網站設計安全性大全11篇
時間:2022-12-21 04:44:24緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網站設計安全性范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2 用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從 ASP 程序設計角度對 WEB 信息安全及防范進行分析討論。
3 SP安全漏洞和防范
3.1 程序設計與腳本信息泄漏隱患
bak 文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2 對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入 DLL之中;二是使用微軟的Script Encoder對ASP頁面進行加密。
3.3 程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的 URL 路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL 注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL 注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造 SQL 語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄: 假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和 密碼,利用執行SQL 語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入 'OR 0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的 0=0 總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入' GO DROP TABLE 用戶表,后果是用戶表被徹底刪除。
C.參數傳遞: 假設我們有個網頁鏈接地址是 HTTP://……asp?id=22, 然后 ASP在頁面中利用 Request.QueryString['id']取得該 id值,構成某 SQL 語句, 這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22 and user=0 ,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql 語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一: 在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二: 在客戶端利用 ASP 自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三: 為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四: 對于參數的情況,頁面利用 QueryString 或者 Quest 取得參數后, 要對每個參數進行判斷處理,發現異常字符, 要利用 replace 函數將異常字符過濾掉,然后再做下一步操作。
轉貼于
第五:只給出一種錯誤提示信息,服務器都只提示HTTP 500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4 傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載 。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5 SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用Beyond Compare 2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。 Beyond Compare 2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
篇(2)
現在,網絡安全態勢感知還是缺乏一個標準進行規范,由于各研究領域對態勢感知的理解不同,使得態勢感知實現方式呈現出多元化的現象。本文主要對業內成熟的Endsley態勢模型在網絡安全領域的作用,加以改進使之成為態勢感知領域內實用的網絡安全方案。
1、基本概念
本文主要用三個概念對態勢提取的過程進行規范:定義1:時空知識庫:將態勢提取過程中的時間和空間專家知識的表示,存儲形式是哈希表。定義2:嚴重度知識庫:是態勢提取過程中的入侵或攻擊的專家描述,存儲形式為哈希表。定義3:權重分配函數:是對定義1及定義2的專家的知識函數表現。利用攻擊嚴重度指標、Timelndex和Spacelndex為參數,從而獲得權重系數。
2、態勢模型分析及框架設計
2.1態勢模型與過程框架
網絡安全領域中的底層事件和ESM處理的事件是不同的,但是ESM數據處理的過程可以借鑒到網絡安全態勢分析中。ESM對環境對象定義為威脅單元,多個威脅單元構成一個組,該組包括感興趣的參數。許多威脅單元共同用作態勢提取的模塊,與歷史態勢進行比對,從而獲取態勢信息。按照ESM的運行過程,提出網絡安全態勢提取框架,如圖1.
對態勢分析的過程中,根據攻擊的嚴重度可以講網絡攻擊分為高危、中危、低危及位置威脅,用Phigh(t)、Pmedium(t)、Plow(t)和Punknown(t)4類威脅單元來劃分表示,四類威脅單元共同構成網絡安全的總體態勢,則有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上兩式中,t表示評估時序;Count表示評估時間內的統計值;Timelndex與Spacelndex則表示攻擊的時間與空間要素。則有某威脅單元特定時段內的態勢:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權重系數分配函數結果。根據以上計算過程,得出態勢的提取過程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T。受網絡攻擊程度的影響,一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態勢提取的過程是符合實際情況的,即(4)可以變化為:[10Whigh 10Wmedium 10Wlow 0]T。
2.2安全域劃分及指標分配
根據信任等級的不同,常常對網絡系統劃分不同的安全域或建立信任級別。在不同安全域受到攻擊的視乎,對網絡造成的危害是不一樣的。一般用威脅單元中的Spacelndex表示不同的安全域,也用這一參數來作為WCAF的輸入,然后獲取不同安全域的重要性指標。根據以上內容,可以劃分不同的安全域,其規則如表1:
2.3告警融合模塊
網絡中存在一些系統固件在以往運行中會產生大量的冗余低危報警。如果不將這些冗余信息處理掉,在大量的低危告警的存在下,系統對高危攻擊的態勢分析就會失去準確的辨別能力。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息,這種方式是根據不同長度時間窗的比較來去除冗余的效果,這樣就可以保證在對冗余信息進行消除的同時而保留有用的信息。
3、實驗仿真及評估
3.1數據采集及預處理
根據以上設計進行仿真實驗,如圖2所示,局域網可以和互聯網直接相連,并且有OA、Web及Proxy等服務內容。根據主機資源及部署的服務的重要性,就可以對該網段進行安全域的劃分,可以劃分其為兩個安全域,標記為安全域1和安全域2,分別表示為SZ-1和SZ-2。
根據實驗目的,對數據首先進行采集,以五天為一個采集單元,共獲取305000條數據信息。對五天的數據隨機挑選三天的數據進行分析,分別表示為Day1#、Day2#和Day3#,然后對原始數據進行冗余處理,再對數據進行預處理。表2為預處理前的數據分布。如果選擇20s與30s當作時間窗長度,那么數據約減的效果不是很明顯。所以選擇20s作為時間窗的長度。
在態勢分析中,TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定,此次實驗將評估周期定為1天,按照小時來劃分Timelndex分配,即1至24,然后將評估間隔的重要度按照網絡流量的等級劃分為3個等級。
表3為評估間隔重要性等級,WC表示歸一化的量化權重系數,安全域的劃分參照表1。
3.2仿真結果
Day1#中嚴重度系數分配的前后如圖3a和圖3b顯示。因為Day1#中出現的高危攻擊要比相應間隔的中低危告警要少的多,也就是說,圖3a中的低危態勢表現要嚴重與高危和中危態勢。這就說明,在對統計值進行建立時,對網絡攻擊中的嚴重度無法準確的進行評估。圖3b反應了網絡安全態勢的嚴重度系數分配突出高危攻擊的影響。
與圖3表述相一致,圖4中a和b也表示嚴重度系數,不同的是安全域是SZ-2,與圖3a面臨的問題相似,圖4a也反應了低危攻擊比高危和中危攻擊嚴重,例如在Day1#數據中,第10、15與19小時都發生了高危攻擊,但是,這些高危攻擊在圖4a中,完全淹沒在低危告警中,圖4b中則完全顯示出高危態勢的變化。
在將SpaceIndex引入SZ-1和SZ-2前后,總體安全態勢如圖5a和圖5b的變化。在周期評估時,比較接近的是SZ-1中的攻擊分布和攻擊數量和SZ-2比較接近。所以在引入SpaceIndex之前,二者的態勢曲線是最為接近的,但是不同的是SZ-1中的主機和服務要比SZ-2中的主機和服務重要,因此,如果對兩個安全域同時進行攻擊時,兩個安全域所在的網絡系統受到的影響是完全不同的,只有在引入Spacelndex后,才能體現出態勢的變化,如圖5b。
圖6a中,主要是對Day2#總體態勢變化和不同安全域的態勢變化進行比較,從圖中可以看出,總體態勢的變化主要是有SZ-2所決定的。在特定時段內,SZ-2的變化并未引起SZ-1的態勢變化而被忽視。該思想在圖6b中Day3#數據中也被驗證。
4、結論
篇(3)
中圖分類號:TM734 文獻標識碼:A 文章編號:1009-2374(2013)23-0089-02
目前,晉煤集團供電分公司電力調度自動化主站采用東方電子DF8002V8調度自動化系統,自投運以來運行可靠穩定。隨著晉煤集團不斷的發展,晉煤集團電網規模日益壯大。為了適應電網調度自動化技術的發展和本地區域電網調度自動化系統建設的需要,進一步提高本地區域智能電網自動化工作的工程化、規范化、系統化水平,結合電網調度自動化新技術和本地區域電網的實際情況,該公司于2010年對調度自動化系統進一步完善主站功能,對原有集控站進行改造,在寺河110kV站、成莊110kV站分別新增兩個集控站。
集控站采用東方電子最新研發的集控自動化系統――DF8003C集控一體化系統。晉煤集團供電分公司現管轄110kV變電站3座,35kV變電站22座,110kV供電線路8條合計126.63km,是一個專業的電力電網調度。DF8003C集控一體化系統的建設,主要是在成莊和寺河兩個地方建立兩個集控站,分別管控各自部分的變電站,是基于現有通訊自動化系統搭建完善的光纖通訊網絡和準實數據平臺,對電網實行分層、分區監控管理。集控站具有遙控、遙調、遙信、遙測等功能,自動化信息直接采集和處理,對所管轄的變電站進行監視、控制和管理。增加調度值班人員在事故狀態的事故應急判斷和指揮能力,加強各工區對自己所管轄的變電站進行實時監控和事故狀態下的操作監控,為晉煤集團實現智能型的安全電網提供了技術保證。
1 DF8003C集控一體化系統的基本功能
DF8003C集控一體化系統其使用的硬件部分均為兩臺HP ML370 G6塔式服務器,集SCADA/前置/歷史服務器于一體,3臺HP Compaq 8000 Elite商用臺式機工作站,進行正常的使用和維護以及1臺HP Compaq 8000 Elite商用臺式機報表工作站,用于制作管理報表。區域集控站系統建設完善了數據采集;數據通訊功能;轉發功能;數據處理能力;人機交互功能;遙控及操作閉鎖;事項及事故處理;事件順序記錄;事故追憶及反演功能;系統時鐘同步;用戶自定義運算功能;報表打印功能;安全功能;系統維護功能,支持遠程維護功能。
2 集控監控系統組建模式及應用功能
2.1 系統組建模式
集控中心系統本身主要實現變電站的監視控制功能。但調度主站與集控系統采用一體化模型和圖形維護,并需要交換實時數據、控制操作命令、報警事件等,集控中心系統應配置相應的CIS服務器,負責與主站系統按照IEC61970標準進行接口。DF8003C集控一體化系統組建采用雙網、雙主機,服務器/客戶機的C/S結構,雙網數據動態分流,具備向下冗余的交換、分布式開放性局域網絡結構,在符合國內網絡安全防護的原則下,支持異構系統的接入和信息共享;從硬件結構來看,整個系統分布在三個安全區中,分別為安全區Ⅰ、安全區Ⅱ和安全區Ⅲ,監控主系統位于安全區Ⅰ。
操作系統選用Windows操作系統,各應用功能的支撐平臺基于“關系、層次和面向對象(CIM/CIS/UIB)”三位一體為核心的開放、分布式平臺。
應用軟件基于IEC61970 CIM/CIS(公用信息模型/組件接口規范)和IEC-61968 UIB電力企業應用系統集成總線技術標準設計開發,“圖、模、庫”一體化,軟件運行環境“跨平臺”,支持各種主流硬件及操作系統。
2.2 集控站統一維護的實現模式
集控站建立相對獨立的SCADA主站的情況下,各個集控的參數和圖形都需要獨立維護,為了便于維護,可以通過在調度主站設立集控站遠程維護終端的方式,在主站對各集控站圖、庫進行維護。
2.3 通道組織方式
2.3.1 110kV、35kV變電站至集控系統的遠動通道,原則上考慮專用網絡通道,并建議升級后系統應具備雙通道接入功能。
2.3.2 變電站數據分別往集控、調度轉發,信息互不干擾。
3 集控站監控系統主要技術指標
3.1 技術指標
3.1.1 全系統實時數據掃描周期2~10s可調。
3.1.2 主備切換時間。
熱備用主備機切換時間
溫備用切換時間
3.1.3 系統時鐘同步精確度。
穩定性
時間基準
3.1.4 遙測量。
綜合誤差 ≤1.5%
遙測量越死區傳送時間 ≤2s
遙測合格率 >99.9%
重要遙測傳送時間 ≤3s
3.1.5 開關量。
遙信變位傳送時間 ≤2s
遙控,遙調傳送時間
遙控命令響應時間 ≤1s
遙調命令響應時間 ≤2s
遙信正確率 100%
遙控,遙調正確率 100%
遙控拒動率 0%
3.1.6 屏幕顯示。
畫面刷新周期2~10s可調,且每一畫面均可定義其刷新周期
以太網誤碼率
模擬屏數據更新周期
向管理信息系統提供的批次數據5*n(n=1,2,…12)分鐘可調
3.2 可靠性指標
平均無故障運行時間 MTBF
計算機監控系統 >25000小時
主機(含磁盤) >50000小時
操作員工作站 >40000小時
其他計算機設備 >30000小時
可維護平均修復時間 MTTR
計算機監控系統可利用率 >99.98%
3.3 系統壽命
系統壽命正常使用年限為10年,在具有一定的備品和軟件升級的條件下能達到15年。
3.4 系統安全性指標
CPU負載(運行標準軟件)
正常狀態下 ≤25%
事故情況下10s ≤40%
在任一個5min內,磁盤的平均使用率
4 集控系統與主站系統接口功能
4.1 接收主站下傳的圖模信息
調度主站信息按照IEC61970標準的圖模信息后(包括CIM參數和SVG圖形),根據責任區下傳到集控中心,集控中心收到該信息后,把CIM模型(全網模型和增量模型)導入到集控系統中,并自動投入實時運行,SVG格式的圖形則轉換成集控系統私有格式供值班員使用。
4.2 從主站獲取變電站的實時信息
集控中心CIS服務器通過GDA/HSDA獲取主站轉發的遙信、遙測數據,將轉發的遙測、遙信數據更新到集控SCADA系統中。
4.3 實時控制信息上傳主站
集控中心對部分設備的控制操作通過主站進行操作,集控中心負責將控制操作命令寫到調度主站CIS服務器上,并接收調度主站CIS服務器返回的相關操作,完成整個控制操作過程。
4.4 實時報警事件的訂閱
集控系統可通過集控中心CIS服務器訂閱調度主站生成的報警和事件。
智能電網作為未來電網技術的發展趨勢,電網調度自動化系統已在保證電力系統安全、可靠和經濟運行中發揮著重要作用,并且成為電力系統安全穩定運行的重要支柱之一。DF8003C集控一體化系統是集實時監控(SCADA)、運行與管理等于一體的自動化系統,運行人員可通過該系統監測變電站設備運行情況和對設備進行控制。能利用集中起來的各種細節信息,進行決策分析處理,擅長處理細節問題,是地區調度自動化系統的前級智能信息處理節點。實踐證明,將集控站自動化系統與調度自動化相結合,能可靠、有效地實現對電網的監控。使晉煤集團調度自動化系統達到了國內先進水平,為晉煤集團創造一流的供電企業提供了技術保障。
參考文獻
[1] 馬紅.電力調度自動化系統實用化應用[J].現代電子技術,2004.
[2] 國家電力調度通信中心與電力規劃設計總院.實現變電站無人值班對調度自動化系統的基本要求.
篇(4)
關鍵詞:
茶葉企業;網站設計;改革
網絡信息化、機械自動化、經濟全球化的飛速發展,給茶葉企業的生產、管理、銷售等環節的力度都帶來了很大程度的負擔。特別是茶葉的大批量生產、管理、運輸以及進出口等方面,都增加了企業的投入和呈現市場的需求的多樣性。“”技術的網站設計,為解決現代化茶葉企業綜合管理問題的產物。其滿足了大多數的客戶和茶葉市場的需求,不僅在交流溝通、決策管理、銷售服務等生產環節有著巨大的作用,還更大程度地發揮茶葉企業的自主性和創造性。
1茶業網站
互聯網技術在茶葉企業經營中的運用,改變了政府、企業、銷售、消費大眾之間的互動關系,讓整個交易以及社會活動處于一個信息交互的空間。無論在提高茶葉產業信息化、自動化程度,還是在提高效率、降低成本上,解決了茶葉產業現代化發展的需要。其中功能性設計和系統管理設計,使交易的關系鏈中各個方面都能實現產業的價值最大化。
1.1茶業網站的功能性設計
1.1.1廣告宣傳功能
茶葉企業網站的設計與其它行業的網站設計一樣。在功能性設計上,往往需要對本身企業的茶葉產品與企業精神、企業品牌進行宣傳。相對傳統的紙質傳單、電視廣告相比,還要具有較低成本與廣告模式多樣化的特點。與此同時,通過各種各樣的資訊和信息的傳達,讓人們能夠對于茶葉企業網站有一個全新的認識。以期達到品牌建立,進而改變現階段我國茶葉企業不景氣的現狀。
1.1.2網購交易功能
網站的設計在茶葉產品的交易過程中,存在交易形式的變化和新型服務業的產生。例如:一方面,網購交易中與現實的實體店一樣,具有商品交換和支付以及服務傳遞的功能。同時也在一定程度上加強了訂購的功能,將整個交易過程在支付選購和支付過程充滿了多元化;另一方面,在茶葉企業的網購交易的影響下,產生市場調查專員和快遞員等一系列附屬職業。此外,茶葉產品和服務發送上不僅做到了速度快、質量好、配送高效的效果,而且給整個交易過程帶來了金融安全性和便利性。在功能性的設計中,茶葉網站做到了將茶葉的貿易過程處理的更合理化、人性化。通過電子平臺的展示作用,使產品最大限度的展現在經銷商和消費大眾面前。整個環節具有信息完整和質量保證的特點,同時還具備了在線與企業進行咨詢洽談的效果,真正做到了不需要面對面交流,還能提供時間和空間上的交流自由和服務。最后,通過茶葉網站接收客戶的信息反饋,及時高效的對現階段茶業在產品設計、服務質量等方面進行完善,讓企業的體制和生產更為先進。
1.2茶業網站的系統管理設計
1.2.1系統管理設計
茶葉網站的設計在管理方面也有著巨大的影響。譬如:企業的內部體系建設、管理監督體系、企業核心競爭力等方面都直面企業管理的問題。結合國家和地方政府對茶業的保護和優惠政策,發展網站管理體制能將整個茶葉企業的所有系統合理的運用,且通過實時監控和宏觀調控相結合的辦法讓企業長期可持續發展。
1.2.2倉儲管理設計
對于茶葉企業這樣的精細產品行業,茶葉的倉儲管理是必不可少的。特別是針對大型的網購訂單,有效的倉儲茶葉能夠讓企業按時交付訂單和配貨。網站的管理設計能夠及時的反饋交易的信息,合理規劃準確的倉儲數量和日期,保證管理業務的有效性。
1.2.3物流管理設計
針對網購消費者來說,客戶所購買商品的實時物流信息查閱是不可或缺的。企業準時、公開化保證物流配送和信息跟蹤,不僅是對于消費者有一個合理的交代,還能讓企業的服務管理質量水平上升到一個新的層次,也是對員工考核績效的反饋。企業的建設離不開設備的支持,特別是隨著自動化的發展,大型設備的采購和維護是讓生產正常進行的前提。設備的管理有別于紙質的管理人員簽名登記,網站的記錄提醒功能將設備的購入、使用、維護、報廢一系列流程信息進行有效的記錄,方便管理人員的監控。
2基于“”技術的茶業網站設計
基于“”技術的茶業網站設計,在傳統的單一網站設計的基礎上進行了集合化、模塊化、數據庫化。不但是用戶體驗,還是多元化融合的程序。簡化設計過程,提高執行效率。
2.1模塊化管理系統設計
隨著生活節奏的加快,時間已經成為了稀缺的資源。如何在茶業網站設計上,給消費大眾和客戶提供省時、省力、資源共享,建立交互平臺成為茶葉企業的迫切需求。“”技術在網站的設計上,兼容了四個“可行性”。根據貿易過程中所必需的功能進行模塊化的區分。這種區分做到了用戶界面上的區分,以及信息交互的融合。獨立而又聯系的模塊將整個網站體系,在時間和空間上都做到了延續,符合了茶葉企業的發展。同時,在茶葉企業的管理體系上也進行模塊化的設計,將各個管理系統能夠針對網站反饋的信息進行合理的調度和管理。特別是在進行茶葉網購產品的物流管理,無論是從一開始客戶訂單的提交進行訂單的分揀工作,物流中心配貨工作,還是最后的配送運輸工作,都能夠從各自的模塊中快速的提取有用、實時的信息進行進一步的工作,達到綜合管理的目的。另一方面,也保證了企業數據的安全性,由于每一個模塊都進行權限的管理,管理人員只需對相關數據的管理、操作信息的管理即可。
2.2數據庫模型設計
值得一提“”技術的茶業網站設計,還加了數據庫的模塊,這樣體現了“”技術在網站設計中管理的系統化,大數據管理的高效、規格化的特點。在這些數據庫中包含了茶葉企業中的各個人員的信息、網站的登錄日志、機構、部分構架、茶品信息以及客戶信息等。數據庫模型設計,在這些信息的處理方面提供了解決方法。比如;客戶在選擇購買茶葉產品時,往往不是進行單一產品的購買,而是進行分類購買,這樣的訂單也常常出現多元關系。此外,客戶反饋的信息也不單單傳遞給銷售部門,同時也包含了生產部門、配送部門等。數據庫模型設計,在這些關系調配和信息傳遞中做到了多向的發展,充分保證信息及時、準確的傳播。
3“”技術的茶業網站設計的創新和改革
盡管網站的設計技術使茶葉企業的日常管理和決策得到信息化發展,但是“”技術的茶業網站設計還處于初步階段,資源利用率、管理體制的切合性以及信息安全性還需要進一步的改革和更新。
3.1茶業網站設計分層結構
為了讓整個信息系統能夠完成其信息資源的組織設計,需要加入一些屬于本企業的個性化信息設計。我們就需要對網站進行深入的加工設計,分層的結構設計將業務邏輯、事物調度和數據的訪問相互聯系起來。一方面,保持原有設計的高效執行效率;另一方面,也去除了系統冗余的部分讓程序變得簡化更加具有靈活性。對傳統的茶葉企業的信息化的提升和集成效果更為明顯,有利于提高整個產業鏈的資源利用率。
3.2前臺管理和后臺的結合
“”技術的茶業網站設計,在功能的需求上需要前臺管理和后臺的結合,達到和客戶交流互動的目的。前臺管理主要包括客戶的商品選擇、訂單結算。合理的前臺管理系統的設計,可以滿足不同消費者的消費習慣和瀏覽習慣,簡化交易流程,同時也提供多種付款方式來增大消費的數量和可能度。而后臺的系統設計則是一個便利消費者的服務型機構,通過模擬實體店的各項管理環境,而進行設計的虛擬服務系統,及時對茶葉產品的宣傳介紹、訂單的管理,使得客戶滿足、愉快購物。
3.3茶葉網站設計的安全性配置
“”技術的茶業網站設計,還應該在系統的安全性設計上加大設計的指標,無論是在起初的用戶認證、鑒別,還是權限訪問方面都應該進行合理的規劃。這樣既保證用戶能夠正常的使用該系統,獲取有用的信息進行管理、使用,還確保系統的數據不被破壞。特別是消費者關心個人的信息和虛擬貨幣的安全問題,以及企業的核心數據和網絡資源保密問題。基于“”技術的茶業網站設計,在原有的基礎上改變其安全設置,讓用戶訪問層次化和權限的模塊處理化,保證整個消費過程安全穩定。
4結論
“”技術的茶業網站設計是一個虛擬的網站系統,通過對茶葉企業的生產、管理、貿易特點,對各項需求功能和管理部門進行模塊化處理。將信息進行數據庫模型化共享,前臺消費和后臺服務相結合的消費模式,贏得了消費大眾的喜愛。我們更應該順應科技潮流補充“”技術在安全性和靈活可配置性上的改進。讓其潛力能夠發揮得更加充分,也讓用戶使用起來感覺到“”技術與現代經濟結合所帶來的便利和可靠性。
作者:王曉芳 單位:陜西職業技術學院計算機系
參考文獻
[1]陳雙全,鄭萍.基于和數據庫技術的教務網站設計[J].武漢船舶職業技術學院學報,2005(6):35-37.
篇(5)
引言:所謂的電子商務,主要指的是語用用訊的方式進行產品的經銷、存貨、查詢、交易、廣告宣傳以及付款等商業活動[1]。在發達國家,電子商務早在20世紀90年代初期的時候就得到了發展,并建立了健全的電子商務服務體系。隨著社會經濟的快速發展,電子商務也成為了21世紀國際貿易的主要形式和發展趨勢之一,在推動經濟發展的過程中,具有重要作用。就我國來說,在2013年,中國電子商務交易額突破10萬億元,同比增長26.8%。其中網絡零售額超過1.85萬,有關報告顯示,我國成為世界最大的網絡零售市場,超過1.85萬億元的網絡零售交易額相當于社會消費品零售總額的7.8%;,2014年上半年,我國電子商務繼續保持快速發展的勢頭,市場規模不斷擴大,網上消費群體增長迅速。根據研究機構初步測算,上半年我國電子商務交易額約為5.66萬億元,同比增長30.1%。電子商務拉動內需、促進就業作用明顯;移動互聯網、大數據等新一代技術的應用成為電子商務發展的新熱點;與此同時,電子商務市場競爭日益激烈,企業服務能力和行業集中度均有提升;而隨著商務部聯合多個部委跨境電子商務有關政策,跨境電子商務正在迎來一個全新的發展階段[2]。
一、電子商務網站設計
(一)設計原則
網上交易商品,不僅需要大量的的數據處理,還需要保證數據信息的安全性,在功能上也要滿足商業流程。電子商務交易網站和一般的web網站相比,電子商務網站對數據處理、數據傳輸以及數據流程方面的要求更高,其處理也更為復雜。因此,對于電子商務網站的設計,必須保證其系統的可靠性、安全性、經濟性、可拓展性、先進性以及開放性。其次,要站在用戶的角度進行分析。電子商務網站是企業和各種商品機構開展電子商務的基礎設施和信息平臺,是各種服務對象之間的交互界面,也是電子商務系統的承擔者和表現者[3]。站在用戶的角度來設計網站,可以保證電子商務網站的易用性。
(二)電子商務網站設計概要
關于電子商務網站的設計,是一項復雜的系統工程,需要企業對各項業務流程進行整合,并將外部信息集成,是一個對網絡信息資源組織、開發以及利用的綜合過程,無論是在商務層面上,還是在設計開發的技術層面上,都面臨著諸多的問題。
1.對電子商務網站設計模式的分析
一般來說,電子商務主要有兩種模式,一種是企業對企業模式,即我們常說的B2B模式,另外一種模式就是消費者模式,即B2C模式。企業在實際的操作過程中,一般都是將兩種模式結合使用,因此,在對模式進行設計的過程中,需要根據企業的實際需要進行設計。
2.電子商務功能設計的分析
在分析客戶和企業需求的基礎上,還要對商務網站的設目標、業務流程等進行詳盡的了解很分析,明確系統是否能夠滿足客戶的需求,從而確定目標系統的功能設計。一般來說,對于電子商務網站需要滿足一下幾個功能:第一、企業的形象宣傳,第二、產品和服務項目展示,第三、商品和服務訂購,第四、轉帳與支付、運輸,第五、信息搜索與查詢,除此以外,還要有客戶信息管理模塊、銷售業務信息管理模塊以及新聞、供求信息等模塊。
3.電子商務網站的結構設計
關于電子商務的結構設計,目前有多重類型,可以分為三層,第一層為表現層,第二層為商務層,第三層為數據層。
二、電子商務的管理設計
對于電子商務網站的管理,包含多個方面的內容,其管理質量的高低,直接關系到了商務電子網站的正常運行和運行的安全性,因此,應該對電子商務系統管理引起重視。總的來說,電子商務網站管理主要包含以下幾個部分:
第一、系統管理。系統管理主要就是對系統中的軟件管理、硬件管理、文件傳輸管理、電子郵件系統管理、支付系統管理、數據庫系統管理等。
第二、應用管理。所謂的應用管理,主要指的是對實現網站功能的軟件進行管理,包括個性化服務管理,購物車管理以及聊天室管理等主要內容。
第三、內容管理。內容管理主要指的就是集約業務的管理。網站內容管理是電子商務網站管理的核心內容,是確保電子商務網站有效運行的基本手手段。其包含了在線購物管理、在線支持管理以及客戶信息管理等內容。
第四、安全管理。安全管理主要負責的就是針對網站中的安全威脅因素采取有效的管理措施,解決網站系統中的安全問題,確保系統運行的安全性。主要包括網絡安全管理、應用安全管理以及數據庫安全管理三個方面的內容。
目前,關于電子商務的管理模式有很多,智能結構模式管理是其管理發展的主要方向。采用智能管理的模式,可以將管理內容結構化,并完善各種管理流程,實現遠程辦公確保信息來源的質量,再通過一系列智能化的手段,提供信息相關的商貿信息,實現電子商務網站的智能管理,也能實現動態信息的發送。
參考文獻:
[1] 閔惜琳.人工神經網絡結合遺傳算法對網站開發優化的應用[J].系統工程,2011,25(2):22-26.
[2] 梁姝.基于云計算技術的電子商務平臺的設計與實現[D].黑龍江大學,2012.
[3] 杜成昊.利用軟件工程基本原理進行電子商務網站設計[J].湖北師范學院學報(自然科學版),2006,26(3):84-88.
[4] 嚴莉.多元化教學模式在《電子商務網站設計與管理》中的應用[J].科技信息,2011,(35):1081,1108.
[5] 田博,覃正.B2C電子商務中的在線信任分析及其在網站設計中的應用[J].科技管理研究,2011,28(7):422-424.
篇(6)
1.1設計原則
網上交易商品,不僅需要大量的的數據處理,還需要保證數據信息的安全性,在功能上也要滿足商業流程。電子商務交易網站和一般的web網站相比,電子商務網站對數據處理、數據傳輸以及數據流程方面的要求更高,其處理也更為復雜。因此,對于電子商務網站的設計,必須保證其系統的可靠性、安全性、經濟性、可拓展性、先進性以及開放性。
1.2對電子商務網站設計的分析
對于電子商務網站的設計,是一項復雜的工程,需要整合企業的各項業務流程,在整理好企業內部資源的情況下,對企業外部各種信息也要實現集中管理。電子商務網站就是對網絡上的信息資源進行組合,發開以及充分利用的過程。同時,商務網站設計也是一項對技術要求很高的的工作,需要技術人員擁有專業的技術。
1.2.1對電子商務網站設計模式的分析
一般來說,電子商務主要有兩種模式,一種是企業對企業模式,即我們常說的B2B模式,另外一種模式就是消費者模式,即B2C模式。企業在實際的操作過程中,一般都是將兩種模式結合使用,因此,在對模式進行設計的過程中,需要根據企業的實際需要進行設計。
1.2.2對電子商務網站功能設計的分析
對于電子商務網站功能的設計,要求設計人員需要對客戶的需求和企業的實際情況進行充分的分析,在此基礎上,對于電子商務網站的設計目標和業務流程都需要進行詳細的了解和掌握,要確保設計出來的網站能夠切實滿足客戶的實際需求,在滿足客戶實際需求的基礎上,從而確定網站功能設計。對于電子商務網站的功能需求來說,一般要滿足多個功能。第一、在宣傳上,通過網站的設計,要對企業起到良好的宣傳效果,為企業樹立品牌形象;第二、網站設計要能夠展示企業的各項產品和服務;第三、需要實現商品訂購和服務訂購的功能,客戶可以直接通過網站對企業的商品和服務進行訂購。第四,網站還應該能夠支持轉賬、支付以及運輸的功能;第五、網站設計需要滿足客戶信息搜索和查詢,使客戶在使用的過程中,能夠快速找到自己需要的服務和產品。除此以外,網站設計還需要建立供求信息模塊、新聞模塊、銷售業務模管理模塊以及客戶信息管理模塊等。
1.2.3對電子商務網站的結構設計的分析
關于電子商務的結構設計,目前有多種類型,可以分為三層,第一層為表現層,第二層為商務層,第三層為數據層。
2電子商務的管理設計
對于電子商務網站的管理,包含多個方面的內容,其管理質量的高低,直接關系到了商務電子網站的正常運行和運行的安全性,因此,應該對電子商務系統管理引起重視。總的來說,對于電子商務網站管理需要具有以下幾個部分:
(1)系統管理。系統管理主要就是對系統中的軟件管理、硬件管理、文件傳輸管理、電子郵件系統管理、支付系統管理、數據庫系統管理等。
(2)應用管理。所謂的應用管理,主要指的是對實現網站功能的軟件進行管理,包括個性化服務管理,購物車管理以及聊天室管理等主要內容。
(3)內容管理。內容管理主要指的就是集約業務的管理。對于電子商務網站管理而言,其管理的核心就是電子商務網站管理,做好電子商務網站內容的管理,也是保證電子商務網站有效運用的關鍵所在。其管理內容主要包括客在線信息管理、在線支持管理以及在線購物管理等內容。
篇(7)
1精品課程網站概述
精品課程網站本質上來說是將課程轉換為電子版,屬于信息資源庫的一種。它能否對課堂教學以及教材中的內容進行擴展和補充。通過網上平臺能否實現教學資源的共享和更新,便于學生間以及學生和教師之間的交流和學習。另外,還可通過測試、教學評價等方法豐富教學內容和形式,并能對教學狀況和成果進行反饋,使教師結合具體情況及時對教學內容和進度進行調整。將精品課程網站應用到教學工作中,可發揮多方面的優勢。
2Java技術支持下精品課程網站設計與開發
2.1設計目標
實現功能的擴展是運用Java技術進行精品課程網站設計的主要目標,追求網站Web框架實用性和高效性的統一,且便于對其進行維護。精品課程網站設計過程中還需要考慮的另一重要因素則是數據的安全。為避免客觀因素,系統故障等對數據造成損壞,可采用遠程實時快照等方式做好備份工作,防止數據丟失。對于數據操作來說,其設計重點應放在客戶端Web遭受垃圾攻擊如何保障其安全上。在對精品課程網站進行管理的過程中,需要建立后臺管理系統,對瀏覽器進行實時維護,便于用戶利用瀏覽器對信息進行、更新課程內容以及完成其它操作。對于信息的自主來說,需要設計好網站的信息審核功能,確保所的信息安全、合理。
2.2設計原則
精品課程教學需求是網站設計和開發的原則,精品課程網站的設計需要既能與教學目標相適應,又能保障其服務質量的提升,便于學生對信息的查找和課程的學習。精品課程網站的服務對象是教師以及學生,其主要功能在于對教學工作進行輔助,在對精品課程網站進行設計的過程中,還應以信息的更新、網站管理更為方便為原則。
2.3技術手段
B/S在精品課程網站Web系統中發揮著十分重要的作用。基于Java技術對精品課程網站進行設計和開發時,需要綜合運用Tomcat等多種技術,才能使網站功能得以擴展,以下是對精品課程網站設計開發過程的技術手段的分析:首先,可利用Java語言初步完成對客戶端數據的認證,并對信息進行過濾。其次,為了確保安全,可以利用用戶名以及密碼機制保障登錄的安全性,還可結合不同用戶對其權限進行限定,利用MDA技術完成信息的加密,避免用戶信息泄漏。最后,需要充分掌握Web運行環境,特別是Tomcat安全設置相關問題,并了解其操作功能。另外,需要將Java語言以及ECIIPse集成開發平臺結合起來完成精品課程網站建設的開發與設計。
2.4數據庫設計
要確保數據庫的完整性,全面覆蓋各類資料。具體來說,需包含學生信息、試題庫、學生自我測試成績等。
2.5登錄功能設計
對于登錄功能的設計來說,需要綜合考慮教師、學生和管理員三個群體。用戶利用賬戶名及密碼完成登錄,若需要修改基本信息或登錄密碼需完成相應的驗證。若通過身份驗證之后,證明登錄用戶身份為學生,則其在網站上的權限可包括交流互動、課程學習等方面,并可執行相應操作。若驗證后登錄用戶身份為教師,則其權限可包括課程上傳、信息查詢、課程討論等。若驗證后登錄用戶身份為管理員,則其在網站上的權限可以包括對網站試題的管理、維護網站公告信息等。
2.6公告欄設計
精品課程網站公告欄主要由管理員進行維護,其對公告欄實行管理,權限還該對公告欄內容的設定、上傳、刪除等。具體步驟為:驗證管理員身份,成功登錄網站,選選種所要修改的內容,然后便可對該部分內同進行修改。若公告欄內容以及失去作用,則需要刪除該部分內容。操作方法為:首先登錄網站頁面,選中需刪除內容,然后執行刪除操作。
3結語
信息技術和計算機技術的進步,使得其在各領域中的應用越來越普遍。基于信息技術的發展,精品課程網站應運而生,并逐漸成為教學方法改革的一大趨勢。將Java技術和精品課程網站的設計和開發結合起來,成為新的研究熱點。本文在對網站設計目標以及原則進行分析的基礎之上,提出將Java技術應用于精品課程網站設計和開發中具體方法,主要包括數據庫、登錄功能、公告欄三個方面,使精品課程網站具備在線學習、交流互動、答疑解難、自我測評等多方面的功能,為教學工作的開展提供便利。
參考文獻
[1]遲浩.基于XML和JAVA的通用課程教學網站設計與開發[D].中國海洋大學,2010,(04):17-19.
篇(8)
網絡技術不斷成熟和發展,促進了基于網絡技術的網站的發展。網站開發是一項很復雜的工作,我校根據學校實際,確定網站的定位和需求,從軟件工程的角度出發,針對學校網站建設的特點和重點,整理出一套適合學校網站建設管理和控制的方法,以此來保證網站建設的高效率、高質量。
一、基于ASP的動態網站建設概述
(一)動態的概念
所謂動態,并不是指那兒個放在網頁上的GIF動態圖片,在這里是為動態頁面的概念制定了以下兒條規則:
1.交互性,即網頁會根據用戶的要求和選擇而動態改變和響應,將瀏覽器作為客戶端界面,這將是今后WEB發展的大勢所趨。
2.自動更新,即無須手動地更新HTML文檔,便會自動生成新的頁面,可以大大節省工作量。
3.因時因人而變,即當不同的時問、不同的人訪問同一網址時會產生不同的頁面。
(二)ASP的概念及特點
Microsoft Active Server Pages即我們所稱的ASP,其實是一套微軟開發的服務器端腳本環境,ASP內含于IIS3.0和4.0之中,通過ASP我們可以結合HTML網頁,ASP指令和ActiveX元件建立動態、交互、高效的WEB服務器應用程序。有了ASP你就不必擔心客戶的瀏覽器是否能運行你所編寫的代碼,因為所有的程序都將在服務器端執行,包括所有嵌在普通HTML中的腳本程序。當程序執行完畢后,服務器僅將執行的結果返回給客戶瀏覽器,這樣也就減輕了客戶端瀏覽器的負擔,大大提高了交互的速度。以下羅列了Active Server Pages所獨具的一些特點:
1.使用VBScript JScript等簡單易懂的腳本語言,結合HTML代碼,即可快速地完成網站的應用程序。
2.無須Compile編譯,容易編寫,可在服務器端直接執行。
3.使用普通的文本編輯器,如Window、的記事本,即可進行編輯設計。
4.與瀏覽器無關(Br+wser In
5.Active Server Pages能與任何AotiveX scripting語言相容。除了可使用V BSoript或JSoript語言來設計外,還通過plug-in的方式,使用由第三方所提供的其他腳本語言,譬如REXX,Perl,Tol等。腳本引擎是處理腳本程序的COM(Component Object Model)物件。
6.Active Server Pages的源程序,不會被傳到客戶瀏覽器,因而可以避免所寫的源程序被他人票J竊,也提高了程序的安全性。
7.可使用服務器端的腳本來產生客戶端的腳本。
8.物件導向(Objerient-ed)。
9.AotiveX Server Components
(AotiveX服務器元件)具有無限可擴充性。可以使用Visual Basic,Java VisualC++,Cobol等編程語言來編寫你所需要的AotiveX Server Component。
二、ASP程序設計安全技術
Asp程序設計的安全主要涉及三個方面:Asp源代碼的安全、Asp程序設計的安全和數據庫安全。
(一)ASP源代碼的安全
1.保證ASP源碼的安全的主要技術是Asp腳本加密技術。常用方法有兩種:一是ASP2DLL技術。其基本思想是利用VB6.0提供的Activexdll對象將Asp代碼進行封裝,編譯為DLL文件,在Asp程序中調用該DLL文件。二是利用微軟提供的Script Encoder加密軟件對Asp頁面進行加密。
2.置合適的腳本映射。應用程序的腳本映射保證了Web服務器不會意外地下載Asp文件的源代碼,但不安全或有錯誤的腳本映射易導致Asp源代碼泄漏。因此,應將用不到的有一定危險性的腳本映射刪掉(如*.htr文件及*.htw,*.ida,*.idq等索引文件)。
(二)程序設計中的安全
1.用戶名、口令機制。用戶名、口令是最基本的安全技術,在Asp中常采用Form表單提交用戶輸入的帳號和密碼,與用戶標識數據庫中相應的字段進行匹配,在必要的場合可以使用MD5算法來加密用戶輸入的密碼,可以保證在線路被竊聽的情況下依然保證數據的安全,保護用戶口令的安全。
2.注冊驗證。為了網站資源的安全性和易于管理,可以對用戶進行分級,給定權限,使特定用戶訪問特定的資源群,也可以阻止未授權用戶使用網站的資源,這就需要對用戶進行注冊驗證操作。在ASP中,我們可以利用Session對象和Http頭信息來實現此類安全控制。當訪問者通過身份驗證頁面后,就把Session對象的Sessionid屬性作為一個Session變量存儲起來,當訪問者試圖導航到一種有效鏈接的頁面時,可將當前的Sessionid與存儲在Session對象中的ID進行比較,如果不匹配,則拒絕訪問。如在Session(“id”)中保存著第一次鏈接的Sessionid,’拒絕訪問。
3.網頁過期管理。考慮到有可能用戶在使用網頁的過程中,有可能會長時間離開計算機處理別的事情,這樣會給別有用心的人有可乘之機,所以應該給網頁一個過期時間。這樣不僅保證了用戶的安全,也可以減少服務器的鏈接數,減少服務器壓力。可以使用session.timeout=時間,過了這么長時間網頁就失效了,前提是你用一個session值來判斷登錄狀態如session.timeout=20。
三、基于ASP的動態網站設計開發過程
(一)系統分析階段
建立一個網站,首要明確設計思想,編寫一份詳盡的需求說明書,這是網站建設成功的關鍵所在。
根據各方面的反饋意見進行認真的分析,對網站設計進行準確定位:網站規劃要著重考慮顧客的需求;內容上要以工作內容為主,同時也要為訪問者提供其所關心的內容;內容要求及時更新;版面要求新穎有特色,同時還要增強網站的方便性、整體性和安全性。
(二)系統設計階段
1.網站總體設計
網站設計有了一份詳盡的需求說明書后,就可以根據需求說明書,對網站進行總體規劃,給出一份網站總體建設方案。總體規劃具體要明確網站需要實現的目的和目標;網站形象說明;網站的欄目版塊和結構;網站內容的安排,相互鏈接關系;使用軟件、硬件和技術分析說明;開發時間進度表;維護方案;制作費用;需要遵循的規則和標準有哪些等。
2.網站詳細設計
總體設計階段以比較抽象概括的方式提出解決問題的辦法,具體設計階段的任務就是把解決方法具體化、明確化,設計中應注意的問題有:
(1)網站設計的風格定位。網站要有自己的特色,設計中不要太多地考慮技術問題,而應該更多地考慮不斷增加網站的內涵,要在能夠動態反映情況的內容上下功夫。
(2)網站設計的整體性。網站設計,注意考慮網站的易維護性,技術上多采用CSS、模板等,對網站的整體風格進行定位,方便日常維護與更新。
(3)關鍵技術的研究及應用。網站設計中,怎樣防黑,保護網站內容不被別人竊取、修改是網站建設必須考慮的技術性問題。主要從IIS、ASP和Access三方面來總結網站系統面臨的常見的安全威脅及解決方法。
①集中管理ASP的目錄,設置訪問權限。在設置WEB站點時,將HTMI文件同ASP文件分開放置在不同的目錄下,然后將HTML子目錄設置為“讀”;將ASP子目錄設置為“執行”。
②對IIS中的特殊Web目錄禁止匿名訪問并限制IP地址。對IIS中的sample、scripts、iisadmin等web目錄,通過各目錄屬性對話框中的“目錄安全性”標簽設置為禁止匿名訪問并限制IP地址,并用NTFS的特性設置詳細的安全權限,除了Administrator,其它帳號都應該設置為只讀權限。
③防止Access數據庫被下載。有效地防止數據庫被下載的方法有:非常規命名法:為Access數據庫文件取一個復雜的非常規名字,并把它放在幾層目錄下;使用ODBC數據源:在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中。
④進行數據備份。運用FSO組件對Access數據庫進行備份,以便在數據被破壞時進行快速恢復,盡可能多地挽回損失。
⑤對ASP頁面進行加密。為了有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。加密的方法一般有兩種:一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的Script Encoder對ASP頁面進行加密。
⑥后臺用戶注冊驗證。為了防止后臺用戶未經注冊的用戶繞過注冊界面直接進入應用系統,我們采用Session對象進行注冊驗證:
‘讀取使用者所輸入的用戶名和密碼
Password = Request(“Password”)
IfUserID “hrmis” Or Password “password” Then
Response.Write“用戶名錯誤!”
Response.End
End If
‘將Session對象設置為通過驗證狀態
Session(“Passed”) = True %>
進入應用程序后,首先進行驗證:
If Not Session(“Passed”)Then Response.Redirect“Login.asp”
End If %>
(三)網站測試
有了網站的具體設計方案,各網站制作人員就可以全力進入開發階段。盡量采用邊制作邊調試,即采用本機調試和上傳服務器調試的方法,觀察速度、兼容性、交互性等。
在整個設計網站的過程中,重視網站的“規劃—設計—管理—發展”的規律,實現可持續性發展。動態網站設計與實現是目前網頁設計的主流和時尚技術。其基本技術由基于客戶端的編程和基于服務器端的編程兩部分組成。客戶端的編程語言一般:是采用Javascript腳本語言。而采用VBScript腳本語言結合ASP技術(Active Server Pages)來開發服務器端的內容,可以很好地實現網站網頁豐富的動態效果。
參考文獻
篇(9)
前言:精品課程網站是指通過網絡通信技術等新型技術在網絡環境下開展一系列高質量教學活動。精品課程網站的產生解決了傳統教學模式空間及時間的限制問題,并且為教育開辟了新的道路,使教育資源的利用變得更加廣泛,有效地實現了對傳統教學方式的補充。
1精品課程網站的分析
1.1精品課程網站的建設
從本質上講,精品課程網站的建設其實就是某一課程電子版信息資源庫的建設。精品網站課程為學生的學習提供了一個具有實時特點的平臺,有效地解決了傳統教學在空間和時間方面的限制問題。精品課程網站的建設重點在于對課程的收集和展示,將在線答疑、學習交流、網上自測自評、教學重點以及學術研究等信息集中于一體。
1.2精品課程網站技術方面的分析
精品課程網站系統是一個采用B/S的Web系統,對此,可以在對Java技術進行充分運用的基礎上,充分結合Tomcat等技術,開發出精品課程網站系統的多種功能。在這個過程涉及到的技術主要有:第一,通過Java語言實現精品課程網站客戶端數據的初步認證和過濾;第二,使用用戶名和密碼機制實現安全登錄,通過對用戶類型的不同劃定不同的權限,并運用MDS技術進行加密,保證用戶信息的安全;第三,加深對Web運行環境的了解,尤其是其中Tomcat的安全設置問題和操作功能;第四,運用ECIIPse集成開發平臺,并運用Java語言進行相關開發操作[1]。
2基于Java技術的精品課程網站設計與開發
2.1基于Java技術的精品課程網站設計目標和設計原則
2.1.1基于Java技術的精品課程網站的設計目標
基于Java技術的精品課程網站設計目標是:設計出一個具有齊全功能的界面,它包含實用、高效、維護簡單的Web框架。在設計精品課程網站時,要充分考慮數據的安全性問題,可以通過遠程實時快照對數據進行及時備份,防止數據由于受到自然因素的影響產生相應的破壞。在精品課程網站的數據操作部分,應該對客戶端Web垃圾攻擊的安全性方面進行重點設計。由于精品課程網站的信息有一定的實時性要求,因此,在精品課程網站的管理部分,要設計成能夠通過瀏覽器實施維護的后臺管理系統,以便人們可以更加方便、快捷地通過瀏覽器完成信息、課程內容更新以及管理用戶等操作。在精品課程網站的信息自主方面,應該注重對信息審核功能的設計,保證數據具有一定的可性、安全性以及合理性[2]。
2.1.2基于Java技術的精品課程網站的設計原則
精品課程網站的設計要以滿足高校精品課程建設需求為原則,通過精品課程網站更好地為學生服務。精品課程網站是一個直面學生與教師的輔助教學、學習平臺,因此要求精品課程網站具有便于管理、更新以及擴展的特點。
2.2精品課程網站的登錄功能設計
精品課程網站的登錄功能是針對學生、教師以及管理員而言的。這三者可以通過身份驗證,實現對基本信息的維護以及對自己登錄密碼的修改。當精品課程網站的身份驗證結果顯示用戶是學生,那么網站將允許用戶進行網上實驗互動、參與課程討論、查看系統公告等行為操作;如果精品課程網站的身份驗證結果顯示用戶是教師,那么網站將允許用戶進行課程資料上傳、查看系統公告、課程信息查詢以及參與課程討論等行為操作;如果精品課程網站的身份驗證結果顯示用戶為管理員,那么網站將允許用戶進行網站自測試題和答案的維護、公告信息的維護、課程信息的維護以及論壇信息的維護等行為操作[3]。
2.3精品課程網站的公告欄功能設計
公告欄的內容是由管理員進行操作管理的,管理員的管理功能主要包括對公告的撰寫、修改以及刪除。公告的撰寫包括公告內容和公告標題兩部分,這兩個部分都是必填選項;當公告的內容不符合當前實際時,管理員就需要對公告進行修改。管理員在登錄精品課程網站之后,對需要修改的公告進行選中,即可實現對公告信息的修改操作;當公告內容失效之后,管理員應該及時對公告進行刪除。管理員在登錄精品課程網站之后,對需要刪除的公告進行選中,即可實現對公告的刪除操作[4]。
2.4精品課程網站數據庫的設計
精品課程網站的數據庫要包含學生信息表、自測試題庫表、自測成績表、用戶表以及章節基本信息表等方面的設計。
結論:隨著計算機技術的飛速發展,精品課程網站進入各大高校已經變成一種主流趨勢。基于Java技術的精品課程網站的設計與開發成為目前各大高校教學方式改革的重點,對此,應該在明確精品課程網站設計目標和設計原則的基礎上,運用Java技術更好地實現精品課程網站的登錄功能、公告欄功能以及數據庫等方面的設計和開發,實現精品課程網站在線答疑、學習交流、網上自測自評以及學術研究的目的。
【參考文獻】
[1]王昆鵬. 基于Java技術的精品課程網站設計與開發[D].華東師范大學,2010.
篇(10)
1.1平臺威脅
電子商務是一種有別于傳統交易,依托網絡平臺來開展的新興交易方式,信息傳遞過程中影響信息傳播速度的因素很多,包括電磁輻射干擾和網絡設備老化,情況嚴重時會威脅到交易雙方的信息安全。除了網絡設備的物理干擾和破壞外,一己私利造成的人為商務系統硬件破壞更為嚴重,他們有意更改信息內容,通過這種不法手段獲取經濟利益。
1.2安全環境惡化
發達國家經過多年的發展,技術水平遠遠領先于我國,尤其是在計算機軟硬件技術及網絡安全技術方面。我國硬件核心設備的研發能力不足,核心技術還未取得突破性進展,不得不依靠進口采購。在無法獨立自主生產的情況下,必須依靠國外引進,生產技術和維護技術受到極大的限制,極大影響了我國電子商務的健康發展。
1.3黑客入侵
一些不法分子面對電子商務交易的蓬勃發展,勢必會產生不勞而獲的貪婪心理,利用網絡安全漏洞來攻擊電子商務網站平臺。當前網絡黑客侵入方式使用最普遍的是木馬程序,通過木馬程序侵入本地計算機,使得計算機記錄的登錄信息遭到篡改或泄露,導致重要文件及資金丟失。網絡病毒不可控性很強,其自身繁殖功能十分強大,嚴重損壞計算機文件,還會對計算機的硬件設施造成嚴重破壞,且網絡技術的迅速發展,使計算機病毒的破壞力也隨之增強。
1.4網上支付安全隱患
網上支付是電子商務的核心部分,確保支付安全才能保障電子商務的健康發展,因此,網上支付的規范性、安全性、便捷性及高效性一定程度上決定了電子商務的發展潛力。從電子商務開展的實際支付結構可知,商務系統平臺、安全認證系統、電子支付網關和電子錢包等四個條件必不可少。而安全認證系統是整個電子商務順利開展的重要前提,理由如下:首先,網絡在實際運行中靈活性較強,當前的多種技術手段無法完全應對網絡安全威脅,仍存在較大的問題。其次,雖然各家銀行先后建立了CA認證中心,但這些CA認證中心的權威性不足,無法成為全國性的認證標準,造成重復認證和資源浪費。最后,新《合同法》雖然納入電子合同的法律效用條款,但數字簽名仍存在技術問題,這導致問題出現后的一些復雜法律關系難以解決,如責任認定、責任承擔、有效執行仲裁結果等。
2常見信息安全漏洞防御
2.1結構性查詢語言注入
這是一種用于存取信息數據的數據庫系統,其作用是方便管理人員進行網絡管理和用戶查詢。結構性查詢語言簡稱為SQL,從本質上來說是一種程序設計的、高級的非過程化編程語言,其作用是作為客戶端與數據庫服務器相互溝通的橋梁。因此,SQL是網站設計中安全防御的重點包括以下內容。
2.1.1經典的‘or1=1’注入作為計算機最經典的結構性查詢語言,該注入方式一般不需要用戶名進行驗證,密碼方面也沒有多層輸入的要求,故身份登錄并不會受到用戶名的限制。因此,該注入方式在編寫驗證程序時,通過程序設計使得用戶名輸入時無需驗證,避開非預期字符串的限制,然后將信息直接傳遞給mysql-query()函數執行。這種注入方式跳過了驗證環節,驗證碼正確與否都不干涉用戶名登錄。因此,從信息安全防御角度出發,登錄確認工作是網站設計的重中之重,注意嚴密防范非法用戶登錄。
2.1.2利用union語句的注入Union語句注入的作用機理是,網站設計中注入union會使網站程序默認的語句出錯,網站運行速度受限,或者網頁直接打不開,嚴重時還會引起網站崩潰。結構性查詢語言從理論上來說注入方式較多,從根源上防御各種注入方式才是關鍵。作為計算機工作者,日常網絡維護要認真嚴謹,細心對查詢語句的參數進行過濾,遇到可疑情況及時排查。
2.2跨站腳本攻擊的防范
跨站腳本攻擊,英文全稱為CrossSiteScripting。該腳本通過將惡意代碼植入到用戶的網站頁面,讓用戶登錄與實際網站完全不同的虛假網站。該腳本主要是將JavaScript腳本注入到HTML標簽中進行攻擊,是一種頻繁引發網站設計安全威脅的重要因素。
2.2.1跨站腳本攻擊的探測跨站腳本攻擊是可以及時檢測到的,有助于盡早發現網站設計過程中的問題,語句檢測是判斷跨站腳本攻擊的重要依據。如在輸入框中輸入語句找到其執行的地方,如果發現有彈窗就證明有跨站腳本對軟件進行攻擊。以網站的評論為例,在網站評論頁面的輸入框中寫入相關代碼,完成后進行刷新,若發現瀏覽器的彈出窗口沒有得到禁止,基本可以判斷該網站設計的評論模塊有跨站腳本攻擊過。
2.2.2重新定向一旦發在網站設計過程中存在跨站腳本攻擊的某些漏洞,那么黑客就有多種方式攻擊網站。如可以通過跨站腳本攻擊重新定位新的攻擊網頁,實現刷目標網站流量的目的。舉一個簡單的例子,用戶A發了一個容易構造的URL給用戶B,當用戶B打開后,惡意腳本開始攻擊用戶B的電腦,可以執行前一個用戶A權限下的所有命令。
2.2.3攻擊彈出其他網頁大部分網民瀏覽網頁時都碰到過廣告彈窗的情況,這是電腦黑客通過跨站腳本攻擊的方式,實現攻擊計算機用戶正在瀏覽網頁的目的,從而讓用戶瀏覽其他網頁。針對跨站腳本這種攻擊方式,通常采用特征匹配來進行針對性防御,同時加強認證工作,最大限度避免跨站腳本攻擊的發生。
篇(11)
電子商務是一種有別于傳統交易,依托網絡平臺來開展的新興交易方式,信息傳遞過程中影響信息傳播速度的因素很多,包括電磁輻射干擾和網絡設備老化,情況嚴重時會威脅到交易雙方的信息安全。除了網絡設備的物理干擾和破壞外,一己私利造成的人為商務系統硬件破壞更為嚴重,他們有意更改信息內容,通過這種不法手段獲取經濟利益。
1.2安全環境惡化
發達國家經過多年的發展,技術水平遠遠領先于我國,尤其是在計算機軟硬件技術及網絡安全技術方面。我國硬件核心設備的研發能力不足,核心技術還未取得突破性進展,不得不依靠進口采購。在無法獨立自主生產的情況下,必須依靠國外引進,生產技術和維護技術受到極大的限制,極大影響了我國電子商務的健康發展。
1.3黑客入侵
一些不法分子面對電子商務交易的蓬勃發展,勢必會產生不勞而獲的貪婪心理,利用網絡安全漏洞來攻擊電子商務網站平臺。當前網絡黑客侵入方式使用最普遍的是木馬程序,通過木馬程序侵入本地計算機,使得計算機記錄的登錄信息遭到篡改或泄露,導致重要文件及資金丟失。網絡病毒不可控性很強,其自身繁殖功能十分強大,嚴重損壞計算機文件,還會對計算機的硬件設施造成嚴重破壞,且網絡技術的迅速發展,使計算機病毒的破壞力也隨之增強。
1.4網上支付安全隱患
網上支付是電子商務的核心部分,確保支付安全才能保障電子商務的健康發展,因此,網上支付的規范性、安全性、便捷性及高效性一定程度上決定了電子商務的發展潛力。從電子商務開展的實際支付結構可知,商務系統平臺、安全認證系統、電子支付網關和電子錢包等四個條件必不可少。而安全認證系統是整個電子商務順利開展的重要前提,理由如下:首先,網絡在實際運行中靈活性較強,當前的多種技術手段無法完全應對網絡安全威脅,仍存在較大的問題。其次,雖然各家銀行先后建立了CA認證中心,但這些CA認證中心的權威性不足,無法成為全國性的認證標準,造成重復認證和資源浪費。最后,新《合同法》雖然納入電子合同的法律效用條款,但數字簽名仍存在技術問題,這導致問題出現后的一些復雜法律關系難以解決,如責任認定、責任承擔、有效執行仲裁結果等。
2常見信息安全漏洞防御
2.1結構性查詢語言注入
這是一種用于存取信息數據的數據庫系統,其作用是方便管理人員進行網絡管理和用戶查詢。結構性查詢語言簡稱為SQL,從本質上來說是一種程序設計的、高級的非過程化編程語言,其作用是作為客戶端與數據庫服務器相互溝通的橋梁。因此,SQL是網站設計中安全防御的重點包括以下內容。
2.1.1經典的‘or1=1’注入
作為計算機最經典的結構性查詢語言,該注入方式一般不需要用戶名進行驗證,密碼方面也沒有多層輸入的要求,故身份登錄并不會受到用戶名的限制。因此,該注入方式在編寫驗證程序時,通過程序設計使得用戶名輸入時無需驗證,避開非預期字符串的限制,然后將信息直接傳遞給mysql-query()函數執行。這種注入方式跳過了驗證環節,驗證碼正確與否都不干涉用戶名登錄。因此,從信息安全防御角度出發,登錄確認工作是網站設計的重中之重,注意嚴密防范非法用戶登錄。
2.1.2利用union語句的注入
Union語句注入的作用機理是,網站設計中注入union會使網站程序默認的語句出錯,網站運行速度受限,或者網頁直接打不開,嚴重時還會引起網站崩潰。結構性查詢語言從理論上來說注入方式較多,從根源上防御各種注入方式才是關鍵。作為計算機工作者,日常網絡維護要認真嚴謹,細心對查詢語句的參數進行過濾,遇到可疑情況及時排查。
2.2跨站腳本攻擊的防范
跨站腳本攻擊,英文全稱為CrossSiteScripting。該腳本通過將惡意代碼植入到用戶的網站頁面,讓用戶登錄與實際網站完全不同的虛假網站。該腳本主要是將JavaScript腳本注入到HTML標簽中進行攻擊,是一種頻繁引發網站設計安全威脅的重要因素。
2.2.1跨站腳本攻擊的探測
跨站腳本攻擊是可以及時檢測到的,有助于盡早發現網站設計過程中的問題,語句檢測是判斷跨站腳本攻擊的重要依據。如在輸入框中輸入語句找到其執行的地方,如果發現有彈窗就證明有跨站腳本對軟件進行攻擊。以網站的評論為例,在網站評論頁面的輸入框中寫入相關代碼,完成后進行刷新,若發現瀏覽器的彈出窗口沒有得到禁止,基本可以判斷該網站設計的評論模塊有跨站腳本攻擊過。
2.2.2重新定向
一旦發在網站設計過程中存在跨站腳本攻擊的某些漏洞,那么黑客就有多種方式攻擊網站。如可以通過跨站腳本攻擊重新定位新的攻擊網頁,實現刷目標網站流量的目的。舉一個簡單的例子,用戶A發了一個容易構造的URL給用戶B,當用戶B打開后,惡意腳本開始攻擊用戶B的電腦,可以執行前一個用戶A權限下的所有命令。
2.2.3攻擊彈出其他網頁
大部分網民瀏覽網頁時都碰到過廣告彈窗的情況,這是電腦黑客通過跨站腳本攻擊的方式,實現攻擊計算機用戶正在瀏覽網頁的目的,從而讓用戶瀏覽其他網頁。針對跨站腳本這種攻擊方式,通常采用特征匹配來進行針對性防御,同時加強認證工作,最大限度避免跨站腳本攻擊的發生。
