網頁安全論文范文
時間:2023-03-16 14:39:08
導語:如何才能寫好一篇網頁安全論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
網站中有全面的企業信息,用戶可以通過網站信息對企業形象和企業產品有一個全面認識,它是企業和用戶之間的一種重要交流工具,為企業和用戶交易活動的達成提供了有力保障。網站是現代企業發展的關鍵,也是電子商務的重要表現途徑,具有重要意義。網頁設計工作是網站建設工作的重要組成部分,企業網站各項內容的建設其實質是網頁設計的有機結合,網頁設計質量的高低對網站實際作用效果的好壞有直接影響。ASP、PHP或JSP等腳本語言是網頁設計較為常用的服務器端網頁設計技術,ASP、PHP或JSP等腳本語言的應用為網站技術開發人員的開發工作提供了便利,使網站資源的管理更為高效、便捷,促進了用戶與網站之間的溝通交流,用戶通過網站可以及時了解企業動向、參與企業的論壇交流、企業產品相關信息、在線調查以及貿易合作等。企業與用戶之所以可以通過網站進行交互是通過腳本語言編程技術實現的,腳本語言編程一旦出現問題,就會對網站造成不同程度的威脅,形成相應的安全缺陷,為企業內部信息帶來巨大風險。用戶輸入什么信息內容是無法預測的,具有不可控性,在網頁設計過程中如果開發人員對用戶輸入的信息內容考慮不全面或未考慮該方面內容,對網站來說此用戶所輸入的內容很可能成為一種攻擊企業網站的危險工具,對企業網站的正常運行造成不利影響。企業網絡服務器與ASP、PHP或JSP等網頁腳本語言編程是直接相連的,網頁腳本語言還與網站設置、網站數據庫有著密切關聯,腳本語言編程一旦出現問題,就會使整個網站存在安全缺陷,牽連甚廣,企業網頁受到攻擊之后可能導致企業內部信息被竊取甚至造成整個網絡癱瘓的不良后果,給企業帶來巨大損失。
2對網頁設計常見安全漏洞的分析及相應的解決方案
2.1登陸驗證中存在的安全漏洞及解決方案登錄驗證是聊天室、信息網會員區、論壇等交互性網站中必不可少的一部分,雖然在整個網站運行中登陸驗證只是其中的一小部分,卻對整個網絡的安全運行至關重要,它是整個網站的安全之口。在網頁設計過程中,開發人員常常忽略掉這一環節的設計工作。網站開發人員編程的不嚴謹致使當前很多企業網站都存在登陸驗證的安全漏洞,安全關口驗證程序的不到位為網絡安全埋下了巨大隱患,會讓不法分子有機可趁,為企業造成不必要的損失。針對登陸驗證漏洞問題,我們采取了以下解決方案:通過注冊限制的設定有效避免非法賬戶密碼的申請,對解決以上問題非常有效;其次,在SQL登陸查詢語句生成之前,先對用戶信息進行過濾(用戶名和用戶密碼),避免非法賬號密碼的應用;最后,在對用戶進行驗證之前,先驗證用戶的用戶名是否合乎標準,確認用戶名屬實后,在對密碼進行驗證。
2.2桌面數據庫安全漏洞及解決方案在ASP+Access應用系統中,網站一般會為用戶提供部分信息的下載權限,如果用戶知道Access數據庫的數據庫名和存儲路徑,就可以將其他信息也下載下來,就會造成數據的流失。多數網上圖書館Access數據庫的存儲路徑多以根目錄“(URL/”)下或“URL/database”為主,該類數據庫通常會被命名為Library.mdb或與之相關的名稱。用戶了解該信息之后,只需在瀏覽器中輸入“URL/database/Li-brary.mdb”或相關地址信息,就可以進入網上圖書館,并將圖書館中的其他信息下載到用戶本地電腦中。為解決桌面數據庫安全漏洞問題,在網站設計中,ASP程序應該采用ODBC數據源,通過采用ODBC數據源可以有效避免數據庫名稱直接出現在運行程序中的問題,ASP源代碼即使出現泄漏問題,數據庫名稱也不會因此而被竊取或流失,為網站的安全運行提供了有力保障。以下一段ASP程序代碼就是利用一般數據庫編寫的:DBPath=Server.MapPath“(./akkjj16t/acd/kjhgb661/avccx55/faq19jhsvzbal.mdb”)conn.Open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath。如果該段ASP源代碼失密后,數據庫相關信息也會被竊取,用戶可以輕易將數據庫信息下載下來。如果ASP程序代碼利用ODBC數據庫編寫,則不會存在conn.ope“nODBC-DSN名,ASP源代碼即使出現泄漏問題,數據庫名稱也不會因此而被竊取或流失。
2.3繞過驗證直接進入相關頁面的漏洞及解決方案在進入某些敏感頁面前,系統首先會對用戶進行身份驗證,如果用戶知道了與敏感頁面相關的網頁設計頁面的路徑及文件名,并且該頁面又沒有設置驗證程序,此時用戶只要輸入該設計頁面的文件名就可以進入設計頁面,成功繞過登陸驗證界面的篩選。為提高網站安全性能,開發設計人員必須對與之相關的頁面設置身份驗證程序,對用戶進行身份驗證。
2.4文件上傳漏洞及解決方案同學錄、交友網站等類似網站系統都有文件上傳功能,企業通過網站文件上傳可以進一步增進與用戶間的交流互動,但網站開發者對用戶所提交的信息缺乏充分的分析和必要的過濾,很多惡意攻擊者會利用這一漏洞在網站上上傳病毒文件、惡意文件等不良信息,這些有毒文件可能會對系統數據庫造成不同程度的損壞,某些網站攻擊者甚至以Web權限在系統上執行任意命令。通過加入文件類型判斷模塊可以有效解決文件上傳漏洞,對用戶上傳文件進行充分的分析和必要的過濾。當系統要求用戶上傳圖片文件,用戶只能以系統指定的JPG、GIF文件格式才被允許上傳,像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允許上傳的。
2.5源代碼泄露漏洞及解決方案為有效避免源代碼被竊取、遭泄露的威脅,開發者在網站設計過程中應該對頁面代碼進行加密處理,使網站的整體安全性能得到大幅度提高。ASP網頁加密方法一般包括以下兩種:通過采用微軟的ScriptEncoder對ASP網站頁面進行加密;通過采用組件技術將編程邏輯封裝到DLL當中,防止信息的丟失。當采用組件技術方案時必須對每段代碼均需組件化,該項方案的工作量較大、操作較為煩瑣,與之相比ScriptEncoder加密方案具有成效佳、操作簡單等顯著優點,將其用于解決源代碼泄露漏洞問題可以取得較好的效果,其優點主要有:HTML具有較好的可編輯性,系統其他部分無需變化,ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼,通過采用Dreamweaver或FrontPage等常用網頁編輯工具對HTML部分進行修改、完善;ScriptEncoder具有制作簡單的優點,通過幾個簡單命令行參數即可完成多功能操作。
3總結
篇2
摘要:當前,在公眾移動通信持續快速增長、移動通信網絡向3G全面演進的同時,WLAN、UWB、Zig-Bee、RFID等新的寬帶無線接入技術和短距離無線技術相繼涌現,并不斷走向成熟。無線網絡逐漸深入到各規模的企業中,通過無線方式傳輸數據使得企業內部網業務更加靈活的開展,不再局限于網線與墻面的接插面板,而無線傳輸標準也在近日有了比較大的改進,但是無線網絡或多或少存在著一定的安全隱患問題,對于企業已經建立的無線網絡又該如何保證他的安全,讓我們的企業網絡更加安全。
關鍵詞:無線;網絡安全;解決策略
伴隨著無線網絡設備的價格不斷走低,以及操作上的越來越簡便,無線局域網網絡在最近幾年企業中得到了快速普及。為了方便進行資源共享、無線打印、移動辦公操作,只要耗費幾百元錢購買一臺普通的無線路由器和一塊無線網卡設備,就可以快速地搭建好一個簡易的無線局域網網絡了。在這種情形下由于無線網絡的特點,使本地無線局域網就非常容易遭遇插入攻擊、欺詐性接入、無線通信的劫持和監視等非法攻擊。
1無線網絡安全產生因素
1.1安全機制不太健全
企業無線局域網大部分都采用了安全防范性能一般的WEP協議,來對無線上網信號進行加密傳輸,而沒有選用安全性能較高的WAP協議來保護無線信號的傳輸。普通上網用戶即使采用了WEP加密協議、進行了WEP密鑰設置,非法攻擊者仍然能通過一些專業的攻擊工具輕松破解加密信號,從而非常容易地截取客戶上網地址、網絡標識名稱、無線頻道信息、WEP密鑰內容等信息,有了這些信息在手,非法攻擊者就能方便地對本地無線局域網網絡進行偷竊隱私或其他非法入侵操作了。
此外,企業無線局域網幾乎都不支持系統日志管理、入侵安全檢測等功能,可以這么說企業無線局域網目前的安全機制還不太健全。
1.2無法進行物理隔離
企業無線局域網從組建成功的那一刻,就直接暴露在外界,無線網絡訪問也無法進行任何有效的物理隔離,各種有意的、無意的非法攻擊隨時存在,那么無線局域網中的各種隱私信息也會隨時被偷偷竊取、訪問。
1.3用戶安全意識不夠
企業無線局域網往往只支持簡單的地址綁定、地址過濾以及加密傳輸功能,這些基本安全功能在非法攻擊者面前幾乎沒有多大防范作用。不過,一些不太熟悉無線網絡知識的用戶為了能夠快速地實現移動辦公、資源共享等目的,往往會毫不猶豫地選用組網成本低廉、管理維護操作簡便的企業無線局域網,至于無線局域網的安全性能究竟如何,相信這些初級上網用戶幾乎不會進行任何考慮。再加上這些不太熟悉無線網絡知識的初級用戶,對網絡安全知識了解得更少了,這些用戶在使用無線網絡的過程中很少有意識去進行一些安全設置操作。
1.4抗外界干擾能力差
無線局域網在工作的過程中,往往會選用一個特定的工作頻段,在相同的工作頻段內無線網絡過多時,信號覆蓋范圍會互相重疊,這樣會嚴重影響有效信號的強弱,最終可能會影響無線局域網的信號傳輸穩定性;此外,無線上網信號在傳輸過程中,特別容易受到墻體之類的建筑物的阻擋或干擾,這樣也會對無線局域網的穩定性造成一定的影響。對于那些企業的無線局域網來說,它的抗外界干擾能力就更差了,顯然這樣的無線局域網是無法滿足高質量網絡訪問應用要求的。
2企業無線解決策略。
無線網絡的安全性與有線網絡相差無幾。在許多辦公室中,入侵者可以輕易地訪問并掛在有線網絡上,并不會產生什么問題。遠程攻擊者可以通過后門獲得對網絡的訪問權。一般的方案可能是一個端到端的加密,并對所有的資源采用獨立的身份驗證,這種資源不對公眾開放。正因為無線網絡為攻擊者提供了許多進入并危害企業網絡的機會,所以也就有許多安全工具和技術可以幫助企業保護其網絡的安全性。
防火墻:所謂防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。一個強健的防火墻可以有效地阻止入侵者通過無線設備進入企業網絡的企業。
安全標準:最早的安全標準WEP已經被證明是極端不安全的,并易于受到安全攻擊。而更新的規范,如WPA、WPA2及IEEE802.11是更加強健的安全工具。IEEE802.11和RADIUS鑒權通過使用IEEE802.11標準中規定的MAC層方法或使用RADIUS等高層方法可對與無線網絡相關的終端站進行鑒權。IEEE802.11標準支持MAC層鑒權業務的兩個子層:開放系統和共享密鑰。開放系統鑒權是設定鑒權服務,是終端站間彼此通信或終端站與接入點間通信的理想選擇。802.11共享密鑰鑒權容易受到攻擊,且不符合Wi-Fi標準。
WPA、WPA2及IEEE802.11i持內置的高級加密和身份驗證技術。WPA2和802.11都提供了對AES(高級加密標準)的支持,這項規范已為許多政府機構所采用。采用無線網絡的企業應當充分利用這兩種技術中的某一種。
漏洞掃描:許多攻擊者利用網絡掃描器不斷地發送探查鄰近接入點的消息,如探查其SSID、MAC等信息。而企業可以利用同樣的方法來找出其無線網絡中可被攻擊者利用的漏洞,如可以找出一些不安全的接入點等。
基于網絡的漏洞掃描。基于網絡的漏洞掃描器,就是通過網絡來掃描遠程計算機中TCP/IP不同端口的服務,然后將這些相關信息與系統的漏洞庫進行模式匹配,如果特征匹配成功,則認為安全漏洞存在;或者通過模擬黑客的攻擊手法對目標主機進行攻擊,如果模擬攻擊成功,則認為安全漏洞存在。
基于主機的漏洞。主機漏洞掃描則通過在主機本地的程序對系統配置、注冊表、系統日志、文件系統或數據庫活動進行監視掃描,搜集他們的信息,然后與系統的漏洞庫進行比較,如果滿足匹配條件,則認為安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻擊者能夠獲取root權限,侵入系統或者攻擊者能夠在遠程計算機中執行惡意代碼。使用基于網絡的漏洞掃描工具,能夠監測到這些低版本的DNSBind是否在運行。一般來說,基于網絡的漏洞掃描工具可以看作為一種漏洞信息收集工具,根據不同漏洞的特性,構造網絡數據包,發給網絡中的一個或多個目標服務器,以判斷某個特定的漏洞是否存在。
降低功率:使無線接入點保持封閉安全的第一步是正確放置天線,從而限制能夠到達天線有效范圍的信號量。天線的理想位置是目標覆蓋區域的中心,并使泄露到墻外的信號盡可能的少。同時,仔細地調整天線的位置也可有助于防止信號落于非法用戶手中。不過,完全控制無線信號是幾乎不可能的,所以還需要同時采取其它一些措施來保證網絡安全。其中降低發射器的功率,從而減少設備的覆蓋范圍。這是一個限制非法用戶訪問的實用方法。
用戶管理:企業要教育雇員正確使用無線設備,要求雇員報告其檢測到或發現的任何不正常或可疑的活動。“科技以人為本”要加強所有雇員的安全防范意識,才能使企業無線網絡安全防護真正實施。
當然,不能說這些保護方法是全面而深入的,因為無線網絡的弱點是動態的,還有很多,如對無線路由器的安全配置也是一個很重要的方面。所以無線網絡安全并不是一蹴而就的事情。
結束語:管理制度要與時俱進,而無線網絡安全技術也是如此,為了企業能夠更好的使用無線網絡,享受新無線標準帶來的高信號覆蓋,高速度傳輸等方面的樂趣,企業網絡管理員也應該實實在在的學會針對無線網絡的安全管理,讓企業網絡特別是無線傳輸更加安全,將病毒與黑客入侵阻擋在無線信號大門之外。
參考文獻
[1]《無線網絡技術導論》作者:汪濤主編出版社:清華大學出版社
[2]《計算機網絡與Internet教程[M]》.張堯學,王曉春,趙艷標,等.北京:清華大學出版社,2001.
篇3
在計算機網絡迅猛發展和廣泛普及的時代,企業的各種經營活動都立足于計算機網絡平臺,因此網絡安全一旦受到威脅,企業將面臨直接的經濟損失,更有可能給社會和整個國家帶來巨大的安全隱患。現階段,我國的大中型企業隨著業務的不斷壯大,網絡規模也不斷擴充。有些企業各地都有分公司,在不同的區域都建有局域網,這樣一個分布全國各地的龐大的網絡體系就成為企業運行的技術保障。這種企業的網絡安全更需要強有力的保障,否則一旦出現問題便有可能帶來災難性的后果。
1.1Internet的安全性
互聯網是把雙刃劍,在給企業帶來極大便利的同時,也不可避免地給企業的運營帶來了極大風險。因為黑客與病毒無孔不入,稍有疏漏,就可能使整個網絡遭受攻擊,并帶來不可逆轉的損害。因此,建立科學的網絡體系,保障系統網絡安全迫在眉睫。
1.2大中型企業內網的安全性
ERP、OA和CAD等生產和辦公系統已經在企業中得到普遍性應用,隨之而來的就是企業對這些系統的高依賴性。這樣帶來的另一個問題是內網面臨的風險。內網運行穩定、可靠、可控才能保障日常生產和辦公的進行,一定程度上,將內網信息網絡比作企業的生命線也不為過。這個內網同時由大量終端設備,大中小型服務器,各種網絡設備構成,這個其中每一個部分都要確保正常工作,否則一點小問題都有可能引發網絡的停滯甚至癱瘓。但目前大中型企業的內網安全依然存在很多安全隱患,主要表現為以下幾種情形:對外服務器缺少安全防護遭到黑客攻擊;員工上網過程缺乏有效監管,一方面會造成網絡安全隱患,另一方面也影響工作效率;此外還有一些內部的服務器被非法訪問,造成企業信息的外泄。
2大中型石油企業信息網絡安全威脅及安全體系構建
2.1大中型石油企業面臨的信息網絡安全威脅
進入21世紀以來,大中型石油企業對數字化信息網絡建設可謂不遺余力,軟硬件的建設開發中,信息網絡的安全性卻未得到足夠的重視。由于對網絡安全防護重視程度不夠,我國的大中型石油企業長期飽受網絡安全的困擾。有相關調查顯示,我國企業中,約有41%經常受到惡意軟件和間諜的入侵,63%的企業經常遭受病毒或蠕蟲攻擊。而就大中型石油企業而言,不僅面臨著外部病毒的攻擊,同時內部人員的信息泄露也考驗著企業的網絡安全。由于員工信息安全意識淡薄,上網過程又缺乏有效監管,在員工無意識的情況下,就可能引起發一系列問題。比如,企業機密信息的泄露,各種垃圾郵件的充斥,各種網絡病毒的侵襲,黑客的攻擊等等,這些問題隨著信息化的發展進程和企業經濟發展利益競爭白熱化,成為大中型石油企業最為棘手的問題。
2.2大中型石油企業網絡安全體系的全方位構建
隨著網絡攻擊的多元化,攻擊方式也是五花八門。傳統的只針對網絡層面以下的安全對策已經不足以應對如今復雜的網絡安全情況,企業必須要建立起多層次多元化的安全體系才能有效提升企業網絡信息安全指數。大中型石油企業信息網絡安全的五個重要組成:物理安全、鏈路安全、網絡安全、系統安全、信息安全。
1)物理安全。物理安全是整個網絡系統安全的前提,物理安全旨在為企業提供一個安全可靠的物理運行環境,這個更多指對企業相應硬件設施的安全防護,比如,企業服務器、數據介質、數據庫等、
2)鏈路安全。鏈路安全指的是信息輸送通道。數據傳輸過程中能夠確保內容安全、可靠、可控、能有效抵御攻擊。常見的幾種數據鏈路層安全攻擊有MAC地址擴散、ARP攻擊與欺騙、DHCP服務器欺騙與DHCP地址耗盡、IP地址欺騙。
3)網絡安全。這主要針對于系統信息方面。這個是涵蓋范圍相對廣泛的一個方面。比如,用戶口令鑒別,計算機病毒防治,用戶存取權限控制,數據存取權限,數據加密等都屬于網絡安全范疇。
4)系統安全。系統的正常運行是企業日常生產和運行的根本保障。但是,系統出現崩潰、損壞的風險依然存在,這就需要能夠有一套有效的風險預防機制和辦法。能夠確保系統崩潰時對相關信息實現最大化備份,同時能夠具備保密功能,防止系統崩潰后的信息外漏。
5)信息安全。這就要分信息的傳播安全和信息的內容安全。很大程度上是對不良信息的有效過濾和攔截。側重于對非法、有害信息可能造成的不良后果的有效遏止。信息內容角度更側重于對信息保密性、真實和完整的保護,防止網絡黑客對信息的截留、篡改和刪除等手段來達到損害企業利益的行為,本質上是對企業利益和隱私的保護。
2.3大中型石油企業安全設計的基本原則
信息保密性、真實性、完整性、未授權拷貝、寄生系統的安全性等五個方面的內容構成了信息安全的整體統一。信息安全的原則也就指明了大中型石油企業“數字化”網絡建設安全設計的基本原則。
1)保密性:對授權用戶的保護和對非授權用戶的防止,信息利用的用戶、實體的專屬性。
2)完整性:信息的輸入和傳輸要確保完整,防止非法的篡改或者破壞,保證數據的穩定和一致。
3)可用性:針對授權用戶而言要確保其合理使用的特性。
4)可控性:信息能夠在處理、傳遞、存儲、輸入、輸出等環節中有可控能力。
3大中型石油企業網絡信息安全風險漏洞的成因及一些防范措施
網絡信息流量幾何式增長,大中型石油企業信息資源對系統的應用也日漸成熟,生產經營數據也日益增多。與此同時,國內大中型石油企業信息系統安全問題日益突出。因而,如何保障大中型石油企業信息數據安全,全面建立安全保障體系,這就顯得愈發重要。應從內因和外因上進行分析和預防。內因上,處于方向性決策的管理層對網絡信息安全的防護意識不強,不夠重視。這類人群往往關注的是信息化進程給企業帶來的收益,對于安全隱患和潛在的威脅卻往往忽視。此外,在信息化發展進程中,大中型石油企業在數據化硬件建設中容易競爭對比,但是對于數據的管理安全性建設要求不高。其次,網絡信息安全建設不是一蹴而就的,相反是一個長期過程,需要不斷進行系統補丁的更新。其一,信息系統連接于因特網,開放的網絡環境帶來的是企業信息安全的脆弱。其二,大中型石油企業信息化建設往往求新不求穩。云計算,物聯網,只要是當下發展流行技術都會上馬,而不充分考慮技術的實際應用于企業的現實貼合。多系統的復雜應用帶來的是更多、更高的系統漏洞風險。再次,大中型石油企業在信息安全技術團隊建設上海相對滯后,缺乏強有力的信息安全維護團隊帶來的是企業信息安全的高風險。這往往是因為大中型石油企業往往將預算優先分配于能夠直接帶來經濟效益的生產方面,對于見不到短期回報的信息安全防護支出是能少則少。然而,一旦企業信息泄露帶來的可能是災難性的后果,因而,有水平有業務能力的專業信息安全維護隊伍建設至關重要。外因上,一些不可抗力造成的硬件設備損壞,外部對企業信息的攻擊,相關法律法規還不夠健全等等因素都是影響企業信息安全的外因。因而,加強大中型石油企業的安全防范可從四個方面著手。在機制層面,第一,管理層要對信息安全有強意識,第二,信息安全意識要滲透到整個企業。進而建立企業信息安全管理、運行、檢測體系。另外,在面對一些風險來臨之時,能夠有有效的應急機制加以應對。在技術面,技術指標相對可量化,過硬的技術實力是保證大中型石油企業信息安全的關鍵,所以說,提高對信息安全水平的投資力度,建設高水平,高素質的技術隊伍顯得尤為重要。在系統安全性建設層面,大中型石油企業在信息系統安全性建設之初就要結合企業實際充分考慮信息系統需要的安全保護等級以及架構建設,對后期風險能夠有科學的分析與控制建議。在企業人員素養層面,大中型石油企業能夠在技術層面實現對企業信息安全的保障,就需要企業能夠有具備專業技術業務水準的網絡信息技術安全人員隊伍。從設計到操作到運維都離不開專業的技術人員。這些網絡管理技術人員還要能夠在后期不斷得到組織和學習,不斷得到新的知識補充,能夠讓這些技術人員時刻與最前沿的IT科技接軌。
4結束語
篇4
1.1病毒木馬的防護一般情況下,需在客戶機上安裝殺毒軟件等安全防護措施,并通過因特網及時更新病毒庫,從而能夠快速發現并消滅病毒,有效制止危害和防止其擴散。有條件的企業也可以安裝防病毒墻(應用網關),防止病毒進入內部網絡,有效提升內部網絡的安全防護能力。
1.2對外部網絡攻擊的防護因連接到因特網,不可避免地會受到外部網絡的攻擊,通常的做法是安裝部署網絡防火墻進行防護。通過設置防護策略防止外部網絡的掃描和攻擊,通過網絡地址轉換技術NAT(NetworkAddressTranslation)等方式隱藏內部網絡的細節,防止其窺探,從而加強網絡的安全性。1.3員工上網行為的管控對于在辦公區內的員工,要禁止其在工作期間做無關工作的網絡行為,如QQ聊天、論壇發帖子、炒股等,尤其禁止其玩征途等各類網絡游戲。常用做法就是安裝網絡行為管理設備(應用網關),也有些企業會出于成本考慮安裝一些網絡管理類軟件,但若操作不當,很容易會造成網絡擁塞,出現莫名其妙的故障。
1.4對不同接入者權限的區分企業網絡中的接入者應用目的是不相同的,有些必須接入互聯網,而有些設備不能接入互聯網;有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設多套網絡。通常的做法是通過3層交換機劃分虛擬局域網VLAN(VirtualLocalAreaNetwork)來區分不同的網段,與防火墻等網絡控制設備配合來實現有關功能。
1.5安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽,捕獲并分析網絡數據包,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網絡,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等,從而使網絡系統性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況,并制定相應的策略來維護穩定網絡的安全運行。
.6外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網獲取相關數據資料,出于安全和便捷等因素考慮,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析,結合中小企業網絡的實際需求進行設計。該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關。它是一種由專用硬件、專用軟件和網絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統一管理平臺[2]。通常,UTM設備應該具備的基本功能有網絡防火墻、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作,有效降低操作管理難度,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現。因其具有多個接口(即多個網卡),可通過設定接口組把辦公區、車間、服務器組等不同區域劃分成不同的網段;通過對不同網段設定不同的訪問規則,制定不同的訪問策略,來實現非軍事化區DMZ(demilitarizedzone)、可信任區以及非信任區的劃分,從而有效增強網絡的安全性和穩定性。對于上網行為的管理,可以通過內置UTM設備的功能來實現管控,并可以實現Web過濾以及安全審計功能。,設定了辦公區和車間1可以訪問互聯網,而車間2不能訪問互聯網。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備,有條件的單位可進行安裝,用以實現對員工上網行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業內部網絡,實現高效安全的網絡應用。
3結束語
篇5
關鍵詞: 廣東高校; 人文社會科學期刊; 網站建設; 現狀; 調查分析
中圖分類號: g237.5 文獻標識碼: a 文章編號: 1009-055x(2012)04-0120-04
計算機和網絡技術的飛速發展, 使期刊的組稿、投稿、審稿、編輯、出版傳播及閱讀方式與途徑經歷了重大的變革, 期刊數字化、網絡化成為紙質期刊生存發展的必然趨勢。建立獨立網站, 通過大型期刊全文數據庫(如中國知網、萬方數字化期刊群、維普資訊網等)和中國科技論文在線實現全文上網, 可以使紙質期刊通過互聯網傳播得更快、更遠、更廣, 影響力更大, 宣傳效果更好。
據統計, 廣東高校現有20家人文社會科學期刊。為了解這些期刊的網站建設現狀, 筆者對這20家期刊的網站進行調查, 重點考察網站建設的總體狀況, 網站提供有關期刊信息、稿件在線處理功能、期刊內容等方面的特點, 并就建設和管理期刊網站提出了改進建議, 以期為期刊的數字化、網絡化建設提供參考。
一、 調查對象與調查方法
調查時段為2012年4月期間。所調查的20家人文社會科學期刊為: 《中山大學學報(社會科學版)》、《華南理工大學學報(社會科學版)》、《華南師范大學學報(社會科學版)》、《華南農業大學學報(社會科學版)》、《暨南學報(哲學社會科學版)》、《華文教學與研究》、《深圳大學學報(人文社會科學版)》、《現代外語》、《國際經貿探索》、《廣東外語外貿大學學報》、《廣東商學院學報》、《廣東金融學院學報》、《政法學刊》、《廣東工業大學學報(社會科學版)》、《廣州大學學報(社會科學版)》、《廣州體育學院學報》、《美術學報》、《汕頭大學學報(社會科學版)》、《佛山科學技術學院學報(社會科學版)》、《五邑大學學報(社會科學版)》, 使用搜狐、百度、谷歌網絡搜索引擎在互聯網上按照刊名或主辦單位進行搜索, 訪問期刊網站, 記錄期刊網站的基本情況并進行統計分析。
二、 調查結果與分析
(一)網站建設的總體狀況
在調查的20家人文社會科學期刊中, 有14家期刊建立了獨立網站(不包括在中國知網、萬方數字化期刊群、維普資訊網等大型期刊全文數據庫上網)。其中有2家期刊可以在線處理稿件(在線投稿、查稿、審稿等), 但網站的大部分欄目內容還沒有添加; 有8家期刊網站提供的信息量較大, 信息、稿件在線處理系統、網刊、綜合服務的功能較為齊全, 網站的質量較高, 編輯部能夠根據期刊自身的特色和要求進行欄目設置, 但這類網站需要編輯部投入一定的資金和人力進行定期維護、更新。
沒有獨立網站的6家期刊中, 有1家期刊使用了中國知網的新版期刊門戶網站; 有4家期刊在主辦單位網站上開通了一個用于介紹刊物基本信息的網頁, 但這些網頁所刊登的信息量很有限(僅有期刊簡介、主管單位、主辦單位、編委會、編輯部聯系方式等), 而且網頁信息幾乎沒有更新或很少更新過, 有2家期刊還提供了一些過刊目錄, 如《華文教學與研究》; 有1家期刊既沒有獨立網站也沒有使用中國知網的期刊門戶網站。因此, 從總體上來說, 這些期刊普遍重視獨立網站的建設, 70%的期刊建立了自己的網站。
(二)有關期刊信息的情況
在14家期刊的獨立網站上有關期刊信息的統計結果(見表1)表明, 期刊獨立網站能夠比紙質期刊提供給讀者更多的有關期刊信息, 因而起到了更好地宣傳期刊、為作者和讀者服務的目的。
(三)使用稿件在線處理系統的情況
稿件在線處理系統具有作者在線投稿/查稿、專家在線審稿、編輯在線辦公等功能, 使作者能夠以在線方式更加方便快捷地投稿和了解稿件的狀態, 使審稿專家能夠以在線的形式迅速地接收和處理稿件, 在規范稿件處理流程和提高每個稿件處理流程的運行效率的同時, 加強了各流程之間的銜接與配合, 提高了編輯出版效率, 縮短稿件的處理周期
出版周期[1]。
在14家期刊的獨立網站上, 有12家期刊網站能同時實現作者在線投稿/查稿、專家在線審稿、編輯在線辦公等功能, 有9家期刊網站使用的稿件在線處理系統還具有期刊組版管理、費用管理、數據庫(作者庫、專家庫等)管理等功能。可見, 使用稿件在線處理系統的期刊占調查期刊的60%, 這些期刊比較重視期刊的數字化、網絡化建設, 可以實現編輯出版流程的數字化和網絡化。
(四)期刊內容的情況
統計結果顯示, 在14家期刊的獨立網站上, 有11家了期刊目次(占78.6%), 其中還論文摘要的有9家(占64.3%), 期刊全文的有4家(占28.6%), 有1家期刊提供了從1998年至今的過刊全文, 其它3家期刊主要提供最近兩三年的過刊全文。可見, 大多數期刊網站都提供了過刊(或當期)目錄、摘要, 有些網站還免費提供全文, 讀者可以自由下載或在線閱讀, 這些功能方便了讀者對論文的使用, 有助于提高期刊傳播科學信息的時效性, 擴大期刊的影響力。有些編輯部可能擔心在獨立網站上提供全文會影響紙質期刊的發行量和在大型期刊全文數據庫中的點擊下載量, 因而在獨立網站上沒有提供全文或者提供的全文要滯后于印刷版。
在獨立網站上最新錄用稿件或下期稿件的目錄、摘要, 可有利于避免一稿多登現象, 同時讀者還可以了解期刊研究內容的最新動態[2]。調查中發現, 只有《華南理工大學學報(社會科學版)》了最新錄用稿件, 還沒有哪家期刊網站提供了下期稿件的目錄、摘要或全文。 務功能
為讀者和作者提供服務是許多期刊建設網站的重要目的。14家期刊的獨立網站上提供的服務統計結果(見表2)顯示: 絕大部分期刊獨立網站都提供了友情鏈接和過刊檢索服務, 有一半的期刊獨立網站提供了在線留言板, 可以進行稿件審理和錄用情況、作者及讀者咨詢等信息的交流, 從而加強了作者、讀者、審者與編輯部之間的交流, 提高讀者對網站的關注程度。
(六)網站版權信息標注和英文版網站情況
在網站首頁下標注網站版權歸屬信息, 用于提醒瀏覽者所觀看的內容是受到版權法的保護。有獨立網站的14家期刊中, 有12家在網站首頁下標注了版權信息, 表明大部分期刊編輯部有一定的知識產權保護意識, 注意了期刊的品牌保護; 有7家提供了英文版網站, 但英文版網站上只有英文欄目名稱, 沒有相應的英文內容, 只有《中山大學學報(社會科學版)》提供了每期的英文目次和英文摘要。顯然, 所調查的大部分期刊沒有重視英文版網站的建設。
(七)網頁鏈接的有效性和網站更新速度
無效的網頁鏈接包括打不開的鏈接、顯示錯誤信息的鏈接、打開了網頁但無內容顯示的鏈接。網站啟用后, 編輯部還應不斷地對網頁信息進行更新和完善。網站信息的更新包括關于期刊信息的更新和期刊內容的更新。文中將網站信息的更新速度分為滯后(超過半年沒有更新)、一般(2~6個月內有更新)、較快(1個月內更新)3種。統計表明: 有獨立網站的14家期刊中, 所有網頁鏈接均有效的有5家(占35.7%), 有1個或2個網頁鏈接無效的有4家(占28.6%), 3個以上網頁鏈接無效的有5家(占35.7%); 網站更新速度較快的有1家(占7.1%), 兩三個月進行1次信息更新的有9家(占64.3%), 這與大部分期刊是雙月刊有關, 半年以上都沒有更新的有3家(占21.4%)。
三、 對期刊獨立網站建設的思考與建議
(一)重視期刊獨立網站的建設
互聯網的傳播速度快, 傳播范圍廣, 檢索功能強, 具有紙質期刊不可替代、無法比擬的天然優勢。紙質期刊要生存和不斷發展壯大, 期刊主要負責人必須改變傳統的辦刊方式, 更新觀念, 強化網絡意識, 重視期刊網站的建設。將期刊網站作為紙質期刊的延伸、發展和補充, 可以加快紙質期刊的傳播速度, 讓廣大作者、讀者通過期刊網站對期刊有更全面、更深入的了解, 同時突破時間和空間的制約, 實現網絡環境下的資源集中和共享, 進一步密切和加強編輯部與作者、讀者、審者之間的溝通與聯系[3]。因此, 編輯部應努力從以下幾方面著手建立一個實用的、信息完備的期刊網站。
第一, 設置好期刊網站欄目。根據期刊網站的功能需求, 一般應設置有如下欄目: (1)關于本刊, 提供期刊簡介、欄目介紹、編委會、辦刊宗旨、獲獎情況、數據庫收錄情況、編輯團隊、編輯部聯
系等信息; (2)投稿須知或指南, 提供征稿簡則、稿件處理流程、參考文獻著錄規則等信息; (3)讀者服務, 提供最新錄用、當期目錄、下期目錄、過刊瀏覽、論文檢索等服務; (4)期刊訂閱, 提供電子版訂閱和印刷版訂閱服務; (5)編輯部公告, 提供期刊最新出版信息、出版業新聞、最新法律和法規、論文被轉載等信息; (6)相關下載或下載中心, 提供論文模板、版權轉讓協議書等常用文檔的下載; (7)留言板或交流園地, 為作者、讀者、編輯和審者提供一個動態的交流平臺; (8)友情鏈接, 提供同行網站的鏈接服務; (9)英語版, 提供英文版網站的鏈接。同時, 在中、英文版網站首頁上應分別標注“版權所有”、“copyright”字樣。
第二, 使用稿件在線處理系統。稿件在線處理系統是期刊數字化、網絡化進程的必然選擇, 近年來已在我國期刊的管理與編輯出版工作中得到了廣泛的使用, 并彰顯了諸多優勢。如果經濟條件許可, 編輯部應考慮使用商業化的稿件在線處理系統, 在現有獨立網站中添加作者在線投稿/查稿、專家在線審稿、主編在線終審、編輯在線辦公等模塊, 從而為作者、審者、編者在線處理稿件提供平臺。
第三, 建立英文版網站。為了提高期刊的國際傳播能力, 加快期刊的國際化進程, 打造期刊品牌, 擴大讀者群和吸引國外作者投稿, 進一步促進國際學術交流, 期刊編輯部應該重視英文版網站的建設, 除了提供論文的英文題目、英文摘要和英文關鍵詞外, 還應提供期刊的英文簡介、作者投稿和專家審稿操作的英文說明等內容, 制作突出學術內容、期刊特色和品牌標志的高質量英文網頁, 以適應期刊國際化的需要。
第四, 在獨立網站上實現優先數字出版。優先數字出版是以數字出版方式(如通過互聯網、手機、光盤等)提前出版紙質期刊錄用的稿件, 在期刊獨立網站上常稱為“在線預(或優先)出版”。優先數字出版是提高學術期刊出版速度的一種新模式[4]。將最新錄用稿件或下期稿件的目錄、摘要、全文在獨立網站上優先出版, 既可以防止論文重復發表, 又可以為優秀稿件搶國際首發權開通了一條綠色特快通道, 擴大期刊讀者群, 進而提高期刊的被引頻次、即年指標等期刊評價指標。近年來, 國際上一些著名學術期刊(如《science》、《nature》)和出版商(如elsevier、springer)均采用了優先數字出版模式: 選擇部分定稿和采用的論文在紙質版出版之前在自建網站上優先出版, 供讀者閱讀或下載。在國內, 《浙江大學學報(人文社會科學版)》通過其獨立網站在線優先出版審定通過且達到正式出版水平的論文[5], 有效地縮短了論文的出版時滯, 促進了最新成果的快速交流。
(二)加強網站的管理與數據維護
期刊網站的管理與維護是一個長期、持續和動態的過程。網站啟用前, 應設置好各欄目內容, 確保各網頁鏈接的有效性, 盡量避免出現死鏈接; 網站啟用后, 編輯部還應及時發現和修正網站錯誤, 并不斷地對網頁信息進行更新和完善。由于編輯對期刊數字化出版的認識不足、資金和人才資源短缺等原因, 有些期刊網站存在信息更新滯后的現象, 提供的過刊目次還停留于幾個月前甚至幾年前的過刊, 這種沒有更新的靜態閑置的網站毫無意義。因此, 編輯部要及時更新、豐富期刊網站內容, 實現期刊全文內容同步上網, 免費提供過刊全文瀏覽, 為作者、讀者和審者提供更為方便的服務, 從而吸引更多的讀者, 進而提升期刊的影響力和競爭力。稿件在線處理系統運行的數據基礎和稿件處理流程所圍繞的核心, 是網站系統功能實現的關鍵。因此, 網站管理員要使用數據庫系統定期自動完成數據的本地備份, 定期手工進行數據庫的異地備份, 使數據庫備份做到及時安全, 同時也要做好服務器的安全性維護工作(如及時升級殺毒軟件和系統補丁、經常全盤殺毒等), 以免系統出現故障時影響網站的正常運行。對于高校期刊而言, 可以考慮使用學校分配的二級域名, 這樣編輯部不用專門申請域名; 一個學校的多家期刊可以考慮共用一個專用的服務器, 將服務器交由學校網絡中心托管, 這樣既節省開支, 也給網站管理和維護帶來方便。
(三)重視數字化人才的培養和編輯素質的提高
在數字化、網絡化的大環境下, 期刊編輯部應注意培養期刊數字出版各個環節所需的專門人才或復合型人才, 以適應期刊數字化、網絡化出版的發展, 提升
其傳播力和影響力。隨著計算機和網絡技術在期刊中的應用不斷加強, 期刊編輯應通過繼續教育學習掌握現代編輯手段, 提高為作者和讀者服務的質量, 促進網絡環境下期刊編輯工作的發展。
參考文獻:
[1] 許花桃,劉淑華,傅曉琴.縮短稿件處理周期的實踐 [j].編輯學報,2010,22(1):64-65.
[2] 劉穎,唐永林,曾媛.我國物理類核心期刊網站建設研究 [j].科技情報開發與經濟,2009,19(2):11-13.
[3] 劉飚,邢飛,徐威.國外科技期刊網站的調查與思考 [j].中國科技期刊研究,2009,20(3):479-483.
[4] 汪新紅.優先數字出版是提高學術期刊出版速度的一種新模式 [j].中國科技期刊研究,2011,22(1):90-92.
[5] 《浙江大學學報(人文社會科學版)》編輯部.最新錄用 [eb/ol].[2012-05-01].http:∥journals.zju.edu.cn/soc/cn/article/downloadarticlefile.do?attachtype=pdf&id=10508.
current status investigation and analysis on website construction of
humanities and social science journals of guangdong universities
xu hua-tao
(editorial department of journal, south china university of technology, guangzhou 510640, guangdong, china)
篇6
論文關鍵詞:網絡教學,J2EE,MVC,設計模式
(一)、前言
目前投入使用的網絡教學平臺雖然使用B/S結構,但僅僅是簡單的請求/應答,由網頁中嵌入ASP/JSP代碼段完成數據庫的訪問、數據計算功能。平臺的體系結構模糊,邏輯分工不明確,代碼的重用性差,存在一定的安全隱患。本文采用J2EE多層體系結構設計網絡教學平臺MVC,將Web層與業務層分開,實現代碼進一步模塊化。運用JSP、JavaBean、EJB等組件技術實現數據庫訪問等有一定共性的業務處理功能,提高代碼的重用。同時,采用MVC(Model-View-Controller)、會話外觀(Session Facade)模式、業務代表(Business Delegate)等J2EE設計模式提高網絡教學平臺的伸縮性、安全性。
(二)、基于J2EE/MVC的網絡教學平臺的設計
篇7
關鍵詞:中職院校;計算機專業;網頁制作;專題學習網站
中圖分類號:G434 文獻標識碼:A 論文編號:1674-2117(2016)01-0079-02
中職計算機專業“網頁制作”課程教學的重要性
作為我國教育體系重要的組成部分,中職院校在人才培養中扮演著重要的角色。在當前時代與社會的發展要求下,中職院校更需要強化發展。[1]計算機專業中的“網頁制作”課程其培養方向與中職計算機專業人才培養的目標相一致,即提高學生的專業知識、專業技能以及實踐能力。因此,強化中職計算機專業“網頁制作”課程的教學有著重要的意義和作用。
中職計算機專業“網頁制作”課程利用專題學習網站的實踐
當前,計算機被廣泛應用到各個行業和領域中,為了提高計算機專業的教學質量,為社會培養更多的實用性人才,中職院校在計算機專業的教學中增加了“網頁制作”課程。而在實際教學中,專題學習網站能為學生學習“網頁制作”課程提供幫助,從而提高他們的實踐能力。[2]
專題學習網站,是在互聯網環境下,將各科學習課程或者某些教學課程之間的某一項或者多項學習的知識點有機結合起來的學習專題,是可以讓學習者進一步研究和學習的一個資源型學習網站。它可以用來進行資源信息的存儲和加工,對學生的學習情況進行在線反饋等。[3]在中職計算機專業“網頁制作”課程的教學中,由于其操作性強、專業性強等特點,教師需要讓學生在網頁制作設計中充分利用各種資源。而專題學習網站能為學生提供豐富的資源,滿足學生的設計需求。“網頁制作”專題學習網站的結構如圖1所示。
在專題學習網站中,基礎知識部分為網頁制作的基礎教學資源,包含了網頁制作基礎理論、網頁制作設計軟件操作、網頁制作技巧等,是學生學習“網頁制作”課程的入門知識。專題學習網站中的實例教學,則是以教學實例為例子,使用任務驅動教學法,為學生提供網頁制作所需要的各種資源,以教學實例為網頁制作知識學習的主線,循序漸進,使學生掌握網頁制作的相關知識,并提高網頁制作實踐技能。
網站界面的主要功能是為用戶提供服務,所以在網頁的制作和設計中,一般需要做到以下幾點:①保證網頁的簡潔性。在網頁制作的過程中,界面的簡潔可以方便用戶的操作、使用和了解,從而減少錯誤操作。②一致性。在網頁設計中,需要保證每個網頁的一致性,做到結構一致、清晰,風格一致等。③清楚。制作網頁需要保證網頁的清晰度,因為清楚的視覺效果便于用戶的瀏覽和使用。④安全性。在網頁制作中,需要保證網頁的安全性,在保證用戶可以自主選擇的同時,也要給予用戶選擇錯誤時必要的系統信息提示等。[4]除此之外,還需要具有靈活性、排列性等。
“網頁制作”課程利用專題學習網站,既可以用于課堂教學,也可以用于學生的課外網站學習。例如,“網頁設計”專題學習網站的實例教學部分,主要是制作教學案例。案例多以課程教學中的實施為基礎和依托,案例的設計不只是一個知識點的應用,還會包含多個知識點,是計算機專業“網頁制作”課程知識的綜合利用。實例教學的界面如圖2所示。
教師指導學生利用專題學習網站進行網頁制作的主要步驟為:
第一步,欣賞借鑒。教師讓學生上網瀏覽、欣賞、搜集自己覺得精彩的網頁、個人主頁等。
第二步,設計網站的基本框架。教師指導學生建站、鏈接、文本鏈接、圖像鏈接等,建立與E-mail超鏈接。
第三步,設計頁面布局。學生利用自己所學的知識,進行網頁、表格、文字等的布局設置,在網頁中輸入圖像、背景顏色、背景音樂等,設置文件的保存、命名、移動、刪除等操作。
第四步,創建動態頁面。學生利用所學的計算機知識,設置動態的網站頁面,如字幕、懸停按鈕、圖像、文字等動態的效果畫面。
第五步,上傳網頁。學生完成網頁設計之后,可以申請免費的個人網站主頁,在網站空間里上傳自己設計的網站、網頁。
第六步,評價網頁設計。教師對學生上傳的網頁設計實踐成果進行評價,并針對其存在的不足和錯誤進行糾正,以幫助學生認識網頁設計的不足,并逐步完善。
結語
中職計算機專業“網頁制作”課程教學,充分利用專題學習網站進行實踐,既可以培養和鍛煉學生的網頁制作設計技能,還可以為學生的網頁制作、設計,提供豐富的信息資源。因此,在中職計算機專業“網頁制作”課程教學中,利用專題學習網站進行教學實踐,對培養計算機專業人才具有重要意義。
參考文獻:
[1]黃以寶.《網頁設計與制作》專題學習網站的設計[J].電腦知識與技術,2009(15):4089-4090.
[2]李鴻琴.應用專題學習網站教學“網頁設計與制作”[J].中國信息技術教育,2009(15):43-45.
篇8
論文摘要:網絡上的動態網站以ASP為多數,我們學校的網站也是ASP的。筆者作為學校網站的制作和維護人員,與ASP攻擊的各種現象斗爭了多次,也對網站進行了一次次的修補,根據工作經驗,就ASP網站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態網站開發經驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
篇9
關鍵詞:網址,加密,網絡安全,活動服務器頁面,服務器端網頁設計
0引言 隨著網絡技術和網絡規模的不斷發展以及電子商務的興起,許多企業都建立了自己的商務網站,針對網絡和計算機系統的攻擊已經屢見不鮮,在構建網站的時候,都會考慮網絡安全問題,對于網絡安全的投入較大,如使用防火墻、入侵檢測、企業防病毒等安全產品,但網站還是有被攻擊,甚至完全被控制的可能。因為企業的網站一般都采用ASP、PHP或JSP等腳本語言來連接數據庫,取得數據庫里面的數據生成動態網頁。當一個網站完全建立后,程序會很多,特別是網頁設計的特殊性,服務器與用戶的交互程序更多,所以,程序的漏洞也會增多,給網站帶來不可估量的安全隱患,這些程序漏洞比網站服務器的漏洞更為嚴重 [1][2][3] 。
1網頁設計安全漏洞的形成ASP、PHP或JSP等腳本語言作為典型的服務器端網頁設計技術,為網站開發人員提供了簡單高效的動態Web應用程序開發方法。在網站設計時,使用上述腳本語言編程可以更好地管理網站資源,增加網站與瀏覽者之間的交互,如新聞系統、產品管理系統、會員管理系統、論壇反饋系統、在線調查系統、在線訂單系統和留言板系統等,其共同點是用戶輸入很多資料,與其他瀏覽者交流或者與網站管理者交流。。而交互正是漏洞形成的一大原因,因為用戶輸入信息不可預測,如果程序沒有考慮或者考慮不全面,用戶輸入就有可能成為攻擊事件,且不管有意還是無意。網頁編程直接和服務器打交道,與網站目錄、網站數據庫設置、系統設置相關,通過這些程序訪問網站目錄、設置等所有服務器內容,若程序設計有漏洞,即網站有漏洞。
2網頁設計的安全漏洞及對策2.1登陸驗證漏洞凡帶有交互性的網站,包括論壇、聊天室、信息網會員區、網上影院等,登陸驗證是必不可少的組成部分。。雖然登陸的驗證程序只是網站整體的一部分,但卻是網站的安全關口。網站設計者容易疏忽這一點,沒有處理好口令驗證程序的關口,以至他人趁虛而進,甚至造成重大影響與經濟損失。許多網站都存在一個登陸驗證的漏洞,而這個漏洞是在編寫程序驗證賬號密碼時由于程序不嚴謹而造成。。如在設計網站會員區時,都會將賬號、密碼放在一個叫“User”的數據表中,并設置“username”和“password”兩個字段分別表示用戶的登錄名稱和登錄密碼。當驗證時,檢查用戶輸入的兩個參數是否存在于這個數據表,如果存在,證明這個用戶合法;不存在,證明用戶不合法,而漏洞就出現在這段驗證代碼上。
在登陸驗證(以asp為例)中常會用SQL查詢語句來判斷該用戶是否為站點的合法會員。
<!--連接數據庫-->
<!--#include file=dbconn.asp -->
<%
Dim rs
Set rs=CreateObject(“Adodb.Recordset”) ‘定義一個Ado數據集實例
rs.source='select * from user whereusername=’” & username & “’and password=’” & password & “’”
‘連接登陸驗證語句字串
rs.open rs.sourc,conn,1,1 ‘執行查詢語句
...
%>
當根據以上的SQL語句構造一組特殊的用戶名和密碼,例如用戶名為該網站任意一個存在的用戶名Admin,密碼為a' or 'a'='a,則程序中SQL變量的值將會變成sql=“select* from username where username=’a’ and password=’a’ or ’a’=’a’” 顯然,該查詢語句的邏輯原意已被徹底改變,一個邏輯運算符or使用整個邏輯條件為真,即這條SQL口令驗證語句已經失去了效用,只要知道了任意一個存在的用戶名就可以成功地進入到敏感區域。
解決漏洞的方案如下:
1) 生成SQL查詢語句之前,對用戶輸入的參數(用戶名和密碼)進行過濾;
2)先查詢用戶名再進行密碼驗證。
2.2繞過驗證直接進入設計頁面漏洞每個敏感的頁面必須進行身份驗證,如果用戶知道了一個設計頁面(如用ASP)的路徑和文件名,而這個頁面又沒有驗證的程序,則用戶可直接輸入這個設計頁面的文件名,即繞過了登陸驗證,直接進入了指定的頁面。。網站設計者除了登陸驗證外還必須在有關頁面進行身份驗證,才能提高站點的安全指數。。
2.3桌面數據庫被下載漏洞在ASP+Access應用系統中,如果獲得Access數據庫的存儲路徑和數據庫名,則該數據庫可以被下載到本地。。如對于網上圖書館的Access數據庫,一般命名為Library.mdb等,而存儲的路徑一般為“URL/database”或放在根目錄(“URL/”)下。這樣,只要在瀏覽器地址欄中輸入地址 “URL/database/Library.mdb”,就可以輕易地把Library.mdb下載到本地的機器中。
在ASP程序設計中,應盡量使用ODBC數據源,不直把數據庫名直接寫在程序中,否則數據庫名將隨ASP源代碼的失密而一同失密,例如:
DBPath = Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath
可見,ASP源代碼失密后,數據庫也很容易被下載。如果使用ODBC數據源,則不會存在 conn.open
“ODBC-DSN名”。2.4 源代碼泄露漏洞為有效防止源代碼泄露,可以對頁面代碼進行加密。
一般有以下兩種方法對ASP頁面進行加密:
1) 使用組件技術將編程邏輯封裝入DLL中;
2) 使用微軟的Script Encoder對ASP頁面進行加密。
使用組件技術存在的主要問題是每段代碼均需組件化,操作比較煩瑣,工作量較大,而使用Script Encoder對ASP頁面進行加密,操作簡單、收效良好。Script Encoder方法具有以下優點:
1)HTML具有很好的可編輯性,Script Encoder只加密在HTML頁面中嵌入的ASP
代碼,其他部分仍保持不變,故仍可以使用FrontPage或Dreamweaver等常用網頁編輯工具對HTML部分進行修改、完善,但不能對ASP加密部分進行修改,否則將導致文件失效;
2) 作較簡單,只要掌握幾個命令行參數即可,Script Encoder的運行程序是
screnc.exe,其使用方法如下:screnc [/s] [/f] [/xl] [/l defLanguage ] [/e:defExtension] inputfileoutputfile,其中 s為屏蔽屏幕輸出;f為指定輸出文件是否覆蓋同名輸入文件;xl指是否在.asp文件的頂部添加@Language指令;l為defLanguag指定缺省的腳本語言;e為defExtension 指定待加密文件的擴展名;
3) 用Script Encoder可以對當前目錄中所有的ASP文件進行加密,并把加密
后的文件統一輸出到相應的目錄中,例如:screnc *.asp c: emp;
4) cript Encoder是免費軟件,該加密軟件可以從微軟網站
msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下載,下載后,運行安裝即可,利用Session對象進行注冊驗證。
2.4文件上傳漏洞許多網站如論壇、同學錄、郵件服務系統都提供了文件上傳的功能,但設計者在設計用戶提交參數缺少充分過濾,以至遠程攻擊者利用這個漏洞可以上傳惡意文件,甚至造成系統數據庫破壞或以Web權限在系統上執行任意命令。例如iXmail包含的“ixmail_attach.php”腳本對用戶提交的附件缺少充分過濾,攻擊者可以通過操作URL參數上傳惡意文件(如php文件)到服務器上,雖然文件放置在Web目錄下的/tmp目錄中,但可以遠程訪問,因此攻擊者可能以Web進程權限在系統上執行任意命令,故在文件上傳之前,加入文件類型判斷模塊,并進行過濾。如要求用戶上傳圖片時,對上傳的文件格式進行判斷,如果是指定的圖片文件格式(如JPG、GIF)允許上傳,其他格式諸如*.EXE,*.PHP,*.ASP,*.JSP等可執行或可解釋的程序文件就禁止上傳。
3 結論本文介紹了網站建設中網頁設計容易出現的漏洞和解決方法,安全概念要貫穿在整個網頁設計過程中,只有隨時考慮安全的問題,網站才會有更強的安全性。
參考文獻[1] 希利爾 S著. Active Server Pages編程指南[M]. 董啟雄譯. 北京: 宇航出版社, 1998.
[2] 沈文智. Microsoft IIS 網頁技術[M]. 北京: 人民郵電出版社,1998.
[3] 張小斌, 嚴望佳. 黑客分析與防范技術[M].北京: 清華大學出版社, 1999
篇10
關鍵詞 B/S體系;JSP;信息管理系統
中圖分類號G311 文獻標識碼A 文章編號 1674-6708(2013)103-0019-02
0引言
隨著近些年網絡技術的迅猛發展,國內許多高校也掀起了全面信息化管理的浪潮,而科研管理是高校信息化的重要組成部分,過去一些高校的科研管理系統大都是基于局域網系統的,所以信息不能及時更新,共享程度低,所以構建一個現代化的高校科研管理系統勢在必行[1]。
長期以來,天津商業大學科研處一直是采用傳統的手工勞動操作方式,造成了辦公效率低下、信息滯后嚴重、項目管理松弛等問題,嚴重影響到學校科研的水平,因此,盡快研發基于網絡的科研系統刻不容緩。
1系統設計目標
建立基于B/S結構的科研管理信息系統的設計目標是:
1)建立一個從管理角度出發,實現多層用戶的分級管理,包括科研處管理人員,學院科研秘書以及教師三個層次的管理;
2)實現科研項目和科研考核的流程化和規范化,教師項目的申報,中期檢查,結項等事宜流程化管理,教師的科研成果包括專利,獲獎等實行網上申報和管理;
3)兼容年底的科研統計。兼容各級科研管理部門,例如教育部,天津市科委等部門的統計任務;
4)網上辦公。實現通過管理系統實現信息、資源共享,郵件傳送等功能;
5)輔助科研決策。用戶可以通過對自己感興趣的數據進行整理分析。
2相關技術
2.1系統B/S結構
目前,管理信息系統主要有客戶端/服務器(Client/Server,C/S)結構和瀏覽器/服務器(Browser/Sever,B/S)結構[2]。C/S模式的客戶端和服務器是通過局域網連接,所以能有效降低網絡通訊量,安全性高,但是客戶端都需要安裝專門的軟件,操作復雜,不易推廣。B/S模式下,用戶工作界面是通過Internet瀏覽器實現的,它能實現無論何時,何地只要有適當的接入方式都能訪問操作信息系統。考慮到設計的科研管理系統面對的有教師,科研管理人員以及上級科研管理部門,所以從易于推廣使用的角度,系統選擇B/S架構模式。
2.2 JSP動態網頁技術
Java Server Pages(簡稱JSP)是一種基于Java系統的動態網頁開發技術,是由Sun Micro system 倡導,多公司合作建立的。該技術就是在傳統的網頁文件中加入Java程序段和JSP標記形成新的JSP文件,可以簡捷快速地創建顯示動態頁面。JSP對于客戶界面的更新非常迅速。系統的應用程序均運行在服務器上,它們可以及時升級。客戶端口非常簡單,容易管理和維護[3]。
JSP體系的運行需要至少Web服務器、Java虛擬機和JSP引擎這三部分。當客戶端訪問JSP頁面時,請求類型由Web服務器進行鑒定:HTML頁面請求的話則直接執行其中的相關程序并將結果反饋。鑒定為JSP請求的話則傳送給JSP引擎,JSP引擎在此處負責進行代碼轉換,若在轉換過程中發現JSP文件有錯誤,系統將中斷轉換過程,并輸出出錯信息;如果沒有出現任何錯誤,則把轉換好的Servlet代碼送給JVM,JVM負責把代碼編譯生成字節碼并放到服務器上執行,JSP再把執行結果放到Web服務器上,用戶最后在瀏覽器上看到的就是Web服務器發回到客戶端的,一般以HTML或者XML頁面的形式發回。
2.3 SQL Server 數據庫
SQL即結構化查詢語言,全稱為Structured Query Language。其作用是溝通、聯系各種數據庫。SQL Server是一個使用SQL作為數據操作語言的標準關系型數據庫管理系統[4]。它支持分布式應用,并且并發性、可靠性和安全性都比較高,是目前應用最廣泛的數據庫管理系統之一。
Microsoft 于2005年推出的SQL Server 2005,是一個企業級數據庫管理系統產品。它在很多方面如企業級支持與商業智能應用等都表現突出,應用廣泛,本系統采用SQL Server 2005數據庫管理系統作為系統的數據庫。
3 系統設計
3.1系統功能模塊設計
在對科研處調研的基礎上,結合本兄弟院校的有關情況,系統從功能上分為登陸管理,項目管理,成果管理,用戶管理等模塊,如圖所示:
用戶管理模塊:為實現科研系統的分層管理,用戶在登錄系統時,要求輸入“用戶級別”、“用戶名稱”和“登錄密碼”三項信息。用戶級別包括三級:教師,科研秘書和科研處管理人員。每一級都有不同的操作權限。
項目管理模塊:包括橫向項目和縱向項目,每一項都包括項目申報,項目來源、項目經費情況、項目執行情況和結項管理等情況。在這個模塊,只有教師才有資格對自己的項目情況進行更改,科研秘書和科研處管理人員只負責審核校對以及統計。
成果管理模塊:主要包括獲獎、專利情況以及論文論著。這個模塊是教師依據自身所獲榮譽網上填報,之后由科研秘書及科研處審核。
科研考核管理模塊:這個模塊是通過建立科研工作量的量化指標和設置崗位考核標準來確定教師的科研水平。這塊也是領導進行科研決策的參考依據之一。
3.2數據庫設計
數據庫設計的組織形式及結構主要是依據數據的不同用途、安全保密性,結合本科研系統的具體要求,將數據庫分為以下幾種類型:1.主題數據庫,只有科研處管理人員才有權修改,主要包括用戶分配,科研人員新增,項目新增等。2. 基礎數據庫,包括課題來源庫,獎勵級別庫,成果級別、項目來源等。3.臨時數據庫,主要是教師臨時提交待審核的科研數據,這個在未經確認之前是可以隨時修改的。通過這幾層設計,可以大大增強系統的安全性。
在數據庫的報表設計主要包括以下表格:
1)教師基本信息(姓名、職稱、年齡、性別、最后學歷、所屬院系、學科領域、聯系方式);
2)科研項目 (負責人、項目編號、起止時間、項目類別、項目來源、經費統計、備注);
3)科研獲獎 (姓名、獲獎名稱、獲獎級別、頒獎單位, 獲獎年月, 備注);
4)專利(姓名、專利名稱、專利類型、批準號、備注);
5)論文論著 (姓名、論文名稱、成果形式、發表期刊、發表年月、備注)。
4 結論
本文針對目前高校科研管理系統所存在問題進行了探討,提出了基于B/S架構的應用,相信隨著目前網絡技術的進一步完善,B/S結構應用系統的研究將會成為一種趨勢。該系統模塊化清晰,應用靈活,使用了目前流行的JSP動態網頁開發技術,可移植性大,可以較好地滿足目前學校對科研管理的需求,具有較好的應用價值。
參考文獻
[1]魏江來.科研管理系統數據庫設計與實現[J].山西科技,2009.
[2]任泰明.基于B/S結構的軟件開發技術[M].西安:西安電子科技大學出版社,2006.
