網站安全論文匯總十篇
時間:2022-04-15 15:41:00
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網站安全論文范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
篇(2)
關鍵字:網站安全性管理
Abstract
Thisarticlefirstintroducedthenetworkandthewebsitesecurityhiddendanger,thesecurityhiddendangerwhichappearsfrequentlyincludingthecommonnetworksecurityhiddendangerandwebsiteitself,afterwardstheauthorbrieflyintroducedthenetworksecuritydefense,andintroducedwebsiteownsafedefenseindetail.
一、前言
隨著計算機信息技術的高速發展,人們的生活、工作越來越依賴互聯網上的信息和信息獲取,但是人們卻時刻被信息網絡的安全隱患所困擾,越來越多的人也開始了關于網絡、網站的安全性管理研究。
網站安全是指對網站進行管理和控制,并采取一定的技術措施,從而確保在一個網站環境里信息數據的機密化、完整性及可使用性受到有效的保護。網站安全的主要目標就是要穩妥地確保經由網站傳達的信息總能夠在到達目的地時沒有任何增加、改變、丟失或被他人非法讀取。要做到這一點,必須保證網站系統軟件、數據庫系統其有一定的安全保護功能,并保證網站部件如終端、數據鏈路等的功能不變而且僅僅是那些被授權的人們可以訪問。
網站安全目前已發展成為一個跨學科的綜合性學科,它包括通信技術、網站技術、計算機軟件、硬件設計技術、密碼學、網站安全與計算機安全技術等,網站安全是在攻擊與防范這一對矛盾相互作用的過程中發展起來的。新的攻擊導致必須研究新的防護措施,新的防護措施又招致攻擊者新的攻擊,如此循環反復,網站安全技術也就在雙方的爭斗中逐步完善發展起來。
二、網絡與網站安全隱患概述
目前影響網站安全的問題主要來自于網絡的不安全性,所以在這個意義上講,網站的安全漏洞其實也就是網絡的安全漏洞,其漏洞主要來自以下幾個方面:
1.自然因素:
1.1軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.1.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.1.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.1.3、口令攻擊。例如,Unix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
1.2病毒攻擊
計算機病毒一般分為四類:①文件型病毒(FileViruses);②引導型病毒(SystemorBootSectorVirus);③鏈式病毒(SYSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。計算機病毒的主要危害有:對計算機數據信息的直接破壞作用,給用戶造成重大損失:占用系統資源并影響運行速度:產生其他不可預見的危害:給用戶造成嚴重的心理壓力。
計算機病毒疫情呈現出多元化的發展趨勢,以網絡為主要傳播途徑。呈現以下顯著特點:①網絡病毒占據主要地位;②病毒向多元化、混合化發展;③利用漏洞的病毒越來越多。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信急。
當然作為本文最討論的網站安全,它也有它自身的安全隱患存在,主要體現在以下幾點:
3.用戶輸入驗證不全面
在網站編程中,對于用戶和用戶的輸入,都必須抱懷疑態度,不能完全信任。所以,對于用戶的輸入,不能簡單的直接采用,而必須經過嚴格驗證,確定用戶的輸入是否符合輸入規則才可以錄入數據庫。用戶輸入驗證應該包括以下幾個方面:
(1)輸入信息長度驗證。程序員往往認為一般用戶不會故意將輸入過分拉長,不進行輸入驗證可能沒有危害。但如果用戶輸入的信息達到幾個兆,而程序又沒有驗證長度的話,可以使程序驗證出錯或變量占用大量內存,出現內存溢出,致使服務器服務停止甚至關機。
(2)輸入信息敏感字符檢查。在設計程序的時候,程序員可能都會關注javascript的一些敏感字符,如在設計留言版的時候,會將“<”等符號的信息過濾,以免用戶留下頁面炸彈。但還有以下幾個方面需要特別注意,一是留言版內容信息的過濾。二是用戶名信息的過濾。程序設計中,對用戶名的驗證往往只是驗證長度,沒有驗證javascript或者HTML的標記,這樣就容易形成漏洞。三是Email信息的驗證,Email信息往往也只驗證是否含有“@”符號,其他沒有限制,這容易形成兩個漏洞:輸入信息過長的內存溢出漏洞;含有javascript等字符信息,造成顯示用戶Email的時候形成頁面炸彈等。四是搜索信息的驗證。盡管搜索信息不會直接保存到網站服務器,但是,搜索信息卻與數據庫或者服務器所有文件密切相關,如果搜索信息有問題,很容易就會暴露一些本來不應該暴露的數據庫信息或者文件信息。如果用戶對程序比較了解,可設計一些很特別的搜索信息,檢索他不應該檢索的數據庫表,例如用戶賬號密碼表等。因此,一般要驗證一些常見的用于數據庫操作的語句,例如搜索信息是否含有“Select”等,這樣來限制用戶輸入,避免信息的泄露。
4.頁面行為方式缺乏邏輯
在網站中注冊新用戶的時候,一般會首先要求用戶輸入自己需要注冊的賬號信息,驗證該賬號是否已經存在,確保用戶的單一性。如果用戶的注冊信息通過了“存在該賬號”的檢測,在編程的時候就認為這個賬號一定不存在,可以注冊,在注冊頁面中直接使用“nsertInto”語句將注冊信息插入用戶數據庫。上述的問題是:將注冊信息插入數據庫之前,并沒有再一次檢查這個用戶是否存在,而是信任前一個檢測頁面傳來的賬號信息。由于可以閱讀和保存HTML文件的源代碼,如果用戶將注冊通過的頁面保存并且將上面的賬號信息修改為一個已經存在的賬號,由于程序認為該賬號已經通過檢測,直接將該賬號插入數據庫,原來擁有該賬號的用戶信息就被修改,造成用戶信息流失、出錯等情況的發生。如果這個賬號剛好是一個管理員賬號,結果將是很難預料的。
使用以上錯誤方式編程的程序員很多,隨便在網上找就可以找到很多這種方式編程的源代碼和已經采用的程序。在電子商務初期,一些電子商務網站的程序中,存在著用戶可以隨意定義自己購買商品的價格這樣的漏洞,也就是由頁面行為方式缺乏邏輯造成的。
當然,網站安全還包括比如服務器攻擊、病毒攻擊等方面,但這些方面基本都屬于上文中介紹過的網絡安全問題,另外由于篇幅問題許多細節問題也不在此累贅了。
三、網站安全管理策略探討
1.網絡安全的管理
1.1使用防火墻
防火墻作為使用最多,效率最高的網絡安全產品自然有它自身的優勢,所以防火墻在整個網絡安全中的地位將是無可替代的。
1.2與因特網接入處增設網絡入侵檢測系統
入侵檢測系統(IDS即IntrusionDetectSystem)是實時網絡違規自動識別和響應系統,它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方,通過實時截獲網絡數據流,能夠識別、記錄入侵或破壞性代碼流,尋找網絡違規模式和未授權的網絡訪問,一經發現入侵檢測系統根據系統安全策略做出反應,包括實時報警、自動阻斷通信連接或執行用戶自定義安全策略等。
1.3病毒防御
選購殺毒軟件,必須考慮產品的采購成本、應用(管理、維護)成本,以及將來企業或網絡規模變化后,軟件能否實現平滑過渡等問題。只有明確需求,重視產品的應用和管理,把網絡防病毒納入到信息安全防范體系之中進行綜合防范,才能有效提升企業的信息安全水平。單純防病毒,并不是企業的最終目標。
當然,對于網絡安全的防御目前比較成熟的技術相當多,我們只有認準適合自己的技術,并采用多種技術相互結合才能達到相應的目的,由于篇幅有限對于其他諸如身份認證、數字簽名等技術的介紹就不在此累贅了。
2.網站自身的安全管理
2.1網站服務器的安全管理
網站服務器的日常管理、維護工作包‘括網站服務器的內容更新、日志文件的審計、安裝一些新的工具和軟件、更改服務器配置、對服務器進行安全檢查等。主要注意以下幾點:
①從網絡結構設計上解決安全問題
安裝一個功能強大的防火墻可以有效防御外界對Web服務器的攻擊,還可通過安裝非法人侵監測系統,提升防火墻的性能,達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作,當有入侵者攻擊時可以立刻有效終止服務。同時應限制非法用戶對網絡的訪問,規定具有特定IP地址的客戶機對本地網絡服務器的訪問權限,以防止從外界對網絡服務器配置的非法修改。
②定期對網站服務器進行安全檢查
由于網站服務器是對外開放的,容易受到病毒的攻擊,所以應為服務器建立例行安全審核機制,利用漏洞掃描工具和IDS工具,加大對服務器的安全管理和檢查。另外,隨著新漏洞的出現,我們要及時為服務器安裝各類新漏洞的補丁程序,從而避免服務器受到攻擊和出現其他異常情況。
③定期進行必要的數據備份
對服務器上的數據定期進行備份是很重要的。網站的核心是數據,數據一旦遭到破壞,后果不堪設想。除了設置相應權限外,應建立一個正式的備份方案,而且隨著網站的更新,備份方案也需要不斷地調整。
2.2數據庫安全管理
數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業務應用系統后臺數據庫的安全性,采用基于Client/Server模式訪問后臺數據庫,為不同的應用建立不同的服務進程和進程用戶標識,后臺數據庫系統以服務器進程的用戶標識作為訪問主體的標識,以確定其訪問權限。我們通過如下方法和技術來實現后臺數據庫的訪問
控制。
①訪問矩陣
訪問矩陣就是以矩陣的方式來規定不同主體(用戶或用戶進程)對于不同數據對象所允許執行的操作權限,并且控制各主體只能存取自己有權存取的數據。它以主體標行,訪問對象標列,訪問類型為矩陣元素的矩陣。Informix提供了二級權限:數據庫權限和表權限,并且能為表中的特定字段授予Select和Update權限。因此,我們在訪問矩陣中定義了精細到字段級的數據訪問控制。
②視圖的使用
通過視圖可以指定用戶使用數據的范圍,將用戶限定在表中的特定字段或表中的特定記錄,并且視圖和基礎表一樣也可以作為授權的單位。針對不同用戶的視圖,在授權給一用戶的視圖中不包括那些不允許訪問的機密數據,從而提高了系統的安全性。
③數據驗證碼DAC
對后臺數據庫中的一些關鍵性數據表,在表中設置數據驗證碼DAC字段,它是由銀行密鑰和有關的關鍵性字段值生成。不同記錄的DAC字段值也不相同。如果用戶非法修改了數據庫中的數據,則DAC效驗將出錯,從而提高了數據的安全性。
2.3編碼中的安全管理
防止惡意代碼注入
①驗證輸入,使攻擊者無法注入腳本代碼或使緩沖區溢出
②對所有包含輸入的輸出進行編碼。這可防止客戶端瀏將潛在的惡意腳本標記作為代碼進行轉換。
③使用接受參數的存儲過程,防止數據庫將惡意SQL輸為可執行語句進行處理。同時使用特權最低的進程帳戶和模擬帳戶。在攻擊者企圖應用程序的安全上下文執行代碼時,可緩解風險并減少損害。
防止會話劫持:
①分隔個性化cookie和身份驗證cookie。
②僅通過HTTPS連接傳遞身份驗證cookie。
③不傳遞在查詢字符串中代表已通過身份驗證的用戶標識符。
最為一名網絡或者網站管理員,有責任同時也有義務做好網站的維護與管理,這就需要我們管理人員時刻保持虛心學習的心態,時刻關注新的管理技術與安全防御技術。對于已經出現的安全問題應該用最快、最有效的方法加以解決,對于目前還未出現的安全問題要有預見性,這才是一名優秀的網絡管理員。
參考文獻:
[1]沈文智.MicrosoftBS網頁技術[M].北京:人民郵電出版社.1998.
篇(3)
1網站技術簡介安全威脅的來源
1.1WWW技術簡介
WorldWideWeb稱為萬維網,簡稱Web。分成服務器端、客戶接收機及通訊協議三個部分。
1.1.1服務器(Web服務器)
服務器結構中規定了服務器的傳輸設定、信息傳輸格式及服務器本身的基本開放結構。Web服務器的作用就是管理這些文檔,按用戶的要求返回信息。
1.1.2客戶接收機(Web瀏覽器)
客戶機系統稱為Web瀏覽器,用于向服務器發送資源索取請求,并將接收到的信息進行解碼和顯示。Web瀏覽器是客戶端軟件,它從Web服務器上下載和獲取文件,翻譯下載文件中的HTML代碼,進行格式化,根據HTML中的內容在屏幕上顯示信息。
1.1.3通訊協議(HTTP協議)
Web瀏覽器與服務器之間遵循HTTP協議進行通訊傳輸。HTTP(HyperTextTransferProtocol,超文本傳輸協議)是分布式的Web應用的核心技術協議,在TCP/IP協議棧中屬于應用層。它定義了Web瀏覽器向Web服務器發送索取Web頁面請求的格式,以及Web頁面在Internet上的傳輸方式。
1.2服務器安全威脅
對于Web服務器、服務器的操作系統、數據庫服務器都有可能存在漏洞,惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務器上的漏洞可以從以下幾方面考慮:
Web服務器操作系統本身存在一些漏洞,能被黑客利用侵入到系統,破壞一些重要文件,甚至造成系統癱瘓。
Web數據庫中安全配置不完整,存在弱口令或被數據庫注入等安全漏洞,導致數據丟失或服務中斷。
Web服務器上的數據存儲結構不合理,沒有劃分安全區域或重要數據沒有存放在安全區域,導致被侵入。
Web服務器上運行的程序存在安全漏洞,或應用程序所需要的權限過高沒有優化,容易被黑客侵入。
1.3客戶端安全威脅
現在網頁中的活動內容已被廣泛應用,活動內容的不安全性是造成客戶端的主要威脅。主要用到JavaApplet、ActiveX、Cookie等技術都存在不同的安全隱患。
1.4數據傳輸中的安全威脅
Internet是連接Web客戶機和服務器通信的信道,是不安全的。未經授權的用戶可以改變信道中的信息流傳輸內容,造成對信息完整性的安全威脅。此外,還有像利用拒絕服務攻擊,向網站服務器發送大量請求造成主機無法及時響應而癱瘓,或者發送大量的IP數據包來阻塞通信信道,使網絡的速度便緩慢。
2WEB安全保護的原則
2.1實用的原則
針對網站架構,網站安全問題主要分為以下四個方面:服務器安全、邊界安全、Internet和Extranet上的安全,在攻擊行為發生前,做到防患于未然是預防措施的關鍵。
2.2積極預防的原則
對WEB系統進行安全評估,權衡考慮各類安全資源的價值和對它們實施保護所需要的費用,通過評估,確定不安全情況發生的幾率,采用必要的軟硬件產品,加強網站日常安全監控。
2.3及時補救的原則
在攻擊事件發生后盡快恢復系統的正常運行,并找出發生攻擊事件問題的原因,將損失降至最低,并研究攻擊發生后應對措施。3建立安全的Web網站
3.1合理配置主機系統
3.1.1僅提供必要的服務
默認安裝的操作系統都有一系列常用的服務。例如UNIX系統將提供Finger、Sendmail、FTP、NFS、IP轉發等,WindowsNT系統將提供RPC、IP)轉發、FTP、SMTP等。而且,系統在缺省的情況下自動啟用這些服務,或提供簡單易用的配置向導。為此,在安裝操作系統時,應該只選擇安裝必要的協議和服務;對于UNIX系統,應檢查/etc/rc.d/目錄下的各個目錄中的文件,刪除不必要的文件;對于Windows系統,應刪除沒有用到的網絡協議,不要安裝不必要的應用軟件。一般情況下,應關閉Web服務器的IP轉發功能。
對于專門提供Web信息服務(含提供虛擬服務器)的網站,最好由專門的主機(或主機群)作Web服務器系統,對外只提供Web服務,沒有其他任務。這樣,可以保證(1)使系統最好地為Web服務提供支持;(2)管理人員單一,避免發生管理員之間的合作不調而出現安全漏洞的現象;(3)用戶訪問單一,便于控制;(4)日志文件較少,減輕系統負擔。
對于必須提供其他服務,則必須仔細設置目錄、文件的訪問權限,確保遠程用戶無法通過Web服務獲得操作權限。
3.1.2使用必要的輔助工具,簡化安全管理
啟用系統的日志(系統帳戶日志和Web服務器日志)記錄功能。監視并記錄訪問企圖是主機安全的一個重要機制,以利于提高主機的一致性以及其數據保密性。
3.2合理配置Web服務器
在UnixOS中,以非特權用戶而不是Root身份運行Web服務器。
(1)設置Web服務器訪問控制。通過IP地址控制、子網域名來控制,未被允許的IP地址、IP子網域發來的請求將被拒絕;
(2)通過用戶名和口令限制。只有當遠程用戶輸入正確的用戶名和口令的時候,訪問才能被正確響應。
(3)用公用密鑰加密方法。對文件的訪問請求和文件本身都將加密,以便只有預計的用戶才能讀取文件內容。
3.3設置Web服務器有關目錄的權限
為了安全起見,管理員應對”文檔根目錄“和“服務器根目錄”做嚴格的訪問權限控制。
服務器根目錄下存放日志文件、配置文件等敏感信息,它們對系統的安全至關重要,不能讓用戶隨意讀取或刪改。
服務器根目錄下存放CGI腳本程序,用戶對這些程序有執行權限,惡意用戶有可能利用其中的漏洞進行越權操作。
服務器根目錄下的某些文件需要由Root來寫或者執行,如Web服務器需要Root來啟動,如果其他用戶對Web服務器的執行程序有寫權限,則該用戶可以用其他代碼替換掉Web服務器的執行程序,當Root再次執行這個程序時,用戶設定的代碼將以Root身份運行。
3.4安全管理Web服務器
篇(4)
1.2漏洞掃描系統的建立對服務器、工作站以及交換機等關鍵網絡設備的檢查其必須要采用當前最為先進的漏洞掃描系統,同時定期對上述關鍵網絡設備進行檢查,并對檢測的報告進行分析,從而為網絡的安全提供保障。
1.3培養網絡安全人才網絡安全人才的培養是一個很重要的問題。在我國,專門從事網絡安全問題的部門、單位比較少,技術人員十分缺乏,并且網絡人員以及網絡管理人員網絡安全意識比較淡薄,缺乏必備的安全知識。所以,我國急切需要培養大量的網絡安全人才,并提高他們的網絡安全意識和學習必備的安全知識。只有這樣,我國才能在網絡安全領域的研發、產業發展、人才培養等方面更快發展,縮小和國外的,是我國的網絡更加的安全,國家更加的安全。
1.4大力發展自主性網絡安全產業大力開發有自主知識產權的網絡安全產品可以有效提高網絡安全性能,是徹底擺脫進口設備的有效途徑,自己掌握關鍵技術是大力發展自主性網絡安全產業的關鍵。通過加大對網絡安全技術網絡安全技術研究開發與研究的投人,可以使網絡安全技術水平得到進一步的提高。
2網絡安全的發展趨勢
隨著我國當前網絡技術的飛速發展,原來的采用單點疊加方式的網絡防護手段已經不能抵御當前混合型的網絡威脅。因此,構建考慮局部安全、智能安全和全局安全的一個安全體系,以此為廣大的網絡用戶提供更為全方位和多層次的立體防護體系,是當前做好網絡安全建設的一個重要的理念,同時也是網絡安全未來發展趨勢。
2.1網絡安全技術的融合發展在網絡普及率不斷提高的情況下,網絡所面臨的威脅也日益加劇。傳統的以單一防護的方式已經成為過去。因此,只有通過技術的融合,建立更加智能化、集中化的管理體系,成為未來網絡安全的必然。未來網絡的規模會越來越龐大和復雜,網絡層的安全和暢通已經不能僅僅依靠傳統的網絡安全設備來保證,因此整體的安全解決方案開始融合以終端準入解決方案為代表的網絡管理軟件。終端準入解決方案為網絡安全提供了有效保障,幫助用戶實現了更加主動的安全防護,實現了更加高效、便捷地網絡管理目標,全面推動了網絡整體安全體系建設的進程。
2.2網絡主動防御的發展網絡主動防御的理念已經被提出來很多年了,但是和其他理論一樣,在其發展的時候遇到了很多阻礙。所謂的網絡主動防御,其實質就是通過對指定程序或者是線程方面的行為,并按照事先設定的規則,從而判斷該行為是否是屬于病毒或者是比較危險的程序,以此對其進行清除。通過主動防御可有效的提高系統整體的安全策略,并推進整個互聯網絡的智能化的建設。該產品在現階段的發展中還不夠成熟,但是未來隨著技術的進步,該技術會更為完善,從而成為未來互聯網的發展趨勢。
篇(5)
網站開發論文參考文獻:
[1]黃寶玉,項國雄.國家精品課程建設現狀分析及思考[J].中國高教研究,2007(9):72-75.
[2]史金昌.淺析基于ASP.NET的Web網絡應用程序的安全開發[J].科技創新導報,2008(23):37.
[3]李志勇,魏紅.高校精品課程數字化資源建設與推廣應用研究[J].電腦知識與技術,20l0(2):485-486.
[4]張書梅,符蘊芳,劉智國.網站安全管理的方法與具體實現[J].石家莊學院學報,2005,7(6):54-56.
[5]陽衛文,王建斯,基于P2P流媒體系統模型的研究進展[J].現代電子技術,2008(2):159-161.
[6]萬榮澤.基于ASP.NET技術的統一后臺網站群的設計[J].微計算機信息,2007,23(8):260-262.
[7]王紅雨,蔡成聞.基于ASP.NET的課程平臺設計與實現[J].聊城大學學報:自然科學版,2007,20(1):78-82.
[8]顧正剛,畢海峰.網站規劃與建設[M].北京:機械工業出版社,2007:4-8.
網站開發論文參考文獻:
[1]孔祥鑫.基于PHP技術的校園網站的設計與實現[D].天津:天津師范大學,2012.
[2]李良.基于PHP的商業站點設計與實現[D].南昌:南昌大學,2010.
[3]杜闖.PHP在動態網站開發中的優勢[J].電腦知識與技術,2010(13).
[4]賈素來.使用PHP和MySQL開發動態網站[J].大眾科技,2011(3).
[5]李晶.PHP技術應用于中小企業網站開發探討[J].軟件開發設計,2014(10).
[6]杜闖.PHP在動態網站開發中的優勢[J].電腦知識與技術,2010(13).
[7]賈素來.使用PHP和MySQL開發動態網站[J].大眾科技,2011(3).
網站開發論文參考文獻:
[1]靳瑩.基于緩存技術的內容管理系統研究[D].吉林大學,2014.
[2]黃菊.分布式緩存技術及其在車輛監控系統中的應用[D].北京郵電大學,2015.
[3]崔解賓.分布式內存緩存技術在數據處理平臺中的研究與應用[D].北京郵電大學,2015.
[4]李光瑞.Map/Reduce型海量數據處理平臺中的內存級數據緩存技術研究[D].北京工業大學,2013.
[5]易會戰,王鋒,左克,楊燦群,杜云飛,馬亞青.基于內存緩存的異步檢查點容錯技術[J].計算機研究與發展,2014(06):1229-1239.
篇(6)
關鍵詞:
期刊網站;評價;指標;構建
隨著信息技術的飛速發展,以及互聯網應用水平的持續提高,期刊出版業正在發生深刻的變革,期刊的數字化、網絡化要求不斷提高[1-2]。期刊出版不僅要實現編輯過程的網絡化,更要做到出版、發行等全方位的網絡化,以提高工作效率,加快信息傳播速度,提升科技期刊的核心競爭力[3]。期刊自建網站無疑是期刊全方位網絡化的基礎,是擴大期刊顯示度,提升期刊核心競爭力的有效途徑。通過自建網站,編輯部不僅能實現期刊編輯、出版有關的組稿、收稿、審稿、編輯加工到發排出版全過程的網絡化,而且可以加強對期刊的宣傳,擴大期刊的影響力,方便讀者、作者、專家和編委隨時了解期刊的最新動態[4-5]。期刊網站按構成一般可分為功能層、內容層和效用層3個層次[6]。期刊網站的功能和內容一般包括期刊基本信息、期刊內容數字化、在線辦公、服務讀者、在線經營與管理以及其它擴展信息與功能等6個方面[7-8]。前期研究表明,江蘇省科技期刊網站存在功能和內容參差不齊、網絡化程度不高、網站管理與服務不到位、網站經營能力不足等問題,網站功能仍停留在淺層次[9]。為進一步評價江蘇省科技期刊網站的功能與服務,以網站構成的3個層次為前提,依據網站建設、網站內容、網站功能與網站管理等指標構建期刊網站評價指標體系,并對現有期刊網站進行評級。旨在找出江蘇省科技期刊網站建設過程中存在的問題與不足,提出相應的解決措施與對策,從而促進江蘇期刊網絡化工作的整體發展。
1期刊網站評價指標體系的構建
1.1評價指標和權重的確定
構建評價指標體系首先要確定總體目標,再將總體目標進行分解,確立相應的一級、二級和三級指標,最終形成期刊網站的綜合評價指標體系。指標體系建立時,不僅要考慮網站內容與功能等核心指標,也要兼顧欄目設置、頁面布局、信息安全、信息更新管理及相關輔助功能情況[10]。根據期刊網站建設功能和內容包含的6個方面,并結合美國化學會期刊網站建設情況[11],確定了網站建設、網站內容、網站功能和網站管理等4個一級指標,并分解為10個二級指標和40個三級指標。評價指標在確定各自權重時,以網站內容和網站功能為主要指標,所占權重相對較高;而網站建設和網站管理作為輔助指標,所占權重較低,具體指標及權重如表1所示。
1.2評價指標的技術性分析
1.2.1網站建設
網站建設指標包括主頁設計、輔助功能兩個二級指標,主要用于評價網站設計的外在表現形式以及網站主頁中的相關輔助功能。可以簡單區分為定性和定量兩種形式,其中主頁設計是定性指標,通過訪問者對網站頁面布局、欄目分類、色彩搭配和整體效果等的總體評價來賦值,評價指標要求是網站主頁布局合理,欄目設置及分類層次清晰、重點突出,色彩風格和主色調能體現期刊特性和定位、設計風格統一,頁面整體美觀大方。輔助功能是定量指標,通過分析網站是否有友情鏈接、訪問統計、會員登錄、留言板、二維碼掃描和RSS訂閱等功能來賦值[12]。
1.2.2網站內容
網站內容根據不同的主體可分為:期刊信息和編輯部信息兩個二級指標。主要評價期刊信息和編輯部信息的完整性,包括:期刊介紹淵包括基本信息、報道范圍、數據庫收錄等冤、編委會、廣告服務、英文版網站以及必要的外延信息淵如在不同數據庫的影響因子、被引頻次、web下載率等指標冤;編輯部的聯系方式、通知公告和相關行業資訊,包括期刊動態、信息公告、編輯部工作安排以及行業會議、展覽等資訊,要求的信息規范、可靠,更新及時。
1.2.3網站功能
網站功能是評價指標體系中最重要的部分,也是權重最大的部分,可以說是整個期刊網站的核心部分。其目的是突出期刊網站的實用性,更好地服務作者、服務讀者、服務審稿專家,實現期刊從組稿、收稿、審稿、編輯加工到發排出版全過程的網絡化。網站功 能的二級指標包括在線采編、服務作者、服務讀者和特色服務4個二級指標。淵1冤在線采編。在線采編功能是指期刊網絡采編系統的使用,通過作者投稿/查稿、專家審稿和編輯辦公功能的開發,以實現作者、專家、編輯和主編等在線稿件處理。淵2冤服務作者。主要是為作者提供論文撰寫、格式規范、論文投稿與發表等過程中的相關參考,包括政策法規、編輯規范、征稿簡約/投稿指南、寫作模板和下載中心等。淵3冤服務讀者。包括當期目錄、過刊瀏覽、文獻檢索、論文下載淵全文冤和期刊訂閱等,即主要通過及時有效地將期刊內容網絡化,以便于讀者能更快更及時地獲取論文信息。淵4冤特色服務。包括文獻跟蹤、引文提示、E-mailAlert服務和科學普及等。傳統意義的文獻跟蹤服務是指讀者可以在某期刊網站上登記并標明感興趣的論題,當期刊本身或其它合作期刊發表相關文章時,該網站將通過電子郵件告知用戶,讓用戶及時獲得相關信息[11]。評價體系中的文獻跟蹤主要是指期刊已中與此篇論文相關的文章索引。引文提示是指期刊網站除了提供文獻信息外,還在論文全文的參考文獻后列出該文獻的他引情況,通過點擊他引,可快速鏈接到引用文獻來源期刊的網站,閱讀文獻摘要或全文。E-mailAlert服務可為用戶免費定制E-mail送達服務,可根據訂閱用戶的需求,每天或每周及時將內容目錄發送給用戶[13]。科學普及是指期刊網站的科普宣傳功能,網站利用文字、視頻、音頻、動漫等多種表現形式普及科學常識,既可以向公眾傳播專業知識、普及科學技術、提高全民科學素養,又可以擴大讀者范圍,提高期刊網站的點擊率和影響力。
1.2.4網站管理
網站管理主要分為信息內容管理和信息安全管理。信息內容管理包括留言及公告管理、信息更新量和信息時效性,要求有專人對網站進行日常維護和管理,信息更新及時有效,留言板等互動性信息能及時回復,與作者、讀者的互動性好。信息安全管理包括響應速度、可用性和安全性,要求期刊網站不能存在明顯的安全漏洞,對重要信息有相應的安全管理措施,并確保網站訪問的安全性;網站響應時間短、訪問速度快,兼容性好,能支持多種操作系統和不同版本的瀏覽器訪問。
2評價結果與分析
2.1網站等級的劃分及評定
根據2014年江蘇省新聞出版廣電局報刊核驗工作統計,江蘇省現有期刊442種,其中科技學術期刊228種,社科學術期刊115種,非學術期刊99種。228種科學技術期刊中擁有獨立域名網站的期刊145種。根據表1中科技期刊網站建設評價指標淵總分為100分冤對145種科技期刊進行評分,平均得分為73.4分,然后按照評分結果劃分為優、良、中、差4個等級,具體結果見表2。由表2可知,網站功能達到優秀等級的期刊僅7種,占所有期刊的比例不到5%,分別為中國藥科大學學報、排灌機械工程學報、巖土工程學報、江蘇大學學報淵自然科學版冤、實用心電學雜志、中國天然藥物淵英文冤和電力系統自動化。而等級為差的期刊有17種,比例達到了11.8%,這17種期刊網站基本只包含了簡單的期刊信息、編輯部信息,以及服務作者、服務讀者和輔助功能的部分內容,大多沒有在線采編淵或只有簡單的在線投稿冤、特色服務、全文下載等功能,缺少會員登錄、留言板、二維碼掃描、RSS訂閱等互動性較強的內容,信息更新量少,時效性差,無法滿足作者、讀者和審稿專家對期刊網站內容的需求。
2.2網站評價指標得分及分析
為更加系統全面地分析評價科技期刊網站的功能,以指導江蘇省科技期刊網站建設并促進其發展,對網站評價指標體系中一級和二級指標的得分情況進一步深入分析,具體見表3。由表3可知,網站建設指標的得分率為69.3%,其中輔助功能的得分率較低,僅為47.1%,輔助功能三級指標中會員登錄、留言板和其它淵二維碼掃描區、RSS訂閱等冤的得分率均較低,分別為21.4%、35.9%和21.7%。由此可以看出,網站建設時對于互動類欄目的開發不夠,分析其原因可能是:在網站運行過程中,互動類欄目的維護比較耗費時間,需要編輯部安排專門的人員進行維護,考慮到當前期刊編輯部普遍人手不足的現狀,互動類欄目的設計就顯得略有不足。網站內容指標的得分率為68.7%,其中期刊信息的得分率較低,僅為60.4%,期刊信息三級指標中廣告服務、英文版和外延信息淵影響因子、被引頻次等冤的得分率較低,分別為28.6%、37.6%和13.1%。分析原因可能是:當前中國大多數科技期刊的讀者群在國內,對于英文版重視程度不夠,同時對期刊的經營不夠,期刊的廣告服務功能缺失,很大一部分期刊沒有開通在線廣告服務。網站功能指標的得分率為72.3%,其色服務的得分率較低,僅為15.1%,特色服務三級指標中文獻跟蹤、引文提示、E-mailAlert服務和科學普及的得分率均較低,分別為24.1%、4.8%、23.4%和8.3%。此外,三級指標中行業資訊和政策法規的得分率也僅為34.1%和17.6%。
3問題與建議
3.1問題分析
通過期刊網站評價指標體系的構建,對江蘇省145種科技期刊網站進行了分析與評價,可以看出,江蘇省科技期刊網站建設取得了一定的成就,形成了一批網站建設、內容、功能和管理比較完善的期刊網站,但也存在諸多的問題與不足:淵1冤從網站建設上看,期刊與作者、讀者和審稿專家互動性的輔助功能較少,比如會員登錄、留言板、微博、微信、APP和RSS訂閱等,期刊無法吸引讀者的注意,網站的點擊量很低,受關注度不夠;淵2冤從網站內容上看,大多數網站內容單調,信息資源貧乏,信息量少,且都以文字內容為主,缺少圖片、音頻、視頻及其它多媒體表現形式,與一般的門戶網站相比,網站界面簡單、表現形式單一、欄目單調,無法體現期刊特色;淵3冤從網站功能上看,網站具有在線采編功能的比例超過了90%,絕大多數的期刊實現了作者在線投稿、專家遠程審稿和編輯在線辦公的網上辦公模式。但網站的拓展功能明顯不足,特色服務內容依然不夠,比如網站具有文獻跟蹤、引文提示、E-mailAlert服務和科學普及功能的比例均不足25%,網站關于編輯出版政策法規的內容也僅為17.6%,還有網站的部分功能形同虛設,根本無法打開或打開后是空白。
3.2發展建議
針對以上問題,建議在今后的網站建設與維護過程中加強以下幾方面的內容。淵1冤加強網站互動功能建設,提高網站關注度。加強對留言板、微信、微博、QQ等功能的開發與維護,通過多種平臺進行溝通與交流,及時解決作者、讀者和專家在實際工作中的困難與問題。期刊網站可以實行會員制,以會員登錄的形式實現網站資源共享,同時會員可以對期刊發表的論文進行點評,評選熱點論文;編輯部根據會員的點評結果,定期更新,將優秀的論文推薦給讀者。淵2冤采用多種表現形式,豐富網站內容。網站內容的表現形式多種多樣,除了文字介紹,可以通過圖片、音頻、視頻等多種形式來展示。比如,可以通過圖片窗口來展示論文的主要內容和研究成果,遠比簡單的文字說明更加形象生動.主編作為期刊的主要負責人,其在行業中的地位和影響力在一定程度上代表了期刊的影響力,網站除了期刊的文字介紹外,可以通過主編對期刊介紹的視頻來進一步宣傳期刊;關于編輯部團隊的介紹,除了編輯人員的基本信息外,還可以通過圖片展示工作環境、團隊建設與交流活動、演講、參加業內活動等情況;還可以通過動漫、音頻和視頻來普及科學知識,介紹行業發展現狀等。淵3冤拓展網站功能,更好地服務作者與讀者。期刊網站的設計應該將服務作者和服務讀者的思路貫穿始終,除了滿足他們當前對信息和內容的需求外,還要考慮其深層次的需求。因此,網站應拓展服務功能,加強文獻跟蹤、引文提示和E-mail推送等特色服務,同時可以增加文獻數據分析、專家連線等服務,方便作者對文獻信息的統計分析。
4結語
科技期刊的數字化和網絡化,既是期刊發展的機遇,也是對傳統期刊的一種挑戰。期刊獨立域名網站作為期刊網絡化的一種形式,在網站建設過程中,應充分考慮網站內容、網站功能和網站管理等多方面的因素,力求通過多種形式豐富網站內容,同時從作者、讀者和專家的角度拓展網站功能。在此基礎上,根據期刊自身的類型,建設具有期刊自身特色的網站,以增加期刊網站的吸引力與關注度,從而擴大期刊的影響力和知名度。
參考文獻:
[1]楊郁霞.從24種農業科技期刊網站調查結果談科技期刊網站的簡約性[J].編輯學報,2012,24(4):371-373.
[2]劉飚,邢飛,徐威.國外科技期刊網站的調查與思考[J].中國科技期刊研究,2009,20(3):479-483.
[3]黃仲一,郭雨梅,毛善鋒.高校科技期刊網站評價指標體系的構建[J].編輯學報,2011,23(5):457-459.
[4]王媛,楊聚祥,劉永昌,等.我國科技期刊自建網站現狀與分析[J].科技與出版,2010,(7):32-34.
[5]龍秀芬,吳惠勤,顏志森.我國化學類核心期刊網站建設現狀及分析[J].韶關學:學報:自然科學版,2012,33(8):88-93.
[6]程維紅,任勝利,路文如,等.2007耀2011年中國科協科技期刊網站建設進展[J].中國科技期刊研究,2012,23(4):519-525.
[7]程維紅,任勝利,王應寬,等.中國科協所屬科技期刊的網絡化建設進展[J].中國科技期刊研究,2010,21(4):425-430.
[8]周青.綜合性生物核心期刊網站建設情況分析與思考[J].編輯學報,2010,22(4):355-357.
[9]陳強,黃萍,羅彥卿,等.江蘇省自然科學類期刊網絡化現狀調查與分析[J].農業圖書情報學刊,2012,24(10):156-159.
[10]于孟晨,張立新,潘秋岑.科技期刊網站的內容設置與定位思考[J].理論導刊,2014,(12):95-97.
[11]龍秀芬,吳惠勤,丁巖,等.美國化學會期刊網站建設分析[J].編輯學報,2011,23(S1):25-28.
篇(7)
食品安全的問題,小編認為,應該是當下天朝國百姓們最關心的民生問題,所以這類論文自然成了小編關注的對象。每一位食品安全的學術創作者,你可能影響著食品加工商的業界良心,也或許影響著大家對食品選擇的判斷,更有可能影響國家對食品安全的方針政策。食品安全落實到千家萬戶,所以你的論文該在哪里發表,這非常重要!
首先,作為期刊,你得清楚自己除了是為了奉獻自己的學術成果之外,還是有其他的目的。如果是評定職稱那么你得先去了解自己所在單位對發表期刊論文的具體要求,包括所要發表的期刊級別,發表的篇數,論文的字符數等等。然而你是在校生,需要完成學業,或是評優評獎需要的材料,你也需要事先清楚學校對的要求,一般學校要求不會像單位要求那么高,學生黨可以多多比較,選擇性價比高的期刊社發表。
其次,你的論文題目和內容至關重要,現在論文的審核要求是越來越高了,質量不是太好的文章也是很容易被退回來的,所以大家在選題的時候一定要慎重!已經過時的不要寫,根據大家感興趣的寫,比如熱點話題,轉基因食物、農藥殘留等等。論點除了新穎之外,最好還要有事實數據說話,為你的論點加分不說,很多有真實數據的論文質量也會高很多,會為你節約不少時審核的時間。
接著,找合適的期刊社發表,一般新手選擇在網上搜,在哪兒搜呢,你可以去知網官網,查找出與食品安全相關的期刊,然后去該期刊官網,獲取聯系方式,一般是郵箱或者電話。但是要特別注意的是,很多山寨網站現在做得比官網還要靠前,所以一定要認真鑒別,一般窗口老是彈出客服對方框的網站那絕對都是山寨的。到底去哪兒發的問題,真的,其實交給我們就好了。
最后,就是投稿了,按照你提供的要求,我們會量身制定合適的期刊,你只需耐心等待,期刊會用最快的速度飛到你的懷抱。
篇(8)
1、可以去中國知網、維普、萬方這三個文獻資料專業網站上去查找。畢業論文的文獻資料,你可以去中國知網、維普、萬方這三個文獻資料專業網站上去下載,但是這三個網站是付費的,如果你在學校內下應該是免費的,一般學校都會購買這幾個網站的文獻,在校內網絡下是免費的。當然,網上資料也不會完全,還得去圖書館找些東西。
2、可以在萬維、知網上進行論文。雖然市面上出現了很多第三方機構,但在選擇的時候首先一定要注意他們的安全機制,即是否能夠保障你的論文安全,不被泄露;其次就是看他們的算法是否科學合理,數據庫是否涵蓋廣、是否及時更新,因為只有算法科學,數據庫范圍廣且及時更新,它的結果才會更準確。
(來源:文章屋網 )
篇(9)
(一)首頁設計
在整體上,網站的首頁設計要做到界面直觀,條理清楚,個性突出,導航設計清晰,操作簡易,圖像、文字、背景顏色、標題、注腳等風格統一,整體效果舒適順暢。具體來說,文學精品課網站首頁的主要色彩為綠色,綠白相間,網頁看起來雅致而有生氣,同時,通過調整其透明度,增加層次感。網站的整體布局呈“國”字形。首先,歡迎界面位于首頁上部,包括題目和導航欄,其英美文學代表人物莎士比亞和福克納的照片和課程題目與導航欄目主題一致,和諧美觀;導航按鈕“首頁、課程介紹、課程建設、學習指南、網絡課堂、實踐教學、師生互動、教學資源、教學研究、政策支持、下載專區”依次排列,導向清晰,節時省力。其次,網站的中間部分由“課程簡介”、“課程負責人簡介”、“學術動態”、“通知公告”和“教學•研討•交流”(教學、科研與參加學術交流的展示圖片)、“友情鏈接”六個欄目組成;各模塊的內容突出“新”字,語言簡潔易讀;移動式圖片通過點擊圖片本身可閱讀該圖片的具體信息。網站首頁的下方顯示“版權所有”、“技術支持”和“訪問統計”等信息。總之,首頁的設計要突出個性,保持形式與內容的一致與和諧。
(二)前臺顯示系統設計
前臺顯示系統包括“申報網站”和“課程網站”兩個欄目。點擊導航按鈕,便顯示“拐角型”的子首頁。本部分側重論述“課程網站”的前臺顯示系統的結構設計。1.申報網站“申報網站”由“課程負責人情況”、“主講教師情況”、“教學隊伍情況”、“課程描述”、“自我評價”、“課程建設規劃”、“申報書”等欄目組成。主要通過文件鏈接的形式,為專家評審提供材料。2.課程網站“課程網站”包括“課程介紹”、“課程建設”、“學習指南”、“網絡課堂”、“實踐教學”、“交流互動”、“教學資源”、“教學研究”、“政策支持”和“下載專區”十個欄目。“課程介紹”欄目首頁的左側顯示“課程簡介”和“課程描述”兩個子欄目。“課程簡介”簡要介紹了《英美文學及選讀》課程在英語專業學習中的地位、教學目標、主要教學內容、教學要求等內容。“課程描述”比較詳細地描述了本課程的課程性質、課程理念、課程目標、課程內容、課程安排、教材的選用與參考書目。“課程建設”欄目下設“教學團隊”、“教學內容”、“教學條件”和“教學效果”四個子欄目。“教學團隊”欄目內含“師資隊伍”和“學術水平”兩個下一級欄目。“師資結構”由主講教師、師資結構、教師培養、梯隊建設構成,“學術水平”由教學評估、高職授課、科研統計、獲獎情況、榮譽稱號、年終考核、突出成績構成。“教學內容”欄目涵蓋《英美文學及選讀》課程標準、考試大綱、教學實施計劃、實踐教學實施方案、實踐教學內容一覽表、教學改革實施方案和教改成果統計一覽表。“教學條件”欄目包括《英美文學及選讀》教學文件、教材建設規劃、使用教材一覽表、輔助教材一覽表、教學方法與手段、網絡教學資源建設方案、網絡教學資源一覽表、網絡教學資源使用情況介紹、教學音像資料一覽表、多媒體教學課件一覽表。“教學效果”欄目包含《英美文學及選讀》課程的“主要教學環節質量”、“講課質量”和“綜合評價”。“主要教學環節質量”內有輔導計劃、輔導記錄、批改作業、考試命題、閱卷規章制度、題庫建設(鏈接習題庫)、教考分離情況總結、試卷檔案、相關講座及其課件、任課教師指導學生參加科技月活動獲獎話劇劇本、演講稿等。“講課質量”包括學生信息員反饋、各學期訪談、座談會情況、督導組聽課反饋意見、主講教師錄像(鏈接“教學資源”)。“綜合評價”內含同行評價(校外專家評價和校內專家及同行評價)、學評教情況(學生問卷調查、訪談、座談會、學生評教結果)、學生能力測試(試卷分析等)。“學習指南”下設培養目標、學習方法、必讀書目和推薦書目四個子欄目。四個導航按鈕會鏈接各自的內容,其中“學習方法”導航按鈕會鏈接若干關于學習策略的文章和講座。“網絡課堂”欄目的首頁設有“學習資料”、“學習公告”、“在線自測”、“學習工具”和“考研信息”五個導航按鈕。“學習資料”包括英美文學簡史、文學術語、文學常用詞匯和教學課件。在“學習公告”欄目中,教師會依照教學計劃各章節的知識要點、預習任務、課堂討論題目、課堂教學的重點、難點解析、論壇時間安排、學期論文題目、作業反饋信息、輔導安排、測試時間等信息。“在線自測”提供各章節的練習題、模擬試卷和參考答案。“學習工具”包括學習筆記、學習記錄、作業管理、詞典等常用工具。在“考研信息”主要一些大學的研究生招生信息、推薦書目以及一些公共課和專業課學習指導。“實踐教學”欄目下設六個導航按鈕,“教學目標”、“學期論文”、“話劇改編”、“表演錄像”、“學生創作”和“畢業論文”。各按鈕分別鏈接《英美文學及選讀》課程實踐教學目標、學生的優秀學期論文、改編的話劇劇本、表演錄像、圖片、學生的小說、散文、詩歌、話劇等自創作品、各屆畢業論文題目、優秀畢業論文等實踐教學的內容。“交流互動”欄目首頁包括“網絡答疑”和“討論交流”兩個按鈕。“網絡答疑”含有E-mail郵箱和留言板式,“討論交流”采用在線論壇方式。“教學資源”欄目的首頁設有“教學課件”、“習題庫”、“教學錄像”、“圖書館”和“電影院”五個導航按鈕,分別鏈接《英美文學及選讀》教學課件、習題庫、教學錄像以及英美小說、詩歌、戲劇和散文圖書館、英美文學名著電影院。“教學研究”欄目首頁的導航,“學術論文”、“課題研究”、“專著簡介”和“研究現狀”,分別鏈接教學與研究學術論文、課題研究申報書、結題書和課題研究報告、英美文學專著簡介、英美文學研究現狀、教研計劃和活動總結、教學團隊教研獲獎情況。“政策支持”欄目通過“教育部”、“河北省教育廳”、“邯鄲學院”,“外國語學院”導航按鈕鏈接各級別的關于精品課申報、建設、評審、驗收、政策、財政支持等方面的文件。“下載專區”欄目為師生提供可以下載的一些輔導材料、講座、課件、學期和畢業論文寫作格式、學習評價標準、教研成果、科研信息等文件。
(三)后臺管理系統設計
文學精品課網站后臺管理系統的設計合理與否關系到整個網站的正常運行。精品課網站后臺維護系統必須具備快速維護與更新文字、音頻、視頻、圖片等內容的功能。網站后臺管理系統的設計要依照前臺顯示系統的內容,其每一個項目則與前臺顯示系統中的每一個項目相互對應。后臺管理系統(見圖1)是管理員和任課教師對整個網站進行維護的平臺,它包括首頁管理、欄目管理、內容管理和用戶管理。文學精品課網站后臺管理系統的軟件技術平臺受執行效率較高的技術的支撐,同時支持SQLServer數據庫。是Microsoft推出的新一代ActiveServerPages,具有理想的存儲和讀取數據的速度和效率,保持較強的可操作性、穩定性和安全性。因此,通過科學有效的系統設計,“網站后臺管理系統實現了智能化的分布式信息制作、、維護和管理平臺,從而使網站的信息管理效率提高,網站更新速度加快,數據質量提高。”[4]258
二、功能設計
文學精品課網站信息系統以SQLServer2000數據庫管理系統為后臺數據庫,采用ASP網站架構技術,實現文學精品課建設所需要的互動交流、在線閱讀、學習記錄、在線測試、音視播放、快速搜索、圖文移動、欄目鏈接、修改更新、資料下載十大功能。
(一)互動交流功能
“互動交流功能”通過E-mail、留言板、在線論壇等方式實現教師與學生、學生與學生、教師與教師、校內與校外學習者的溝通與交流。留言板和郵件能夠滿足師生之間的答疑和生生之間的交流與溝通,所有留言通過后臺老師的審核后讀者方可看到。在線論壇則以教師給出關于英美作家寫作特點、作品分析等相關的題目、學生分組討論的形式,實現師生之間、生生之間的在線交流。
(二)在線閱讀功能
“在線閱讀功能”通過點擊導航按鈕實現直接閱讀所有教學資源,諸如教學文件、習題庫、英美文學作品、論文、學術動態、通知公告等文件,還可瀏覽教師和學生的在教學、科研、文學知識比賽、名著表演、詩歌散文朗誦等活動的圖片。
(三)學習記錄功能
“學習記錄功能”是在“網絡課堂”里設置的有益于學生自學的一個學習工具。學生既可以通過點擊“作業管理”按鈕,完成并提交作業,也可以點擊“詞典”按鈕,查閱、學習英美文學術語和文學教材里出現的生詞。此外,學生可通過記錄功能記錄學習筆記。
(四)在線測試功能
“在線測試功能”設置于“網絡課堂”欄目,教師和學生可以通過自主拼題來實現在線測試、試卷提交和成績查詢的功能。教師可以檢查學生對各個章節教學重點的掌握程度,學生亦可自測學習情況。
(五)音視播放功能
“音頻播放功能”能夠實現網站所有資源中的音頻和視頻在線播放,如“教學課件”里的名著電影片段視頻、詩歌朗誦錄音、“教學錄像”里的教師錄像以及“電影院”中的英美名著電影和“實踐教學”欄目里學生的話劇表演錄像等音視頻資源。
(六)快速搜索功能
各子欄目首頁左側均設有“導航欄目”、“站內搜索”和“熱門文章”三個快捷搜索導航按鈕。通過點擊導航按鈕,或者輸入文件的關鍵詞,或者通過移動的熱門文章題目,實現快速搜索到相關內容的功能。
(七)圖文移動功能
“圖文移動功能”包括“圖片移動”、“文件名稱移動”和“重要通知移動”的功能。“圖片移動”便于生動展示教學、科研、活動成果,并通過點擊圖片可閱讀該圖片翔實的文字說明;“文件名稱移動”用于“學術動態”、“通知公告”、“熱門文章”欄目中的內容。“重要通知移動”是在導航按鈕下方設置的滾動式簡短、醒目的紅色文字,用于重要的通知。各欄目中依次出現的圖片、文章題目和通知,便于師生查閱。
(八)欄目鏈接功能
鏈接功能包括“站內鏈接”和“站外鏈接”兩項功能。“站內鏈接”指前臺顯示系統的一級導航按鈕通過點擊各按鈕鏈接二級、依次三級按鈕的內容。“站外鏈接”指通過“友情鏈接”鏈接列表式或滾動式的各重點大學網站,如耶魯大學公開課網站以及北京、上海、廣東、天津、西安、南京、大連、洛陽、成都等地各大學的英語專業精品課網站,以擴展師生視野,提供更多學習、交流的平臺。
(九)修改更新功能
“修改更新功能”通過后臺管理系統支持多位教師在同一時間共同補充文學課程的網絡教學資源,支持任課教師按照教學需要增刪二級欄目的導航按鈕,上傳新的文字、圖片、課件、視頻等教學資料,確保網站教學資源的正常維護,保持網站資源的新穎和前沿。
(十)資料下載功能
文學網站資源豐富,在“下載專區”有很多諸如課程標準、考試大綱、習題、課件、音頻、錄像、論文格式與要求、科研成果等教學和科研資源可在線下載并顯示資料基本信息,從而達到資源共享的效果。
篇(10)
2內文版面自我宣傳設計的原則及要素
內文版面自我宣傳設計的原則如下。1)一目了然,容易獲取。頁眉在版心外,比較醒目,還不影響論文部分,并且設計得好還能使版面美觀[7]。因此,對期刊自我宣傳信息多采用頁眉設計:有的放在版心上邊的天頭位置,如《編輯學報》;有的放在版心下邊的地腳位置,如《中國科技期刊研究》;有的豎排在版心左右的切口處,如《編輯學刊》;放在訂口位置的較為少見。考慮讀者需求首要是論文信息,其次才是備其查找使用的期刊信息,以及讀者的閱讀習慣,期刊自我宣傳信息宜放在版心下邊的地腳位置。2)與論文信息簡單易分,不相混淆。期刊自我宣傳信息和作為論文主要信息的正文部分的字號和字體要有所區別。頁眉用字的字號必須小于論文正文字號,字體可酌選。為了與論文信息更易區分,其間多用頁眉線隔開。3)擇錄要點,信息簡潔。單篇文章的PDF文檔需要補充展示、宣傳的期刊信息很多,但版面空間畢竟有限;因此,要根據讀者需要和期刊宣傳意圖選擇精要信息設計,如刊名,年、卷、期,頁碼,欄目名稱,體現刊物定位、辦刊宗旨和方針的宣傳語等,展現期刊的“精髓”信息。此外,可利用現代技術,制作、刊載能包括較多信息的二維碼[8],可鏈接期刊網址、博客、微博等,給讀者提供找尋期刊更多信息的路徑。4)版面整體美觀、明朗、和諧。期刊自我宣傳信息的設計還要體現美化版面、調節視角、平衡感官的功能,既引導、方便讀者閱讀,又要努力營造愉快、輕松的閱讀氛圍。成熟的計算機排版設計技術已被廣泛應用,調用點、線、塊、框、字體、符號、圖片,以及利用黑白灰或多色系、冷暖調等裝飾功能給版面設計提供了極大便利;但不能過度使用而喧賓奪主,使版面混亂,影響讀者閱讀論文。內文版面自我宣傳設計的要素如下。1)必需要素。對于文章編排,GB/T3179—2009《期刊編排格式》規定:“正文部分應根據需要在頁眉或其他適當位置標志便于迅速識別的下列項目:a)刊名(外文并列刊名可縮寫);b)出版年、卷號、期號;c)第一著者或全部著者和文章題名。”[9]科技期刊,尤其是學術類和技術類期刊,肩負弘揚、傳播科學技術的神圣使命,要帶頭認真貫徹執行國家標準。按照國家標準在期刊內文版面設計中放置這些必需要素,既是對期刊的自我宣傳,又是為讀者和檢索機構提供方便,更有益于我國期刊出版與國際接軌[10]。2)必要要素。國家標準沒有明確規定,但讀者深入認識、了解刊物,作者撰寫論文引用、投稿和期刊為適應數字化、網絡化辦刊形勢而進行自我宣傳、營銷需要一些很有必要的期刊信息要素,如期刊網址,投稿在線平臺網址或投稿信箱,體現刊物定位、辦刊宗旨和方針的宣傳語,代表期刊學術質量的主要榮譽,被檢索收錄情況,中、英文引文格式,期刊博客、微博、論壇網址等。數字技術和新媒體已深刻地改變了科技期刊的生態環境,期刊根據自身情況在版面編排上加上部分必要要素,使信息傳播方式、傳播渠道多樣化、大眾化,使界面更人性化、更友好,能明顯增強期刊的傳播效能,提升刊物的影響力。
