時間:2023-03-23 15:18:53
引言:易發(fā)表網憑借豐富的文秘實踐,為您精心挑選了九篇網站安全論文范例。如需獲取更多原創(chuàng)內容,可隨時聯(lián)系我們的客服老師。
論文摘要:網絡上的動態(tài)網站以ASP為多數,我們學校的網站也是ASP的。筆者作為學校網站的制作和維護人員,與ASP攻擊的各種現(xiàn)象斗爭了多次,也對網站進行了一次次的修補,根據工作經驗,就ASP網站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態(tài)網站開發(fā)經驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現(xiàn)明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業(yè),尤其是以網絡為核心業(yè)務的企業(yè),采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業(yè)正常業(yè)務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯(lián)網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創(chuàng)建或者修改一個ASP文件時,編輯器自動創(chuàng)建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節(jié),并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統(tǒng)上頻繁注冊,頻繁發(fā)送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發(fā)覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統(tǒng)就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發(fā)現(xiàn)非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發(fā)現(xiàn)可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發(fā)現(xiàn)異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執(zhí)行權限。千萬別給靜態(tài)網站以“腳本和可執(zhí)行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執(zhí)行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統(tǒng)都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發(fā)生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規(guī)命名法。為Access數據庫文件起一個復雜的非常規(guī)名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,F(xiàn)lashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發(fā)現(xiàn)是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發(fā)語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規(guī)網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發(fā)現(xiàn)被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰(zhàn)爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統(tǒng),我們只有通過不斷的改進程序,將各種可能出現(xiàn)的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
本文首先介紹了網絡與網站安全的隱患,其中包括常見的網絡安全隱患和網站自身經常出現(xiàn)的安全隱患,之后作者從簡要介紹了網絡安全的防御問題,并詳細介紹了網站自身的安全防御。
關鍵字:網站安全性管理
Abstract
Thisarticlefirstintroducedthenetworkandthewebsitesecurityhiddendanger,thesecurityhiddendangerwhichappearsfrequentlyincludingthecommonnetworksecurityhiddendangerandwebsiteitself,afterwardstheauthorbrieflyintroducedthenetworksecuritydefense,andintroducedwebsiteownsafedefenseindetail.
一、前言
隨著計算機信息技術的高速發(fā)展,人們的生活、工作越來越依賴互聯(lián)網上的信息和信息獲取,但是人們卻時刻被信息網絡的安全隱患所困擾,越來越多的人也開始了關于網絡、網站的安全性管理研究。
網站安全是指對網站進行管理和控制,并采取一定的技術措施,從而確保在一個網站環(huán)境里信息數據的機密化、完整性及可使用性受到有效的保護。網站安全的主要目標就是要穩(wěn)妥地確保經由網站傳達的信息總能夠在到達目的地時沒有任何增加、改變、丟失或被他人非法讀取。要做到這一點,必須保證網站系統(tǒng)軟件、數據庫系統(tǒng)其有一定的安全保護功能,并保證網站部件如終端、數據鏈路等的功能不變而且僅僅是那些被授權的人們可以訪問。
網站安全目前已發(fā)展成為一個跨學科的綜合性學科,它包括通信技術、網站技術、計算機軟件、硬件設計技術、密碼學、網站安全與計算機安全技術等,網站安全是在攻擊與防范這一對矛盾相互作用的過程中發(fā)展起來的。新的攻擊導致必須研究新的防護措施,新的防護措施又招致攻擊者新的攻擊,如此循環(huán)反復,網站安全技術也就在雙方的爭斗中逐步完善發(fā)展起來。
二、網絡與網站安全隱患概述
目前影響網站安全的問題主要來自于網絡的不安全性,所以在這個意義上講,網站的安全漏洞其實也就是網絡的安全漏洞,其漏洞主要來自以下幾個方面:
1.自然因素:
1.1軟件漏洞
任何的系統(tǒng)軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.1.1、協(xié)議漏洞。例如,IMAP和POP3協(xié)議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄,從而獲得超級用戶的特權。
1.1.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令,來造成系統(tǒng)不穩(wěn)定狀態(tài)。
1.1.3、口令攻擊。例如,Unix系統(tǒng)軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統(tǒng),都是容易被攻擊的。
1.2病毒攻擊
計算機病毒一般分為四類:①文件型病毒(FileViruses);②引導型病毒(SystemorBootSectorVirus);③鏈式病毒(SYSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。計算機病毒的主要危害有:對計算機數據信息的直接破壞作用,給用戶造成重大損失:占用系統(tǒng)資源并影響運行速度:產生其他不可預見的危害:給用戶造成嚴重的心理壓力。
計算機病毒疫情呈現(xiàn)出多元化的發(fā)展趨勢,以網絡為主要傳播途徑。呈現(xiàn)以下顯著特點:①網絡病毒占據主要地位;②病毒向多元化、混合化發(fā)展;③利用漏洞的病毒越來越多。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業(yè)計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信急。
當然作為本文最討論的網站安全,它也有它自身的安全隱患存在,主要體現(xiàn)在以下幾點:
3.用戶輸入驗證不全面
在網站編程中,對于用戶和用戶的輸入,都必須抱懷疑態(tài)度,不能完全信任。所以,對于用戶的輸入,不能簡單的直接采用,而必須經過嚴格驗證,確定用戶的輸入是否符合輸入規(guī)則才可以錄入數據庫。用戶輸入驗證應該包括以下幾個方面:
(1)輸入信息長度驗證。程序員往往認為一般用戶不會故意將輸入過分拉長,不進行輸入驗證可能沒有危害。但如果用戶輸入的信息達到幾個兆,而程序又沒有驗證長度的話,可以使程序驗證出錯或變量占用大量內存,出現(xiàn)內存溢出,致使服務器服務停止甚至關機。
(2)輸入信息敏感字符檢查。在設計程序的時候,程序員可能都會關注javascript的一些敏感字符,如在設計留言版的時候,會將“<”等符號的信息過濾,以免用戶留下頁面炸彈。但還有以下幾個方面需要特別注意,一是留言版內容信息的過濾。二是用戶名信息的過濾。程序設計中,對用戶名的驗證往往只是驗證長度,沒有驗證javascript或者HTML的標記,這樣就容易形成漏洞。三是Email信息的驗證,Email信息往往也只驗證是否含有“@”符號,其他沒有限制,這容易形成兩個漏洞:輸入信息過長的內存溢出漏洞;含有javascript等字符信息,造成顯示用戶Email的時候形成頁面炸彈等。四是搜索信息的驗證。盡管搜索信息不會直接保存到網站服務器,但是,搜索信息卻與數據庫或者服務器所有文件密切相關,如果搜索信息有問題,很容易就會暴露一些本來不應該暴露的數據庫信息或者文件信息。如果用戶對程序比較了解,可設計一些很特別的搜索信息,檢索他不應該檢索的數據庫表,例如用戶賬號密碼表等。因此,一般要驗證一些常見的用于數據庫操作的語句,例如搜索信息是否含有“Select”等,這樣來限制用戶輸入,避免信息的泄露。
4.頁面行為方式缺乏邏輯
在網站中注冊新用戶的時候,一般會首先要求用戶輸入自己需要注冊的賬號信息,驗證該賬號是否已經存在,確保用戶的單一性。如果用戶的注冊信息通過了“存在該賬號”的檢測,在編程的時候就認為這個賬號一定不存在,可以注冊,在注冊頁面中直接使用“nsertInto”語句將注冊信息插入用戶數據庫。上述的問題是:將注冊信息插入數據庫之前,并沒有再一次檢查這個用戶是否存在,而是信任前一個檢測頁面?zhèn)鱽淼馁~號信息。由于可以閱讀和保存HTML文件的源代碼,如果用戶將注冊通過的頁面保存并且將上面的賬號信息修改為一個已經存在的賬號,由于程序認為該賬號已經通過檢測,直接將該賬號插入數據庫,原來擁有該賬號的用戶信息就被修改,造成用戶信息流失、出錯等情況的發(fā)生。如果這個賬號剛好是一個管理員賬號,結果將是很難預料的。
使用以上錯誤方式編程的程序員很多,隨便在網上找就可以找到很多這種方式編程的源代碼和已經采用的程序。在電子商務初期,一些電子商務網站的程序中,存在著用戶可以隨意定義自己購買商品的價格這樣的漏洞,也就是由頁面行為方式缺乏邏輯造成的。
當然,網站安全還包括比如服務器攻擊、病毒攻擊等方面,但這些方面基本都屬于上文中介紹過的網絡安全問題,另外由于篇幅問題許多細節(jié)問題也不在此累贅了。
三、網站安全管理策略探討
1.網絡安全的管理
1.1使用防火墻
防火墻作為使用最多,效率最高的網絡安全產品自然有它自身的優(yōu)勢,所以防火墻在整個網絡安全中的地位將是無可替代的。
1.2與因特網接入處增設網絡入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(IDS即IntrusionDetectSystem)是實時網絡違規(guī)自動識別和響應系統(tǒng),它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方,通過實時截獲網絡數據流,能夠識別、記錄入侵或破壞性代碼流,尋找網絡違規(guī)模式和未授權的網絡訪問,一經發(fā)現(xiàn)入侵檢測系統(tǒng)根據系統(tǒng)安全策略做出反應,包括實時報警、自動阻斷通信連接或執(zhí)行用戶自定義安全策略等。
1.3病毒防御
選購殺毒軟件,必須考慮產品的采購成本、應用(管理、維護)成本,以及將來企業(yè)或網絡規(guī)模變化后,軟件能否實現(xiàn)平滑過渡等問題。只有明確需求,重視產品的應用和管理,把網絡防病毒納入到信息安全防范體系之中進行綜合防范,才能有效提升企業(yè)的信息安全水平。單純防病毒,并不是企業(yè)的最終目標。
當然,對于網絡安全的防御目前比較成熟的技術相當多,我們只有認準適合自己的技術,并采用多種技術相互結合才能達到相應的目的,由于篇幅有限對于其他諸如身份認證、數字簽名等技術的介紹就不在此累贅了。
2.網站自身的安全管理
2.1網站服務器的安全管理
網站服務器的日常管理、維護工作包‘括網站服務器的內容更新、日志文件的審計、安裝一些新的工具和軟件、更改服務器配置、對服務器進行安全檢查等。主要注意以下幾點:
①從網絡結構設計上解決安全問題
安裝一個功能強大的防火墻可以有效防御外界對Web服務器的攻擊,還可通過安裝非法人侵監(jiān)測系統(tǒng),提升防火墻的性能,達到監(jiān)控網絡、執(zhí)行立即攔截動作以及分析過濾封包和內容的動作,當有入侵者攻擊時可以立刻有效終止服務。同時應限制非法用戶對網絡的訪問,規(guī)定具有特定IP地址的客戶機對本地網絡服務器的訪問權限,以防止從外界對網絡服務器配置的非法修改。
②定期對網站服務器進行安全檢查
由于網站服務器是對外開放的,容易受到病毒的攻擊,所以應為服務器建立例行安全審核機制,利用漏洞掃描工具和IDS工具,加大對服務器的安全管理和檢查。另外,隨著新漏洞的出現(xiàn),我們要及時為服務器安裝各類新漏洞的補丁程序,從而避免服務器受到攻擊和出現(xiàn)其他異常情況。
③定期進行必要的數據備份
對服務器上的數據定期進行備份是很重要的。網站的核心是數據,數據一旦遭到破壞,后果不堪設想。除了設置相應權限外,應建立一個正式的備份方案,而且隨著網站的更新,備份方案也需要不斷地調整。
2.2數據庫安全管理
數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業(yè)務應用系統(tǒng)后臺數據庫的安全性,采用基于Client/Server模式訪問后臺數據庫,為不同的應用建立不同的服務進程和進程用戶標識,后臺數據庫系統(tǒng)以服務器進程的用戶標識作為訪問主體的標識,以確定其訪問權限。我們通過如下方法和技術來實現(xiàn)后臺數據庫的訪問
控制。
①訪問矩陣
訪問矩陣就是以矩陣的方式來規(guī)定不同主體(用戶或用戶進程)對于不同數據對象所允許執(zhí)行的操作權限,并且控制各主體只能存取自己有權存取的數據。它以主體標行,訪問對象標列,訪問類型為矩陣元素的矩陣。Informix提供了二級權限:數據庫權限和表權限,并且能為表中的特定字段授予Select和Update權限。因此,我們在訪問矩陣中定義了精細到字段級的數據訪問控制。
②視圖的使用
通過視圖可以指定用戶使用數據的范圍,將用戶限定在表中的特定字段或表中的特定記錄,并且視圖和基礎表一樣也可以作為授權的單位。針對不同用戶的視圖,在授權給一用戶的視圖中不包括那些不允許訪問的機密數據,從而提高了系統(tǒng)的安全性。
③數據驗證碼DAC
對后臺數據庫中的一些關鍵性數據表,在表中設置數據驗證碼DAC字段,它是由銀行密鑰和有關的關鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數據庫中的數據,則DAC效驗將出錯,從而提高了數據的安全性。
2.3編碼中的安全管理
防止惡意代碼注入
①驗證輸入,使攻擊者無法注入腳本代碼或使緩沖區(qū)溢出
②對所有包含輸入的輸出進行編碼。這可防止客戶端瀏將潛在的惡意腳本標記作為代碼進行轉換。
③使用接受參數的存儲過程,防止數據庫將惡意SQL輸為可執(zhí)行語句進行處理。同時使用特權最低的進程帳戶和模擬帳戶。在攻擊者企圖應用程序的安全上下文執(zhí)行代碼時,可緩解風險并減少損害。
防止會話劫持:
①分隔個性化cookie和身份驗證cookie。
②僅通過HTTPS連接傳遞身份驗證cookie。
③不傳遞在查詢字符串中代表已通過身份驗證的用戶標識符。
最為一名網絡或者網站管理員,有責任同時也有義務做好網站的維護與管理,這就需要我們管理人員時刻保持虛心學習的心態(tài),時刻關注新的管理技術與安全防御技術。對于已經出現(xiàn)的安全問題應該用最快、最有效的方法加以解決,對于目前還未出現(xiàn)的安全問題要有預見性,這才是一名優(yōu)秀的網絡管理員。
參考文獻:
[1]沈文智.MicrosoftBS網頁技術[M].北京:人民郵電出版社.1998.
[2]沈昌樣.網絡安全與信息戰(zhàn).網絡安全技術與應用.2001.
從安全技術架構來說,網站群的安全問題主要在于網絡層、操作系統(tǒng)、數據庫的安全。高職院校一般都具備獨立的數據中心。以浙江醫(yī)藥高等專科學校為例,目前已建有MIS+S(基本信息安全保障)系統(tǒng)架構,隨著硬件驅動已轉變?yōu)閼抿寗樱W絡信息基礎設施和服務都有了大幅度的提升,能夠從物理安全、網絡安全、系統(tǒng)安全、應用安全四個環(huán)節(jié),打造網站群安全防范技術體系,實現(xiàn)動態(tài)防御、主機安全、備份和恢復、安全審計、安全測試配置、安全監(jiān)控,應用分析等目標。
1.1動態(tài)防御
網站群安全防范技術體系以往,我們通常利用防火墻、雙核心網絡設備以及DMZ區(qū)來實現(xiàn)應用防護,防范惡意攻擊和病毒入侵的能力有限。在網絡安全問題日趨嚴重和復雜的情況下,需要加固原有的網絡拓撲結構,增加應用防護系統(tǒng)、統(tǒng)一防惡意代碼軟件、網絡管理系統(tǒng),與防火墻一起建立動態(tài)防御體系。只有為網站群和服務建立訪問控制體系,才能將絕大多數攻擊阻止在到達攻擊目標之前,或攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標,最終提升網站群系統(tǒng)的物理安全、網絡安全和應用安全。我們將網站群系統(tǒng)所在區(qū)域從原DMZ區(qū)劃分出來,與其他Web應用一起規(guī)劃為安全級別較高的WebServer服務區(qū)域。同時,在該區(qū)域部署統(tǒng)一惡意代碼防范管理系統(tǒng),建立安全的病毒防護措施。在核心交換和WebServer服務區(qū)域間,通過串聯(lián)部署方式,增加一臺WAF(應用防護系統(tǒng)),起到防護Web應用、漏洞檢測作用,確保網站群在內的Web應用完整性。同時,開啟硬件防火墻上的網站防篡改、IPS功能、日志功能,建立攻擊監(jiān)控體系,實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源,等)。網站群系統(tǒng)管理員在統(tǒng)一惡意代碼防范管理平臺上,對網站群主機進行遠程控制。包括:遠程啟動或停止實時監(jiān)控、手動掃描、實時更新、功能組件配置、設定分組任務或策略,等,以有效阻隔外來病毒入侵及內部病毒清除,有效保障系統(tǒng)安全。眾所周知,網絡攻擊也可以來自于局域網內部,如內網DoS攻擊、ARP等病毒攻擊。對于內網攻擊的防范,通常采取的應對方法有:為內網終端安裝病毒防護軟件、加強用戶病毒查殺意識,在網絡設備上劃分VLAN進行邏輯隔離、設置ACL訪問控制。現(xiàn)階段,我們還啟用硬件防火墻上的IPS、DDoS/DoS內網防護、病毒防御策略等功能來加強防范。同時,利用上網行為管理設備,對內網終端實施安全檢查、網絡準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施,針對內網攻擊事件查看分析用戶行為記錄并定位,并且依據學校相關規(guī)章制度進行處置處理(如《校園網用戶守則》、《校園網聯(lián)網安全保護管理辦法》、《校園網系統(tǒng)安全管理制度》,等),提高局域網內部的綜合防范能力,減少內網攻擊事件的發(fā)生。
1.2主機安全
主機安全是網站群系統(tǒng)安全的保障。可以采用雙機熱備的方式來解決主機冗余問題。但是,由于網站群系統(tǒng)應用的重要性和網絡安全的復雜性,為提高主機安全能力,還需要構建主機集群環(huán)境,以保障網站群系統(tǒng)的持續(xù)運行。目前,高職院校為提高數據中心的利用率和采購運行成本,通常會采用服務器虛擬化軟件規(guī)劃虛擬數據中心。在該環(huán)境中,統(tǒng)一存儲設備部署在后端,為物理服務器(虛擬主機)提供空間資源,并為前端虛擬機提供數據存儲資源;數臺高性能服務器作為虛擬主機,隨時劃分前端虛擬機,并提供虛擬機所需的CPU、內存資源、存儲器訪問權和網絡連接能力,滿足各項應用的服務器需求。采用虛擬機(VM)部署網站群雙機熱備,在降低采購成本的同時,提高了網站群主機的靈活性、冗余保障和容災遷移能力,保障網站群主機操作系統(tǒng)的安全需求。為了減少網站群所在虛擬主機(物理服務器)的單點故障,實現(xiàn)網站群系統(tǒng)的不間斷運行,我們利用vSphere集群功能,在虛擬數據中心內,配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個集群中在資源許可的情況下,將一臺出現(xiàn)故障的虛擬主機上面的網站群虛擬機切換到集群中另一臺虛擬主機上運行(如192.168.0.116和192.168.0.118)。應用業(yè)務時間間斷由VM系統(tǒng)啟動時間、應用啟動時間、心跳檢測時間構成。
1.3備份和恢復
數據資料是整個網站群系統(tǒng)運作的核心,建立良好的備份和恢復機制,可以在應用系統(tǒng)遭受攻擊時,盡快地恢復數據和系統(tǒng)服務。以往,為降低備份容災成本,會采用純軟件模式,通過編輯腳本文件,連接兩臺熱備服務器,將數據實時復制到另一臺服務器上,如果一臺服務器出現(xiàn)故障,可以及時切換到另一臺服務器,避免了磁盤陣列的單點故障。在網絡安全的新形勢下,為實現(xiàn)應用數據及業(yè)務存儲系統(tǒng)的完整性和可靠性,我們在網絡拓樸的DMZ區(qū)域,接入存儲備份一體機(浙江醫(yī)藥高等專科學校采用SymantecBE3600),構建高可用性的存儲備份環(huán)境。利用其存儲空間及備份管理系統(tǒng),實現(xiàn)有效的異地備份,為網站群的容災備份提供了進一步的安全保障。通過制定備份策略,選擇合適的備份頻率,采用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時恢復失敗的網站群虛擬機,快速恢復丟失的應用程序服務,全面提升網站群的數據安全及備份恢復能力,避免在各種極端情況下造成的重大損失和惡劣影響。
1.4安全審計
網站群要達到可控性與可審查性,就必須對站點的訪問活動進行多層次的記錄。安全審計是網站群主機安全和應用安全中的重要環(huán)節(jié),審計范圍要覆蓋到主機上的每個操作系統(tǒng)用戶和數據庫用戶,審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關事件,及時發(fā)現(xiàn)非法入侵行為。以旁路方式部署了一臺審計設備,并接入核心交換。審計設備通過對交換機的鏡像口進行旁路監(jiān)聽。網站群系統(tǒng)管理員可通過B/S方式使用日志管理綜合審計系統(tǒng),從網絡運行維護、數據庫安全及系統(tǒng)安全審計等方面,采集所有網站群的數據庫訪問行為記錄,收集客觀、實時的分析數據。一旦發(fā)生網站群網絡信息安全事件,系統(tǒng)管理員可根據網站群用戶對數據庫系統(tǒng)的所有操作信息,進行準確快速定位,并排除安全隱患。此外,為確保安全審計,還應要求網站群開發(fā)人員去除或隱藏程序中的刪除日志功能。
1.5安全測試與配置
由于網絡安全不是絕對的,因此,在建立技術防范體系后,我們按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》中的第二級基本要求,對網站群的操作系統(tǒng)、數據庫和應用系統(tǒng)進行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數據完整性和保密性,從而確保信息和管理安全。我們采用Centos和Oracle來構建網站群的操作系統(tǒng)和數據庫環(huán)境,相關配置如下:
1.5.1身份鑒別良好的身份認證體系可防止攻擊者假冒合法用戶。為此,須對登錄操作系統(tǒng)、數據庫系統(tǒng)、網站群的用戶進行身份標識和鑒別,操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易冒用的特點,并確保用戶名具有惟一性。因此,我們做了相關配置:編輯操作系統(tǒng)文件etc/login.defs文件,應達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數PASS_MIN_DAYS0#新建用戶的密碼最短使用天數PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數PASS_MIN_LEN6#最小密碼長度6編輯操作系統(tǒng)文件/etc/pam.d/system-auth文件,應達到密碼復雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數字、至少包含2個特殊字符數編輯操作系統(tǒng)文件etc/pam.d/system-auth文件,采取結束會話、限制非法登錄次數和自動退出等措施,實現(xiàn)登錄失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設置密碼連續(xù)錯誤6次鎖定,鎖定時間300s。對于數據庫的身份鑒別,我們通過配置Oracle公司提供的驗證密碼復雜度的函數來實現(xiàn)。對于網站群系統(tǒng),后臺管理用戶密碼復雜度設置高級別,對密碼的長度、大小寫、特殊字符都方面都要做要求,同時設置口令有效期。
1.5.2訪問控制訪問控制更側重于管理層面,要求操作系統(tǒng)和數據庫管理帳號和實際操作都必須為不同人員。我們制定相關崗位職責文件,實現(xiàn)權限分離,責任分離。如:依據安全策略控制用戶對資源的訪問;實現(xiàn)操作系統(tǒng)和數據庫系統(tǒng)用戶權限期的分離;限制默認帳戶的訪問權限,重命名系統(tǒng)默認帳戶,修改帳戶的默認口令;應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。此外,我們對網站群的角色權限進行細分,做到權限相互制約。如超級管理員具有所有功能的操作權限,二級網站管理員只能具有自己站點的操作權限,審計員只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系統(tǒng)方面,我們遵循最小安裝的原則,僅安裝需要的組件和應用程序,使得端口和服務實現(xiàn)最小化;通過對安全漏洞的周期檢查,設置升級服務器等方式保持系統(tǒng)補丁及時得到更新,從而使絕大多數攻擊無效。
1.5.4資源控制系統(tǒng)資源控制主要指終端接入的方式、IP地址范圍及登錄次數限制。我們做了相關配置。
2網站群安全防范措施
單純期望某一個安全技術或體系架構就能夠全面消除或解決網絡安全威脅和風險的想法是不現(xiàn)實的。高職院校網站安全問題突出,還歸結于學校對網站安全不重視,網站信息保護意識差,網站日常維護缺失,等。我們只能通過大量實踐,在網絡安全實戰(zhàn)對抗中不斷完善,明確責任和義務,建立管理制度和安全制度。管理是網絡安全的重要部分,在對網站群部署進行有效的安全風險(安全威脅)識別和評估后,我們還圍繞技術層面、組織層面、管理層面、服務層面,完善網站群安全防范措施。建立學校、部門兩級運行維護的組織體系,按集中建站、分級管理、制度約束、服務保障的原則,通過統(tǒng)一策劃、統(tǒng)一標準、統(tǒng)一資源、統(tǒng)一平臺來實現(xiàn)集中建站。按照國家有關規(guī)章制度和安全辦法(策略),形成制度約束機制,確保網站群在高效、安全、有序的體系下運作。理順管理體制與職責,構建主站和子站間的垂直管理體系,制定網站群管理辦法、建立網站群管理和信息員制度、制定安全規(guī)范及操作手冊、建立內容管理與審核制度、明確各網站內容管理與運行管理崗位職責、規(guī)范工作流程、完善信息等環(huán)節(jié),全面做好網站群安全管理工作。通過提升服務管理水平,構建健全的網站群服務體系。我們參考ISO/IEC20000-1采用的PDCA方法論,從規(guī)劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手,根據學校技術、政策和資源等實際環(huán)境,加強安全服務管理,確保網站群服務水平。并參考信息安全服務體系,從安全評估服務、安全修復服務、安全保障服務、安全信息服務、安全培訓服務、數據恢復服務、產品集成服務八個方面,加強安全服務。
3網站群保障體系構建效果
(一)網絡系統(tǒng)的軟硬件及系統(tǒng)數據受到保護,不受外界因素或者惡意的破壞所影響,系統(tǒng)可以正常的運轉,網絡服務不會中斷就是網絡安全的定義。
(二)網絡安全具有一些鮮明的特征,其不同于其他技術,計算機網絡是一個虛擬的世界,其特征也是具有多樣性的特點。
1.保密性:計算機網絡技術應將信息嚴格保密,未經許可不能向非授權用戶及實體進行泄露,也絕對不允許非授權用戶使用。
2.完整性:當在網絡上進行存儲時要具有存儲過程中未經授權不能改變和破壞丟失數據的特點。
3.可用性:指的是可以在授權實體的要求下進行使用的特點,通俗的說也就是能夠隨時存取所需要的信息。網絡環(huán)境下破壞服務、拒絕服務的系統(tǒng)正常運行就屬于針對可用性這一特性的攻擊。
4.可控性:可以針對信息的傳播進行有效的控制。
5.可審查性:針對安全問題的發(fā)生提供有力的手段和依據。
二、購物網站安全現(xiàn)狀分析
當前的購物網站安全問題是商業(yè)網站發(fā)展中的突出問題,隨著網絡技術的普及和互聯(lián)網技術的迅速發(fā)展,購物網站的規(guī)模和復雜性也越來越大,其存在的安全漏洞也越來越多。而且目前的網絡攻擊現(xiàn)象也不斷增多,針對購物網站的漏洞進行惡意攻擊的現(xiàn)象不斷發(fā)生,也構成了購物網站的多種不安全因素。當前的網絡攻擊行為多種方法混合使用,復雜情況越來越多,隱蔽性也非常強,針對其的防范也越來越困難。黑客攻擊購物網站是為了獲取實際的經濟利益,木馬程序、惡意網站等危害網絡安全的手段越來越多,日趨泛濫;而且隨著人們手中的互聯(lián)網設備發(fā)展越來越迅速,手機等無線掌上終端的處理能力和功能通用性不斷提高,針對這些個人無線終端的網絡攻擊也開始出現(xiàn),而且呈發(fā)展趨勢。當前的購物網站通常采用資金通過第三方支付或者網上銀行支付的方式來進行支付,這雖然增強了網上購物的支付快捷性,但是其交易的安全性還存在一定的風險。這一類的支付形式,通常很難保障消費者網上消費的安全,一旦在數據的傳輸過程遭到攻擊,消費者的銀行信息資料可能被黑客盜取,并為此遭受經濟或者隱私損失。隨著互聯(lián)網技術的發(fā)展,還有許多惡意程序攻擊用戶計算機來達到一些不法分子別用用心的目的,可能有計算機用戶在進行網上消費時落入惡意程序的陷阱,從而使得黑客通過用戶的網上銀行進入銀行數據庫盜取用戶信息,給用戶造成經濟損失。所以,網絡安全問題是一個高技術含量的復雜問題,而且越來越變得錯綜復雜,其造成的惡劣影響也是不斷擴大,短期內無法取得成效。因此在網絡安全日益嚴重的今天,必須重視對網絡安全的防范,只有做到防范到位,才能保障網絡應用的順利進行。購物網站根據網絡安全的防范要求,通常采取一些措施加以防范,保障用戶網絡安全,主要有以下幾點:第一,身份真實性的識別:保障通信實體具有真實的身份;第二,信息機密性:保證機密信息不會泄露給非授權實體;第三,信息的完整性:保證數據的完整性,防止非授權用戶對信息的破壞和使用;第四:服務可用性:防止合法用戶使用信息被非法拒絕;第五:不可否認性:有效地責任機制可以防止實體否認其行為;第六:系統(tǒng)可控性:可以控制使用資源的實體的使用方式;第七:系統(tǒng)易用性:安全要求滿足的情況下,系統(tǒng)的操作要盡量簡單;第八:可審查性:可以為出問題的網絡安全問題提供調查依據和手段。
三、保障網絡工作順暢的措施
當前階段,網絡工作要保障順暢,要采取以下措施加以保障:
(一)針對網絡病毒進行有效防范
網絡病毒是一種危害網絡安全的主要方式,其具有傳播快,擴散面廣、傳播載體多樣的特點,對于網絡病毒的清除也非常困難,其遺留的破壞力也相對較大。而且網絡病毒可以郵件附件、服務器、文件共享及郵件等方式進行傳播。針對網絡病毒要注意幾點進行防范,對于不明附件和文件擴展名不打開,不盲目運行程序也不盲目轉發(fā)不明郵件,在進行系統(tǒng)漏洞及其他操作時從正規(guī)的網站下載軟件,經常進行病毒的查殺,盡可能使用最新版本的殺毒軟件定期進行病毒查殺。
(二)積極采用入侵檢測系統(tǒng)
入侵檢測技術是一項有效防范網絡攻擊的手段。其通過對各種網絡資源和系統(tǒng)資源信息的采集,并對信息進行有效地判斷和分析,來檢測其是否具有攻擊性和異常行為,通過入侵檢測系統(tǒng)的檢測可以有效地將有害信息進行剔除,防止其進入網絡系統(tǒng)形成實際破壞和網絡隱私泄露情況發(fā)生。而且,入侵檢測系統(tǒng)還可以及時的將用戶信息及系統(tǒng)行為進行分析,針對系統(tǒng)漏洞進行檢測,及時將有害信息和攻擊行為及時通報和響應。
(三)進行防火墻的配置
防火墻是計算機網絡安全技術的重要方面。通過防火墻的設置,可以根據計算機系統(tǒng)的要求針對信息進行篩選,允許和限制數據傳輸的通過。防火墻是一項有效的保護措施。侵入計算機的黑客必須要先通過防火墻的安全警戒,才能到達計算機系統(tǒng)內部。防火墻還可以分成多個級別,形成多重保護。高級別的保護可以根據用戶自身要求來對信息進行針對性的保護,這樣可以有效保護用戶的個人隱私信息。
四、小結
論文參考文獻的引用當中,作者要在論文引用的地方準確的標注出來,然后在論文的末尾用數字加方括號依次列出參考文獻。關注學術參考網查看更多優(yōu)秀的論文參考文獻,下面是小編整理的網站開發(fā)論文參考文獻來和大家一起分享。
網站開發(fā)論文參考文獻:
[1]黃寶玉,項國雄.國家精品課程建設現(xiàn)狀分析及思考[J].中國高教研究,2007(9):72-75.
[2]史金昌.淺析基于ASP.NET的Web網絡應用程序的安全開發(fā)[J].科技創(chuàng)新導報,2008(23):37.
[3]李志勇,魏紅.高校精品課程數字化資源建設與推廣應用研究[J].電腦知識與技術,20l0(2):485-486.
[4]張書梅,符蘊芳,劉智國.網站安全管理的方法與具體實現(xiàn)[J].石家莊學院學報,2005,7(6):54-56.
[5]陽衛(wèi)文,王建斯,基于P2P流媒體系統(tǒng)模型的研究進展[J].現(xiàn)代電子技術,2008(2):159-161.
[6]萬榮澤.基于ASP.NET技術的統(tǒng)一后臺網站群的設計[J].微計算機信息,2007,23(8):260-262.
[7]王紅雨,蔡成聞.基于ASP.NET的課程平臺設計與實現(xiàn)[J].聊城大學學報:自然科學版,2007,20(1):78-82.
[8]顧正剛,畢海峰.網站規(guī)劃與建設[M].北京:機械工業(yè)出版社,2007:4-8.
網站開發(fā)論文參考文獻:
[1]孔祥鑫.基于PHP技術的校園網站的設計與實現(xiàn)[D].天津:天津師范大學,2012.
[2]李良.基于PHP的商業(yè)站點設計與實現(xiàn)[D].南昌:南昌大學,2010.
[3]杜闖.PHP在動態(tài)網站開發(fā)中的優(yōu)勢[J].電腦知識與技術,2010(13).
[4]賈素來.使用PHP和MySQL開發(fā)動態(tài)網站[J].大眾科技,2011(3).
[5]李晶.PHP技術應用于中小企業(yè)網站開發(fā)探討[J].軟件開發(fā)設計,2014(10).
[6]杜闖.PHP在動態(tài)網站開發(fā)中的優(yōu)勢[J].電腦知識與技術,2010(13).
[7]賈素來.使用PHP和MySQL開發(fā)動態(tài)網站[J].大眾科技,2011(3).
網站開發(fā)論文參考文獻:
[1]靳瑩.基于緩存技術的內容管理系統(tǒng)研究[D].吉林大學,2014.
[2]黃菊.分布式緩存技術及其在車輛監(jiān)控系統(tǒng)中的應用[D].北京郵電大學,2015.
[3]崔解賓.分布式內存緩存技術在數據處理平臺中的研究與應用[D].北京郵電大學,2015.
[4]李光瑞.Map/Reduce型海量數據處理平臺中的內存級數據緩存技術研究[D].北京工業(yè)大學,2013.
[5]易會戰(zhàn),王鋒,左克,楊燦群,杜云飛,馬亞青.基于內存緩存的異步檢查點容錯技術[J].計算機研究與發(fā)展,2014(06):1229-1239.
[6]韓陵宜.網頁制作課程教學及考核方式的研究與探索[J].計算機教學與教育信息,2008(03).
很多學術不端檢測系統(tǒng)被綁定了木馬畢業(yè)季
又是一年畢業(yè)季,畢業(yè)論文也是學生要完成的一項必須的畢業(yè)任務。從國內高校引進的“學術不端檢測系統(tǒng)”,另外一種名為
“畢業(yè)論文”的一種軟件工具曝然走紅。但是這些軟件好像都是被捆綁了病毒,導致的結果就是篡改瀏覽器的主頁面。
并且頻繁的彈出廣告,建議廣大的畢業(yè)生開啟一些安全軟件譬如木馬防火墻等以免中招。
目前搜索“畢業(yè)論文軟件”可以找到約百萬條結果,其中有些網站宣稱可以免費下載,有些網站則是明碼標價售賣,五花
八門的下載地址讓人難以甄別。然而木馬往往就暗藏在一些下載鏈接中,用戶在下載運行后,木馬就會自動釋放并潛伏在電腦
里,通過刷廣告流量非法獲利。
360互聯(lián)網安全中心檢測發(fā)現(xiàn),網上流傳的“軟件”多數都不具備相應功能,而是偽裝熱門資源誘騙下載。此外,由于論
文比對技術比較復雜,評判標準不統(tǒng)一,論文數據庫龐大,此類軟件實際效果也很難保障。不法分子就抓住部分畢業(yè)生投機取
巧的心理,大肆傳播木馬。
關鍵詞:亞運會;科報會;設計
中圖分類號:TP311.52文獻標識碼:A文章編號:1009-3044(2010)13-3362-02
Design and Implementation of the Asian Games Scientific Papers Report Council Web Site
LI Xiao-qiang
(Guangzhou Institute of Physical Education Modern Education Technology Center, Guangzhou 510015, China)
Abstract: This paper first analyzes the report of the Asian Games will be the functional design, performance design and security design, and then we have put forward a detailed implementation program on this design, finally, we use Java Struts framework technology to achieve the entire site development.
Key words: asian games; scientific papers report council; design
亞運會科報會網站是為了在廣州亞運會舉辦之前能給大家提供一個很好的交流平臺。亞運會科報會網站是基于B/S結構開發(fā)的,亞洲各地區(qū)都可以通過網絡來訪問我們的網站,向我們的網站投稿論文。整個網站系統(tǒng)的管理是基于中心服務器來管理的,數據中心在學校的網絡中心主機房,各地區(qū)用戶都是通過網絡訪問中心服務器。集中式的管理有利于數據的統(tǒng)一管理,保證了系統(tǒng)的實時性,有效性和完整性。
1 系統(tǒng)的功能設計
亞運會科報會網站分為前臺系統(tǒng)和后臺管理系統(tǒng)兩大功能模塊。前臺系統(tǒng)的主要功能有首頁、用戶注冊、用戶登陸、會議介紹、會議動態(tài)、征文事項、重要時間、交通路線、下載專區(qū)、參會注冊、聯(lián)系我們。后臺管理系統(tǒng)的主要功能有系統(tǒng)管理、用戶管理、內容管理、文件管理、論文管理、我的信息、緩存管理、基礎數據。在系統(tǒng)功能設計中,用戶管理功能和論文審核功能這兩個是系統(tǒng)實現(xiàn)的關鍵,現(xiàn)在將具體來分析這兩個功能。
1.1 用戶管理功能
亞運會科報會的用戶非常的多,他們之間是分為三類:一個是系統(tǒng)的管理員用戶;另一個是普通用戶;最后一個是評審專家用戶。系統(tǒng)管理員用戶負責整個網站信息的和用戶的審核、權限的分配以及其他的管理功能。普通用戶主要是把自己的論文投稿到我們的系統(tǒng)中。評審專家用戶主要是負責評審投稿過來的論文,然后給普通用戶發(fā)送具體的評審結果。這個用戶權限的管理我們采用了角色的管理,也就是說把這三種類型的用戶分配到三個不同的角色中,然后再給每個角色定義不同的權限。這樣就有利于我們這種多用戶數量的權限管理功能。
1.2 論文審核功能
論文審核是本站設計的重點內容,亞運會科報會網站的設立就是為了能征集更多的有關于亞運會的論文資料。但是,征收到的資料可能很多是不合格的,所以,我們專門成立了專家組來審核這些論文,把有價值的論文抽取出來,然后在大會上來交流,從而有利于亞運會的順利召開和圓滿閉幕。具體的審核流程如圖1所示。
從圖中,我們可以看出論文的審核流程首先由系統(tǒng)的普通用戶提交論文,然后由我們學校科研處工作人員做簡單的形式審核,通過后再提交給評審專家審核,專家審核后一方面把審核意見發(fā)給作者,另外一方面發(fā)信息給我們學院的財務處。最后對論文進行歸檔整理。
2 系統(tǒng)的實現(xiàn)
亞運會科報會系統(tǒng)的實現(xiàn)采用Java Struts框架來實現(xiàn)各功能模塊,采用Oracle數據庫作為數據的存儲。系統(tǒng)的開發(fā)完全按照軟件工程的開發(fā)的思想來進行。下面主要對系統(tǒng)實現(xiàn)過程中的關鍵技術來做探討。
2.1 Java Struts 框架技術
Java技術是目前非常流行的一種網站開放技術,Struts就是java技術的一種框架技術。Struts框架技術是MVC技術的一種,它實現(xiàn)了頁面和程序的分離,在頁面上都不會出現(xiàn)處理邏輯的java代碼,從而提高了程序的可靠性和可維護性。亞運會科報會網站的實現(xiàn)就是采用了Java Struts框架技術。
2.2 緩存技術的實現(xiàn)
緩存是“以空間換時間”策略的典型應用模式,是提高系統(tǒng)性能的一種重要方法。緩存的使用在訪問較大的情況下能夠極大的減少對數據庫操作的次數,明顯降低系統(tǒng)負荷,提高系統(tǒng)性能。本系統(tǒng)的緩存是一個功能比較完善的緩存,它能夠對自己進行管理。它自身設置一個線程,隔一段時間就檢查緩存的使用情況,對于過期的內容進行刪除,如果緩存的內容占有它所擁有的空間的97%,淘汰內容,直到它占有空間不超過90%。緩存實現(xiàn)的具體過程如圖2所示。
從圖我們可以看出,當視圖JSP需要一些常用信息時,先到緩存讀取信息,緩存根據視圖JSP提供的條件所對應緩存的索引,查找相關信息。如果緩存里面有相關信息,將相關信息返回給視圖,如果沒有找到相關信息,到數據庫查詢相關,查詢完畢,把相關信息放進緩存,同時也返回相關信息到視圖。由圖可以看到,緩存可以減少對數據庫的操作。
2.3 系統(tǒng)安全性的實現(xiàn)
2.3.1 用戶權限管理
通過建立不同的用戶組和用戶口令驗證,可以有效地防止非法的用戶進入網站的核心數據庫;另外,通過授權來對用戶的操作進行限制,允許一些用戶對數據庫服務器進行訪問,而大多數用戶只能在同組內進行讀寫或對整個數據庫只具有讀的權利。
2.3.2 病毒防護
在網絡入口,我們需要采用防病毒過濾網關,并要確保用戶終端和服務器要安裝網絡版的防病毒軟件,管理員要及時進行防病毒軟件或系統(tǒng)的升級,完成各類操作系統(tǒng)和系統(tǒng)軟件的補丁、防病毒軟件的病毒庫的更新。
2.3.3 數據備份與恢復
核心數據庫必須建立完善的數據備份及恢復機制,定期對數據進行備份,當計算機的軟硬件發(fā)生故障時,利用備份進行數據庫恢復,以恢復破壞的數據庫文件、控制文件及其他文件。還要記錄數據庫中所進行的各種操作,包括修改、調整參數等,在數據庫內部建立一個所有作業(yè)的完整記錄,即日志。另外,要備份控制文件,因為控制文件中的某些狀態(tài)信息在數據恢復期間可以用來引導數據庫。
3 結束語
亞運會科報會網站的完成給廣州亞運會的舉行提供了交流平臺。亞洲各地區(qū)的人都可以通過這個平臺來,提出自己的建議,為亞運的召開增添光彩。
參考文獻:
[1] 李文中.適應性Web 緩存的研究[J]. 計算機科學,2005,32(4):11-15.
1、可以去中國知網、維普、萬方這三個文獻資料專業(yè)網站上去查找。畢業(yè)論文的文獻資料,你可以去中國知網、維普、萬方這三個文獻資料專業(yè)網站上去下載,但是這三個網站是付費的,如果你在學校內下應該是免費的,一般學校都會購買這幾個網站的文獻,在校內網絡下是免費的。當然,網上資料也不會完全,還得去圖書館找些東西。
2、可以在萬維、知網上進行論文。雖然市面上出現(xiàn)了很多第三方機構,但在選擇的時候首先一定要注意他們的安全機制,即是否能夠保障你的論文安全,不被泄露;其次就是看他們的算法是否科學合理,數據庫是否涵蓋廣、是否及時更新,因為只有算法科學,數據庫范圍廣且及時更新,它的結果才會更準確。
(來源:文章屋網 )
關鍵詞:高校學報;網站建設;實用性;在線服務;教育與培訓
對于高校學報網站的建設是否有必要,網站要解決什么問題,能達到什么樣的功效,以及要建成包含什么內容的網站,都是建站需要考慮的問題。本文以華僑大學學報網站的建站經驗,闡述高校學報網站建站的實用性。
網站建設的必要性
利用電子郵件的網絡信息交流功能,改變編輯的工作模式,降低編輯人員的工作強度、縮短稿件的運轉周期。這是網絡世界在編校工作中的一個實際應用。但在實際工作中發(fā)現(xiàn),不少郵件“失蹤”了,有時收不到作者、審者的郵件,卻收到其他單位的郵件;有時收到的郵件被診斷為帶病毒郵件而被自動刪除;更多的時候是垃圾郵件所占的比例非常高,占據了郵箱空間,而使得正常郵件被退回。垃圾郵件和病毒對郵件的攻擊,使得接收電子郵件的安全性得不到保障。另一方面,傳統(tǒng)的郵局渠道存在著郵寄周期長、郵寄費用高等問題,再加上信件有時會出現(xiàn)破損、丟失等一些令人無奈的情況。綜合考慮,有必要建立一種安全、穩(wěn)定、高效的稿件管理系統(tǒng)。
目前,高校的作者群、讀者群、審者群都在不斷“流動”,網絡已經成為他們工作、生活的重要部分。華僑大學有泉州和廈門兩校區(qū)(這種情況我國高校也不少見),作者群、讀者群、審者群不僅分散兩地,甚至分布全國各地,乃至國外。對學報而言,如何通過網絡搭建一個信息平臺,構建聯(lián)系作者、讀者、編者和審者的橋梁紐帶,成為必須考慮的問題。通過建設網上的在線投稿系統(tǒng)、在線審稿系統(tǒng)、信息交流平臺等,可以很好地將這四個方面群體有機地聯(lián)系起來。
其次,現(xiàn)在的編輯工作已經不再是一個“紙上談兵”的模式,如何利用學報網站這個信息平臺,讓編輯人員在線辦公,通過網站的在線辦公系統(tǒng)直接進行稿件的編校,如果輔于視頻系統(tǒng)、短信通知系統(tǒng),還可以和作者進行面對面的交流,這將極大地提高學報編輯人員的工作效率,改善他們的工作強度。
第三,目前我國的高校教育存在著一定的不足,有關文獻查詢、論文寫作和編輯學的教學指導跟不上,作者、讀者、編者群體缺乏相關的理論性指導,學報網站可以起到輔助教育功能的作用、通過網絡平臺有目的地進行理論性指導,可以填補學生、青年教師在論文撰寫方面知識的不足,填補編輯接受編輯理論培訓的不足。
此外,網站是個立體媒體,可以起到擴大學報乃至學校的對外影響,增加學報的讀者群體,拓寬稿源渠道,吸引高質量的稿件,提高學報的學術水平,促進學報與其他相關部門的信息交流和聯(lián)系,發(fā)展網絡期刊等,對提高學報的工作效率和社會效益都將起到積極的作用。
建站思路
策劃建設學報網站的思路主要基于實用性、簡潔性原則,網站可以不必解決所有問題,只要解決實際問題。學報網站的實用性原則就是本著“讀者第一”的理念來設計和制作的,一是要集中精力辦好幾個欄目,不追求大而全;二是設計上力求簡潔明快,要讓讀者一目了然,同時應突出交互功能,提高網站的親和力和增強學報網站的凝聚力;三是充分發(fā)揮網上信息傳播的迅捷特點。
所指的實用性主要體現(xiàn)在能解決學報參與者(作者群、讀者群、審者群、編者群)的需求和實際面臨的問題,改善他們使用學報網站的效能,第一時間他們需要獲取的即時信息和資料,提供他們獲取信息的獲取最佳途徑。如為了提供穩(wěn)定、安全的稿件處理模式,需要建立稿件在線管理系統(tǒng),為作者投稿、專家審稿等提供方便;為了便于讀者、作者了解學術動態(tài)及各種與學報相關的信息,緊跟科流。應提供信息平臺,介紹與學校重點學科或專業(yè)相關的期刊,并與它們建立友情鏈接,及時學報被國內外檢索刊物和數據庫收錄情況、論文獲獎情況、被引頻次和影響因子、出版發(fā)行及稿費發(fā)放等信息。甚至于作者稿件被轉載的情況;為了便于讀者、作者了解寫作規(guī)范,應及時提供投稿指南、編排規(guī)范,建立編讀交流的平臺。
此外,學報網站建設還需要考慮構架與網頁的設計,為了體現(xiàn)明快、簡潔、方便,學報網站應盡可能做到結構簡單合理、清晰規(guī)范,并要做到及時更新、分類清楚、準確可信。
網站建設應考慮的實用功能
學報網站的設計應圍繞遠程服務、教育與培訓、“交互式”交流和資訊服務等幾個方面功能著手。
一、遠程服務功能
遠程服務就是要讓使用者隨時隨地地通過學報網站的稿件管理系統(tǒng),實現(xiàn)稿件在線的流程處理,通過瀏覽權限的設置,無論是作者、讀者、審稿專家,還是編輯、主編等都可以很好地處理稿件。(1)通過在線投稿系統(tǒng),作者可以進行投稿,讀取經編輯復核過的專家意見,查詢稿件處理程度;可以將編輯排版好的稿件下載校對,或者在網上直接進行校對,實現(xiàn)遠程作業(yè)等。(2)通過在線審稿系統(tǒng),審稿專家能直接閱讀稿件、填寫審稿意見,并在編輯的技術處理下,直接與作者進行“面對面”的溝通和學術交流。(3)通過在線辦公系統(tǒng),編輯人員可以直接在網上對稿件進行處理,處理程度不僅限于投稿、審稿,還可以擴展到對稿件進行編輯和校對。當然,這需要輔以相應的軟件,而這些軟件在網站上是可以下載和共享的。因此,理論上編輯是可以在家上班的,而主編、主任可以通過網站并結合QQ,MSN等在線視頻工具和編輯人員進行“現(xiàn)場”辦公,并在網站上各類消息。
二、教育與培訓功能
(一)針對作者和讀者。在日常的稿件編輯中經常發(fā)現(xiàn),不少作者對規(guī)范不了解,尤其是研究生作者和年青教師,這給編校工作造成了不少的影響,而有的問題是經常性、重復性地出現(xiàn)。我國的高校教育存在著一定的不足,不少高校對學生的文獻查詢和論文寫作缺乏理論性指導,也有的導師實際上對現(xiàn)有的國家標準和規(guī)范、寫作要點也不甚清楚,他們習慣沿用廢棄和非規(guī)范的符號進行論文寫作,因此提供投稿指南、編排規(guī)范,特別是為年青教師及研究生提供論文撰寫規(guī)范和指導是十分必要的。為此,網站專門設立包括校對符號、量和單位的符號等相關的國際標準和國家規(guī)范,以及學報要求的摘要、題目、論文格式的寫作規(guī)范,引導作者在投稿時按規(guī)范對稿件進行預處理,一方面對于作者和讀者的寫作提高有幫助,另一方面可以極大地減輕編輯人員不必要、重復性的工作負荷。
(二)針對編輯人員。在學報界,進入編輯部的青年編輯一般是近幾年從高等院校畢業(yè)分配來的或從其他科技工作崗位調入的,從事編輯工作的時間較短,絕大多數不是學編輯專業(yè)的,專業(yè)不對口情況在全國各高校學報是司空見慣的;編輯人員參加過編輯業(yè)務培訓的比例十分少,且參加培訓后,所掌握編輯業(yè)務的熟練程度也參差不齊。因此,網站設立了編輯業(yè)務和政策法規(guī),對編輯人員從業(yè)務和理論上進行指導,同時鏈接“寫作規(guī)范”,可進一步提高編輯人員的編校水平。
三、“交互式”的交流功能
網站這個具有交流性目的的欄目,是要充分利用因特網的交互性這一特性,實現(xiàn)作者、讀者與編者之間,以及投稿人與審稿人之間的“面對面”交流。設立交流平臺,得益的不僅是讀者、作者,還是編者、是學報本身,學報網站的工作流程中最后是收集作者、讀者反饋意見,跟蹤重大課題進展,以便編輯部總結經驗,為今后的學報策劃作指導,通過交流可以及時、便捷地得到相關的信息。
四、資訊服務
