網(wǎng)頁安全論文范文

時間:2023-03-16 14:39:08

導語:如何才能寫好一篇網(wǎng)頁安全論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網(wǎng)頁安全論文

篇1

網(wǎng)站中有全面的企業(yè)信息,用戶可以通過網(wǎng)站信息對企業(yè)形象和企業(yè)產(chǎn)品有一個全面認識,它是企業(yè)和用戶之間的一種重要交流工具,為企業(yè)和用戶交易活動的達成提供了有力保障。網(wǎng)站是現(xiàn)代企業(yè)發(fā)展的關鍵,也是電子商務的重要表現(xiàn)途徑,具有重要意義。網(wǎng)頁設計工作是網(wǎng)站建設工作的重要組成部分,企業(yè)網(wǎng)站各項內(nèi)容的建設其實質是網(wǎng)頁設計的有機結合,網(wǎng)頁設計質量的高低對網(wǎng)站實際作用效果的好壞有直接影響。ASP、PHP或JSP等腳本語言是網(wǎng)頁設計較為常用的服務器端網(wǎng)頁設計技術,ASP、PHP或JSP等腳本語言的應用為網(wǎng)站技術開發(fā)人員的開發(fā)工作提供了便利,使網(wǎng)站資源的管理更為高效、便捷,促進了用戶與網(wǎng)站之間的溝通交流,用戶通過網(wǎng)站可以及時了解企業(yè)動向、參與企業(yè)的論壇交流、企業(yè)產(chǎn)品相關信息、在線調查以及貿(mào)易合作等。企業(yè)與用戶之所以可以通過網(wǎng)站進行交互是通過腳本語言編程技術實現(xiàn)的,腳本語言編程一旦出現(xiàn)問題,就會對網(wǎng)站造成不同程度的威脅,形成相應的安全缺陷,為企業(yè)內(nèi)部信息帶來巨大風險。用戶輸入什么信息內(nèi)容是無法預測的,具有不可控性,在網(wǎng)頁設計過程中如果開發(fā)人員對用戶輸入的信息內(nèi)容考慮不全面或未考慮該方面內(nèi)容,對網(wǎng)站來說此用戶所輸入的內(nèi)容很可能成為一種攻擊企業(yè)網(wǎng)站的危險工具,對企業(yè)網(wǎng)站的正常運行造成不利影響。企業(yè)網(wǎng)絡服務器與ASP、PHP或JSP等網(wǎng)頁腳本語言編程是直接相連的,網(wǎng)頁腳本語言還與網(wǎng)站設置、網(wǎng)站數(shù)據(jù)庫有著密切關聯(lián),腳本語言編程一旦出現(xiàn)問題,就會使整個網(wǎng)站存在安全缺陷,牽連甚廣,企業(yè)網(wǎng)頁受到攻擊之后可能導致企業(yè)內(nèi)部信息被竊取甚至造成整個網(wǎng)絡癱瘓的不良后果,給企業(yè)帶來巨大損失。

2對網(wǎng)頁設計常見安全漏洞的分析及相應的解決方案

2.1登陸驗證中存在的安全漏洞及解決方案登錄驗證是聊天室、信息網(wǎng)會員區(qū)、論壇等交互性網(wǎng)站中必不可少的一部分,雖然在整個網(wǎng)站運行中登陸驗證只是其中的一小部分,卻對整個網(wǎng)絡的安全運行至關重要,它是整個網(wǎng)站的安全之口。在網(wǎng)頁設計過程中,開發(fā)人員常常忽略掉這一環(huán)節(jié)的設計工作。網(wǎng)站開發(fā)人員編程的不嚴謹致使當前很多企業(yè)網(wǎng)站都存在登陸驗證的安全漏洞,安全關口驗證程序的不到位為網(wǎng)絡安全埋下了巨大隱患,會讓不法分子有機可趁,為企業(yè)造成不必要的損失。針對登陸驗證漏洞問題,我們采取了以下解決方案:通過注冊限制的設定有效避免非法賬戶密碼的申請,對解決以上問題非常有效;其次,在SQL登陸查詢語句生成之前,先對用戶信息進行過濾(用戶名和用戶密碼),避免非法賬號密碼的應用;最后,在對用戶進行驗證之前,先驗證用戶的用戶名是否合乎標準,確認用戶名屬實后,在對密碼進行驗證。

2.2桌面數(shù)據(jù)庫安全漏洞及解決方案在ASP+Access應用系統(tǒng)中,網(wǎng)站一般會為用戶提供部分信息的下載權限,如果用戶知道Access數(shù)據(jù)庫的數(shù)據(jù)庫名和存儲路徑,就可以將其他信息也下載下來,就會造成數(shù)據(jù)的流失。多數(shù)網(wǎng)上圖書館Access數(shù)據(jù)庫的存儲路徑多以根目錄“(URL/”)下或“URL/database”為主,該類數(shù)據(jù)庫通常會被命名為Library.mdb或與之相關的名稱。用戶了解該信息之后,只需在瀏覽器中輸入“URL/database/Li-brary.mdb”或相關地址信息,就可以進入網(wǎng)上圖書館,并將圖書館中的其他信息下載到用戶本地電腦中。為解決桌面數(shù)據(jù)庫安全漏洞問題,在網(wǎng)站設計中,ASP程序應該采用ODBC數(shù)據(jù)源,通過采用ODBC數(shù)據(jù)源可以有效避免數(shù)據(jù)庫名稱直接出現(xiàn)在運行程序中的問題,ASP源代碼即使出現(xiàn)泄漏問題,數(shù)據(jù)庫名稱也不會因此而被竊取或流失,為網(wǎng)站的安全運行提供了有力保障。以下一段ASP程序代碼就是利用一般數(shù)據(jù)庫編寫的:DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果該段ASP源代碼失密后,數(shù)據(jù)庫相關信息也會被竊取,用戶可以輕易將數(shù)據(jù)庫信息下載下來。如果ASP程序代碼利用ODBC數(shù)據(jù)庫編寫,則不會存在conn.ope“nODBC-DSN名,ASP源代碼即使出現(xiàn)泄漏問題,數(shù)據(jù)庫名稱也不會因此而被竊取或流失。

2.3繞過驗證直接進入相關頁面的漏洞及解決方案在進入某些敏感頁面前,系統(tǒng)首先會對用戶進行身份驗證,如果用戶知道了與敏感頁面相關的網(wǎng)頁設計頁面的路徑及文件名,并且該頁面又沒有設置驗證程序,此時用戶只要輸入該設計頁面的文件名就可以進入設計頁面,成功繞過登陸驗證界面的篩選。為提高網(wǎng)站安全性能,開發(fā)設計人員必須對與之相關的頁面設置身份驗證程序,對用戶進行身份驗證。

2.4文件上傳漏洞及解決方案同學錄、交友網(wǎng)站等類似網(wǎng)站系統(tǒng)都有文件上傳功能,企業(yè)通過網(wǎng)站文件上傳可以進一步增進與用戶間的交流互動,但網(wǎng)站開發(fā)者對用戶所提交的信息缺乏充分的分析和必要的過濾,很多惡意攻擊者會利用這一漏洞在網(wǎng)站上上傳病毒文件、惡意文件等不良信息,這些有毒文件可能會對系統(tǒng)數(shù)據(jù)庫造成不同程度的損壞,某些網(wǎng)站攻擊者甚至以Web權限在系統(tǒng)上執(zhí)行任意命令。通過加入文件類型判斷模塊可以有效解決文件上傳漏洞,對用戶上傳文件進行充分的分析和必要的過濾。當系統(tǒng)要求用戶上傳圖片文件,用戶只能以系統(tǒng)指定的JPG、GIF文件格式才被允許上傳,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允許上傳的。

2.5源代碼泄露漏洞及解決方案為有效避免源代碼被竊取、遭泄露的威脅,開發(fā)者在網(wǎng)站設計過程中應該對頁面代碼進行加密處理,使網(wǎng)站的整體安全性能得到大幅度提高。ASP網(wǎng)頁加密方法一般包括以下兩種:通過采用微軟的ScriptEncoder對ASP網(wǎng)站頁面進行加密;通過采用組件技術將編程邏輯封裝到DLL當中,防止信息的丟失。當采用組件技術方案時必須對每段代碼均需組件化,該項方案的工作量較大、操作較為煩瑣,與之相比ScriptEncoder加密方案具有成效佳、操作簡單等顯著優(yōu)點,將其用于解決源代碼泄露漏洞問題可以取得較好的效果,其優(yōu)點主要有:HTML具有較好的可編輯性,系統(tǒng)其他部分無需變化,ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼,通過采用Dreamweaver或FrontPage等常用網(wǎng)頁編輯工具對HTML部分進行修改、完善;ScriptEncoder具有制作簡單的優(yōu)點,通過幾個簡單命令行參數(shù)即可完成多功能操作。

3總結

篇2

摘要:當前,在公眾移動通信持續(xù)快速增長、移動通信網(wǎng)絡向3G全面演進的同時,WLAN、UWB、Zig-Bee、RFID等新的寬帶無線接入技術和短距離無線技術相繼涌現(xiàn),并不斷走向成熟。無線網(wǎng)絡逐漸深入到各規(guī)模的企業(yè)中,通過無線方式傳輸數(shù)據(jù)使得企業(yè)內(nèi)部網(wǎng)業(yè)務更加靈活的開展,不再局限于網(wǎng)線與墻面的接插面板,而無線傳輸標準也在近日有了比較大的改進,但是無線網(wǎng)絡或多或少存在著一定的安全隱患問題,對于企業(yè)已經(jīng)建立的無線網(wǎng)絡又該如何保證他的安全,讓我們的企業(yè)網(wǎng)絡更加安全。

關鍵詞:無線;網(wǎng)絡安全;解決策略

伴隨著無線網(wǎng)絡設備的價格不斷走低,以及操作上的越來越簡便,無線局域網(wǎng)網(wǎng)絡在最近幾年企業(yè)中得到了快速普及。為了方便進行資源共享、無線打印、移動辦公操作,只要耗費幾百元錢購買一臺普通的無線路由器和一塊無線網(wǎng)卡設備,就可以快速地搭建好一個簡易的無線局域網(wǎng)網(wǎng)絡了。在這種情形下由于無線網(wǎng)絡的特點,使本地無線局域網(wǎng)就非常容易遭遇插入攻擊、欺詐性接入、無線通信的劫持和監(jiān)視等非法攻擊。

1無線網(wǎng)絡安全產(chǎn)生因素

1.1安全機制不太健全

企業(yè)無線局域網(wǎng)大部分都采用了安全防范性能一般的WEP協(xié)議,來對無線上網(wǎng)信號進行加密傳輸,而沒有選用安全性能較高的WAP協(xié)議來保護無線信號的傳輸。普通上網(wǎng)用戶即使采用了WEP加密協(xié)議、進行了WEP密鑰設置,非法攻擊者仍然能通過一些專業(yè)的攻擊工具輕松破解加密信號,從而非常容易地截取客戶上網(wǎng)地址、網(wǎng)絡標識名稱、無線頻道信息、WEP密鑰內(nèi)容等信息,有了這些信息在手,非法攻擊者就能方便地對本地無線局域網(wǎng)網(wǎng)絡進行偷竊隱私或其他非法入侵操作了。

此外,企業(yè)無線局域網(wǎng)幾乎都不支持系統(tǒng)日志管理、入侵安全檢測等功能,可以這么說企業(yè)無線局域網(wǎng)目前的安全機制還不太健全。

1.2無法進行物理隔離

企業(yè)無線局域網(wǎng)從組建成功的那一刻,就直接暴露在外界,無線網(wǎng)絡訪問也無法進行任何有效的物理隔離,各種有意的、無意的非法攻擊隨時存在,那么無線局域網(wǎng)中的各種隱私信息也會隨時被偷偷竊取、訪問。

1.3用戶安全意識不夠

企業(yè)無線局域網(wǎng)往往只支持簡單的地址綁定、地址過濾以及加密傳輸功能,這些基本安全功能在非法攻擊者面前幾乎沒有多大防范作用。不過,一些不太熟悉無線網(wǎng)絡知識的用戶為了能夠快速地實現(xiàn)移動辦公、資源共享等目的,往往會毫不猶豫地選用組網(wǎng)成本低廉、管理維護操作簡便的企業(yè)無線局域網(wǎng),至于無線局域網(wǎng)的安全性能究竟如何,相信這些初級上網(wǎng)用戶幾乎不會進行任何考慮。再加上這些不太熟悉無線網(wǎng)絡知識的初級用戶,對網(wǎng)絡安全知識了解得更少了,這些用戶在使用無線網(wǎng)絡的過程中很少有意識去進行一些安全設置操作。

1.4抗外界干擾能力差

無線局域網(wǎng)在工作的過程中,往往會選用一個特定的工作頻段,在相同的工作頻段內(nèi)無線網(wǎng)絡過多時,信號覆蓋范圍會互相重疊,這樣會嚴重影響有效信號的強弱,最終可能會影響無線局域網(wǎng)的信號傳輸穩(wěn)定性;此外,無線上網(wǎng)信號在傳輸過程中,特別容易受到墻體之類的建筑物的阻擋或干擾,這樣也會對無線局域網(wǎng)的穩(wěn)定性造成一定的影響。對于那些企業(yè)的無線局域網(wǎng)來說,它的抗外界干擾能力就更差了,顯然這樣的無線局域網(wǎng)是無法滿足高質量網(wǎng)絡訪問應用要求的。

2企業(yè)無線解決策略。

無線網(wǎng)絡的安全性與有線網(wǎng)絡相差無幾。在許多辦公室中,入侵者可以輕易地訪問并掛在有線網(wǎng)絡上,并不會產(chǎn)生什么問題。遠程攻擊者可以通過后門獲得對網(wǎng)絡的訪問權。一般的方案可能是一個端到端的加密,并對所有的資源采用獨立的身份驗證,這種資源不對公眾開放。正因為無線網(wǎng)絡為攻擊者提供了許多進入并危害企業(yè)網(wǎng)絡的機會,所以也就有許多安全工具和技術可以幫助企業(yè)保護其網(wǎng)絡的安全性。

防火墻:所謂防火墻指的是一個有軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。一個強健的防火墻可以有效地阻止入侵者通過無線設備進入企業(yè)網(wǎng)絡的企業(yè)。

安全標準:最早的安全標準WEP已經(jīng)被證明是極端不安全的,并易于受到安全攻擊。而更新的規(guī)范,如WPA、WPA2及IEEE802.11是更加強健的安全工具。IEEE802.11和RADIUS鑒權通過使用IEEE802.11標準中規(guī)定的MAC層方法或使用RADIUS等高層方法可對與無線網(wǎng)絡相關的終端站進行鑒權。IEEE802.11標準支持MAC層鑒權業(yè)務的兩個子層:開放系統(tǒng)和共享密鑰。開放系統(tǒng)鑒權是設定鑒權服務,是終端站間彼此通信或終端站與接入點間通信的理想選擇。802.11共享密鑰鑒權容易受到攻擊,且不符合Wi-Fi標準。

WPA、WPA2及IEEE802.11i持內(nèi)置的高級加密和身份驗證技術。WPA2和802.11都提供了對AES(高級加密標準)的支持,這項規(guī)范已為許多政府機構所采用。采用無線網(wǎng)絡的企業(yè)應當充分利用這兩種技術中的某一種。

漏洞掃描:許多攻擊者利用網(wǎng)絡掃描器不斷地發(fā)送探查鄰近接入點的消息,如探查其SSID、MAC等信息。而企業(yè)可以利用同樣的方法來找出其無線網(wǎng)絡中可被攻擊者利用的漏洞,如可以找出一些不安全的接入點等。

基于網(wǎng)絡的漏洞掃描。基于網(wǎng)絡的漏洞掃描器,就是通過網(wǎng)絡來掃描遠程計算機中TCP/IP不同端口的服務,然后將這些相關信息與系統(tǒng)的漏洞庫進行模式匹配,如果特征匹配成功,則認為安全漏洞存在;或者通過模擬黑客的攻擊手法對目標主機進行攻擊,如果模擬攻擊成功,則認為安全漏洞存在。

基于主機的漏洞。主機漏洞掃描則通過在主機本地的程序對系統(tǒng)配置、注冊表、系統(tǒng)日志、文件系統(tǒng)或數(shù)據(jù)庫活動進行監(jiān)視掃描,搜集他們的信息,然后與系統(tǒng)的漏洞庫進行比較,如果滿足匹配條件,則認為安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻擊者能夠獲取root權限,侵入系統(tǒng)或者攻擊者能夠在遠程計算機中執(zhí)行惡意代碼。使用基于網(wǎng)絡的漏洞掃描工具,能夠監(jiān)測到這些低版本的DNSBind是否在運行。一般來說,基于網(wǎng)絡的漏洞掃描工具可以看作為一種漏洞信息收集工具,根據(jù)不同漏洞的特性,構造網(wǎng)絡數(shù)據(jù)包,發(fā)給網(wǎng)絡中的一個或多個目標服務器,以判斷某個特定的漏洞是否存在。

降低功率:使無線接入點保持封閉安全的第一步是正確放置天線,從而限制能夠到達天線有效范圍的信號量。天線的理想位置是目標覆蓋區(qū)域的中心,并使泄露到墻外的信號盡可能的少。同時,仔細地調整天線的位置也可有助于防止信號落于非法用戶手中。不過,完全控制無線信號是幾乎不可能的,所以還需要同時采取其它一些措施來保證網(wǎng)絡安全。其中降低發(fā)射器的功率,從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。

用戶管理:企業(yè)要教育雇員正確使用無線設備,要求雇員報告其檢測到或發(fā)現(xiàn)的任何不正常或可疑的活動。“科技以人為本”要加強所有雇員的安全防范意識,才能使企業(yè)無線網(wǎng)絡安全防護真正實施。

當然,不能說這些保護方法是全面而深入的,因為無線網(wǎng)絡的弱點是動態(tài)的,還有很多,如對無線路由器的安全配置也是一個很重要的方面。所以無線網(wǎng)絡安全并不是一蹴而就的事情。

結束語:管理制度要與時俱進,而無線網(wǎng)絡安全技術也是如此,為了企業(yè)能夠更好的使用無線網(wǎng)絡,享受新無線標準帶來的高信號覆蓋,高速度傳輸?shù)确矫娴臉啡?企業(yè)網(wǎng)絡管理員也應該實實在在的學會針對無線網(wǎng)絡的安全管理,讓企業(yè)網(wǎng)絡特別是無線傳輸更加安全,將病毒與黑客入侵阻擋在無線信號大門之外。

參考文獻

[1]《無線網(wǎng)絡技術導論》作者:汪濤主編出版社:清華大學出版社

[2]《計算機網(wǎng)絡與Internet教程[M]》.張堯學,王曉春,趙艷標,等.北京:清華大學出版社,2001.

篇3

在計算機網(wǎng)絡迅猛發(fā)展和廣泛普及的時代,企業(yè)的各種經(jīng)營活動都立足于計算機網(wǎng)絡平臺,因此網(wǎng)絡安全一旦受到威脅,企業(yè)將面臨直接的經(jīng)濟損失,更有可能給社會和整個國家?guī)砭薮蟮陌踩[患?,F(xiàn)階段,我國的大中型企業(yè)隨著業(yè)務的不斷壯大,網(wǎng)絡規(guī)模也不斷擴充。有些企業(yè)各地都有分公司,在不同的區(qū)域都建有局域網(wǎng),這樣一個分布全國各地的龐大的網(wǎng)絡體系就成為企業(yè)運行的技術保障。這種企業(yè)的網(wǎng)絡安全更需要強有力的保障,否則一旦出現(xiàn)問題便有可能帶來災難性的后果。

1.1Internet的安全性

互聯(lián)網(wǎng)是把雙刃劍,在給企業(yè)帶來極大便利的同時,也不可避免地給企業(yè)的運營帶來了極大風險。因為黑客與病毒無孔不入,稍有疏漏,就可能使整個網(wǎng)絡遭受攻擊,并帶來不可逆轉的損害。因此,建立科學的網(wǎng)絡體系,保障系統(tǒng)網(wǎng)絡安全迫在眉睫。

1.2大中型企業(yè)內(nèi)網(wǎng)的安全性

ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)已經(jīng)在企業(yè)中得到普遍性應用,隨之而來的就是企業(yè)對這些系統(tǒng)的高依賴性。這樣帶來的另一個問題是內(nèi)網(wǎng)面臨的風險。內(nèi)網(wǎng)運行穩(wěn)定、可靠、可控才能保障日常生產(chǎn)和辦公的進行,一定程度上,將內(nèi)網(wǎng)信息網(wǎng)絡比作企業(yè)的生命線也不為過。這個內(nèi)網(wǎng)同時由大量終端設備,大中小型服務器,各種網(wǎng)絡設備構成,這個其中每一個部分都要確保正常工作,否則一點小問題都有可能引發(fā)網(wǎng)絡的停滯甚至癱瘓。但目前大中型企業(yè)的內(nèi)網(wǎng)安全依然存在很多安全隱患,主要表現(xiàn)為以下幾種情形:對外服務器缺少安全防護遭到黑客攻擊;員工上網(wǎng)過程缺乏有效監(jiān)管,一方面會造成網(wǎng)絡安全隱患,另一方面也影響工作效率;此外還有一些內(nèi)部的服務器被非法訪問,造成企業(yè)信息的外泄。

2大中型石油企業(yè)信息網(wǎng)絡安全威脅及安全體系構建

2.1大中型石油企業(yè)面臨的信息網(wǎng)絡安全威脅

進入21世紀以來,大中型石油企業(yè)對數(shù)字化信息網(wǎng)絡建設可謂不遺余力,軟硬件的建設開發(fā)中,信息網(wǎng)絡的安全性卻未得到足夠的重視。由于對網(wǎng)絡安全防護重視程度不夠,我國的大中型石油企業(yè)長期飽受網(wǎng)絡安全的困擾。有相關調查顯示,我國企業(yè)中,約有41%經(jīng)常受到惡意軟件和間諜的入侵,63%的企業(yè)經(jīng)常遭受病毒或蠕蟲攻擊。而就大中型石油企業(yè)而言,不僅面臨著外部病毒的攻擊,同時內(nèi)部人員的信息泄露也考驗著企業(yè)的網(wǎng)絡安全。由于員工信息安全意識淡薄,上網(wǎng)過程又缺乏有效監(jiān)管,在員工無意識的情況下,就可能引起發(fā)一系列問題。比如,企業(yè)機密信息的泄露,各種垃圾郵件的充斥,各種網(wǎng)絡病毒的侵襲,黑客的攻擊等等,這些問題隨著信息化的發(fā)展進程和企業(yè)經(jīng)濟發(fā)展利益競爭白熱化,成為大中型石油企業(yè)最為棘手的問題。

2.2大中型石油企業(yè)網(wǎng)絡安全體系的全方位構建

隨著網(wǎng)絡攻擊的多元化,攻擊方式也是五花八門。傳統(tǒng)的只針對網(wǎng)絡層面以下的安全對策已經(jīng)不足以應對如今復雜的網(wǎng)絡安全情況,企業(yè)必須要建立起多層次多元化的安全體系才能有效提升企業(yè)網(wǎng)絡信息安全指數(shù)。大中型石油企業(yè)信息網(wǎng)絡安全的五個重要組成:物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、信息安全。

1)物理安全。物理安全是整個網(wǎng)絡系統(tǒng)安全的前提,物理安全旨在為企業(yè)提供一個安全可靠的物理運行環(huán)境,這個更多指對企業(yè)相應硬件設施的安全防護,比如,企業(yè)服務器、數(shù)據(jù)介質、數(shù)據(jù)庫等、

2)鏈路安全。鏈路安全指的是信息輸送通道。數(shù)據(jù)傳輸過程中能夠確保內(nèi)容安全、可靠、可控、能有效抵御攻擊。常見的幾種數(shù)據(jù)鏈路層安全攻擊有MAC地址擴散、ARP攻擊與欺騙、DHCP服務器欺騙與DHCP地址耗盡、IP地址欺騙。

3)網(wǎng)絡安全。這主要針對于系統(tǒng)信息方面。這個是涵蓋范圍相對廣泛的一個方面。比如,用戶口令鑒別,計算機病毒防治,用戶存取權限控制,數(shù)據(jù)存取權限,數(shù)據(jù)加密等都屬于網(wǎng)絡安全范疇。

4)系統(tǒng)安全。系統(tǒng)的正常運行是企業(yè)日常生產(chǎn)和運行的根本保障。但是,系統(tǒng)出現(xiàn)崩潰、損壞的風險依然存在,這就需要能夠有一套有效的風險預防機制和辦法。能夠確保系統(tǒng)崩潰時對相關信息實現(xiàn)最大化備份,同時能夠具備保密功能,防止系統(tǒng)崩潰后的信息外漏。

5)信息安全。這就要分信息的傳播安全和信息的內(nèi)容安全。很大程度上是對不良信息的有效過濾和攔截。側重于對非法、有害信息可能造成的不良后果的有效遏止。信息內(nèi)容角度更側重于對信息保密性、真實和完整的保護,防止網(wǎng)絡黑客對信息的截留、篡改和刪除等手段來達到損害企業(yè)利益的行為,本質上是對企業(yè)利益和隱私的保護。

2.3大中型石油企業(yè)安全設計的基本原則

信息保密性、真實性、完整性、未授權拷貝、寄生系統(tǒng)的安全性等五個方面的內(nèi)容構成了信息安全的整體統(tǒng)一。信息安全的原則也就指明了大中型石油企業(yè)“數(shù)字化”網(wǎng)絡建設安全設計的基本原則。

1)保密性:對授權用戶的保護和對非授權用戶的防止,信息利用的用戶、實體的專屬性。

2)完整性:信息的輸入和傳輸要確保完整,防止非法的篡改或者破壞,保證數(shù)據(jù)的穩(wěn)定和一致。

3)可用性:針對授權用戶而言要確保其合理使用的特性。

4)可控性:信息能夠在處理、傳遞、存儲、輸入、輸出等環(huán)節(jié)中有可控能力。

3大中型石油企業(yè)網(wǎng)絡信息安全風險漏洞的成因及一些防范措施

網(wǎng)絡信息流量幾何式增長,大中型石油企業(yè)信息資源對系統(tǒng)的應用也日漸成熟,生產(chǎn)經(jīng)營數(shù)據(jù)也日益增多。與此同時,國內(nèi)大中型石油企業(yè)信息系統(tǒng)安全問題日益突出。因而,如何保障大中型石油企業(yè)信息數(shù)據(jù)安全,全面建立安全保障體系,這就顯得愈發(fā)重要。應從內(nèi)因和外因上進行分析和預防。內(nèi)因上,處于方向性決策的管理層對網(wǎng)絡信息安全的防護意識不強,不夠重視。這類人群往往關注的是信息化進程給企業(yè)帶來的收益,對于安全隱患和潛在的威脅卻往往忽視。此外,在信息化發(fā)展進程中,大中型石油企業(yè)在數(shù)據(jù)化硬件建設中容易競爭對比,但是對于數(shù)據(jù)的管理安全性建設要求不高。其次,網(wǎng)絡信息安全建設不是一蹴而就的,相反是一個長期過程,需要不斷進行系統(tǒng)補丁的更新。其一,信息系統(tǒng)連接于因特網(wǎng),開放的網(wǎng)絡環(huán)境帶來的是企業(yè)信息安全的脆弱。其二,大中型石油企業(yè)信息化建設往往求新不求穩(wěn)。云計算,物聯(lián)網(wǎng),只要是當下發(fā)展流行技術都會上馬,而不充分考慮技術的實際應用于企業(yè)的現(xiàn)實貼合。多系統(tǒng)的復雜應用帶來的是更多、更高的系統(tǒng)漏洞風險。再次,大中型石油企業(yè)在信息安全技術團隊建設上海相對滯后,缺乏強有力的信息安全維護團隊帶來的是企業(yè)信息安全的高風險。這往往是因為大中型石油企業(yè)往往將預算優(yōu)先分配于能夠直接帶來經(jīng)濟效益的生產(chǎn)方面,對于見不到短期回報的信息安全防護支出是能少則少。然而,一旦企業(yè)信息泄露帶來的可能是災難性的后果,因而,有水平有業(yè)務能力的專業(yè)信息安全維護隊伍建設至關重要。外因上,一些不可抗力造成的硬件設備損壞,外部對企業(yè)信息的攻擊,相關法律法規(guī)還不夠健全等等因素都是影響企業(yè)信息安全的外因。因而,加強大中型石油企業(yè)的安全防范可從四個方面著手。在機制層面,第一,管理層要對信息安全有強意識,第二,信息安全意識要滲透到整個企業(yè)。進而建立企業(yè)信息安全管理、運行、檢測體系。另外,在面對一些風險來臨之時,能夠有有效的應急機制加以應對。在技術面,技術指標相對可量化,過硬的技術實力是保證大中型石油企業(yè)信息安全的關鍵,所以說,提高對信息安全水平的投資力度,建設高水平,高素質的技術隊伍顯得尤為重要。在系統(tǒng)安全性建設層面,大中型石油企業(yè)在信息系統(tǒng)安全性建設之初就要結合企業(yè)實際充分考慮信息系統(tǒng)需要的安全保護等級以及架構建設,對后期風險能夠有科學的分析與控制建議。在企業(yè)人員素養(yǎng)層面,大中型石油企業(yè)能夠在技術層面實現(xiàn)對企業(yè)信息安全的保障,就需要企業(yè)能夠有具備專業(yè)技術業(yè)務水準的網(wǎng)絡信息技術安全人員隊伍。從設計到操作到運維都離不開專業(yè)的技術人員。這些網(wǎng)絡管理技術人員還要能夠在后期不斷得到組織和學習,不斷得到新的知識補充,能夠讓這些技術人員時刻與最前沿的IT科技接軌。

4結束語

篇4

(1)內(nèi)網(wǎng)網(wǎng)絡結構不健全。

現(xiàn)階段,我國的供電企業(yè)內(nèi)網(wǎng)網(wǎng)絡結構不夠健全,未能達成建立在供電企業(yè)內(nèi)部網(wǎng)絡信息化的理想狀態(tài)。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)。但隨著各類信息系統(tǒng)不斷上線投運,財務、營銷、生產(chǎn)各專業(yè)都有相關的信息系統(tǒng)投入應用,相對薄弱的網(wǎng)絡系統(tǒng)必將成為整個信息管理模式的最短板。

(2)存在于網(wǎng)絡信息化機構漏洞較多。

目前在我國供電企業(yè)中,網(wǎng)絡信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡的各類系統(tǒng)對于關鍵流程流轉、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責執(zhí)行和管理。網(wǎng)絡信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業(yè)信息網(wǎng)絡安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡病毒的出現(xiàn),就會對企業(yè)內(nèi)部計算機進行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡一個有機可乘的機會,對計算機系統(tǒng)進行惡意破壞,導致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關文件,篡改供電系統(tǒng)相關數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。

(3)職工安全防范意識不夠。

想要保證我國網(wǎng)絡信息的安全,就必須要提高供電企業(yè)員工的綜合素質,目前國內(nèi)供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應對突發(fā)事件應對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡技術相脫軌。

2網(wǎng)絡信息安全管理在供電企業(yè)中的應用

造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設備上的信息安全威脅,另一方面就是外界網(wǎng)絡惡意的攻擊其中以外界攻擊的方式存在的較多?,F(xiàn)階段我國供電企業(yè)的相關部門都在使用計算機對網(wǎng)絡安全進行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系,及時更新網(wǎng)絡防病毒軟件,針對性地引進遠程協(xié)助設備,提高警報設備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經(jīng)歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術的操控,國家相關部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡技術促使安全策略、安全服務和安全機制的相結合,大力開發(fā)信息網(wǎng)絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。

3結語

篇5

關鍵詞: 廣東高校; 人文社會科學期刊; 網(wǎng)站建設; 現(xiàn)狀; 調查分析

中圖分類號: g237.5 文獻標識碼: a 文章編號: 1009-055x(2012)04-0120-04

計算機和網(wǎng)絡技術的飛速發(fā)展, 使期刊的組稿、投稿、審稿、編輯、出版?zhèn)鞑ゼ伴喿x方式與途徑經(jīng)歷了重大的變革, 期刊數(shù)字化、網(wǎng)絡化成為紙質期刊生存發(fā)展的必然趨勢。建立獨立網(wǎng)站, 通過大型期刊全文數(shù)據(jù)庫(如中國知網(wǎng)、萬方數(shù)字化期刊群、維普資訊網(wǎng)等)和中國科技論文在線實現(xiàn)全文上網(wǎng), 可以使紙質期刊通過互聯(lián)網(wǎng)傳播得更快、更遠、更廣, 影響力更大, 宣傳效果更好。

據(jù)統(tǒng)計, 廣東高?,F(xiàn)有20家人文社會科學期刊。為了解這些期刊的網(wǎng)站建設現(xiàn)狀, 筆者對這20家期刊的網(wǎng)站進行調查, 重點考察網(wǎng)站建設的總體狀況, 網(wǎng)站提供有關期刊信息、稿件在線處理功能、期刊內(nèi)容等方面的特點, 并就建設和管理期刊網(wǎng)站提出了改進建議, 以期為期刊的數(shù)字化、網(wǎng)絡化建設提供參考。

一、 調查對象與調查方法

調查時段為2012年4月期間。所調查的20家人文社會科學期刊為: 《中山大學學報(社會科學版)》、《華南理工大學學報(社會科學版)》、《華南師范大學學報(社會科學版)》、《華南農(nóng)業(yè)大學學報(社會科學版)》、《暨南學報(哲學社會科學版)》、《華文教學與研究》、《深圳大學學報(人文社會科學版)》、《現(xiàn)代外語》、《國際經(jīng)貿(mào)探索》、《廣東外語外貿(mào)大學學報》、《廣東商學院學報》、《廣東金融學院學報》、《政法學刊》、《廣東工業(yè)大學學報(社會科學版)》、《廣州大學學報(社會科學版)》、《廣州體育學院學報》、《美術學報》、《汕頭大學學報(社會科學版)》、《佛山科學技術學院學報(社會科學版)》、《五邑大學學報(社會科學版)》, 使用搜狐、百度、谷歌網(wǎng)絡搜索引擎在互聯(lián)網(wǎng)上按照刊名或主辦單位進行搜索, 訪問期刊網(wǎng)站, 記錄期刊網(wǎng)站的基本情況并進行統(tǒng)計分析。

二、 調查結果與分析

(一)網(wǎng)站建設的總體狀況

在調查的20家人文社會科學期刊中, 有14家期刊建立了獨立網(wǎng)站(不包括在中國知網(wǎng)、萬方數(shù)字化期刊群、維普資訊網(wǎng)等大型期刊全文數(shù)據(jù)庫上網(wǎng))。其中有2家期刊可以在線處理稿件(在線投稿、查稿、審稿等), 但網(wǎng)站的大部分欄目內(nèi)容還沒有添加; 有8家期刊網(wǎng)站提供的信息量較大, 信息、稿件在線處理系統(tǒng)、網(wǎng)刊、綜合服務的功能較為齊全, 網(wǎng)站的質量較高, 編輯部能夠根據(jù)期刊自身的特色和要求進行欄目設置, 但這類網(wǎng)站需要編輯部投入一定的資金和人力進行定期維護、更新。

沒有獨立網(wǎng)站的6家期刊中, 有1家期刊使用了中國知網(wǎng)的新版期刊門戶網(wǎng)站; 有4家期刊在主辦單位網(wǎng)站上開通了一個用于介紹刊物基本信息的網(wǎng)頁, 但這些網(wǎng)頁所刊登的信息量很有限(僅有期刊簡介、主管單位、主辦單位、編委會、編輯部聯(lián)系方式等), 而且網(wǎng)頁信息幾乎沒有更新或很少更新過, 有2家期刊還提供了一些過刊目錄, 如《華文教學與研究》; 有1家期刊既沒有獨立網(wǎng)站也沒有使用中國知網(wǎng)的期刊門戶網(wǎng)站。因此, 從總體上來說, 這些期刊普遍重視獨立網(wǎng)站的建設, 70%的期刊建立了自己的網(wǎng)站。

(二)有關期刊信息的情況

在14家期刊的獨立網(wǎng)站上有關期刊信息的統(tǒng)計結果(見表1)表明, 期刊獨立網(wǎng)站能夠比紙質期刊提供給讀者更多的有關期刊信息, 因而起到了更好地宣傳期刊、為作者和讀者服務的目的。

(三)使用稿件在線處理系統(tǒng)的情況

稿件在線處理系統(tǒng)具有作者在線投稿/查稿、專家在線審稿、編輯在線辦公等功能, 使作者能夠以在線方式更加方便快捷地投稿和了解稿件的狀態(tài), 使審稿專家能夠以在線的形式迅速地接收和處理稿件, 在規(guī)范稿件處理流程和提高每個稿件處理流程的運行效率的同時, 加強了各流程之間的銜接與配合, 提高了編輯出版效率, 縮短稿件的處理周期

出版周期[1]。

在14家期刊的獨立網(wǎng)站上, 有12家期刊網(wǎng)站能同時實現(xiàn)作者在線投稿/查稿、專家在線審稿、編輯在線辦公等功能, 有9家期刊網(wǎng)站使用的稿件在線處理系統(tǒng)還具有期刊組版管理、費用管理、數(shù)據(jù)庫(作者庫、專家?guī)斓?管理等功能。可見, 使用稿件在線處理系統(tǒng)的期刊占調查期刊的60%, 這些期刊比較重視期刊的數(shù)字化、網(wǎng)絡化建設, 可以實現(xiàn)編輯出版流程的數(shù)字化和網(wǎng)絡化。

(四)期刊內(nèi)容的情況

統(tǒng)計結果顯示, 在14家期刊的獨立網(wǎng)站上, 有11家了期刊目次(占78.6%), 其中還論文摘要的有9家(占64.3%), 期刊全文的有4家(占28.6%), 有1家期刊提供了從1998年至今的過刊全文, 其它3家期刊主要提供最近兩三年的過刊全文??梢姡?大多數(shù)期刊網(wǎng)站都提供了過刊(或當期)目錄、摘要, 有些網(wǎng)站還免費提供全文, 讀者可以自由下載或在線閱讀, 這些功能方便了讀者對論文的使用, 有助于提高期刊傳播科學信息的時效性, 擴大期刊的影響力。有些編輯部可能擔心在獨立網(wǎng)站上提供全文會影響紙質期刊的發(fā)行量和在大型期刊全文數(shù)據(jù)庫中的點擊下載量, 因而在獨立網(wǎng)站上沒有提供全文或者提供的全文要滯后于印刷版。

在獨立網(wǎng)站上最新錄用稿件或下期稿件的目錄、摘要, 可有利于避免一稿多登現(xiàn)象, 同時讀者還可以了解期刊研究內(nèi)容的最新動態(tài)[2]。調查中發(fā)現(xiàn), 只有《華南理工大學學報(社會科學版)》了最新錄用稿件, 還沒有哪家期刊網(wǎng)站提供了下期稿件的目錄、摘要或全文。 務功能

為讀者和作者提供服務是許多期刊建設網(wǎng)站的重要目的。14家期刊的獨立網(wǎng)站上提供的服務統(tǒng)計結果(見表2)顯示: 絕大部分期刊獨立網(wǎng)站都提供了友情鏈接和過刊檢索服務, 有一半的期刊獨立網(wǎng)站提供了在線留言板, 可以進行稿件審理和錄用情況、作者及讀者咨詢等信息的交流, 從而加強了作者、讀者、審者與編輯部之間的交流, 提高讀者對網(wǎng)站的關注程度。

(六)網(wǎng)站版權信息標注和英文版網(wǎng)站情況

在網(wǎng)站首頁下標注網(wǎng)站版權歸屬信息, 用于提醒瀏覽者所觀看的內(nèi)容是受到版權法的保護。有獨立網(wǎng)站的14家期刊中, 有12家在網(wǎng)站首頁下標注了版權信息, 表明大部分期刊編輯部有一定的知識產(chǎn)權保護意識, 注意了期刊的品牌保護; 有7家提供了英文版網(wǎng)站, 但英文版網(wǎng)站上只有英文欄目名稱, 沒有相應的英文內(nèi)容, 只有《中山大學學報(社會科學版)》提供了每期的英文目次和英文摘要。顯然, 所調查的大部分期刊沒有重視英文版網(wǎng)站的建設。

(七)網(wǎng)頁鏈接的有效性和網(wǎng)站更新速度

無效的網(wǎng)頁鏈接包括打不開的鏈接、顯示錯誤信息的鏈接、打開了網(wǎng)頁但無內(nèi)容顯示的鏈接。網(wǎng)站啟用后, 編輯部還應不斷地對網(wǎng)頁信息進行更新和完善。網(wǎng)站信息的更新包括關于期刊信息的更新和期刊內(nèi)容的更新。文中將網(wǎng)站信息的更新速度分為滯后(超過半年沒有更新)、一般(2~6個月內(nèi)有更新)、較快(1個月內(nèi)更新)3種。統(tǒng)計表明: 有獨立網(wǎng)站的14家期刊中, 所有網(wǎng)頁鏈接均有效的有5家(占35.7%), 有1個或2個網(wǎng)頁鏈接無效的有4家(占28.6%), 3個以上網(wǎng)頁鏈接無效的有5家(占35.7%); 網(wǎng)站更新速度較快的有1家(占7.1%), 兩三個月進行1次信息更新的有9家(占64.3%), 這與大部分期刊是雙月刊有關, 半年以上都沒有更新的有3家(占21.4%)。

三、 對期刊獨立網(wǎng)站建設的思考與建議

(一)重視期刊獨立網(wǎng)站的建設

互聯(lián)網(wǎng)的傳播速度快, 傳播范圍廣, 檢索功能強, 具有紙質期刊不可替代、無法比擬的天然優(yōu)勢。紙質期刊要生存和不斷發(fā)展壯大, 期刊主要負責人必須改變傳統(tǒng)的辦刊方式, 更新觀念, 強化網(wǎng)絡意識, 重視期刊網(wǎng)站的建設。將期刊網(wǎng)站作為紙質期刊的延伸、發(fā)展和補充, 可以加快紙質期刊的傳播速度, 讓廣大作者、讀者通過期刊網(wǎng)站對期刊有更全面、更深入的了解, 同時突破時間和空間的制約, 實現(xiàn)網(wǎng)絡環(huán)境下的資源集中和共享, 進一步密切和加強編輯部與作者、讀者、審者之間的溝通與聯(lián)系[3]。因此, 編輯部應努力從以下幾方面著手建立一個實用的、信息完備的期刊網(wǎng)站。

第一, 設置好期刊網(wǎng)站欄目。根據(jù)期刊網(wǎng)站的功能需求, 一般應設置有如下欄目: (1)關于本刊, 提供期刊簡介、欄目介紹、編委會、辦刊宗旨、獲獎情況、數(shù)據(jù)庫收錄情況、編輯團隊、編輯部聯(lián)

系等信息; (2)投稿須知或指南, 提供征稿簡則、稿件處理流程、參考文獻著錄規(guī)則等信息; (3)讀者服務, 提供最新錄用、當期目錄、下期目錄、過刊瀏覽、論文檢索等服務; (4)期刊訂閱, 提供電子版訂閱和印刷版訂閱服務; (5)編輯部公告, 提供期刊最新出版信息、出版業(yè)新聞、最新法律和法規(guī)、論文被轉載等信息; (6)相關下載或下載中心, 提供論文模板、版權轉讓協(xié)議書等常用文檔的下載; (7)留言板或交流園地, 為作者、讀者、編輯和審者提供一個動態(tài)的交流平臺; (8)友情鏈接, 提供同行網(wǎng)站的鏈接服務; (9)英語版, 提供英文版網(wǎng)站的鏈接。同時, 在中、英文版網(wǎng)站首頁上應分別標注“版權所有”、“copyright”字樣。

第二, 使用稿件在線處理系統(tǒng)。稿件在線處理系統(tǒng)是期刊數(shù)字化、網(wǎng)絡化進程的必然選擇, 近年來已在我國期刊的管理與編輯出版工作中得到了廣泛的使用, 并彰顯了諸多優(yōu)勢。如果經(jīng)濟條件許可, 編輯部應考慮使用商業(yè)化的稿件在線處理系統(tǒng), 在現(xiàn)有獨立網(wǎng)站中添加作者在線投稿/查稿、專家在線審稿、主編在線終審、編輯在線辦公等模塊, 從而為作者、審者、編者在線處理稿件提供平臺。

第三, 建立英文版網(wǎng)站。為了提高期刊的國際傳播能力, 加快期刊的國際化進程, 打造期刊品牌, 擴大讀者群和吸引國外作者投稿, 進一步促進國際學術交流, 期刊編輯部應該重視英文版網(wǎng)站的建設, 除了提供論文的英文題目、英文摘要和英文關鍵詞外, 還應提供期刊的英文簡介、作者投稿和專家審稿操作的英文說明等內(nèi)容, 制作突出學術內(nèi)容、期刊特色和品牌標志的高質量英文網(wǎng)頁, 以適應期刊國際化的需要。

第四, 在獨立網(wǎng)站上實現(xiàn)優(yōu)先數(shù)字出版。優(yōu)先數(shù)字出版是以數(shù)字出版方式(如通過互聯(lián)網(wǎng)、手機、光盤等)提前出版紙質期刊錄用的稿件, 在期刊獨立網(wǎng)站上常稱為“在線預(或優(yōu)先)出版”。優(yōu)先數(shù)字出版是提高學術期刊出版速度的一種新模式[4]。將最新錄用稿件或下期稿件的目錄、摘要、全文在獨立網(wǎng)站上優(yōu)先出版, 既可以防止論文重復發(fā)表, 又可以為優(yōu)秀稿件搶國際首發(fā)權開通了一條綠色特快通道, 擴大期刊讀者群, 進而提高期刊的被引頻次、即年指標等期刊評價指標。近年來, 國際上一些著名學術期刊(如《science》、《nature》)和出版商(如elsevier、springer)均采用了優(yōu)先數(shù)字出版模式: 選擇部分定稿和采用的論文在紙質版出版之前在自建網(wǎng)站上優(yōu)先出版, 供讀者閱讀或下載。在國內(nèi), 《浙江大學學報(人文社會科學版)》通過其獨立網(wǎng)站在線優(yōu)先出版審定通過且達到正式出版水平的論文[5], 有效地縮短了論文的出版時滯, 促進了最新成果的快速交流。

(二)加強網(wǎng)站的管理與數(shù)據(jù)維護

期刊網(wǎng)站的管理與維護是一個長期、持續(xù)和動態(tài)的過程。網(wǎng)站啟用前, 應設置好各欄目內(nèi)容, 確保各網(wǎng)頁鏈接的有效性, 盡量避免出現(xiàn)死鏈接; 網(wǎng)站啟用后, 編輯部還應及時發(fā)現(xiàn)和修正網(wǎng)站錯誤, 并不斷地對網(wǎng)頁信息進行更新和完善。由于編輯對期刊數(shù)字化出版的認識不足、資金和人才資源短缺等原因, 有些期刊網(wǎng)站存在信息更新滯后的現(xiàn)象, 提供的過刊目次還停留于幾個月前甚至幾年前的過刊, 這種沒有更新的靜態(tài)閑置的網(wǎng)站毫無意義。因此, 編輯部要及時更新、豐富期刊網(wǎng)站內(nèi)容, 實現(xiàn)期刊全文內(nèi)容同步上網(wǎng), 免費提供過刊全文瀏覽, 為作者、讀者和審者提供更為方便的服務, 從而吸引更多的讀者, 進而提升期刊的影響力和競爭力。稿件在線處理系統(tǒng)運行的數(shù)據(jù)基礎和稿件處理流程所圍繞的核心, 是網(wǎng)站系統(tǒng)功能實現(xiàn)的關鍵。因此, 網(wǎng)站管理員要使用數(shù)據(jù)庫系統(tǒng)定期自動完成數(shù)據(jù)的本地備份, 定期手工進行數(shù)據(jù)庫的異地備份, 使數(shù)據(jù)庫備份做到及時安全, 同時也要做好服務器的安全性維護工作(如及時升級殺毒軟件和系統(tǒng)補丁、經(jīng)常全盤殺毒等), 以免系統(tǒng)出現(xiàn)故障時影響網(wǎng)站的正常運行。對于高校期刊而言, 可以考慮使用學校分配的二級域名, 這樣編輯部不用專門申請域名; 一個學校的多家期刊可以考慮共用一個專用的服務器, 將服務器交由學校網(wǎng)絡中心托管, 這樣既節(jié)省開支, 也給網(wǎng)站管理和維護帶來方便。

(三)重視數(shù)字化人才的培養(yǎng)和編輯素質的提高

在數(shù)字化、網(wǎng)絡化的大環(huán)境下, 期刊編輯部應注意培養(yǎng)期刊數(shù)字出版各個環(huán)節(jié)所需的專門人才或復合型人才, 以適應期刊數(shù)字化、網(wǎng)絡化出版的發(fā)展, 提升

其傳播力和影響力。隨著計算機和網(wǎng)絡技術在期刊中的應用不斷加強, 期刊編輯應通過繼續(xù)教育學習掌握現(xiàn)代編輯手段, 提高為作者和讀者服務的質量, 促進網(wǎng)絡環(huán)境下期刊編輯工作的發(fā)展。

參考文獻:

[1] 許花桃,劉淑華,傅曉琴.縮短稿件處理周期的實踐 [j].編輯學報,2010,22(1):64-65.

[2] 劉穎,唐永林,曾媛.我國物理類核心期刊網(wǎng)站建設研究 [j].科技情報開發(fā)與經(jīng)濟,2009,19(2):11-13.

[3] 劉飚,邢飛,徐威.國外科技期刊網(wǎng)站的調查與思考 [j].中國科技期刊研究,2009,20(3):479-483.

[4] 汪新紅.優(yōu)先數(shù)字出版是提高學術期刊出版速度的一種新模式 [j].中國科技期刊研究,2011,22(1):90-92.

[5] 《浙江大學學報(人文社會科學版)》編輯部.最新錄用 [eb/ol].[2012-05-01].http:∥journals.zju.edu.cn/soc/cn/article/downloadarticlefile.do?attachtype=pdf&id=10508.

current status investigation and analysis on website construction of

humanities and social science journals of guangdong universities

xu hua-tao

(editorial department of journal, south china university of technology, guangzhou 510640, guangdong, china)

篇6

論文關鍵詞:網(wǎng)絡教學,J2EE,MVC,設計模式

 

(一)、前言

目前投入使用的網(wǎng)絡教學平臺雖然使用B/S結構,但僅僅是簡單的請求/應答,由網(wǎng)頁中嵌入ASP/JSP代碼段完成數(shù)據(jù)庫的訪問、數(shù)據(jù)計算功能。平臺的體系結構模糊,邏輯分工不明確,代碼的重用性差,存在一定的安全隱患。本文采用J2EE多層體系結構設計網(wǎng)絡教學平臺MVC,將Web層與業(yè)務層分開,實現(xiàn)代碼進一步模塊化。運用JSP、JavaBean、EJB等組件技術實現(xiàn)數(shù)據(jù)庫訪問等有一定共性的業(yè)務處理功能,提高代碼的重用。同時,采用MVC(Model-View-Controller)、會話外觀(Session Facade)模式、業(yè)務代表(Business Delegate)等J2EE設計模式提高網(wǎng)絡教學平臺的伸縮性、安全性。

(二)、基于J2EE/MVC的網(wǎng)絡教學平臺的設計

篇7

關鍵詞:中職院校;計算機專業(yè);網(wǎng)頁制作;專題學習網(wǎng)站

中圖分類號:G434 文獻標識碼:A 論文編號:1674-2117(2016)01-0079-02

中職計算機專業(yè)“網(wǎng)頁制作”課程教學的重要性

作為我國教育體系重要的組成部分,中職院校在人才培養(yǎng)中扮演著重要的角色。在當前時代與社會的發(fā)展要求下,中職院校更需要強化發(fā)展。[1]計算機專業(yè)中的“網(wǎng)頁制作”課程其培養(yǎng)方向與中職計算機專業(yè)人才培養(yǎng)的目標相一致,即提高學生的專業(yè)知識、專業(yè)技能以及實踐能力。因此,強化中職計算機專業(yè)“網(wǎng)頁制作”課程的教學有著重要的意義和作用。

中職計算機專業(yè)“網(wǎng)頁制作”課程利用專題學習網(wǎng)站的實踐

當前,計算機被廣泛應用到各個行業(yè)和領域中,為了提高計算機專業(yè)的教學質量,為社會培養(yǎng)更多的實用性人才,中職院校在計算機專業(yè)的教學中增加了“網(wǎng)頁制作”課程。而在實際教學中,專題學習網(wǎng)站能為學生學習“網(wǎng)頁制作”課程提供幫助,從而提高他們的實踐能力。[2]

專題學習網(wǎng)站,是在互聯(lián)網(wǎng)環(huán)境下,將各科學習課程或者某些教學課程之間的某一項或者多項學習的知識點有機結合起來的學習專題,是可以讓學習者進一步研究和學習的一個資源型學習網(wǎng)站。它可以用來進行資源信息的存儲和加工,對學生的學習情況進行在線反饋等。[3]在中職計算機專業(yè)“網(wǎng)頁制作”課程的教學中,由于其操作性強、專業(yè)性強等特點,教師需要讓學生在網(wǎng)頁制作設計中充分利用各種資源。而專題學習網(wǎng)站能為學生提供豐富的資源,滿足學生的設計需求?!熬W(wǎng)頁制作”專題學習網(wǎng)站的結構如圖1所示。

在專題學習網(wǎng)站中,基礎知識部分為網(wǎng)頁制作的基礎教學資源,包含了網(wǎng)頁制作基礎理論、網(wǎng)頁制作設計軟件操作、網(wǎng)頁制作技巧等,是學生學習“網(wǎng)頁制作”課程的入門知識。專題學習網(wǎng)站中的實例教學,則是以教學實例為例子,使用任務驅動教學法,為學生提供網(wǎng)頁制作所需要的各種資源,以教學實例為網(wǎng)頁制作知識學習的主線,循序漸進,使學生掌握網(wǎng)頁制作的相關知識,并提高網(wǎng)頁制作實踐技能。

網(wǎng)站界面的主要功能是為用戶提供服務,所以在網(wǎng)頁的制作和設計中,一般需要做到以下幾點:①保證網(wǎng)頁的簡潔性。在網(wǎng)頁制作的過程中,界面的簡潔可以方便用戶的操作、使用和了解,從而減少錯誤操作。②一致性。在網(wǎng)頁設計中,需要保證每個網(wǎng)頁的一致性,做到結構一致、清晰,風格一致等。③清楚。制作網(wǎng)頁需要保證網(wǎng)頁的清晰度,因為清楚的視覺效果便于用戶的瀏覽和使用。④安全性。在網(wǎng)頁制作中,需要保證網(wǎng)頁的安全性,在保證用戶可以自主選擇的同時,也要給予用戶選擇錯誤時必要的系統(tǒng)信息提示等。[4]除此之外,還需要具有靈活性、排列性等。

“網(wǎng)頁制作”課程利用專題學習網(wǎng)站,既可以用于課堂教學,也可以用于學生的課外網(wǎng)站學習。例如,“網(wǎng)頁設計”專題學習網(wǎng)站的實例教學部分,主要是制作教學案例。案例多以課程教學中的實施為基礎和依托,案例的設計不只是一個知識點的應用,還會包含多個知識點,是計算機專業(yè)“網(wǎng)頁制作”課程知識的綜合利用。實例教學的界面如圖2所示。

教師指導學生利用專題學習網(wǎng)站進行網(wǎng)頁制作的主要步驟為:

第一步,欣賞借鑒。教師讓學生上網(wǎng)瀏覽、欣賞、搜集自己覺得精彩的網(wǎng)頁、個人主頁等。

第二步,設計網(wǎng)站的基本框架。教師指導學生建站、鏈接、文本鏈接、圖像鏈接等,建立與E-mail超鏈接。

第三步,設計頁面布局。學生利用自己所學的知識,進行網(wǎng)頁、表格、文字等的布局設置,在網(wǎng)頁中輸入圖像、背景顏色、背景音樂等,設置文件的保存、命名、移動、刪除等操作。

第四步,創(chuàng)建動態(tài)頁面。學生利用所學的計算機知識,設置動態(tài)的網(wǎng)站頁面,如字幕、懸停按鈕、圖像、文字等動態(tài)的效果畫面。

第五步,上傳網(wǎng)頁。學生完成網(wǎng)頁設計之后,可以申請免費的個人網(wǎng)站主頁,在網(wǎng)站空間里上傳自己設計的網(wǎng)站、網(wǎng)頁。

第六步,評價網(wǎng)頁設計。教師對學生上傳的網(wǎng)頁設計實踐成果進行評價,并針對其存在的不足和錯誤進行糾正,以幫助學生認識網(wǎng)頁設計的不足,并逐步完善。

結語

中職計算機專業(yè)“網(wǎng)頁制作”課程教學,充分利用專題學習網(wǎng)站進行實踐,既可以培養(yǎng)和鍛煉學生的網(wǎng)頁制作設計技能,還可以為學生的網(wǎng)頁制作、設計,提供豐富的信息資源。因此,在中職計算機專業(yè)“網(wǎng)頁制作”課程教學中,利用專題學習網(wǎng)站進行教學實踐,對培養(yǎng)計算機專業(yè)人才具有重要意義。

參考文獻:

[1]黃以寶.《網(wǎng)頁設計與制作》專題學習網(wǎng)站的設計[J].電腦知識與技術,2009(15):4089-4090.

[2]李鴻琴.應用專題學習網(wǎng)站教學“網(wǎng)頁設計與制作”[J].中國信息技術教育,2009(15):43-45.

篇8

論文摘要:網(wǎng)絡上的動態(tài)網(wǎng)站以ASP為多數(shù),我們學校的網(wǎng)站也是ASP的。筆者作為學校網(wǎng)站的制作和維護人員,與ASP攻擊的各種現(xiàn)象斗爭了多次,也對網(wǎng)站進行了一次次的修補,根據(jù)工作經(jīng)驗,就ASP網(wǎng)站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態(tài)網(wǎng)站開發(fā)經(jīng)驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。

1網(wǎng)絡安全總體狀況分析

2007年1月至6月期間,半年時間內(nèi),CNCERT/CC接收的網(wǎng)絡仿冒事件和網(wǎng)頁惡意代碼事件,已分別超出去年全年總數(shù)的14.6%和12.5%。

從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網(wǎng)站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現(xiàn)明顯。對政府類和安全管理相關類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業(yè),尤其是以網(wǎng)絡為核心業(yè)務的企業(yè),采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業(yè)正常業(yè)務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產(chǎn)。

2用IIS+ASP建網(wǎng)站的安全性分析

微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網(wǎng)頁設計技術,被廣泛應用在網(wǎng)上銀行、電子商務、網(wǎng)上調查、網(wǎng)上查詢、BBS、搜索引擎等各種互聯(lián)網(wǎng)應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。

3SP安全漏洞和防范

3.1程序設計與腳本信息泄漏隱患

bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創(chuàng)建或者修改一個ASP文件時,編輯器自動創(chuàng)建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。

防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。

inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結構的細節(jié),并以此揭示完整的源代碼。

防范技巧:程序員應該在網(wǎng)頁前對它進行徹底的調試。首先對.inc文件內(nèi)容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。

3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞

驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內(nèi)容,但網(wǎng)上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統(tǒng)上頻繁注冊,頻繁發(fā)送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經(jīng)過驗證,從而可以解決這個問題。

登陸驗證。對于很多網(wǎng)頁,特別是網(wǎng)站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。

SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發(fā)覺。

SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數(shù)。以下列出三種攻擊的形式:

A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。

B.用戶輸入:假設網(wǎng)頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統(tǒng)就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。

C.參數(shù)傳遞:假設我們有個網(wǎng)頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見??墒?,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進行屏蔽處理的話,黑客就獲得了數(shù)據(jù)庫的用戶名,這為他們的進一步攻擊提供了很好的條件。

解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:

第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;

第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發(fā)現(xiàn)非法字符,提示用戶且終止程序進行;

第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進行檢查,一旦發(fā)現(xiàn)可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數(shù)據(jù)表中以備核查。

第四:對于參數(shù)的情況,頁面利用QueryString或者Quest取得參數(shù)后,要對每個參數(shù)進行判斷處理,發(fā)現(xiàn)異常字符,要利用replace函數(shù)將異常字符過濾掉,然后再做下一步操作。

第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。

第六:在IIS中為每個網(wǎng)站設置好執(zhí)行權限。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執(zhí)行權限設為“無”好了。

第七:數(shù)據(jù)庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。

3.4傳漏洞

諸如論壇,同學錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能,但在網(wǎng)頁設計時如果缺少對用戶提交參數(shù)的過濾,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件,導致攻擊事件的發(fā)生。

防文件上傳漏洞

在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。

暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數(shù)據(jù)庫的地址,并將數(shù)據(jù)非法下載到本地。

數(shù)據(jù)庫可能被下載。在IIS+ASP網(wǎng)站中,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名,則該數(shù)據(jù)庫就可以被下載到本地。

數(shù)據(jù)庫可能被解密

由于Access數(shù)據(jù)庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數(shù)據(jù)庫被下載,其信息就沒有任何安全性可言了。

防止數(shù)據(jù)庫被下載。由于Access數(shù)據(jù)庫加密機制過于簡單,有效地防止數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。

非常規(guī)命名法。為Access數(shù)據(jù)庫文件起一個復雜的非常規(guī)名字,并把它放在幾個目錄下。

使用ODBC數(shù)據(jù)源。在ASP程序設計中,如果有條件,應盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名寫在程序中,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。

使用密碼加密。經(jīng)過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。

使用數(shù)據(jù)備份。當網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù),可以將備份的數(shù)據(jù)恢復到原始的數(shù)據(jù),保證了網(wǎng)站在一些人為的、自然的不可避免的條件下的相對安全性。

3.5SP木馬

由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除。

技巧1:殺毒軟件查殺

一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬。

技巧2:FTP客戶端對比

asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?

我們可以利用一些FTP客戶端軟件(例如cuteftp,F(xiàn)lashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發(fā)現(xiàn)是否多出可疑文件。

技巧3:用BeyondCompare2進行對比

滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發(fā)語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。

技巧4:利用組件性能找asp木馬

如:思易asp木馬追捕。

大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。

結束語

總結了ASP木馬防范的十大原則供大家參考:

建議用戶通過FTP來上傳、維護網(wǎng)頁,盡量不安裝asp的上傳程序。

對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。

asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。

到正規(guī)網(wǎng)站下載asp程序,下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改,數(shù)據(jù)庫文件名稱也要有一定復雜性。

要盡量保持程序是最新版本。

不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。

為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。

要時常備份數(shù)據(jù)庫等重要文件。

日常要多維護,并注意空間中是否有來歷不明的asp文件。

一旦發(fā)現(xiàn)被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑。

做好以上防范措施,您的網(wǎng)站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰(zhàn)爭!網(wǎng)站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網(wǎng)絡系統(tǒng),我們只有通過不斷的改進程序,將各種可能出現(xiàn)的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。

參考文獻

[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.

篇9

關鍵詞:網(wǎng)址,加密,網(wǎng)絡安全,活動服務器頁面,服務器端網(wǎng)頁設計

0引言 隨著網(wǎng)絡技術和網(wǎng)絡規(guī)模的不斷發(fā)展以及電子商務的興起,許多企業(yè)都建立了自己的商務網(wǎng)站,針對網(wǎng)絡和計算機系統(tǒng)的攻擊已經(jīng)屢見不鮮,在構建網(wǎng)站的時候,都會考慮網(wǎng)絡安全問題,對于網(wǎng)絡安全的投入較大,如使用防火墻、入侵檢測、企業(yè)防病毒等安全產(chǎn)品,但網(wǎng)站還是有被攻擊,甚至完全被控制的可能。因為企業(yè)的網(wǎng)站一般都采用ASP、PHP或JSP等腳本語言來連接數(shù)據(jù)庫,取得數(shù)據(jù)庫里面的數(shù)據(jù)生成動態(tài)網(wǎng)頁。當一個網(wǎng)站完全建立后,程序會很多,特別是網(wǎng)頁設計的特殊性,服務器與用戶的交互程序更多,所以,程序的漏洞也會增多,給網(wǎng)站帶來不可估量的安全隱患,這些程序漏洞比網(wǎng)站服務器的漏洞更為嚴重 [1][2][3] 。

1網(wǎng)頁設計安全漏洞的形成ASP、PHP或JSP等腳本語言作為典型的服務器端網(wǎng)頁設計技術,為網(wǎng)站開發(fā)人員提供了簡單高效的動態(tài)Web應用程序開發(fā)方法。在網(wǎng)站設計時,使用上述腳本語言編程可以更好地管理網(wǎng)站資源,增加網(wǎng)站與瀏覽者之間的交互,如新聞系統(tǒng)、產(chǎn)品管理系統(tǒng)、會員管理系統(tǒng)、論壇反饋系統(tǒng)、在線調查系統(tǒng)、在線訂單系統(tǒng)和留言板系統(tǒng)等,其共同點是用戶輸入很多資料,與其他瀏覽者交流或者與網(wǎng)站管理者交流。。而交互正是漏洞形成的一大原因,因為用戶輸入信息不可預測,如果程序沒有考慮或者考慮不全面,用戶輸入就有可能成為攻擊事件,且不管有意還是無意。網(wǎng)頁編程直接和服務器打交道,與網(wǎng)站目錄、網(wǎng)站數(shù)據(jù)庫設置、系統(tǒng)設置相關,通過這些程序訪問網(wǎng)站目錄、設置等所有服務器內(nèi)容,若程序設計有漏洞,即網(wǎng)站有漏洞。

2網(wǎng)頁設計的安全漏洞及對策2.1登陸驗證漏洞凡帶有交互性的網(wǎng)站,包括論壇、聊天室、信息網(wǎng)會員區(qū)、網(wǎng)上影院等,登陸驗證是必不可少的組成部分。。雖然登陸的驗證程序只是網(wǎng)站整體的一部分,但卻是網(wǎng)站的安全關口。網(wǎng)站設計者容易疏忽這一點,沒有處理好口令驗證程序的關口,以至他人趁虛而進,甚至造成重大影響與經(jīng)濟損失。許多網(wǎng)站都存在一個登陸驗證的漏洞,而這個漏洞是在編寫程序驗證賬號密碼時由于程序不嚴謹而造成。。如在設計網(wǎng)站會員區(qū)時,都會將賬號、密碼放在一個叫“User”的數(shù)據(jù)表中,并設置“username”和“password”兩個字段分別表示用戶的登錄名稱和登錄密碼。當驗證時,檢查用戶輸入的兩個參數(shù)是否存在于這個數(shù)據(jù)表,如果存在,證明這個用戶合法;不存在,證明用戶不合法,而漏洞就出現(xiàn)在這段驗證代碼上。

在登陸驗證(以asp為例)中常會用SQL查詢語句來判斷該用戶是否為站點的合法會員。

<!--連接數(shù)據(jù)庫-->

<!--#include file=dbconn.asp -->

<%

Dim rs

Set rs=CreateObject(“Adodb.Recordset”) ‘定義一個Ado數(shù)據(jù)集實例

rs.source='select * from user whereusername=’” & username & “’and password=’” & password & “’”

‘連接登陸驗證語句字串

rs.open rs.sourc,conn,1,1 ‘執(zhí)行查詢語句

...

%>

當根據(jù)以上的SQL語句構造一組特殊的用戶名和密碼,例如用戶名為該網(wǎng)站任意一個存在的用戶名Admin,密碼為a' or 'a'='a,則程序中SQL變量的值將會變成sql=“select* from username where username=’a’ and password=’a’ or ’a’=’a’” 顯然,該查詢語句的邏輯原意已被徹底改變,一個邏輯運算符or使用整個邏輯條件為真,即這條SQL口令驗證語句已經(jīng)失去了效用,只要知道了任意一個存在的用戶名就可以成功地進入到敏感區(qū)域。

解決漏洞的方案如下:

1) 生成SQL查詢語句之前,對用戶輸入的參數(shù)(用戶名和密碼)進行過濾;

2)先查詢用戶名再進行密碼驗證。

2.2繞過驗證直接進入設計頁面漏洞每個敏感的頁面必須進行身份驗證,如果用戶知道了一個設計頁面(如用ASP)的路徑和文件名,而這個頁面又沒有驗證的程序,則用戶可直接輸入這個設計頁面的文件名,即繞過了登陸驗證,直接進入了指定的頁面。。網(wǎng)站設計者除了登陸驗證外還必須在有關頁面進行身份驗證,才能提高站點的安全指數(shù)。。

2.3桌面數(shù)據(jù)庫被下載漏洞在ASP+Access應用系統(tǒng)中,如果獲得Access數(shù)據(jù)庫的存儲路徑和數(shù)據(jù)庫名,則該數(shù)據(jù)庫可以被下載到本地。。如對于網(wǎng)上圖書館的Access數(shù)據(jù)庫,一般命名為Library.mdb等,而存儲的路徑一般為“URL/database”或放在根目錄(“URL/”)下。這樣,只要在瀏覽器地址欄中輸入地址 “URL/database/Library.mdb”,就可以輕易地把Library.mdb下載到本地的機器中。

在ASP程序設計中,應盡量使用ODBC數(shù)據(jù)源,不直把數(shù)據(jù)庫名直接寫在程序中,否則數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密,例如:

DBPath = Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)

conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

可見,ASP源代碼失密后,數(shù)據(jù)庫也很容易被下載。如果使用ODBC數(shù)據(jù)源,則不會存在 conn.open

“ODBC-DSN名”。2.4 源代碼泄露漏洞為有效防止源代碼泄露,可以對頁面代碼進行加密。

一般有以下兩種方法對ASP頁面進行加密:

1) 使用組件技術將編程邏輯封裝入DLL中;

2) 使用微軟的Script Encoder對ASP頁面進行加密。

使用組件技術存在的主要問題是每段代碼均需組件化,操作比較煩瑣,工作量較大,而使用Script Encoder對ASP頁面進行加密,操作簡單、收效良好。Script Encoder方法具有以下優(yōu)點:

1)HTML具有很好的可編輯性,Script Encoder只加密在HTML頁面中嵌入的ASP

代碼,其他部分仍保持不變,故仍可以使用FrontPage或Dreamweaver等常用網(wǎng)頁編輯工具對HTML部分進行修改、完善,但不能對ASP加密部分進行修改,否則將導致文件失效;

2) 作較簡單,只要掌握幾個命令行參數(shù)即可,Script Encoder的運行程序是

screnc.exe,其使用方法如下:screnc [/s] [/f] [/xl] [/l defLanguage ] [/e:defExtension] inputfileoutputfile,其中 s為屏蔽屏幕輸出;f為指定輸出文件是否覆蓋同名輸入文件;xl指是否在.asp文件的頂部添加@Language指令;l為defLanguag指定缺省的腳本語言;e為defExtension 指定待加密文件的擴展名;

3) 用Script Encoder可以對當前目錄中所有的ASP文件進行加密,并把加密

后的文件統(tǒng)一輸出到相應的目錄中,例如:screnc *.asp c: emp;

4) cript Encoder是免費軟件,該加密軟件可以從微軟網(wǎng)站

msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下載,下載后,運行安裝即可,利用Session對象進行注冊驗證。

2.4文件上傳漏洞許多網(wǎng)站如論壇、同學錄、郵件服務系統(tǒng)都提供了文件上傳的功能,但設計者在設計用戶提交參數(shù)缺少充分過濾,以至遠程攻擊者利用這個漏洞可以上傳惡意文件,甚至造成系統(tǒng)數(shù)據(jù)庫破壞或以Web權限在系統(tǒng)上執(zhí)行任意命令。例如iXmail包含的“ixmail_attach.php”腳本對用戶提交的附件缺少充分過濾,攻擊者可以通過操作URL參數(shù)上傳惡意文件(如php文件)到服務器上,雖然文件放置在Web目錄下的/tmp目錄中,但可以遠程訪問,因此攻擊者可能以Web進程權限在系統(tǒng)上執(zhí)行任意命令,故在文件上傳之前,加入文件類型判斷模塊,并進行過濾。如要求用戶上傳圖片時,對上傳的文件格式進行判斷,如果是指定的圖片文件格式(如JPG、GIF)允許上傳,其他格式諸如*.EXE,*.PHP,*.ASP,*.JSP等可執(zhí)行或可解釋的程序文件就禁止上傳。

3 結論本文介紹了網(wǎng)站建設中網(wǎng)頁設計容易出現(xiàn)的漏洞和解決方法,安全概念要貫穿在整個網(wǎng)頁設計過程中,只有隨時考慮安全的問題,網(wǎng)站才會有更強的安全性。

參考文獻[1] 希利爾 S著. Active Server Pages編程指南[M]. 董啟雄譯. 北京: 宇航出版社, 1998.

[2] 沈文智. Microsoft IIS 網(wǎng)頁技術[M]. 北京: 人民郵電出版社,1998.

[3] 張小斌, 嚴望佳. 黑客分析與防范技術[M].北京: 清華大學出版社, 1999

篇10

關鍵詞 B/S體系;JSP;信息管理系統(tǒng)

中圖分類號G311 文獻標識碼A 文章編號 1674-6708(2013)103-0019-02

0引言

隨著近些年網(wǎng)絡技術的迅猛發(fā)展,國內(nèi)許多高校也掀起了全面信息化管理的浪潮,而科研管理是高校信息化的重要組成部分,過去一些高校的科研管理系統(tǒng)大都是基于局域網(wǎng)系統(tǒng)的,所以信息不能及時更新,共享程度低,所以構建一個現(xiàn)代化的高??蒲泄芾硐到y(tǒng)勢在必行[1]。

長期以來,天津商業(yè)大學科研處一直是采用傳統(tǒng)的手工勞動操作方式,造成了辦公效率低下、信息滯后嚴重、項目管理松弛等問題,嚴重影響到學??蒲械乃剑虼?,盡快研發(fā)基于網(wǎng)絡的科研系統(tǒng)刻不容緩。

1系統(tǒng)設計目標

建立基于B/S結構的科研管理信息系統(tǒng)的設計目標是:

1)建立一個從管理角度出發(fā),實現(xiàn)多層用戶的分級管理,包括科研處管理人員,學院科研秘書以及教師三個層次的管理;

2)實現(xiàn)科研項目和科研考核的流程化和規(guī)范化,教師項目的申報,中期檢查,結項等事宜流程化管理,教師的科研成果包括專利,獲獎等實行網(wǎng)上申報和管理;

3)兼容年底的科研統(tǒng)計。兼容各級科研管理部門,例如教育部,天津市科委等部門的統(tǒng)計任務;

4)網(wǎng)上辦公。實現(xiàn)通過管理系統(tǒng)實現(xiàn)信息、資源共享,郵件傳送等功能;

5)輔助科研決策。用戶可以通過對自己感興趣的數(shù)據(jù)進行整理分析。

2相關技術

2.1系統(tǒng)B/S結構

目前,管理信息系統(tǒng)主要有客戶端/服務器(Client/Server,C/S)結構和瀏覽器/服務器(Browser/Sever,B/S)結構[2]。C/S模式的客戶端和服務器是通過局域網(wǎng)連接,所以能有效降低網(wǎng)絡通訊量,安全性高,但是客戶端都需要安裝專門的軟件,操作復雜,不易推廣。B/S模式下,用戶工作界面是通過Internet瀏覽器實現(xiàn)的,它能實現(xiàn)無論何時,何地只要有適當?shù)慕尤敕绞蕉寄茉L問操作信息系統(tǒng)??紤]到設計的科研管理系統(tǒng)面對的有教師,科研管理人員以及上級科研管理部門,所以從易于推廣使用的角度,系統(tǒng)選擇B/S架構模式。

2.2 JSP動態(tài)網(wǎng)頁技術

Java Server Pages(簡稱JSP)是一種基于Java系統(tǒng)的動態(tài)網(wǎng)頁開發(fā)技術,是由Sun Micro system 倡導,多公司合作建立的。該技術就是在傳統(tǒng)的網(wǎng)頁文件中加入Java程序段和JSP標記形成新的JSP文件,可以簡捷快速地創(chuàng)建顯示動態(tài)頁面。JSP對于客戶界面的更新非常迅速。系統(tǒng)的應用程序均運行在服務器上,它們可以及時升級。客戶端口非常簡單,容易管理和維護[3]。

JSP體系的運行需要至少Web服務器、Java虛擬機和JSP引擎這三部分。當客戶端訪問JSP頁面時,請求類型由Web服務器進行鑒定:HTML頁面請求的話則直接執(zhí)行其中的相關程序并將結果反饋。鑒定為JSP請求的話則傳送給JSP引擎,JSP引擎在此處負責進行代碼轉換,若在轉換過程中發(fā)現(xiàn)JSP文件有錯誤,系統(tǒng)將中斷轉換過程,并輸出出錯信息;如果沒有出現(xiàn)任何錯誤,則把轉換好的Servlet代碼送給JVM,JVM負責把代碼編譯生成字節(jié)碼并放到服務器上執(zhí)行,JSP再把執(zhí)行結果放到Web服務器上,用戶最后在瀏覽器上看到的就是Web服務器發(fā)回到客戶端的,一般以HTML或者XML頁面的形式發(fā)回。

2.3 SQL Server 數(shù)據(jù)庫

SQL即結構化查詢語言,全稱為Structured Query Language。其作用是溝通、聯(lián)系各種數(shù)據(jù)庫。SQL Server是一個使用SQL作為數(shù)據(jù)操作語言的標準關系型數(shù)據(jù)庫管理系統(tǒng)[4]。它支持分布式應用,并且并發(fā)性、可靠性和安全性都比較高,是目前應用最廣泛的數(shù)據(jù)庫管理系統(tǒng)之一。

Microsoft 于2005年推出的SQL Server 2005,是一個企業(yè)級數(shù)據(jù)庫管理系統(tǒng)產(chǎn)品。它在很多方面如企業(yè)級支持與商業(yè)智能應用等都表現(xiàn)突出,應用廣泛,本系統(tǒng)采用SQL Server 2005數(shù)據(jù)庫管理系統(tǒng)作為系統(tǒng)的數(shù)據(jù)庫。

3 系統(tǒng)設計

3.1系統(tǒng)功能模塊設計

在對科研處調研的基礎上,結合本兄弟院校的有關情況,系統(tǒng)從功能上分為登陸管理,項目管理,成果管理,用戶管理等模塊,如圖所示:

用戶管理模塊:為實現(xiàn)科研系統(tǒng)的分層管理,用戶在登錄系統(tǒng)時,要求輸入“用戶級別”、“用戶名稱”和“登錄密碼”三項信息。用戶級別包括三級:教師,科研秘書和科研處管理人員。每一級都有不同的操作權限。

項目管理模塊:包括橫向項目和縱向項目,每一項都包括項目申報,項目來源、項目經(jīng)費情況、項目執(zhí)行情況和結項管理等情況。在這個模塊,只有教師才有資格對自己的項目情況進行更改,科研秘書和科研處管理人員只負責審核校對以及統(tǒng)計。

成果管理模塊:主要包括獲獎、專利情況以及論文論著。這個模塊是教師依據(jù)自身所獲榮譽網(wǎng)上填報,之后由科研秘書及科研處審核。

科研考核管理模塊:這個模塊是通過建立科研工作量的量化指標和設置崗位考核標準來確定教師的科研水平。這塊也是領導進行科研決策的參考依據(jù)之一。

3.2數(shù)據(jù)庫設計

數(shù)據(jù)庫設計的組織形式及結構主要是依據(jù)數(shù)據(jù)的不同用途、安全保密性,結合本科研系統(tǒng)的具體要求,將數(shù)據(jù)庫分為以下幾種類型:1.主題數(shù)據(jù)庫,只有科研處管理人員才有權修改,主要包括用戶分配,科研人員新增,項目新增等。2. 基礎數(shù)據(jù)庫,包括課題來源庫,獎勵級別庫,成果級別、項目來源等。3.臨時數(shù)據(jù)庫,主要是教師臨時提交待審核的科研數(shù)據(jù),這個在未經(jīng)確認之前是可以隨時修改的。通過這幾層設計,可以大大增強系統(tǒng)的安全性。

在數(shù)據(jù)庫的報表設計主要包括以下表格:

1)教師基本信息(姓名、職稱、年齡、性別、最后學歷、所屬院系、學科領域、聯(lián)系方式);

2)科研項目 (負責人、項目編號、起止時間、項目類別、項目來源、經(jīng)費統(tǒng)計、備注);

3)科研獲獎 (姓名、獲獎名稱、獲獎級別、頒獎單位, 獲獎年月, 備注);

4)專利(姓名、專利名稱、專利類型、批準號、備注);

5)論文論著 (姓名、論文名稱、成果形式、發(fā)表期刊、發(fā)表年月、備注)。

4 結論

本文針對目前高??蒲泄芾硐到y(tǒng)所存在問題進行了探討,提出了基于B/S架構的應用,相信隨著目前網(wǎng)絡技術的進一步完善,B/S結構應用系統(tǒng)的研究將會成為一種趨勢。該系統(tǒng)模塊化清晰,應用靈活,使用了目前流行的JSP動態(tài)網(wǎng)頁開發(fā)技術,可移植性大,可以較好地滿足目前學校對科研管理的需求,具有較好的應用價值。

參考文獻

[1]魏江來.科研管理系統(tǒng)數(shù)據(jù)庫設計與實現(xiàn)[J].山西科技,2009.

[2]任泰明.基于B/S結構的軟件開發(fā)技術[M].西安:西安電子科技大學出版社,2006.