网页安全论文范文

网页安全论文篇1

一、项目目标

1、网站设计风格

我们将充分发挥网站策划和建设开发的优势，在开发建设上海**物流有限公司网站中将严格遵循以下原则：

(1)在网站维护和后续扩展上：我们提供专门的网站维护后台，网站管理员可以很方便的借助这个平台维护整个网站。我们在规划网站之初，就会将功能模块框架搭建得很大而且易于扩展，以后增加新的功能和模块都会非常方便，降低二次开发成本。另外，对于以静态和flash展示的页面，考虑到页面的精美要求，我们手工维护。

(2)在设计上：精美与高效兼顾。网站页面设计体现上海**物流有限公司的大型企业形象，在框架编排、色彩搭配以及flash动画的适当穿插都做到恰到好处，使整个网站在保证功能的前提下给浏览者带来良好的视觉享受和时代动感。

(3)在网站功能上：充分体现网站的互动性，并且采用多种机制提醒网站管理人员，便于网管和相关人员及时响应。并且特别注重网站的安全和稳定，采用网络安全、系统登录安全、各分系统安全、分系统模块安全、会话期间安全等多种方式确保安全。采用先进的3层结构的编程方式使网站即使在极多访问量的情况下仍能保持稳定。

2、网站目标

网络凭借其卓越的互动性与便捷的交流手段正成为最有发展潜力与前途的新兴媒体，成为众商家倍为关注的宣传热点。许多行业的先锋企业都已经采用互联网技术，为客户、合作伙伴在网上提供信息服务，并且借助互联网，敏锐的捕捉商机。

作为专业从事物流行业的大型企业，上海**物流有限公司更需要建设好网站，将其作为对外宣传、服务和交流的载体，来配合公司的迅速发展，使网站具有鲜明的行业特色，使更多的企业通过网络来结盟上海**物流有限公司，使更多的客户通过网络来了解上海**物流有限公司。

二 网站整体结构

1 网站栏目结构图

 

2 栏目说明

上海**物流有限公司网站栏目结构如上图所示。栏目规划充分考虑到上海**物流有限公司展示企业形象、扩大知名度以及综合功能的需要。网站采用了多种动态模块，企业能够自主、独立的完成网站中多数内容的更新。页面的设计将充分体现上海**物流有限公司一流企业的形象，在框架编排、色彩搭flash动画的适当穿插都做到恰到好处，使整个网站在保证功能的前提下给使用者带来良好的视觉享受和精神愉悦感。

3 首页

    

采用动态asp动态页面，主要显示最新动态信息（自动从新闻动态中提取）、服务项目（自动从物流服务中提取），重要客户（自动从典型客户中提取）等。网管在后台可以动态更新首页的内容。浏览者一进入首页就能够了解整个网站的最新更新和公司的最新活动，给浏览者耳目一新的感觉，吸引浏览者经常访问上海**物流有限公司网站。

4 新闻动态

此栏目采用新闻动态模块，是将网页上的某些经常变动的信息，如：网站新闻、公司动态、业界动态等集中管理，按某些共性分类，通过简单的操作加入数据库，到网站上的一套系统。它的出现大大减轻了网站更新维护的工作量，加快了信息的传播速度，使网站时时保持着活力和影响力。

模块特点

  a、支持新闻按专题、栏目、媒体、关键词、日期等条件检索；

    b、支持图片，每条信息和新闻可配上图片，并选择图片与文字的显示方式；

    c、支持各种风格的新闻显示样式，可定制个性化新闻模版；

    d、提供各种统计方式，帮助您分析新闻浏览情况；

    e、根据信息的重要性，选择信息显示的位置。

模块功能说明

·新闻前台——新闻在首页显示的页面

 

说明：若新闻带有图片或被定义为热点新闻，标题后会有小图标显示，并且优先显示。

·新闻前台——新闻目录显示页面

·新闻前台——新闻详细信息显示页面

 

·新闻后台——类别添加

 

·新闻后台——类别列表

 

·新闻后台——新闻添加

·新闻后台——新闻修改

 

·新闻管理页面

 

5 公司概况

本栏目包括“公司介绍”、“企业理念”、“服务网络”三个板块，其主要功能是宣传企业，通过对企业的基本情况、文化理念、服务的了解，使上海**物流有限公司为更多客户所熟悉、信赖。这个栏目全部采用静态页面，我们将采用多种表现形式将公司的企业形象予以最好的传达。

6 物流服务

本栏目包括“配送运输”、“仓储服务”、“集卡服务”、“国际物流”、“货运”五个板块。其主要功能是全面展示**物流的服务项目，页面采用图文相兼的方式。

7 网上定单

本栏目链接企业内部物流信息管理系统，客户可凭用户名和密码登陆查询相关信息。

8 典型客户

本栏目采用动态数据库功能，管理员可在后台自由添加、修改、删除相关合作客户信息；前台客户也可通过行业、地区或公司名来查询相关公司信息；并可将重要客户或新加盟的客户放在首页上；使访客能更好的了解**物流的合作伙伴动态。共3页,当前第1页1

9 人才招聘

企业的不断发展壮大，需要不断的充实自己的人才队伍，上海**物流有限公司的网站开设这样一个栏目就显得很有必要。

 

10 联系我们

分“联系信息”和“留言板”。“联系信息”是静态页面，介绍公司的联系方式。其中email可采用超级连接，客户点击后即写信、发送。“留言板”通过管理员设置固定模板，客户在线填写递交；后台管理员通过不同需求类型或行业进行划分、查询，统一部署给不同部门去办理，从而大大提高工作效率。

推荐模块

11 企业论坛

模块介绍

网站的访客可就所关心的产品、服务、相关知识等提出自己的问题或表明观点、感受等。而企业专职人员则可及时反馈信息。所有这些文字形成的交流都会记录在系统中，供其他访客浏览、借鉴。系统可根据企业产品或服务种类的不同而设立多主题多版面，并引导访客选择相应的主题进行讨论。这将营造条理清晰、目的明确的沟通环境，提高信息查询检索的效率。 企业还可以根据需要开设技术支持版面，在线答复访问者提交的问题，将其作为企业售后服务体系的一部分。

模块特点

    a、讨论区-话题-贴子三级结构，清晰明了；

    b、提供对点击率、回复率等各种统计分析，同时有强大的排序，查阅功能；

    c、管理员指定内部信息为专家评论，吸引用户访问；

模块功能说明

·论坛前台——论坛首页显示页面

·论坛前台——论坛主题列表

·论坛前台——论坛文章显示页面

·文章前台——文章发表显示页面

 

·管理后台——论坛栏目添加页面

 

·管理后台——论坛栏目管理页面

 

·管理后台——论坛文章管理

 

12 邮件群发

邮件群发系统是网站管理员与会员沟通以及企业推广产品的工具。网站管理员可选择不同类型的会员群发邮件，邮件内容可以是文本格式，也可以是html页面格式，发送邮件还可选择个性化发送，即在邮件中带上该会员的名字，例如：“尊敬的某某”，这样让接收者感觉信是专门为他而发，觉得很亲切，从而对信件内容的排斥就会减少很多。

功能简介：

 电子邮件地址自主添加、查看、删除

 电子邮件地址按组管理

 电子邮件地址名字、email地址、日期、邮件组检索

 电子邮件地址按组发送

 电子邮件发送日志管理，自由查看、删除

·电子邮件地址添加页面

 

·电子邮件地址管理页面

 

·电子邮件发送页面

·电子邮件发送日志页面

三 网站权限管理

系统严格限制不同管理员（webmaster）的权限。对每个模块的管理权限可以分开指定，例如某个管理员有公司动态的权限、客户服务管理权限，某个管理员有产品世界的管理权限，某个管理员有所有的权限。这样既可使整个网站的庞大管理功能分解给各个管理人员，确保有效管理，又提高了整个网站的安全性。

四 网站建设平台分析

作为一个提供信息服务的电子商务网站，网站的稳定、高速、安全问题就显得十分重要，为了保证上海**物流有限公司网站的稳定运行，我公司建议上海**物流有限公司网站采用我公司提供的高端虚拟主机。

1 虚拟主机

我们提供全面而专业的虚拟主机服务，为专业网站提供最完善解决方案，为知名网站提供最稳定和安全的网络平台，解决您拓展网络世界及电子商务的后顾之忧。我们为客户提供以下标准服务：

沪上最好的托管环境

高品质机房环境及设备，恒温恒湿控制系统

通过2根千1000m光纤直接接入chinanet骨干网，国内出口2g、国际出口1g

dellhp机架式服务器配置

服务器系统软件安装、调试

不间断、无休日24*7*365小时网络系统管理维护与技术支持

免费提供ip地址、流量监测

紧急状况处理

标准远程管理软件使用培训

更有防火墙、数据备份、系统安全、ssl加速、无缝移机、本地负载均衡（服务器集群）、高速缓存/镜像等增值服务

一旦采用了我们的虚拟主机服务，您不仅节省了大量的资金，而且获得了我们为您提供的专业服务器、高带宽接入、网络技术支持和监控。

2 数据中心托管环境

l 高品质电信机房

在我们设施先进的高品质电信机房中，千兆带宽直接接入chinanet骨干网（国内2g，国际1g），有最可靠的供电系统（双路交流电+ups+柴油发电机）；有覆盖整个大楼的中央空调系统；全自动的消防系统和全天候的全年中无休的机房保安使您的服务器免受火灾等及非法侵入。

l 卓越的监控系统

我们不仅有专门设置的监控器，随时观察服务器的运作情况，更可检测实时流量及网络连通情况，并提供在线实时流量报告及网络状况监控报告，能够及时发现问题并采取相应措施。

l 专业的网络人才

我们的专业工程师具有多年的网络背景，有丰富网络(wan&lan)建设与软件开发经验，精通internet相关技术、熟悉各种互联网操作系统和网络工具软件，在解决网络与系统故障方面有突出能力。

l 迅速的现场处理

我们每天24小时为您提供最高效服务器技术保障、管理、维护和实时监控，保证您的服务器能最稳定地运行。

l 及时的服务器升级

随着您的业务欣欣向荣，对网络资源的需求将不断增加。上海我们依托其丰富资源和较强的扩充能力，将满足您对服务器配置、主机空间和带宽扩充方面的所有要求，以配合您业务的增长。共3页,当前第2页2

l 可控的主机租费

资源外包服务的费用可以通过服务商的选择和商务谈判达到完全可控，与建设高成本、高复杂度和高变动风险的网站系统和承担网络工程师的薪金相比，主机托管的经济优势可见一斑。

五 网站运营安全策略

为保证网站的正常运行，用户数据的高度安全，系统考虑了多种安全策略。

网站建设的好坏也直接影响着很多的事情，这些都是在不断地发展中才能够得来的成果，这些都是我们一直以来不断的进步的成果，这些都是我们一直以来发展自己的必须要做的手段。在日益激烈的竞争下，只有更多的营销方针，才能够做到更好！

网页安全论文篇2

俗话说“秀色可餐”，而网页设计中对颜色的使用更显重要，好的色彩设计能给访问者留下深刻印象，并让他们愿意在网站多多的停留浏览。下面我们分别从色彩理论、色彩使用工具以及色彩应用实例等方面收集一些精彩美文和资源，希望能对你设计网页有所帮助。

色彩理论篇

网页设计配色基础

虽然有图书广告之嫌，不过已上传到网上的可免费阅读的这部分内容还是相当可观的，对基础色彩理论分析比较详细，值得一看。

.cn/668

关于色彩的“纯度”概念问题

这是上面文章内容的一个补充与扩展，介绍了图形图像处理过程中经常接触的HSB色彩模式，尤其对色彩的“纯度”概念作了较为详细的解析。

.cn/669

色彩工具篇

轻松定制自己的配色方案

这个网站提供了多个色彩工具，可以帮助网页设计师轻松完成配色方案。其中，ColorPix（从屏幕任意处吸取颜色并转换成设计时可用的颜色值）和Galleria（内置了多种配色方案模板）还可以免费下载使用。它们最有特色的一个服务，是免费在线提供了2千多个的配色方案，并有具体应用网站的地址链接。

.cn/670

中英文颜色代码参考手册

当你的客户说：“我希望网页的主色调是苍白的紫罗兰红色。”这时你能想像出这是种什么样的颜色么？在电脑中颜色通过数值精确表达，但是在生活中我们常会用形容词来描述。如果你想了解这些形容词描述的颜色实际是什么样子，那么就到这个网页上来查查看吧。

.cn/671

网页216安全色调板

为了避免网页的颜色在不同的显示器或不同的浏览器中打开时显示的差异太大，设计时可尽量采用网页216安全色。这个网站提供一个网页216安全色调板工具，可借助它来完成配色方案（见图）。

.cn/672

色彩实例篇

关于韩国网站的风格探讨

韩国在设计方面的成绩可圈可点，值得我们学习的地方还是不少的。这篇文章以实例的方式系统地分析了韩国一些流行网站的页面风格，对色彩也进行了很好的图文解说。有兴趣的朋友不妨借鉴一下。

.cn/673

欧美风格商业站点模板分析

欧美作为现代设计的发源地，积累了大量的理论和实践经验，他们的网页设计别有一番天地。这篇文章对欧美风格的商业站点进行了详细分析，对色彩的理解也值得借鉴一下。

.cn/674

其他篇

网站浏览器兼容的底线

自己的电脑上网页的颜色显示非常协调，可在别人的电脑上打开时却可能惨不忍睹，为什么？这一方面与硬件环境有关（不同的显示器、不同的显卡、不同的系统平台等），另一方面也与不同的浏览器软件对颜色的解析差异有关。看看这篇文章，分析自己需要争取哪方面的观众，再有针对性地做些调整。

网页安全论文篇3

2007年1月至6月期间，半年时间内，CNCERT/CC接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。

从CNCERT/CC掌握的半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，也不排除放置恶意代码的可能。对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索，影响企业正常业务的开展。对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。

登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的URL路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。

SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

SQL注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式：

A．用户登录：假设登录页面有两个文本框，分别用来供用户输入帐号和密码，利用执行SQL语句来判断用户是否为合法用户。试想，如果黑客在密码文本框中输入''''OR0=0，即不管前面输入的用户帐号和密码是什么，OR后面的0=0总是成立的，最后结果就是该黑客成为了合法的用户。

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPTABLE用户表，后果是用户表被彻底删除。

C．参数传递：假设我们有个网页链接地址是HTTP：//……asp?id=22，然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值，构成某SQL语句，这种情况很常见。可是，如果黑客将地址变为HTTP：//……asp?id=22anduser=0，结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话，黑客就获得了数据库的用户名，这为他们的进一步攻击提供了很好的条件。

解决方法：以上几个例子只是为了起到抛砖引玉的作用，其实，黑客利用“猜测+精通的sql语言+反复尝试”的方式，可以构造出各种各样的sql入侵。作为程序员，如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的：

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第三：为了防止黑客避开客户端校验直接进入后台，在后台程序中利用一个公用函数再次对用户输入进行检查，一旦发现可疑输入，立即终止程序，但不进行提示，同时，将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四：对于参数的情况，页面利用QueryString或者Quest取得参数后，要对每个参数进行判断处理，发现异常字符，要利用replace函数将异常字符过滤掉，然后再做下一步操作。

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第六：在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为“无”好了。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。

参考文献

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

[2]陈明奇《2007年上半年网络安全状况分析》信息网络安全2007年第10期

[3]《防范ASP木马的十大基本原则》计算机与网络，2006年第1期论文关键词：ASP；黑客攻击；SQL注入；安全漏洞；木马后门

网页安全论文篇4

[关键词]网站安全脚本数据库交互

一、引言

Internet已渗透到了社会的各个领域，不仅影响着我们的学习和工作，在Internet的发展中，WWW的发明和迅速推广应用是一个重要的里程碑。网页设计作为一门新兴的技术，是介于平面设计、编程技术两者之间的一门学科，它还涉及到美学心理、平面构成、色彩搭配等平面设计方面的知识。只有综合运用多种知识，才能设计出视听特效、动静结合、人机交互的WEB页面。

电子商务网站是一个非常丰富和方便的系统，很多是过去无法想像的，随着今天的社会的发展以及科学技术的发展，现在都可以想像得到。由此可以想像到未来的网页设计，那时候网页设计的要求是什么呢？怎样才能适应电子商务的发展呢？我有以下几点想法:网页能具有人性化;网页要具有相当的美感;网页更加强调交互性。

二、电子商务网站的安全现状

电子商务网站安全主要涉及网络信息的安全和网络系统本身的安全。电子商务网站安全的隐患主要来自操作系统、网络和数据库的脆弱性以及安全管理上的疏忽。电子商务网站安全从本质上讲就是网络上信息的安全，包括静态信息的存储安全和信息的传输安全。从广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为了保证网络的安全，必须保证以下四个方面的安全：运行系统的安全；

网络上系统信息的安全；网络上信息传播安全；网络上信息内容的安全。

以下是对目前国内电子商务站点普遍存在的几个严重的安全问题的一些分析。

1.客户端数据的完整性和有效性检查

(1)特殊字符的过滤

在W3C的WWWSecurityFAQ中关于CGI安全编程一节里列出了建议过滤的字符：&;“”\“|*?-＜＞^()[]{}\n\r，这些字符由于在不同的系统或运行环境中会具有特殊意义，如变量定义/赋值/取值、非显示字符、运行外部程序等，而被列为危险字符。

①CGI和Script编程语言的问题

在几种国内常见的WEB编程语言中，ASP和ColdFusion脚本语言对特殊字符的过滤机制不够完善，例如没有对单引号做任何处理等。Perl和php对特殊字符的过滤则较为严密，如忽略或加上“\”（取消特殊字符含义）处理。C语言编写的cgi程序对特殊字符的过滤完全依赖于程序员的知识和技术，因此也可能存在安全问题。

②MicrosoftASP脚本

普遍存在的问题是程序员在编写ASP脚本时,缺少或没有对客户端输入的数据/变量进行严格的合法性分析。因此,如果攻击者输入某些特定sql语句,可能造成数据库资料丢失/泄漏/甚至威胁整个站点的安全。比如攻击者可以任意创建或者删除表（如果可以猜测出已存在的表名），清除或者更改数据库数据。攻击者也可能通过执行一些储存过程函数,将sql语句的输出结果通过电子邮件发送给自己，或者执行系统命令。

③PHP和Perl

虽然提供了加上”\”（取消特殊字符含义）处理的手段，但是处理一些数据库时依然可以被改写。对于MySQL则没有问题，\’不会与前面的单引号封闭，而当作一个合法的字符处理。针对oracle和informix等数据库暂时未进行相关测试。

另外，对于PHP或者Perl语言，很多程序对于数字类型的输入变量，没有加单引号予以保护，攻击者就有可能在这种变量中加入额外的SQL语句，来攻击数据库或者获得非法控制权限。

(2)数据库问题

不同的数据库对安全机制的不同认识和实现方法，使它们的安全性也有所不同。最常见的问题是利用数据库对某些字符的不正确解释，改写被执行的SQL语句，从而非法获得访问权限。

2.大量数据查询导致拒绝服务

许多网站对用户输入内容的判断在前台，用JavaScript判断，如果用户绕过前台判断，就能对数据库进行全查询，如果数据库比较庞大，会耗费大量系统资源，如果同时进行大量的这种查询操作，就会有DenialofService（DoS——拒绝服务）同样的效果。

三、措施与解决方案

通过查阅一些资料，下面介绍一些网页制作中安全防范的方法，以供大家参考。

1.防范脚本攻击

(1)JS脚本和HTML脚本攻击的防范其实很简单，只要用server.HTMLEncode（Str）就可以了。当然全以＜%=uid%＞过滤，为了方便的过滤，只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了，如下代码所示：

以下是过滤函数CHK()

＜%

functionCHK(fqyString)

fqyString=replace(fqyString,“＞”,“＞”)

fqyString=replace(fqyString,“＜”,”＜“)

fqyString=replace(fqyString,“&#”,“&”)

fqyString=Replace(fqyString,CHR(32),“”)

fqyString=Replace(fqyString,CHR(9),“”)

fqyString=Replace(fqyString,CHR(34),“”“)

fqyString=Replace(fqyString,CHR(39),”‘“)

fqyString=Replace(fqyString,CHR(13),”“)

fqyString=Replace(fqyString,CHR(10)&CHR(10),”＜/P＞＜P＞“)

fqyString=Replace(fqyString,CHR(10),”＜BR＞“)

CHK=fqyString

endfunction

%＞

(2)很多站点在用户注册，或者是用户资料修改的页面上也缺少脚本的过滤，或者是只在其中之一进行过滤，注册进入后修改资料仍然可以进行脚本攻击。对用户提交的数据进行检测和过滤如以下代码：

IfInstr(request(”username“),”=“)＞0or

Instr(request(”username“),”%“)＞0or

Instr(request(”username“),chr(32))＞0or

Instr(request(”username“),”?“)＞0or

……

Instr(request(”username“),”＞“)＞0or

Instr(request(”username“),”＜“)＞0or

Instr(request(”username“),”“”“)＞0then

response.write”朋友，你的提交用户名含有非法字符，请更改，谢谢合作＜ahref=’****:window.history.go(-1);‘＞返回＜/a＞“response.end

endif

2.防范sqlinjeciton攻击

从最一般的.SQLInjection漏洞攻击来看，主要在用户名和密码上的过滤问题，提交：用户名为：‘or’‘=’用户密码为：‘or’‘=’从程序出发，数据库在执行以下操作Sql=“SELECT*FROMlUsersWHEREUsername=”or“=”andPassword=“or”=“”时，SQL服务器将返回lUsers表格中的所有记录，而ASP脚本将会因此而误认为攻击者的输入符lUsers表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。对此类注入的防范可以利用以下代码就可以实现strUsername=Replace(Request.Form(“Username”),“‘’”,“‘’‘”)

strPassword=Replace(Request.Form(“Password”),“’‘”,“’‘’‘”)

3.防止ASP木马

防止ASP木马被上传到服务器的方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式和压缩文件就完全可以，因为多给自己留点方便也就多给攻击者留点方便。怎么判断格式，如下面代码所示：

判断文件类型是否合格

PrivateFunctionCheckFileExt(fileEXT)

dimForumupload

Forumupload=”gif,jpg,bmp,jpeg“

Forumupload=split(Forumupload,”,“)

fori=0toubound(Forumupload)

iflcase(fileEXT)=lcase(trim(Forumupload(i)))then

CheckFileExt=true

exitFunction

else

CheckFileExt=false

endif

next

EndFunction

上述介绍的一些安全防范的方法在编写网页代码时被常用到，这些代码还是较为基本的一些代码，但能有效的防止一些黑客的攻击，当然加入了这些代码可能会降低程序的使用效率。做为一名网站的管理人员或网页制作人员在进行网页制作和网站维护时应加强安全防范的意识，确保在网络上进行数据传输的可靠性。

总之，随着网页制作的技术不断的发展和提高，对电子商务的发展有着不可估量的推进作用，对于网站的安全防范已经成为目前发展电子商务最需考虑的一个问题之一，在开发网站中应注意在网络安全方面的考虑。目前如JSP、ASP、PHP、XML等一些网站新技术融入网页制作中，进一步提高了网页的性能。随着新的技术的推出，我相信网页制作的发展会把我们带入一崭新的信息世界。

参考文献:

网页安全论文篇5

关键词：网页制作；课程建设；教学模式

中图分类号：G642 文献标识码：A 文章编号：1009-3044（2013）36-8389-02

近年来，随着Internet的飞速发展，网站及网页设计已成为现代社会中最吸引人的技术之一。各高校计算机应用技术专业、电子商务专业等都将《网页制作》课程列为专业核心课程之一，在与计算机应用相关的专业人才培养方案中，《网页制作》课程建设已成为专业建设的重要组成部分，而网页制作的相关知识和技能也成为计算机类人才知识结构不可或缺的一个重要组成部分。在十多年的教学过程中，我们在《网页制作》课程建设方面做了一些有益的尝试和探索。

1 合理规划课程教学内容，完善课程教学大纲

1.1 合理规划课程教学内容

《网页制作》是计算机应用相关专业一门综合性较强的专业课程，其前导课程包括《计算机应用基础》、《图形图像处理》、《动画制作》等，后继课程包括《动态网页制作》等，《网页制作》课程一般放在第三学期开设比较合适。教学内容包括目前流行的主流网页设计软件、超文本标记语言HTML、CSS+DIV网页布局以及网页素材的制作、脚本语言等。由于教学内容是多门学科的知识、技能的综合，这些的知识技能相互渗透和依赖.构成一个科学的、完整的课程体系。在教学中需要合理规划教学内容，并适当取舍。如教学中重点学习Dreamweaver的基本知识和技能、HTML语言和CSS+DIV网页布局。对网页素材制作、脚本语言可适当取舍。

1.2 明确课程教学目标、完善课程教学大纲

《网页制作》课程的教学目标是让学生掌握网页设计的基础理论和基本技能，能使用主流网页设计软件制作网页，使学生具备较强的网页设计与制作能力，最终能提交完整的具有较高水平的网页设计作品。在课程学习的同时使学生的学习能力、创新能力和协作能力也能获得较大的提升。据此，课程教学大纲的修订主要依据以下几个原则：

1）坚持“以就业为导向”的原则。

依据目前市场对网页设计师岗位能力的要求，对《网页制作》课程教学大纲作进一步修订和完善，使课程的性质和培养目标更加明确，使知识目标、能力目标和素质目标更加具体化和科学化，充分发挥课程教学大纲的教学指导作用，在课程的体系结构方面，形成自己的特色。

2）坚持“理论够用，突出应用”原则

根据高职学生的生源实际，以提高学生综合素质和实践技能为根本出发点，坚持“理论够用，突出应用”原则，完善课程教学内容，在内容设计安排上和教学活动中体现能力本位的思想，体现理论与实践一体化的教学模式。促进网页制作课程的教学改革，推动专业建设和课程建设。重视实践教学，在课程最后一周可安排综合实训，让学生模拟真实网站设计的全过程，培养学生分析问题和解决问题的能力以及对职业岗位的适应能力。

3）重视“新知识、新技术”的原则

近年来网页设计技术日新月异，教学中必须紧跟网页设计的最新技术，及时把学科最新发展成果引入教学。如目前各大网站的网页设计中越来越多的使用CSS+DIV进行网页布局，所以，教学内容的安排上应更注重CSS+DIV的教学，让学生在课堂上获得的知识、能力和真实的岗位需求接轨。

4）兼顾“技能认证考试”的原则

突出高等职业教育的特点，兼顾职业学生对从业资格证考试的需要，重视职业资格相关的技能认证，强化市场准入意识，努力使学生毕业时取得双证书，提高学生的职业能力。逐步培养和强化职业意识，培养良好的工作方法、工作作风和职业道德。

2 依据课程教学大纲，锤炼精品教材

为适应当今社会经济和高等职业教育的发展对《网页制作》课程教学提出的新要求，依据课程教学大纲，在中国科学技术大学出版社的主持下，我们编写了《网页制作》教材。2009年《网页制作》（第二版）通过安徽省高校“十一五”规划教材的评审，成为安徽省高等学校“十一五”省级规划教材；《网页制作》（第三版）也于2013年9月出版。为将该教材打造成精品教材，在教材编写团队、编写理念、教材结构体例、教学内容组织和教学配套资源等方面都有所突破。新版的《网页制作》教材特色更加鲜明，教材体例保持任务驱动的案例课程教学，理论与实践一体化，教学内容紧跟网站设计前沿技术，通过任务引导学习，通过案例指导实践，通过配套教学资源提升教学效果。

2.1 教材体系结构更加合理

为适合高职院校的教学特点，保持教学内容的前沿性和新颖性，教材以网页制作主流软件Dreamweavwr为主线，同时兼顾了网页素材制作软件flash、Fireworks、Photoshop 的介绍和应用，以及动态网站的创建。将教材分为三大模块，分别为基础篇、素材篇和提高篇。通过第一部分基础篇的学习，学生可以轻松掌握Dreamweavwr和HTML的基本知识和技能，制作出一般水平的网页。通过第二部分素材篇的学习，可以轻松掌握使用Photoshop 和Fireworks 制作网页图像，使用Flash制作网页动画。通过第三部分提高篇的学习，读者可以深入网页制作的理论和技巧，掌握具有专业水准的网页制作的方法和技能，并学会动态网站的设计与制作。教材三大模块由浅入深，由点及面，精选教学案例，使体系结构更加合理，更符合高职培养目标和要求。

2.2 采用任务驱动的案例进行教材编排

注重学生技能的培养，精心整合理论课程，合理安排知识点、技能点。教材每一章都有精心设计的教学案例，力求每个案例既涵盖相应章节知识点，又能成为读者学习的典型范例。既保持了课程教学的体系结构，又使读者通过教学案例轻松掌握网页制作的操作技能和基本理论，学会网站设计的全过程，熟练地制作出有专业水准的网站。把网站设计中的真实案例编入教材中，在实践教学环节中培养学生发现问题、分析问题和解决问题的能力。

2.3 符合高职的教学要求和特点

在编写中力求体现“以就业为导向，以能力为本位”的精神，教学内容强调理论够用，突出实用技术。教材的编写突出讲、学、练一体的思想，充分体现学生为主体，教师引导、指导的作用。

3 教学方法和教学模式的创新

对教学模式和教学方法做了一些有益的尝试，总结并提炼出“三段式”教学模式和“教、学、做、练”一体化教学模式以及多种教学方法，如：任务驱动的案例教学法等。尽可能使学生由被动学习转变为主动学习、研究型学习，收到了较好的教学效果。

3.1 任务驱动的案例教学法和“三段式”教学模式[1]

任务驱动的案例教学法是指教师将教学内容设计成一个个的案例，每个案例包含一个或多个具体的任务，把教学内容巧妙地隐含在每个案例之中。让学生在一个个具体任务的驱动下完成整个案例，从而掌握教学内容。这种教学方法打破了传统的课程知识体系结构，需要老师精心设计教学案例，以案例为线索将基本知识和基本技能融汇其中。

在实施任务驱动的案例教学法过程中，我们对教学模式进行了一些总结和探究，即将一个案例的教学分为赏析、模仿、创新三个阶段进行，即“三段式”教学模式。第一阶段，教师展示案例作品，以“案例赏析”的方式导入教学，教师应分析案例作品，讲解相关的知识点和操作技能，并操作演示完成案例或案例中的主要部分。教师通过展示案例和演示案例实现过程，激发学生的好奇心和学习兴趣。第二阶段，指导学生“模仿”完成案例，学生通过模仿掌握相关知识与技能，获得相应的能力训练；此阶段学生要独立操作完成案例，老师的主要作用是答疑解惑。第三阶段，培养学生“举一反三”的能力。在模仿的基础上，给学生布置“提高”作业，巩固提高新学习的知识技能，培养学生的发散思维和创新能力。

3.2 实施“教、学、做、评”一体化教学模式

由于网页制作课程具有实践性强的特点，无论是教师的教学还是学生的学习都离不开电脑，多年的教学实践证明最佳的教学效果是“边讲边练”、“边做边评”。所以将教学全过程搬入网络机房，实现“教、学、做、评”四位一体的教学模式，可极大的提高教学效果及效率。通常应在网络机房中安装多媒体教学软件，可实现广播教学、学习素材的分发以及教学监控、学生演示、作业上传等。由于教师每一次新课的教学，学生不再是被动的看屏幕听讲解，而是边学边练，新的知识技能立刻能在电脑上实现，学生的学习会变得更加主动和积极。对学生学习过程中的问题和亮点进行即时点评、演示，可实现即时答疑解惑，使学生的学习兴趣得到激励。

4 改革课程考核方式

结合高职学生的认知能力，改革课程考核评价方式，体现教学的多元化评估。如布置课程阶段作业、期末大作业，通过课堂讨论、互评或他评课程作品的办法，改变过去单纯依靠理论考试评定学生的办法，将考核重点放在对学生学习过程和作品的考核上。更加注重学生在完成学习实践任务过程中的综合分析认识能力。这种考核评价方式是以能力为中心的全程化、开放式和全面的考核方式，能够综合反映和评价学生的知识水平和能力水平，综合考查学生平时参与课程的情况和每阶段学习的状况。激发学生的竞争意识，培养学生的创新精神和独立研究的能力。

5 营造开放式教学环境

目前《网页制作》课程的数字化建设还没有得到充分的开发和使用，进一步加强与课程建设相关的教学资源的数字化建设，完善教学课件、试题库及参考答案、教师用教案等，以满足教师教学和学生自学需要。在部分教学内容上设置情景教学、交流与探讨等教学活动内容，营造开放式教学环境，可以缩小教师间教学水平的差异，提升整体教学效果，促进学生学习兴趣提高。

6 结束语

《网页制作》是计算机相关专业的核心课程，《网页制作》课程建设，必须依据课程的教学目标，完善课程教学大纲的建设，编写符合高职的教学要求和特点精品教材，在教学中改革教学方法和考核方式、创新教学模式。才能提高教学质量，培养出适应目前社会岗位需要的高素质网页设计人才。

参考文献：

[1] 韩陵宜.浅谈（

网页安全论文篇6

设计出好的配色方案，那可不是一朝一夕之功，现在让我从基础的色彩理论开始学起，那这个网站什么时候才能建起来？看来我只有实施“拿来主义”，借鉴一下其他成功网站的配色方案了。

第1步 首先根据自己网站的特点寻找“猎物”。比如虫虫我决定制作的是个与网页设计相关的网站，那么像Adobe、Corel等设计界知名的企业的网站自然而然进入我的视野。如图1所示，就是Corel公司中国网的主页。

第2步 知其然还要知其所以然，对要借鉴的网页进行理论分析，才能最大限度吸取它的精华。我们可以把网页中的颜色分成三大类来进行分析。

主体颜色：页面中所占面积最大的颜色，这个网页中显然是白色。

突出颜色：页面中使用得最少的颜色，这就使得它在整个网页别醒目，这个网页中应该是绿色。绿色的蟾蜍图像及绿色的“X3”字样，突出显示了Corel近期要宣传的产品。

辅助颜色：为了让页面色彩丰富，还会使用其他一些辅助的颜色进行搭配，这个网页中，灰色、蓝色、黑色都可以看着是辅助色。

小提示:从名画中提取配色方案

每一幅世界名画，它的色彩搭配都会有独到之处，我们同样也能从这些名画中提取出网页配色方案。这里以凡・高的油画《向日葵》（Vase with Fifteen Sunflowers）为例做一个尝试：在Photoshop中打开凡・高向日葵油画的电子版；执行“滤镜像素化马赛克”命令，把马赛克的值设置为50；现在从马赛克效果的图片中很容易就能提取出主体、突出、辅助这三类颜色了（见图2）。

第3步 上次说到，网页设计最好先画出框架草图。现在我们在这个草图的基础上，还可以标出配色方案了。如图3所示，根据上一步中得到的配色方案，分别给不同的版块标出色彩值。接下来在Photoshop中按示意图设计出网页的框架就可以了，如图4所示，就是虫虫今天的成果啦，呵呵。

当然了，上面只是权宜之计，真正的网页设计师，我想还是应该要好好学习色彩理论。看来这半个月虫虫又有得学了，大家如果有关于色彩理论方面的好书或网站，别忘了推荐一下哦，好东东要大家共享啊。

小知识:什么是Web安全色？

网页安全论文篇7

>> 电子商务网站后台网页文件管理探索 网页制作与电子商务网站安全 浅析电子商务网站的管理 电子商务网站的设计 试论电子商务网站规划中的几个问题 试论电子商务网站的平面设计原则 基于电子商务网站设计与管理研究 论企业电子商务网站的安全控制 电子商务网站的生存困境 校园电子商务网站的研究与实现 如何创建高信誉的电子商务网站 电子商务网站设计的实用原则 旅游电子商务网站的构建 电子商务网站建立方式的探讨 基于电子商务网站的WEB内容挖掘 电子商务网站的规划与设计 电子商务网站的SEO与推广策略 运营外贸电子商务网站的关键细节 浅析电子商务网站的身份认证技术 企业电子商务网站的安全策略 常见问题解答 当前所在位置：、default.asp以及default.htm等文件，及其他所必要的系统文件。

（2）按照功能内容建立相应的子目录

为每个主菜单（主要功能）建立一个相应的独立目录。譬如，在“网上书店”这个实例网站之中，将邮箱列表以及用户管理等功能建立相应的目录。

（3）在每一个独立的目录之下，都建立独立的Images目录

在刚开始进行网站制作的时候，很多人都习惯将所有的图片存放在这个目录之中。但是在后来却发现极其不方便，经过多次的实践发现，为每一个栏目建立一个独立的Images目录，但是根目录下的Images目录仅仅用来存放首页上的一些栏目的图片。

（4）网站的文件名称和目录名称命名要规范化

在通常情况下，一个大型的电子商务网站均由很多的子页面组成，所以在设计的初期阶段，需要为网站设计一些合理且新颖的页面名称，这样以来不仅方面维护与管理，而且也能够使其快速被搜索引擎检索到[5]。

3 结束语

随着时代的进步与发展，人们已经不仅仅在于满足单调乏味的生活模式了，在这样的背景之下，互联网技术开始慢慢地融入到人们的生活和生产之中。这也就使得方便人们生活的电子商务日渐壮大起来。目前大多数人的生活，都开始与电子商务紧密地联系到一起，然而，电子商务的后台网页设计以及网页管理均之间关系到整个电子商务模式的运行。

总而言之，作为一个优秀的电子商务网站的设计人员，一定要将网页文件管理的因素考虑进去，设计出最优化的方案，从而方便网站的管理，为人民的生活提供更大的便利。

参考文献

[1]穆翠霞，周琳琳.电子商务网络资讯管理系统的设计与实现[J].电脑开发与应用，2014，10（4）：12-15.

[2]周艳萍，蔡玲.网页设计与制作在电子商务中的应用[J].电子商务，2016，8（6）：57-58.

[3]连莹.基于ASP技术电子商务平台设计[J].理论界，2012，12（5）：210-211.

[4]徐玉岩.高职国际贸易专业《电子商务网页设计与制作》课程教学思考[J].中外企业家，2015，15（26）：174-174.

网页安全论文篇8

关键词：网页保护；散列函数；网络安全；报文摘要

中图法分类号：TP393

随着Internet网络技术的发展和普及，越来越多的高校建立了自己的web站点，其应用系统也开始向Internet平台转移。由于校园网站数量的迅速增长，随之而来的安全问题也日益突出，学校网站常常成为黑客攻击的对象，黑客通过各种手段攻击网站服务器系统，从而获取、破坏、篡改网站重要信息，给学校的教学等工作造成重大的损失和恶劣的社会影响。如何防止不法黑客对网站的恶意攻击，如何保证学校网站页面不被篡改，防止重要数据受到损失，已经成为网络安全技术的一个亟待解决的问题。针对这种现状，Web应用防火墙（web application firewall以下简称WAF）应运而生，它是一种网页监控与恢复系统，基于对HTTP/HTTPS流量的双向分析，对网站页面进行实时监控，主动发现Web页面内容是否被非法改动，一旦发现被非法篡改，可立即进行恢复。

1 WAF总体架构与技术实现方法

1.1 WAF系统组成

网页防篡改系统主要通过网络扫描网站的网页，实时监控Web站点，监测Web站点网页是否被修改，当发现Web站点上的文件被破坏或非法修改后，系统能够自动报警，并迅速恢复被破坏的文件，有效的保证Web数据的完整性和真实性。主要功能有实时监测Web站点，网页恢复，网站页面下载备份，实时报警，监测Web站点的动态管理，日志管理等功能[1]。从功能上将系统分为三个部分备份端、监控端、控制端。监控端部署在网站系统服务器上，对于突破网站防火墙的篡改行为，进行实时监控，确保网站信息安全。一旦发现网站信息被篡改之后，立刻通知备份端，迅速恢复正常的网页文件。备份端保存被保护对象（网页、图片等文件）的备份，等待来自监控端的连接。响应监控端的请求（备份文件、恢复文件、删除文件）。控制端安装在网管员的计算机上，作为用户与系统之间的接口，负责传达操作指令，以及实时接收来自端的各种告警信息并及时通知用户。流程模型如图1所示。

1.2 WAF监控原理

WAF的基本理论基础就是密码学中的数字摘要技术，将单向散列函数作用于网页、图片文件，得到一个固定的散列码。这个散列码就像“指纹”一样，只要文件发生任何一丝变化，再次通过散列函数计算出的散列码肯定不同，依此作为网页防篡的依据。散列函数H是一个公开的函数，它将任意长度的报文M变换成固定程度的散列码h，散列函数表示为h=H（M），它生成的保文所独有的“指纹”[2]。散列函数是一种算法，算法的输出内容称为散列码或报文摘要，报文摘要要唯一地对应原始报文，如果原始报文改变并且再次通过散列函数，它将生成不同的报文摘要，因此散列函数可以用来监测报文的完整性。只要检测到网页被篡改，那么恢复就简单了，检测篡改日志，利用超级管理员的或者高级别的用户将正确的网页拷贝过来覆盖就可以了。

1.3 Web页面保护实现

WAF的关键是对网页文件进行校验。在对网页进行完整性校验前，首先对需要保护的网页文件列表进行散列函数处理，提取信息，生成用于比较的文件报文摘要校验数据。然后再定期将这些文件的报文摘要与原始文件的报文摘要进行比较。下面以要保护的网页是基于IIS的ASP网站为例使用VB的代码来实现文件篡改的检测和恢复。首先创建基于VB的MD5散列码生成函数，扫描每个动态网页增加一段代码，实现自我的MD5生成并且检测是否和步骤3中数据记录文件中的MD5码相同，如果不同则判定文件被篡改，将备份文件覆盖被篡改的文件[3]。最后将生成每个动态网页MD5码并且存储在数据记录文件中。MD5散列码的应用已经很广，其算法非常的成熟，参照网络一些代码和算法，做了基于VB5的MD5加密函数，供扫描时生成MD5码之用和网页自检时调用。

为了实现网页的自我检测，我们需要在每个网页的页首包含一段自检的代码，实现给自己生成MD5码并且去比较是否和记录中的值相同。MD5.asp代码中存放着生成MD5码的函数，在页面加载的时候自动启动这段代码实现自检和比较的判断，如果不符则停止响应，同时调用恢复函数恢复被篡改文件。下面是MD5.asp文件中的部分代码：

public function checkMd5（fileName）

originName=fileName

dim isFirst /*是否是第一次初始化，0代表不是，1是*/

create the fso object

set fso=Server.Createobject（"Scripting.FileSystemObject"）

path=fileName

dim fstring

set file=fso.opentextfile（path，1）

……

end function

/*恢复文件函数*/

function RecoverFile（urlStr）

Dim fstring

set fso=Server.Createobject（"Scripting.FileSystemObject"）

if err.number=0 then

Response.Write/*已经修复，请刷新*/

end if

Set fso=Nothing

end function

checkMD5（Request.ServerVariables（“URL”））

str=Request.ServerVariables（“URL”）

str=server.MapPath（str）

checkMD5（str）

%>

利用vb的递归函数递归扫描所有扩展名是ASP的文件，给每个文件的头部增加一行，同时将md5.asp拷贝到根目录的security/localhost子目录下。在修改文件之后直接将文件读取成一字符串，计算其MD5码，将它写入和md5.asp相同的目录下，名字改为md5.asp。在 IIS 管理器中，展开本地计算机，展开“网站”文件夹，右键单击网站、目录或文件，然后单击“属性”。 单击“文档”选项卡，然后选中“启用文档页脚”复选框。 在“启用文档页脚”下面的框中，输入页脚文件的完整本地路径，或者单击“浏览”以找到该文件，单击“确定”。将这个代码嵌入IIS的全局环境中。确的网页拷贝过来覆盖就可以了。

2 WAF在校园网站中的应用

目前校园网站主要的保护措施是利用防火墙进行的被动防御技术，虽然能够较好的防范校园网外部的攻击，但目前从网络攻击趋势看百分之八十的攻击来自网络内部，如何较好地防范校园网内尤其是对黑客攻击非常感兴趣的学生是一大难题，目前为了更好的防止内部攻击问题，有效的方法就是将WAF在校园网站。校园网Web服务器的进行应用要做的准备工作就是将WAF系统模型安装好，备份端装在FTP服务器上，监控端安装在校园网站的Web服务器，控制端安装在校园网站的管理工作站上。首先启动保护工作：要在校园网站Web服务器启动监控端服务，网站这时处于网页的保护状态；其次是网页保护设置、监控管理工作：在控制端登陆控制台，连接监控端主机进行设置，进行用户管理，添加或删除监控的目标文件或目录，设置备份端服务器，是否报警，平时要注意日志文件的观察，通过监控和恢复页面的工作日志，能够查询到系统对被篡改的页面进行的操作结果，即查看对校园网主页的篡改和恢复情况；最后是暂停保护工作：当进行网站维护，上传修改网页时要停止。校园网服务器监控端监测服务，当网站维护完毕时，要及时启用保护和监控工作[5]。

3 结束语

随着黑客对网站的攻击手段的不断变化，在校园网内配置硬件防火墙等被动的防御技术已不能完全保障校园网站的绝对安全。利用事后保护Web页面的WAF可对校园网站页面进行实时监控，及时恢复被恶意篡改的Web页面信息。本文希望能为校园网站管理者在Web服务器的安全管理中起到一定的借鉴作用。

参考文献：

[1]黄明祥，林咏章.信息与网络安全概论[M].北京：清华大学出版社，2011：119-122.

[2]鲁寅辉.基于网页对比的校园二级网站防篡改监控系统的设计与实现[J].实验技术与管理，2011：119-121.

[3]罗跃国.一种网页实时防篡改技术的设计与实现[J].石家庄学院学报，2011：66-68.

[4]王勇，何倩，何胜韬.基于文件过滤驱动的网页防篡改方法研究[J].桂林电子科技大学学报，2010：432-435.