网站是互联网技术的基本表现形态,也是信息输入和输出的重要平台,随着近年来我国电子商务产业的快速发展,网站建设的安全性要求也不断提高。网页作为网站的基本构成要素,往往因为存在设计方面的安全缺陷而成为黑客、病毒和木马威胁的对象,由此造成严重的经济损失,甚至造成社会恐慌。本文中笔者针对网站建设的安全性展开研究,以网页设计的安全缺陷为切入点,通过分析并提出相应地防治策略。
关键词:
网站建设;网页设计;安全缺陷;防治对策
一直以来,网站建设中都将安全性作为首要考虑对象,尤其在当前互联网经济环境下,各类网站的运营均以会员制度展开,尤其是电子商务网站,除了用户的个人隐私之外,还包括重要的金融信息,很容易被不法分子所觊觎。针对网站的非法行为主要是利用技术手段找到破绽,从而达到非法获利的目的,因此对广大网站运营主体而言,在网站建设前、中、后期都要做好全面的安全防护工作;相对而言,网页设计中存在的安全缺陷较多,如权限级别过高、数据库漏洞等,所以应该将其视为网站安全防护的重点。
1、网站建设中网页安全的重要性
狭义上说,网站是由不同功能界面的网页构成的,网页的形式总体上分为静态和动态两种。静态网页是网站技术早期的一种形式,通过浏览器可以访问预先设计好的网页格式,但静态网页中的所有元素都是固定的,如图片、文字、视频等,修改工作也基于人工操作完成,信息不会因为用户的操作而发生变化,严格意义上说,静态网页除了IP之外不存在其他“入口”。然而,静态网页显然不符合网站建设的发展趋势,随着用于规模扩大、信息容量增加,网站逐渐采取了动态技术,如PHP、ASP、C++等,其优势在于网页内容可根据用户操作发生相应的变化,反馈用户所需要的信息,换而言之,基于服务器中断的网页设计中包含了大量脚本语言,利用程式化优势来提高网站资源的统筹和管理效率,而“网页”变成一种临时性的调用元素“集合”,当用户需要某一网页形式时,脚本语言直接从数据库中调取相应的元素,如用户登录网页和注册网页中存在的“验证码”部分,事实上属于同一种验证机制。理论上说,任何一种系统都存在漏洞,以技术实现的网站系统更是如此,在动态网页驱使下产生的安全缺陷更多,具有高超计算机程度能力的黑客只需要简单的步骤就可以找到“突破口”。
2、网站建设中网页设计的安全缺陷分析
目前在国内网站技术背景下,常见的网页设计安全缺陷主要有以下几种表现。
2.1验证安全缺陷
验证安全缺陷是目前国内网站中最为常见的一种,尤其是在大量自主开发网站中,其源程序和代码均来源于网络,难免存在一些设计缺陷。验证机制最早是针对恶意注册、网络攻击而开发的,最早出现与一些公众交流平台,如论坛、贴吧、聊天室等,由于它可以很好地保护网络的通畅性,因此迅速的在广大网站中流行开来。但是,登录验证机制只是网站安全的“最低门槛”,虽然通过提高验证复杂性来规避恶意注册,却不能将其视为保护网站安全的唯一途径。事实上,验证机制由于和服务器、数据库之间的密切联系,很可能成为一个被刻意攻击的对象,而对于网站程序员而言,很少会刻意强化一个本质上属于“安全机制”的组件,一旦登录验证被攻破,网站的整个安全性也就随之降低。
2.2地址安全缺陷
通过SQL注入的方法可以欺骗服务器,找出网站数据库存在的安全漏洞,从而进行非法活动,尤其在以WEB表单递交查询关键字的网站系统中,黑客可以绕过敏感网页的权限直接进入后台页面,这一缺陷在国内大量成品网站中十分突出,如事业单位、企业单位、个人网站中,长期忽视安全级别更新,不法分子在得知某一个网页的文件名、路径、元素之后,能够绕过登录、注册和验证机制。
2.3防护安全缺陷
病毒和木马是人为制造出来的计算机恶性应用程序(或代码),也是针对网站展开攻击频率最高的一种形式,不法分子只需要制造并传播病毒、木马即可,而不需要亲自操作。以计算机网络病毒为例,一旦被激活之后就会迅速感染计算机文件,并通过正常的网站操作进入网站系统,从而对整个网站的安全产生威胁。事实上,网站空间中的病毒也常常伪装为网页文件(如.ASP/.PHP等)、图片、压缩文档等形式,让人真假难辨,且十分顽固、难以清除。
3、网页设计的安全缺陷防治对策
结合现状来说,网站建设技术已经相对稳定,在安全防护机制上重点突出硬件的特征,但网页作为一个基本因素也不可掉以轻心,这是因为网页设计的安全缺陷不仅仅是技术方面造成的,还与设计人员自身的安全意识相关。在网站建设技术日益成熟、防范杀毒系统(包括硬件)功能不断增强的前提下,人为因素导致的安全缺陷开始增加,由于设计人员缺乏足够的安全意识,在网页设计过程中会忽略大量的安全要素。第一,加强网站源代码的保护力度。在网络资源免费共享的诱惑下,大量开源网站代码被植入到网站设计中,一些设计人员为了节省开发成本,对于安全级别较高的网页缺乏审查,增加了后门和漏洞的风险。因此,在网站运行前和运行中都应该不断进行网页安全级别测试,及时法相存在的问题。第二,提高验证机制的安全性水平。目前,验证机制不仅仅被用于注册、登陆,包括下载、修改、删除等操作也大量存在,客观上为网站入侵提供了更多的渠道。对于涉及验证机制的网页或组件应该提升安全级别,如设计二次登陆或加密算法。第三,重视文件上传内容的健康性。为了吸引用户,一些网站提供了大量的免费空间服务,这也是一个典型的安全漏洞,特别是在局域网络中,如公司内部网、校园网、网络硬盘等空间中,一些被巧妙伪装的病毒、木马也可以上传成功,从而产生严重的安全问题;因此,在提供免费空间服务的网页界面中,要提高对上传者的身份验证、权限验证和内容审查力度,加强文件信息和数据过滤的强度。
参考文献
[1]杨杰.网站建设中网页设计的安全缺陷及对策分析[J].无线互联科技,2016,(20):43-44.
[2]赵磊.高校网站建设安全问题分析与对策[J].软件,2015,(09):104-105+112.
[3]王洪海.试析网站建设中网页设计的安全缺陷与解决策略[J].电子制作,2015,(01):83-84.
[关键词] 网页防篡技术 外挂轮询技术 核心内嵌技术文件 过滤驱动技术
计算机技术的发展是当代经济的重要标志。计算机技术广泛应用于各个领域,比如建筑设计、教育、企业宣传等。企业在向外界推广自己的时候也会采用网络推广的方法,因为网络的传播速度快,接受人群也相对较多。但是,企业也会经常遇到网页被篡改的事件,给企业带来一定的麻烦,有的甚至让企业蒙受损失。因此,提高网站的安全,保证网页内容的完整,防止网页被篡改就成为我们目前面临的重要任务。
一、网页篡改现象存在的原因
网页被篡改的原因是多方面的,既有技术方面的原因,也有管理方面的原因,有时网页被篡改是由于设备配置的原因。
1.在目前的网站建设中,存在漏洞,为黑客等提供了攻击的突破口。现在已经公布的操作系统漏洞有一万多个,系统漏洞从发现到被利用为5天,而修复漏洞的补丁的时间为47天。另外,应用系统漏洞也成为攻击的对象。
2.网络管理员难以完全实现安全管理要求。在网络安全管理中,对安全管理的要求相当苛刻,比如,密码管理合格密码需要8位以上复杂字符并定期改变,漏洞补丁操作系统、中间件、应用系统的定期更新等,这对网络安全管理人员来说,任务是非常重。
3.网络设备防篡的不足为了保护网站的安全,大多数网站系统都使用了防火墙和入侵检测系统等网络安全设备来保护自身的安全。防火墙作为一种网络安全设备被广泛应用在网络安全中,但是在防止网页被篡改方面,防火墙起不到什么作用。因为防火墙完全向外部网络开放web应用端口,对Web应用没有任何的保护作用,即使使用http型的防火墙,防火墙也只是验证http协议本身的合法性,完全不能理解http协议所承载的数据,也无从判断对http服务器的访问行为是否合法。入侵检测技术与防火墙一样,在应用协议的理解和作用方面具有局限性,对于复杂的http会话和协议更是不能完整处理,所以对攻击网页的行为,入侵检测系统无法检测和防御,修复被篡改的网页就更谈不上了。使用防火墙和入侵检测技术对于网页篡改来说是没有效的,需要专业的防篡改网页的设备和系统来对网页进行保护,保证网页的安全。
4.外部原因。除了上述原因外,网页被篡改或受攻击的直接原因就是黑客。黑客或者是为了展示自己高超的技术,或者是受雇与竞争对手,或者是受雇于非法组织,也有可能是员工对企业的不满的一种情绪的宣泄。
二、网页防篡技术的发展
网页防篡技术发展到现在,已经发展到第三代,现就网页防篡改技术的发展过程做一个介绍。
1. 起始阶段——人工对比检测
人工对比检测是网络管理员对要保护的网站进行人工监控,在监控过程中,如果发现有内容被篡改,要对网页进行修改和还原。人工对比检测不能算是应对网页篡改的原始手段,严格第讲并不是一种网页防篡改技术,但是这种方法在真正的网页防篡改系统出现以前的相当长时间内一直被使用。这种安全监控方法的效果并不好,对网页的安全性保护没有太大的作用。这种监控方法最大的缺点就是对网页的安全不能进行即时监控。网络管理员无法及时的发现被篡改,往往是被篡改一段时间后才被发现,即使发现以后也要花费一定的时间才能进行修复和还原。
2. 第一代——外挂轮询技术
外挂轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,通过与真实网页相比较来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。这种监控方法比人工监控的效率大大提高。但是外挂轮询技术也存在缺点,那就是在外挂轮询技术在进行扫描时会有时间间隔的存在,大约时长为几十分钟。而在这段间隔期间,无法防止黑客对系统的攻击,使网页处于危险的境地。
3. 第二代——核心内嵌技术
所谓核心内嵌技术即密码水印技术,即最初先将网页内容采取非对称加密存放,在外来访问请求时将经过加密验证过的文件进行解密对外,若未经过验证,则拒绝对外,调用备份网站文件进行验证解密后对外。
核心内嵌技术的安全性与外挂轮巡技术相比,大大提高,而且核心内嵌技术在进行网页检查时没有时间间隔,从而可以使网页一直在监控之中。核心内嵌技术如果要有效防止网页被篡改,就必须对网页的完整性进行实时检查,而这样会占用系统资源,使服务器负载较大,导致系统反应缓慢。同时该技术还使得网页的流程发生了改变,这使得网站要对自身的架构进行重新设计,而且要更新服务器。
4.第三代——文件过滤驱动技术+事件触发技术
文件过滤驱动技术需要与事件触发技术结合起来才能发挥防篡改的作用,它开始是被用在军队保密系统中。其原理是:将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测。若发现属性变更,则通过非协议方式、纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置。通过这种技术的应用,可以使被篡改的网页在很短的时间内得到修改,用户不会浏览到被篡改的网页,从而使网页正常运转。
文件过滤驱动技术可以监测的所有的文件类型,而且执行准确率高。文件过滤驱动技术可以完全避免外挂轮询技术的轮询间隔,并且使用户无法看到被篡改的内容,极大第提高了网页的安全性。同时,文件过滤驱动技术比核心内嵌式技术消耗的内存和CPU占用率要低得多。
三、网页防篡技术评估
一般用户在网络上浏览的网页可以分成静态网页和动态网页两种。静态网页是用户直接看到的界面,动态网页是Web服务器上的脚本文件(如jsp文件)经过执行后,将其执行的结果反馈给公众。比如,我们在点击一个连接时就会在后台运行脚本,执行之后在界面上显示出结果。脚本通常会读取数据库中的数据,因此最后生成的网页可以认为是脚本文件和数据库内容的综合。由此可知,要防止网页被篡改,实质就是保护文件(无论是静态网页文件还是脚本文件)和数据库的安全。
因此,一个有效的网页防篡改系统必须达到以下两个方面的要求:
1. 实现对网页文件的完整性检查和保护,并达到100%的防护效果,即被篡改网页不可能被访问到。
2. 实现对已知的来自于Web的数据库攻击手段的防范。
为了对网页防篡技术的评估,可以对技术按照这两方面的要求进行测试。例如:文件保护可以通过直接修改Web服务器上的文件,再用浏览器访问该文件来测试是否达到了100%可靠的防护效果;数据库保护则可以通过一些黑客工具(NBSI、HDSI等等)对受保护网站进行模拟攻击。
四、结束语
网页被篡改会引起一系列的麻烦,对于企业来说,可能会泄漏企业机密,而对于政府网站来说,可能会对政府的形象带来负面影响。所以,防止网页被篡改,提高网页防篡技术是信息化时代的要求。我们必须加大对技术研究的力度,从各个方面对技术研究进行支持,使网页防篡技术可以保证网页的安全。
参考文献:
[1] 盖玲防网页篡改技术比较分析图书与情报 2007年第2期.
[2] 余明华网页安全防范策略的研究与实施科技信息(学术研究) 2006年第6期.
[3] 罗利民网页防篡改技术的一种实现福建电脑 2008年第11期.
[4] 赵晓云,穆慧敏山西省地震局网页防篡改技术应用及应急预案研究山西地震 2011年第7期.
[论文摘要]通过介绍武汉经纬电子有限公司所实施电子商务网站SEO项目,希望能对安防行业网站开展SEO项目进行探讨。
一、引言
自从1979年公安部在石家庄召开第一次全国刑事技术预防工作会议后,安全技术防范便作为一个专业领域迅速发展起来。安防企业只有勇敢地面对挑战,才能抓住机遇,积极地利用先进的科技和信息手段,实施电子商务。
二、什么是SEO
SEO是Search Engine Optimization的缩写,翻译成中文就是“搜索引擎优化”,一般可简称为搜索优化。与之相关的搜索知识还有搜索引擎定位、搜索引擎排名等。
搜索是除了电子邮件以外被用得最多的网络行为方式。通过搜索引擎查找信息是当今网民们寻找网上信息和资源的主要手段。搜索引擎营销已经成为网络营销最重要的组成部分。如何使自己的网站被主要的搜索引擎收录、然后获得较高的排名,成为网站建设者们绞尽脑汁的话题。
在国外,SEO开展较早,那些专门从事SEO的技术人员被Google称之为“Search Engine Optimizers”,简称SEOs。由于Google是目前世界最大搜索引擎提供商,所以Google也成为了全世界SEOs的主要研究对象,为此Google官方网站专门有一页介绍SEO,并表明Google对SEO的态度。
三、为武汉经纬电子实施SEO项目
经华中师范大学信息管理系李玉海教授推荐,我曾有幸为武汉经纬电子有限公司实施SEO项目,并作为全国大学生电子商务大赛参赛案例,以下就该案例进行分析和研究,以便探讨如何在安防行业实施SEO项目。
为了使经纬网站在各大搜索引擎中排名靠前,从而通过经纬网站来获得更多的经济效益,我通过在网站改版中运用SEO思想进行对经纬网站进行优化,帮助经纬在搜狗、一搜等搜索引擎提交经纬网站的注册信息,此外,我们还建议经纬在完成网站改版后在百度、Google等网络访问者经常使用的搜索引擎购买排名竞价,以进一步在搜索引擎排名中获得较高的排名和成果。以下简要描述运用SEO思想对经纬网站的优化过程建议。
(一)经纬网站关键词
一体化摄像机、LED屏幕显示、半球摄像机、一体化、电子系统、摄像机、摄像机设备、智能小区系统、电力摇视系统、远程教学系统……
以登录页为例,我们把它分做三部分
1.“摄像机”和“一体化摄像机”这两个关键词,其登录页标题为:
一体化摄像机设备 武汉经纬电子有限责任公司 主要为产品介绍页。
2.“电子系统”和“一体化”这两个关键词为企业核心关键词所以分开制作登录页。
“电子系统”为1级登录页网页标题为:电子系统 智能小区武汉经纬电子有限责任公司
“一体化”为2级登录页网页标题为:电力摇视、远程教学武汉经纬电子有限责任公司
1级登录页比2级登录页的权重略微高一点,1级登录页为业务介绍而2级登录页为产品展示。
先有1再有2,按照访问习惯,访客一般先进入1级对该业务感兴趣了再进入2级查看产品。一定程度上增加了客户转化率,提高了UE用户体验,把访客过滤成潜在客户并对他们加倍照顾可以有效提高潜在客户转化为真正客户的转化率。
3.“网上订购”登录页标题为:产品网上订购武汉经纬电子有限责任公司,主要列出所有可以订购的产品和联系信息、方式等。
登录页的onsite SEO,关键词密度保持在3.5%-4.0%,其他SEO元素跟平时做优化一样。
(二)Onsite SEO建议
1.网页结构改用Div+CSS xhtml结构,利用Div+CSS 进行网页左上角Div层定位,把网页主要内容放在该层上并放置在代码的最前面,易于搜索引擎抓取文字内容以及增加主要文字内容的展示率。
2.把网站Logo从原来的背景图换成贴图并加上网站首页链接和alt属性。
3.把主导航栏从Flash里面抽出来,导航栏里面的效果完全可以利用DIV+CSS+Javascript实现。
4.把4个登录页都添加入导航栏里面,再把网站地图从Footer移动到主导航栏里面。
5.用新闻系统新闻,添加相关文章链接和留言板,不要使用论坛,论坛是客户与企业之间的互动平台,不是新闻信息平台,且论坛没有相关文章的链接。
6.新闻标题尽量包含“摄像机”这个词,新闻主题必须以摄像机相关为主题。
7.所有网页Title, meta description, keywords都需要重新编写,必须根据网页内容进行编写。 例如:IBM中国网站的所有网页就是人工一个一个慢慢编写的。
8.图片添加alt属性(主要是左边导航栏)。
9.建议增加一个英文版网站,可以有效增加网站信用度。
(三)Offsite SEO建议
1.在网址站及搜索引擎,如:hao123.com,265.com,yahoo directory,
dmoz等提交经纬网站的站点资料,以便能够被它们收录,方便检索。
2.在慧聪网、阿里巴巴等B2B网站贸易公告,供应一体化摄像机设备及其他相关产品,并附上经纬网站的链接。
3.与行业门户站合作,为他们提供行业新闻稿、促销信息和独家消息并附上经纬网站的链接。例如人们对电力摇视系统的认知,智能小区市场的研究,远程教学的覆盖率…,经过对已有的研究数据和文献进行分析,我们发现媒体非常喜爱这些数据。
4.为出色的经纬员工建立博客,并与绩效考核相结合,鼓励他们每日更新至少一次。
(四)SEM建议
为每个关键词建立一个独立的登录页,添加统计软件随时监测过来的流量,并随时根据统计数据对该页面作适当调整或优化提高客户转换率;为每个付费广告重新撰写广告标语(广告标题跟描述),任何访问者每次都看到同一个广告标语都会觉得厌烦3;每个付费广告都应该包含一个关键词。
四、结束语
在信息时代,实施电子商务项目对企业的发展尤为重要,每一个行业都可以和电子商务息息相关,并通过实施电子商务项目而获利,实施网络营销是时展的趋势,企业发展的要求,安防行业应该改变观念,勇于尝试和实践网络营销。如何充分利用SEO项目,在搜索引擎中获得较好的成绩,是每个上网企业都应该特别关心的问题,有力地实施SEO项目,能够大幅度的促进企业网络营销的开展。
参考文献
[1]戴夫、茶菲.网络营销战略[M].机械工业出版社.2004.
[2]刘光峰.网络营销[M].清华大学出版社.2004.
[3]黄辉.适合中小企业的网络营销策略[J].重庆工商大学学报.2003.
关键词:Web数据挖掘,边防情报,应用模式
随着科学技术的突飞猛进,社会信息化的快速发展, 以信息技术为主要标志的高新技术革命已经引起了社会各个领域的深刻变革,网络已经成为社会生活不可分割的一部分。每天有数以亿计的网民在互联网上浏览、信息,互联网已经成为信息时代最为重要的信息集散地。对于边防情报部门而言,研究如何通过互联网和公安网快速高效地进行情报收集,使各项工作都围绕收集、运用情报而展开,已经成为当务之急。Web数据挖掘技术的兴起,为边防情报部门开展工作提供了高效的工具与手段。
一、Web数据挖掘技术
Web数据挖掘技术是由传统数据库领域的数据挖掘技术演变而来。数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的原始数据中,提取隐含在其中的、事先未知的、但又潜在有用的信息的过程;它是从数据仓库中提取出可信的、新颖的、有效的,并能被人理解的模式的高级处理过程。数据挖掘出现于20世纪80年代,它不仅面向特定数据库的简单检索查询调用,而且要对这些数据进行深入的统计、分析和推理,发掘数据间的相互关系,完成从业务数据到决策信息的转换。数据挖掘技术把人们对数据的应用,从低层次的末端查询提高到为决策者提供决策支持。随着互联网的蓬勃发展,数据挖掘技术被运用到网络上,并根据网络信息的特点发展出了新的理论与方法,演变成为Web数据挖掘技术。Web数据挖掘是指从与WWW有关的资源和行为中抽取人们感兴趣的、有用的模式和隐含信息,所挖掘出的知识能够用于信息管理、查询处理、决策支持、过程控制等方面。Web数据挖掘已经成为对互联网信息进行深度分析、开发与利用的重要手段。
二、Web数据挖掘的分类
(一)Web内容挖掘
Web内容挖掘是指从互联网上检索资源,从相关文件内容及描述信息中获取有价值的潜在信息。根据处理对象的不同,Web内容挖掘分为文本挖掘和多媒体挖掘。网上信息形式多以文本信息的形式存在。文本可以被看作是一种顺序数据,目前有许多适合于顺序数据的挖掘方法。Web文本信息挖掘的主要任务一般限定在文本特征的表示、文本的总结,以及文本的分类和聚类等方面。互联网现有大量多媒体信息。对该类信息进行分析挖掘,找出合适的描述模式,阐述并理解其中的意义,可提高该类信息的识别度及检索效率,也是Web多媒体挖掘的目标。论文大全。目前此方面应用的技术手段主要是语音信息的理解及识别、图形图像信息的理解及识别,以及信息检索等。
(二) Web结构挖掘
Web结构挖掘的目标是Web文档的链接结构,目的在于揭示蕴涵于文档结构中的信息,主要方法是通过对Web站点的结构进行分析、变形和归纳,将Web页面进行分类,以利于信息的搜索。对Web页的链接结构进行分类,可以识别判断页面与文档间的各种属性关系。由于Web页的内外部存在具有各种属性关系的结构信息,通过研究Web结构信息,可得到相关主题、相关分类的页面集合,生成关于某个Web站点的结构和页面结构的概括信息。因此,结构挖掘的重点在于链接信息。
(三) Web日志挖掘
Web日志挖掘是从服务器访问日志、用户策略、用户对话和事物处理信息中得到用户的访问模式和感兴趣的信息,并尽可能预测用户的行为。通过对用户所访问页面、文档等的技术分析,Web日志挖掘可以找出相关主题间、相关内容间的联系规律。访问分析又称使用分析,主要使用用户基本信息如IP、ID、URL、日期、时间等进行处理。由于Web服务器的Log日志存在完整的结构,当用户访问Web站点时,相关的页面、文档、链接等信息在日志中都做了相应的记录。Web日志挖掘不仅要找出用户经常访问的URL路径,而且也要找出用户有可能要访问的相关站点的链接。利用这种方法,可以获知互联网使用者的行为偏好。
三、Web数据挖掘的主要方法
(一)统计分析方法
统计分析(statistical)方法是通过对总体中的样本数据进行分析,从而描述和推断能够揭示总体中的内部规律的信息和知识的方法。为了适应复杂信息的挖掘需求,往往依赖有明确目标和任务的概率模型。数据挖掘的统计模型要适合于所要提取的对象。利用统计分析技术可以对我们感兴趣的内容进行蕴含信息的挖掘。如对互联网日志进行统计可以获得有关站点使用的基本信息,包括页面访问次数、日平均访问人数、最受用户欢迎的页面等。除此以外,还可以进行错误分析,如非法用户登录等。这些统计数据都是基于用户浏览页面的时间、用户的浏览路径和路径长度等信息。这些统计数据对于提高系统的性能、安全性以及优化站点结构大有帮助。目前已有许多互联网流量分析工具实现了这些基本的统计功能。
(二)关联分析方法
关联分析(associationanalysis)用于发现关联规则,所谓关联规则是指在大量的数据中所隐含的项集之间的关系以及项集的频繁模式。用户在浏览网页时,经常会在同一次访问中浏览一些无顺序关系的页面集合,挖掘发现的这些页面之间内在的联系,就是就表现为它们之间存在一定的关联。如果关联规则中的页面之间没有超链接,则应该引起我们的特别关注。通常使用可信度、支持度、期望可信度和作用度这四个参数来描述关联规则。
(三)分类方法
分类(classification)是找出描述并区分数据类或概念的模型(或函数),以便能够使用模型预测类标记未知的对象类。分类不同于聚类,聚类无须事先制定标准,而能从信息本身出发,利用算法自动分类;而分类的准则是事先定好的。在Web数据挖掘中,分类主要是将用户配置文件归属到既定的用户类别,网页根据内容的属性分类等。分类技术要求抽取关键属性描述已知的信息,可以通过指导性归纳学习算法进行分类,主要包括决策树分类法、贝叶斯分类法、最近邻分类法等。
(四)聚类分析方法
聚类(clustering)就是将数据对象分组成为多个类或簇,在同一个簇中的对象之间具有较高的相似度,而不同簇中的对象差别较大。聚类分析能够将一批数据按照它们在性质上的亲密程度,在没有先验知识的情况下自动进行分类,每一类都是大量具有相似性个体的集合,不同类之间具有明显的区别。聚类分析是一种探索性分析,在分类过程中,人们不必事先给出一个分类的标准,聚类分析能够从信息本身出发,自动进行分类。例如在Web日志挖掘中,聚类分析主要集中于用户聚类和页面聚类。用户聚类将具有相似浏览行为的用户归类;页面聚类则是将内容相关的页面归类,搜索引擎可以利用这些信息为某个查询提供用户感兴趣的相关超链接。
四、Web数据挖掘在边防情报工作中的应用模式
(一)Web数据挖掘在建立公安网搜索引擎中的应用
目前,边防情报部门所需的公开信息大部分来源于互联网和公安网,情报人员通过使用搜索引擎来快速查询需要的信息,然而公安网的搜索引擎存在较大局限性,搜索出来的结果存在大量冗余信息,不能满足情报人员的需求。因此,在搜索引擎中通过借鉴Web数据挖掘技术可以有效地提高查准率和查全率,从而给情报人员提供较有准确的信息。具体应用方法如下:
1.根据公安网的页面内容,自动形成摘要
目前,使用公安网搜索引擎进行检索,检索的结果文档是以简单摘要形式出现的,它表现为机械地提取网页内容取前几句为摘要,这种仅通过位置进行自动摘要是很难真正反映出网页中的信息内容。论文大全。在文本挖掘中的文本抽取技术是指从文档中抽取出关键信息,然后以简洁的形式对文档的信息进行摘要或描述,即文本抽取技术是根据Web文档本身的内容,从Web页中提炼出重要信息形成文档摘要,而不是根据位置来进行文本内容的概括,因此它更能够反映出Web文档中的真正信息。论文大全。这样,情报人员通过浏览关键词就可以了解网页的大致内容,从而决定是否使用该信息。
2.根据检索结果,自动进行文档聚类
文本聚类是文本分类的逆向过程,是指将文档集中的文档分为更小的簇,要求同一簇内文档之间的相似性尽可能大,而簇与簇之间的关系尽可能小,这些簇相当于分类表中的类目。情报人员在使用搜索引擎时,会得到大量的返回信息组成的线性表,而其中很大一部分是与其查询请求不相关的,于是通过对检索结果的文档集合进行聚类,可以使得与用户检索结果相关的文档集中在一起,并远离那些不相关的文档。再将处理以后的信息以超链接结构组织的层次方式可视化地提供给情报人员,从而大大减短浏览时间。
(二)Web数据挖掘在建立公安网站中的应用
公安网网站是公安网信息的容纳处,我们可以利用Web数据挖掘技术有效地组织网站信息,建立一个资源优化的网站,也就是说通过对网站内容的数据挖掘,主要是对文本内容的挖掘,如采用自动归类技术实现网站信息的层次性组织;以及结合对用户访问日志记录信息的挖掘,把握用户的兴趣,开展网站信息推送服务。
1.采用自动归类技术,实现公安网网站信息层次化
一般而言,网站提供给访问者的信息和服务应该是按优先次序进行排列,网站维护人员应该把重要的信息放在醒目的位置,因此在网站维护时,通过对网站内容挖掘和Web日志挖掘,可以有效地组织网站信息。例如:采用自动归类技术实现网站信息层次化;分析访问者的访问行为,可为用户提供智能化、个性化服务。还可根据访问者的访问兴趣、访问频度、访问时间,动态地调整页面结构。
2.采用日志挖掘技术,实现公安网网站信息推送服务
网站可以根据访问者的浏览情况,发现访问者的兴趣,定期为注册用户提供相关信息,并且调整网站中网页的链接结构和内容,为访问者提供个人定制服务。具体步骤为:首先将日志文件中的数据经过预处理,形成原始数据库;然后获取用户的访问模式,放入用户访问模式数据库;再通过数据挖掘和模式分析形成知识数据库,Web服务器自动更新知识数据库,采用动态主页设计方法,根据用户的知识信息,提供相应的个性化主页。在数据预处理过程中会话识别是重要的一步,它取决于用户访问模式的有效性和准确性。为提高准确性,可采用Cookie法进行会话识别。在呈现个性化主页时,利用用户的IP地址和Cookie值查询知识数据库,发现用户频繁访问的路径,并自动形成相应链接,根据相似用户群和相关Web页推荐给用户。由于是经过挖掘和分析后所产生的动态主页,相对于一般的主页,其针对性更强,更受用户的欢迎。
参考文献:
[1]叶鹰.情报学基础教程[M].科学出版社,2006
[2]栗湘等.Web挖掘应用研究[J]情报理论与实践,2005,(6)
[3]曼丽春等.Web数据挖掘研究与探讨[J].现在电子技术,2006,(8)
[4]徐险峰.基于Web的网络数据挖掘技术[J].情报杂志,2005,(3)
Q误将Windows 7系统下的Media Player播放器删除了,现在无法播放系统中的媒体文件。请问如何才能将其找回?
A媒体播放器属于系统自带的组件,可以直接按下面的方法修复:打开控制面板中的“添加或删除程序”,单击“打开或关闭Windwos功能”,在列表中找到“媒体功能Windows Media Player”并将其选中,最后执行修复安装一遍即可解决问题(见图1)。
傻博士有话说:
系统中有很多组件是默认安装的,像媒体播放器、浏览器等,而还有很多组件并没有默认安装,例如很多朋友在Windows XP系统中玩的游戏,在Windows 7系统中就找不到了,这是由于系统默认没有安装而致。只要按上面的方法打开“添加或删除程序”的“打开或关闭Widnwos功能”列表,找到需要的系统组件或是游戏程序进行安装即可。
打开PPT报错
Q使用的是PowerPoint 2003,之前一切正常,最近不知道为什么打开PPT文件总是报错,提示:PowerPoint无法显示文件中某些幻灯片上的文字、图像或对象……请问这是什么原因?
A这是由于你更新了微软的一个新补丁程序“kb2464588”而导致的,只要在控制面板中的“添加或删除程序”列表中找到这个补丁程序将其卸载,重新启动系统即可恢复正常了。
Potplayer关联文件无法打开
Q安装了Potplayer播放器,所有与Potplayer关联的文件无法直接打开,只有先打开播放器,然后再将媒体文件拖放到播放窗口才能打开。请问这该如何解决?
A这是Potplayer播放器自身的小缺陷造成的,遇到这种情况后,可新建一个记事本文档,输入以下内容:Regsvr32 /s %CD%\DPShell.dll,最后将该记事本文件另存为扩展名为“*.bat”的批处理文件,最后只要执行此批处理文件即可解决问题。注意:直接运行上面的注册命令是无法成功的,可试着以管理员身份运行命令提示符,然后再执行该注册命令;或者如上面的方法所示,将命令写入批处理文件后,再以管理员身份运行该批处理。
光影魔术手在Windows 7下不好用
Q自从升级到Windows 7系统后,即便重新安装最新版的光影魔术手也有很多功能不好用,打开后就弹出框框。请问这该如何解决?
A只要使用XP兼容模式启动后应该就没有问题了:右击光影启动快捷图标,选择“属性兼容性”,选中“以兼容模式运行这个程序”,然后在列表中选择“Windows XP”项,启动即可。
QQ无法运行
Q不管是安装QQ2010还是QQ2011,之后总是提示:由于应用程序配置不正确,应用程序未能启动。重新安装应用程序可能会纠正这个问题。但重新安装好几遍均不能解决。请问这该如何解决?
A出现这个问题,一般都是由于系统中缺少动态运行库所致,只要将“静默运行库”安装到系统中,重新启动一次系统后就应该能正常使用QQ了。
禁用页面文件造成小红伞无法升级
Q之前为了测试一个文件将系统页面文件禁用了一次,之后重新启用,但发现小红伞无法升级,提示:没有定制计划,在升级计划列表中也显示空白。请问这该如何解决?
A先在小红伞的设置中关闭文件和注册表自我保护,接下来直接打开注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Avira],接下来根据系统版本进行相应的操作:
Windows XP系统:
将“AppDataDirectory”的值修改为“c:\Documents and Settings\Application Data\All Users\\Avira\AntiVir Desktop\”。
Windows 7系统:
将“AppDataDirectory”的值修改为“C:\ProgramData\Avira\AntiVir Desktop\”。
其中:“C”盘符根据操作系统所在盘符而更定。
最后重新启动系统应该恢复正常了。
IE主页总被改成瑞星首页
Q自从安装了瑞星杀毒软件后,IE浏览器首页总被修改成“”,即便手工修改成其他地址,也总是被改回。请问这该如何解决?
A先到/6k7e29c下载Wsyscheck这款小工具,运行后在进程管理中结束“Rstray.exe”进程,接下来打开注册表编辑器并定位到[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN],修改“START PAGE”的值为自己的网址,然后选择“MAIN”的右键菜单内的“权限”,禁止当前系统账户对其修改即可。
傻博士有话说:
许多人都碰到过浏览器首页被莫名其妙修改的情况,而且这些修改IE首页的程序还会动用一些手法防止用户自行修改首页,或者即便修改后,在重新启动系统时又会自动变回。出现这类情况时,最简单的方法就是借助一些IE修复工具来解决。另外,在一些常用的安全软件内,也会内置IE首页锁定功能,以用来避免首页被修改。
115网盘过期文件无法下载
Q在115网盘搜索到一个比较重要的文件,但由于过期无法下载。请问这类过期的文件有没有下载的方法?
A出现这种情况,你可以试试/popok/提供的“115解析工具”,运行后直接打开“免SHA1复制”功能项,将提取码输入进行“强制复制”,这样可以复制到自己的网盘中,最后再进行下载即可(见图1)。
浏览网页总变成下载页面
Q我使用的是Chrome浏览器,在浏览一些网页时,点击一个页面链接,Chrome并没有正常打开这个页面,而是自动将该页面下载到本地。请问这是什么原因?
A首先考虑是不是你使用的ISP服务商推出的嵌入式广告,可以使用记事本程序打开下载的这个页面文件,如果看到其中有诸如“”类ISP服务商的域名信息,这都是ISP服务商推出的广告页面。出现这类情况后,可以拨打ISP投诉电话,通常可以在短时间内避免类似广告的推送。
保存网页却不能保存图片
Q我想将论坛中的一个帖子所在的页面保存下来,但是保存后的文件中没有图片,图片所在位置显示红叉叉。请问这是怎么回事?
A对于论坛页面要保存,请先确保登录到论坛(有些论坛限制图片、附件等不允许游客下载)。其次,在保存页面时,请选择浏览器中的“文件另存为”,在打开的保存窗口中将“保存类型”设置为“Web档案,单个文件(*.mht)”(见图2),这样便可将整个网页按原来的版面保存下来,包括图片及其他页面元素。
无法安装Flash插件
Q电脑突然无法看Flash,系统提示升级,我将之前的旧版本卸载了,从网上下载,发现连官方下载的安装版本都无法安装,提示非正式版。请问这该如何解决?
A尝试通过下面的方法来解决:打开IE浏览器,单击菜单“工具Internet选项”,在“隐私”选项卡中将安全级别设置成中或低,再进行安装。如果IE浏览器设置的安全级别过高,在安装这类插件程序时就会遭到拒绝而无法安装。
IE无法正常显示新浪股票页面
Q将IE由IE6升级到IE8,打开新浪网上的股票页面时总显示红色叉叉,下载最新版Flash、使用兼容性视图均不行。请问这该如何解决?
>> 玩转网页资源搞定Flas 玩转网页资源之认识网页与链接 玩转网页资源音视频的保存 玩转网上租房 玩转网络公关 玩转网络存储 沪江:玩转网络教学 玩转网络谐音词 玩转网络播放盒 突破封锁 玩转网络 红云红河玩转网络营销 足不出户 玩转网购 什么值得买 玩转网购平台 如何玩转网上买水果 “土老帽”玩转网络 朱骏玩转网络游戏 iSee玩转网络相册 玩转网络防护:详解瑞星防火墙功能 玩转网球班的体能训练法 一双好鞋 让你玩转网 常见问题解答 当前所在位置:。
细心的朋友可能早已看出其中的门道,这些加密手段虽说不完全一样,但是其工作原理都是一样一样的啊。那么这种加密方法真的安全吗?未必如此吧,因为这种加密方法采用统一的编码方法,既然都是统一的,那也就谈不上什么加密了,但是用它们来糊弄一些外行人还是有一定作用的。既然已经知道了不安全,那一定有好的破解办法,下面我们就来谈谈加密网页的破解方法。归结起来,破解加密网页的方法大体上有这么几种:
(1)全部保存(NC不适用)
利用IE的"文件""另存为"把本页保存选择"Web页,全部(*.htm;*.html)"。你会发现在存档的目录下有一个和页面同名的子目录,里面包含了所有作用于该页面,而目标不在本页的图片和脚本文件,及Frames页源码。如果你看中了某个网页,但是苦于看不懂加密后的源代码,那就不如来个网页GHOST,管他三七二十一,先拿下再说。
(2)清空缓存(NETSCAPE,IE通用)
此法适用于使用脚本加密的网页,把windows\Temporary Internet Files或Edit\Preferences\advanced\cache\disk cache folder
的内容清空。然后浏览网站,源码、Frames页、脚本就在Tem-porary Internet Files和disk cache folder中。但在NETSCAPE中,所有脚本都改了名,辨认比较麻烦。(看多个网站,需多次清空和拷出源码保存)
( 3)关掉JavaScript(限于NETSCAPE)
在NC中把advanced\Enable JavaScript屏蔽,可避免运行JavaScript,但对乱码和脚本无能为力,脚本可是特殊效果的关键哦!
(4)关掉Java(NETSCAPE,IE通用)
由于目前常用JavaScript的简单加密,关掉IE和NC的Java并不能屏蔽JavaScript,无实用价值。除非是用Java加密。
总结上面的方法,我看还是用全部保存比较好,只存一次盘。一会就存例如几十个网页,多点不要紧留着日后,慢慢研究吧!
说了半天,其实网页上也有直接可以进行网页解密的方法。比如:/jiemi/jiemi1.asp,刚才加密后的源代码,都可以在这里进行解密,速度很快(如图7)。
还有一种加密的方法就是干脆不让浏览者接触网页的源代码,于是就诞生了下面这段小程序:
document.onmousedown=click
function click() {
if ( event.button==2) {alert('不准查看源文件') }
if ( event.button==3) {alert('不准查看源文件') }
}
//-->
此法对IE有特效,但在NC中右键定义为无法控制的帮助菜单,所以NC中event对象无button属性,在NC中右键选View Source可查看源码。
论文摘要:网络上的动态网站以asp为多数,我们学校的网站也是asp的。笔者作为学校网站的制作和维护人员,与asp攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就asp网站设计常见安全漏洞及其防范进行一些探讨。本文结合 asp 动态网站开发经验,对asp 程序设计存在的信息安全隐患进行分析,讨论了asp 程序常见的安全漏洞,从程序设计角度对 web信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,cncert/cc接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从cncert/cc掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(ddos)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2 用iis+asp建网站的安全性分析
微软推出的iis+asp的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、bbs、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 asp 程序设计角度对 web 信息安全及防范进行分析讨论。
3 sp安全漏洞和防范
3.1 程序设计与脚本信息泄漏隐患
bak 文件。攻击原理:在有些编辑asp程序的工具中,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以bak为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在asp的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对asp页面进行加密。为有效地防止asp源代码泄露,可以对asp页面进行加密。我们曾采用两种方法对asp页面进行加密。一是使用组件技术将编程逻辑封装入 dll之中;二是使用微软的script encoder对asp页面进行加密。
3.3 程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览web,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的 url 路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
sql 注入。sql注入是从正常的/">论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止asp、asa、cer等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在iis+asp网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载 。由于access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高asp+access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用odbc数据源。在asp程序设计中,如果有条件,应尽量使用odbc数据源,不要把数据库名写在程序中,否则,数据库名将随asp源代码的失密而一同失密。
使用密码加密。经过md5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5 sp木马
由于asp它本身是服务器提供的一项服务功能,所以这种asp脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:ftp客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些ftp客户端软件(例如cuteftp,flashfxp)提供的文件对比功能,通过对比ftp的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用beyond compare 2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。 beyond compare 2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了asp木马防范的十大原则供大家参考:
建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳 田晓芳 李桂宝《asp程序设计与 web信息安全》 中国教育信息化2007年21期.
政府部门门户网站建设是根据国家对政府信息公开的相关政策要求,实现部门政务信息公开的优先手段和必然选择。论文详细描述了一个基于asp技术和access数据库系统网页的实现过程。网页设计及制作主要围绕政务公开、在线办事和网上交流三大功能进行,前台信息共设置领导讲话、政务公开、工作动态、政策法规等十大功能模块。后台管理采用client/server和browser/server相结合的技术方式,将超文本标记语言(html)和简单的jscript语言相融合开发,使用session对象进行web页之间的数据传递,并跟踪用户登陆,实现了不同权限用户对新闻信息的计算机网络管理和web查询功能。网页新闻访问采用主页+标题面+子页面三级模式,主页面提供了本网页的一个宏观样式,并让各模块与之配合联系,构成一个完整的网页系统。
【关键词】
政府网站
网页制作
asp 技术
access 数据库
【英文对照】
abstract
the portal website of government departments is the best candidate and inevitable choice for government affairs opening. its construction is based on the related policies and regulations on government affairs opening which are enforced by the state. this paper presents the construction of one portal webpage based on asp and access database. the design and implementation of webpage mainly consists of three parts: government affair opening, online government office, and online communication. the front-end consists of ten major modules, including leader's speech, government affair opening, government dynamics, policies and regulations etc. the backend is a hybrid of c/s and b/s technologies, html and jscript are combined together and session object is used for inter-page data communication and traced the status of user logon, web based lookup and remote administration of webpage are implemented and access control to user of different privileges is achieved. the access to webpage news adapts a three-tier scheme which includes main page, title page and sub-page, the main page provides the overall look-and-feel and orchestrate all the modules so to form a complete webpage.
【keyword】
government website
webpage making
asp
access database
【目 录】
前言 2
正文 3
第 一 章 概 述 3
1.1 网页制作背景 3
1.2 网页制作的意义 3
1.3 开发工具简介 4
第 二 章 可行性分析 5
2.1 b/s结构介绍 5
2.2 access 数据库 5
2.3 asp 技术 5
第 三 章 网页需求分析 7
3.1 总体功能需求分析 7
3.1.1. 基本功能需求 7
3.1.2. 功能结构图 7
3.2 网页具体功能模块需求分析 8
3.2.1. 政务公开功能 8
3.2.2. 网站办事功能 8
3.2.3. 网上交流功能 8
3.3 网页结构图 9
3.4 网页版面规划 10
3.5 网站ci形象设计 10
3.6 网页布局技术 11
第 四 章 数据库设计 12
4.1 数据库概念结构设计 12
4.2 数据库逻辑结构设计 14
第 五 章 人机界面设计 17
5.1 后台登录界面设计 17
5.2 用户管理页面设计 18
5.3 信息检索页面设计 18
5.4 后台管理页面设计 19
第 六 章 系统程序设计 20
6.1 程序设计语言 20
6.2 部份源程序实现及文件 20
第 七 章 网页测试 30
7.1 测试网站的建立 30
7.1.1. 测试网站环境 30
7.1.2. web服务器iis5.1简介 30
7.1.3. 网页测试 30
7.2 网页及网站维护 31
第 八 章 结论 32
参考文献 33
致 谢 34
【前言】
在我国,继党的十六大提出推行电子政务、提高行政效率之后,十六届三中全会进一步强调要发展电子政务,提高政府的服务和管理水平。政府网站作为电子政务建设的龙头是完善政府公共服务接入渠道的主要手段,它实现了按照用户对象进行信息资源的整合,提供覆盖用户全生命周期的各种信息和服务。同时,网页信息传播的即时性和全面性确保了政府大量重要信息的广泛共享,优化了社会资源配置,让政务信息更便捷、更低成本地进行传递。通过访问政府网页,企业和社会公众可以24小时不间断地,不受任何空间界限影响地与政府进行信息交互,在促进政务公开,改进公共服务,提高行政效能,确保公众知情权、参与权和监督权等方面有着显著成效。
政府网站建设的含义就是利用internet/intranet等计算机通信技术,在internet上建立正式站点,通过网络实现政府在政治、经济、社会、生活等诸多领域中的管理和服务职能,推动政府办公自动化与网上便民服务,是政府和社会互动的重要窗口。论文就巴中市网页的设计和制作作了详细描述,网页主要功能模块设置紧紧围绕部门职能职责,密切结合公众需求,实现了预期设计目标,网页经本地局域网测试运行正常。
【正文】
网页制作
第 一 章 概 述
1.1 网页制作背景
在当前这个网络时代,电子政务是各国政府倡导和推动网络化的5个重要应用领域中的首要。美国早在克林顿政府时期就开始积极倡导和推动电子政务和电子政府的建设。英国于2005年将所有的政府服务实现上网。新加坡更是从1981年就开始发展电子政务,目前其电子政务的发达程度已备受世人瞩目。在我国,政府信息门户网站作为展示政府整体形象的窗口和联系群众、服务群众的桥梁正日益得到各级政府的重视。如今,全国各地的电子政务建设已进入实质阶段,全国257个地市级城市中已经有90%的城市建立了自己的政府网站。在应用上,电子政务建设已经从网络基础建设向功能应用层面和社会服务层面转变。随着我国信息化进程的深入推进,将极大地调动整个社会活力,推动中国社会的飞速发展,并对中国未来的发展产生巨大的影响。
1.2 网页制作的意义
首先,政府网站关系到政府的服务形象,关系到百姓的切身利益。政府部门通过制作网页建立网站,是电子政务的最佳切入点和重要内容,政府网页的发展水平是衡量一个地区电子政务进程的标志。在政府网页上,政务信息公开程度,有关为民服务栏目健全情况,信息反馈情况,在线办公与网上受理情况等关系到政府的服务形象,关系到百姓的切身利益。其次,政府网页制作有利于政府各类信息的充分共享,有利于政府决策水平的不断提高。通过网页的各类平台迅速直接地获取公众的反馈信息,准确掌握外部环境,大幅提高了正确决策与快速反应的能力。随着政府各类信息的公开化,政民互动不断加强,政府将在公众面前展现出高效、透明的良好形象,这有利于提高社会凝聚力,对于维护社会稳定、促进社会发展具有重要意义。
1.3 开发工具简介
在众多的网页设计与制作工具软件中,我根据实际需求及对软件的熟悉程度,主要选取了photoshop cs3、fireworks 8.0、flash mx 2004、macromedia dreamweaver8进行网页的开发和制作,这些软件的主要特点分述如下。
网页图像设计工具——photoshop cs3、fireworks 8.0
在网页制作过程中,首先要使用photoshop或fireworks 设计网页和整体效果图、处理网页中的图像、背景图及网页的图标、按钮等。photoshop是平面图像处理业界霸主adobe公司推出的跨越pc和mac两界首屈一指的大型图像处理软件.它功能强大,操作界面友好,得到了广大第三方开发厂家的支持,从而也赢得了众多的用户的青睐。fireworks是adobe公司推出的著名平面图像设计和图像处理软件,它具有强大的图像处理功能和操作易用性,受到广大平面图形设计人员及专业广告设计师的青睐。它涉及图像合成、色彩校正、图层调板、通道使用、动作调板、路径工具、滤镜等图像处理功能。可制作如按钮制作、文字特效、材质纹理、三维物体、影像特效及广告创意设计等多种用途。
动画制作工具——flash mx 2004
flash mx 2004是macromedia公司的一个的网页交互动画制作工具。用flash制作出来的动化是矢量的,不管怎样放大、缩小,它还是清晰可见。 用flash制作的文件很小,这样便于在互联网上传输,它还采用了数据流技术,只要下载一部分,就能欣赏动画,而且能一边播放一边传输数据。 交互性更是flash动画的迷人之处,可以通过点击按钮、选择菜单来控制动画的播放,这些优点使flash日益成为网络多媒体的主流。
网页排版工具—— macromedia dreamweaver 8
macromedia dreamweaver 8是由macromedia公司推出的,用于网页开发和网站管理的专业化设计工具。它采用了多种新技术,具有设计和开发网站过程中需要的网站管理、网站设计、页面制作、多媒体制作和动画制作等丰富实用的功能;它具有友好的操作界面,在文档窗口中可以打开各种浮动面板,同时还可以使用系统内置的多种对象进行操作。它将可视布局工具、应用程序开发功能和代码编辑支持组合在一起,其功能强大,使得各个层次的开发人员和设计人员都能够快速创建界面吸引人的基于标准的网站和应用程序。开发人员可以使用 dreamweaver 及所选择的服务器技术来创建功能强大的 internet 应用程序,从而使用户能连接到数据库、web 服务。
第 二 章 可行性分析
2.1 b/s结构介绍
b/s(browser/server,简称b/s)结构,即浏览器/服务器模式,它是web兴起后的一种网络结构模式,从传统的二层c/s结构发展而来,通常采用三层结构:浏览器-web服务器-数据库服务器,web浏览器是客户端最主要的应用软件,浏览器通过web server 同数据库进行数据交互。
在b/s体系结构系统中,用户通过浏览器向分布在网络上的许多服务器发出请求,服务器对浏览器的请求进行处理,将用户所需信息返回到浏览器。而其余如数据请求、加工、结果返回以及动态网页生成、对数据库的访问和应用程序的执行等工作全部由web server完成,这样大大简化了客户端,减轻了系统维护与升级的成本和工作量,降低了用户的总体拥有成本(tco)。
该结构的缺点是存在数据安全性问题、对服务器要求过高、数据传输速度慢、软件的个性化特点明显降低,难以实现传统模式下的特殊功能要求。
2.2 access 数据库
access是微软公司推出的基于windows的桌面关系数据库管理系统(rdbms),是office系列应用软件之一。它提供了表、查询、窗体、报表、页、宏、模块7种用来建立数据库系统的对象;提供了多种向导、生成器、模板,把数据存储、数据查询、界面设计、报表生成等操作规范化;为建立功能完善的数据库管理系统提供了方便,也使得普通用户不必编写代码,就可以完成大部分数据管理的任务。由于access数据库的odbc驱动程序支持的sql指令全,执行效率高,所以access后台数据库+asp服务器端程序+客户端ie浏览器,是一个精练、实用、高效的组合模式。
2.3 asp 技术
asp是active server page的缩写,意为“动态服务器页面”。asp是微软公司开发的代替cgi脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具。asp的网页文件的格式是.asp,现在常用于各种动态网站中。asp是一种服务器端脚本编写环境,可以用来创建和运行动态网页或web应用程序。asp网页可以包含html标记、普通文本、脚本命令以及com组件等。利用asp可以向网页中添加交互式内容(如在线表单),也可以创建使用html网页作为用户界面的web应用程序。与html相比,asp网页具有实现动态网页技术;包含在html代码所组成的文件中,易于修改和测试;可以使用服务器端activex组件来执行各种各样的任务;方便连接access与sql数据库等多种优点,其主要缺点是开发人员要有丰富的经验,否则会留出漏洞,让黑客利用进行注入攻击。安装asp时,系统提供了两种脚本语言:vbscript和jscript,而vbscript则被作为系统默认的脚本语言。
第 三 章 网页需求分析
3.1 总体功能需求分析
网页功能分析就是以系统的观点,对已选定的对象与开发范围进行有目的、有步骤的实际调查和科学分析。分析的目的就是要弄清楚网页要做什么,最终为后面的设计工作打下基础。
该网页作为电子政务的一种服务平台,政务公开、在线办事、网上交流是其基本的三大功能。
3.1.1. 基本功能需求
政务公开功能
根据2008年5月1日起施行的政府信息公开条例规定,行政机关应当将主动公开的政府信息,通过政府公报、政府网站、新闻会以及报刊、广播、电视等便于公众知晓的方式公开,确保公众享有充分的知情权、监督权。
网站办事功能
网上办公办事是网页功能服务中非常重要的组成部分,是电子政务建设努力的方向。通过提供一些行政审批等项目的在线办理极大地方便了群众,减少了不必要的人为环节,节省了社会资源。
网上交流功能
通过搭建政民交流平台,让公众不但能够将自己的建议与意见直接反映给部门领导,实现普通群众参政、议政的夙愿,而且使领导能够通过这一平台,倾听民声、关注民情、体察民意,进而为群众办理更多的实事、好事、贴心事。
3.1.2. 功能结构图
3.2 网页具体功能模块需求分析
根据总体功能需求分析,该部门网页确定政务公开、工作动态、领导讲话等八大功能模块,具体组成分别如下。
3.2.1. 政务公开功能
领导讲话模块
功能:即时领导关于三农工作的各种会议、现场讲话。
作用:传达精神,贯彻意图。
政务公开模块
政务公开模块包含七个子模块:机构职能、领导介绍、内设科室、农口系统、人事信息、规划计划、财政信息。模块根据国家信息公开条例等法规政策要求,针对该政府部门必须公开的七个方面进行设置。
工作动态模块
工作动态模块,包含六个子模块:综合信息、新村建设、农业产业化、劳务开发、农田建设、移民工作。功能根据该政府部门各科室(办)所承担的职能职责进行设计,实现了各责任条块当前工作信息的即时公开。
政策法规模块
模块设置农业法规、政策文件两个子模块,提供近年来国家关于三农工作各种重要法规、政策的浏览和下载,同时对本区、部门关于三农工作制定的各种政策文件进行了公开,使法规政策透明化,接受公众监督。
专题专栏模块
模块包含科学发展观、调研文章、企业推介、农业前沿四个子模块。科学发展观子模块紧扣时代所需,调研文章子模块是在互联网上开辟的一个崭新的调研舞台,企业推介子模块为本地龙头企业的宣传、推广提供了一个新平台。农业前沿子模块放眼全球,宣传、推介农业领域的最新技术、最新品种。
3.2.2. 网站办事功能
网上办事模块
模块设置便民服务、服务流程、资料下载、统计报表四个子模块,将该部门能够进行网上办理的相关行政审批事项予以了公开,方便了群众,提高了办事效率,提升了部门形象。
3.2.3. 网上交流功能
在线交流模块
模块设置三农论坛、领导信箱、咨询留言、网上投诉、网上调查五个子模块。三农论坛子模块为公众之间相互交流提供了平台。领导信箱、在线咨询等四个子模块,为政府部门决策即时提供了群众的意见及建议。
联系我们模块
该模块主要功能:收集网站的反馈信息。
3.3 网页结构图
3.4 网页版面规划
全部网页采用1024×768分辨率制成,网页访问采用首页、导航页和新闻页三级页面形式。
首页
首页使用的是国字型结构布局。 国字型结构布局是一些大型网站所喜欢的类型,即最上面是网站的标题+主菜单,下半部分分为3个区域,左右分列一些两小条内容,中间是主题内容,与左右一起罗列到底,最下面是网站的一些基本信息,联系方式,版权声明等。这种布局的优点是能够充分利用版面,信息量大;缺点是页面拥挤,不够灵活。
导航页
采用拐角型布局,优点是页面结构清晰,主次分明,缺点是规矩呆板,容易让人“看之无味。
新闻页
使用标题正文型:这种类型即最上面是标题或类似的一些东西,下面是正文;本站子页大部分是这个结构。
页头
本站页头以900×150的农村风景图为底,左置“巴中市”六字及名称英文“”office of rural affairs,bazhou district,bazhong city,右边放置宣传语(flash动画)一起构成。
页脚
本站页脚如下:
3.5 网站ci形象设计
主色调与色彩
网站采用代表了春天、希望、田野的“绿色”为主色调,与部门的农业、农村、农民三农工作性质相吻合。
字体
导航栏字体为“黑体”,14px;网站主栏目字体为“宋体”,14 px;正文字体为“宋体”,9 px;
交互方式
网站设置了专门的在线交流模块,提供了论坛、网上投诉、咨询留言、网上调查等多种交互方式。
3.6 网页布局技术
网页使用表格方式布局,同时用css进行样式控制。表格布局的优势在于它能对不同对象加以处理,而又不用担心不同对象之间的影响。表格布局的缺点是,当我们用了过多表格时,页面下载速度受到影响。css层叠样式表是w3c组织新近批准的一个辅助html设计的新特性,它使整个html保持统一的外观。过去在设置文本时,为了保持整个段落都使用相同的外观,不得不为每一段设置属性,很麻烦。采用css可以在设置文本之前,就指定整个文本的属性,比如颜色、字体大小等等,获得统一的文本外观。
第 四 章 数据库设计
数据库在一个网页系统中占有非常重要的地位,数据库的结构好坏将直接影响到应用系统的实现效果和数据操作效率以及能否保证数据的一致性、完整性和安全性。
4.1 数据库概念结构设计
数据库概念设计的任务是根据用户需求设计数据的概念数据模型,简称概念模型。概念模型是按用户的观点对数据和信息进行建模,是从用户的角度看到的数据库,它可以用e-r模型来表示。构成e-r图的基本要素是实体型、属性和关系,其表示方法为:实体型:用矩形表示,矩形框内写明实体名;属性:用椭圆形表示,并用无向边将其与相应的实体连接起来;关系:用菱形表示,菱形框内写明关系名,并用无向边分别将有关实体连接起来,同时在无向边旁标上联系的类型。
根据前面的需求分析,可以得到本网页数据库系统的e-r图,如图4-1所示。
上述e-r图的关系说明如下:管理员可以对所有网上调查、新闻信息、投诉留言、论坛发贴等实体进行增删编辑,它们都是1:n的关系。一个管理员可以对论坛所有注册用户进行监管,一个超级管理员可以对多个后台管理普通用户进行监管,它们的关系也都是1:n。
各实体属性的e-r图如下:
4.2 数据库逻辑结构设计
通过分析系统涉及的相关实体以及要收集、存储和操纵的数据信息,本网页数据库共设置了新闻信息表(news)等6个表,分述如下。
新闻信息表:用于存储新闻及政务信息。
表4-1 新闻信息表(news)
三农论坛表:用于存储论坛发帖。
表4-2 三农论坛表(bbs)
投诉留言表:用于存储群众来信、投诉、咨询及回复。
表4-3 投诉留言表(message)
论坛注册用户表:用于存储三农论坛注册用户信息。
表4-4 论坛注册用户表(user)
后台管理员表:用于存储管理员姓名、密码、权限。
表4-5 后台管理员表(manageuser)
网上调查表:用于存储网站调查项及投票。
表4-6 网上调查表(onlinesurvey)
第 五 章 人机界面设计
5.1 后台登录界面设计
设计思想:登录页面主要实现用户的登录。通过用户名、密码、随机密码、ip、sessionid的组合验证实现未登陆用户的正常登陆和已登陆用户中同一用户名允许在同一ip上重复登陆,拒绝同一用户名在不同ip上重复登陆。
图5-1 登录流程图
图5-2 管理员登录界面
5.2 用户管理页面设计
设计思想:登录页面主要实现用户的登录,用户有超级管理员、普通管理员。超级管理员可以对其进行任何的操作,包括对普通管理员的增删、密码修改。一般用户只可以做权限之内的操作和只能对自身的信息作修改。
图5-3 用户管理流程图
图5-4 用户管理界面
5.3 信息检索页面设计
设计思想:根据输入的关键字实现单字段或多字段组合查询。
图5-5 信息检索流程图
5.4 后台管理页面设计
网站后台管理系统提供了添加新闻内容、管理全部新闻、领导信箱管理、在线咨询管理、公众留言管理、网上投诉管理、网上调查管理、信息中心管理、超级管理选项、文件上传十个功能选择项,可以完成新闻信息的在线编辑、咨询留言的在线回复、网上调查项的增减等管理任务。
图5-7 后台功能结构图
第 六 章 系统程序设计
前面着重讨论了系统功能模块的设计,详细分析了每一个模块的功能,本章将就系统中模块功能的具体实现,选取部分源程序进行讨论。
6.1 程序设计语言
网站主要采用asp作为程序设计代码的开发工具。使用asp作为开发工具可以方便地建立动态的、高性能的、安全的、跨平台的先进动态网站,其突出特点有以下几个:
asp可以将内容的生成和显示进行分离
web页面开发者可以用html或xml 标识进行对最终页面的设计,同时使用asp tag 或java script 来生成页面上的动态内容,因为所有的脚本都在服务器端运行, 所以, 如果核心逻辑部分被封装在标识中, 那么web管理人员或页面设计者将只能编辑asp页面的显示方式, 而不会影响其内容的实质。
对不同浏览器的兼容
由于asp技术采用了将asp tag 和java script 在服务器端解释并执行而只将结果以html或xml的形式送回到客户端的方法, 从而保证了对其它基于html的web浏览器的完全兼容。
6.2 部份源程序实现及文件
数据库访问技术
网页在采用微软iis/pws的网络平台,通过服务器端运行的asp程序来访问后台access数据库。数据库访问采用匿名身份验证方式,使用户无需输入用户名或密码便可以对数据库进行访问。匿名身份验证是指由 iis创建iusr、计算机名称、帐户(计算机名称是正在运行iis 的服务器名称),当匿名用户请求数据库内容时iis 会将该连接分配给 iuser_computername 帐户,其中computername。默认情况下,iuser_computername 帐户为 guests 组的成员。此组具有 ntfs 文件系统权限所规定的安全限制,这些限制指定访问级别以及可提供给公共用户的内容的类型。建立access数据库连接的步骤及参数意义如下:
第一行程序:建立一个ado对象集中的connection对象,也即连接对象。这是建立数据库连接的初始步骤。执行这行程序后,conn成为一个连接对象。
第二行程序:建立一个ado对象集中的recordset对象,以便利用recordset对象操作数据库(当然,这只是对数据库操作的多种方式之一)。执行这行后,rs就成为一个recordset对象。
第三行程序:利用连接对象conn的open方法打开一个指定的数据库。首先利用server对象的mappath函数,取得要打开数据库的完整的文件路径,并存储在变量dbq中。其次,因为我们要打开的是access数据库,所以要指定odbc驱动程序参数,表示要透过access的odbc驱动程序来访问数据库。到这里,就已经打开了数据库名指定的数据库。
第四行程序: sql指令串。
第五行程序:利用rs对象的open方法打开数据库中的数据表。这其中有四个参数,其意义如下:
数据表名或sql指令串:在这个参数里指定要打开的数据库内的数据表名称,或者是用sql的select指令串确定的数据表的指定范围数据
connection对象:指定已经打开的数据库的connection对象。
recordset类型:表示打开数据表的方式,有四种选择。数字0表示只读方式,且当前记录只能下移;数字1表示可读写方式,当前记录可自由上下移动,但不能及时看到别的用户建立的新记录,除非重新启动;数字2表示可读写方式,当前记录可自由移动,而且可以及时看到别的用户增加的新记录;数字3表示只读方式,但当前记录可以自由移动。
锁定类型:这个参数指定数据库的锁定功能。因为网络上的数据库都是多用户的,很可能同时有多个用户在操作数据库。为了避免错误,让同一时间只可能有一个用户修改数据,就要用锁定功能。有四种选择:数字1表示只读方式锁定,用户不能更改数据;数字2表示悲观锁定,当一个用户用rs对象开始修改数据时就锁定数据库,直到用户用rs.update更新记录后,才解除锁定;数字3表示乐观锁定,只有在数据写入数据库中的时候才锁定。数字4表示批次乐观锁定,只有在使用rs.updatebatch成批更新数据时候才锁定数据记录。
身份验证
本网站身份验证采用服务器端验证代码方式,密码算法采用流行的md5算法,同时附加客户端随机密码验证。md5全称message-digest algorithm 5(信息-摘要算法),是由mit laboratory for computer science和rsa data security inc的ronald l. rivest在90年代初向ieft提交的一种不可逆运算加密算法,经md2、md3和md4发展而来,面向32位的电脑。登陆验证按一个ip可以有多个用户登陆,一个用户只能登陆一个ip的原则进行设计,具体代码及解释如下:
网上调查功能实现
图6-1 网上调查投票界面
图6-2 网上调查结果界面
网上调查实现代码
第 七 章 网页测试
7.1 测试网站的建立
7.1.1. 测试网站环境
网页测试使用本单位局域网进行,配置如下:
服务器端:操作系统—windows xp
web服务器—iis5.1
浏览器—ie6.0
客户端:internet explorer6.0
7.1.2. web服务器iis5.1简介
iis是internet information services的缩写,是目前使用最广泛的web服务器,可以在unix和windows平台上运行。它与windows nt server完全集成,允许使用windows nt server内置的安全性以及ntfs文件系统建立强大灵活的internet/intranet站点。iis组件主要包括web服务器、ftp服务器、nntp服务器和smtp服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面。
7.1.3. 网页测试
iis配置
当iis被成功安装后,将在计算机c:\inetpub\wwwroot下新建一个默认网站,通过修改默认网站配置可以建立自己的站点。如自己的网页放在d:\wy目录下,首页文件名为index.asp,其具体步骤如下:
第一步:在“默认web站点”上单击右键,选“属性”,以进入名为“默认web站点属性”设置界面。
第二步:转到“主目录”窗口,再在“本地路径”输入(或用“浏览”按钮选择)好自己网页所在的“d:\wy”目录。
第三步:转到“文档”窗口,再按“添加”按钮,根据提示在“默认文档名”后输入自己网页的首页文件名“index.asp”。
第四步:在“默认web站点”上单击右键,选“新建虚拟目录”,依次在“别名”处输入“test”,在“目录”处输入“d:\wy”后再按提示操作。
数据源(odbc)配置
第一步:选择控制面板中的管理工具打开数据源(odbc)。
第二步:在选项卡系统dns中添加microsoft access driver(*.mdb)驱动并指定数据源为网站的数据库文件。
测试
打开浏览器,直接在地址栏中输入:http://localhost/test/index.asp或者http://127.0.0.1/test/index.asp即可。
7.2 网页及网站维护
在测试完成后,网页就可以到互联网上了,接下来要做的就是网站的日常维护了。网站维护就是对服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间,制定相关维护规定,将网站维护制度化、规范化,主要包括以下内容:
即时更新新闻内容
留言、投诉、咨询、信箱定期回复
数据库内容定期备份、删减、分类
更正数据库使用过程中发现的问题
定期进行综合分析,不断优化数据库中数据结构,提高使用效率
在系统运行过程中应定期对管理员用户名和密码进行更新,并对iis和nt权限作相应设置
第 八 章 结论
本次利用毕业设计的机会,为自己工作的单位设计了网页。网页使用asp技术开发,具有良好的交互性能,具备强大的后台管理功能。新闻、信息检索、互动交流等主要模块设计做到了与单位职能职责的紧密结合,达到了预期设计目标。网页经单位局域网多次测试,在windowsxp操作系统,iis5.1的服务器环境上正常运行。
此次网页制作,通过大量阅读书籍和求助互联网,使我初步掌握了网页设计制作的一般过程、asp简单设计应用、css和表单布局常识、access数据库设计技能。特别是在asp编程阶段,通过无数次解决测试过程中排查出的问题,我不仅回顾和应用了以前学习过的理念知识,还掌握了许多新的知识和技巧,获益良多。但由于时间仓促,受一些技术和设备所限,网页在美工、需求分析、网页安全等方面存在诸多不足之处,有待后期运行中进一步改进和完善。
【参考文献】
1. 《dreamweaver cs3 入门 提高 精通》,薛凯,康亚雄编著,机械工业出版社 2008
2. 《photoshop cs3 平面设计标准教程》,李建宏,雷波编著,机械工业出版社 2008
3. 《asp网页数据库短训教程》,刘瑞新,汪远征编著,机械工业出版社 2005
4. 《flash cs3动画制作》,华信卓越编著,电子工业出版社 2008
5. 《网页设计三合一》,甘登岱编著,清华大学出版社 2009
6. 《网页设计与网站建》,邱云飞,温国峰编著,清华大学出版社 2009
7. 《access2007数据库应用与开发》,杨继萍,孙岩,梁文新编著,清华大学出版社 2008
8. 《网页制作从入门到精通》,谭贞军,刘斌编著,清华大学出版社 2008
9. /index.jsp(宁波农村经济综合信息网)
10. /(网页设计师联盟)
11. /(温州市委农办)
12. /(北京市农委)
Internet已渗透到了社会的各个领域,不仅影响着我们的学习和工作,在Internet的发展中,WWW的发明和迅速推广应用是一个重要的里程碑。网页设计作为一门新兴的技术,是介于平面设计、编程技术两者之间的一门学科,它还涉及到美学心理、平面构成、色彩搭配等平面设计方面的知识。只有综合运用多种知识,才能设计出视听特效、动静结合、人机交互的WEB页面。
电子商务网站是一个非常丰富和方便的系统,很多是过去无法想像的,随着今天的社会的发展以及科学技术的发展,现在都可以想像得到。由此可以想像到未来的网页设计,那时候网页设计的要求是什么呢?怎样才能适应电子商务的发展呢?我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。
二、电子商务网站的安全现状
电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全,必须保证以下四个方面的安全:运行系统的安全;
网络上系统信息的安全;网络上信息传播安全;网络上信息内容的安全。
以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。
1.客户端数据的完整性和有效性检查
(1)特殊字符的过滤
在W3C的WWWSecurityFAQ中关于CGI安全编程一节里列出了建议过滤的字符:&;“”\“|*?-<>^()[]{}\n\r,这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符。
①CGI和Script编程语言的问题
在几种国内常见的WEB编程语言中,ASP和ColdFusion脚本语言对特殊字符的过滤机制不够完善,例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密,如忽略或加上“\”(取消特殊字符含义)处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术,因此也可能存在安全问题。
②MicrosoftASP脚本
普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表(如果可以猜测出已存在的表名),清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己,或者执行系统命令。
③PHP和Perl
虽然提供了加上”\”(取消特殊字符含义)处理的手段,但是处理一些数据库时依然可以被改写。对于MySQL则没有问题,\’不会与前面的单引号封闭,而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。
另外,对于PHP或者Perl语言,很多程序对于数字类型的输入变量,没有加单引号予以保护,攻击者就有可能在这种变量中加入额外的SQL语句,来攻击数据库或者获得非法控制权限。
(2)数据库问题
不同的数据库对安全机制的不同认识和实现方法,使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释,改写被执行的SQL语句,从而非法获得访问权限。
2.大量数据查询导致拒绝服务
许多网站对用户输入内容的判断在前台,用JavaScript判断,如果用户绕过前台判断,就能对数据库进行全查询,如果数据库比较庞大,会耗费大量系统资源,如果同时进行大量的这种查询操作,就会有DenialofService(DoS——拒绝服务)同样的效果。
三、措施与解决方案
通过查阅一些资料,下面介绍一些网页制作中安全防范的方法,以供大家参考。
1.防范脚本攻击
(1)JS脚本和HTML脚本攻击的防范其实很简单,只要用server.HTMLEncode(Str)就可以了。当然全以<%=uid%>过滤,为了方便的过滤,只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了,如下代码所示:以下是过滤函数CHK()
<%
functionCHK(fqyString)
fqyString=replace(fqyString,“>”,“>”)
fqyString=replace(fqyString,“<”,”<“)
fqyString=replace(fqyString,“&#”,“&”)
fqyString=Replace(fqyString,CHR(32),“”)
fqyString=Replace(fqyString,CHR(9),“”)
fqyString=Replace(fqyString,CHR(34),“”“)
fqyString=Replace(fqyString,CHR(39),”‘“)
fqyString=Replace(fqyString,CHR(13),”“)
fqyString=Replace(fqyString,CHR(10)&CHR(10),”</P><P>“)
fqyString=Replace(fqyString,CHR(10),”
“)
CHK=fqyString
endfunction
%>
(2)很多站点在用户注册,或者是用户资料修改的页面上也缺少脚本的过滤,或者是只在其中之一进行过滤,注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码:
IfInstr(request(”username“),”=“)>0or
Instr(request(”username“),”%“)>0or
Instr(request(”username“),chr(32))>0or
Instr(request(”username“),”?“)>0or
……
Instr(request(”username“),”>“)>0or
Instr(request(”username“),”<“)>0or
Instr(request(”username“),”“”“)>0then
response.write”朋友,你的提交用户名含有非法字符,请更改,谢谢合作<ahref=’****:window.history.go(-1);‘>返回</a>“
response.end
endif
2.防范sqlinjeciton攻击
从最一般的.SQLInjection漏洞攻击来看,主要在用户名和密码上的过滤问题,提交:用户名为:‘or’‘=’用户密码为:‘or’‘=’从程序出发,数据库在执行以下操作Sql=“SELECT*FROMlUsersWHEREUsername=”or“=”andPassword=“or”=“”时,SQL服务器将返回lUsers表格中的所有记录,而ASP脚本将会因此而误认为攻击者的输入符lUsers表格中的第一条记录,从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername=Replace(Request.Form(“Username”),“‘’”,“‘’‘”)
strPassword=Replace(Request.Form(“Password”),“’‘”,“’‘’‘”)
3.防止ASP木马
防止ASP木马被上传到服务器的方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式和压缩文件就完全可以,因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式,如下面代码所示:
判断文件类型是否合格
PrivateFunctionCheckFileExt(fileEXT)
dimForumupload
Forumupload=”gif,jpg,bmp,jpeg“
Forumupload=split(Forumupload,”,“)
fori=0toubound(Forumupload)
iflcase(fileEXT)=lcase(trim(Forumupload(i)))then
CheckFileExt=true
exitFunction
else
CheckFileExt=false
endif
next
EndFunction
购物车(0)