序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇網(wǎng)站設計安全性范例�����,希望它們能助您一臂之力�,提升您的閱讀品質,帶來更深刻的閱讀感受�。
篇(1)
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確��,針對不同網(wǎng)站和用戶采用不同的攻擊手段�,且攻擊行為趨利化特點表現(xiàn)明顯。對政府類和安全管理相關類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式��,也不排除放置惡意代碼的可能����。對中小企業(yè),尤其是以網(wǎng)絡為核心業(yè)務的企業(yè),采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索�����,影響企業(yè)正常業(yè)務的開展����。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段���,偷取該用戶游戲賬號��、銀行賬號�、密碼等����,竊取用戶的私有財產(chǎn)。
2用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網(wǎng)頁設計技術���,被廣泛應用在網(wǎng)上銀行���、電子商務、網(wǎng)上調查�、網(wǎng)上查詢�、BBS���、搜索引擎等各種互聯(lián)網(wǎng)應用中。但是���,該解決方案在為我們帶來便捷的同時���,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論����。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中�,當創(chuàng)建或者修改一個ASP文件時,編輯器自動創(chuàng)建一個備份文件�����,如果你沒有刪除這個bak文件���,攻擊者可以直接下載����,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查��,刪除不必要的文檔���。對以BAK為后綴的文件要特別小心�。
inc文件泄露問題�����。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前��,可以被某些搜索引擎機動追加為搜索對象���。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找�����,會得到有關文件的定位�,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結構的細節(jié)�����,并以此揭示完整的源代碼��。
防范技巧:程序員應該在網(wǎng)頁前對它進行徹底的調試。首先對.inc文件內容進行加密��,其次也可以使用.asp文件代替.inc文件��,使用戶無法從瀏覽器直接觀看文件的源代碼����。
3.2對ASP頁面進行加密��。為有效地防止ASP源代碼泄露�,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密��。一是使用組件技術將編程邏輯封裝入DLL之中����;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼�。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容��,但網(wǎng)上有很多攻擊軟件����,如注冊機����,可以通過瀏覽WEB��,掃描表單��,然后在系統(tǒng)上頻繁注冊�,頻繁發(fā)送不良信息,造成不良的影響����,或者通過軟件不斷的嘗試,盜取你的密碼����。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經(jīng)過驗證�����,從而可以解決這個問題����。
登陸驗證。對于很多網(wǎng)頁��,特別是網(wǎng)站后臺管理部分,是要求有相應權限的用戶才能進入操作的����。但是,如果這些頁面沒有對用戶身份進行驗證���,黑客就可以直接在地址欄輸入收集到的相應的URL路徑�����,避開用戶登錄驗證頁面�����,從而獲得合法用戶的權限。所以�,登陸驗證是非常必要的。
SQL注入�����。SQL注入是從正常的WWW端口訪問�����,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報��,如果管理員沒查看IIS日志的習慣�,可能被入侵很長時間都不會發(fā)覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式��,引起攻擊的根本原因就是盲目信任用戶�,將用戶輸入用來直接構造SQL語句或存儲過程的參數(shù)。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框����,分別用來供用戶輸入帳號和密碼,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶�����。試想����,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么���,OR后面的0=0總是成立的�,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網(wǎng)頁中有個搜索功能�����,只要用戶輸入搜索關鍵字����,系統(tǒng)就列出符合條件的所有記錄,可是�����,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表�����,后果是用戶表被徹底刪除�。
C.參數(shù)傳遞:假設我們有個網(wǎng)頁鏈接地址是HTTP://……asp?id=22�,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句����,這種情況很常見?����?墒牵绻诳蛯⒌刂纷?yōu)镠TTP://……asp?id=22anduser=0�,結果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進行屏蔽處理的話,黑客就獲得了數(shù)據(jù)庫的用戶名�,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用�,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式��,可以構造出各種各樣的sql入侵���。作為程序員�,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注����,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗�����,發(fā)現(xiàn)非法字符��,提示用戶且終止程序進行�����;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進行檢查����,一旦發(fā)現(xiàn)可疑輸入,立即終止程序��,但不進行提示��,同時���,將黑客IP�、動作���、日期等信息保存到日志數(shù)據(jù)表中以備核查����。
第四:對于參數(shù)的情況�����,頁面利用QueryString或者Quest取得參數(shù)后�,要對每個參數(shù)進行判斷處理,發(fā)現(xiàn)異常字符�,要利用replace函數(shù)將異常字符過濾掉,然后再做下一步操作�。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤���。
第六:在IIS中為每個網(wǎng)站設置好執(zhí)行權限�����。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權限�。一般情況下給個“純腳本”權限就夠了���,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄�,就更吝嗇一點吧���,執(zhí)行權限設為“無”好了��。
第七:數(shù)據(jù)庫用戶的權限配置���。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限��,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇��,同學錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能�,但在網(wǎng)頁設計時如果缺少對用戶提交參數(shù)的過濾,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件��,導致攻擊事件的發(fā)生��。
防文件上傳漏洞
在文件上傳之前����,加入文件類型判斷模塊,進行過濾����,防止ASP、ASA�、CER等類型的文件上傳。
暴庫�����。暴庫�����,就是通過一些技術手段或者程序漏洞得到數(shù)據(jù)庫的地址���,并將數(shù)據(jù)非法下載到本地�。
數(shù)據(jù)庫可能被下載�����。在IIS+ASP網(wǎng)站中����,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名,則該數(shù)據(jù)庫就可以被下載到本地���。
數(shù)據(jù)庫可能被解密
由于Access數(shù)據(jù)庫的加密機制比較簡單�����,即使設置了密碼��,解密也很容易�����。因此�,只要數(shù)據(jù)庫被下載,其信息就沒有任何安全性可言了���。
防止數(shù)據(jù)庫被下載�。由于Access數(shù)據(jù)庫加密機制過于簡單��,有效地防止數(shù)據(jù)庫被下載��,就成了提高ASP+Access解決方案安全性的重中之重��。以下兩種方法簡單�、有效。
非常規(guī)命名法�。為Access數(shù)據(jù)庫文件起一個復雜的非常規(guī)名字,并把它放在幾個目錄下���。
使用ODBC數(shù)據(jù)源����。在ASP程序設計中���,如果有條件����,應盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名寫在程序中����,否則�,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密�����。經(jīng)過MD5加密����,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強����。
使用數(shù)據(jù)備份。當網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù)��,可以將備份的數(shù)據(jù)恢復到原始的數(shù)據(jù)���,保證了網(wǎng)站在一些人為的��、自然的不可避免的條件下的相對安全性�����。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能�,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺��。被黑客們稱為“永遠不會被查殺的后門”�����。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除��。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單��,所以利用殺毒軟件對web空間中的文件進行掃描�����,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬����。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密���,躲藏殺毒軟件��,怎么辦����?
我們可以利用一些FTP客戶端軟件(例如cuteftp,F(xiàn)lashFXP)提供的文件對比功能����,通過對比FTP的中的web文件和本地的備份文件�,發(fā)現(xiàn)是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬���,可以將代碼插入到指定web文件中���,平常情況下不會顯示,只有使用觸發(fā)語句才能打開asp木馬�����,其隱蔽性非常高��。BeyondCompare2這時候就會作用比較明顯了�。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來��,這樣就能有效的查殺被隱藏起來的asp木馬��。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳��、維護網(wǎng)頁���,盡量不安裝asp的上傳程序����。
對asp上傳程序的調用一定要進行身份認證����,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性��,不能過于簡單��,還要注意定期更換��。
到正規(guī)網(wǎng)站下載asp程序���,下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改��,數(shù)據(jù)庫文件名稱也要有一定復雜性����。
要盡量保持程序是最新版本。
不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接�。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面����,下次維護時再通過上傳即可。
要時常備份數(shù)據(jù)庫等重要文件��。
日常要多維護���,并注意空間中是否有來歷不明的asp文件。
一旦發(fā)現(xiàn)被人侵�����,除非自己能識別出所有木馬文件���,否則要刪除所有文件�����。重新上傳文件前��,所有asp程序用戶名和密碼都要重置���,并要重新修改程序數(shù)據(jù)庫名稱和存放路徑以及后臺管理程序的路徑��。
做好以上防范措施����,您的網(wǎng)站只能說是相對安全了�����,決不能因此疏忽大意��,因為入侵與反入侵是一場永恒的戰(zhàn)爭�!網(wǎng)站安全是一個較為復雜的問題,嚴格的說��,沒有絕對安全的網(wǎng)絡系統(tǒng)�,我們只有通過不斷的改進程序,將各種可能出現(xiàn)的問題考慮周全�����,對潛在的異常情況進行處理,才能減少被黑客入侵的機會��。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
篇(2)
從CNCERT/CC掌握的半年情況來看���,攻擊者的攻擊目標明確��,針對不同網(wǎng)站和用戶采用不同的攻擊手段�,且攻擊行為趨利化特點表現(xiàn)明顯���。對政府類和安全管理相關類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式���,也不排除放置惡意代碼的可能。對中小企業(yè)��,尤其是以網(wǎng)絡為核心業(yè)務的企業(yè)����,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索�,影響企業(yè)正常業(yè)務的開展。對于個人用戶��,攻擊者更多的是通過用戶身份竊取等手段���,偷取該用戶游戲賬號����、銀行賬號、密碼等����,竊取用戶的私有財產(chǎn)。
2用IIS+ASP建網(wǎng)站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網(wǎng)頁設計技術����,被廣泛應用在網(wǎng)上銀行、電子商務�����、網(wǎng)上調查����、網(wǎng)上查詢、BBS��、搜索引擎等各種互聯(lián)網(wǎng)應用中����。但是�����,該解決方案在為我們帶來便捷的同時�,也帶來了嚴峻的安全問題���。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論�。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件��。攻擊原理:在有些編輯ASP程序的工具中�����,當創(chuàng)建或者修改一個ASP文件時����,編輯器自動創(chuàng)建一個備份文件,如果你沒有刪除這個bak文件�,攻擊者可以直接下載,這樣源程序就會被下載��。
防范技巧:上傳程序之前要仔細檢查��,刪除不必要的文檔��。對以BAK為后綴的文件要特別小心�。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前����,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找��,會得到有關文件的定位�����,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結構的細節(jié)����,并以此揭示完整的源代碼。
防范技巧:程序員應該在網(wǎng)頁前對它進行徹底的調試���。首先對.inc文件內容進行加密��,其次也可以使用.asp文件代替.inc文件�����,使用戶無法從瀏覽器直接觀看文件的源代碼���。
3.2對ASP頁面進行加密����。為有效地防止ASP源代碼泄露�,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密��。一是使用組件技術將編程邏輯封裝入DLL之中���;二是使用微軟的ScriptEncoder對ASP頁面進行加密�。3.3程序設計與驗證不全漏洞
驗證碼�����。普遍的客戶端交互如留言本���、會員注冊等僅是按照要求輸入內容����,但網(wǎng)上有很多攻擊軟件����,如注冊機���,可以通過瀏覽WEB��,掃描表單�����,然后在系統(tǒng)上頻繁注冊���,頻繁發(fā)送不良信息�����,造成不良的影響����,或者通過軟件不斷的嘗試��,盜取你的密碼��。而我們使用通過使用驗證碼技術��,使客戶端輸入的信息都必須經(jīng)過驗證,從而可以解決這個問題��。
登陸驗證�。對于很多網(wǎng)頁,特別是網(wǎng)站后臺管理部分�,是要求有相應權限的用戶才能進入操作的。但是�����,如果這些頁面沒有對用戶身份進行驗證���,黑客就可以直接在地址欄輸入收集到的相應的URL路徑����,避開用戶登錄驗證頁面�����,從而獲得合法用戶的權限�。所以,登陸驗證是非常必要的��。
SQL注入�。SQL注入是從正常的WWW端口訪問��,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別���,所以目前市面的防火墻都不會對SQL注入發(fā)出警報,如果管理員沒查看IIS日志的習慣���,可能被入侵很長時間都不會發(fā)覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式��,引起攻擊的根本原因就是盲目信任用戶�����,將用戶輸入用來直接構造SQL語句或存儲過程的參數(shù)����。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼��,利用執(zhí)行SQL語句來判斷用戶是否為合法用戶���。試想��,如果黑客在密碼文本框中輸入''''OR0=0���,即不管前面輸入的用戶帳號和密碼是什么�,OR后面的0=0總是成立的���,最后結果就是該黑客成為了合法的用戶��。
B.用戶輸入:假設網(wǎng)頁中有個搜索功能����,只要用戶輸入搜索關鍵字����,系統(tǒng)就列出符合條件的所有記錄,可是��,如果黑客在關鍵字文本框中輸入''''GODROPbr用戶表���,后果是用戶表被徹底刪除���。
C.參數(shù)傳遞:假設我們有個網(wǎng)頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值��,構成某SQL語句�����,這種情況很常見?��?墒?���,如果黑客將地址變?yōu)镠TTP://……asp?id=22anduser=0��,結果會怎樣?如果程序員有沒有對系統(tǒng)的出錯提示進行屏蔽處理的話����,黑客就獲得了數(shù)據(jù)庫的用戶名����,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用���,其實�,黑客利用“猜測+精通的sql語言+反復嘗試”的方式���,可以構造出各種各樣的sql入侵�����。作為程序員����,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符���;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗�,發(fā)現(xiàn)非法字符��,提示用戶且終止程序進行�����;
第三:為了防止黑客避開客戶端校驗直接進入后臺����,在后臺程序中利用一個公用函數(shù)再次對用戶輸入進行檢查,一旦發(fā)現(xiàn)可疑輸入����,立即終止程序,但不進行提示���,同時��,將黑客IP����、動作、日期等信息保存到日志數(shù)據(jù)表中以備核查�����。
第四:對于參數(shù)的情況��,頁面利用QueryString或者Quest取得參數(shù)后�����,要對每個參數(shù)進行判斷處理�,發(fā)現(xiàn)異常字符�����,要利用replace函數(shù)將異常字符過濾掉�����,然后再做下一步操作。
第五:只給出一種錯誤提示信息��,服務器都只提示HTTP500錯誤���。
第六:在IIS中為每個網(wǎng)站設置好執(zhí)行權限��。千萬別給靜態(tài)網(wǎng)站以“腳本和可執(zhí)行”權限�。一般情況下給個“純腳本”權限就夠了���,對于那些通過網(wǎng)站后臺管理中心上傳的文件存放的目錄���,就更吝嗇一點吧,執(zhí)行權限設為“無”好了��。
第七:數(shù)據(jù)庫用戶的權限配置���。對于MS_SQL�����,如果PUBLIC權限足夠使用的絕不給再高的權限��,千萬不要SA級別的權限隨隨便便地給���。
3.4傳漏洞
諸如論壇�����,同學錄等網(wǎng)站系統(tǒng)都提供了文件上傳功能�,但在網(wǎng)頁設計時如果缺少對用戶提交參數(shù)的過濾���,將使得攻擊者可以上傳網(wǎng)頁木馬等惡意文件���,導致攻擊事件的發(fā)生。
防文件上傳漏洞
在文件上傳之前�����,加入文件類型判斷模塊�,進行過濾,防止ASP�����、ASA�����、CER等類型的文件上傳����。
暴庫。暴庫��,就是通過一些技術手段或者程序漏洞得到數(shù)據(jù)庫的地址�����,并將數(shù)據(jù)非法下載到本地��。
數(shù)據(jù)庫可能被下載�。在IIS+ASP網(wǎng)站中,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名��,則該數(shù)據(jù)庫就可以被下載到本地�。
數(shù)據(jù)庫可能被解密
由于Access數(shù)據(jù)庫的加密機制比較簡單,即使設置了密碼�����,解密也很容易��。因此,只要數(shù)據(jù)庫被下載����,其信息就沒有任何安全性可言了。
防止數(shù)據(jù)庫被下載��。由于Access數(shù)據(jù)庫加密機制過于簡單����,有效地防止數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重�。以下兩種方法簡單、有效�。
非常規(guī)命名法。為Access數(shù)據(jù)庫文件起一個復雜的非常規(guī)名字��,并把它放在幾個目錄下�。
使用ODBC數(shù)據(jù)源。在ASP程序設計中���,如果有條件�,應盡量使用ODBC數(shù)據(jù)源�,不要把數(shù)據(jù)庫名寫在程序中,否則����,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密�����。經(jīng)過MD5加密�,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強��。
使用數(shù)據(jù)備份�����。當網(wǎng)站被黑客攻擊或者其它原因丟失了數(shù)據(jù)�����,可以將備份的數(shù)據(jù)恢復到原始的數(shù)據(jù)�����,保證了網(wǎng)站在一些人為的��、自然的不可避免的條件下的相對安全性���。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能�����,所以這種ASP腳本的木馬后門�����,不會被殺毒軟件查殺�。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發(fā)現(xiàn)web空間中的asp木馬并清除�����。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經(jīng)被殺毒軟件列入了黑名單�,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發(fā)現(xiàn)并清除這些有名的asp木馬�����。
技巧2:FTP客戶端對比
asp木馬若進行偽裝�,加密,躲藏殺毒軟件�����,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp��,F(xiàn)lashFXP)提供的文件對比功能�����,通過對比FTP的中的web文件和本地的備份文件���,發(fā)現(xiàn)是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬���,可以將代碼插入到指定web文件中��,平常情況下不會顯示�����,只有使用觸發(fā)語句才能打開asp木馬���,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了��。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕���。
大家在查找web空間的asp木馬時�����,最好幾種方法結合起來�����,這樣就能有效的查殺被隱藏起來的asp木馬����。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網(wǎng)頁�����,盡量不安裝asp的上傳程序�����。
對asp上傳程序的調用一定要進行身份認證�,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性�,不能過于簡單,還要注意定期更換�����。
到正規(guī)網(wǎng)站下載asp程序,下載后要對其數(shù)據(jù)庫名稱和存放路徑進行修改����,數(shù)據(jù)庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本�。
不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接��。
為防止程序有未知漏洞��,可以在維護后刪除后臺管理程序的登陸頁面��,下次維護時再通過上傳即可����。
要時常備份數(shù)據(jù)庫等重要文件。
篇(3)
現(xiàn)在���,網(wǎng)絡安全態(tài)勢感知還是缺乏一個標準進行規(guī)范��,由于各研究領域對態(tài)勢感知的理解不同�����,使得態(tài)勢感知實現(xiàn)方式呈現(xiàn)出多元化的現(xiàn)象��。本文主要對業(yè)內成熟的Endsley態(tài)勢模型在網(wǎng)絡安全領域的作用��,加以改進使之成為態(tài)勢感知領域內實用的網(wǎng)絡安全方案����。
1、基本概念
本文主要用三個概念對態(tài)勢提取的過程進行規(guī)范:定義1:時空知識庫:將態(tài)勢提取過程中的時間和空間專家知識的表示�,存儲形式是哈希表。定義2:嚴重度知識庫:是態(tài)勢提取過程中的入侵或攻擊的專家描述��,存儲形式為哈希表�。定義3:權重分配函數(shù):是對定義1及定義2的專家的知識函數(shù)表現(xiàn)。利用攻擊嚴重度指標�、Timelndex和Spacelndex為參數(shù),從而獲得權重系數(shù)��。
2�、態(tài)勢模型分析及框架設計
2.1態(tài)勢模型與過程框架
網(wǎng)絡安全領域中的底層事件和ESM處理的事件是不同的,但是ESM數(shù)據(jù)處理的過程可以借鑒到網(wǎng)絡安全態(tài)勢分析中��。ESM對環(huán)境對象定義為威脅單元����,多個威脅單元構成一個組���,該組包括感興趣的參數(shù)。許多威脅單元共同用作態(tài)勢提取的模塊���,與歷史態(tài)勢進行比對�����,從而獲取態(tài)勢信息����。按照ESM的運行過程�,提出網(wǎng)絡安全態(tài)勢提取框架���,如圖1.
對態(tài)勢分析的過程中��,根據(jù)攻擊的嚴重度可以講網(wǎng)絡攻擊分為高危��、中危��、低危及位置威脅�,用Phigh(t)、Pmedium(t)���、Plow(t)和Punknown(t)4類威脅單元來劃分表示����,四類威脅單元共同構成網(wǎng)絡安全的總體態(tài)勢����,則有:
S(t)={ Phigh(t), Pmedium(t), Plow(t), Punknown(t)} (1)
式中 PX(t)={Count,TimeIndex,SpaceIndex} (2)
在以上兩式中,t表示評估時序��;Count表示評估時間內的統(tǒng)計值����;Timelndex與Spacelndex則表示攻擊的時間與空間要素。則有某威脅單元特定時段內的態(tài)勢:
PX(t)xS/T-KB={Count,TimeIndex,SpaceIndex}xS/T-KB
Count x WT(TimeIndex) x WS(SpaceIndex) (3)
式中WT(Timelndex)與Ws(Spacelndcx)是時間與空間權重系數(shù)分配函數(shù)結果�����。根據(jù)以上計算過程��,得出態(tài)勢的提取過程:
S(t)xS-KB={Phigh(t), Pmedium(t), Plow(t), Punknown(t)}x S-KB
[Phigh(t) Pmedium(t) Plow(t) Punknown(t)]x[10Whigh 10Wmedium 10Wlow 0]T=Phigh(t) x 10Whigh+ Pmedium(t) x 10Wmedium+ Plow(t) x 10Wlow (4)
式中S-KB是[WhighWmediumWlow0]T���。受網(wǎng)絡攻擊程度的影響����,一次高危攻擊的危害要比三次低級別攻擊的危害大。那么態(tài)勢提取的過程是符合實際情況的���,即(4)可以變化為:[10Whigh 10Wmedium 10Wlow 0]T���。
2.2安全域劃分及指標分配
根據(jù)信任等級的不同,常常對網(wǎng)絡系統(tǒng)劃分不同的安全域或建立信任級別����。在不同安全域受到攻擊的視乎,對網(wǎng)絡造成的危害是不一樣的����。一般用威脅單元中的Spacelndex表示不同的安全域,也用這一參數(shù)來作為WCAF的輸入�����,然后獲取不同安全域的重要性指標�。根據(jù)以上內容�����,可以劃分不同的安全域,其規(guī)則如表1:
2.3告警融合模塊
網(wǎng)絡中存在一些系統(tǒng)固件在以往運行中會產(chǎn)生大量的冗余低危報警��。如果不將這些冗余信息處理掉����,在大量的低危告警的存在下,系統(tǒng)對高危攻擊的態(tài)勢分析就會失去準確的辨別能力��。本文主要介紹滑動時間窗的方式來過濾掉冗余的低危告警信息��,這種方式是根據(jù)不同長度時間窗的比較來去除冗余的效果����,這樣就可以保證在對冗余信息進行消除的同時而保留有用的信息。
3�、實驗仿真及評估
3.1數(shù)據(jù)采集及預處理
根據(jù)以上設計進行仿真實驗,如圖2所示����,局域網(wǎng)可以和互聯(lián)網(wǎng)直接相連,并且有OA�����、Web及Proxy等服務內容����。根據(jù)主機資源及部署的服務的重要性���,就可以對該網(wǎng)段進行安全域的劃分,可以劃分其為兩個安全域�����,標記為安全域1和安全域2�����,分別表示為SZ-1和SZ-2����。
根據(jù)實驗目的,對數(shù)據(jù)首先進行采集�����,以五天為一個采集單元���,共獲取305000條數(shù)據(jù)信息。對五天的數(shù)據(jù)隨機挑選三天的數(shù)據(jù)進行分析����,分別表示為Day1#��、Day2#和Day3#���,然后對原始數(shù)據(jù)進行冗余處理,再對數(shù)據(jù)進行預處理�。表2為預處理前的數(shù)據(jù)分布。如果選擇20s與30s當作時間窗長度�����,那么數(shù)據(jù)約減的效果不是很明顯��。所以選擇20s作為時間窗的長度�����。
在態(tài)勢分析中�����,TimeIndex與Spaeelndex按照安全域劃分與評估間隔來定����,此次實驗將評估周期定為1天��,按照小時來劃分Timelndex分配���,即1至24,然后將評估間隔的重要度按照網(wǎng)絡流量的等級劃分為3個等級���。
表3為評估間隔重要性等級���,WC表示歸一化的量化權重系數(shù),安全域的劃分參照表1���。
3.2仿真結果
Day1#中嚴重度系數(shù)分配的前后如圖3a和圖3b顯示��。因為Day1#中出現(xiàn)的高危攻擊要比相應間隔的中低危告警要少的多����,也就是說����,圖3a中的低危態(tài)勢表現(xiàn)要嚴重與高危和中危態(tài)勢。這就說明���,在對統(tǒng)計值進行建立時�����,對網(wǎng)絡攻擊中的嚴重度無法準確的進行評估���。圖3b反應了網(wǎng)絡安全態(tài)勢的嚴重度系數(shù)分配突出高危攻擊的影響。
與圖3表述相一致�����,圖4中a和b也表示嚴重度系數(shù)���,不同的是安全域是SZ-2,與圖3a面臨的問題相似�����,圖4a也反應了低危攻擊比高危和中危攻擊嚴重�����,例如在Day1#數(shù)據(jù)中���,第10、15與19小時都發(fā)生了高危攻擊����,但是�����,這些高危攻擊在圖4a中���,完全淹沒在低危告警中,圖4b中則完全顯示出高危態(tài)勢的變化�����。
在將SpaceIndex引入SZ-1和SZ-2前后�����,總體安全態(tài)勢如圖5a和圖5b的變化���。在周期評估時�����,比較接近的是SZ-1中的攻擊分布和攻擊數(shù)量和SZ-2比較接近�����。所以在引入SpaceIndex之前�����,二者的態(tài)勢曲線是最為接近的���,但是不同的是SZ-1中的主機和服務要比SZ-2中的主機和服務重要,因此�,如果對兩個安全域同時進行攻擊時,兩個安全域所在的網(wǎng)絡系統(tǒng)受到的影響是完全不同的�,只有在引入Spacelndex后,才能體現(xiàn)出態(tài)勢的變化��,如圖5b�����。
圖6a中�����,主要是對Day2#總體態(tài)勢變化和不同安全域的態(tài)勢變化進行比較�,從圖中可以看出,總體態(tài)勢的變化主要是有SZ-2所決定的。在特定時段內��,SZ-2的變化并未引起SZ-1的態(tài)勢變化而被忽視��。該思想在圖6b中Day3#數(shù)據(jù)中也被驗證�����。
4�、結論
篇(4)
1.2系統(tǒng)數(shù)據(jù)庫利用JSP語言設計校園網(wǎng)站數(shù)據(jù)庫時,可以建立E-R模型����。這種模型既能迎合JSP語言,又能將各個欄目的信息反饋給瀏覽者���。在設計校園網(wǎng)站時�����,可以對各個欄目的信息進行設置����。根據(jù)此模型����,網(wǎng)站設計者就可以給每個項目進行命名����,并編輯相關代碼���,最后將每個項目的代碼綜合起來形成一個大的數(shù)據(jù)庫�?�?梢岳脭?shù)據(jù)代碼將教師職工表編譯成數(shù)據(jù)庫����,例如:IdintPK/NN/UQ主鍵id�����;Tnumchar(13)NN教職工號��;Tnamevarchar(30)NN教師的姓名�����;Ttitlechar(13)NN外鍵教師職稱�;Tmajorchar(30)NN外鍵教師研究的專業(yè)����;Tcollegechar(40)NN外鍵教師所在學院�,這些項目依次為字段名、數(shù)據(jù)類型����、約束、鍵引用�����、備注��。
1.3網(wǎng)站部分功能進行框架設計之后�,已經(jīng)將校園主頁的首頁基本設置完成了。但是為了讓網(wǎng)站能實現(xiàn)更多的功能�,讓校園網(wǎng)站更靈活,網(wǎng)站設計者還要根據(jù)用戶的需求設計出網(wǎng)站的更多功能�����,讓網(wǎng)站總體呈現(xiàn)簡潔����、統(tǒng)一�,但其內容又要十分豐富��。根據(jù)校園網(wǎng)站的特點以及其面對的群體來看�,網(wǎng)站設計者在進行網(wǎng)站設計時應該注重以下幾個功能地設計,例如:圖片展示功能���、用戶登錄及密碼驗證功能�、信息功能��、上傳下載功能�、權限功能等。主要介紹用戶登錄及密碼驗證功能�����。利用JSP計算機語言設計用戶密碼登錄功能時��,應該以保證后臺管理的安全性為首要目標�����。具體設計過程:管理員先對訪問的用戶身份進行驗證���,在用戶輸入正確的用戶名和密碼之后���,才能讓用戶訪問校園網(wǎng)站的重要數(shù)據(jù);如用戶輸入的密碼不正確����,用戶則不能訪問相關數(shù)據(jù),用戶界面便返回到原來的登錄界面����。為了提升網(wǎng)站安全性,避免用戶使用非法的URL登錄�,網(wǎng)站設計者應該在每一個后臺頁面訪問中進行身份認證,以此保證校園網(wǎng)站能夠穩(wěn)定運行�����。
2健康信息網(wǎng)站設計
2.1系統(tǒng)設計原則基于JSP語言設計的健康信息網(wǎng)站與校園網(wǎng)站的建設過程大致相同����,但健康網(wǎng)站的信息量要完全大于校園網(wǎng)站的信息量,同時健康信息網(wǎng)站還應該設立較為完善的人人對話平臺���,以此滿足用戶的基本需求���。那么健康信息網(wǎng)站在進行設計時應該滿足如下設計原則:(1)實用性原則���;(2)先進性原則;(3)開放性原則����;(4)完整性原則;(5)安全可靠性原則�����。
2.2相關代碼以及流程在設計健康信息網(wǎng)站的過程中����,先要對網(wǎng)站的咨詢流程進行設計,進行咨詢流程地設計之后��,就要對網(wǎng)站的數(shù)據(jù)代碼進行設計�。利用JSP語言設計健康信息網(wǎng)站數(shù)據(jù)庫時,可以借鑒上文中校園網(wǎng)站數(shù)據(jù)庫設計�,但是為了讓健康信息網(wǎng)站擁有更高的可移植性�����,就需要設置相關代碼將信息與數(shù)據(jù)庫連接起來��。
篇(5)
2電子政務中安全問題的應對策略
2.1安全意識的培養(yǎng)
安全意識需要從基礎開始培養(yǎng)的,因此對相關的基層人員進行相應的知識培訓��。一般的電子政務的是一個政府機構的官方網(wǎng)站���,而且這些網(wǎng)站的后臺都需要登錄域名和密碼���,還有就是網(wǎng)站的信息等需要登錄后臺或者是需要用戶名才可以,這些就存在入侵空間了��,類似的還有很多���,因此要對基層人員培養(yǎng)安全意識�����,最有用的方法就是向基層人員講解那些方面存在安全隱患�����,并實時對這些基層進行抽查�����,避免他們進行危險操作����。這些都是簡單的從表面上解決問題,但這并不能根除所有的安全隱患�,因此要提高安全性,還要從另外幾個方向上解決根本的問題��。
2.2規(guī)范操作方式
對安全意識的培養(yǎng)��,只是在理論上對基層人員進行了一定程度上的培養(yǎng)�,但是還需要在實際操作上進行培養(yǎng)。這主要包括安全瀏覽��,安全登錄�,安全。安全瀏覽主要是指日常工作在網(wǎng)頁上的安全使用�,要求在使用前進行殺毒處理,檢查是否開啟防火墻�����,不要在非官網(wǎng)上填寫登錄名等�����;安全登錄是指在安全的網(wǎng)絡環(huán)境中登錄賬號����,主要操作為先檢查網(wǎng)絡環(huán)境是否安全,在進行防火墻設置����,最重要的是在登錄賬號之前進行病毒查殺,在進行相關的內容����,或信息瀏覽等,在做完所有的事項之后退出賬號����。這非常重要的一步,有很多基層人員做好了所有的事�,但是最后忘了退出了,就導致賬號信息的泄露�����,這也是很常見的基礎錯誤���,還有一種就是很多人喜歡保存登錄號密碼��,這會在別人用你的電腦時�,可以很輕松的登錄進入相關頁面,并進行違法操作等�。
2.3提高電子政務建設中的技術支持
很多時候不是電子政務的建設上的問題,而是后臺的維護技術不足�,再遇到病毒時,安全維護工具和防火墻技術不足�,導致網(wǎng)站被病毒感染,使不法分子利用�����,從而獲取民眾的信息��,這在一定程度上這也是地方政府的失誤�。在防火墻的技術方面的突破,是需要政府進行招聘的高技術人員��,進行防火墻技術升級�����,網(wǎng)站優(yōu)化等技術方面的改善����。
2.4加強相關人員的保密工作
有的地方政府會把很簡單把電子政務建設的工作簡簡單單的交給一個網(wǎng)絡公司來完成���,在這個過程中就會存在很多的問題�����。因為網(wǎng)站的第一設計者并不是政府人員��,這個在一定程度上就存在很大的安全隱患�,畢竟網(wǎng)站設計過程存在的bug只有網(wǎng)站設計者最為清楚,如果網(wǎng)站設計者將這個網(wǎng)站的設計腳本泄露了��,那么就給了那些不法分子利用的機會��,可以通過網(wǎng)站設計的源代碼來找出設計上的bug�����,借此來來尋找機會攻擊網(wǎng)站�,嚴重的會導致所有的信息泄露。因此為了杜絕這些事項的發(fā)生�����,地方政府在建設網(wǎng)站時����,可以將網(wǎng)站設計的任務交給網(wǎng)絡設計公司�����,但是同時也要和他們簽訂相應的協(xié)議����,一是為防止他們泄露網(wǎng)站設計思路和源代碼�,二是在防止他們私自登錄網(wǎng)站的后臺。還有就是利用政府的網(wǎng)絡技術人員對網(wǎng)站進行修改�,在一定程度上完善網(wǎng)站設計,減少bug��,以減少信息泄露的風險��。
篇(6)
引言:所謂的電子商務�,主要指的是語用用訊的方式進行產(chǎn)品的經(jīng)銷、存貨�����、查詢��、交易����、廣告宣傳以及付款等商業(yè)活動[1]�����。在發(fā)達國家�,電子商務早在20世紀90年代初期的時候就得到了發(fā)展���,并建立了健全的電子商務服務體系。隨著社會經(jīng)濟的快速發(fā)展���,電子商務也成為了21世紀國際貿易的主要形式和發(fā)展趨勢之一�,在推動經(jīng)濟發(fā)展的過程中���,具有重要作用�。就我國來說���,在2013年�����,中國電子商務交易額突破10萬億元���,同比增長26.8%�����。其中網(wǎng)絡零售額超過1.85萬����,有關報告顯示��,我國成為世界最大的網(wǎng)絡零售市場��,超過1.85萬億元的網(wǎng)絡零售交易額相當于社會消費品零售總額的7.8%�����;���,2014年上半年�����,我國電子商務繼續(xù)保持快速發(fā)展的勢頭�,市場規(guī)模不斷擴大��,網(wǎng)上消費群體增長迅速。根據(jù)研究機構初步測算���,上半年我國電子商務交易額約為5.66萬億元�,同比增長30.1%���。電子商務拉動內需��、促進就業(yè)作用明顯�����;移動互聯(lián)網(wǎng)、大數(shù)據(jù)等新一代技術的應用成為電子商務發(fā)展的新熱點�;與此同時,電子商務市場競爭日益激烈��,企業(yè)服務能力和行業(yè)集中度均有提升���;而隨著商務部聯(lián)合多個部委跨境電子商務有關政策���,跨境電子商務正在迎來一個全新的發(fā)展階段[2]。
一����、電子商務網(wǎng)站設計
(一)設計原則
網(wǎng)上交易商品��,不僅需要大量的的數(shù)據(jù)處理����,還需要保證數(shù)據(jù)信息的安全性����,在功能上也要滿足商業(yè)流程。電子商務交易網(wǎng)站和一般的web網(wǎng)站相比��,電子商務網(wǎng)站對數(shù)據(jù)處理���、數(shù)據(jù)傳輸以及數(shù)據(jù)流程方面的要求更高�����,其處理也更為復雜����。因此���,對于電子商務網(wǎng)站的設計���,必須保證其系統(tǒng)的可靠性�、安全性��、經(jīng)濟性����、可拓展性、先進性以及開放性��。其次���,要站在用戶的角度進行分析��。電子商務網(wǎng)站是企業(yè)和各種商品機構開展電子商務的基礎設施和信息平臺,是各種服務對象之間的交互界面����,也是電子商務系統(tǒng)的承擔者和表現(xiàn)者[3]。站在用戶的角度來設計網(wǎng)站���,可以保證電子商務網(wǎng)站的易用性�。
(二)電子商務網(wǎng)站設計概要
關于電子商務網(wǎng)站的設計,是一項復雜的系統(tǒng)工程����,需要企業(yè)對各項業(yè)務流程進行整合,并將外部信息集成���,是一個對網(wǎng)絡信息資源組織�、開發(fā)以及利用的綜合過程����,無論是在商務層面上,還是在設計開發(fā)的技術層面上�����,都面臨著諸多的問題����。
1.對電子商務網(wǎng)站設計模式的分析
一般來說,電子商務主要有兩種模式��,一種是企業(yè)對企業(yè)模式�,即我們常說的B2B模式,另外一種模式就是消費者模式��,即B2C模式。企業(yè)在實際的操作過程中���,一般都是將兩種模式結合使用�����,因此���,在對模式進行設計的過程中,需要根據(jù)企業(yè)的實際需要進行設計�����。
2.電子商務功能設計的分析
在分析客戶和企業(yè)需求的基礎上�����,還要對商務網(wǎng)站的設目標�����、業(yè)務流程等進行詳盡的了解很分析��,明確系統(tǒng)是否能夠滿足客戶的需求�����,從而確定目標系統(tǒng)的功能設計�����。一般來說�,對于電子商務網(wǎng)站需要滿足一下幾個功能:第一、企業(yè)的形象宣傳�����,第二��、產(chǎn)品和服務項目展示�����,第三�、商品和服務訂購,第四�、轉帳與支付、運輸��,第五��、信息搜索與查詢,除此以外�,還要有客戶信息管理模塊、銷售業(yè)務信息管理模塊以及新聞�、供求信息等模塊。
3.電子商務網(wǎng)站的結構設計
關于電子商務的結構設計����,目前有多重類型,可以分為三層�,第一層為表現(xiàn)層,第二層為商務層��,第三層為數(shù)據(jù)層�。
二、電子商務的管理設計
對于電子商務網(wǎng)站的管理��,包含多個方面的內容��,其管理質量的高低���,直接關系到了商務電子網(wǎng)站的正常運行和運行的安全性�,因此�,應該對電子商務系統(tǒng)管理引起重視?���?偟膩碚f,電子商務網(wǎng)站管理主要包含以下幾個部分:
第一�、系統(tǒng)管理。系統(tǒng)管理主要就是對系統(tǒng)中的軟件管理�、硬件管理、文件傳輸管理�����、電子郵件系統(tǒng)管理���、支付系統(tǒng)管理�����、數(shù)據(jù)庫系統(tǒng)管理等��。
第二���、應用管理。所謂的應用管理����,主要指的是對實現(xiàn)網(wǎng)站功能的軟件進行管理��,包括個性化服務管理����,購物車管理以及聊天室管理等主要內容�����。
第三��、內容管理���。內容管理主要指的就是集約業(yè)務的管理����。網(wǎng)站內容管理是電子商務網(wǎng)站管理的核心內容����,是確保電子商務網(wǎng)站有效運行的基本手手段。其包含了在線購物管理����、在線支持管理以及客戶信息管理等內容。
第四���、安全管理���。安全管理主要負責的就是針對網(wǎng)站中的安全威脅因素采取有效的管理措施,解決網(wǎng)站系統(tǒng)中的安全問題����,確保系統(tǒng)運行的安全性。主要包括網(wǎng)絡安全管理��、應用安全管理以及數(shù)據(jù)庫安全管理三個方面的內容�����。
目前���,關于電子商務的管理模式有很多��,智能結構模式管理是其管理發(fā)展的主要方向�����。采用智能管理的模式�����,可以將管理內容結構化���,并完善各種管理流程��,實現(xiàn)遠程辦公確保信息來源的質量�����,再通過一系列智能化的手段�����,提供信息相關的商貿信息��,實現(xiàn)電子商務網(wǎng)站的智能管理�����,也能實現(xiàn)動態(tài)信息的發(fā)送�。
參考文獻:
[1] 閔惜琳.人工神經(jīng)網(wǎng)絡結合遺傳算法對網(wǎng)站開發(fā)優(yōu)化的應用[J].系統(tǒng)工程���,2011�,25(2):22-26.
[2] 梁姝.基于云計算技術的電子商務平臺的設計與實現(xiàn)[D].黑龍江大學,2012.
[3] 杜成昊.利用軟件工程基本原理進行電子商務網(wǎng)站設計[J].湖北師范學院學報(自然科學版)�,2006,26(3):84-88.
[4] 嚴莉.多元化教學模式在《電子商務網(wǎng)站設計與管理》中的應用[J].科技信息����,2011,(35):1081���,1108.
[5] 田博,覃正.B2C電子商務中的在線信任分析及其在網(wǎng)站設計中的應用[J].科技管理研究��,2011�,28(7):422-424.
篇(7)
一、引言
網(wǎng)絡技術的不斷成熟和發(fā)展����,促進了基于網(wǎng)絡技術的校園網(wǎng)站的發(fā)展。校園網(wǎng)站開發(fā)是一項很復雜的工作�,我校根據(jù)學校實際,確定網(wǎng)站的定位和需求�,從軟件工程的角度出發(fā),針對學校網(wǎng)站建設的特點和重點���,整理出一套適合學校網(wǎng)站建設管理和控制的方法����,以此來保證網(wǎng)站建設的高效率、高質量�����。
二���、網(wǎng)站立項
校園網(wǎng)站建設��,要成立一個專門的項目小組:學校領導�����、學校網(wǎng)絡管理員���、美術教師、各科室人員��、計算機專業(yè)教師等8人~9人以及“計算機學會”社團學生代表5人組成��,由網(wǎng)絡管理員作為項目負責人負責對該項目的統(tǒng)一調度和安排��。
三�、網(wǎng)站設計開發(fā)過程
(一)系統(tǒng)分析階段
建立一個網(wǎng)站�,首要明確設計思想��,編寫一份詳盡的需求說明書�����,這是網(wǎng)站建設成功的關鍵所在���。
我校根據(jù)各方面的反饋意見進行認真的分析�����,對網(wǎng)站設計進行準確定位:學校網(wǎng)站規(guī)劃要著重考慮教師和學生的需求;內容上要以學校整體宣傳為主�����,同時也要為訪問者提供其所關心的內容��;內容要求及時更新�����;版面要求新穎有特色����,同時還要增強網(wǎng)站的方便性��、整體性和安全性��。
(二)系統(tǒng)設計階段
1.網(wǎng)站總體設計
網(wǎng)站設計有了一份詳盡的需求說明書后��,就可以根據(jù)需求說明書����,對網(wǎng)站進行總體規(guī)劃��,給出一份網(wǎng)站總體建設方案����。總體規(guī)劃具體要明確網(wǎng)站需要實現(xiàn)的目的和目標����;網(wǎng)站形象說明;網(wǎng)站的欄目版塊和結構���;網(wǎng)站內容的安排��,相互鏈接關系��;使用軟件�����、硬件和技術分析說明��;開發(fā)時間進度表���;維護方案����;制作費用�����;需要遵循的規(guī)則和標準有哪些等����。
2.網(wǎng)站詳細設計
總體設計階段以比較抽象概括的方式提出解決問題的辦法��,具體設計階段的任務就是把解決方法具體化�、明確化,設計中應注意的問題有:
(1)網(wǎng)站設計的風格定位�。網(wǎng)站要有自己的特色��,設計中不要太多地考慮技術問題�,而應該更多地考慮不斷增加網(wǎng)站的內涵���,要在能夠動態(tài)反映學校情況的內容上下功夫�。
(2)網(wǎng)站設計的整體性����。網(wǎng)站設計,注意考慮網(wǎng)站的易維護性�����,技術上多采用CSS�、模板等,對網(wǎng)站的整體風格進行定位����,方便日常維護與更新。
(3)關鍵技術的研究及應用���。網(wǎng)站設計中���,怎樣防黑�����,保護網(wǎng)站內容不被別人竊取���、修改是網(wǎng)站建設必須考慮的技術性問題。本人主要從IIS�、ASP和Access三方面來總結網(wǎng)站系統(tǒng)面臨的常見的安全威脅及解決方法。
①集中管理ASP的目錄�,設置訪問權限。在設置WEB站點時�����,將HTMI文件同ASP文件分開放置在不同的目錄下�����,然后將HTML子目錄設置為“讀”��;將ASP子目錄設置為“執(zhí)行”���。
②對IIS中的特殊Web目錄禁止匿名訪問并限制IP地址。對IIS中的sample�����、scripts、iisadmin等web目錄�,通過各目錄屬性對話框中的“目錄安全性”標簽設置為禁止匿名訪問并限制IP地址,并用NTFS的特性設置詳細的安全權限����,除了Administrator,其它帳號都應該設置為只讀權限����。
③防止Access數(shù)據(jù)庫被下載。有效地防止數(shù)據(jù)庫被下載的方法有:非常規(guī)命名法:為Access數(shù)據(jù)庫文件取一個復雜的非常規(guī)名字���,并把它放在幾層目錄下�;使用ODBC數(shù)據(jù)源:在ASP程序設計中�,如果有條件,應盡量使用ODBC數(shù)據(jù)源�,不要把數(shù)據(jù)庫名寫在程序中。
④進行數(shù)據(jù)備份���。運用FSO組件對Access數(shù)據(jù)庫進行備份��,以便在數(shù)據(jù)被破壞時進行快速恢復,盡可能多地挽回損失��。
⑤對ASP頁面進行加密�。為了有效地防止ASP源代碼泄露,可以對ASP頁面進行加密����。加密的方法一般有兩種:一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。
⑥后臺用戶注冊驗證����。為了防止后臺用戶未經(jīng)注冊的用戶繞過注冊界面直接進入應用系統(tǒng),我們采用Session對象進行注冊驗證:<%UserID=Request(“UserID”)
‘讀取使用者所輸入的用戶名和密碼
Password=Request(“Password”)
IfUserID<>“hrmis”O(jiān)rPassword<>“password”Then
Response.Write“用戶名錯誤!”
Response.End
EndIf
‘將Session對象設置為通過驗證狀態(tài)
Session(“Passed”)=True%>
進入應用程序后,首先進行驗證:
<%‘如果未通過驗證,返回Login.asp頁面登陸狀態(tài)
IfNotSession(“Passed”)ThenResponse.Redirect“Login.asp”
EndIf%>
⑦讓學生參與網(wǎng)站設計�。優(yōu)秀學生參與設計,無論對豐富網(wǎng)站內容���、提高學校網(wǎng)站的點擊率還是擴大學校網(wǎng)站的影響都能起到相當大的作用�。
(三)網(wǎng)站測試
有了網(wǎng)站的具體設計方案�����,各網(wǎng)站制作人員就可以全力進入開發(fā)階段�。盡量采用邊制作邊調試,即采用本機調試和上傳服務器調試的方法�����,觀察速度�、兼容性、交互性等����。
投入運行之前,需對網(wǎng)站需求分析����、系統(tǒng)分析、設計規(guī)格說明和編碼最終復審����,還要對系統(tǒng)進行各種綜合測試。測試結束后����,制作有關文檔存檔,并寫出一個校園網(wǎng)站使用說明文檔��。至此����,網(wǎng)站項目建設完畢。
(四)網(wǎng)站的管理和更新
做好網(wǎng)站的管理與更新,是一個網(wǎng)站樹立形象的根本��、生存的根本��。我校專門成立了安全組織機構����,制定出適合我校的《校園網(wǎng)站管理辦法》、《校園網(wǎng)站信息審核制度》�����、《校園網(wǎng)站異常情況案件報告制度》等規(guī)定�,建立健全了各項安全管理制度。
四��、結論
我校網(wǎng)站已經(jīng)試運行一段時間��,為學校的教師�����、學生和教學管理人員提供教學管理��、教學研究����、日常辦公���、信息交流等應用服務的平臺,較好地滿足了設計最初的需求���。在整個設計網(wǎng)站的過程中,重視學校網(wǎng)站的“規(guī)劃—設計—管理—發(fā)展”的規(guī)律�����,實現(xiàn)可持續(xù)性發(fā)展�。
參考文獻:
[1]田原.高職院校校園網(wǎng)站主頁設計探討[J].十堰職業(yè)技術學院學報,2007����,(7).
[2]方照.立足校本,探索校園網(wǎng)建設之路[J].教育信息技術�����,2007���,(12).
[3]田建勇.淺析學校網(wǎng)站的設計與建設[J].安順師范高等?�?茖W校學報���,2006����,(6).
篇(8)
中圖分類號:TP393.092 文獻標識碼:A 文章編號:1007-9416(2017)04-0161-01
1 精品課程網(wǎng)站概述
精品課程網(wǎng)站本質上來說是將課程轉換為電子版����,屬于信息資源庫的一種。它能否對課堂教學以及教材中的內容進行擴展和補充��。通過網(wǎng)上平臺能否實現(xiàn)教學資源的共享和更新�,便于學生間以及學生和教師之間的交流和學習。另外��,還可通過測試����、教學評價等方法豐富教學內容和形式,并能對教學狀況和成果進行反饋���,使教師結合具體情況及時對教學內容和進度進行調整�。將精品課程網(wǎng)站應用到教學工作中�,可發(fā)揮多方面的優(yōu)勢�����。
2 Java技術支持下精品課程網(wǎng)站設計與開發(fā)
2.1 設計目標
實現(xiàn)功能的擴展是運用Java技術進行精品課程網(wǎng)站設計的主要目標���,追求網(wǎng)站W(wǎng)eb框架實用性和高效性的統(tǒng)一,且便于對其進行維護���。精品課程網(wǎng)站設計過程中還需要考慮的另一重要因素則是數(shù)據(jù)的安全����。為避免客觀因素���,系統(tǒng)故障等對數(shù)據(jù)造成損壞,可采用遠程實時快照等方式做好備份工作���,防止數(shù)據(jù)丟失���。
對于數(shù)據(jù)操作來說,其設計重點應放在客戶端Web遭受垃圾攻擊如何保障其安全上���。在對精品課程網(wǎng)站進行管理的過程中����,需要建立后臺管理系統(tǒng),對瀏覽器進行實時維護�,便于用戶利用瀏覽器π畔⒔行、更新課程內容以及完成其它操作�。對于信息的自主來說,需要設計好網(wǎng)站的信息審核功能���,確保所的信息安全����、合理���。
2.2 設計原則
精品課程教學需求是網(wǎng)站設計和開發(fā)的原則����,精品課程網(wǎng)站的設計需要既能與教學目標相適應����,又能保障其服務質量的提升,便于學生對信息的查找和課程的學習���。精品課程網(wǎng)站的服務對象是教師以及學生�,其主要功能在于對教學工作進行輔助,在對精品課程網(wǎng)站進行設計的過程中����,還應以信息的更新、網(wǎng)站管理更為方便為原則����。
2.3 技術手段
B/S在精品課程網(wǎng)站W(wǎng)eb系統(tǒng)中發(fā)揮著十分重要的作用?;贘ava技術對精品課程網(wǎng)站進行設計和開發(fā)時,需要綜合運用Tomcat等多種技術��,才能使網(wǎng)站功能得以擴展�,以下是對精品課程網(wǎng)站設計開發(fā)過程的技術手段的分析:首先���,可利用Java語言初步完成對客戶端數(shù)據(jù)的認證�����,并對信息進行過濾��。其次��,為了確保安全��,可以利用用戶名以及密碼機制保障登錄的安全性���,還可結合不同用戶對其權限進行限定���,利用MDA技術完成信息的加密,避免用戶信息泄漏����。最后,需要充分掌握Web運行環(huán)境�,特別是Tomcat安全設置相關問題,并了解其操作功能�����。另外����,需要將Java語言以及ECIIPse集成開發(fā)平臺結合起來完成精品課程網(wǎng)站建設的開發(fā)與設計。
2.4 數(shù)據(jù)庫設計
要確保數(shù)據(jù)庫的完整性�����,全面覆蓋各類資料。具體來說�����,需包含學生信息����、試題庫、學生自我測試成績等�。
2.5 登錄功能設計
對于登錄功能的設計來說,需要綜合考慮教師��、學生和管理員三個群體����。用戶利用賬戶名及密碼完成登錄,若需要修改基本信息或登錄密碼需完成相應的驗證���。若通過身份驗證之后�����,證明登錄用戶身份為學生,則其在網(wǎng)站上的權限可包括交流互動����、課程學習等方面�����,并可執(zhí)行相應操作�����。若驗證后登錄用戶身份為教師�,則其權限可包括課程上傳���、信息查詢���、課程討論等。若驗證后登錄用戶身份為管理員�����,則其在網(wǎng)站上的權限可以包括對網(wǎng)站試題的管理����、維護網(wǎng)站公告信息等。
2.6 公告欄設計
精品課程網(wǎng)站公告欄主要由管理員進行維護�,其對公告欄實行管理,權限還該對公告欄內容的設定、上傳��、刪除等����。具體步驟為:驗證管理員身份,成功登錄網(wǎng)站�,選選種所要修改的內容,然后便可對該部分內同進行修改���。若公告欄內容以及失去作用����,則需要刪除該部分內容�����。操作方法為:首先登錄網(wǎng)站頁面����,選中需刪除內容,然后執(zhí)行刪除操作��。
3 結語
信息技術和計算機技術的進步�,使得其在各領域中的應用越來越普遍?�;谛畔⒓夹g的發(fā)展�����,精品課程網(wǎng)站應運而生�,并逐漸成為教學方法改革的一大趨勢。將Java技術和精品課程網(wǎng)站的設計和開發(fā)結合起來�����,成為新的研究熱點�����。本文在對網(wǎng)站設計目標以及原則進行分析的基礎之上��,提出將Java技術應用于精品課程網(wǎng)站設計和開發(fā)中具體方法��,主要包括數(shù)據(jù)庫����、登錄功能、公告欄三個方面����,使精品課程網(wǎng)站具備在線學習��、交流互動��、答疑解難���、自我測評等多方面的功能,為教學工作的開展提供便利��。
參考文獻
篇(9)
網(wǎng)絡技術不斷成熟和發(fā)展�����,促進了基于網(wǎng)絡技術的網(wǎng)站的發(fā)展���。網(wǎng)站開發(fā)是一項很復雜的工作���,我校根據(jù)學校實際,確定網(wǎng)站的定位和需求���,從軟件工程的角度出發(fā)���,針對學校網(wǎng)站建設的特點和重點�,整理出一套適合學校網(wǎng)站建設管理和控制的方法����,以此來保證網(wǎng)站建設的高效率���、高質量��。
一�、基于ASP的動態(tài)網(wǎng)站建設概述
(一)動態(tài)的概念
所謂動態(tài)��,并不是指那兒個放在網(wǎng)頁上的GIF動態(tài)圖片���,在這里是為動態(tài)頁面的概念制定了以下兒條規(guī)則:
1.交互性���,即網(wǎng)頁會根據(jù)用戶的要求和選擇而動態(tài)改變和響應,將瀏覽器作為客戶端界面�����,這將是今后WEB發(fā)展的大勢所趨��。
2.自動更新�����,即無須手動地更新HTML文檔,便會自動生成新的頁面�����,可以大大節(jié)省工作量����。
3.因時因人而變,即當不同的時問�、不同的人訪問同一網(wǎng)址時會產(chǎn)生不同的頁面。
(二)ASP的概念及特點
Microsoft Active Server Pages即我們所稱的ASP����,其實是一套微軟開發(fā)的服務器端腳本環(huán)境,ASP內含于IIS3.0和4.0之中�����,通過ASP我們可以結合HTML網(wǎng)頁�����,ASP指令和ActiveX元件建立動態(tài)���、交互��、高效的WEB服務器應用程序����。有了ASP你就不必擔心客戶的瀏覽器是否能運行你所編寫的代碼�,因為所有的程序都將在服務器端執(zhí)行,包括所有嵌在普通HTML中的腳本程序�。當程序執(zhí)行完畢后,服務器僅將執(zhí)行的結果返回給客戶瀏覽器���,這樣也就減輕了客戶端瀏覽器的負擔��,大大提高了交互的速度�����。以下羅列了Active Server Pages所獨具的一些特點:
1.使用VBScript JScript等簡單易懂的腳本語言����,結合HTML代碼�����,即可快速地完成網(wǎng)站的應用程序。
2.無須Compile編譯��,容易編寫���,可在服務器端直接執(zhí)行����。
3.使用普通的文本編輯器�,如Window、的記事本�����,即可進行編輯設計�����。
4.與瀏覽器無關(Br+wser In
5.Active Server Pages能與任何AotiveX scripting語言相容����。除了可使用V BSoript或JSoript語言來設計外,還通過plug-in的方式����,使用由第三方所提供的其他腳本語言�����,譬如REXX�,Perl���,Tol等�����。腳本引擎是處理腳本程序的COM(Component Object Model)物件。
6.Active Server Pages的源程序��,不會被傳到客戶瀏覽器�,因而可以避免所寫的源程序被他人票J竊,也提高了程序的安全性���。
7.可使用服務器端的腳本來產(chǎn)生客戶端的腳本����。
8.物件導向(Objerient-ed)��。
9.AotiveX Server Components
(AotiveX服務器元件)具有無限可擴充性?����?梢允褂肰isual Basic�����,Java VisualC++����,Cobol等編程語言來編寫你所需要的AotiveX Server Component。
二����、ASP程序設計安全技術
Asp程序設計的安全主要涉及三個方面:Asp源代碼的安全、Asp程序設計的安全和數(shù)據(jù)庫安全�。
(一)ASP源代碼的安全
1.保證ASP源碼的安全的主要技術是Asp腳本加密技術。常用方法有兩種:一是ASP2DLL技術���。其基本思想是利用VB6.0提供的Activexdll對象將Asp代碼進行封裝��,編譯為DLL文件���,在Asp程序中調用該DLL文件���。二是利用微軟提供的Script Encoder加密軟件對Asp頁面進行加密。
2.置合適的腳本映射���。應用程序的腳本映射保證了Web服務器不會意外地下載Asp文件的源代碼���,但不安全或有錯誤的腳本映射易導致Asp源代碼泄漏。因此�,應將用不到的有一定危險性的腳本映射刪掉(如*.htr文件及*.htw,*.ida�,*.idq等索引文件)。
(二)程序設計中的安全
1.用戶名�����、口令機制�����。用戶名�����、口令是最基本的安全技術�,在Asp中常采用Form表單提交用戶輸入的帳號和密碼,與用戶標識數(shù)據(jù)庫中相應的字段進行匹配����,在必要的場合可以使用MD5算法來加密用戶輸入的密碼,可以保證在線路被竊聽的情況下依然保證數(shù)據(jù)的安全���,保護用戶口令的安全���。
2.注冊驗證。為了網(wǎng)站資源的安全性和易于管理���,可以對用戶進行分級���,給定權限,使特定用戶訪問特定的資源群��,也可以阻止未授權用戶使用網(wǎng)站的資源�����,這就需要對用戶進行注冊驗證操作��。在ASP中��,我們可以利用Session對象和Http頭信息來實現(xiàn)此類安全控制。當訪問者通過身份驗證頁面后����,就把Session對象的Sessionid屬性作為一個Session變量存儲起來,當訪問者試圖導航到一種有效鏈接的頁面時���,可將當前的Sessionid與存儲在Session對象中的ID進行比較����,如果不匹配���,則拒絕訪問�����。如在Session(“id”)中保存著第一次鏈接的Sessionid���,’拒絕訪問。
3.網(wǎng)頁過期管理���。考慮到有可能用戶在使用網(wǎng)頁的過程中���,有可能會長時間離開計算機處理別的事情�,這樣會給別有用心的人有可乘之機,所以應該給網(wǎng)頁一個過期時間�����。這樣不僅保證了用戶的安全�,也可以減少服務器的鏈接數(shù),減少服務器壓力����。可以使用session.timeout=時間�����,過了這么長時間網(wǎng)頁就失效了���,前提是你用一個session值來判斷登錄狀態(tài)如session.timeout=20���。
三、基于ASP的動態(tài)網(wǎng)站設計開發(fā)過程
(一)系統(tǒng)分析階段
建立一個網(wǎng)站�����,首要明確設計思想,編寫一份詳盡的需求說明書����,這是網(wǎng)站建設成功的關鍵所在。
根據(jù)各方面的反饋意見進行認真的分析���,對網(wǎng)站設計進行準確定位:網(wǎng)站規(guī)劃要著重考慮顧客的需求�����;內容上要以工作內容為主�����,同時也要為訪問者提供其所關心的內容����;內容要求及時更新�;版面要求新穎有特色,同時還要增強網(wǎng)站的方便性��、整體性和安全性��。
(二)系統(tǒng)設計階段
1.網(wǎng)站總體設計
網(wǎng)站設計有了一份詳盡的需求說明書后,就可以根據(jù)需求說明書����,對網(wǎng)站進行總體規(guī)劃�,給出一份網(wǎng)站總體建設方案?����?傮w規(guī)劃具體要明確網(wǎng)站需要實現(xiàn)的目的和目標�;網(wǎng)站形象說明;網(wǎng)站的欄目版塊和結構�����;網(wǎng)站內容的安排�,相互鏈接關系;使用軟件���、硬件和技術分析說明����;開發(fā)時間進度表��;維護方案��;制作費用;需要遵循的規(guī)則和標準有哪些等����。
2.網(wǎng)站詳細設計
總體設計階段以比較抽象概括的方式提出解決問題的辦法,具體設計階段的任務就是把解決方法具體化�����、明確化�����,設計中應注意的問題有:
(1)網(wǎng)站設計的風格定位���。網(wǎng)站要有自己的特色��,設計中不要太多地考慮技術問題����,而應該更多地考慮不斷增加網(wǎng)站的內涵�����,要在能夠動態(tài)反映情況的內容上下功夫。
(2)網(wǎng)站設計的整體性��。網(wǎng)站設計�,注意考慮網(wǎng)站的易維護性,技術上多采用CSS����、模板等�,對網(wǎng)站的整體風格進行定位,方便日常維護與更新��。
(3)關鍵技術的研究及應用��。網(wǎng)站設計中�����,怎樣防黑�����,保護網(wǎng)站內容不被別人竊取�、修改是網(wǎng)站建設必須考慮的技術性問題。主要從IIS����、ASP和Access三方面來總結網(wǎng)站系統(tǒng)面臨的常見的安全威脅及解決方法���。
①集中管理ASP的目錄,設置訪問權限�����。在設置WEB站點時����,將HTMI文件同ASP文件分開放置在不同的目錄下,然后將HTML子目錄設置為“讀”���;將ASP子目錄設置為“執(zhí)行”���。
②對IIS中的特殊Web目錄禁止匿名訪問并限制IP地址。對IIS中的sample�����、scripts���、iisadmin等web目錄����,通過各目錄屬性對話框中的“目錄安全性”標簽設置為禁止匿名訪問并限制IP地址,并用NTFS的特性設置詳細的安全權限���,除了Administrator�����,其它帳號都應該設置為只讀權限。
③防止Access數(shù)據(jù)庫被下載���。有效地防止數(shù)據(jù)庫被下載的方法有:非常規(guī)命名法:為Access數(shù)據(jù)庫文件取一個復雜的非常規(guī)名字���,并把它放在幾層目錄下;使用ODBC數(shù)據(jù)源:在ASP程序設計中��,如果有條件����,應盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名寫在程序中���。
④進行數(shù)據(jù)備份����。運用FSO組件對Access數(shù)據(jù)庫進行備份,以便在數(shù)據(jù)被破壞時進行快速恢復�,盡可能多地挽回損失。
⑤對ASP頁面進行加密���。為了有效地防止ASP源代碼泄露����,可以對ASP頁面進行加密����。加密的方法一般有兩種:一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的Script Encoder對ASP頁面進行加密�����。
⑥后臺用戶注冊驗證�����。為了防止后臺用戶未經(jīng)注冊的用戶繞過注冊界面直接進入應用系統(tǒng)�,我們采用Session對象進行注冊驗證:
‘讀取使用者所輸入的用戶名和密碼
Password = Request(“Password”)
IfUserID “hrmis” Or Password “password” Then
Response.Write“用戶名錯誤!”
Response.End
End If
‘將Session對象設置為通過驗證狀態(tài)
Session(“Passed”) = True %>
進入應用程序后,首先進行驗證:
If Not Session(“Passed”)Then Response.Redirect“Login.asp”
End If %>
(三)網(wǎng)站測試
有了網(wǎng)站的具體設計方案���,各網(wǎng)站制作人員就可以全力進入開發(fā)階段���。盡量采用邊制作邊調試����,即采用本機調試和上傳服務器調試的方法�����,觀察速度�、兼容性、交互性等��。
在整個設計網(wǎng)站的過程中���,重視網(wǎng)站的“規(guī)劃—設計—管理—發(fā)展”的規(guī)律,實現(xiàn)可持續(xù)性發(fā)展���。動態(tài)網(wǎng)站設計與實現(xiàn)是目前網(wǎng)頁設計的主流和時尚技術����。其基本技術由基于客戶端的編程和基于服務器端的編程兩部分組成�??蛻舳说木幊陶Z言一般:是采用Javascript腳本語言�����。而采用VBScript腳本語言結合ASP技術(Active Server Pages)來開發(fā)服務器端的內容�����,可以很好地實現(xiàn)網(wǎng)站網(wǎng)頁豐富的動態(tài)效果��。
參考文獻
篇(10)
1.1電子商務中消費者追求簡單化的購買過程
消費者在網(wǎng)上購物的過程越來越追求簡單�、方便、快捷��,他們希望花費最少的時間和金錢來獲得自己所需要的商品�。拿傳統(tǒng)的銷售模式來說,消費者在購買之前一定會經(jīng)過各種思考���、權衡����,才能決定是不是購買或者怎么購買自己所需要的商品����。對于電子商務來說�,必要的站內導航設計���,可以讓消費者在網(wǎng)站上尋找商品的時間大大縮短�,消費者只要在網(wǎng)站上輸入關鍵字就可以搜索到滿意的商品�����,找不到自己需要商品的消費者幾乎不再存在�����。隨著電子商務的不斷發(fā)展�����,可以滿足消費者對購買行為便捷化的要求�,網(wǎng)上購物已經(jīng)實現(xiàn)了消費者便利的購買自己所需要的商品目的��。購物網(wǎng)站上的搜索工具在這里就顯得尤為重要�,趨于簡單化、方便化的網(wǎng)購離不開站內的搜索工具�,因此在網(wǎng)站設計的時候,網(wǎng)站內部的搜索工具必不可少�,而且��,消費者隨著網(wǎng)購使用年限的增長�,網(wǎng)購用戶尋找商品的搜索的方式也會逐步的從通用型的一般搜索轉為專業(yè)化的站內搜索�,雖然只是一個小小的轉變,但是這給公司銷售帶來的利潤是十分可觀的�����。
1.2電子商務交易下消費者的購買頻繁化
消費者在網(wǎng)上可以獲得比傳統(tǒng)的購物模式更多的關于商品信息�,因此,在某種程度上說��,網(wǎng)上購物更能吸引消費者���。消費者獲得更多的關于商品質量��、價格等方面的信息�����,就會有了更多的選擇機會����,更多的購買途徑,為購買商品而產(chǎn)生的各種費用也可以得到相應的減少��,也就是減少了購買的成本�����。電子商務中網(wǎng)購用戶的網(wǎng)購次數(shù)趨于頻繁化����,說明了消費者已經(jīng)不再局限于過去傳統(tǒng)的購物方式,開始接受更加便捷�、更加簡單的電子商務交易。這主要是由于電子商務帶給消費者諸多的便利�,越來越多的消費者會更加傾向于網(wǎng)上購物。另一方面��,隨著我國網(wǎng)民規(guī)模持續(xù)增加�����,每年都會有不斷的新網(wǎng)民進入網(wǎng)民群體���,成為網(wǎng)購群體的新一代主體,因此����,中國的電子商務有著巨大的潛在市場�。電子商務可以更大程度的滿足消費者的各種不同的需求����,電子商務交易下的網(wǎng)購正成為一種難以忽視的潮流,中國網(wǎng)購用戶的網(wǎng)購次數(shù)頻繁化也就不足為奇了�。
1.3電子商務交易下消費者的購買行為個性化凸顯
在過去的傳統(tǒng)的銷售模式中,許多企業(yè)都會針對消費者的不同特征���,為不同的消費者提供滿足其個性需求的產(chǎn)品和服務�?�?墒怯捎趥€體消費者和目標企業(yè)之間的溝通存在著或大或小的障礙�,盡管企業(yè)會采取多種方式的去調研,研究消費者的消費行為��、消費心理�����,可是企業(yè)仍舊無法直接了解消費者的需求�����,消費者所追求的個性需求也就沒有辦法法直接傳達給企業(yè),這種情況下�����,消費者的個性需求也就得不到很好的滿足����。電子商務的不斷發(fā)展卻給了企業(yè)與消費者之間直接溝通的機會,消費者和商家之間的距離越來越近��,商家可以通過網(wǎng)路對消費者進行深入的了解��。這個時候的消費者不再是傳統(tǒng)模式下的被動的接受企業(yè)的產(chǎn)品����,而是自動的尋找符合自己需求的產(chǎn)品。在電子商務交易下�,消費者可以直接向商家提出自己的個性需求,企業(yè)可以按照顧客的需求設計出符合消費者個性需求的商品�����。電子商務交易下網(wǎng)購網(wǎng)站的不斷發(fā)展壯大使得消費者不再被局限于在有限的網(wǎng)站進行購物�����,而是根據(jù)自己需求以及個性選擇合適的網(wǎng)站進行購物與消費。
二�����、網(wǎng)站設計對電子商務中消費者網(wǎng)上購買行為影響的主要因素
2.1網(wǎng)站頁面的設計及視覺效果影響消費者的行為
開展電子商務中在“注意力經(jīng)濟”時代�,網(wǎng)頁的設計風格以及網(wǎng)頁的視覺效果都是影響顧客購買行為以及消費者滿意程度的主要因素��,如果消費者對網(wǎng)頁都不滿意�����,那么愿意在網(wǎng)頁上停留的時間會大打折扣�,更談不上購物的興趣,網(wǎng)頁的設計應該在體現(xiàn)企業(yè)文化和企業(yè)經(jīng)營理念的同時���,滿足訪問者的需求迎合消費者的消費心理�����,進一步理解消費者的消費行為�,在此基礎上設計出一個合理有效的網(wǎng)頁界面���,達到促進銷售的目的����。
2.2產(chǎn)品的價格優(yōu)勢在網(wǎng)站設計中的突出地位
現(xiàn)實中的世界并不是一個完全競爭的市場,現(xiàn)實的市場最明顯的特征是壟斷����、寡頭和壟斷競爭,因此決定商品價格的主體僅僅是那些具有壟斷性質的大企業(yè)����。但是互聯(lián)網(wǎng)的出現(xiàn),打破了這種局面����,創(chuàng)造了一個完善的市場機制。因為在互聯(lián)網(wǎng)中��,與傳統(tǒng)的營銷模式相比��,各種信息具有相對的透明性�����、完全性和平等性的特點��,消費者的選擇權由此得到了極大的提高�����,購買交易的過程也編的更加的直接。另外����,大多數(shù)的消費者對互聯(lián)網(wǎng)中的電子商務交易有一個免費的心理預期�,電子商務交易下的互聯(lián)網(wǎng)市場和傳統(tǒng)營銷市場相比,營銷活動中的中間費用和一些額外的產(chǎn)品信息介紹費用可以被相應的減少���,產(chǎn)品的成本和銷售費用大大降低����,也就是說產(chǎn)品的價格相對較低�。相對而言,電子商務交易既然擁有這么大的優(yōu)勢����,在網(wǎng)站設計的時候,就不得不將此類的信息放在重要顯眼的突出位置����。
2.3網(wǎng)站設計時加強對電子商務中網(wǎng)絡的安全性和可靠性
當前網(wǎng)上購物出現(xiàn)問題的主要障礙就是:安全性和可靠性。網(wǎng)絡的安全性和可靠性就是指網(wǎng)絡數(shù)據(jù)存儲和提取的安全�����、個人隱私、操作權限的安全等�����。就目前來說�,國內大多數(shù)網(wǎng)購網(wǎng)站的安全性還有待提高,網(wǎng)購用戶不敢使用自己的信用卡支付�����,擔心賬戶和密碼會被竊取�����。另外一個方面是有網(wǎng)絡購物的特點決定的���,網(wǎng)絡購物一般需要先付款后送貨��,這樣的購買方式���,就更決定了消費者對網(wǎng)絡購物安全性及其可靠性的擔心。因此��,在網(wǎng)站設計的時候,應該體會到消費者的擔心��,打消消費者的消費顧慮�,在消費者進行支付的時候,可以溫馨提示����,系統(tǒng)的安全性有保障,消費者可以安全的使用����,不會出現(xiàn)賬戶及密碼被盜的情況����。
