網站設計安全性范文
時間:2023-03-27 14:31:22
導語:如何才能寫好一篇網站設計安全性,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
論文摘要:網絡上的動態網站以ASP為多數,我們學校的網站也是ASP的。筆者作為學校網站的制作和維護人員,與ASP攻擊的各種現象斗爭了多次,也對網站進行了一次次的修補,根據工作經驗,就ASP網站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態網站開發經驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
篇2
[關鍵詞] PHP;網站設計;信息安全;防御措施
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 03. 081
[中圖分類號] TN915.08 [文獻標識碼] A [文章編號] 1673 - 0194(2017)03- 0144- 02
1 PHP簡介
作為一種內嵌式語言,PHP技術在動態網頁方面具備更快的執行速度,自誕生至今,PHP技術已經被廣發應用于2 000多萬個網站中,成為全球最普及的互聯網開發語言。近年來,隨著PHP技術的不斷完善,其已經由網絡開發語言逐漸發展成為適合企業部署的技術平臺,西門子、IBM等知名公司也開始廣泛使用PHP技術。最早期的PHP技術主要具備訪客留言與訪客計數等功能,隨著后期的開發利用,PHP技術開始加入MySQL支持,進而提升了動態網頁開發的執行力。
2 PHP網站設計中存在的信息安全問題
實際PHP編碼設計過程中,由于程序員并不具備足夠的安全防御意識,導致設計過程中,沒有認真檢驗輸入信息的可靠性與安全性,使得計算機內部的操作系統極易被不法分子利用,導致錯誤指令會被當做正確指令使用,從而造成了用戶信息的泄露現象,嚴重侵犯了用戶信息的隱私。
2.1 SQL注入
由廣義層面看來,網站程序設計員需要在網站代碼編程過程中合理判斷用戶輸入數據的合法性與安全性,從而杜絕網站信息的泄露行為。但如果網站程序員忽視了這一操作,用戶就可以利用提交數據庫查詢代碼的方式,并根據數據返回結果獲取信息,這便是注入了SQL。這種錯誤操作很容易導致網站用戶信息的泄露,因此,程序員需要在網站設計過程中認真判斷分析所輸入稻蕕暮戲ㄐ裕從而進一步提升網站信息的安全性。
2.2 發生or 1=1與union語句入侵
注入or 1=1,可以使不法分子在登錄網站時避開密碼驗證過程,從而可以利用任意的使用名便可以隨意進入信息系統,從而達到侵入目的,這也是網站設計中應用最為廣泛的語句注入模式,它主要是程序員在編寫代碼過程中,并未認真檢測所輸信息是否含有非預期的字符,而是直接將客戶的需求傳達給計算機的函數系統進行識別。這種注入方法會使密碼驗證失去原有的保護作用,不法分子可以利用漏洞直接侵入網站系統,從而可以容易的獲得所有用戶的數據資料。而與or 1=1語句注入侵入不同的是,union語句則可以使程序的默認語言出現混亂,計算機在執行union程序后,會利用自身的SQL注入語句,從而侵入內部程序系統。
2.3 XSS跨站攻擊
作為最常見的網站攻擊模式,XSS的工作原理比較接近SQL的工作原理,不同的是,XSS還要通過專門的腳本才可以注入到HTML標簽之中,進而可以在網頁輸入框架中輸入違法惡意的信息內容。當這些惡意信息進入到網站的客戶端時,網絡瀏覽器無法做到識別排除,而是會自動運行這些錯誤信息,從而會影響網頁頁面的正常顯示,進而可以在進一步注入腳本。同時,還可以使用網頁輸入代碼方式,在利用XSS漏洞的基礎上控制計算機的操作系統,進而為黑客編寫惡意程序提供了方便,破壞了計算機原有系統的安全性與穩定性。黑客攻擊網頁的主要方式便是在計算機瀏覽網站利用XSS自動彈出一些窗口,但這些窗口網頁會帶有黑客設計好的感染病毒,從而借此獲取用戶信息。
3 PHP網站設計的信息防御措施
3.1 公開防御措施
在保護網站信息安全的過程中,程序員應適當公開安全防御措施,使客戶更為清楚的了解具體的防御過程。用戶也不可以直接跳過信息安全檢測步驟,并要求在進入網站系統之前,要輸入相應的用戶名與密碼,保證網站運行操作的安全性,從而達到保護網站信息的目的。
3.2 跟蹤數據運行
為了進一步確保網站設計的安全性,程序員還應做到實時跟蹤用戶的數據運行過程,通過掌握信息的具體動向來約束用戶的使用行為,從而防止發生信息泄露問題。但用戶信息的實時追蹤是一種難度較大的信息監測方法,當程序員不夠熟悉其工作原理時,便會無法理解Web的運作原理,程序開發過程中不可避免的會出現失誤,進而產生安全漏洞,為此,程序員還應認真學習數據追蹤的工作原理,全面了解實時追蹤的操作過程。
3.3 篩選輸入信息
為了進一步確保網站信息的安全性,程序員還應對用戶所輸信息進行必要的篩選,使其可以實現合法化。同時,網站工作人員也應認真確認篩選用戶輸入信息,以充分避免木馬病毒的在未知情況下被誤用。
3.4 防止注入SQL
當前,網絡系統具有多種注入方式,且它們都存在一個明顯的共同點,即缺乏必要的過濾程序,以此實現非法獲取用戶資料信息的目的。為了充分避免非法語句的注入,程序員需要認真篩選、過濾查詢語句。并利用計算機內的正規的函數表達式進行常用語句的匹配,充分提升篩選的準確率。由此可見,只要使用了過濾函數便可以很大程度上避免SQL語句注入的侵入,從而充分保護了網站用戶信息的安全性。
4 結 語
網絡信息技術的發展加快了信息產業開發的步伐,直接關系著國家政治、經濟、文化、社會等各方面的發展,涉及范圍較廣,為人們的生活工作帶來了諸多便利,但同時也為信息安全帶來了很多隱患,同時,信息安全也會影響個人的工作生活,數據信息的泄露不但會影響居民的正常生活,甚至還會影響國家政治經濟的安全。
篇3
關鍵詞:電子商務網站設計
一、電子商務網站系統分析與設計
電子商務網站既要處理企業對企業之間、企業同消費者之間大量復雜而零散的數據和信息,又要保證數據和信息傳輸的安全性,因此與普通的網站相比在數據處理和傳輸方面要求更高,流程也更加復雜。因此,我們必須要使系統滿足以下原則:
(1)系統的可靠性:系統的數據對企業是至關重要的,在任何情況下保證數據的完整性、正確性和可恢復性是網站設計的前提;
(2)系統的安全性:網絡給我們帶來便利的同時也帶給我們更多的煩惱,黑客和病毒的侵襲隨時會對系統產生致命的破壞,因此網站設計時必須采取足夠的措施,保證系統的安全;
(3)系統的經濟性與可擴展性:高性價比是一個網站的重要指標,設計網站時要處理好系統的整體優化與重復建設的矛盾,保證系統的可擴展性。隨著信息量的增加和應用功能的擴充,系統的軟硬件也必須逐步擴展,要確保系統對升級換代的適應能力;
(4)系統的開放性:電子商務網站只是企業整個商務體系中的一部分,它可能是企業的第一個系統,但決不應該是最后的一個。因此,它必須設計成支持開放性、符合相關技術標準的系統,使其能與原有系統協調工作,并與將來新建系統相互兼容;個性化是目前電子商務軟件開發的焦點。雅虎讓用戶自己設定個人首頁。亞馬遜網站可以向購買同一本書的客戶推薦別人同時還購買了其它什么樣的書籍。戴爾網站使用成熟的分析軟件,通過不同渠道收集的數據來預測客戶行為和偏好。一家網上銷售自行車的網站使用相應的軟件給相似的用戶來提供建議,推薦符合個人口味的自行車。研究表明,具有個性化服務的網站比沒有此項功能的網站可以更有效地增加銷售額。目前對商家來說最大的挑戰是如何決定個性化的內容。滿足了上面的這些原則,就要具體來設計它了,對于網頁的設計我想大家應該是比較熟悉了,但是電子商務網站設計起來可不是那么的簡單,我們現在來看看它的設計步驟和設計原則:
(1)確定網站的主題和風格:這個幾乎是所有在制作網站前都必須要做的事情。網站主頁的風格是瀏覽者對整個網站的普遍的感覺,是主頁的版式、色調及圖文組合的高度抽象。而網站的創意則是在設計之前對內容的選擇和表現形式運用的思考,力求個性的發揮,可以反映出制作者的水平。
(2)網站功能模塊的規劃:一個網站設計得成功與否,很大程度上決定于設計者的規劃水平,規劃網站就像設計師設計大樓一樣,圖紙設計好了,才能建成一座漂亮的樓房。網站規劃包含的內容很多,如網站的結構、欄目的設置、網站的風格、顏色搭配、版面布局、文字圖片的運用等,你只有在制作網頁之前把這些方面都考慮到了,才能在制作時駕輕就熟,胸有成竹。也只有如此制作出來的網頁才能有個性、有特色,具有吸引力。
(3)制作軟件的選取:現在用的比較多的就是網頁三劍客了,這套軟件用起來還是非常的方便的,分別是Dreamweaver、Flash和Fire-works,當然他們的版本都是8.0的,制作的過程可能還會用到其他的一些輔助軟件,如Photoshop等。
二、電子商務網站設計中需要注意的問題
1、交易的信用問題。當前,從事電子商務的網站很多,淘寶、易趣等等。各個電子商務交易平臺均有自己的信用體制,無非就是:中介模式、網站模式、擔保模式和委托模式。以淘寶和易趣為例,如果使用現金通過郵局匯款或者使用銀行轉帳的方式進行交易,因為交易都是先款后貨,所以極有可能商品到手后感覺與網站上描述的多少有區別,更多的時被騙的感覺。這也是電子商務步履蹣跚發展緩慢的主要原因之一。如何更好的確保交易雙方滿意交易逐漸成為人們關注的問題。以淘寶和易趣為例,淘寶網可以使用支付寶進行交易,易趣可以使用安付通交易。交易時,貨款先支付在支付寶或安付通,收貨滿意后才從支付寶或安付通付錢給賣家,不必跑郵局、銀行匯款以及網上在線支付,方便簡單,極大程度上提高了交易雙方的信用問題,應該可以保證雙方的交易。但是,假如你買30元的物品,郵資15元,貨到后發現破損或者其它問題不滿意,以致退換,郵資又15,恐怕加起所有的錢可以在本地買到新的商品了,不是一手錢一手貨就沒有了交易的感覺。其實,除了使用類似支付寶、安付通等來提高交易雙方的信用問題以外,仍然需要交易雙方都能保持一個平和、寬容的心態來對待交易。
2、交易的安全問題。短信陷阱、短信詐騙、假銀行、后門程序、黑客木馬、注入漏洞等不良影響的出現,嚴重影響了交易的安全性。在淘寶、易趣網站上經過很簡單的查詢,你會發現有很多的商品(新)比現在的商場或網上報價低幾成,其的網站也煞有其事,查詢ip地址所在地:福建泉州居多。這不得不使人聯想到短信詐騙和網上詐騙的案件。如果使用郵局匯款怕早晚石沉大海,而假銀行的出現、黑客木馬也使得銀行轉帳極有可能落得雙手空空。而電子商務網站的目的只有一個,就是盈利、盈利還是盈利,只要完成交易就可從中“漁利”,往往忽視了對賣買雙方信息真實性的核實。雖然,支付寶和安付通在極大程度上能夠提高交易雙方的信用,提高交易的安全性,但針對交易雙方提供的信息的真實性以及交易的滿意程度還缺乏一整套科學、規范、成熟的監管機制,因此而產生的經濟糾紛可想而知會多么漫長。
三、網站風格和創意設計
網站的整體風格及其創意設計是人們最希望掌握,也是最難以掌握的。其難點在于沒有一個固定的模式可以參照和模仿。如果要設計和普通網站有區別的站點,則必須要研究網站的整體風格及其創意設計。風格(Style)是抽象的,是指站點的整體形象給瀏覽者的綜合感受;風格是獨特的,是一個站點不同于其他網站的地方,或者色彩、或者技術、或者交互性;風格是有人性的,通過網站的外表、內容、文字和交流,可以概括一個網站的個性,情緒。設計網站的整體風格可以采用下列做法:將你的標志Logo盡可能出現在每個頁面上;突出你的標準色彩;突出你的標準字體;使用明朗上口的宣傳標語;創建一個站點的特有的符號或圖標等。創意(Idea)是網站生存的關鍵,作為網站設計人員,一定要有好的創意來源。創意是傳達信息的一種特別方式,它是思考的結果,也是現有要素的重新組合。比如,IP電話、在線書店、電子社區、在線拍賣等。
參考文獻:
[1]陸永禎、孫云龍.用ASP和SQL Server 2000實現網站管理[J].鞍山鋼鐵學院學報,2002,25(3):197-199.
篇4
1O2O的概念
O2O的含義是OnlineToOffline,是一種在近年來十分流行的電子商務新模式,這種商務模式在與互聯網進行合作的最普遍的形式就是網站瀏覽售賣的方法。所以消費者可以在網站上進行商品的瀏覽,并且通過在線支付的方式進行購買。O2O的設計理念就是將網站上的數據到實體店鋪當中,再讓商鋪在后臺進行服務情況的了解,再對消費者提供數據和商品信息。在這個支付的過程中,可以多種方式進行支付,例如使用二維碼掃碼的方式進行支付,消費者在訂購商品和服務之后,就會受到一個二維碼,通過掃描就可以驗證信息,從而就會獲得相應的產品和服務。
2O2O網站的優勢
2.1便利性
O2O網站的出現給人們的生活帶來了極大的便利,由于現代社會高速發展,人們的生活普遍都比較疲憊,在工作之余人們可以足不出戶就能夠購買到合格的產品和優質的服務。并且更多的O2O網站的設計更加人性化,也給人們提供了更多種類的服務,例如當產品出現價格浮動的時候,消費者就會通過推送等形式了解到價格的變化,從而就能夠實時的了解商品的信息,所以更加具有便利性。
2.2安全性
安全性的優勢主要體現在支付手段上,近幾年各種的O2O網站開始越來越重視支付的安全性,更加切實的保證了消費者的權益不受到損害,很多的網站在支付的設計上添加了很多的安全保障,例如指紋驗證、驗證碼驗證、支付密碼驗證等方式,防止消費者的經濟財產受到損失。在支付之后的追蹤上也能體現其安全性,O2O模式可以讓消費者在購買商品和服務之后能夠對商品的位置進行追蹤,通過用戶與商品的聯系,對商品的所有信息進行全程的控制。安全性這一優勢讓消費者市場得到了有效的拓寬。
2.3方式更加多元
O2O的網站在極大便利了人們生活和保障人們支付安全性的同時,也正在不斷的擴展其商品和服務的涉及面。例如在很多餐飲企業就與網站進行了深刻的合作,還有很多的健身企業、媒體企業都在互聯網中設立了自己的O2O網站,讓其方式得到了很大的拓寬,能讓消費者在網站中可以購買到所有類型的商品,同時得到更全面的服務。
3O2O網站設計的平臺實現
3.1攜程旅行網
攜程旅行網是在1999年創立的,是我國比較早出現的O2O電子商務網站,早期創立的時候,一般只能夠實現在線下進行服務和管理,網站的作用并沒有得到很大的展現。但是在后期發展進步的過程中,技術的支持讓攜程旅行網實現了機票預訂、酒店預訂、商旅預定、度假預訂等很多種類型的線上支付,提供給消費者包括旅行信息、旅行預定、旅行方式等全方位的一站式服務,這種網站的設計方式讓消費者在旅行的時候進行所有環節的規劃,具有極大的便利性。智能手機的普及下,也出現了手機APP的形式,與O2O網站的功能相同,實際的的服務水平非常高,在O2O網站的設計運作上也更加的全面。
3.2大眾點評網
大眾點評網是我國處于比較領先地位的第三方消費點評網站,在這個O2O的網站設計上,加入了消費者在生活中的餐飲、娛樂、購物、住宿等方面的信息,凡是與網站進行合作的企業就會給消費者提供比較合理的優惠方案,在消費者進行消費之后還可以對商家的產品和服務進行點評,同時可以與其他消費者進行互動。這個網站的設計還能夠為商家進行宣傳和推廣,通過與商家進行一定的協商,讓平臺與商家一起制定宣傳方式和優惠方式,一般還可以提供團購的方案,讓商家和消費者都得到更多的利益。在同樣類型的O2O網站設計中,也設計了比較全面的服務類型和服務方式,在移動互聯網中成功的占有了一席之地,受眾群的年齡層也逐漸從年輕消費人群轉為各個年齡段的人群,其覆蓋的地區也越來越大,已經可以在中國進行全面的覆蓋。
3.3趕集網
趕集網出現的時間雖然并不長,但是在我國的O2O網站中占有很重要的地位。它是國內目前最大的分類信息門戶網站,人們可以通過其設計模式和分類,找到所需要的服務,包括職業招聘、房產信息、同城活動、票務買賣、車輛買賣等商務類的服務,趕集網自2005年以來十年的時間內得到了快速的進步和發展。在近年來網站的宣傳設計上讓其更加處于流行的趨勢中,登陸到這個網站的用戶就可以通過這個信息平臺自己的商品信息,讓其他需要的用戶進行購買,屬于網絡上的“跳蚤市場”。這種O2O網站的設計更加適合現在的人們的生活需求。
3.4淘寶網
淘寶網的O2O設計無疑是近些年來最流行的網絡購物方式,雖然很多新興的購物網站勢頭很勁,但是其地位還是沒有被動搖。這是由于其網站設計的合理性和便利性所決定的,消費者通過在網站上獲取各類商品的信息,同時淘寶網的網絡設計了與商家進行直接的溝通,有利于消費者能夠更了解商品的信息,從而與其他的商品進行比對,買到更加稱心的商品。同時在網站設計的宣傳方面,網站也提供了很多優惠的方式和時間段,供消費者進行選擇,同時在過程中也得到了極大的影響力。
4結論
綜上所述,企業用O2O這一網絡平臺的設計將產品與服務進行更好更有效的銷售,也能夠為用戶在日常的生活中帶來更大的便利。通過對技術的不斷提升和改進,讓O2O的平臺更加高效,也讓用戶的滿意度達到了更高的水平,這種設計方法在未來還要進行更加廣泛的推廣,更好的惠于大眾。
作者:王文凱 單位:安海警學院
參考文獻:
[1]潘越.基于可用性研究的O2O電子商務網站界面設計[D].重慶師范大學,2013.
篇5
關鍵詞:JSP;電子商務;網站設計;應用分析
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)34-0287-03
21世紀的今天,互聯網開放環境下的電子商務發展,越來越注重服務器和瀏覽器模式做好新型商業運營模式的構建管理,及時的建立電子商務網站,實現企業業務之間的有效建立和分析,做好電子商務網站的大規模化管理,加強互聯網特點的業務應用。在市場變化發展過程,結合互聯網業務多方面需求,進而做好電子商務網站信息的展示,盡可能的做好電子商務網站的多樣化發展,盡可能完善互聯網業務的多方面發展。當前網絡購物中心不同于典型電子商務網站,通過提供交易平臺,結合信息技術以及商務規則,進而實現商業貿易活動的管理,借助于電子交易方式實現商品的選購和管理,及時處理訂單實現網上支付,并做好庫存的管理以及客戶測評管理[1]。關于企業借助于網絡購物中心的交易管理過程,越來越注重交易范圍的大規模化管理,減少交易成本,并獲取更高的經濟效益和社會效益。
1 系統需求分析
考察分析典型電子商務網站之后,主要是分析企業多方面需求分析,做好系統建設目標的分析,進而在網絡購物中心網站操作分析,體現出系統較好的安全性,設置前臺和后臺兩個部分。前臺主要是會員中心、訂單查詢和用戶的注冊登錄。后臺主要是做好商品信息管理和商品類別管理,實現用戶信息管理以及訂單管理,在系統不同權限用戶管理過程,實現會員的注冊以及系統管理員的功能性分析。注冊會員權限的時候,主要是做好系統的登錄和交易管理,在用戶注冊過程結合用戶名和密碼進行登錄。會員中心信息查詢之后,結合個人基本信息,及時的修改個人的基本信息,做好訂單的有效查詢和分析,進而做好訂單日期的有效查詢和管理。購物車主要是選擇商品,可以修改商品時數量[2]。訂單查詢過程,主要是及時查看訂單。
2 系統設計
2.1 系統前臺設計
基于JSP的電子商務網站系統設計結構圖可以分為兩個部分,也即是前臺系統結構分別如圖1所示。
基于JSP的電子商務網站系統前臺設計階段,主要是做好商品展臺以及商品查詢管理,確定購物車以及收銀臺的規模化管理,確定會員管理以及訂單查詢管理,進一步明確商品公告。在商品查詢過程,結合商品的類別以及商品名稱進行查詢管理。對于購物車的管理過程,主要是及時查看購物車,同時確定訂單信息,做好訂單的收賬管理,在會員管理過程,做好會員的人注冊以及會員的底層路處理。系統前臺同樣也注重商城的公告查看以及商城公告的分析工作。
2.2 基于JSP的電子商務網站系統后臺設計
關于基于JSP的電子商務網站系統后臺結構的設計,如圖2所示。
基于系統結構的設計,主要是結合三層B/S體系結構進行有效的設計,確定數據庫服務器以及系統運行保障工作,做好后臺數據庫的訪問控制和管理,進而在服務器的應用過程,加強JSP程序的事物邏輯封裝,實現數據庫的規模化有效性操作應用[3]。
應用JSP技術的電子商務構建階段,網頁設計人員通過確定開發視圖界面的優化設計,盡可能的做好控制層的開發設計。在Web Service的系統集成技術應用分析,系統數據通用性逐漸提高,同時模塊間耦合程度逐漸降低,系統擴展性逐步提高。JSP主要是結合視圖以及用戶交互界面的應用分析,實現網頁工作的負責性分析,在發出用戶請求的同時,確定視圖模塊設計,確定業務流程處理,基于實現模型的設計階段,實現控制器的優化處理應用,并做好客戶動作控制器的多樣化設計和應用,實現數據的規模化處理分析。
2.3 數據庫設計
基于JSP的電子商務網站數據庫設計過程,主要是結合AQL SERVER數據庫進行管理,數據庫名稱采取saleonline進行處理,數據庫的邏輯表分析階段,確定表的結構。關于商品大分類信息表用tb_superType表示,實現商品類別信息的有效保存。如表1所示。
3 系統實現
基于系統的實現,以圖書銷售系統的功能模塊實現為例,通過在線購書子系統的設計,實現用戶網站的登錄和g覽,同時做好圖書信息的查詢以及圖書的購買,借助于訂單信息的查詢功能,及時的提交個人資料,做好數據庫的功能性分析和管理,在填寫登錄功能的同時,盡可能的做好瀏覽網站銷售圖書信息的分析[4]。
圖書信息的查詢以及購物車的管理,并確定訂單信息,分析已購買圖書名稱和類型,實現在線圖書館銷售系統的體系結構。三層結構設計的應用過程,結合JSP技術的應用,以至于在線購書子系統的操作界面,實現了用戶的注冊和管理,同時確定了圖書詳細資料,實現圖書信息的有效查詢和管理[5]。確定購買功能也可以顯示用戶已經選購的圖書信息,實現已選圖書的刪除和修改工作,并提交已經購買的圖書信息。
4 結論
總而言之,基于JSP技術的電子商務網站設計,就要積極構建電子商務站點,結合電子商務網站的規模化設計和應用,體現系統較好的穩定性和安全性,并做好系統知識技術的有效保障和應用,圖片傳統商業活動模式,在新商務思維模式發展階段提升商業價值,獲取更大的經濟效益。
參考文獻:
[1] 聞永萍.基于JSP的電子商務網站開發[J].信息安全與技術,2011,8(11):92-94,103.
[2] 錢誠.在線圖書銷售網站設計與實現[J].計算機光盤軟件與應用,2011,12(24):209-209.
[3] 許寧.易蔬電子商務網站的設計與開發[J].中國科技信息,2012,9(21):90-91,119.
篇6
Abstract: With the development of information technology, the campus website has become an important mean of propaganda, as also a main way for people to understand the university. The traditional mode of website construction has some problems, such as no unified technical standard, long period construction, website security and various styles, etc. Website group system can provide construction, management, maintenance for multiple websites, provide website templates and web components of unified style, at the same time it can improve the safety of the website. Compared with the traditional website construction management mode, the website group system has obvious technical advantages. It can well meet the needs of the campus website construction and management.
關鍵詞: 校園網;網站群;網站管理
Key words: campus network;website group;website management
中圖分類號:TN915.07 文獻標識碼:A 文章編號:1006-4311(2014)02-0186-02
0 引言
隨著信息網絡的發展與應用,人們的生活、工作、學習越來越離不開網絡,網絡隨時隨地的伴隨著人們的活動。網絡已經成為宣傳工作的重要陣地,校園網主頁更是高校宣傳的窗口,也是人們了解學校的最方便、快捷的途徑,可以說校園網主頁就是學校的“網上名片”。現在幾乎所有的高校都建立了校園網主頁,也越來越重視校園網主頁對校園文化、辦學特色、教育理念、科研創新、名教名師、招生就業等方面的宣傳。同時,這也給網站建設和管理提出了更高的要求,縮短建設周期,提高管理效率,簡化操作方式是現在網站建設的目標。
1 傳統高校網站的建設管理模式
通常校園網站由學校主頁、部門網站、學院網站、學生社團網站等組成,在日常工作中,還會根據需要建立一些專題網頁,并且由網絡管理中心提供服務器和網站系統服務。在以往的管理中,多數學校由網絡管理中負責學校主頁的設計和制作,宣傳部門負責學校主頁的數據更新維護,如校園新聞、通知通告等。其他各部門、學院、學生社團的網站則由其自行設計和制作,以及進行后期的數據更新維護。這種分散建設的方式,給校園網站的管理帶來了很多問題,如技術標準不統一、建設周期長、安全隱患多、建設風格多種多樣等等[1]。
2 網站群系統的站點管理
網站群系統是對多個網頁站點進行建設、管理、維護的信息管理系統,具有統一規劃、統一規范、統一標準的特點,既可以統一管理,也可以獨立管理,能夠在短時間內建成多個統一外觀風格的站點[2][3]。
在網站群系統的站點管理中,學校主頁、部門網站、學院網站、學生社團網站是獨立的管理站點。系統管理員制定網站建設的規范、標準、風格,提供網站建設模板,根據需要添加、修改、完善各種網站組件,如網站導航、文章列表、彈出窗口、留言板、在線調查、日歷、天氣預報、電子地圖等等。系統管理員為各網站分配網站空間和網站管理員權限后,網站管理員可以根據要求設計、建設、維護網站,根據需要分配欄目管理員權限等。
網站群系統采用靈活的用戶權限管理,如圖1所示。網站群系統以網站和欄目為基本單元分配管理權限。網站管理員可以管理一個或多個網站,一個網站也可以有多個網站管理員。網站管理員可以對網站進行網站設計、頁面制作、欄目設置等,也可以在網站中信息,欄目管理員只能夠在分配的欄目中信息。一個欄目管理員可以擁有一個或多個欄目的信息權,也可以擁有不同網站欄目的信息權。對于需要嚴格控制信息的網站,可以設置信息審核流程,這樣管理員添加的信息不會直接被,只有通過更高級別管理員審核通過后,信息才會到網站上。
3 網站群系統部署網絡模型
網站群系統部署的網絡模型如圖2所示。網站管理員通過校園網絡在網站群管理服務器上設計、制作、管理網站,完成網站設計、制作后,需要把網站到網站群服務器上,而無論是校內用戶還是校外用戶都只能訪問網站群服務器。為了提高網站群管理系統的安全性,網站群管理系統可以增設單獨的數據庫服務器、數據備份服務器,并且通過三層交換機給網站群管理服務器、數據庫服務器、數據備份服務器分配內部IP地址,防止校外用戶訪問、攻擊網站群系統核心服務。
4 網站群系統的網站信息統計
完成網站設計、制作、信息,只是完成了一個網站管理的第一步。日常的網站管理還必須能夠隨時了解網站的運行狀況,如頁面的訪問量和受歡迎程度等信息,并且利用分析的結果最終做出相關內容的調整,只有這樣才能優化網站,使網站建設的針對性大大增強,從而提高網站的訪問量,發揮網站應有的效果。如通過對訪問日志進行分析統計,可以得到每天訪問的高峰期、月訪問量、年訪問量、總訪問量。通過對網站內容、網站欄目、管理員進行分析統計,可以得到管理員信息統計、欄目新聞數統計、欄目信息量排名、信息的訪問量統計排名等。圖3是總時間段訪問量統計,通過該圖可以清晰的反映出一天內網站的訪問的高峰時段。
5 網站群系統的安全管理
傳統的網站管理,各部門、學院、學生社團的主頁由其自行設計和制作,有的則直接交給學生來完成。在開發制作中,各站點缺乏統一的規劃、統一的標準,選擇的開發語言也多種多樣,如PHP、ASP、JSP、.NET等,使用的數據庫也不一樣,如SQL SERVER、MYSQL、ACCESS等。由于缺乏網站設計和制作經驗,制作出來的站點存在很多漏洞,也常常會從網絡中下載現成的程序代碼,這些代碼中往往會被植入木馬或留有漏洞,這使得網站容易被黑客攻破、掛馬、植入后門程序等等,一個站點被入侵則造成整個網站甚至整個服務器被黑客控制,嚴重影響了服務器的安全性。
網站群系統能夠通過多種途徑提高了信息安全和系統安全。在網站建設中使用模塊化組件,不但減少在開發過程中的代碼編寫,同時大大降低了安全隱患;通過訪問日志可以記錄所有網站瀏覽者的訪問記錄,同時可以將瀏覽者對網站進行SQL注入、XSS跨站腳本攻擊等日志信息進行記錄,以方便管理員隨時查看該類信息,對網站安全及時做出優化;站群監控機制可以查看到當前登錄的管理員用戶,同時可以限制管理員登錄系統的IP地址,以有效保護網站的維護安全;防御DDOS攻擊配置,可以對惡意攻擊的用戶進行封禁,使其禁止訪問網站等。
通過系統備份機制,管理員可以在網站維護過程中隨時對網站內容和數據信息進行備份和恢復,也可以通過設置自動備份功能,定時對網站內容和數據信息進行備份,從而有效保障了各個網站數據的安全。
6 結論
與傳統的網站建設管理模式比較,網站群系統具有明顯的技術優勢,能夠很好的滿足校園網站管理的需要。統一規劃、統一規范、統一標準,有利于集中部署,減少服務器重復投入,降低管理難度;使用模板開發,應用功能模塊化設計,能夠有效減少網站設計、開發的時間,統一網站風格,縮短建設周期;利用分級權限管理機制和信息審核流程管理,保證了網站信息工作的規范、有序;減少在開發過程中的代碼編寫,降低網站管理與維護的技術門檻,同時提高了網站的安全性。
參考文獻:
[1]朱明祥,薛同琦.網站群在高校網站建設中的應用研究[J].電腦知識與技術,2010(11): 8744-8746.
篇7
[關鍵詞] 網站 安全
隨著B/S應用的發展,更多的程序員用+SQLSERVER開發網站。是全新的創建動態web內容的服務器端技術,SQLSERVER是基于服務器端的企業級數據庫,用于大容量數據和大流量網站,在安全性、效率等方面比Access強大的多。故將SQLSERVER與結合是目前大中型網站建設的首選。其伴隨的安全問題也日益被關注。若在開發時就對常見安全漏洞有預見,并預防,可大大降低構建安全網站成本,使網站更有效地應對攻擊。
+SQLSERVER常見安全問題
1.數據庫泄密
數據庫是網站運營的基礎,密碼等重要信息若以明文存于庫,一旦被入侵就可對信息進行破壞。
2.繞過注冊頁隱患
用表單交互時內容可能會反映到地址欄,若未采取措施,記下這些內容就可繞過驗證直接進入頁面。如在瀏覽器中敲入“bk.aspx?id=3”,則繞過表單頁直接進入“id=3”的bk.aspx頁。
3. SQL注入
4.輸入惡意腳本
5.暴力破解登錄密碼
開發者在用戶密碼的驗證代碼中未考慮到惡意用戶會暴力破解密碼。
6.文件上傳漏洞
文件上傳可用fileupload控件輕松實現,但若缺少對提交文檔的檢查,網頁木馬或帶病毒的文件就可能被上傳。
+SQLSERVER安全問題對策
1.數據庫泄密對策
2.繞過注冊頁對策
3.防SQL注入
4.消除惡意腳本
5.暴力破解密碼對策
增加隨機碼校驗,將它與用戶名密碼組合可增加破解難度;還可設置最多登錄數,若超過閥值就可鎖定或跳到指定頁。
6.文件上傳安全對策
本文從開發者角度指出+SQLSERVER方案中易出現的安全問題并給出對策,對開發安全網站有較強的指導作用。
參考文獻:
[1]周維霞.基于的網站設計安全問題研究[J].電腦知識與技術,2009,5.
[2]李婷網站中SQL注入攻擊及防范[J].科技資訊,2010,34.
篇8
關鍵詞:企業網站;安全管理;強化對策
中圖分類號:TU714 文獻標識碼:A 文章編號:1674-7712 (2013) 12-0000-01
一、企業網站安全管理的現狀
隨著網絡技術的不斷進步,出現了很多惡意的網絡攻擊技術,企業的網站普遍面臨著各種網絡漏洞和惡意的攻擊,如病毒、間諜軟件、黑客、信息泄露等多種復合式的攻擊。而這些都很容易造成企業的名譽和相關利益受到極大的危害。其中,企業網站在被網站攻擊時,主要存在兩種方式:一是篡改網站的數據。網絡黑客通常通過Web程序的漏洞來獲得進入網站的權限,進而對網站的頁面、內容進行篡改,達到損壞企業形象和獲取利益的目的;第二種方式是竊取用戶信息:這種攻擊方式主要是通過特殊的鏈接來誘使用戶進行點擊或者登陸,從而達到竊取用戶個人信息和賬號隱私來盜取相關利益的目的[1]。
二、導致企業網站安全問題的原因
通常企業的網站存在安全問題往往是人為的,網絡管理人員沒有引起足夠的重視,在設計和管理時產生了較大的漏洞,從而造成外來入侵者能夠較為輕松的進入企業內部的網絡竊取相關的信息和數據。經過調查研究,可以將企業網站安全問題產生的原因歸為以下幾大類:
(一)在網站設計時不夠重視程序代碼的安全性
代碼是建立網站最基礎的數據,也是維護企業網站最重要的信息。而數據庫的安全性尤為重要,但是經過調查發現,百分之十以上的網站都存在數據庫的安全隱患,即人們常說的SQL注入漏洞。在網站設計中,設計人員往往注重于用戶的體驗需求,而對于技術數據類的漏洞卻缺少相應的安全意識,加之這種漏洞不容易被網站的管理人員和設計人員發現,不能根據漏洞做出相應的安全維護措施,因此網絡攻擊往往是通過這個漏洞進入到企業的數據庫中來危害企業的網站安全性的。
(二)企業的安全防護措施較為滯后
目前大多數企業的網站安全措施就是通過防火墻來進行防御,但是由于計算機技術的飛速發展,防火墻對于很多網站攻擊已經無能為力了。比如黑客攻擊,它在進入網站時并沒有暴露自己,而是直接通過控制網站來獲取利益,這樣防火墻對于黑客的入侵根本一無所知。另外,對于現在常用的SQL入侵、XSS等新型的攻擊類型,防火墻也束手無策。
(三)由于技術有限,發現網站安全問題也不能徹底解決
目前一些企業特別是中小型企業,由于資金或其他原因,并未設置專業的網絡安全崗位,僅僅由一些稍懂計算機知識的人員進行兼崗。這樣,在面對網站遭受攻擊或者破壞時,網絡安全管理人員只能停留在表面的如頁面修復的工作,而對于具體的源代碼的管理和保護以及漏洞原理分析則顯得束手無策[2]。
三、強化企業網站安全管理的對策
(一)對網站管理人員進行更為專業的培訓
目前對于網站的攻擊常用的方式是對基于Web漏洞的攻擊。防火墻、病毒軟件都只能抵擋住來自網絡層面的攻擊,但是對于應用層的攻擊卻不能及時解決。所以一定要引進先進的計算機專業人才,他們對于目前最新的網絡安全管理有著技術和管理意識上的優勢,并且懂得通過保護源代碼和漏洞掃描、對漏洞進行補丁等措施來維護企業網站的安全性。再通過他們對企業的員工進行計算機安全知識的更新和普及,使每一位使用計算機、互聯網的員工都能夠對基本的攻擊進行識別和防范,一旦發現深層次的攻擊能夠及時上報給網站安全管理員。
(二)加強硬件和軟件的配置
Web漏洞是最容易被攻擊的地方,則要對Web站點進行系統的評估,并建立起數據庫的安全機制,確保24小時對Web系統的檢測和掃描。同時要對現有的安全策略進行加固,充分考慮各方面,建立起立體性的防御系統。另外,還要對Web源代碼進行檢查和審計,一旦發現漏洞時,要及時進行修復和打補丁。而對XSS漏洞清理時,要注意對HTTP、POST、URL等采用固定的格式和字符進行內容提交,對于其他格式一律屏蔽。
在硬件設施上,要及時更換老舊的設備和數據庫存儲器。其中操作系統要加固對用戶賬號、密碼的加密選項,對于注冊表的權限進行設置,清除多余的文件和賬號;數據庫要對用戶賬號的密碼、遠程登錄進行限制和加密,設置監聽端口,更新安全包;對于中間件來說,要對Sockets數量進行限制,加固漏洞的補丁安裝包等。總之,在實際的操作中,要根據不同部門的使用側重點進行針對性的專項加固。
(三)建立起完善合理的安全檢測機制
針對Web漏洞的問題,要建立起網站安全檢測機制,來保證網站安全情況的及時可知性。還可以通過文件底層的驅動技術和后臺運行監測機制來檢測文件的準確度,從根本上來阻止非法的入侵和數據更改行為,這是目前一種很常用的技術檢測模式,對保護企業網站安全性起著重要的作用。還可以建立起數據備份機制,以確保當系統出現問題時能夠及時恢復最新的數據,避免不必要的損失產生。建議有條件的企業組建安全運營中心,此中心包括:漏洞評估、監控、分析和預警四個中心和資源管理配置、用戶管理、安全管理等幾大功能模塊。這些模塊各司其職,能夠更加全面而有效的管理網站,提高網站的安全性進而更好的為用戶服務[3]。
四、結論
總之,網站的安全管理是一個全面的、動態的管理過程,它要求技術更先進、管理更完善,防護更立體,只有這樣,才能為企業的正常運行發展提供堅實的安全基礎。
參考文獻:
[1]刁柏青.信息化項目實施中的管理問題研究[M].濟南:山東大學出版社,2005.
篇9
信息時代的到來使互聯網廣泛應用于各行業領域中,然而其中存在的網站安全問題也成為許多用戶擔憂的重要問題。大多計算機網站設計過程中便存在軟件或硬件系統方面的缺陷,加上計算機應用過程中存在的外部病毒入侵或網絡黑客使用戶信息安全受到一定威脅,這就要求結合計算機網站維護內容采取相關的維護技術。本文主要對網站維護的實際意義、網站維護的主要對象與主要方式以及相關維護技術的應用進行探析。
【關鍵詞】計算機網站 維護 技術
計算機網站設計當前企業進行信息宣傳、提供服務以及樹立形象的重要途徑,有利于企業在激烈的競爭環境中提高競爭優勢。但因企業網站維護不到位,不僅使網站優勢受到不同程度的限制,也容易為他人創造竊取企業或用戶信息的條件,造成一定的經濟損失。因此,對網站維護技術的探討對保證網站安全具有十分重要的意義。
1 網站維護管理工作的意義
計算機網站是現行大多企業與用戶用于消息獲取或消息的重要途徑,但若忽視對網站的適時維護將使網站作用難以充分發揮。維護管理網站的意義具體表現在:首先,維護過程中可使網站的內容實時更新,保證為瀏覽者提供信息更具時效性。應注意現代許多知名網站與雨后春筍般的快速發展起來,若在內容方面無法吸引更多關注,很容易導致網站生命就此終結,不利于相關信息或服務的進一步推廣。其次,互聯網本身具有一定的開放性特征,許多不安全、不穩定等因素在網絡環境中都有所體現,如網站中典型的病毒木馬,用戶操作中若觸及病毒木馬等廣告可能直接使相關信息被盜取。對此現狀便需適時做好網站維護管理工作,保證網站的安全性。
2 網站維護的主要對象與主要方式
網站維護管理的主要對象集中表現在數據、網頁、系統以及其他項目等方面的維護。其中在數據維護過程中要求在備份數據的基礎上完成相關的導出或導入以及維護等工作,這樣即使因網站安全問題而導致數據丟失使只需進行恢復操作便可使網站正常運行;在網頁維護方面,其維護的內容多體現在更新網頁中的內容,或完善網站整體結構以及頁面的模版等,同時要求審查網站中存在的相關鏈接是否可發揮信息收取或信息處理等功能;在系統維護方面,其是網站維護管理工作的核心,大多安全問題產生的根源在于系統本身的漏洞,應適時進行系統程序的檢查以及服務器運行狀態的檢測,通過不斷完善更新消除可能影響網絡安全穩定運行的因素;而在其他維護項目中多集中在網站的流量狀況、郵箱或空間等方面。另外,在維護方式上目前可劃分為兩種,包括:第一,對于網站的相關內容應進行不斷更新。實際規劃設計網站時便需考慮到運營過程中可能涉及到的更新問題,并針對網站的具體欄目與模塊等都應做好前期分析工作,明確模塊或欄目中的哪些信息內容需進行適時更新,這樣可避免浪費過多的維護成本。第二,在推廣方面的維護。大多企業針對網站安全問題多設立專門的維護人員,確保在信息、客戶咨詢、郵件收發等方面更具規程化特點。
3 維護技術的具體應用
3.1 從軟件防護角度
為保證網站安全性得以提高,在軟件防護過程中要求從系統軟件與應用軟件兩方面著手。其中在應用軟件維護時主要采取防篡改系統的設計與測試網站源代碼的方式,檢測網站環境中是否存有漏洞或違規代碼以及運行環境是否可靠等,特別需注意在程序開發階段應利用相應的測試工具與代碼判斷程序的物理路徑是否合理以及程序源碼是否加密等。而系統軟件方面,在安裝過程中應避免將不必要的協議或服務引入其中,可將相關的驅動程序、防病毒軟件與Windows補丁進行安裝。同時,可從IIS方面著手采取相應的設置措施,或直接設置Web站點目錄的權限,這樣可有效防止網站受病毒木馬的攻擊。另外,在系統軟件維護方面也可采取相關的帳號策略,確保Administrator具備訪問權限的基礎上,若需進行新的帳號設置要求增設另一管理員組帳號,這樣其他不具備權限的人員便無法登錄系統。尤其應注意對匿名用戶需做好限制措施,避免黑客通過相關的桌面共享或Net Meeting共享對系統進行攻擊。
3.2 從硬件維護角度
硬件防護是提高網站安全性的關鍵,主要集中在硬件配置或使用方面。現階段用于硬件維護中的技術主要體現在兩方面:第一,入侵檢測技術。該技術應用的作用在于有效阻擋網站的外部攻擊,而且可彌補防火墻技術應用下黑客在數據庫更新時進行攻擊的問題。通過入侵檢測技術與防火墻技術的共同應用在避免SQL注入攻擊或網站非法訪問的同時,也能避免出現網絡文件被篡改的問題。第二,防火墻技術。該技術應用的原理在于將訪問認證設置于網絡入口處,對不符合安全認證要求的訪問將采取一定的隔離措施。除這種訪問認證的作用外,防火墻技術應用的作用也體現在能夠進行IP地質的過濾以及服務保留功能,其中的服務保留主要指將不必要的服務進行關閉,使黑客利用服務進行攻擊的可能性降低。因此,綜合來看,在硬件系統維護方面,若單純采用一種技術很難實現網站維護的目標,需保證防火墻技術應用的基礎上配合入侵檢測技術的使用,這樣入侵檢測技術引入后可彌補防火墻在應用層中防護能力過弱的問題,而防火墻自身也可采取相應的安全策略輔助入侵檢測系統限制黑客對內部網絡的攻擊,實現網站安全性提高的目標。
4 結論
網絡維護技術的應用是保證計算機網站安全運行的重要途徑。實際維護過程中企業與用戶應正視網站維護的意義,結合網站維護的主要對象與具體維護方式,從軟件與硬件角度引入相關的維護技術,這樣才可使網站安全性得以提高,避免為企業或用戶造成經濟損失。
參考文獻
[1]崔璐,李夏珍.計算機網站的維護技術研究[J].河南科技,2014(12).
[2]吳娟.對目前計算機網站的維護分析[J].計算機光盤軟件與應用,2013,20:114+116.
[3]和士琪.剖析計算機硬件維護技術和故障解決[J].科技致富向導,2015,03:183.
篇10
隨著現代高速發展的網絡技術和不斷興起的電子商務,針對計算機網絡的攻擊不斷出現,設計人員在進行網頁設計時必須充分考慮網絡安全的問題。當一個網站建立之后,相應的配套程序有很多,由于網頁設計的獨特性,所以,程序的漏洞會不斷的增加,這樣就給網站帶來了一定的安全隱患。
2網頁設計安全漏洞
網頁設計中常用的服務器端網頁設計技術包括ASP、PHP或JSP等腳本語言,這些網頁技術為網站的技術開發人員提供了便利。在網頁的開發設計中,設計人員使用上面的腳本語言可以高效的管理現有的網站資源,加強了瀏覽者和網站的交互。在交互之間,漏洞就在慢慢的形成,這主要是因為瀏覽者在輸入信息時的不可確定性,如果程序考慮的不周全,用戶輸入的信息就有可能成為對網頁的攻擊,無論這些信息是否是有意的還是無意的。網頁的編程與服務器直接打交道,它和系統的相關設置、網站數據庫設置等有關,若程序設計之中存在漏洞,那么也稱之為網站漏洞。
3網頁設計中存在的漏洞
3.1在登陸驗證中存在的漏洞像人們常常使用的論壇、會員區、聊天室等帶有交互性的網站,登陸驗證是必須完成的部分,雖然登陸驗證只是整個網站運行中的一小部分,但卻是整個網站的安全之口。網絡設計者在設計時很容易疏忽這個關口的設計,安全關口的驗證程序如果沒有設計好,就會讓別人有空可鉆,從而造成不必要的損失。很多網站在設計安全關口中都存在登陸驗證的漏洞,設計人員在設計時編程的不嚴謹造成了這個漏洞。
3.2直接進入頁面而繞過驗證的漏洞在許多的敏感頁面中,用戶必須進行身份驗證,但是這個頁面無需對用戶的身份驗證,一旦用戶在知道相關的網頁設計頁面的文件名和路徑時,用戶就會直接繞過登陸的界面,進入設計頁面。在這樣的狀況下,網站的設計人員必須對相關的頁面進行身份的驗證,設計相應的身份驗證程序,來達到網站頁面的安全可靠程度。
3.3網站病毒的廣泛傳播計算機中存在的病毒是人們故意設計制造的計算機應用程序,它的特點就是感染性和自制性,在日益擴大的網絡規模下,計算機的病毒的種類和數量也在不斷的增加,這樣也對計算機的的安全造成了很大的威脅。如果網站的終端服務器被計算機病毒傳染,就會破壞網站信息的可靠安全性,甚至影響了整個網站的正常運行。
3.4一些網站的非受權在網站的建設中,程序設計人員往往會采用較為復雜的安全配置,這樣就會在網絡服務的應用中存在非常巨大的安全缺陷,因而給遠程的黑客有了可乘之機,侵入到網絡服務器的內部,給網站的安全帶來了巨大的危害,網絡系統中的應用軟件的缺陷、密碼過于簡單等等的系統漏洞,都會讓黑客非常容易的侵入。
4解決網站安全隱患的方法
4.1充分考慮網站登陸驗證的安全性在相關的論壇和聊天室中,驗證身份在登陸時是必要的一步。所以,網站設計人員可以使得程序在生成SQL查詢語句之前,驗證用戶的用戶名和密碼,或者是設計人員要求用戶在進入網頁時先對其用戶名進行查詢再驗證密碼。而在進入比較敏感的頁面時,設計人員可以設計相應的程序要求用戶再一次進行身份的驗證,這樣就增加了網頁的安全可靠性。
4.2充分考慮源代碼的泄漏程序設計人員對網頁的代碼加密后可以有效的減少網站源代碼泄漏的機會,設計人員可以利用組件技術將編程邏輯密封在ADLL中,或者是對ASP進行加密,這其中利用的是微軟的ScriptEncoder,這個方法有操作性強、編輯性強等優點,這樣就可以降低源代碼泄漏的機率。
4.3充分考慮文件在上傳時的安全性許多的網站具有文件上傳、圖片上傳等多種功能,比如一些論壇、郵箱系統、校園網這些用戶量很大的網站,但是這樣的網站,程序設計人員在設計時沒有對用戶提交的數據和參數進行充分的過濾,導致了黑客能夠對其進行遠距離的攻擊,從而造成了相關數據庫的破壞。所以,設計人員在用戶上傳圖片文件之前,可以插入文件類型模式的模塊,對用戶上傳的文件格式進行篩選,這樣就可以將一些可能帶來病毒的文件篩選出去,提高了用戶使用網頁的安全性。
