时间:2023-03-23 15:18:53
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网站安全论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
本文首先介绍了网络与网站安全的隐患,其中包括常见的网络安全隐患和网站自身经常出现的安全隐患,之后作者从简要介绍了网络安全的防御问题,并详细介绍了网站自身的安全防御。
关键字:网站安全性管理
Abstract
Thisarticlefirstintroducedthenetworkandthewebsitesecurityhiddendanger,thesecurityhiddendangerwhichappearsfrequentlyincludingthecommonnetworksecurityhiddendangerandwebsiteitself,afterwardstheauthorbrieflyintroducedthenetworksecuritydefense,andintroducedwebsiteownsafedefenseindetail.
一、前言
随着计算机信息技术的高速发展,人们的生活、工作越来越依赖互联网上的信息和信息获取,但是人们却时刻被信息网络的安全隐患所困扰,越来越多的人也开始了关于网络、网站的安全性管理研究。
网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。网站安全的主要目标就是要稳妥地确保经由网站传达的信息总能够在到达目的地时没有任何增加、改变、丢失或被他人非法读取。要做到这一点,必须保证网站系统软件、数据库系统其有一定的安全保护功能,并保证网站部件如终端、数据链路等的功能不变而且仅仅是那些被授权的人们可以访问。
网站安全目前已发展成为一个跨学科的综合性学科,它包括通信技术、网站技术、计算机软件、硬件设计技术、密码学、网站安全与计算机安全技术等,网站安全是在攻击与防范这一对矛盾相互作用的过程中发展起来的。新的攻击导致必须研究新的防护措施,新的防护措施又招致攻击者新的攻击,如此循环反复,网站安全技术也就在双方的争斗中逐步完善发展起来。
二、网络与网站安全隐患概述
目前影响网站安全的问题主要来自于网络的不安全性,所以在这个意义上讲,网站的安全漏洞其实也就是网络的安全漏洞,其漏洞主要来自以下几个方面:
1.自然因素:
1.1软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
1.1.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
1.1.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
1.1.3、口令攻击。例如,Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
1.2病毒攻击
计算机病毒一般分为四类:①文件型病毒(FileViruses);②引导型病毒(SystemorBootSectorVirus);③链式病毒(SYSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。计算机病毒的主要危害有:对计算机数据信息的直接破坏作用,给用户造成重大损失:占用系统资源并影响运行速度:产生其他不可预见的危害:给用户造成严重的心理压力。
计算机病毒疫情呈现出多元化的发展趋势,以网络为主要传播途径。呈现以下显著特点:①网络病毒占据主要地位;②病毒向多元化、混合化发展;③利用漏洞的病毒越来越多。
2、人为因素:
2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。
当然作为本文最讨论的网站安全,它也有它自身的安全隐患存在,主要体现在以下几点:
3.用户输入验证不全面
在网站编程中,对于用户和用户的输入,都必须抱怀疑态度,不能完全信任。所以,对于用户的输入,不能简单的直接采用,而必须经过严格验证,确定用户的输入是否符合输入规则才可以录入数据库。用户输入验证应该包括以下几个方面:
(1)输入信息长度验证。程序员往往认为一般用户不会故意将输入过分拉长,不进行输入验证可能没有危害。但如果用户输入的信息达到几个兆,而程序又没有验证长度的话,可以使程序验证出错或变量占用大量内存,出现内存溢出,致使服务器服务停止甚至关机。
(2)输入信息敏感字符检查。在设计程序的时候,程序员可能都会关注javascript的一些敏感字符,如在设计留言版的时候,会将“<”等符号的信息过滤,以免用户留下页面炸弹。但还有以下几个方面需要特别注意,一是留言版内容信息的过滤。二是用户名信息的过滤。程序设计中,对用户名的验证往往只是验证长度,没有验证javascript或者HTML的标记,这样就容易形成漏洞。三是Email信息的验证,Email信息往往也只验证是否含有“@”符号,其他没有限制,这容易形成两个漏洞:输入信息过长的内存溢出漏洞;含有javascript等字符信息,造成显示用户Email的时候形成页面炸弹等。四是搜索信息的验证。尽管搜索信息不会直接保存到网站服务器,但是,搜索信息却与数据库或者服务器所有文件密切相关,如果搜索信息有问题,很容易就会暴露一些本来不应该暴露的数据库信息或者文件信息。如果用户对程序比较了解,可设计一些很特别的搜索信息,检索他不应该检索的数据库表,例如用户账号密码表等。因此,一般要验证一些常见的用于数据库操作的语句,例如搜索信息是否含有“Select”等,这样来限制用户输入,避免信息的泄露。
4.页面行为方式缺乏逻辑
在网站中注册新用户的时候,一般会首先要求用户输入自己需要注册的账号信息,验证该账号是否已经存在,确保用户的单一性。如果用户的注册信息通过了“存在该账号”的检测,在编程的时候就认为这个账号一定不存在,可以注册,在注册页面中直接使用“nsertInto”语句将注册信息插入用户数据库。上述的问题是:将注册信息插入数据库之前,并没有再一次检查这个用户是否存在,而是信任前一个检测页面传来的账号信息。由于可以阅读和保存HTML文件的源代码,如果用户将注册通过的页面保存并且将上面的账号信息修改为一个已经存在的账号,由于程序认为该账号已经通过检测,直接将该账号插入数据库,原来拥有该账号的用户信息就被修改,造成用户信息流失、出错等情况的发生。如果这个账号刚好是一个管理员账号,结果将是很难预料的。
使用以上错误方式编程的程序员很多,随便在网上找就可以找到很多这种方式编程的源代码和已经采用的程序。在电子商务初期,一些电子商务网站的程序中,存在着用户可以随意定义自己购买商品的价格这样的漏洞,也就是由页面行为方式缺乏逻辑造成的。
当然,网站安全还包括比如服务器攻击、病毒攻击等方面,但这些方面基本都属于上文中介绍过的网络安全问题,另外由于篇幅问题许多细节问题也不在此累赘了。
三、网站安全管理策略探讨
1.网络安全的管理
1.1使用防火墙
防火墙作为使用最多,效率最高的网络安全产品自然有它自身的优势,所以防火墙在整个网络安全中的地位将是无可替代的。
1.2与因特网接入处增设网络入侵检测系统
入侵检测系统(IDS即IntrusionDetectSystem)是实时网络违规自动识别和响应系统,它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵或破坏性代码流,寻找网络违规模式和未授权的网络访问,一经发现入侵检测系统根据系统安全策略做出反应,包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
1.3病毒防御
选购杀毒软件,必须考虑产品的采购成本、应用(管理、维护)成本,以及将来企业或网络规模变化后,软件能否实现平滑过渡等问题。只有明确需求,重视产品的应用和管理,把网络防病毒纳入到信息安全防范体系之中进行综合防范,才能有效提升企业的信息安全水平。单纯防病毒,并不是企业的最终目标。
当然,对于网络安全的防御目前比较成熟的技术相当多,我们只有认准适合自己的技术,并采用多种技术相互结合才能达到相应的目的,由于篇幅有限对于其他诸如身份认证、数字签名等技术的介绍就不在此累赘了。
2.网站自身的安全管理
2.1网站服务器的安全管理
网站服务器的日常管理、维护工作包‘括网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。主要注意以下几点:
①从网络结构设计上解决安全问题
安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击,还可通过安装非法人侵监测系统,提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当有入侵者攻击时可以立刻有效终止服务。同时应限制非法用户对网络的访问,规定具有特定IP地址的客户机对本地网络服务器的访问权限,以防止从外界对网络服务器配置的非法修改。
②定期对网站服务器进行安全检查
由于网站服务器是对外开放的,容易受到病毒的攻击,所以应为服务器建立例行安全审核机制,利用漏洞扫描工具和IDS工具,加大对服务器的安全管理和检查。另外,随着新漏洞的出现,我们要及时为服务器安装各类新漏洞的补丁程序,从而避免服务器受到攻击和出现其他异常情况。
③定期进行必要的数据备份
对服务器上的数据定期进行备份是很重要的。网站的核心是数据,数据一旦遭到破坏,后果不堪设想。除了设置相应权限外,应建立一个正式的备份方案,而且随着网站的更新,备份方案也需要不断地调整。
2.2数据库安全管理
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性,采用基于Client/Server模式访问后台数据库,为不同的应用建立不同的服务进程和进程用户标识,后台数据库系统以服务器进程的用户标识作为访问主体的标识,以确定其访问权限。我们通过如下方法和技术来实现后台数据库的访问
控制。
①访问矩阵
访问矩阵就是以矩阵的方式来规定不同主体(用户或用户进程)对于不同数据对象所允许执行的操作权限,并且控制各主体只能存取自己有权存取的数据。它以主体标行,访问对象标列,访问类型为矩阵元素的矩阵。Informix提供了二级权限:数据库权限和表权限,并且能为表中的特定字段授予Select和Update权限。因此,我们在访问矩阵中定义了精细到字段级的数据访问控制。
②视图的使用
通过视图可以指定用户使用数据的范围,将用户限定在表中的特定字段或表中的特定记录,并且视图和基础表一样也可以作为授权的单位。针对不同用户的视图,在授权给一用户的视图中不包括那些不允许访问的机密数据,从而提高了系统的安全性。
③数据验证码DAC
对后台数据库中的一些关键性数据表,在表中设置数据验证码DAC字段,它是由银行密钥和有关的关键性字段值生成。不同记录的DAC字段值也不相同。如果用户非法修改了数据库中的数据,则DAC效验将出错,从而提高了数据的安全性。
2.3编码中的安全管理
防止恶意代码注入
①验证输入,使攻击者无法注入脚本代码或使缓冲区溢出
②对所有包含输入的输出进行编码。这可防止客户端浏将潜在的恶意脚本标记作为代码进行转换。
③使用接受参数的存储过程,防止数据库将恶意SQL输为可执行语句进行处理。同时使用特权最低的进程帐户和模拟帐户。在攻击者企图应用程序的安全上下文执行代码时,可缓解风险并减少损害。
防止会话劫持:
①分隔个性化cookie和身份验证cookie。
②仅通过HTTPS连接传递身份验证cookie。
③不传递在查询字符串中代表已通过身份验证的用户标识符。
最为一名网络或者网站管理员,有责任同时也有义务做好网站的维护与管理,这就需要我们管理人员时刻保持虚心学习的心态,时刻关注新的管理技术与安全防御技术。对于已经出现的安全问题应该用最快、最有效的方法加以解决,对于目前还未出现的安全问题要有预见性,这才是一名优秀的网络管理员。
参考文献:
[1]沈文智.MicrosoftBS网页技术[M].北京:人民邮电出版社.1998.
[2]沈昌样.网络安全与信息战.网络安全技术与应用.2001.
从安全技术架构来说,网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例,目前已建有MIS+S(基本信息安全保障)系统架构,随着硬件驱动已转变为应用驱动,网络信息基础设施和服务都有了大幅度的提升,能够从物理安全、网络安全、系统安全、应用安全四个环节,打造网站群安全防范技术体系,实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控,应用分析等目标。
1.1动态防御
网站群安全防范技术体系以往,我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护,防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下,需要加固原有的网络拓扑结构,增加应用防护系统、统一防恶意代码软件、网络管理系统,与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系,才能将绝大多数攻击阻止在到达攻击目标之前,或攻击者在突破第一道防线后,延缓或阻断其到达攻击目标,最终提升网站群系统的物理安全、网络安全和应用安全。我们将网站群系统所在区域从原DMZ区划分出来,与其他Web应用一起规划为安全级别较高的WebServer服务区域。同时,在该区域部署统一恶意代码防范管理系统,建立安全的病毒防护措施。在核心交换和WebServer服务区域间,通过串联部署方式,增加一台WAF(应用防护系统),起到防护Web应用、漏洞检测作用,确保网站群在内的Web应用完整性。同时,开启硬件防火墙上的网站防篡改、IPS功能、日志功能,建立攻击监控体系,实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源,等)。网站群系统管理员在统一恶意代码防范管理平台上,对网站群主机进行远程控制。包括:远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等,以有效阻隔外来病毒入侵及内部病毒清除,有效保障系统安全。众所周知,网络攻击也可以来自于局域网内部,如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范,通常采取的应对方法有:为内网终端安装病毒防护软件、加强用户病毒查杀意识,在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段,我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时,利用上网行为管理设备,对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施,针对内网攻击事件查看分析用户行为记录并定位,并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》,等),提高局域网内部的综合防范能力,减少内网攻击事件的发生。
1.2主机安全
主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是,由于网站群系统应用的重要性和网络安全的复杂性,为提高主机安全能力,还需要构建主机集群环境,以保障网站群系统的持续运行。目前,高职院校为提高数据中心的利用率和采购运行成本,通常会采用服务器虚拟化软件规划虚拟数据中心。在该环境中,统一存储设备部署在后端,为物理服务器(虚拟主机)提供空间资源,并为前端虚拟机提供数据存储资源;数台高性能服务器作为虚拟主机,随时划分前端虚拟机,并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力,满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备,在降低采购成本的同时,提高了网站群主机的灵活性、冗余保障和容灾迁移能力,保障网站群主机操作系统的安全需求。为了减少网站群所在虚拟主机(物理服务器)的单点故障,实现网站群系统的不间断运行,我们利用vSphere集群功能,在虚拟数据中心内,配置HA(highavailability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下,将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。
1.3备份和恢复
数据资料是整个网站群系统运作的核心,建立良好的备份和恢复机制,可以在应用系统遭受攻击时,尽快地恢复数据和系统服务。以往,为降低备份容灾成本,会采用纯软件模式,通过编辑脚本文件,连接两台热备服务器,将数据实时复制到另一台服务器上,如果一台服务器出现故障,可以及时切换到另一台服务器,避免了磁盘阵列的单点故障。在网络安全的新形势下,为实现应用数据及业务存储系统的完整性和可靠性,我们在网络拓朴的DMZ区域,接入存储备份一体机(浙江医药高等专科学校采用SymantecBE3600),构建高可用性的存储备份环境。利用其存储空间及备份管理系统,实现有效的异地备份,为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略,选择合适的备份频率,采用完全备份、增量备份、差分备份或按需备份的组合方式,确保及时恢复失败的网站群虚拟机,快速恢复丢失的应用程序服务,全面提升网站群的数据安全及备份恢复能力,避免在各种极端情况下造成的重大损失和恶劣影响。
1.4安全审计
网站群要达到可控性与可审查性,就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节,审计范围要覆盖到主机上的每个操作系统用户和数据库用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件,及时发现非法入侵行为。以旁路方式部署了一台审计设备,并接入核心交换。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统,从网络运行维护、数据库安全及系统安全审计等方面,采集所有网站群的数据库访问行为记录,收集客观、实时的分析数据。一旦发生网站群网络信息安全事件,系统管理员可根据网站群用户对数据库系统的所有操作信息,进行准确快速定位,并排除安全隐患。此外,为确保安全审计,还应要求网站群开发人员去除或隐藏程序中的删除日志功能。
1.5安全测试与配置
由于网络安全不是绝对的,因此,在建立技术防范体系后,我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求,对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性,从而确保信息和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境,相关配置如下:
1.5.1身份鉴别良好的身份认证体系可防止攻击者假冒合法用户。为此,须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别,操作系统和数据库系统管理用户身份标识应具有不易冒用的特点,并确保用户名具有惟一性。因此,我们做了相关配置:编辑操作系统文件etc/login.defs文件,应达到密码定期更换要求。如:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN6#最小密码长度6编辑操作系统文件/etc/pam.d/system-auth文件,应达到密码复杂度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数编辑操作系统文件etc/pam.d/system-auth文件,采取结束会话、限制非法登录次数和自动退出等措施,实现登录失败处理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#设置密码连续错误6次锁定,锁定时间300s。对于数据库的身份鉴别,我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。对于网站群系统,后台管理用户密码复杂度设置高级别,对密码的长度、大小写、特殊字符都方面都要做要求,同时设置口令有效期。
1.5.2访问控制访问控制更侧重于管理层面,要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件,实现权限分离,责任分离。如:依据安全策略控制用户对资源的访问;实现操作系统和数据库系统用户权限期的分离;限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。此外,我们对网站群的角色权限进行细分,做到权限相互制约。如超级管理员具有所有功能的操作权限,二级网站管理员只能具有自己站点的操作权限,审计员只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系统方面,我们遵循最小安装的原则,仅安装需要的组件和应用程序,使得端口和服务实现最小化;通过对安全漏洞的周期检查,设置升级服务器等方式保持系统补丁及时得到更新,从而使绝大多数攻击无效。
1.5.4资源控制系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置。
2网站群安全防范措施
单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出,还归结于学校对网站安全不重视,网站信息保护意识差,网站日常维护缺失,等。我们只能通过大量实践,在网络安全实战对抗中不断完善,明确责任和义务,建立管理制度和安全制度。管理是网络安全的重要部分,在对网站群部署进行有效的安全风险(安全威胁)识别和评估后,我们还围绕技术层面、组织层面、管理层面、服务层面,完善网站群安全防范措施。建立学校、部门两级运行维护的组织体系,按集中建站、分级管理、制度约束、服务保障的原则,通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略),形成制度约束机制,确保网站群在高效、安全、有序的体系下运作。理顺管理体制与职责,构建主站和子站间的垂直管理体系,制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息等环节,全面做好网站群安全管理工作。通过提升服务管理水平,构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论,从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手,根据学校技术、政策和资源等实际环境,加强安全服务管理,确保网站群服务水平。并参考信息安全服务体系,从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面,加强安全服务。
3网站群保障体系构建效果
(一)网络系统的软硬件及系统数据受到保护,不受外界因素或者恶意的破坏所影响,系统可以正常的运转,网络服务不会中断就是网络安全的定义。
(二)网络安全具有一些鲜明的特征,其不同于其他技术,计算机网络是一个虚拟的世界,其特征也是具有多样性的特点。
1.保密性:计算机网络技术应将信息严格保密,未经许可不能向非授权用户及实体进行泄露,也绝对不允许非授权用户使用。
2.完整性:当在网络上进行存储时要具有存储过程中未经授权不能改变和破坏丢失数据的特点。
3.可用性:指的是可以在授权实体的要求下进行使用的特点,通俗的说也就是能够随时存取所需要的信息。网络环境下破坏服务、拒绝服务的系统正常运行就属于针对可用性这一特性的攻击。
4.可控性:可以针对信息的传播进行有效的控制。
5.可审查性:针对安全问题的发生提供有力的手段和依据。
二、购物网站安全现状分析
当前的购物网站安全问题是商业网站发展中的突出问题,随着网络技术的普及和互联网技术的迅速发展,购物网站的规模和复杂性也越来越大,其存在的安全漏洞也越来越多。而且目前的网络攻击现象也不断增多,针对购物网站的漏洞进行恶意攻击的现象不断发生,也构成了购物网站的多种不安全因素。当前的网络攻击行为多种方法混合使用,复杂情况越来越多,隐蔽性也非常强,针对其的防范也越来越困难。黑客攻击购物网站是为了获取实际的经济利益,木马程序、恶意网站等危害网络安全的手段越来越多,日趋泛滥;而且随着人们手中的互联网设备发展越来越迅速,手机等无线掌上终端的处理能力和功能通用性不断提高,针对这些个人无线终端的网络攻击也开始出现,而且呈发展趋势。当前的购物网站通常采用资金通过第三方支付或者网上银行支付的方式来进行支付,这虽然增强了网上购物的支付快捷性,但是其交易的安全性还存在一定的风险。这一类的支付形式,通常很难保障消费者网上消费的安全,一旦在数据的传输过程遭到攻击,消费者的银行信息资料可能被黑客盗取,并为此遭受经济或者隐私损失。随着互联网技术的发展,还有许多恶意程序攻击用户计算机来达到一些不法分子别用用心的目的,可能有计算机用户在进行网上消费时落入恶意程序的陷阱,从而使得黑客通过用户的网上银行进入银行数据库盗取用户信息,给用户造成经济损失。所以,网络安全问题是一个高技术含量的复杂问题,而且越来越变得错综复杂,其造成的恶劣影响也是不断扩大,短期内无法取得成效。因此在网络安全日益严重的今天,必须重视对网络安全的防范,只有做到防范到位,才能保障网络应用的顺利进行。购物网站根据网络安全的防范要求,通常采取一些措施加以防范,保障用户网络安全,主要有以下几点:第一,身份真实性的识别:保障通信实体具有真实的身份;第二,信息机密性:保证机密信息不会泄露给非授权实体;第三,信息的完整性:保证数据的完整性,防止非授权用户对信息的破坏和使用;第四:服务可用性:防止合法用户使用信息被非法拒绝;第五:不可否认性:有效地责任机制可以防止实体否认其行为;第六:系统可控性:可以控制使用资源的实体的使用方式;第七:系统易用性:安全要求满足的情况下,系统的操作要尽量简单;第八:可审查性:可以为出问题的网络安全问题提供调查依据和手段。
三、保障网络工作顺畅的措施
当前阶段,网络工作要保障顺畅,要采取以下措施加以保障:
(一)针对网络病毒进行有效防范
网络病毒是一种危害网络安全的主要方式,其具有传播快,扩散面广、传播载体多样的特点,对于网络病毒的清除也非常困难,其遗留的破坏力也相对较大。而且网络病毒可以邮件附件、服务器、文件共享及邮件等方式进行传播。针对网络病毒要注意几点进行防范,对于不明附件和文件扩展名不打开,不盲目运行程序也不盲目转发不明邮件,在进行系统漏洞及其他操作时从正规的网站下载软件,经常进行病毒的查杀,尽可能使用最新版本的杀毒软件定期进行病毒查杀。
(二)积极采用入侵检测系统
入侵检测技术是一项有效防范网络攻击的手段。其通过对各种网络资源和系统资源信息的采集,并对信息进行有效地判断和分析,来检测其是否具有攻击性和异常行为,通过入侵检测系统的检测可以有效地将有害信息进行剔除,防止其进入网络系统形成实际破坏和网络隐私泄露情况发生。而且,入侵检测系统还可以及时的将用户信息及系统行为进行分析,针对系统漏洞进行检测,及时将有害信息和攻击行为及时通报和响应。
(三)进行防火墙的配置
防火墙是计算机网络安全技术的重要方面。通过防火墙的设置,可以根据计算机系统的要求针对信息进行筛选,允许和限制数据传输的通过。防火墙是一项有效的保护措施。侵入计算机的黑客必须要先通过防火墙的安全警戒,才能到达计算机系统内部。防火墙还可以分成多个级别,形成多重保护。高级别的保护可以根据用户自身要求来对信息进行针对性的保护,这样可以有效保护用户的个人隐私信息。
四、小结
论文参考文献的引用当中,作者要在论文引用的地方准确的标注出来,然后在论文的末尾用数字加方括号依次列出参考文献。关注学术参考网查看更多优秀的论文参考文献,下面是小编整理的网站开发论文参考文献来和大家一起分享。
网站开发论文参考文献:
[1]黄宝玉,项国雄.国家精品课程建设现状分析及思考[J].中国高教研究,2007(9):72-75.
[2]史金昌.浅析基于ASP.NET的Web网络应用程序的安全开发[J].科技创新导报,2008(23):37.
[3]李志勇,魏红.高校精品课程数字化资源建设与推广应用研究[J].电脑知识与技术,20l0(2):485-486.
[4]张书梅,符蕴芳,刘智国.网站安全管理的方法与具体实现[J].石家庄学院学报,2005,7(6):54-56.
[5]阳卫文,王建斯,基于P2P流媒体系统模型的研究进展[J].现代电子技术,2008(2):159-161.
[6]万荣泽.基于ASP.NET技术的统一后台网站群的设计[J].微计算机信息,2007,23(8):260-262.
[7]王红雨,蔡成闻.基于ASP.NET的课程平台设计与实现[J].聊城大学学报:自然科学版,2007,20(1):78-82.
[8]顾正刚,毕海峰.网站规划与建设[M].北京:机械工业出版社,2007:4-8.
网站开发论文参考文献:
[1]孔祥鑫.基于PHP技术的校园网站的设计与实现[D].天津:天津师范大学,2012.
[2]李良.基于PHP的商业站点设计与实现[D].南昌:南昌大学,2010.
[3]杜闯.PHP在动态网站开发中的优势[J].电脑知识与技术,2010(13).
[4]贾素来.使用PHP和MySQL开发动态网站[J].大众科技,2011(3).
[5]李晶.PHP技术应用于中小企业网站开发探讨[J].软件开发设计,2014(10).
[6]杜闯.PHP在动态网站开发中的优势[J].电脑知识与技术,2010(13).
[7]贾素来.使用PHP和MySQL开发动态网站[J].大众科技,2011(3).
网站开发论文参考文献:
[1]靳莹.基于缓存技术的内容管理系统研究[D].吉林大学,2014.
[2]黄菊.分布式缓存技术及其在车辆监控系统中的应用[D].北京邮电大学,2015.
[3]崔解宾.分布式内存缓存技术在数据处理平台中的研究与应用[D].北京邮电大学,2015.
[4]李光瑞.Map/Reduce型海量数据处理平台中的内存级数据缓存技术研究[D].北京工业大学,2013.
[5]易会战,王锋,左克,杨灿群,杜云飞,马亚青.基于内存缓存的异步检查点容错技术[J].计算机研究与发展,2014(06):1229-1239.
[6]韩陵宜.网页制作课程教学及考核方式的研究与探索[J].计算机教学与教育信息,2008(03).
很多学术不端检测系统被绑定了木马毕业季
又是一年毕业季,毕业论文也是学生要完成的一项必须的毕业任务。从国内高校引进的“学术不端检测系统”,另外一种名为
“毕业论文”的一种软件工具曝然走红。但是这些软件好像都是被捆绑了病毒,导致的结果就是篡改浏览器的主页面。
并且频繁的弹出广告,建议广大的毕业生开启一些安全软件譬如木马防火墙等以免中招。
目前搜索“毕业论文软件”可以找到约百万条结果,其中有些网站宣称可以免费下载,有些网站则是明码标价售卖,五花
八门的下载地址让人难以甄别。然而木马往往就暗藏在一些下载链接中,用户在下载运行后,木马就会自动释放并潜伏在电脑
里,通过刷广告流量非法获利。
360互联网安全中心检测发现,网上流传的“软件”多数都不具备相应功能,而是伪装热门资源诱骗下载。此外,由于论
文比对技术比较复杂,评判标准不统一,论文数据库庞大,此类软件实际效果也很难保障。不法分子就抓住部分毕业生投机取
巧的心理,大肆传播木马。
关键词:亚运会;科报会;设计
中图分类号:TP311.52文献标识码:A文章编号:1009-3044(2010)13-3362-02
Design and Implementation of the Asian Games Scientific Papers Report Council Web Site
LI Xiao-qiang
(Guangzhou Institute of Physical Education Modern Education Technology Center, Guangzhou 510015, China)
Abstract: This paper first analyzes the report of the Asian Games will be the functional design, performance design and security design, and then we have put forward a detailed implementation program on this design, finally, we use Java Struts framework technology to achieve the entire site development.
Key words: asian games; scientific papers report council; design
亚运会科报会网站是为了在广州亚运会举办之前能给大家提供一个很好的交流平台。亚运会科报会网站是基于B/S结构开发的,亚洲各地区都可以通过网络来访问我们的网站,向我们的网站投稿论文。整个网站系统的管理是基于中心服务器来管理的,数据中心在学校的网络中心主机房,各地区用户都是通过网络访问中心服务器。集中式的管理有利于数据的统一管理,保证了系统的实时性,有效性和完整性。
1 系统的功能设计
亚运会科报会网站分为前台系统和后台管理系统两大功能模块。前台系统的主要功能有首页、用户注册、用户登陆、会议介绍、会议动态、征文事项、重要时间、交通路线、下载专区、参会注册、联系我们。后台管理系统的主要功能有系统管理、用户管理、内容管理、文件管理、论文管理、我的信息、缓存管理、基础数据。在系统功能设计中,用户管理功能和论文审核功能这两个是系统实现的关键,现在将具体来分析这两个功能。
1.1 用户管理功能
亚运会科报会的用户非常的多,他们之间是分为三类:一个是系统的管理员用户;另一个是普通用户;最后一个是评审专家用户。系统管理员用户负责整个网站信息的和用户的审核、权限的分配以及其他的管理功能。普通用户主要是把自己的论文投稿到我们的系统中。评审专家用户主要是负责评审投稿过来的论文,然后给普通用户发送具体的评审结果。这个用户权限的管理我们采用了角色的管理,也就是说把这三种类型的用户分配到三个不同的角色中,然后再给每个角色定义不同的权限。这样就有利于我们这种多用户数量的权限管理功能。
1.2 论文审核功能
论文审核是本站设计的重点内容,亚运会科报会网站的设立就是为了能征集更多的有关于亚运会的论文资料。但是,征收到的资料可能很多是不合格的,所以,我们专门成立了专家组来审核这些论文,把有价值的论文抽取出来,然后在大会上来交流,从而有利于亚运会的顺利召开和圆满闭幕。具体的审核流程如图1所示。
从图中,我们可以看出论文的审核流程首先由系统的普通用户提交论文,然后由我们学校科研处工作人员做简单的形式审核,通过后再提交给评审专家审核,专家审核后一方面把审核意见发给作者,另外一方面发信息给我们学院的财务处。最后对论文进行归档整理。
2 系统的实现
亚运会科报会系统的实现采用Java Struts框架来实现各功能模块,采用Oracle数据库作为数据的存储。系统的开发完全按照软件工程的开发的思想来进行。下面主要对系统实现过程中的关键技术来做探讨。
2.1 Java Struts 框架技术
Java技术是目前非常流行的一种网站开放技术,Struts就是java技术的一种框架技术。Struts框架技术是MVC技术的一种,它实现了页面和程序的分离,在页面上都不会出现处理逻辑的java代码,从而提高了程序的可靠性和可维护性。亚运会科报会网站的实现就是采用了Java Struts框架技术。
2.2 缓存技术的实现
缓存是“以空间换时间”策略的典型应用模式,是提高系统性能的一种重要方法。缓存的使用在访问较大的情况下能够极大的减少对数据库操作的次数,明显降低系统负荷,提高系统性能。本系统的缓存是一个功能比较完善的缓存,它能够对自己进行管理。它自身设置一个线程,隔一段时间就检查缓存的使用情况,对于过期的内容进行删除,如果缓存的内容占有它所拥有的空间的97%,淘汰内容,直到它占有空间不超过90%。缓存实现的具体过程如图2所示。
从图我们可以看出,当视图JSP需要一些常用信息时,先到缓存读取信息,缓存根据视图JSP提供的条件所对应缓存的索引,查找相关信息。如果缓存里面有相关信息,将相关信息返回给视图,如果没有找到相关信息,到数据库查询相关,查询完毕,把相关信息放进缓存,同时也返回相关信息到视图。由图可以看到,缓存可以减少对数据库的操作。
2.3 系统安全性的实现
2.3.1 用户权限管理
通过建立不同的用户组和用户口令验证,可以有效地防止非法的用户进入网站的核心数据库;另外,通过授权来对用户的操作进行限制,允许一些用户对数据库服务器进行访问,而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。
2.3.2 病毒防护
在网络入口,我们需要采用防病毒过滤网关,并要确保用户终端和服务器要安装网络版的防病毒软件,管理员要及时进行防病毒软件或系统的升级,完成各类操作系统和系统软件的补丁、防病毒软件的病毒库的更新。
2.3.3 数据备份与恢复
核心数据库必须建立完善的数据备份及恢复机制,定期对数据进行备份,当计算机的软硬件发生故障时,利用备份进行数据库恢复,以恢复破坏的数据库文件、控制文件及其他文件。还要记录数据库中所进行的各种操作,包括修改、调整参数等,在数据库内部建立一个所有作业的完整记录,即日志。另外,要备份控制文件,因为控制文件中的某些状态信息在数据恢复期间可以用来引导数据库。
3 结束语
亚运会科报会网站的完成给广州亚运会的举行提供了交流平台。亚洲各地区的人都可以通过这个平台来,提出自己的建议,为亚运的召开增添光彩。
参考文献:
[1] 李文中.适应性Web 缓存的研究[J]. 计算机科学,2005,32(4):11-15.
1、可以去中国知网、维普、万方这三个文献资料专业网站上去查找。毕业论文的文献资料,你可以去中国知网、维普、万方这三个文献资料专业网站上去下载,但是这三个网站是付费的,如果你在学校内下应该是免费的,一般学校都会购买这几个网站的文献,在校内网络下是免费的。当然,网上资料也不会完全,还得去图书馆找些东西。
2、可以在万维、知网上进行论文。虽然市面上出现了很多第三方机构,但在选择的时候首先一定要注意他们的安全机制,即是否能够保障你的论文安全,不被泄露;其次就是看他们的算法是否科学合理,数据库是否涵盖广、是否及时更新,因为只有算法科学,数据库范围广且及时更新,它的结果才会更准确。
(来源:文章屋网 )
关键词:高校学报;网站建设;实用性;在线服务;教育与培训
对于高校学报网站的建设是否有必要,网站要解决什么问题,能达到什么样的功效,以及要建成包含什么内容的网站,都是建站需要考虑的问题。本文以华侨大学学报网站的建站经验,阐述高校学报网站建站的实用性。
网站建设的必要性
利用电子邮件的网络信息交流功能,改变编辑的工作模式,降低编辑人员的工作强度、缩短稿件的运转周期。这是网络世界在编校工作中的一个实际应用。但在实际工作中发现,不少邮件“失踪”了,有时收不到作者、审者的邮件,却收到其他单位的邮件;有时收到的邮件被诊断为带病毒邮件而被自动删除;更多的时候是垃圾邮件所占的比例非常高,占据了邮箱空间,而使得正常邮件被退回。垃圾邮件和病毒对邮件的攻击,使得接收电子邮件的安全性得不到保障。另一方面,传统的邮局渠道存在着邮寄周期长、邮寄费用高等问题,再加上信件有时会出现破损、丢失等一些令人无奈的情况。综合考虑,有必要建立一种安全、稳定、高效的稿件管理系统。
目前,高校的作者群、读者群、审者群都在不断“流动”,网络已经成为他们工作、生活的重要部分。华侨大学有泉州和厦门两校区(这种情况我国高校也不少见),作者群、读者群、审者群不仅分散两地,甚至分布全国各地,乃至国外。对学报而言,如何通过网络搭建一个信息平台,构建联系作者、读者、编者和审者的桥梁纽带,成为必须考虑的问题。通过建设网上的在线投稿系统、在线审稿系统、信息交流平台等,可以很好地将这四个方面群体有机地联系起来。
其次,现在的编辑工作已经不再是一个“纸上谈兵”的模式,如何利用学报网站这个信息平台,让编辑人员在线办公,通过网站的在线办公系统直接进行稿件的编校,如果辅于视频系统、短信通知系统,还可以和作者进行面对面的交流,这将极大地提高学报编辑人员的工作效率,改善他们的工作强度。
第三,目前我国的高校教育存在着一定的不足,有关文献查询、论文写作和编辑学的教学指导跟不上,作者、读者、编者群体缺乏相关的理论性指导,学报网站可以起到辅助教育功能的作用、通过网络平台有目的地进行理论性指导,可以填补学生、青年教师在论文撰写方面知识的不足,填补编辑接受编辑理论培训的不足。
此外,网站是个立体媒体,可以起到扩大学报乃至学校的对外影响,增加学报的读者群体,拓宽稿源渠道,吸引高质量的稿件,提高学报的学术水平,促进学报与其他相关部门的信息交流和联系,发展网络期刊等,对提高学报的工作效率和社会效益都将起到积极的作用。
建站思路
策划建设学报网站的思路主要基于实用性、简洁性原则,网站可以不必解决所有问题,只要解决实际问题。学报网站的实用性原则就是本着“读者第一”的理念来设计和制作的,一是要集中精力办好几个栏目,不追求大而全;二是设计上力求简洁明快,要让读者一目了然,同时应突出交互功能,提高网站的亲和力和增强学报网站的凝聚力;三是充分发挥网上信息传播的迅捷特点。
所指的实用性主要体现在能解决学报参与者(作者群、读者群、审者群、编者群)的需求和实际面临的问题,改善他们使用学报网站的效能,第一时间他们需要获取的即时信息和资料,提供他们获取信息的获取最佳途径。如为了提供稳定、安全的稿件处理模式,需要建立稿件在线管理系统,为作者投稿、专家审稿等提供方便;为了便于读者、作者了解学术动态及各种与学报相关的信息,紧跟科流。应提供信息平台,介绍与学校重点学科或专业相关的期刊,并与它们建立友情链接,及时学报被国内外检索刊物和数据库收录情况、论文获奖情况、被引频次和影响因子、出版发行及稿费发放等信息。甚至于作者稿件被转载的情况;为了便于读者、作者了解写作规范,应及时提供投稿指南、编排规范,建立编读交流的平台。
此外,学报网站建设还需要考虑构架与网页的设计,为了体现明快、简洁、方便,学报网站应尽可能做到结构简单合理、清晰规范,并要做到及时更新、分类清楚、准确可信。
网站建设应考虑的实用功能
学报网站的设计应围绕远程服务、教育与培训、“交互式”交流和资讯服务等几个方面功能着手。
一、远程服务功能
远程服务就是要让使用者随时随地地通过学报网站的稿件管理系统,实现稿件在线的流程处理,通过浏览权限的设置,无论是作者、读者、审稿专家,还是编辑、主编等都可以很好地处理稿件。(1)通过在线投稿系统,作者可以进行投稿,读取经编辑复核过的专家意见,查询稿件处理程度;可以将编辑排版好的稿件下载校对,或者在网上直接进行校对,实现远程作业等。(2)通过在线审稿系统,审稿专家能直接阅读稿件、填写审稿意见,并在编辑的技术处理下,直接与作者进行“面对面”的沟通和学术交流。(3)通过在线办公系统,编辑人员可以直接在网上对稿件进行处理,处理程度不仅限于投稿、审稿,还可以扩展到对稿件进行编辑和校对。当然,这需要辅以相应的软件,而这些软件在网站上是可以下载和共享的。因此,理论上编辑是可以在家上班的,而主编、主任可以通过网站并结合QQ,MSN等在线视频工具和编辑人员进行“现场”办公,并在网站上各类消息。
二、教育与培训功能
(一)针对作者和读者。在日常的稿件编辑中经常发现,不少作者对规范不了解,尤其是研究生作者和年青教师,这给编校工作造成了不少的影响,而有的问题是经常性、重复性地出现。我国的高校教育存在着一定的不足,不少高校对学生的文献查询和论文写作缺乏理论性指导,也有的导师实际上对现有的国家标准和规范、写作要点也不甚清楚,他们习惯沿用废弃和非规范的符号进行论文写作,因此提供投稿指南、编排规范,特别是为年青教师及研究生提供论文撰写规范和指导是十分必要的。为此,网站专门设立包括校对符号、量和单位的符号等相关的国际标准和国家规范,以及学报要求的摘要、题目、论文格式的写作规范,引导作者在投稿时按规范对稿件进行预处理,一方面对于作者和读者的写作提高有帮助,另一方面可以极大地减轻编辑人员不必要、重复性的工作负荷。
(二)针对编辑人员。在学报界,进入编辑部的青年编辑一般是近几年从高等院校毕业分配来的或从其他科技工作岗位调入的,从事编辑工作的时间较短,绝大多数不是学编辑专业的,专业不对口情况在全国各高校学报是司空见惯的;编辑人员参加过编辑业务培训的比例十分少,且参加培训后,所掌握编辑业务的熟练程度也参差不齐。因此,网站设立了编辑业务和政策法规,对编辑人员从业务和理论上进行指导,同时链接“写作规范”,可进一步提高编辑人员的编校水平。
三、“交互式”的交流功能
网站这个具有交流性目的的栏目,是要充分利用因特网的交互性这一特性,实现作者、读者与编者之间,以及投稿人与审稿人之间的“面对面”交流。设立交流平台,得益的不仅是读者、作者,还是编者、是学报本身,学报网站的工作流程中最后是收集作者、读者反馈意见,跟踪重大课题进展,以便编辑部总结经验,为今后的学报策划作指导,通过交流可以及时、便捷地得到相关的信息。
四、资讯服务
