源共享,邮件传送等功能;

5)辅助科研决策。用户可以通过对自己感兴趣的数据进行整理分析。

2相关技术

2.1系统B/S结构

目前,管理信息系统主要有客户端/服务器(Client/Server,C/S)结构和浏览器/服务器(Browser/Sever,B/S)结构[2]。C/S模式的客户端和服务器是通过局域网连接,所以能有效降低网络通讯量,安全性高,但是客户端都需要安装专门的软件,操作复杂,不易推广。B/S模式下,用户工作界面是通过Internet浏览器实现的,它能实现无论何时,何地只要有适当的接入方式都能访问操作信息系统。考虑到设计的科研管理系统面对的有教师,科研管理人员以及上级科研管理部门,所以从易于推广使用的角度,系统选择B/S架构模式。

2.2 JSP动态网页技术

Java Server Pages(简称JSP)是一种基于Java系统的动态网页开发技术,是由Sun Micro system 倡导,多公司合作建立的。该技术就是在传统的网页文件中加入Java程序段和JSP标记形成新的JSP文件,可以简捷快速地创建显示动态页面。JSP对于客户界面的更新非常迅速。系统的应用程序均运行在服务器上,它们可以及时升级。客户端口非常简单,容易管理和维护[3]。

JSP体系的运行需要至少Web服务器、Java虚拟机和JSP引擎这三部分。当客户端访问JSP页面时,请求类型由Web服务器进行鉴定:HTML页面请求的话则直接执行其中的相关程序并将结果反馈。鉴定为JSP请求的话则传送给JSP引擎,JSP引擎在此处负责进行代码转换,若在转换过程中发现JSP文件有错误,系统将中断转换过程,并输出出错信息;如果没有出现任何错误,则把转换好的Servlet代码送给JVM,JVM负责把代码编译生成字节码并放到服务器上执行,JSP再把执行结果放到Web服务器上,用户最后在浏览器上看到的就是Web服务器发回到客户端的,一般以HTML或者XML页面的形式发回。

2.3 SQL Server 数据库

SQL即结构化查询语言,全称为Structured Query Language。其作用是沟通、联系各种数据库。SQL Server是一个使用SQL作为数据操作语言的标准关系型数据库管理系统[4]。它支持分布式应用,并且并发性、可靠性和安全性都比较高,是目前应用最广泛的数据库管理系统之一。

Microsoft 于2005年推出的SQL Server 2005,是一个企业级数据库管理系统产品。它在很多方面如企业级支持与商业智能应用等都表现突出,应用广泛,本系统采用SQL Server 2005数据库管理系统作为系统的数据库。

3 系统设计

3.1系统功能模块设计

在对科研处调研的基础上,结合本兄弟院校的有关情况,系统从功能上分为登陆管理,项目管理,成果管理,用户管理等模块,如图所示:

用户管理模块:为实现科研系统的分层管理,用户在登录系统时,要求输入“用户级别”、“用户名称”和“登录密码”三项信息。用户级别包括三级:教师,科研秘书和科研处管理人员。每一级都有不同的操作权限。

项目管理模块:包括横向项目和纵向项目,每一项都包括项目申报,项目来源、项目经费情况、项目执行情况和结项管理等情况。在这个模块,只有教师才有资格对自己的项目情况进行更改,科研秘书和科研处管理人员只负责审核校对以及统计。

成果管理模块:主要包括获奖、专利情况以及论文论著。这个模块是教师依据自身所获荣誉网上填报,之后由科研秘书及科研处审核。

科研考核管理模块:这个模块是通过建立科研工作量的量化指标和设置岗位考核标准来确定教师的科研水平。这块也是领导进行科研决策的参考依据之一。

3.2数据库设计

数据库设计的组织形式及结构主要是依据数据的不同用途、安全保密性,结合本科研系统的具体要求,将数据库分为以下几种类型:1.主题数据库,只有科研处管理人员才有权修改,主要包括用户分配,科研人员新增,项目新增等。2. 基础数据库,包括课题来源库,奖励级别库,成果级别、项目来源等。3.临时数据库,主要是教师临时提交待审核的科研数据,这个在未经确认之前是可以随时修改的。通过这几层设计,可以大大增强系统的安全性。

在数据库的报表设计主要包括以下表格:

1)教师基本信息(姓名、职称、年龄、性别、最后学历、所属院系、学科领域、联系方式);

2)科研项目 (负责人、项目编号、起止时间、项目类别、项目来源、经费统计、备注);

3)科研获奖 (姓名、获奖名称、获奖级别、颁奖单位, 获奖年月, 备注);

4)专利(姓名、专利名称、专利类型、批准号、备注);

5)论文论著 (姓名、论文名称、成果形式、发表期刊、发表年月、备注)。

4 结论

本文针对目前高校科研管理系统所存在问题进行了探讨,提出了基于B/S架构的应用,相信随着目前网络技术的进一步完善,B/S结构应用系统的研究将会成为一种趋势。该系统模块化清晰,应用灵活,使用了目前流行的JSP动态网页开发技术,可移植性大,可以较好地满足目前学校对科研管理的需求,具有较好的应用价值。

参考文献

[1]魏江来.科研管理系统数据库设计与实现[J].山西科技,2009.

[2]任泰明.基于B/S结构的软件开发技术[M].西安:西安电子科技大学出版社,2006.