时间:2022-09-11 15:02:33
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网站设计安全性范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPbr用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
现在,网络安全态势感知还是缺乏一个标准进行规范,由于各研究领域对态势感知的理解不同,使得态势感知实现方式呈现出多元化的现象。本文主要对业内成熟的Endsley态势模型在网络安全领域的作用,加以改进使之成为态势感知领域内实用的网络安全方案。
1、基本概念
本文主要用三个概念对态势提取的过程进行规范:定义1:时空知识库:将态势提取过程中的时间和空间专家知识的表示,存储形式是哈希表。定义2:严重度知识库:是态势提取过程中的入侵或攻击的专家描述,存储形式为哈希表。定义3:权重分配函数:是对定义1及定义2的专家的知识函数表现。利用攻击严重度指标、Timelndex和Spacelndex为参数,从而获得权重系数。
2、态势模型分析及框架设计
2.1态势模型与过程框架
网络安全领域中的底层事件和ESM处理的事件是不同的,但是ESM数据处理的过程可以借鉴到网络安全态势分析中。ESM对环境对象定义为威胁单元,多个威胁单元构成一个组,该组包括感兴趣的参数。许多威胁单元共同用作态势提取的模块,与历史态势进行比对,从而获取态势信息。按照ESM的运行过程,提出网络安全态势提取框架,如图1.
对态势分析的过程中,根据攻击的严重度可以讲网络攻击分为高危、中危、低危及位置威胁,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4类威胁单元来划分表示,四类威胁单元共同构成网络安全的总体态势,则有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上两式中,t表示评估时序;Count表示评估时间内的统计值;Timelndex与Spacelndex则表示攻击的时间与空间要素。则有某威胁单元特定时段内的态势:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)与Ws(Spacelndcx)是时间与空间权重系数分配函数结果。根据以上计算过程,得出态势的提取过程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受网络攻击程度的影响,一次高危攻击的危害要比三次低级别攻击的危害大。那么态势提取的过程是符合实际情况的,即(4)可以变化为:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域划分及指标分配
根据信任等级的不同,常常对网络系统划分不同的安全域或建立信任级别。在不同安全域受到攻击的视乎,对网络造成的危害是不一样的。一般用威胁单元中的Spacelndex表示不同的安全域,也用这一参数来作为WCAF的输入,然后获取不同安全域的重要性指标。根据以上内容,可以划分不同的安全域,其规则如表1:
2.3告警融合模块
网络中存在一些系统固件在以往运行中会产生大量的冗余低危报警。如果不将这些冗余信息处理掉,在大量的低危告警的存在下,系统对高危攻击的态势分析就会失去准确的辨别能力。本文主要介绍滑动时间窗的方式来过滤掉冗余的低危告警信息,这种方式是根据不同长度时间窗的比较来去除冗余的效果,这样就可以保证在对冗余信息进行消除的同时而保留有用的信息。
3、实验仿真及评估
3.1数据采集及预处理
根据以上设计进行仿真实验,如图2所示,局域网可以和互联网直接相连,并且有OA、Web及Proxy等服务内容。根据主机资源及部署的服务的重要性,就可以对该网段进行安全域的划分,可以划分其为两个安全域,标记为安全域1和安全域2,分别表示为SZ-1和SZ-2。
根据实验目的,对数据首先进行采集,以五天为一个采集单元,共获取305000条数据信息。对五天的数据随机挑选三天的数据进行分析,分别表示为Day1#、Day2#和Day3#,然后对原始数据进行冗余处理,再对数据进行预处理。表2为预处理前的数据分布。如果选择20s与30s当作时间窗长度,那么数据约减的效果不是很明显。所以选择20s作为时间窗的长度。
在态势分析中,TimeIndex与Spaeelndex按照安全域划分与评估间隔来定,此次实验将评估周期定为1天,按照小时来划分Timelndex分配,即1至24,然后将评估间隔的重要度按照网络流量的等级划分为3个等级。
表3为评估间隔重要性等级,WC表示归一化的量化权重系数,安全域的划分参照表1。
3.2仿真结果
Day1#中严重度系数分配的前后如图3a和图3b显示。因为Day1#中出现的高危攻击要比相应间隔的中低危告警要少的多,也就是说,图3a中的低危态势表现要严重与高危和中危态势。这就说明,在对统计值进行建立时,对网络攻击中的严重度无法准确的进行评估。图3b反应了网络安全态势的严重度系数分配突出高危攻击的影响。
与图3表述相一致,图4中a和b也表示严重度系数,不同的是安全域是SZ-2,与图3a面临的问题相似,图4a也反应了低危攻击比高危和中危攻击严重,例如在Day1#数据中,第10、15与19小时都发生了高危攻击,但是,这些高危攻击在图4a中,完全淹没在低危告警中,图4b中则完全显示出高危态势的变化。
在将SpaceIndex引入SZ-1和SZ-2前后,总体安全态势如图5a和图5b的变化。在周期评估时,比较接近的是SZ-1中的攻击分布和攻击数量和SZ-2比较接近。所以在引入SpaceIndex之前,二者的态势曲线是最为接近的,但是不同的是SZ-1中的主机和服务要比SZ-2中的主机和服务重要,因此,如果对两个安全域同时进行攻击时,两个安全域所在的网络系统受到的影响是完全不同的,只有在引入Spacelndex后,才能体现出态势的变化,如图5b。
图6a中,主要是对Day2#总体态势变化和不同安全域的态势变化进行比较,从图中可以看出,总体态势的变化主要是有SZ-2所决定的。在特定时段内,SZ-2的变化并未引起SZ-1的态势变化而被忽视。该思想在图6b中Day3#数据中也被验证。
4、结论
1.2系统数据库利用JSP语言设计校园网站数据库时,可以建立E-R模型。这种模型既能迎合JSP语言,又能将各个栏目的信息反馈给浏览者。在设计校园网站时,可以对各个栏目的信息进行设置。根据此模型,网站设计者就可以给每个项目进行命名,并编辑相关代码,最后将每个项目的代码综合起来形成一个大的数据库。可以利用数据代码将教师职工表编译成数据库,例如:IdintPK/NN/UQ主键id;Tnumchar(13)NN教职工号;Tnamevarchar(30)NN教师的姓名;Ttitlechar(13)NN外键教师职称;Tmajorchar(30)NN外键教师研究的专业;Tcollegechar(40)NN外键教师所在学院,这些项目依次为字段名、数据类型、约束、键引用、备注。
1.3网站部分功能进行框架设计之后,已经将校园主页的首页基本设置完成了。但是为了让网站能实现更多的功能,让校园网站更灵活,网站设计者还要根据用户的需求设计出网站的更多功能,让网站总体呈现简洁、统一,但其内容又要十分丰富。根据校园网站的特点以及其面对的群体来看,网站设计者在进行网站设计时应该注重以下几个功能地设计,例如:图片展示功能、用户登录及密码验证功能、信息功能、上传下载功能、权限功能等。主要介绍用户登录及密码验证功能。利用JSP计算机语言设计用户密码登录功能时,应该以保证后台管理的安全性为首要目标。具体设计过程:管理员先对访问的用户身份进行验证,在用户输入正确的用户名和密码之后,才能让用户访问校园网站的重要数据;如用户输入的密码不正确,用户则不能访问相关数据,用户界面便返回到原来的登录界面。为了提升网站安全性,避免用户使用非法的URL登录,网站设计者应该在每一个后台页面访问中进行身份认证,以此保证校园网站能够稳定运行。
2健康信息网站设计
2.1系统设计原则基于JSP语言设计的健康信息网站与校园网站的建设过程大致相同,但健康网站的信息量要完全大于校园网站的信息量,同时健康信息网站还应该设立较为完善的人人对话平台,以此满足用户的基本需求。那么健康信息网站在进行设计时应该满足如下设计原则:(1)实用性原则;(2)先进性原则;(3)开放性原则;(4)完整性原则;(5)安全可靠性原则。
2.2相关代码以及流程在设计健康信息网站的过程中,先要对网站的咨询流程进行设计,进行咨询流程地设计之后,就要对网站的数据代码进行设计。利用JSP语言设计健康信息网站数据库时,可以借鉴上文中校园网站数据库设计,但是为了让健康信息网站拥有更高的可移植性,就需要设置相关代码将信息与数据库连接起来。
2电子政务中安全问题的应对策略
2.1安全意识的培养
安全意识需要从基础开始培养的,因此对相关的基层人员进行相应的知识培训。一般的电子政务的是一个政府机构的官方网站,而且这些网站的后台都需要登录域名和密码,还有就是网站的信息等需要登录后台或者是需要用户名才可以,这些就存在入侵空间了,类似的还有很多,因此要对基层人员培养安全意识,最有用的方法就是向基层人员讲解那些方面存在安全隐患,并实时对这些基层进行抽查,避免他们进行危险操作。这些都是简单的从表面上解决问题,但这并不能根除所有的安全隐患,因此要提高安全性,还要从另外几个方向上解决根本的问题。
2.2规范操作方式
对安全意识的培养,只是在理论上对基层人员进行了一定程度上的培养,但是还需要在实际操作上进行培养。这主要包括安全浏览,安全登录,安全。安全浏览主要是指日常工作在网页上的安全使用,要求在使用前进行杀毒处理,检查是否开启防火墙,不要在非官网上填写登录名等;安全登录是指在安全的网络环境中登录账号,主要操作为先检查网络环境是否安全,在进行防火墙设置,最重要的是在登录账号之前进行病毒查杀,在进行相关的内容,或信息浏览等,在做完所有的事项之后退出账号。这非常重要的一步,有很多基层人员做好了所有的事,但是最后忘了退出了,就导致账号信息的泄露,这也是很常见的基础错误,还有一种就是很多人喜欢保存登录号密码,这会在别人用你的电脑时,可以很轻松的登录进入相关页面,并进行违法操作等。
2.3提高电子政务建设中的技术支持
很多时候不是电子政务的建设上的问题,而是后台的维护技术不足,再遇到病毒时,安全维护工具和防火墙技术不足,导致网站被病毒感染,使不法分子利用,从而获取民众的信息,这在一定程度上这也是地方政府的失误。在防火墙的技术方面的突破,是需要政府进行招聘的高技术人员,进行防火墙技术升级,网站优化等技术方面的改善。
2.4加强相关人员的保密工作
有的地方政府会把很简单把电子政务建设的工作简简单单的交给一个网络公司来完成,在这个过程中就会存在很多的问题。因为网站的第一设计者并不是政府人员,这个在一定程度上就存在很大的安全隐患,毕竟网站设计过程存在的bug只有网站设计者最为清楚,如果网站设计者将这个网站的设计脚本泄露了,那么就给了那些不法分子利用的机会,可以通过网站设计的源代码来找出设计上的bug,借此来来寻找机会攻击网站,严重的会导致所有的信息泄露。因此为了杜绝这些事项的发生,地方政府在建设网站时,可以将网站设计的任务交给网络设计公司,但是同时也要和他们签订相应的协议,一是为防止他们泄露网站设计思路和源代码,二是在防止他们私自登录网站的后台。还有就是利用政府的网络技术人员对网站进行修改,在一定程度上完善网站设计,减少bug,以减少信息泄露的风险。
引言:所谓的电子商务,主要指的是语用用讯的方式进行产品的经销、存货、查询、交易、广告宣传以及付款等商业活动[1]。在发达国家,电子商务早在20世纪90年代初期的时候就得到了发展,并建立了健全的电子商务服务体系。随着社会经济的快速发展,电子商务也成为了21世纪国际贸易的主要形式和发展趋势之一,在推动经济发展的过程中,具有重要作用。就我国来说,在2013年,中国电子商务交易额突破10万亿元,同比增长26.8%。其中网络零售额超过1.85万,有关报告显示,我国成为世界最大的网络零售市场,超过1.85万亿元的网络零售交易额相当于社会消费品零售总额的7.8%;,2014年上半年,我国电子商务继续保持快速发展的势头,市场规模不断扩大,网上消费群体增长迅速。根据研究机构初步测算,上半年我国电子商务交易额约为5.66万亿元,同比增长30.1%。电子商务拉动内需、促进就业作用明显;移动互联网、大数据等新一代技术的应用成为电子商务发展的新热点;与此同时,电子商务市场竞争日益激烈,企业服务能力和行业集中度均有提升;而随着商务部联合多个部委跨境电子商务有关政策,跨境电子商务正在迎来一个全新的发展阶段[2]。
一、电子商务网站设计
(一)设计原则
网上交易商品,不仅需要大量的的数据处理,还需要保证数据信息的安全性,在功能上也要满足商业流程。电子商务交易网站和一般的web网站相比,电子商务网站对数据处理、数据传输以及数据流程方面的要求更高,其处理也更为复杂。因此,对于电子商务网站的设计,必须保证其系统的可靠性、安全性、经济性、可拓展性、先进性以及开放性。其次,要站在用户的角度进行分析。电子商务网站是企业和各种商品机构开展电子商务的基础设施和信息平台,是各种服务对象之间的交互界面,也是电子商务系统的承担者和表现者[3]。站在用户的角度来设计网站,可以保证电子商务网站的易用性。
(二)电子商务网站设计概要
关于电子商务网站的设计,是一项复杂的系统工程,需要企业对各项业务流程进行整合,并将外部信息集成,是一个对网络信息资源组织、开发以及利用的综合过程,无论是在商务层面上,还是在设计开发的技术层面上,都面临着诸多的问题。
1.对电子商务网站设计模式的分析
一般来说,电子商务主要有两种模式,一种是企业对企业模式,即我们常说的B2B模式,另外一种模式就是消费者模式,即B2C模式。企业在实际的操作过程中,一般都是将两种模式结合使用,因此,在对模式进行设计的过程中,需要根据企业的实际需要进行设计。
2.电子商务功能设计的分析
在分析客户和企业需求的基础上,还要对商务网站的设目标、业务流程等进行详尽的了解很分析,明确系统是否能够满足客户的需求,从而确定目标系统的功能设计。一般来说,对于电子商务网站需要满足一下几个功能:第一、企业的形象宣传,第二、产品和服务项目展示,第三、商品和服务订购,第四、转帐与支付、运输,第五、信息搜索与查询,除此以外,还要有客户信息管理模块、销售业务信息管理模块以及新闻、供求信息等模块。
3.电子商务网站的结构设计
关于电子商务的结构设计,目前有多重类型,可以分为三层,第一层为表现层,第二层为商务层,第三层为数据层。
二、电子商务的管理设计
对于电子商务网站的管理,包含多个方面的内容,其管理质量的高低,直接关系到了商务电子网站的正常运行和运行的安全性,因此,应该对电子商务系统管理引起重视。总的来说,电子商务网站管理主要包含以下几个部分:
第一、系统管理。系统管理主要就是对系统中的软件管理、硬件管理、文件传输管理、电子邮件系统管理、支付系统管理、数据库系统管理等。
第二、应用管理。所谓的应用管理,主要指的是对实现网站功能的软件进行管理,包括个性化服务管理,购物车管理以及聊天室管理等主要内容。
第三、内容管理。内容管理主要指的就是集约业务的管理。网站内容管理是电子商务网站管理的核心内容,是确保电子商务网站有效运行的基本手手段。其包含了在线购物管理、在线支持管理以及客户信息管理等内容。
第四、安全管理。安全管理主要负责的就是针对网站中的安全威胁因素采取有效的管理措施,解决网站系统中的安全问题,确保系统运行的安全性。主要包括网络安全管理、应用安全管理以及数据库安全管理三个方面的内容。
目前,关于电子商务的管理模式有很多,智能结构模式管理是其管理发展的主要方向。采用智能管理的模式,可以将管理内容结构化,并完善各种管理流程,实现远程办公确保信息来源的质量,再通过一系列智能化的手段,提供信息相关的商贸信息,实现电子商务网站的智能管理,也能实现动态信息的发送。
参考文献:
[1] 闵惜琳.人工神经网络结合遗传算法对网站开发优化的应用[J].系统工程,2011,25(2):22-26.
[2] 梁姝.基于云计算技术的电子商务平台的设计与实现[D].黑龙江大学,2012.
[3] 杜成昊.利用软件工程基本原理进行电子商务网站设计[J].湖北师范学院学报(自然科学版),2006,26(3):84-88.
[4] 严莉.多元化教学模式在《电子商务网站设计与管理》中的应用[J].科技信息,2011,(35):1081,1108.
[5] 田博,覃正.B2C电子商务中的在线信任分析及其在网站设计中的应用[J].科技管理研究,2011,28(7):422-424.
一、引言
网络技术的不断成熟和发展,促进了基于网络技术的校园网站的发展。校园网站开发是一项很复杂的工作,我校根据学校实际,确定网站的定位和需求,从软件工程的角度出发,针对学校网站建设的特点和重点,整理出一套适合学校网站建设管理和控制的方法,以此来保证网站建设的高效率、高质量。
二、网站立项
校园网站建设,要成立一个专门的项目小组:学校领导、学校网络管理员、美术教师、各科室人员、计算机专业教师等8人~9人以及“计算机学会”社团学生代表5人组成,由网络管理员作为项目负责人负责对该项目的统一调度和安排。
三、网站设计开发过程
(一)系统分析阶段
建立一个网站,首要明确设计思想,编写一份详尽的需求说明书,这是网站建设成功的关键所在。
我校根据各方面的反馈意见进行认真的分析,对网站设计进行准确定位:学校网站规划要着重考虑教师和学生的需求;内容上要以学校整体宣传为主,同时也要为访问者提供其所关心的内容;内容要求及时更新;版面要求新颖有特色,同时还要增强网站的方便性、整体性和安全性。
(二)系统设计阶段
1.网站总体设计
网站设计有了一份详尽的需求说明书后,就可以根据需求说明书,对网站进行总体规划,给出一份网站总体建设方案。总体规划具体要明确网站需要实现的目的和目标;网站形象说明;网站的栏目版块和结构;网站内容的安排,相互链接关系;使用软件、硬件和技术分析说明;开发时间进度表;维护方案;制作费用;需要遵循的规则和标准有哪些等。
2.网站详细设计
总体设计阶段以比较抽象概括的方式提出解决问题的办法,具体设计阶段的任务就是把解决方法具体化、明确化,设计中应注意的问题有:
(1)网站设计的风格定位。网站要有自己的特色,设计中不要太多地考虑技术问题,而应该更多地考虑不断增加网站的内涵,要在能够动态反映学校情况的内容上下功夫。
(2)网站设计的整体性。网站设计,注意考虑网站的易维护性,技术上多采用CSS、模板等,对网站的整体风格进行定位,方便日常维护与更新。
(3)关键技术的研究及应用。网站设计中,怎样防黑,保护网站内容不被别人窃取、修改是网站建设必须考虑的技术性问题。本人主要从IIS、ASP和Access三方面来总结网站系统面临的常见的安全威胁及解决方法。
①集中管理ASP的目录,设置访问权限。在设置WEB站点时,将HTMI文件同ASP文件分开放置在不同的目录下,然后将HTML子目录设置为“读”;将ASP子目录设置为“执行”。
②对IIS中的特殊Web目录禁止匿名访问并限制IP地址。对IIS中的sample、scripts、iisadmin等web目录,通过各目录属性对话框中的“目录安全性”标签设置为禁止匿名访问并限制IP地址,并用NTFS的特性设置详细的安全权限,除了Administrator,其它帐号都应该设置为只读权限。
③防止Access数据库被下载。有效地防止数据库被下载的方法有:非常规命名法:为Access数据库文件取一个复杂的非常规名字,并把它放在几层目录下;使用ODBC数据源:在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中。
④进行数据备份。运用FSO组件对Access数据库进行备份,以便在数据被破坏时进行快速恢复,尽可能多地挽回损失。
⑤对ASP页面进行加密。为了有效地防止ASP源代码泄露,可以对ASP页面进行加密。加密的方法一般有两种:一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。
⑥后台用户注册验证。为了防止后台用户未经注册的用户绕过注册界面直接进入应用系统,我们采用Session对象进行注册验证:<%UserID=Request(“UserID”)
‘读取使用者所输入的用户名和密码
Password=Request(“Password”)
IfUserID<>“hrmis”OrPassword<>“password”Then
Response.Write“用户名错误!”
Response.End
EndIf
‘将Session对象设置为通过验证状态
Session(“Passed”)=True%>
进入应用程序后,首先进行验证:
<%‘如果未通过验证,返回Login.asp页面登陆状态
IfNotSession(“Passed”)ThenResponse.Redirect“Login.asp”
EndIf%>
⑦让学生参与网站设计。优秀学生参与设计,无论对丰富网站内容、提高学校网站的点击率还是扩大学校网站的影响都能起到相当大的作用。
(三)网站测试
有了网站的具体设计方案,各网站制作人员就可以全力进入开发阶段。尽量采用边制作边调试,即采用本机调试和上传服务器调试的方法,观察速度、兼容性、交互性等。
投入运行之前,需对网站需求分析、系统分析、设计规格说明和编码最终复审,还要对系统进行各种综合测试。测试结束后,制作有关文档存档,并写出一个校园网站使用说明文档。至此,网站项目建设完毕。
(四)网站的管理和更新
做好网站的管理与更新,是一个网站树立形象的根本、生存的根本。我校专门成立了安全组织机构,制定出适合我校的《校园网站管理办法》、《校园网站信息审核制度》、《校园网站异常情况案件报告制度》等规定,建立健全了各项安全管理制度。
四、结论
我校网站已经试运行一段时间,为学校的教师、学生和教学管理人员提供教学管理、教学研究、日常办公、信息交流等应用服务的平台,较好地满足了设计最初的需求。在整个设计网站的过程中,重视学校网站的“规划—设计—管理—发展”的规律,实现可持续性发展。
参考文献:
[1]田原.高职院校校园网站主页设计探讨[J].十堰职业技术学院学报,2007,(7).
[2]方照.立足校本,探索校园网建设之路[J].教育信息技术,2007,(12).
[3]田建勇.浅析学校网站的设计与建设[J].安顺师范高等专科学校学报,2006,(6).
中图分类号:TP393.092 文献标识码:A 文章编号:1007-9416(2017)04-0161-01
1 精品课程网站概述
精品课程网站本质上来说是将课程转换为电子版,属于信息资源库的一种。它能否对课堂教学以及教材中的内容进行扩展和补充。通过网上平台能否实现教学资源的共享和更新,便于学生间以及学生和教师之间的交流和学习。另外,还可通过测试、教学评价等方法丰富教学内容和形式,并能对教学状况和成果进行反馈,使教师结合具体情况及时对教学内容和进度进行调整。将精品课程网站应用到教学工作中,可发挥多方面的优势。
2 Java技术支持下精品课程网站设计与开发
2.1 设计目标
实现功能的扩展是运用Java技术进行精品课程网站设计的主要目标,追求网站Web框架实用性和高效性的统一,且便于对其进行维护。精品课程网站设计过程中还需要考虑的另一重要因素则是数据的安全。为避免客观因素,系统故障等对数据造成损坏,可采用远程实时快照等方式做好备份工作,防止数据丢失。
对于数据操作来说,其设计重点应放在客户端Web遭受垃圾攻击如何保障其安全上。在对精品课程网站进行管理的过程中,需要建立后台管理系统,对浏览器进行实时维护,便于用户利用浏览器π畔⒔行、更新课程内容以及完成其它操作。对于信息的自主来说,需要设计好网站的信息审核功能,确保所的信息安全、合理。
2.2 设计原则
精品课程教学需求是网站设计和开发的原则,精品课程网站的设计需要既能与教学目标相适应,又能保障其服务质量的提升,便于学生对信息的查找和课程的学习。精品课程网站的服务对象是教师以及学生,其主要功能在于对教学工作进行辅助,在对精品课程网站进行设计的过程中,还应以信息的更新、网站管理更为方便为原则。
2.3 技术手段
B/S在精品课程网站Web系统中发挥着十分重要的作用。基于Java技术对精品课程网站进行设计和开发时,需要综合运用Tomcat等多种技术,才能使网站功能得以扩展,以下是对精品课程网站设计开发过程的技术手段的分析:首先,可利用Java语言初步完成对客户端数据的认证,并对信息进行过滤。其次,为了确保安全,可以利用用户名以及密码机制保障登录的安全性,还可结合不同用户对其权限进行限定,利用MDA技术完成信息的加密,避免用户信息泄漏。最后,需要充分掌握Web运行环境,特别是Tomcat安全设置相关问题,并了解其操作功能。另外,需要将Java语言以及ECIIPse集成开发平台结合起来完成精品课程网站建设的开发与设计。
2.4 数据库设计
要确保数据库的完整性,全面覆盖各类资料。具体来说,需包含学生信息、试题库、学生自我测试成绩等。
2.5 登录功能设计
对于登录功能的设计来说,需要综合考虑教师、学生和管理员三个群体。用户利用账户名及密码完成登录,若需要修改基本信息或登录密码需完成相应的验证。若通过身份验证之后,证明登录用户身份为学生,则其在网站上的权限可包括交流互动、课程学习等方面,并可执行相应操作。若验证后登录用户身份为教师,则其权限可包括课程上传、信息查询、课程讨论等。若验证后登录用户身份为管理员,则其在网站上的权限可以包括对网站试题的管理、维护网站公告信息等。
2.6 公告栏设计
精品课程网站公告栏主要由管理员进行维护,其对公告栏实行管理,权限还该对公告栏内容的设定、上传、删除等。具体步骤为:验证管理员身份,成功登录网站,选选种所要修改的内容,然后便可对该部分内同进行修改。若公告栏内容以及失去作用,则需要删除该部分内容。操作方法为:首先登录网站页面,选中需删除内容,然后执行删除操作。
3 结语
信息技术和计算机技术的进步,使得其在各领域中的应用越来越普遍。基于信息技术的发展,精品课程网站应运而生,并逐渐成为教学方法改革的一大趋势。将Java技术和精品课程网站的设计和开发结合起来,成为新的研究热点。本文在对网站设计目标以及原则进行分析的基础之上,提出将Java技术应用于精品课程网站设计和开发中具体方法,主要包括数据库、登录功能、公告栏三个方面,使精品课程网站具备在线学习、交流互动、答疑解难、自我测评等多方面的功能,为教学工作的开展提供便利。
参考文献
网络技术不断成熟和发展,促进了基于网络技术的网站的发展。网站开发是一项很复杂的工作,我校根据学校实际,确定网站的定位和需求,从软件工程的角度出发,针对学校网站建设的特点和重点,整理出一套适合学校网站建设管理和控制的方法,以此来保证网站建设的高效率、高质量。
一、基于ASP的动态网站建设概述
(一)动态的概念
所谓动态,并不是指那儿个放在网页上的GIF动态图片,在这里是为动态页面的概念制定了以下儿条规则:
1.交互性,即网页会根据用户的要求和选择而动态改变和响应,将浏览器作为客户端界面,这将是今后WEB发展的大势所趋。
2.自动更新,即无须手动地更新HTML文档,便会自动生成新的页面,可以大大节省工作量。
3.因时因人而变,即当不同的时问、不同的人访问同一网址时会产生不同的页面。
(二)ASP的概念及特点
Microsoft Active Server Pages即我们所称的ASP,其实是一套微软开发的服务器端脚本环境,ASP内含于IIS3.0和4.0之中,通过ASP我们可以结合HTML网页,ASP指令和ActiveX元件建立动态、交互、高效的WEB服务器应用程序。有了ASP你就不必担心客户的浏览器是否能运行你所编写的代码,因为所有的程序都将在服务器端执行,包括所有嵌在普通HTML中的脚本程序。当程序执行完毕后,服务器仅将执行的结果返回给客户浏览器,这样也就减轻了客户端浏览器的负担,大大提高了交互的速度。以下罗列了Active Server Pages所独具的一些特点:
1.使用VBScript JScript等简单易懂的脚本语言,结合HTML代码,即可快速地完成网站的应用程序。
2.无须Compile编译,容易编写,可在服务器端直接执行。
3.使用普通的文本编辑器,如Window、的记事本,即可进行编辑设计。
4.与浏览器无关(Br+wser In
5.Active Server Pages能与任何AotiveX scripting语言相容。除了可使用V BSoript或JSoript语言来设计外,还通过plug-in的方式,使用由第三方所提供的其他脚本语言,譬如REXX,Perl,Tol等。脚本引擎是处理脚本程序的COM(Component Object Model)物件。
6.Active Server Pages的源程序,不会被传到客户浏览器,因而可以避免所写的源程序被他人票J窃,也提高了程序的安全性。
7.可使用服务器端的脚本来产生客户端的脚本。
8.物件导向(Objerient-ed)。
9.AotiveX Server Components
(AotiveX服务器元件)具有无限可扩充性。可以使用Visual Basic,Java VisualC++,Cobol等编程语言来编写你所需要的AotiveX Server Component。
二、ASP程序设计安全技术
Asp程序设计的安全主要涉及三个方面:Asp源代码的安全、Asp程序设计的安全和数据库安全。
(一)ASP源代码的安全
1.保证ASP源码的安全的主要技术是Asp脚本加密技术。常用方法有两种:一是ASP2DLL技术。其基本思想是利用VB6.0提供的Activexdll对象将Asp代码进行封装,编译为DLL文件,在Asp程序中调用该DLL文件。二是利用微软提供的Script Encoder加密软件对Asp页面进行加密。
2.置合适的脚本映射。应用程序的脚本映射保证了Web服务器不会意外地下载Asp文件的源代码,但不安全或有错误的脚本映射易导致Asp源代码泄漏。因此,应将用不到的有一定危险性的脚本映射删掉(如*.htr文件及*.htw,*.ida,*.idq等索引文件)。
(二)程序设计中的安全
1.用户名、口令机制。用户名、口令是最基本的安全技术,在Asp中常采用Form表单提交用户输入的帐号和密码,与用户标识数据库中相应的字段进行匹配,在必要的场合可以使用MD5算法来加密用户输入的密码,可以保证在线路被窃听的情况下依然保证数据的安全,保护用户口令的安全。
2.注册验证。为了网站资源的安全性和易于管理,可以对用户进行分级,给定权限,使特定用户访问特定的资源群,也可以阻止未授权用户使用网站的资源,这就需要对用户进行注册验证操作。在ASP中,我们可以利用Session对象和Http头信息来实现此类安全控制。当访问者通过身份验证页面后,就把Session对象的Sessionid属性作为一个Session变量存储起来,当访问者试图导航到一种有效链接的页面时,可将当前的Sessionid与存储在Session对象中的ID进行比较,如果不匹配,则拒绝访问。如在Session(“id”)中保存着第一次链接的Sessionid,’拒绝访问。
3.网页过期管理。考虑到有可能用户在使用网页的过程中,有可能会长时间离开计算机处理别的事情,这样会给别有用心的人有可乘之机,所以应该给网页一个过期时间。这样不仅保证了用户的安全,也可以减少服务器的链接数,减少服务器压力。可以使用session.timeout=时间,过了这么长时间网页就失效了,前提是你用一个session值来判断登录状态如session.timeout=20。
三、基于ASP的动态网站设计开发过程
(一)系统分析阶段
建立一个网站,首要明确设计思想,编写一份详尽的需求说明书,这是网站建设成功的关键所在。
根据各方面的反馈意见进行认真的分析,对网站设计进行准确定位:网站规划要着重考虑顾客的需求;内容上要以工作内容为主,同时也要为访问者提供其所关心的内容;内容要求及时更新;版面要求新颖有特色,同时还要增强网站的方便性、整体性和安全性。
(二)系统设计阶段
1.网站总体设计
网站设计有了一份详尽的需求说明书后,就可以根据需求说明书,对网站进行总体规划,给出一份网站总体建设方案。总体规划具体要明确网站需要实现的目的和目标;网站形象说明;网站的栏目版块和结构;网站内容的安排,相互链接关系;使用软件、硬件和技术分析说明;开发时间进度表;维护方案;制作费用;需要遵循的规则和标准有哪些等。
2.网站详细设计
总体设计阶段以比较抽象概括的方式提出解决问题的办法,具体设计阶段的任务就是把解决方法具体化、明确化,设计中应注意的问题有:
(1)网站设计的风格定位。网站要有自己的特色,设计中不要太多地考虑技术问题,而应该更多地考虑不断增加网站的内涵,要在能够动态反映情况的内容上下功夫。
(2)网站设计的整体性。网站设计,注意考虑网站的易维护性,技术上多采用CSS、模板等,对网站的整体风格进行定位,方便日常维护与更新。
(3)关键技术的研究及应用。网站设计中,怎样防黑,保护网站内容不被别人窃取、修改是网站建设必须考虑的技术性问题。主要从IIS、ASP和Access三方面来总结网站系统面临的常见的安全威胁及解决方法。
①集中管理ASP的目录,设置访问权限。在设置WEB站点时,将HTMI文件同ASP文件分开放置在不同的目录下,然后将HTML子目录设置为“读”;将ASP子目录设置为“执行”。
②对IIS中的特殊Web目录禁止匿名访问并限制IP地址。对IIS中的sample、scripts、iisadmin等web目录,通过各目录属性对话框中的“目录安全性”标签设置为禁止匿名访问并限制IP地址,并用NTFS的特性设置详细的安全权限,除了Administrator,其它帐号都应该设置为只读权限。
③防止Access数据库被下载。有效地防止数据库被下载的方法有:非常规命名法:为Access数据库文件取一个复杂的非常规名字,并把它放在几层目录下;使用ODBC数据源:在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中。
④进行数据备份。运用FSO组件对Access数据库进行备份,以便在数据被破坏时进行快速恢复,尽可能多地挽回损失。
⑤对ASP页面进行加密。为了有效地防止ASP源代码泄露,可以对ASP页面进行加密。加密的方法一般有两种:一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的Script Encoder对ASP页面进行加密。
⑥后台用户注册验证。为了防止后台用户未经注册的用户绕过注册界面直接进入应用系统,我们采用Session对象进行注册验证:
‘读取使用者所输入的用户名和密码
Password = Request(“Password”)
IfUserID “hrmis” Or Password “password” Then
Response.Write“用户名错误!”
Response.End
End If
‘将Session对象设置为通过验证状态
Session(“Passed”) = True %>
进入应用程序后,首先进行验证:
If Not Session(“Passed”)Then Response.Redirect“Login.asp”
End If %>
(三)网站测试
有了网站的具体设计方案,各网站制作人员就可以全力进入开发阶段。尽量采用边制作边调试,即采用本机调试和上传服务器调试的方法,观察速度、兼容性、交互性等。
在整个设计网站的过程中,重视网站的“规划—设计—管理—发展”的规律,实现可持续性发展。动态网站设计与实现是目前网页设计的主流和时尚技术。其基本技术由基于客户端的编程和基于服务器端的编程两部分组成。客户端的编程语言一般:是采用Javascript脚本语言。而采用VBScript脚本语言结合ASP技术(Active Server Pages)来开发服务器端的内容,可以很好地实现网站网页丰富的动态效果。
参考文献
1.1电子商务中消费者追求简单化的购买过程
消费者在网上购物的过程越来越追求简单、方便、快捷,他们希望花费最少的时间和金钱来获得自己所需要的商品。拿传统的销售模式来说,消费者在购买之前一定会经过各种思考、权衡,才能决定是不是购买或者怎么购买自己所需要的商品。对于电子商务来说,必要的站内导航设计,可以让消费者在网站上寻找商品的时间大大缩短,消费者只要在网站上输入关键字就可以搜索到满意的商品,找不到自己需要商品的消费者几乎不再存在。随着电子商务的不断发展,可以满足消费者对购买行为便捷化的要求,网上购物已经实现了消费者便利的购买自己所需要的商品目的。购物网站上的搜索工具在这里就显得尤为重要,趋于简单化、方便化的网购离不开站内的搜索工具,因此在网站设计的时候,网站内部的搜索工具必不可少,而且,消费者随着网购使用年限的增长,网购用户寻找商品的搜索的方式也会逐步的从通用型的一般搜索转为专业化的站内搜索,虽然只是一个小小的转变,但是这给公司销售带来的利润是十分可观的。
1.2电子商务交易下消费者的购买频繁化
消费者在网上可以获得比传统的购物模式更多的关于商品信息,因此,在某种程度上说,网上购物更能吸引消费者。消费者获得更多的关于商品质量、价格等方面的信息,就会有了更多的选择机会,更多的购买途径,为购买商品而产生的各种费用也可以得到相应的减少,也就是减少了购买的成本。电子商务中网购用户的网购次数趋于频繁化,说明了消费者已经不再局限于过去传统的购物方式,开始接受更加便捷、更加简单的电子商务交易。这主要是由于电子商务带给消费者诸多的便利,越来越多的消费者会更加倾向于网上购物。另一方面,随着我国网民规模持续增加,每年都会有不断的新网民进入网民群体,成为网购群体的新一代主体,因此,中国的电子商务有着巨大的潜在市场。电子商务可以更大程度的满足消费者的各种不同的需求,电子商务交易下的网购正成为一种难以忽视的潮流,中国网购用户的网购次数频繁化也就不足为奇了。
1.3电子商务交易下消费者的购买行为个性化凸显
在过去的传统的销售模式中,许多企业都会针对消费者的不同特征,为不同的消费者提供满足其个性需求的产品和服务。可是由于个体消费者和目标企业之间的沟通存在着或大或小的障碍,尽管企业会采取多种方式的去调研,研究消费者的消费行为、消费心理,可是企业仍旧无法直接了解消费者的需求,消费者所追求的个性需求也就没有办法法直接传达给企业,这种情况下,消费者的个性需求也就得不到很好的满足。电子商务的不断发展却给了企业与消费者之间直接沟通的机会,消费者和商家之间的距离越来越近,商家可以通过网路对消费者进行深入的了解。这个时候的消费者不再是传统模式下的被动的接受企业的产品,而是自动的寻找符合自己需求的产品。在电子商务交易下,消费者可以直接向商家提出自己的个性需求,企业可以按照顾客的需求设计出符合消费者个性需求的商品。电子商务交易下网购网站的不断发展壮大使得消费者不再被局限于在有限的网站进行购物,而是根据自己需求以及个性选择合适的网站进行购物与消费。
二、网站设计对电子商务中消费者网上购买行为影响的主要因素
2.1网站页面的设计及视觉效果影响消费者的行为
开展电子商务中在“注意力经济”时代,网页的设计风格以及网页的视觉效果都是影响顾客购买行为以及消费者满意程度的主要因素,如果消费者对网页都不满意,那么愿意在网页上停留的时间会大打折扣,更谈不上购物的兴趣,网页的设计应该在体现企业文化和企业经营理念的同时,满足访问者的需求迎合消费者的消费心理,进一步理解消费者的消费行为,在此基础上设计出一个合理有效的网页界面,达到促进销售的目的。
2.2产品的价格优势在网站设计中的突出地位
现实中的世界并不是一个完全竞争的市场,现实的市场最明显的特征是垄断、寡头和垄断竞争,因此决定商品价格的主体仅仅是那些具有垄断性质的大企业。但是互联网的出现,打破了这种局面,创造了一个完善的市场机制。因为在互联网中,与传统的营销模式相比,各种信息具有相对的透明性、完全性和平等性的特点,消费者的选择权由此得到了极大的提高,购买交易的过程也编的更加的直接。另外,大多数的消费者对互联网中的电子商务交易有一个免费的心理预期,电子商务交易下的互联网市场和传统营销市场相比,营销活动中的中间费用和一些额外的产品信息介绍费用可以被相应的减少,产品的成本和销售费用大大降低,也就是说产品的价格相对较低。相对而言,电子商务交易既然拥有这么大的优势,在网站设计的时候,就不得不将此类的信息放在重要显眼的突出位置。
2.3网站设计时加强对电子商务中网络的安全性和可靠性
当前网上购物出现问题的主要障碍就是:安全性和可靠性。网络的安全性和可靠性就是指网络数据存储和提取的安全、个人隐私、操作权限的安全等。就目前来说,国内大多数网购网站的安全性还有待提高,网购用户不敢使用自己的信用卡支付,担心账户和密码会被窃取。另外一个方面是有网络购物的特点决定的,网络购物一般需要先付款后送货,这样的购买方式,就更决定了消费者对网络购物安全性及其可靠性的担心。因此,在网站设计的时候,应该体会到消费者的担心,打消消费者的消费顾虑,在消费者进行支付的时候,可以温馨提示,系统的安全性有保障,消费者可以安全的使用,不会出现账户及密码被盗的情况。