网页安全论文范文

导语：如何才能写好一篇网页安全论文，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

2对网页设计常见安全漏洞的分析及相应的解决方案

2.4文件上传漏洞及解决方案同学录、交友网站等类似网站系统都有文件上传功能，企业通过网站文件上传可以进一步增进与用户间的交流互动，但网站开发者对用户所提交的信息缺乏充分的分析和必要的过滤，很多恶意攻击者会利用这一漏洞在网站上上传病毒文件、恶意文件等不良信息，这些有毒文件可能会对系统数据库造成不同程度的损坏，某些网站攻击者甚至以Web权限在系统上执行任意命令。通过加入文件类型判断模块可以有效解决文件上传漏洞，对用户上传文件进行充分的分析和必要的过滤。当系统要求用户上传图片文件，用户只能以系统指定的JPG、GIF文件格式才被允许上传，像*.PHP、*.ASP、*.JSP、*.EXE等格式的程序文件是不被允许上传的。

2.5源代码泄露漏洞及解决方案为有效避免源代码被窃取、遭泄露的威胁，开发者在网站设计过程中应该对页面代码进行加密处理，使网站的整体安全性能得到大幅度提高。ASP网页加密方法一般包括以下两种：通过采用微软的ScriptEncoder对ASP网站页面进行加密；通过采用组件技术将编程逻辑封装到DLL当中，防止信息的丢失。当采用组件技术方案时必须对每段代码均需组件化，该项方案的工作量较大、操作较为烦琐，与之相比ScriptEncoder加密方案具有成效佳、操作简单等显著优点，将其用于解决源代码泄露漏洞问题可以取得较好的效果，其优点主要有：HTML具有较好的可编辑性，系统其他部分无需变化，ScriptEncoder只加密在HTML页面中嵌入的ASP代码，通过采用Dreamweaver或FrontPage等常用网页编辑工具对HTML部分进行修改、完善；ScriptEncoder具有制作简单的优点，通过几个简单命令行参数即可完成多功能操作。

3总结

摘要:当前,在公众移动通信持续快速增长、移动通信网络向3G全面演进的同时,WLAN、UWB、Zig-Bee、RFID等新的宽带无线接入技术和短距离无线技术相继涌现,并不断走向成熟。无线网络逐渐深入到各规模的企业中,通过无线方式传输数据使得企业内部网业务更加灵活的开展,不再局限于网线与墙面的接插面板,而无线传输标准也在近日有了比较大的改进,但是无线网络或多或少存在着一定的安全隐患问题,对于企业已经建立的无线网络又该如何保证他的安全,让我们的企业网络更加安全。

关键词:无线;网络安全;解决策略

伴随着无线网络设备的价格不断走低,以及操作上的越来越简便,无线局域网网络在最近几年企业中得到了快速普及。为了方便进行资源共享、无线打印、移动办公操作,只要耗费几百元钱购买一台普通的无线路由器和一块无线网卡设备,就可以快速地搭建好一个简易的无线局域网网络了。在这种情形下由于无线网络的特点,使本地无线局域网就非常容易遭遇插入攻击、欺诈性接入、无线通信的劫持和监视等非法攻击。

1无线网络安全产生因素

1.1安全机制不太健全

企业无线局域网大部分都采用了安全防范性能一般的WEP协议,来对无线上网信号进行加密传输,而没有选用安全性能较高的WAP协议来保护无线信号的传输。普通上网用户即使采用了WEP加密协议、进行了WEP密钥设置,非法攻击者仍然能通过一些专业的攻击工具轻松破解加密信号,从而非常容易地截取客户上网地址、网络标识名称、无线频道信息、WEP密钥内容等信息,有了这些信息在手,非法攻击者就能方便地对本地无线局域网网络进行偷窃隐私或其他非法入侵操作了。

此外,企业无线局域网几乎都不支持系统日志管理、入侵安全检测等功能,可以这么说企业无线局域网目前的安全机制还不太健全。

1.2无法进行物理隔离

企业无线局域网从组建成功的那一刻,就直接暴露在外界,无线网络访问也无法进行任何有效的物理隔离,各种有意的、无意的非法攻击随时存在,那么无线局域网中的各种隐私信息也会随时被偷偷窃取、访问。

1.3用户安全意识不够

企业无线局域网往往只支持简单的地址绑定、地址过滤以及加密传输功能,这些基本安全功能在非法攻击者面前几乎没有多大防范作用。不过,一些不太熟悉无线网络知识的用户为了能够快速地实现移动办公、资源共享等目的,往往会毫不犹豫地选用组网成本低廉、管理维护操作简便的企业无线局域网,至于无线局域网的安全性能究竟如何,相信这些初级上网用户几乎不会进行任何考虑。再加上这些不太熟悉无线网络知识的初级用户,对网络安全知识了解得更少了,这些用户在使用无线网络的过程中很少有意识去进行一些安全设置操作。

1.4抗外界干扰能力差

无线局域网在工作的过程中,往往会选用一个特定的工作频段,在相同的工作频段内无线网络过多时,信号覆盖范围会互相重叠,这样会严重影响有效信号的强弱,最终可能会影响无线局域网的信号传输稳定性;此外,无线上网信号在传输过程中,特别容易受到墙体之类的建筑物的阻挡或干扰,这样也会对无线局域网的稳定性造成一定的影响。对于那些企业的无线局域网来说,它的抗外界干扰能力就更差了,显然这样的无线局域网是无法满足高质量网络访问应用要求的。

2企业无线解决策略。

无线网络的安全性与有线网络相差无几。在许多办公室中,入侵者可以轻易地访问并挂在有线网络上,并不会产生什么问题。远程攻击者可以通过后门获得对网络的访问权。一般的方案可能是一个端到端的加密,并对所有的资源采用独立的身份验证,这种资源不对公众开放。正因为无线网络为攻击者提供了许多进入并危害企业网络的机会,所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性。

防火墙:所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企业。

WPA、WPA2及IEEE802.11i持内置的高级加密和身份验证技术。WPA2和802.11都提供了对AES(高级加密标准)的支持,这项规范已为许多政府机构所采用。采用无线网络的企业应当充分利用这两种技术中的某一种。

漏洞扫描:许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息,如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞,如可以找出一些不安全的接入点等。

基于主机的漏洞。主机漏洞扫描则通过在主机本地的程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描,搜集他们的信息,然后与系统的漏洞库进行比较,如果满足匹配条件,则认为安全漏洞存在。比如,利用低版本的DNSBind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNSBind是否在运行。一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。

降低功率:使无线接入点保持封闭安全的第一步是正确放置天线,从而限制能够到达天线有效范围的信号量。天线的理想位置是目标覆盖区域的中心,并使泄露到墙外的信号尽可能的少。同时,仔细地调整天线的位置也可有助于防止信号落于非法用户手中。不过,完全控制无线信号是几乎不可能的,所以还需要同时采取其它一些措施来保证网络安全。其中降低发射器的功率,从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。

用户管理:企业要教育雇员正确使用无线设备,要求雇员报告其检测到或发现的任何不正常或可疑的活动。“科技以人为本”要加强所有雇员的安全防范意识,才能使企业无线网络安全防护真正实施。

当然,不能说这些保护方法是全面而深入的,因为无线网络的弱点是动态的,还有很多,如对无线路由器的安全配置也是一个很重要的方面。所以无线网络安全并不是一蹴而就的事情。

结束语:管理制度要与时俱进,而无线网络安全技术也是如此,为了企业能够更好的使用无线网络,享受新无线标准带来的高信号覆盖,高速度传输等方面的乐趣,企业网络管理员也应该实实在在的学会针对无线网络的安全管理,让企业网络特别是无线传输更加安全,将病毒与黑客入侵阻挡在无线信号大门之外。

参考文献

[1]《无线网络技术导论》作者:汪涛主编出版社:清华大学出版社

[2]《计算机网络与Internet教程[M]》.张尧学,王晓春,赵艳标,等.北京:清华大学出版社,2001.

在计算机网络迅猛发展和广泛普及的时代，企业的各种经营活动都立足于计算机网络平台，因此网络安全一旦受到威胁，企业将面临直接的经济损失，更有可能给社会和整个国家带来巨大的安全隐患。现阶段，我国的大中型企业随着业务的不断壮大，网络规模也不断扩充。有些企业各地都有分公司，在不同的区域都建有局域网，这样一个分布全国各地的庞大的网络体系就成为企业运行的技术保障。这种企业的网络安全更需要强有力的保障，否则一旦出现问题便有可能带来灾难性的后果。

1.1Internet的安全性

互联网是把双刃剑，在给企业带来极大便利的同时，也不可避免地给企业的运营带来了极大风险。因为黑客与病毒无孔不入，稍有疏漏，就可能使整个网络遭受攻击，并带来不可逆转的损害。因此，建立科学的网络体系，保障系统网络安全迫在眉睫。

1.2大中型企业内网的安全性

ERP、OA和CAD等生产和办公系统已经在企业中得到普遍性应用，随之而来的就是企业对这些系统的高依赖性。这样带来的另一个问题是内网面临的风险。内网运行稳定、可靠、可控才能保障日常生产和办公的进行，一定程度上，将内网信息网络比作企业的生命线也不为过。这个内网同时由大量终端设备，大中小型服务器，各种网络设备构成，这个其中每一个部分都要确保正常工作，否则一点小问题都有可能引发网络的停滞甚至瘫痪。但目前大中型企业的内网安全依然存在很多安全隐患，主要表现为以下几种情形：对外服务器缺少安全防护遭到黑客攻击；员工上网过程缺乏有效监管，一方面会造成网络安全隐患，另一方面也影响工作效率；此外还有一些内部的服务器被非法访问，造成企业信息的外泄。

2大中型石油企业信息网络安全威胁及安全体系构建

2.1大中型石油企业面临的信息网络安全威胁

2.2大中型石油企业网络安全体系的全方位构建

随着网络攻击的多元化，攻击方式也是五花八门。传统的只针对网络层面以下的安全对策已经不足以应对如今复杂的网络安全情况，企业必须要建立起多层次多元化的安全体系才能有效提升企业网络信息安全指数。大中型石油企业信息网络安全的五个重要组成：物理安全、链路安全、网络安全、系统安全、信息安全。

1）物理安全。物理安全是整个网络系统安全的前提，物理安全旨在为企业提供一个安全可靠的物理运行环境，这个更多指对企业相应硬件设施的安全防护，比如，企业服务器、数据介质、数据库等、

2）链路安全。链路安全指的是信息输送通道。数据传输过程中能够确保内容安全、可靠、可控、能有效抵御攻击。常见的几种数据链路层安全攻击有MAC地址扩散、ARP攻击与欺骗、DHCP服务器欺骗与DHCP地址耗尽、IP地址欺骗。

3）网络安全。这主要针对于系统信息方面。这个是涵盖范围相对广泛的一个方面。比如，用户口令鉴别，计算机病毒防治，用户存取权限控制，数据存取权限，数据加密等都属于网络安全范畴。

5）信息安全。这就要分信息的传播安全和信息的内容安全。很大程度上是对不良信息的有效过滤和拦截。侧重于对非法、有害信息可能造成的不良后果的有效遏止。信息内容角度更侧重于对信息保密性、真实和完整的保护，防止网络黑客对信息的截留、篡改和删除等手段来达到损害企业利益的行为，本质上是对企业利益和隐私的保护。

2.3大中型石油企业安全设计的基本原则

2）完整性：信息的输入和传输要确保完整，防止非法的篡改或者破坏，保证数据的稳定和一致。

4）可控性：信息能够在处理、传递、存储、输入、输出等环节中有可控能力。

3大中型石油企业网络信息安全风险漏洞的成因及一些防范措施

4结束语

（1）内网网络结构不健全。

（2）存在于网络信息化机构漏洞较多。

（3）职工安全防范意识不够。

想要保证我国网络信息的安全，就必须要提高供电企业员工的综合素质，目前国内供电企业职员的安全防范意识不强，水平参差不齐，多数为年轻职员，实际操作的能力较低，缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握，跟不上信息化更新状态，与新型网络技术相脱轨。

2网络信息安全管理在供电企业中的应用

3结语

关键词：广东高校；人文社会科学期刊；网站建设；现状;调查分析

计算机和网络技术的飞速发展，使期刊的组稿、投稿、审稿、编辑、出版传播及阅读方式与途径经历了重大的变革，期刊数字化、网络化成为纸质期刊生存发展的必然趋势。建立独立网站，通过大型期刊全文数据库(如中国知网、万方数字化期刊群、维普资讯网等)和中国科技论文在线实现全文上网，可以使纸质期刊通过互联网传播得更快、更远、更广，影响力更大，宣传效果更好。

据统计，广东高校现有20家人文社会科学期刊。为了解这些期刊的网站建设现状，笔者对这20家期刊的网站进行调查,重点考察网站建设的总体状况，网站提供有关期刊信息、稿件在线处理功能、期刊内容等方面的特点，并就建设和管理期刊网站提出了改进建议，以期为期刊的数字化、网络化建设提供参考。

一、调查对象与调查方法

调查时段为2012年4月期间。所调查的20家人文社会科学期刊为：《中山大学学报(社会科学版)》、《华南理工大学学报(社会科学版)》、《华南师范大学学报(社会科学版)》、《华南农业大学学报(社会科学版)》、《暨南学报(哲学社会科学版)》、《华文教学与研究》、《深圳大学学报(人文社会科学版)》、《现代外语》、《国际经贸探索》、《广东外语外贸大学学报》、《广东商学院学报》、《广东金融学院学报》、《政法学刊》、《广东工业大学学报(社会科学版)》、《广州大学学报(社会科学版)》、《广州体育学院学报》、《美术学报》、《汕头大学学报(社会科学版)》、《佛山科学技术学院学报(社会科学版)》、《五邑大学学报(社会科学版)》，使用搜狐、百度、谷歌网络搜索引擎在互联网上按照刊名或主办单位进行搜索，访问期刊网站，记录期刊网站的基本情况并进行统计分析。

二、调查结果与分析

（一）网站建设的总体状况

在调查的20家人文社会科学期刊中，有14家期刊建立了独立网站(不包括在中国知网、万方数字化期刊群、维普资讯网等大型期刊全文数据库上网)。其中有2家期刊可以在线处理稿件(在线投稿、查稿、审稿等)，但网站的大部分栏目内容还没有添加；有8家期刊网站提供的信息量较大，信息、稿件在线处理系统、网刊、综合服务的功能较为齐全，网站的质量较高，编辑部能够根据期刊自身的特色和要求进行栏目设置，但这类网站需要编辑部投入一定的资金和人力进行定期维护、更新。

没有独立网站的6家期刊中，有1家期刊使用了中国知网的新版期刊门户网站；有4家期刊在主办单位网站上开通了一个用于介绍刊物基本信息的网页，但这些网页所刊登的信息量很有限(仅有期刊简介、主管单位、主办单位、编委会、编辑部联系方式等)，而且网页信息几乎没有更新或很少更新过，有2家期刊还提供了一些过刊目录，如《华文教学与研究》；有1家期刊既没有独立网站也没有使用中国知网的期刊门户网站。因此，从总体上来说，这些期刊普遍重视独立网站的建设，70%的期刊建立了自己的网站。

（二）有关期刊信息的情况

在14家期刊的独立网站上有关期刊信息的统计结果(见表1)表明，期刊独立网站能够比纸质期刊提供给读者更多的有关期刊信息，因而起到了更好地宣传期刊、为作者和读者服务的目的。

（三）使用稿件在线处理系统的情况

稿件在线处理系统具有作者在线投稿/查稿、专家在线审稿、编辑在线办公等功能，使作者能够以在线方式更加方便快捷地投稿和了解稿件的状态，使审稿专家能够以在线的形式迅速地接收和处理稿件，在规范稿件处理流程和提高每个稿件处理流程的运行效率的同时，加强了各流程之间的衔接与配合，提高了编辑出版效率，缩短稿件的处理周期

出版周期［1］。

在14家期刊的独立网站上，有12家期刊网站能同时实现作者在线投稿/查稿、专家在线审稿、编辑在线办公等功能，有9家期刊网站使用的稿件在线处理系统还具有期刊组版管理、费用管理、数据库(作者库、专家库等)管理等功能。可见，使用稿件在线处理系统的期刊占调查期刊的60%，这些期刊比较重视期刊的数字化、网络化建设，可以实现编辑出版流程的数字化和网络化。

（四）期刊内容的情况

统计结果显示，在14家期刊的独立网站上，有11家了期刊目次(占78.6%)，其中还论文摘要的有9家(占64.3%)，期刊全文的有4家(占28.6%)，有1家期刊提供了从1998年至今的过刊全文，其它3家期刊主要提供最近两三年的过刊全文。可见，大多数期刊网站都提供了过刊（或当期）目录、摘要，有些网站还免费提供全文，读者可以自由下载或在线阅读，这些功能方便了读者对论文的使用，有助于提高期刊传播科学信息的时效性，扩大期刊的影响力。有些编辑部可能担心在独立网站上提供全文会影响纸质期刊的发行量和在大型期刊全文数据库中的点击下载量，因而在独立网站上没有提供全文或者提供的全文要滞后于印刷版。

在独立网站上最新录用稿件或下期稿件的目录、摘要，可有利于避免一稿多登现象，同时读者还可以了解期刊研究内容的最新动态［2］。调查中发现，只有《华南理工大学学报(社会科学版)》了最新录用稿件，还没有哪家期刊网站提供了下期稿件的目录、摘要或全文。务功能

（七）网页链接的有效性和网站更新速度

无效的网页链接包括打不开的链接、显示错误信息的链接、打开了网页但无内容显示的链接。网站启用后，编辑部还应不断地对网页信息进行更新和完善。网站信息的更新包括关于期刊信息的更新和期刊内容的更新。文中将网站信息的更新速度分为滞后（超过半年没有更新）、一般（2～6个月内有更新）、较快（1个月内更新）3种。统计表明：有独立网站的14家期刊中，所有网页链接均有效的有5家(占35.7%)，有1个或2个网页链接无效的有4家(占28.6%)，3个以上网页链接无效的有5家(占35.7%)；网站更新速度较快的有1家(占7.1%)，两三个月进行1次信息更新的有9家(占64.3%)，这与大部分期刊是双月刊有关，半年以上都没有更新的有3家(占21.4%)。

三、对期刊独立网站建设的思考与建议

（一）重视期刊独立网站的建设

第一，设置好期刊网站栏目。根据期刊网站的功能需求，一般应设置有如下栏目：(1)关于本刊，提供期刊简介、栏目介绍、编委会、办刊宗旨、获奖情况、数据库收录情况、编辑团队、编辑部联

第二，使用稿件在线处理系统。稿件在线处理系统是期刊数字化、网络化进程的必然选择，近年来已在我国期刊的管理与编辑出版工作中得到了广泛的使用，并彰显了诸多优势。如果经济条件许可，编辑部应考虑使用商业化的稿件在线处理系统，在现有独立网站中添加作者在线投稿/查稿、专家在线审稿、主编在线终审、编辑在线办公等模块，从而为作者、审者、编者在线处理稿件提供平台。

第三，建立英文版网站。为了提高期刊的国际传播能力，加快期刊的国际化进程，打造期刊品牌，扩大读者群和吸引国外作者投稿，进一步促进国际学术交流，期刊编辑部应该重视英文版网站的建设，除了提供论文的英文题目、英文摘要和英文关键词外，还应提供期刊的英文简介、作者投稿和专家审稿操作的英文说明等内容，制作突出学术内容、期刊特色和品牌标志的高质量英文网页，以适应期刊国际化的需要。

第四，在独立网站上实现优先数字出版。优先数字出版是以数字出版方式(如通过互联网、手机、光盘等)提前出版纸质期刊录用的稿件，在期刊独立网站上常称为“在线预(或优先)出版”。优先数字出版是提高学术期刊出版速度的一种新模式［4］。将最新录用稿件或下期稿件的目录、摘要、全文在独立网站上优先出版，既可以防止论文重复发表，又可以为优秀稿件抢国际首发权开通了一条绿色特快通道，扩大期刊读者群，进而提高期刊的被引频次、即年指标等期刊评价指标。近年来，国际上一些著名学术期刊(如《science》、《nature》)和出版商(如elsevier、springer)均采用了优先数字出版模式：选择部分定稿和采用的论文在纸质版出版之前在自建网站上优先出版，供读者阅读或下载。在国内，《浙江大学学报(人文社会科学版)》通过其独立网站在线优先出版审定通过且达到正式出版水平的论文［5］，有效地缩短了论文的出版时滞，促进了最新成果的快速交流。

（二）加强网站的管理与数据维护

（三）重视数字化人才的培养和编辑素质的提高

在数字化、网络化的大环境下，期刊编辑部应注意培养期刊数字出版各个环节所需的专门人才或复合型人才，以适应期刊数字化、网络化出版的发展，提升

其传播力和影响力。随着计算机和网络技术在期刊中的应用不断加强，期刊编辑应通过继续教育学习掌握现代编辑手段，提高为作者和读者服务的质量，促进网络环境下期刊编辑工作的发展。

参考文献：

［1］许花桃,刘淑华,傅晓琴.缩短稿件处理周期的实践［j］.编辑学报,2010,22(1):64-65.

［2］刘颖,唐永林,曾媛.我国物理类核心期刊网站建设研究［j］.科技情报开发与经济,2009,19(2):11-13.

［3］刘飚,邢飞,徐威.国外科技期刊网站的调查与思考［j］.中国科技期刊研究,2009,20(3):479-483.

［4］汪新红.优先数字出版是提高学术期刊出版速度的一种新模式［j］.中国科技期刊研究,2011,22(1):90-92.

currentstatusinvestigationandanalysisonwebsiteconstructionof

humanitiesandsocialsciencejournalsofguangdonguniversities

xuhua-tao

(editorialdepartmentofjournal,southchinauniversityoftechnology,guangzhou510640,guangdong,china)

论文关键词：网络教学，J2EE，MVC，设计模式

（一）、前言

目前投入使用的网络教学平台虽然使用B/S结构，但仅仅是简单的请求/应答，由网页中嵌入ASP/JSP代码段完成数据库的访问、数据计算功能。平台的体系结构模糊，逻辑分工不明确，代码的重用性差，存在一定的安全隐患。本文采用J2EE多层体系结构设计网络教学平台MVC，将Web层与业务层分开，实现代码进一步模块化。运用JSP、JavaBean、EJB等组件技术实现数据库访问等有一定共性的业务处理功能，提高代码的重用。同时，采用MVC（Model-View-Controller）、会话外观（SessionFacade）模式、业务代表（BusinessDelegate）等J2EE设计模式提高网络教学平台的伸缩性、安全性。

（二）、基于J2EE/MVC的网络教学平台的设计

关键词：中职院校；计算机专业；网页制作；专题学习网站

中图分类号：G434文献标识码：A论文编号：1674-2117（2016）01-0079-02

中职计算机专业“网页制作”课程教学的重要性

作为我国教育体系重要的组成部分，中职院校在人才培养中扮演着重要的角色。在当前时代与社会的发展要求下，中职院校更需要强化发展。[1]计算机专业中的“网页制作”课程其培养方向与中职计算机专业人才培养的目标相一致，即提高学生的专业知识、专业技能以及实践能力。因此，强化中职计算机专业“网页制作”课程的教学有着重要的意义和作用。

中职计算机专业“网页制作”课程利用专题学习网站的实践

当前，计算机被广泛应用到各个行业和领域中，为了提高计算机专业的教学质量，为社会培养更多的实用性人才，中职院校在计算机专业的教学中增加了“网页制作”课程。而在实际教学中，专题学习网站能为学生学习“网页制作”课程提供帮助，从而提高他们的实践能力。[2]

专题学习网站，是在互联网环境下，将各科学习课程或者某些教学课程之间的某一项或者多项学习的知识点有机结合起来的学习专题，是可以让学习者进一步研究和学习的一个资源型学习网站。它可以用来进行资源信息的存储和加工，对学生的学习情况进行在线反馈等。[3]在中职计算机专业“网页制作”课程的教学中，由于其操作性强、专业性强等特点，教师需要让学生在网页制作设计中充分利用各种资源。而专题学习网站能为学生提供丰富的资源，满足学生的设计需求。“网页制作”专题学习网站的结构如图1所示。

网站界面的主要功能是为用户提供服务，所以在网页的制作和设计中，一般需要做到以下几点：①保证网页的简洁性。在网页制作的过程中，界面的简洁可以方便用户的操作、使用和了解，从而减少错误操作。②一致性。在网页设计中，需要保证每个网页的一致性，做到结构一致、清晰，风格一致等。③清楚。制作网页需要保证网页的清晰度，因为清楚的视觉效果便于用户的浏览和使用。④安全性。在网页制作中，需要保证网页的安全性，在保证用户可以自主选择的同时，也要给予用户选择错误时必要的系统信息提示等。[4]除此之外，还需要具有灵活性、排列性等。

“网页制作”课程利用专题学习网站，既可以用于课堂教学，也可以用于学生的课外网站学习。例如，“网页设计”专题学习网站的实例教学部分，主要是制作教学案例。案例多以课程教学中的实施为基础和依托，案例的设计不只是一个知识点的应用，还会包含多个知识点，是计算机专业“网页制作”课程知识的综合利用。实例教学的界面如图2所示。

教师指导学生利用专题学习网站进行网页制作的主要步骤为：

第一步，欣赏借鉴。教师让学生上网浏览、欣赏、搜集自己觉得精彩的网页、个人主页等。

第二步，设计网站的基本框架。教师指导学生建站、链接、文本链接、图像链接等，建立与E-mail超链接。

第三步，设计页面布局。学生利用自己所学的知识，进行网页、表格、文字等的布局设置，在网页中输入图像、背景颜色、背景音乐等，设置文件的保存、命名、移动、删除等操作。

第四步，创建动态页面。学生利用所学的计算机知识，设置动态的网站页面，如字幕、悬停按钮、图像、文字等动态的效果画面。

第五步，上传网页。学生完成网页设计之后，可以申请免费的个人网站主页，在网站空间里上传自己设计的网站、网页。

第六步，评价网页设计。教师对学生上传的网页设计实践成果进行评价，并针对其存在的不足和错误进行纠正，以帮助学生认识网页设计的不足，并逐步完善。

结语

中职计算机专业“网页制作”课程教学，充分利用专题学习网站进行实践，既可以培养和锻炼学生的网页制作设计技能，还可以为学生的网页制作、设计，提供丰富的信息资源。因此，在中职计算机专业“网页制作”课程教学中，利用专题学习网站进行教学实践，对培养计算机专业人才具有重要意义。

[1]黄以宝.《网页设计与制作》专题学习网站的设计[J].电脑知识与技术，2009（15）：4089-4090.

[2]李鸿琴.应用专题学习网站教学“网页设计与制作”[J].中国信息技术教育，2009（15）：43-45.

论文摘要：网络上的动态网站以ASP为多数，我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员，与ASP攻击的各种现象斗争了多次，也对网站进行了一次次的修补，根据工作经验，就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验，对ASP程序设计存在的信息安全隐患进行分析，讨论了ASP程序常见的安全漏洞，从程序设计角度对WEB信息安全及防范提供了参考。

1网络安全总体状况分析

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。

SQL注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式：

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPTABLE用户表，后果是用户表被彻底删除。

C．参数传递：假设我们有个网页链接地址是HTTP：//……aspid=22，然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值，构成某SQL语句，这种情况很常见。可是，如果黑客将地址变为HTTP：//……aspid=22anduser=0，结果会怎样如果程序员有没有对系统的出错提示进行屏蔽处理的话，黑客就获得了数据库的用户名，这为他们的进一步攻击提供了很好的条件。

解决方法：以上几个例子只是为了起到抛砖引玉的作用，其实，黑客利用“猜测+精通的sql语言+反复尝试”的方式，可以构造出各种各样的sql入侵。作为程序员，如何来防御或者降低受攻击的几率呢作者在实际中是按以下方法做的：

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第三：为了防止黑客避开客户端校验直接进入后台，在后台程序中利用一个公用函数再次对用户输入进行检查，一旦发现可疑输入，立即终止程序，但不进行提示，同时，将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四：对于参数的情况，页面利用QueryString或者Quest取得参数后，要对每个参数进行判断处理，发现异常字符，要利用replace函数将异常字符过滤掉，然后再做下一步操作。

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第六：在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为“无”好了。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

关键词：网址,加密,网络安全,活动服务器页面,服务器端网页设计

0引言随着网络技术和网络规模的不断发展以及电子商务的兴起，许多企业都建立了自己的商务网站，针对网络和计算机系统的攻击已经屡见不鲜,在构建网站的时候，都会考虑网络安全问题，对于网络安全的投入较大，如使用防火墙、入侵检测、企业防病毒等安全产品，但网站还是有被攻击,甚至完全被控制的可能。因为企业的网站一般都采用ASP、PHP或JSP等脚本语言来连接数据库，取得数据库里面的数据生成动态网页。当一个网站完全建立后，程序会很多，特别是网页设计的特殊性，服务器与用户的交互程序更多，所以，程序的漏洞也会增多，给网站带来不可估量的安全隐患，这些程序漏洞比网站服务器的漏洞更为严重[1][2][3]。

在登陆验证(以asp为例)中常会用SQL查询语句来判断该用户是否为站点的合法会员。

<%

Dimrs

Setrs=CreateObject(“Adodb.Recordset”)‘定义一个Ado数据集实例

rs.source='select*fromuserwhereusername=’”&username&“’andpassword=’”&password&“’”

‘连接登陆验证语句字串

rs.openrs.sourc,conn,1,1‘执行查询语句

...

%>

当根据以上的SQL语句构造一组特殊的用户名和密码，例如用户名为该网站任意一个存在的用户名Admin，密码为a'or'a'='a，则程序中SQL变量的值将会变成sql=“select*fromusernamewhereusername=’a’andpassword=’a’or’a’=’a’”显然，该查询语句的逻辑原意已被彻底改变，一个逻辑运算符or使用整个逻辑条件为真，即这条SQL口令验证语句已经失去了效用，只要知道了任意一个存在的用户名就可以成功地进入到敏感区域。

解决漏洞的方案如下：

1）生成SQL查询语句之前，对用户输入的参数(用户名和密码)进行过滤；

2）先查询用户名再进行密码验证。

2.2绕过验证直接进入设计页面漏洞每个敏感的页面必须进行身份验证，如果用户知道了一个设计页面（如用ASP）的路径和文件名，而这个页面又没有验证的程序，则用户可直接输入这个设计页面的文件名，即绕过了登陆验证，直接进入了指定的页面。。网站设计者除了登陆验证外还必须在有关页面进行身份验证，才能提高站点的安全指数。。

2.3桌面数据库被下载漏洞在ASP＋Access应用系统中，如果获得Access数据库的存储路径和数据库名，则该数据库可以被下载到本地。。如对于网上图书馆的Access数据库，一般命名为Library.mdb等，而存储的路径一般为“URL/database”或放在根目录（“URL/”）下。这样，只要在浏览器地址栏中输入地址“URL/database/Library.mdb”，就可以轻易地把Library.mdb下载到本地的机器中。

在ASP程序设计中，应尽量使用ODBC数据源，不直把数据库名直接写在程序中，否则数据库名将随ASP源代码的失密而一同失密，例如：

DBPath=Server.MapPath(“./akkjj16t/kjhgb661/acd/avccx55/faq19jhsvzbal.mdb”)

conn.Open“driver={MicrosoftAccessDriver(＊.mdb)};dbq=”＆DBPath

可见，ASP源代码失密后，数据库也很容易被下载。如果使用ODBC数据源，则不会存在conn.open

“ODBC－DSN名”。2.4源代码泄露漏洞为有效防止源代码泄露，可以对页面代码进行加密。

一般有以下两种方法对ASP页面进行加密：

1)使用组件技术将编程逻辑封装入DLL中；

2)使用微软的ScriptEncoder对ASP页面进行加密。

使用组件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大，而使用ScriptEncoder对ASP页面进行加密，操作简单、收效良好。ScriptEncoder方法具有以下优点：

1）HTML具有很好的可编辑性，ScriptEncoder只加密在HTML页面中嵌入的ASP

代码，其他部分仍保持不变，故仍可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善，但不能对ASP加密部分进行修改，否则将导致文件失效；

2）作较简单，只要掌握几个命令行参数即可，ScriptEncoder的运行程序是

screnc.exe，其使用方法如下：screnc[/s][/f][/xl][/ldefLanguage][/e:defExtension]inputfileoutputfile，其中s为屏蔽屏幕输出；f为指定输出文件是否覆盖同名输入文件；xl指是否在.asp文件的顶部添加@Language指令；l为defLanguag指定缺省的脚本语言；e为defExtension指定待加密文件的扩展名；

3）用ScriptEncoder可以对当前目录中所有的ASP文件进行加密，并把加密

后的文件统一输出到相应的目录中，例如：screnc＊.aspc:emp；

4）criptEncoder是免费软件，该加密软件可以从微软网站

msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe下载，下载后，运行安装即可，利用Session对象进行注册验证。

2.4文件上传漏洞许多网站如论坛、同学录、邮件服务系统都提供了文件上传的功能，但设计者在设计用户提交参数缺少充分过滤，以至远程攻击者利用这个漏洞可以上传恶意文件，甚至造成系统数据库破坏或以Web权限在系统上执行任意命令。例如iXmail包含的“ixmail_attach.php”脚本对用户提交的附件缺少充分过滤，攻击者可以通过操作URL参数上传恶意文件(如php文件)到服务器上，虽然文件放置在Web目录下的/tmp目录中，但可以远程访问，因此攻击者可能以Web进程权限在系统上执行任意命令，故在文件上传之前，加入文件类型判断模块，并进行过滤。如要求用户上传图片时，对上传的文件格式进行判断，如果是指定的图片文件格式(如JPG、GIF)允许上传，其他格式诸如*.EXE,*.PHP，*.ASP，*.JSP等可执行或可解释的程序文件就禁止上传。

3结论本文介绍了网站建设中网页设计容易出现的漏洞和解决方法，安全概念要贯穿在整个网页设计过程中，只有随时考虑安全的问题，网站才会有更强的安全性。

参考文献[1]希利尔S著.ActiveServerPages编程指南[M].董启雄译.北京:宇航出版社,1998.

[2]沈文智.MicrosoftIIS网页技术[M].北京:人民邮电出版社,1998.

[3]张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,1999

关键词B/S体系；JSP；信息管理系统

0引言

随着近些年网络技术的迅猛发展，国内许多高校也掀起了全面信息化管理的浪潮，而科研管理是高校信息化的重要组成部分，过去一些高校的科研管理系统大都是基于局域网系统的，所以信息不能及时更新，共享程度低，所以构建一个现代化的高校科研管理系统势在必行[1]。

长期以来，天津商业大学科研处一直是采用传统的手工劳动操作方式，造成了办公效率低下、信息滞后严重、项目管理松弛等问题，严重影响到学校科研的水平，因此，尽快研发基于网络的科研系统刻不容缓。

1系统设计目标

建立基于B/S结构的科研管理信息系统的设计目标是：

1）建立一个从管理角度出发，实现多层用户的分级管理，包括科研处管理人员，学院科研秘书以及教师三个层次的管理；

2）实现科研项目和科研考核的流程化和规范化，教师项目的申报，中期检查，结项等事宜流程化管理，教师的科研成果包括专利，获奖等实行网上申报和管理；

3）兼容年底的科研统计。兼容各级科研管理部门，例如教育部，天津市科委等部门的统计任务；

4）网上办公。实现通过管理系统实现信息、资源共享，邮件传送等功能；

5）辅助科研决策。用户可以通过对自己感兴趣的数据进行整理分析。

2.1系统B/S结构

目前，管理信息系统主要有客户端/服务器（Client/Server，C/S）结构和浏览器/服务器（Browser/Sever，B/S）结构[2]。C/S模式的客户端和服务器是通过局域网连接，所以能有效降低网络通讯量，安全性高，但是客户端都需要安装专门的软件，操作复杂，不易推广。B/S模式下，用户工作界面是通过Internet浏览器实现的，它能实现无论何时，何地只要有适当的接入方式都能访问操作信息系统。考虑到设计的科研管理系统面对的有教师，科研管理人员以及上级科研管理部门，所以从易于推广使用的角度，系统选择B/S架构模式。

2.2JSP动态网页技术

JavaServerPages（简称JSP）是一种基于Java系统的动态网页开发技术，是由SunMicrosystem倡导，多公司合作建立的。该技术就是在传统的网页文件中加入Java程序段和JSP标记形成新的JSP文件，可以简捷快速地创建显示动态页面。JSP对于客户界面的更新非常迅速。系统的应用程序均运行在服务器上，它们可以及时升级。客户端口非常简单，容易管理和维护[3]。

2.3SQLServer数据库

SQL即结构化查询语言，全称为StructuredQueryLanguage。其作用是沟通、联系各种数据库。SQLServer是一个使用SQL作为数据操作语言的标准关系型数据库管理系统[4]。它支持分布式应用，并且并发性、可靠性和安全性都比较高，是目前应用最广泛的数据库管理系统之一。

Microsoft于2005年推出的SQLServer2005，是一个企业级数据库管理系统产品。它在很多方面如企业级支持与商业智能应用等都表现突出，应用广泛，本系统采用SQLServer2005数据库管理系统作为系统的数据库。

3系统设计

3.1系统功能模块设计

在对科研处调研的基础上，结合本兄弟院校的有关情况，系统从功能上分为登陆管理，项目管理，成果管理，用户管理等模块，如图所示：

成果管理模块：主要包括获奖、专利情况以及论文论著。这个模块是教师依据自身所获荣誉网上填报，之后由科研秘书及科研处审核。

科研考核管理模块：这个模块是通过建立科研工作量的量化指标和设置岗位考核标准来确定教师的科研水平。这块也是领导进行科研决策的参考依据之一。

3.2数据库设计

在数据库的报表设计主要包括以下表格：

1）教师基本信息（姓名、职称、年龄、性别、最后学历、所属院系、学科领域、联系方式）；

3）科研获奖（姓名、获奖名称、获奖级别、颁奖单位，获奖年月，备注）；

4）专利（姓名、专利名称、专利类型、批准号、备注）；

5）论文论著（姓名、论文名称、成果形式、发表期刊、发表年月、备注）。

4结论

本文针对目前高校科研管理系统所存在问题进行了探讨，提出了基于B/S架构的应用，相信随着目前网络技术的进一步完善，B/S结构应用系统的研究将会成为一种趋势。该系统模块化清晰，应用灵活，使用了目前流行的JSP动态网页开发技术，可移植性大，可以较好地满足目前学校对科研管理的需求，具有较好的应用价值。

[1]魏江来.科研管理系统数据库设计与实现[J].山西科技，2009.

[2]任泰明.基于B/S结构的软件开发技术[M].西安：西安电子科技大学出版社，2006.