网页安全论文精选(九篇)

第1篇：网页安全论文范文

【关键词】网站建设；网页设计安全；缺陷；对策

【中图分类号】TP393.092

【文献标识码】A

【文章编号】1672-5158（2012）10-0118-02

近些年来，随着计算机网络技术的不断提高和网络规模的不断扩大，其依托于计算机网络的电子商务也随之迅速的兴起，大部分企业由于生产经营的需求都建立了属于自己的商务网站。与此同时，网络病毒和黑客也迅速的出现，针对计算机网络系统的恶性攻击的种类和行为也越来越多。因此，企业在构建自己的网站时，都会考虑到网站的安全保密问题，在网站的运用过程中也对网络安全投入了大量的时间和精力，例如使用企业防病毒软件、入侵检测系统、设置防火墙等等，但是网站仍然会时常的受到攻击，严重时甚至会被对方完全控制。本文基于网站建设的基础上，对网页设计中存在的安全缺陷进行分析和讨论，并研究提出相应的解决防御对策，以期提高网站的安全性和可靠性，减少网站因受到网络攻击而造成的经济和社会损失。

一、网页设计安全概述

网页设计的安全问题主要指的在网页的设计开发过程当中，设计人员运用JSP、PHP、ASP等常见的服务器终端网页设计的脚本语言，对网站的资源进行统筹规划和高效管理，并加强了。但是，在网站和浏览者进行交流互动的过程中，会逐渐的慢慢形成网站系统的安全漏洞，其主要原因是由于浏览者在进行信息输入时，存在大量的不可确定性，使得程序在运转分析过程中出现不周全的问题和方面，这就使得浏览者所输入的数据信息有可能成为黑客或者网络病毒对网页的攻击手段和途径。由于网页中的编程是与网络服务器直接进行连接运行的，它的安全与网站的数据库设置以及系统的其他相关设置等有着直接的关系，因此，人们通常将在网页的程序设计当中出现的安全漏洞称之为网页漏洞或者是网站漏洞。

二、网站建设中网页设计的安全缺陷

目前，在网页的程序设计当中主要存在以下几个方面的安全漏洞和缺陷。具体体现在：

1、绕过验证直接进入到页面洞

目前，在很多网站中存在敏感页面，这就要求用户必须在通过身份的验证之后方可进入。但是，有些用户因为知道其网页的相关设计的路径和文件名，使得其在登录网站时，不用进行身份验证而直接进入页面，绕过了网页登陆的相关界面，从而给那些欲意破坏的行为造成了可乘之机，进而导致网站及企业的经济损失和名誉损失。这就要求我们的网页设计人员在对相关敏感、重要页面进行设计时，要尤其加强对用户身份的登录验证设计，加强对登录程序的设计，从而提高网站页面的可靠度和安全度。

2、网页登陆验证中出现的安全漏洞

网页的登录验证是目前很多网站登录时所要做的第一步，特别是像一些会员制的聊天室、贴吧、论坛等带有交互性质的网站或网页，网页登录验证更是必须要完成的。虽然，登陆验证只是网站整体运行中的一个很小的部分，但它却肩负着整个网站安全的第一道关口。然而，在实际的设计编程过程中，网页的设计人员却常常忽视登录验证在整个网站运行安全中的重要性，疏忽了对它在程序严谨性上的设计，使得验证程序的安全关口不严密，给网络攻击行为造成可乘之机，进而导致网站或企业的一些不必要的经济利益损失。目前，我国的大部分网站的登录验证都存在或多或少的安全漏洞，给网站的运行带来了很大的安全隐患，是值得设计人员在进行编程设计时关注和重视的。

3、有些网站缺乏授权

有些网站在进行网页编程设计的过程中，其程序设计人员由于常常使用较为繁琐的哇网络安全配置，使得网站往往缺乏授权，这就造成了网络服务在其应用运行中出现非常巨大的网络运行安全缺陷，使得网络黑客能够很容易的对网站的网络服务器进行远程的入侵和破坏，给网站的安全和企业的经济利益带来了巨大的威胁和危害。同时，由于网站在进行系统设计时，运用的应用软件存在密码过于简单、防火墙性能低等安全缺陷，也使得网络黑客和网络病毒能够非常容易的对网站造成侵入和破坏。

4、网络病毒的快速传播

网络病毒是人们故意制造设计的具有强自治性、感染性、传播性和破坏性的计算机应用程序。在当前计算机网络规模日益扩大的社会形势下，其网络病的数量和类型也在不断地发展和增加，网络病毒的传播途径、渠道、范围和速度也在不断的扩大和提高。这就给互联网和用户的终端计算机的安全问题造成了巨大的威胁，严重的甚至能够造成整个网站运行的瘫痪。

三、解决网页设计安全缺陷的对策

针对上述文章中提到的在目前网站建设的网页设计中存在的安全问题和缺陷，网页设计人员在实际的编程设计过程中，可以采取下面几个方面的措施，来加强网站设计的安全性和可靠性。

1、重视对网页安全因素的设计

影响网站运行安全的因素有很多，主要包括两个方面，即管理策略和技术策略。网页设计人员在对网页进行安全设计时，要充分的综合考虑这些影响因素，重视对他们的安全设计，尤其是技术策略的安全设计。

1　要定期的进行网站系统的备份、日志更新和恢复。设计人员在进行网页设计时，要注重对系统数据和信息在记录、备份、恢复等方面的重视，使网站后台能够对所发生运行的各种事件进行快速、及时、有效的记录和备份，加强对网站系统日志的管理和访问，并使网站在受到网络黑客或者网络病毒恶意入侵破坏后，能够很快的进行系统数据和信息恢复。

2　加强系统安全漏洞的检测设计。设计人员要加强网站全部网页系统漏洞的定期扫描设计，使得网站能够及时的发现系统存在的安全问题，并及时的进行修补。

3　加强对用户访问和认证的设计。设计人员要对网站关键部分网页的访问路径进行用户名和密码的加密，并加强会员身份的验证手段和程序，加强游客对目录、文件和各种设备进行访问和操作的限制。

2、加强对文件上传时的安全控制

目前，大部分的网站都具备文件、图片、视频上传等多种功能，尤其是像校园网、邮箱系统、论坛、读书网等这些用户量非常大的网站。但是，用户在上传不同文件的同时也有可能对网站系统安全造成漏洞，进而影响到网站运行的安全。因此，网站的网页程序设计人员在进行编程设计时，要充分考虑到上传文件安全性的问题，加强对用户所上传提交的文件参数及数据的过滤程度和管理控制，尽力避免因用户上传文件而导致的网站系统的安全问题，减少相关数据库因网络病毒或黑客而造成的破坏。

3、加强对源代码的保密

网页的程序设计人员要对设计的源代码进行加密处理，以减少其泄漏的几率。例如，设计人员可以对ASP加密或者运用组件技术在ADLL中对编程逻辑进行密封等等。在进行加密处理时，可以采用微软的Script　Encoder进行操作，以减少网站源代码的泄漏。

4、加强对登陆验证的安全设计

由于登录设计是用户进入网站的必备步骤，因此，网页的设计人员在进行网站登录设计时，可以采取相关的程序设计，使系统更够在生成SQL语句之前对用户的相关信息进行验证，在对一些比较重要、敏感的网页进行设计时，可以设计二次登录验证，以加强网页登录的可靠性和安全性。

四、结语

当今时代是信息网络大爆炸的时代，随着我国社会的信息化进程不断的加快，计算机网络已经深入到了社会发展的各个层面当中，网站已经成为人们工作、生活、交流的必备地之一，而网站中的网页安全也就成为人们关注的重点问题。因此，网页设计人员在进行编程设计时，要充分了解和认识到网页设计中常出现的安全缺陷，并及时的加以修正和补救，从而提高网站的运行安全。

参考文献

[1]彭晶，王鹏，赵媛媛，梁亚东.网站建设中网页设计的安全漏洞及解决对策[J].科技信息（学术版），2009（25）

[2]张振东，张玉岚.企业网站建设与网页设计的探讨[J].辽宁农业职业技术学院学报，2008（11）

[3]宋镇.基于网站建设中网页设计的安全问题的思考[J].无线互联科技，2012（04）

[4]谢伟楠，戴克中，陈飞.ASP网站制作中的漏洞和安全[J].武汉化工学院学报，2008（04）

[5]张翠肖，贾玉锋，刘莉，王峰.利用ASP技术实现页面访问安全控制[J].计算机应用，2001（08）

[6]王西芳，高宏.网页挂马技术初探及预防对策[J].实验室研究与探索，2010（03）

第2篇：网页安全论文范文

对于需要查看的未知网页链接，我们也可以提前使用专门的网页安全检测工具来检测，将网页木马完全阻止在进入系统之前。登录网址/wm/，可以看到该网站提供了“网页安全检测”和“安全浏览”两个工具。“网页安全检测”工具具备流行漏洞快速响应框架，可以帮助用户快速检测和防范各种网页漏洞、木马和恶意代码等。点击“网页安全检测”按钮，提交你要检测的未知网页链接，点击“安全检测”按钮后，网站会在后台分析该网页是否存在网页木马和恶意代码等潜在危害，稍后就会给出检测结果，如果提示安全就可以正常登录该网页，反之就要避免打开该网页了。如果你必须登录未知的网页，则可以使用“安全浏览”工具，提交网址后，网站会在后台解析该网页，过滤和屏蔽掉该网页中包含的木马和恶意代码等，稍后会返回一个干净安全的网页，我们就可以安心浏览未知的网页了。

UAC管理任我控制TweakUAC

王志军

对于已经用上了windows Vista的朋友来说，UAC(user Account Control，用户账户控制)自然是一道绕不开的坎，虽然UAC在一定程度上让系统变得更安全，但时不时弹出需要输入管理员密码或进行确认的警示框，总是觉得心里有些别扭。

在这种情况下，很多朋友选择了在“系统配置/工具”中禁用UAC，或者在命令提示符环境下执行“netuser Administrator/Active:yes”以激活超级管理员的账户，但这显然不是一个好办法，其实此时我们可以借助TweakUAC这款小工具来完成对UAC的管理和控制，而且操作也很方便。

TweakUAC不需要安装即可运行，直接双击下载回来的.exe文件，此时会弹出一个对话框，提示阅读用户授权协议，再次单击“确定”按钮就可看见程序窗口了，这里提供了三个选项：

Turn UAC off now：立即关闭UAC，重新启动系统，以后Windows Vista将不会再显示任何UAC的警示框。

switch UAC to the quiet mode：这个选项相当于折衷的一种UAC模式，具有管理员权限的账户进行系统级操作时，将自动获得管理员凭据而不会再弹出UAC示框，不过如果是以标准账户操作时，仍然会出现UAC警示框。

第3篇：网页安全论文范文

论文摘要：网络上的动态网站以ASP为多数，我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员，与ASP攻击的各种现象斗争了多次，也对网站进行了一次次的修补，根据工作经验，就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验，对ASP程序设计存在的信息安全隐患进行分析，讨论了ASP程序常见的安全漏洞，从程序设计角度对WEB信息安全及防范提供了参考。

1网络安全总体状况分析

2007年1月至6月期间，半年时间内，CNCERT/CC接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。

从CNCERT/CC掌握的半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，也不排除放置恶意代码的可能。对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索，影响企业正常业务的开展。对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。

登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的URL路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。

SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

SQL注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式：

A．用户登录：假设登录页面有两个文本框，分别用来供用户输入帐号和密码，利用执行SQL语句来判断用户是否为合法用户。试想，如果黑客在密码文本框中输入''''OR0=0，即不管前面输入的用户帐号和密码是什么，OR后面的0=0总是成立的，最后结果就是该黑客成为了合法的用户。

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPTABLE用户表，后果是用户表被彻底删除。

C．参数传递：假设我们有个网页链接地址是HTTP：//……asp?id=22，然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值，构成某SQL语句，这种情况很常见。可是，如果黑客将地址变为HTTP：//……asp?id=22anduser=0，结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话，黑客就获得了数据库的用户名，这为他们的进一步攻击提供了很好的条件。

解决方法：以上几个例子只是为了起到抛砖引玉的作用，其实，黑客利用“猜测+精通的sql语言+反复尝试”的方式，可以构造出各种各样的sql入侵。作为程序员，如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的：

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第三：为了防止黑客避开客户端校验直接进入后台，在后台程序中利用一个公用函数再次对用户输入进行检查，一旦发现可疑输入，立即终止程序，但不进行提示，同时，将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四：对于参数的情况，页面利用QueryString或者Quest取得参数后，要对每个参数进行判断处理，发现异常字符，要利用replace函数将异常字符过滤掉，然后再做下一步操作。

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第六：在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为“无”好了。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。

参考文献

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

第4篇：网页安全论文范文

关键词：ASP；数据库；ADO；动态网站

中图分类号：TP311文献标识码：A文章编号：1009-3044(2012)11-2489-03

On the Design and Development of Dynamic Website by ASP

ZHAI Ying-jie

(Zhaoqing Business and Technology College, Zhaoqing 526240, China)

Abstract: The blog site is considered as a source of publishing articles, uploading photos, making comments to display individual talents, express personal feelings and views. Based on the blog site characteristics and web site development factors, selecting HTML+CSS layout, making use of Photoshop and Flash to do deal with art and animation effects and using Access2003 database to create and modify data are to complete the final blog website design and development.

Key words: ASP; database; ADO; dynamic website

博客的英文名字是Blog，是一个典型的网络新事物，该词来源于"Web Log"（网络日志）。博客是每周7天，每天24时运转的言论网站，这种网站以其率真、野性、无保留、富于思想而奇怪的方式提供无拘无束的言论。从形式上看，博客网站平淡无奇，属于最简单、最朴素的网站。而博客的力量就在于简单！博客网站的基本要素十分明确，在形式方面与个人网站、电子刊物、网上社区等本质的区别有两点：1)日志形式，每天更新信息内容；2)以链接为重要表达手段，真正发挥Web的特点。起码应该符合这两个最基本的条件，才能称得上博客。尤其是链接，是一直被人们忽视的武器，如今，只有博客通过链接发挥网络资源无穷的优势。

1 ASP的优势和特性

随着Internet和网络技术的日益发展，ASP逐渐被人们接受并广泛应用。ASP是一个基于web服务器的开发环境，用户利用它可以方便地创建和执行动态、互动且高性能的web服务器应用程序。ASP的英文全称是Active Server Pages：“动态服务器网页”，它能够把脚本、HTML、组件和强大的web数据库访问功能结合在一起，形成一个能在服务器上运行的应用程序。ASP之所以能受到大家的重视与使用的原因，主要在于所产生的执行结果都是标准的HTML格式，而且这些程序是在网络服务端中执行，使用一般的浏览器（如IE或Netscape）都可以正确地获得ASP的“执行”结果，并且将ASP执行的结果直接在浏览器中“浏览”。ASP内含于IIS(Internet Information Server)中，采用脚本语言VBScript(JScript)作为自己的开发语言。

ASP的特性：

1.1编程环境简单

只要使用一般的文书编辑程序，如Windows记事本，就可以编辑。当然，其他网页发展工具，例如，Dreamweaver、FrontPage等也都可以。

1.2语言相容性高

ASP与所有的ActiveX Script语言都相容，除了可结合HTML，VBScript、JavaScript、ActiveX服务器组件来设计外，并可经由“Plug-In（外挂组件模组）的方式，使用其他厂商所提供的语言。

1.3运行在服务器端

当ASP程序在服务器端运行时，服务器是将程序执行的结果生成一个HTML页面返回给客户端。如果我们在浏览器中直接查看网页的原始代码，只能看到HTML文件，原始的ASP程序代码是看不到的！这样增加了代码的保密性。

1.4易于操控数据库

ASP可以轻易地通过ODBC(Open Database Connectivity)驱动程序连接各种不同的数据库，例如：Access、Oracle等。

1.5面向对象学习容易

ASP具备面向对象功能，学习容易，ASP提供了五种能力强大的内建对象：Request、Response、Sever、Application以及Session。

2 ASP的工作过程

ASP的工作过程包括访问HTML页面和访问ASP页面两个过程。

在访问HTML页面时，Web服务器根据收到的用户请求，查询对应的文件，从磁盘或存储器中取出并送回浏览器。由本地用户端的浏览器来负责解释HTML文件，并将结果显示出来。

访问ASP页面时，根据用户提供的ASP文件在当前服务器上查找，将该文件交付脚本引擎（ASP.Dll）文件中，脚本引擎将ASP文件从头到尾进行解释处理，并根据ASP文件中的脚本命令生成相应的HTML网页。若该ASP文件中含有访问数据库的请求，就通过数据库连接组件与后台数据库相连,并依据访问数据库的结果集自动生成符合HTML语言的页面，以响应用户的请求。所有相关的工作由Web服务器负责。

3系统功能介绍

博客，是互联网平台上的个人信息交流中心，通常可以在上面发表文章、上传照片、评论等，由前台展示和后台管理两大模块组成，具体规划如下：

前台模块的功能包括最新博文、相册、控制面板、博客日历、博客内部搜索、网站流量统计。

后台管理模块的主要功能包括文章信息管理、相册信息管理、管理员资料管理。

系统流程图如下(见图1)。

图1

4开发环境和开发工具的选择

操作系统：WindowsXP

数据库：Access2003

Web服务器：IIS5.0

IE浏览器：IE5.0及以上版本

开发工具：Dreamweaver 8

Dreamweaver简介

创建网页的工具有很多，最原始的如记事本，还有微软公司的FrontPage等。在本网站设计过程中，所用到的是Macromedia公司的Dreamweaver。使用Dreamweaver这一网页编辑器，省去了很多代码的编写工作，使得设计者不必编写HTML代码，便可以制作出精美的网页。这是一款优秀的“所见即所得”的网页编辑器，Dreamweaver的可视化特征使用户可以直接在页面上添加和编辑元素，而不用写一行代码。例如可以在页面视图直接插入图片、表格等元素，Dreamweaver自动将内容转换为HTML代码，利用代码视图进行修改，方便初学者学习掌握HTML语言，也给专业人员提供良好的编写环境。

数据库

动态网页和静态网页最大的区别就是采用了数据库，Microsoft Access是当前最流行的关系型数据库管理系统之一，利用它可以创建、修改和维护数据库中的数据，并且可以利用向导来完成对数据库的一系列操作，不仅可以用作本地数据库，还可以用于网络环境。ADO是一种对Microsoft所支持的数据库的操作方法，它是ASP与数据库之间的桥梁，利用ASP可以在服务器上动态生成web页面。在动态网页的开发工作中，应用ASP内建的Database Access组建，可以方便地通过ADO(ActiveX Date Objects)对象访问存储在服务器端的数据库中的信息。下面介绍在博客网站中应用Server对象的CreateObject方法创建一个Connection对象实例，然后再使用ADO的Connection对象访问Access数据库，具体代码如下：

If Not Is empty(Request (“sure”) ) Then‘判断表单是否提交

Dim Conn,Connstr‘定义变量

Set Conn =Server.CreateObject(“ADODB.Connection”)‘创建connection对象

ConnStr=”Driver={Microsoft Access Driver(*.mdb)};

DBQ=”&Server.MapPath(“DataBase/db.mdb”)&””‘定义连接数据库字符串

Conn.Open(ConnStr)‘建立连接

Response.Write(“alert(‘通过ADO连接Access数据库成功！’);”)>

‘弹出提示信息对话框

End If

%>

整个博客网站的代码过多，这里就不一一列举出来了。

5安全问题

通常中小网站采取ASP+Access+IIS的体系进行网站的开发和管理，不过在实际应用过程中存在一些隐患，如存储、安全漏洞等。这些隐患常常会招来黑客的攻击。网络信息安全不仅仅是网络安全方面的维护，作为编程开发人员，在网站开发中养成良好的安全习惯也可以有效的防止数据库的丢失、代码泄露等问题。如Access数据库的扩展名为.mdb的文件，在地址栏中输入该文件的地址即可下载到本地计算机，这样会给网站带来安全隐患。可以将数据库的扩展名更改为.asp，这样只会对这些文件浏览而不会下载。

参考文献：

[1]冯栋.基于ASP技术开发的网站安全防范[J].电脑知识与技术,2010(6).

[2]夏葳,张超,张建国.基于ASP的气象网站动态网页设计[J].计算机与网络,2012(3).

第5篇：网页安全论文范文

关键词：防篡改；网站保护；文件保护；网络攻击；网站安全

随着信息化建设的高速发展，各级各类机关、企事业单位等纷纷建立网站，以提供对外宣传和服务。然而，由于网络攻击的泛滥，各种网站被黑的情况屡屡发生，有的甚至被篡改为不良信息，使单位形象受到影响。这就对网站尤其是代码文件的有效保护提出了迫切需求。本文就网页防篡改软件的原理及其实现进行讨论，以为相关开发提供参考。

网站的安全受到多种因素的影响，常见的如操作系统漏洞、网站代码文件设计的漏洞等，都会导致网站安全受到威胁，严重时甚至导致网站代码文件被修改，导致网站面目全非。对于一个网站，其需要保护的核心之一是相关代码文件等，一个常规网站的代码及配置文件等达到数百上千个是很正常的，如果通过管理员定期人工比对各文件的一致性也即是否被篡改，从而来进行防护，不但可操作性不强，也不能达到及时有效保护的效果。在这种情况下，我们可以通过网页防篡改软件的保护来实现关键文件的防护，结合操作系统安全和网站安全设置，即可使得网站安全性基本得到保证。

一、基本原理

一般一个较完整的系统应由如下部件组成：服务器程序、同步服务器程序、交互界面远程控制台，同时还可选择配置防篡改模块。

各程序主要实现功能如下：

服务器：安装在内网的独立服务器上，其远程访问一般限制由某些指定段IP机器进行，负责将合法的网页文件通过安全通信发送到Web服务器。它也是系统的管理中心。具体需要实现的必备功能如：

自动发现网站文件文件夹下被更新的文件；

传输本地修改的文件及对方请求的文件；

更新上传合法文件水印信息；

记录上传、更新、篡改、恢复等日志；

发送报警邮件。

同步服务器：安装在Web服务器上，负责接收服务器发送来的合法的网页变化，并保存其数字水印，监视本机未经许可的文件变化并向服务器请求恢复变化的文件。具体需要实现的必备功能如：

循环监控被保护文件变化，对当前文件计算的水印与其保存的水印比对不一致的，向服务器请求重新传输；

自动更新接收文件水印信息。

远程控制台：运行在管理员桌面上，提供远程方式对服务器的管理及日志内容查看。

防篡改模块（IIS  Filter）：内嵌在IIS Web服务器软件里，对所有的网页文件请求进行合法性检查，并对所有发送的网页进行数字水印比对。

内容保护过程：

对浏览器的网页浏览请求，防篡改模块检查其头部信息，检查请求的文件是否在监视列表中，在则将文件数字水印与保存在数据库中的有效水印比对，一致则允许访问，否则，拒绝访问。

同步服务器对监视到的非法文件变化，向服务器请求重新传输和恢复该文件。

文件恢复后，Web服务器将正确的网页内容发送给浏览器。

二、部分须注意的细节

和同步端程序作为服务程序运行在系统后台，需考虑到CPU占用率，一般在无文件收发时应保持在0，以免对机器性能产生影响。

端程序应考虑到：

1、传输及程序行为日志的保存及输出，以及供远程控制台程序实时查看的实现；

2、当端网站某文件删除时，同步服务器程序是否删除对应文件。此项应可由用户设置；

3、循环检索网站文件夹文件变化的间隔延时应可设置；

4、服务器与同步服务器通信认证及其控制语句的传输接收应采用加密钥匙串，密钥可由用户自行设置；

5、网络通迅超时，在设置时间内，收发数据不能完成就断开连接；

6、忽略的、感兴趣的文件或文件夹可设置；

7、与同步端的连接应具备断开自动重连自动认证功能；

8、超大文件的有别于小文件的发送处理。

同步端程序应考虑到：

1、接收的文件应将其长度、水印信息记录到一可信数据库文件中，供主动比对用；

2、对循环比较发现的文件非法改变，应向端发送文件被改变并重新传输指令；

3、接收的文件的生成时间设置为原来的时间还是当前时间可设置；

第6篇：网页安全论文范文

论文关键词：网站，安全，ASP.Net，IIS

 

1、目前基于ASP的网站主要安全问题

ASP具有简单、易学性,用户可以方便的编制出动态网页。但是, 需要看到使用ASP编制的网站的安全性不容忽视。非法用户通过ASP网页的一些漏洞,攻入系统,可以获得合法用户的权限, 或者获得服务器的权限。常见有如下几种攻击方式。

1.1 SQL注入式攻击

很多网站都有用户登录页面，需要验证用户名和密码。当验证时，检查用户输入的登录名和密码是否存在于数据库中，如果存在，证明该用户合法，反之，为不合法用户。例如，在测试中，输入一个已经存在的用户名:administrator，密码输入“1’or‘1’=‘1”IIS，单击登录按钮，非法登录成功。

1.2 查询串式数据传递

查询串式是一种URL 方式，是实现Web 页面间数据传递最基本的方法，操作简单，可以很方便的实现不同Web 页面间的数据传递，但其安全性比较差，其实现方法就是将要传递的数据附在URL后面，如http://localhost//jiaoyu//learning.aspx?username=teacher，其中?后面所跟着的字符串便是传递的数据，可以使用Request对象来获取传递的参数，如Request("username")。

1.3 暴力破解用户名密码

非法用户惯用的手段, 如果知道了某个用户的用户名后。通过暴力手段的形式,不断尝试各种密码,以破解其密码,而登录系统。对于一些简单的密码, 这种方法可行,如果一些复杂的密码,则需要较长的时间。

1.4 绕过验证直接进入ASP 页面的漏洞

如果用户知道了一个ASP 页面的路径和文件，而该文件需要经过验证才能进去，但是用户直接输入这个ASP 页面的文件名，就有可能绕过验证。如在IE 中输入如下代码：

http:／／serverURL／search．asp芽page＝1这样就可能看到系统管理员才能看到的页面。为了防止这种情况会在search．asp 的开头加个判断，如判断session（“system＿name”）是否为空，如果不为空时就能进入，这样上面的URL 请求就不能直接地入管理员页面。但这种方法同样也存在漏洞，如果攻击者先用一个合法的账号，或者在本地机上生成一个session，如session（“system＿name”）＝“admin”， 因为session不为空IIS，同样也能绕过验证直接进入管理员页面。

1.5 Access 数据库漏洞

在用Access 做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access 数据库的路径和数据

库名称，那么就能够下载这个Access数据库文件，这是非常危险的。例如，Access 数据库student．mdb 放在虚拟目录下的database 目录中，那么在浏览器中输入：http: ／／ serverURL ／database ／ student．mdb如果student．mdb 数据库没有事先加密的话，那么student．mdb 中所有重要的数据都掌握在别人的手中。另一方面，由于Access数据库的加密机制也比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串，并将其存储在*．mdb 文件从地址“＆H42”开头的区域内论文网站。可以很轻松地编制解密程序，很容易获得任何Access 数据库的密码。因此，数据库如果被解密，那么就很容易对整个网站进行控制了。

2、防范措施

2.1 验证用户输入

网站编程者在编程时, 就应该把安全放在首位。在要求用户输入的地方,或网页传递变量的地方,都要完全验证,以防止SQL注入等的漏洞产生。比如:使用如下方法验证用户是否输入了不符合要求的信息。SQL_injdata=”!|@|#|$|%|^|&|*|(|)|=”//

在此输入需要验证的非法字符a=slit(SQL_injdata,”|”)input_data=request(“username”)//取得

用户输入的用户名

for i = 0 to ubound(a)

if instr(input_data,a(i))>0 then

response.write(“您输入的用户名还有非法输入！”)

response.end()

end if

next

2.2 禁止用户多次尝试登录

现在有些自动登录程序, 可以重复尝试登录系统。这时,可以限制用户尝试登录系统的次数,比如1小时内只能尝试登录10

次等等。另一种方法是, 网页随机生成数字,用户只有输入这些有效数字,才能有可能登录系统, 这阻断了一些自动登录程序

的干扰。

2.3 防止用户绕过登录页面直接进入页面

我们可以在用户登录时提交一个Session对象，比如Session["UserId"]，将登录用户的id提交。在进入重要页面时，先验证Session["UserId"]是否为NULL值，是否存在于数据库中，以此来判断用户是否登录。

private void Page_Load(objectsender, System.EventArgs e)

{

if（Session["UserId"]= =null）

{

??//异常处理

}

}

2.4 保护数据库安全

2.4.1 防止数据库被下载

数据库，特别是Access，安全性不高IIS， 要加强数据库的安全，首先要防止数据库被下载。在程序设计中，应该尽量使用ODBC 数据源，不把数据库名写在程序中，否则数据库名会随源码的失密而一同失密。另外，将数据库存储在Web根目录以外的地方也是一个比较行之有效的方法，就算攻击者找到了数据库存放的路径，也无法通过http 的方式进行下载。

2.4.2 对数据库进行加密

为确保数据库的完整，免遭破坏、泄密和窃取，主要采用数据备份、用户标识和鉴定、存取控制、数据库的加密(如RAS 密码或md5 加密技术)，同时利用DBMS(数据库管理系统)所提供的各种安全措施，在应用软件上增加对数据的操作安全、对算法进行加密操作等。

3、结束语

ASP编制的网站数量越来越多,现在,人们已逐渐意识到网站的安全性问题。由于ASP使用人数多, 发现其漏洞的可能性就会更大。这就需要编程人员多关心这方面的安全知识, 在编程中养成好的编程习惯,避免一些常见的安全漏洞。同时,网站服务器的管理也是很重要的一方面, 需要重视服务器安全的配置。以上只是简单探讨了ASP网站的一些安全漏洞和一些解决措施, 有些更深入的探讨需要编程人员在实践中掌握。

参考文献

[1]张艳．ASP 常见漏洞及对策． 北京：电脑编程技巧与维护，2008（3）：86－89．

[2]潘飞，王继成，等．ASP 网站安全问题的研究． 北京：网络安全技术与应用，2－008（6）：80－81．

[3]李彦广，张洁．基于IIS＋ASP＋ACCESS网站的安全隐患及防范． 商洛：商洛学院学报，2008，22（10）：59－61．

第7篇：网页安全论文范文

关键词：开源软件，FAX服务器，防火墙，mail服务器

 

1、企业的常用软硬件现状

随着计算机技术、网络技术和企业本身的发展，企业对计算机软件、硬件、网络（互联网、局域网）、安全（系统、网络、信息）、企业信息化的要求越来越高、分得越来越细，例如：路由器、防火墙、防毒软件、ERP服务器、数据库服务器，文件服务器，打印服务器，还有web服务器，mail 服务器,fax服务器等。因为大多数企业都使用了微软产品，依据Microsoft 技术白皮书建议，服务器只做专业服务,不建议安装其他软件系统，即不同的服务器软件要安装在不同的机器上，随着用户数（license）的增加或软件升级（升级为企业版），企业的机器数量和软硬件费用也会变得越来越多，软硬件的管理也会变得越来越复杂。

2、 企业如何降低常用软硬件的费用

降低软件的费用通常有多种方案，例如：改用价格便宜的软件；自行开发；使用linux。在以上方案中目前最有可能的方案是使用linux，这是因为＂linux从1991．9正式向外公布已有近20年的历史＂[3]7页，有很多发行版本及使用人群。在很多发行版中我们选择了CentOS（在R H E L基础上发展起来的）作为中小企业的服务器系统软件，理由如下：

2．1、 ”Red Hat Enterprise Linux和Fedora已经成为主流的Linux发行版” [6] 前言页；”CentOS是在Red Hat Enterprise Linux.的源代码重新编译生成的发行版本，CentOS具有和RHEL很好的兼容性，拥有RHEL的诸多优点。” [1]11页。

2．2、 ”CentOS可以算是Red Hat Enterprise Linux的克隆版，但是免费。”[3]8页；”CentOS不会遇到任何版权问题，不存在认证和支持方面的费用。，防火墙。，防火墙。”[1] 12页。

2．3、　CentOS.性能稳定：”借助CentOS.不需要商业支持就可以体验RedHat Enterprise 　Linux的稳定性、可靠性、和企业功能。”[6]4页；”linux可以连续运行数月、数年而无需要重新启动，与NT（死机）相比,这一点尤其突出.。” [1]7页。

2．4、　CentOS功能强大：”Linux现在已经拥有许多专业级别的数据库和办公程序集。其中不仅包括Oracle和IBM的数据库，而且还包括OpenOffice和Koffice的办公程序” [6] 15页,例如： CentOS自带图形界面、Firefox、OpenOffice和Java、C++、Perl 、PHP、Mysql,等脚本语言、程序设计语言和数据库，完全可以安装在个人电脑上使用。

2．5、远程管理方便：”使用linx远程管理十分方便：Linux可以通过命令行来操作的特点，就其本身来说十分适合进行远程管理，可以使用任何一种操作系统的机器” [5] 4页；例如：可以在windows下使用用telnet、ssh、 VNC(图形界面)远程管理CentOS系统。

2．6、”IPTABLES（linux的防火墙）已发展成为一个功能强大的防火墙，它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。” [2] 1页。

2．7、”RHEL对Cpu的要求不是很高，。。。。。。如果系统单纯使用文本模式，则内存要求很低，一般的计算机内存都可以了；。。，防火墙。。。。。” [4]12页，所以安装CentOS系统时不选图形界面和汉字系统，系统速度会更快，可以将很多服务器软件安装在一台机器上，减少了机器数量和费用。也便于集中管理。

2．8、病毒少：到目前为止在CentOS系统上我们还没有发现病毒。

3、　用CentOS建立多功能服务器实现“一机多能”服务的简单说明（功能和过程）：

3．1、在一台机器上安装CentOS系统(不安装图形界面和汉字)并配置DHCP、DNS、IPTABLES (防火墙+路由器)、SAMBA(文件+打印服务器)、POSTFIX(邮件服务器)、MYSQL(数据库)、FTP、TOMCAT（Web应用服务器）、Apache(WEB服务器) 、Telnet、VNC、VPN等，建立DHCP服务器、DNS服务器、防火墙、路由器­­（双网卡）、文件服务器、打印服务器、邮件服务器、MySQL服务器、FTP服务器、TOMCAT服务器、Apache服务器、Telnet服务器、VNC等服务器。见下面图1，安装配置过程详见CentOS的相关教程。

3．2、在多功能服务器上安装、配置开源软件HylaFAX、建立fax服务器，见上面图1“需要第三方软件支持的服务”中的FAX服务，详见HylaFAX的相关资料。

HylaFAX服务器可以实现用一个FAXmodem为局域网内所有的电脑提供传真发送功能，下面图2的左图是HylaFAX客户端监视HylaFAX收发情况的画面；下面图2的右图是用电脑发送fax的画面; 下面图3是用outlook通过多功能服务器中的邮件服务器自动接收FAX的画面（见上面图1“CentOS系统自带的服务”中的邮件服务）。，防火墙。

3．3、在多功能服务器上安装配置开源软件LeoBBS、建立论坛服务器，见上面图1“需要第三方软件支持的服务”中的论坛服务，详见LeoBBS的相关资料。下面图4是论坛主页，详见http://218.94.148.130/cgi-bin/leobbs/leobbs.cgi，需要Apache 和Perl环境支持。

3．4、在多功能服务器上安装、配置开源软件Sharetronix，建立微博服务器，见上面图1“需要第三方软件支持的服务”中的微博服务，详见Sharetronix的相关资料。，防火墙。

下图是微博主页，详见http://218.94.148.130/，需要PHP、Mysql和Apache环境支持。

3．5、在多功能服务器上安装、配置EAI软件,建立EAI服务器，见上面图1“需要第三方软件支持的服务”中的EAI服务，详见EAI的相关资料。

EAI是基于CentOS系统下用PHP+Mysql开发的异地多种数据库平台的同步软件，已经实现了两岸三地不同数据库平台（SYBASE和SQLSERVER）的相关数据的同步（包括新增、修改和删除），还有断点续传和LOG自动生成功能。下图是接收端的LOG（接收记录）。

下面是EAI实际应用情况的网络图

3．6、随着企业的发展，我们还可以随时在CentOS服务器上增加其他服务功能，例如：下图是在多功能服务器上增加了舆情监测服务平台，需要TOMCAT+JRE+MYSQL支持，

详见http://218.94.148.132:8080/WebNewsDisplay/show/new_login.jsp。，防火墙。

4、结束语

我们几乎是在零软件费用的情况下，在一台CentOS系统上建立了多功能的服务器系统，经过实际应用和测试，发现免费的多功能服务器系统的具有性能稳定、功能强大、方便实用等特性，相比其他产品（软件或硬件）不仅软件免费，而且在性能、功能、升级、扩展、管理等方面都非常不错，可以满足多数中小企业的基本要求，特别是可以用GHOST刻隆硬盘，在已有多功能服务器的情况下，只要30分钟左右，就可以安装一台新的多功能服务器，可以批量快速安装或作为备份使用，非常实用、方便、安全，完全可以作为中小企业免费的多功能服务器的解决方案。Mysql可以作为ERP或OA系统的后台，替代SQLSERVER等数据库，普通使用者可以用CentOS作为桌面系统，达到减少常用软硬件费用的目的，值得推广。

参考文献：

[1]梁如军，丛日权，周涛．CentOS 5系统管理[M]．北京：电子工业出版，2008．7

[2](美)Michael Rash 陈健．　Linux防火墙[M]．北京：人民邮电出版社，2009．6

[3]曹江华著．RHEL 5.0 服务器构件与故障排除[M]．北京：电子工业出版，2008．9

[4]卓文华讯，刘晓辉，陈洪彬编著．Red Hat Linux网络服务器管理及配置实战详解[M]．北京：化工工业出版社，2010．4

[5]周洁、刘红兵、王国平编著．Red Hat Enterprise Linux5网络配置与管理基础与实践教程[M]．北京： 电子工业出版社， 2009．2

[6][美]Richard Petersen著年孙天泽、袁文菊、李梅等译Fedora$ Red Hat Enterprise Linux参考大全[M]．北京：电子工业出版社， 2009．9

第8篇：网页安全论文范文

关键词：JavaScript程序设计；网页制作；教改

中图分类号：G642.0？摇 文献标志码：A？摇 文章编号：1674-9324（2013）05-0239-02 JavaScript是web上的一种功能强大的网络脚本编程语言，通过嵌入在HTML网页代码中而获得用户交互功能、制作网页外观特效等，具有很强的实践操作，是因特网上最流行、使用最广的脚本语言之一[1]。然而，对于这么一门实用性很强的技术课程，在教学上却存在着一些值得思考的问题。本文对JavaScript程序设计与网页制作基础两门课程开设中的教学安排进行了讨论，分析了JavaScript程序设计课程教学方法及其通过JavaScript程序设计这门课程对学生网页制作能力培养的方式。

一、目前普遍的课程设置现状

对于高校教育的网页制作基础和JavaScript程序设计这两门课是一个延续性课程，是从网页基础制作到优化的进一步深入。JavaScrip程序设计最终目的是对网页进行进一步的优化，用来改进设计、验证表单、处理事件、检测浏览器、添加网页特殊效果等。学生在学习JavaScrip脚本编程之前，需要一定的网页制作基础，web基本知识、HTML/XHTML制作、网页的CSS层叠样式表技术及其网页布局等。按照学习知识的连贯性，应该是先开设网页设计基础，再进行学习JavaScrip程序设计的学习，这样才能达到一个很好的教学衔接，使得学生对整个网页网站制作包括网页初步制作、网页优化改进、网页后台数据管理及其网站维护的等系列学习将打下坚实的基础和有一个知识结构整体性的把握。

从本科教育的整体教学安排上看，学习计算机专业知识体系需要有一定的完整性，目前普遍高校的本科计算机专业理论课程的教学安排是很饱和的，特别是计算机科学与技术专业。如果要让学生掌握实用性强的网站开发等一系列技术，先开设网页制作基础，后又安排JavaScrip程序设计，那么课程安排就将变得紧张。因此，很多高校采取只选开一门课程作为学生涉足网页制作领域的一个入门介绍。单一开设网页制作基础课程是大多数高校计算机专业所选择的。高校一般按照目前多数网页制作基础教材的章节，使学生了解网页制作的基本知识，掌握最基本的网页制作流程、技术和方法，但是很难在课堂上让学生接触更多最新最流行的网页制作技术。目前也有高校不设置网页制作基础课程而直接开设JavaScript程序设计课程，教师在教授方式和考核方式上也有所创新，比如案例教学法导入新课[2]、考核过程中引入项目管理过程[3]等。学生在学习JavaScript脚本编程之前，教师一般采用花一定的课时量介绍网页制作基本技术，然后再学习JavaScript脚本编程。用这样的教学方式让学生先初步了解网页的制作，再通过学习JavaScript掌握网页优化的过程，接触最流行的网页制作技术。这种教学安排会因少了网页制作基础而使得教师、学生在教与学过程中碰到一定的知识衔接性难题，不过却很好的锻炼了学生的自学能力。

二、JavaScript程序设计教学改革的对策

1.通过“交流探索法”激发学生的学习兴趣。在高等本科院校中，作为计算机专业的学生应该具有基本的编程能力和一定的自我学习能力。学生只有在学会了基网页制作基本技术之后，才能对网页进行脚本编程的优化、添加特殊效果等。直接学习JavaScript程序设计课程这样的教学安排，促使学生自觉的在课后找相关资料、网上教程来学习网页制作。学生进行自我钻研、亲自上机实验来学习网页制作基础。等学生遇到问题、困难不能解决的时候，再有方向性的请教师进行指导、解答。通过教师的提点，让学生自己去探索，最终达到自行解决问题的效果。这种教学方式，不仅锻炼学生的自学能力，同时也增进了师生之间的学术交流。避免了单一枯燥的教师讲授、学生聆听的教学模式，训练学生思考的习惯。由学生发现问题、提出问题，之后经过教师的指导、学生自己的钻研，最终把问题解决。这样的学与教的过程才更能让学生感受到学习的成就感，最终激发学生更高的学习兴趣，去探索更深层的知识。

2.注重提高学生的动手能力。对于JavaScript的编程基础，教师无需再讲授，只要点出JavaScript脚本语言的一些值得注意或特殊的地方，例如JavaScript与Java中对象和类的微小语法区别。对于已经学习过基础语言C和Java的学生，完全可以自行掌握语言的基本用法。如果对已经熟知且简单的知识，教师都按课程安排一一的讲授，不断的重复，学生会因为感到容易而觉得无聊，导致听课注意力不集中，最终漏掉了该注意的知识点；同时也引发学生不去思考，不去联想，不能学会举一反三的思维能力。对于教学演示方面，例如表单处理、对象和DOM、事件处理等是Javascript脚本编程的核心内容，教师是要做详细的解释和演示的。这些章节的学习，一般教程中都给出了大量的实例，可以让学生看到效果；但如果教师对每种效果都一一操作、手把手的演示，则很容易使学生养成只动眼看不动手操、更不会动脑子的习惯。计算机专业的学习，即使再简单的操作如果不亲自实践，是发现不了其中的问题，就无法真实的掌握知识。

3.教学考核与实践相结合。网页制作、JavaScript程序设计等操作性课程，最有成效的学习就是在实践中收获。目前大多教师在课程验收中布置的网站制作，一般没有直接接触到现实因特网的应用，所以学生制作网页的创造力不够，很多实用知识点得不到运用和体现，特别是网页优化、特效等最流行的技术难以融入到自己的作品中。要让学生真正能掌握计算机技术的最好途径就是学以致用，进行实战练习。所以，在学习JavaScript脚本编程到一定程度以后，就可以让学生自己动手实现网页制作。主要从两个方面进行教学实践：一是让学生模拟现实因特网上的一些网站的制作，模拟网站中用JavaScript做的事件、效果。二是与一些单位或部门联系，给学生接网站制作的小项目，让学生以团队的方式完成客户的需求，真正达到项目开发的实践。

教学实践是因人而异的，有些学生学习能力非常强、善于自我学习、自我攻克，则可以让他们挑战难度大一点或者是课外延伸的知识，这是提高学生计算机专业技术能力的最好办法之一。鼓励学生接一些小型的商业网站开发，或是免费给学校院系、企事业单位的网站进行模块的拓展添加。让学生带着压力去社会实践，既可以培养学生的责任感、团队合作精神，同时更重要的是学生能在满足实际的社会需求中得到网页制作最流行的设计和技术，积累丰富的实践经验。而学习能力相对弱、需要老师一步步带领、指导的学生，则可以让其进行实践模仿，模仿网络中已经存在的优秀的网站，从模仿中感知新技术，从而达到知识的内化。

综上所述，本文讨论了JavaScript程序设计课程与网页制作基础课程在本科教学安排中的存在的选择性问题；认为用培养学生的自学能力为主要的授课方式讲解JavaScript脚本编程语言，采用教学与实践相结合的方法锻炼学生的动手能力、增强学生网站开发的实践经验，从而提高JavaScript程序设计课程的教学水平与质量。

参考文献：

[1]阮文江.JavaScript程序设计基础教程[M].北京：人民邮电出版社出版，2010.

第9篇：网页安全论文范文

[关键词] 安全模型 电子商务 网络 局域网

一、引言

一个电子商务系统的性能如何，可以通过网络的吞吐量、主机的运算速度、数据库的TPC等量化指标来衡量，用户可根据自己的业务情况、资金条件来选择系统性能。而一个电子商务系统的安全如何，则是个难以量化的指标，“什么事情也没有”实际上就是安全的最高境界，而“什么事情也没有”最容易产生忽视安全问题。因此很好地解决系统的安全问题是非常重要的。

二、动态安全模型P2DR

由于网络技术的发展和入侵技术的不断提高，传统的安全模式已经不能满足当今的网络安全需要。要达到理想的安全目标，它更应该是一个灵活可适应的过程，它必须对你的网络提供安全状态反馈，迅速分清攻击和误操作，并能够提供适当的重新配置和响应能力。

面对不可避免的各种攻击，系统安全的重点应放在如何在安全策略的指导下及时发现问题，然后迅速响应，P2DR模型就是这样的一个动态安全模型，它对传统安全模型作了很大改进，引进了时间的概念，对实现系统的安全、评价安全状态给出了可操作性的描述。所谓动态的，是指安全随着网络环境的变化和技术的不断发展进行不断的策略调整;所谓基于时间的，是指一个黑客在到达攻击目标之前需要攻破很多的设备(路由器，交换机)、系统(NT， UNIX)和防火墙的障碍，在黑客达到目标之前的时间，被称之为防护时间Pt；在黑客攻击过程中，检测到他的活动的所用时间称之为Dt；检测到黑客的行为后，需要做出响应，这段时间称之为Rt。

上图为P2DR模型，它包含4个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)，防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。即:传统的防护模式+静态漏洞的检测+动态威胁的及时检测+快速的响应。

在整体的安全策略的控制和指导下，P2DR模型在综合运用防护工具(如:防火墙、操作系统身份认证、加密等手段)的同时，利用检测工具(如:漏洞评估、入侵检测等系统)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。P2DR模型可用简单的数学公式来描述:

1. Pt>Dt+Rt

公式中Pt表示系统为了保护安全目标设置各种保护后的防护时间，也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始，系统能够检测到攻击行为所花的时间。Pt为发现攻击后，系统能做出足够响应将系统调整到正常状态的时间。

如果系统能满足上述公式，即:防护时间Pt大于检测时间Dt加上响应时间Rt，则认为该系统为安全的，因为它在攻击危害系统之前就能够检测到并及时处理。

2.Et=Dt+Rt，IF Pt=0

公式中 表示系统的暴露时间。假定系统的防护时间Rt为0，对Web Server系统就是这样，系统突然遭到破坏，则希望系统能快速检测到并迅速调整到正常状态，系统的检测时间Dt和响应时间Rt之和就是系统的暴露时间Et，该时间越小，系统安全性越好。

由此，可得出安全的新概念：及时的检测、响应和恢复就是安全。这样难于量化的安全可通过指标：防护时间Rt、检测时间Dt和响应时间Rt来衡量，延长这些指标可提高系统的安全性。

三、基于P2DR模型的安全解决方案

不同的安全应用和安全需求，会形成不同的安全解决方案，以下三种模型为典型的P2DR模型方案。

1.动态安全模型

动态安全模型(见表1)将传统的静态防火墙和最新的入侵检测技术结合起来，形成动态的防御体系。

为了保护一个网络的安全，很多企业都安装了防火墙。防火墙在一定程度上保护我们的网络系统不受到入侵，但一方面它只起到网关和包过滤的作用，有些固有的服务端口必须打开，比如www服务必须要把80端口打开，那么它无法阻止黑客通过80端口对内部的网络或系统进行的攻击，另一方面，防火墙无法阻止内部人员对内部网络的攻击，所以要采用实时入侵检测系统对网络进行实时的监控。防火墙好比一个企业的防盗门，实时入侵检测系统好比24小时执守的保安，假如一个人员非法取得钥匙或破门而入，防盗门无法判断进入企业的人是坏人还是好人，而执守的保安会及时判断这个人可不可以通过。一旦发现透过防火墙的信息包具有攻击特征，马上重新调整防火墙，阻止入黑客的进一步入侵。

2.主页安全模型

主页安全模型(见表2)将传统的、简单的备份和恢复机制，通过P2DR模型给予全新的描述。例如，有一个ICP的网站，为了保护主页和一些重要的页面被篡改，或者是被入侵者篡改后能及时恢复，首先要对这些主页进行备份。在Web服务器在运做过程中，还需要对这些重要页面进行监控，比如定时检查页面的内容是否发生改变，页面文件的字节数是否发生变化等，一旦这些变化发生，即可判断很可能是页面被入侵者修改。一旦发现页面被修改，立即把原来备份的页面恢复(Restore)。

3.系统配置安全模型

系统配置安全模型使得用户对自身系统的安全状态和配置有比较准确的认识(见表3)。当我们在机器上安装了某个系统，在正式生产(运行)之前需要对系统进行配置(Security Configuration)，比如添加用户，授权，应用软件的安装及配置等等。系统经过一系列的调整及配置后，需要对它进行全面的安全评估，也就是对它进行漏洞的扫描(Vulnerability Scan)。最后根据扫描结果，对漏洞进行修补，并对系统进行重新的配置(Reconfig)。

在实际应用中，可以将这些安全模型进行有机结合，形成完整的系统安全解决方案。

四、小结

随着Internet技术和规模的不断发展，其应用的范围和领域也迅速扩展，安全问题日益突出，特别是在与金融相关的领域。在满足系统所有需求的基础上，用传统的方法解决安全问题，存在很多弊病。无论从时间，还是从现有的知识水平来看，我们都不可能从一开始就能将安全问题及相应的解决方案考虑得滴水不漏。安全是动态的，它随着新技术的不断发展而发展，它集技术、管理和法规综合作用为一体，因此对安全问题的解决要有一个整体框架，并体现其动态性。

安全是一项系统工程，除在网络设计、硬件和软件配置及使用中要高度重视外，还必须建立和完善网络安全管理制度，使管理人员和网络用户牢固树立安全和法律意识，做到网络安全管理的法制化和规范化，有效的落实安全管理制度是实现安全的关键。从理论上讲，绝对安全的网络是没有的，但通过各方面的努力，可以将网络潜在的危险性降到最低限度。

参考文献:

[1]周松华:基于资源的电子商务自动协商模型研究[D].广州:华南师范大学硕士学位论文，2005

[2]Frank Teuteberg， Karl Kurbel， Anticipating Agents’ Negotiation Strategies in an E-marketplace Using Belief Models. Business Informatics， 2002