时间:2022-04-15 15:41:00
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网站安全论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
关键字:网站安全性管理
Abstract
Thisarticlefirstintroducedthenetworkandthewebsitesecurityhiddendanger,thesecurityhiddendangerwhichappearsfrequentlyincludingthecommonnetworksecurityhiddendangerandwebsiteitself,afterwardstheauthorbrieflyintroducedthenetworksecuritydefense,andintroducedwebsiteownsafedefenseindetail.
一、前言
随着计算机信息技术的高速发展,人们的生活、工作越来越依赖互联网上的信息和信息获取,但是人们却时刻被信息网络的安全隐患所困扰,越来越多的人也开始了关于网络、网站的安全性管理研究。
网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。网站安全的主要目标就是要稳妥地确保经由网站传达的信息总能够在到达目的地时没有任何增加、改变、丢失或被他人非法读取。要做到这一点,必须保证网站系统软件、数据库系统其有一定的安全保护功能,并保证网站部件如终端、数据链路等的功能不变而且仅仅是那些被授权的人们可以访问。
网站安全目前已发展成为一个跨学科的综合性学科,它包括通信技术、网站技术、计算机软件、硬件设计技术、密码学、网站安全与计算机安全技术等,网站安全是在攻击与防范这一对矛盾相互作用的过程中发展起来的。新的攻击导致必须研究新的防护措施,新的防护措施又招致攻击者新的攻击,如此循环反复,网站安全技术也就在双方的争斗中逐步完善发展起来。
二、网络与网站安全隐患概述
目前影响网站安全的问题主要来自于网络的不安全性,所以在这个意义上讲,网站的安全漏洞其实也就是网络的安全漏洞,其漏洞主要来自以下几个方面:
1.自然因素:
1.1软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
1.1.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
1.1.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
1.1.3、口令攻击。例如,Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
1.2病毒攻击
计算机病毒一般分为四类:①文件型病毒(FileViruses);②引导型病毒(SystemorBootSectorVirus);③链式病毒(SYSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。计算机病毒的主要危害有:对计算机数据信息的直接破坏作用,给用户造成重大损失:占用系统资源并影响运行速度:产生其他不可预见的危害:给用户造成严重的心理压力。
计算机病毒疫情呈现出多元化的发展趋势,以网络为主要传播途径。呈现以下显著特点:①网络病毒占据主要地位;②病毒向多元化、混合化发展;③利用漏洞的病毒越来越多。
2、人为因素:
2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。
当然作为本文最讨论的网站安全,它也有它自身的安全隐患存在,主要体现在以下几点:
3.用户输入验证不全面
在网站编程中,对于用户和用户的输入,都必须抱怀疑态度,不能完全信任。所以,对于用户的输入,不能简单的直接采用,而必须经过严格验证,确定用户的输入是否符合输入规则才可以录入数据库。用户输入验证应该包括以下几个方面:
(1)输入信息长度验证。程序员往往认为一般用户不会故意将输入过分拉长,不进行输入验证可能没有危害。但如果用户输入的信息达到几个兆,而程序又没有验证长度的话,可以使程序验证出错或变量占用大量内存,出现内存溢出,致使服务器服务停止甚至关机。
(2)输入信息敏感字符检查。在设计程序的时候,程序员可能都会关注javascript的一些敏感字符,如在设计留言版的时候,会将“<”等符号的信息过滤,以免用户留下页面炸弹。但还有以下几个方面需要特别注意,一是留言版内容信息的过滤。二是用户名信息的过滤。程序设计中,对用户名的验证往往只是验证长度,没有验证javascript或者HTML的标记,这样就容易形成漏洞。三是Email信息的验证,Email信息往往也只验证是否含有“@”符号,其他没有限制,这容易形成两个漏洞:输入信息过长的内存溢出漏洞;含有javascript等字符信息,造成显示用户Email的时候形成页面炸弹等。四是搜索信息的验证。尽管搜索信息不会直接保存到网站服务器,但是,搜索信息却与数据库或者服务器所有文件密切相关,如果搜索信息有问题,很容易就会暴露一些本来不应该暴露的数据库信息或者文件信息。如果用户对程序比较了解,可设计一些很特别的搜索信息,检索他不应该检索的数据库表,例如用户账号密码表等。因此,一般要验证一些常见的用于数据库操作的语句,例如搜索信息是否含有“Select”等,这样来限制用户输入,避免信息的泄露。
4.页面行为方式缺乏逻辑
在网站中注册新用户的时候,一般会首先要求用户输入自己需要注册的账号信息,验证该账号是否已经存在,确保用户的单一性。如果用户的注册信息通过了“存在该账号”的检测,在编程的时候就认为这个账号一定不存在,可以注册,在注册页面中直接使用“nsertInto”语句将注册信息插入用户数据库。上述的问题是:将注册信息插入数据库之前,并没有再一次检查这个用户是否存在,而是信任前一个检测页面传来的账号信息。由于可以阅读和保存HTML文件的源代码,如果用户将注册通过的页面保存并且将上面的账号信息修改为一个已经存在的账号,由于程序认为该账号已经通过检测,直接将该账号插入数据库,原来拥有该账号的用户信息就被修改,造成用户信息流失、出错等情况的发生。如果这个账号刚好是一个管理员账号,结果将是很难预料的。
使用以上错误方式编程的程序员很多,随便在网上找就可以找到很多这种方式编程的源代码和已经采用的程序。在电子商务初期,一些电子商务网站的程序中,存在着用户可以随意定义自己购买商品的价格这样的漏洞,也就是由页面行为方式缺乏逻辑造成的。
当然,网站安全还包括比如服务器攻击、病毒攻击等方面,但这些方面基本都属于上文中介绍过的网络安全问题,另外由于篇幅问题许多细节问题也不在此累赘了。
三、网站安全管理策略探讨
1.网络安全的管理
1.1使用防火墙
防火墙作为使用最多,效率最高的网络安全产品自然有它自身的优势,所以防火墙在整个网络安全中的地位将是无可替代的。
1.2与因特网接入处增设网络入侵检测系统
入侵检测系统(IDS即IntrusionDetectSystem)是实时网络违规自动识别和响应系统,它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵或破坏性代码流,寻找网络违规模式和未授权的网络访问,一经发现入侵检测系统根据系统安全策略做出反应,包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
1.3病毒防御
选购杀毒软件,必须考虑产品的采购成本、应用(管理、维护)成本,以及将来企业或网络规模变化后,软件能否实现平滑过渡等问题。只有明确需求,重视产品的应用和管理,把网络防病毒纳入到信息安全防范体系之中进行综合防范,才能有效提升企业的信息安全水平。单纯防病毒,并不是企业的最终目标。
当然,对于网络安全的防御目前比较成熟的技术相当多,我们只有认准适合自己的技术,并采用多种技术相互结合才能达到相应的目的,由于篇幅有限对于其他诸如身份认证、数字签名等技术的介绍就不在此累赘了。
2.网站自身的安全管理
2.1网站服务器的安全管理
网站服务器的日常管理、维护工作包‘括网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。主要注意以下几点:
①从网络结构设计上解决安全问题
安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击,还可通过安装非法人侵监测系统,提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当有入侵者攻击时可以立刻有效终止服务。同时应限制非法用户对网络的访问,规定具有特定IP地址的客户机对本地网络服务器的访问权限,以防止从外界对网络服务器配置的非法修改。
②定期对网站服务器进行安全检查
由于网站服务器是对外开放的,容易受到病毒的攻击,所以应为服务器建立例行安全审核机制,利用漏洞扫描工具和IDS工具,加大对服务器的安全管理和检查。另外,随着新漏洞的出现,我们要及时为服务器安装各类新漏洞的补丁程序,从而避免服务器受到攻击和出现其他异常情况。
③定期进行必要的数据备份
对服务器上的数据定期进行备份是很重要的。网站的核心是数据,数据一旦遭到破坏,后果不堪设想。除了设置相应权限外,应建立一个正式的备份方案,而且随着网站的更新,备份方案也需要不断地调整。
2.2数据库安全管理
数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性,采用基于Client/Server模式访问后台数据库,为不同的应用建立不同的服务进程和进程用户标识,后台数据库系统以服务器进程的用户标识作为访问主体的标识,以确定其访问权限。我们通过如下方法和技术来实现后台数据库的访问
控制。
①访问矩阵
访问矩阵就是以矩阵的方式来规定不同主体(用户或用户进程)对于不同数据对象所允许执行的操作权限,并且控制各主体只能存取自己有权存取的数据。它以主体标行,访问对象标列,访问类型为矩阵元素的矩阵。Informix提供了二级权限:数据库权限和表权限,并且能为表中的特定字段授予Select和Update权限。因此,我们在访问矩阵中定义了精细到字段级的数据访问控制。
②视图的使用
通过视图可以指定用户使用数据的范围,将用户限定在表中的特定字段或表中的特定记录,并且视图和基础表一样也可以作为授权的单位。针对不同用户的视图,在授权给一用户的视图中不包括那些不允许访问的机密数据,从而提高了系统的安全性。
③数据验证码DAC
对后台数据库中的一些关键性数据表,在表中设置数据验证码DAC字段,它是由银行密钥和有关的关键性字段值生成。不同记录的DAC字段值也不相同。如果用户非法修改了数据库中的数据,则DAC效验将出错,从而提高了数据的安全性。
2.3编码中的安全管理
防止恶意代码注入
①验证输入,使攻击者无法注入脚本代码或使缓冲区溢出
②对所有包含输入的输出进行编码。这可防止客户端浏将潜在的恶意脚本标记作为代码进行转换。
③使用接受参数的存储过程,防止数据库将恶意SQL输为可执行语句进行处理。同时使用特权最低的进程帐户和模拟帐户。在攻击者企图应用程序的安全上下文执行代码时,可缓解风险并减少损害。
防止会话劫持:
①分隔个性化cookie和身份验证cookie。
②仅通过HTTPS连接传递身份验证cookie。
③不传递在查询字符串中代表已通过身份验证的用户标识符。
最为一名网络或者网站管理员,有责任同时也有义务做好网站的维护与管理,这就需要我们管理人员时刻保持虚心学习的心态,时刻关注新的管理技术与安全防御技术。对于已经出现的安全问题应该用最快、最有效的方法加以解决,对于目前还未出现的安全问题要有预见性,这才是一名优秀的网络管理员。
参考文献:
[1]沈文智.MicrosoftBS网页技术[M].北京:人民邮电出版社.1998.
1网站技术简介安全威胁的来源
1.1WWW技术简介
WorldWideWeb称为万维网,简称Web。分成服务器端、客户接收机及通讯协议三个部分。
1.1.1服务器(Web服务器)
服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档,按用户的要求返回信息。
1.1.2客户接收机(Web浏览器)
客户机系统称为Web浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。
1.1.3通讯协议(HTTP协议)
Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperTextTransferProtocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。
1.2服务器安全威胁
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:
Web服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。
Web数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,导致数据丢失或服务中断。
Web服务器上的数据存储结构不合理,没有划分安全区域或重要数据没有存放在安全区域,导致被侵入。
Web服务器上运行的程序存在安全漏洞,或应用程序所需要的权限过高没有优化,容易被黑客侵入。
1.3客户端安全威胁
现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。主要用到JavaApplet、ActiveX、Cookie等技术都存在不同的安全隐患。
1.4数据传输中的安全威胁
Internet是连接Web客户机和服务器通信的信道,是不安全的。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。
2WEB安全保护的原则
2.1实用的原则
针对网站架构,网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全,在攻击行为发生前,做到防患于未然是预防措施的关键。
2.2积极预防的原则
对WEB系统进行安全评估,权衡考虑各类安全资源的价值和对它们实施保护所需要的费用,通过评估,确定不安全情况发生的几率,采用必要的软硬件产品,加强网站日常安全监控。
2.3及时补救的原则
在攻击事件发生后尽快恢复系统的正常运行,并找出发生攻击事件问题的原因,将损失降至最低,并研究攻击发生后应对措施。3建立安全的Web网站
3.1合理配置主机系统
3.1.1仅提供必要的服务
默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等,WindowsNT系统将提供RPC、IP)转发、FTP、SMTP等。而且,系统在缺省的情况下自动启用这些服务,或提供简单易用的配置向导。为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于UNIX系统,应检查/etc/rc.d/目录下的各个目录中的文件,删除不必要的文件;对于Windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件。一般情况下,应关闭Web服务器的IP转发功能。
对于专门提供Web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作Web服务器系统,对外只提供Web服务,没有其他任务。这样,可以保证(1)使系统最好地为Web服务提供支持;(2)管理人员单一,避免发生管理员之间的合作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。
对于必须提供其他服务,则必须仔细设置目录、文件的访问权限,确保远程用户无法通过Web服务获得操作权限。
3.1.2使用必要的辅助工具,简化安全管理
启用系统的日志(系统帐户日志和Web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。
3.2合理配置Web服务器
在UnixOS中,以非特权用户而不是Root身份运行Web服务器。
(1)设置Web服务器访问控制。通过IP地址控制、子网域名来控制,未被允许的IP地址、IP子网域发来的请求将被拒绝;
(2)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应。
(3)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。
3.3设置Web服务器有关目录的权限
为了安全起见,管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。
服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改。
服务器根目录下存放CGI脚本程序,用户对这些程序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作。
服务器根目录下的某些文件需要由Root来写或者执行,如Web服务器需要Root来启动,如果其他用户对Web服务器的执行程序有写权限,则该用户可以用其他代码替换掉Web服务器的执行程序,当Root再次执行这个程序时,用户设定的代码将以Root身份运行。
3.4安全管理Web服务器
1.2漏洞扫描系统的建立对服务器、工作站以及交换机等关键网络设备的检查其必须要采用当前最为先进的漏洞扫描系统,同时定期对上述关键网络设备进行检查,并对检测的报告进行分析,从而为网络的安全提供保障。
1.3培养网络安全人才网络安全人才的培养是一个很重要的问题。在我国,专门从事网络安全问题的部门、单位比较少,技术人员十分缺乏,并且网络人员以及网络管理人员网络安全意识比较淡薄,缺乏必备的安全知识。所以,我国急切需要培养大量的网络安全人才,并提高他们的网络安全意识和学习必备的安全知识。只有这样,我国才能在网络安全领域的研发、产业发展、人才培养等方面更快发展,缩小和国外的,是我国的网络更加的安全,国家更加的安全。
1.4大力发展自主性网络安全产业大力开发有自主知识产权的网络安全产品可以有效提高网络安全性能,是彻底摆脱进口设备的有效途径,自己掌握关键技术是大力发展自主性网络安全产业的关键。通过加大对网络安全技术网络安全技术研究开发与研究的投人,可以使网络安全技术水平得到进一步的提高。
2网络安全的发展趋势
随着我国当前网络技术的飞速发展,原来的采用单点叠加方式的网络防护手段已经不能抵御当前混合型的网络威胁。因此,构建考虑局部安全、智能安全和全局安全的一个安全体系,以此为广大的网络用户提供更为全方位和多层次的立体防护体系,是当前做好网络安全建设的一个重要的理念,同时也是网络安全未来发展趋势。
2.1网络安全技术的融合发展在网络普及率不断提高的情况下,网络所面临的威胁也日益加剧。传统的以单一防护的方式已经成为过去。因此,只有通过技术的融合,建立更加智能化、集中化的管理体系,成为未来网络安全的必然。未来网络的规模会越来越庞大和复杂,网络层的安全和畅通已经不能仅仅依靠传统的网络安全设备来保证,因此整体的安全解决方案开始融合以终端准入解决方案为代表的网络管理软件。终端准入解决方案为网络安全提供了有效保障,帮助用户实现了更加主动的安全防护,实现了更加高效、便捷地网络管理目标,全面推动了网络整体安全体系建设的进程。
2.2网络主动防御的发展网络主动防御的理念已经被提出来很多年了,但是和其他理论一样,在其发展的时候遇到了很多阻碍。所谓的网络主动防御,其实质就是通过对指定程序或者是线程方面的行为,并按照事先设定的规则,从而判断该行为是否是属于病毒或者是比较危险的程序,以此对其进行清除。通过主动防御可有效的提高系统整体的安全策略,并推进整个互联网络的智能化的建设。该产品在现阶段的发展中还不够成熟,但是未来随着技术的进步,该技术会更为完善,从而成为未来互联网的发展趋势。
网站开发论文参考文献:
[1]黄宝玉,项国雄.国家精品课程建设现状分析及思考[J].中国高教研究,2007(9):72-75.
[2]史金昌.浅析基于ASP.NET的Web网络应用程序的安全开发[J].科技创新导报,2008(23):37.
[3]李志勇,魏红.高校精品课程数字化资源建设与推广应用研究[J].电脑知识与技术,20l0(2):485-486.
[4]张书梅,符蕴芳,刘智国.网站安全管理的方法与具体实现[J].石家庄学院学报,2005,7(6):54-56.
[5]阳卫文,王建斯,基于P2P流媒体系统模型的研究进展[J].现代电子技术,2008(2):159-161.
[6]万荣泽.基于ASP.NET技术的统一后台网站群的设计[J].微计算机信息,2007,23(8):260-262.
[7]王红雨,蔡成闻.基于ASP.NET的课程平台设计与实现[J].聊城大学学报:自然科学版,2007,20(1):78-82.
[8]顾正刚,毕海峰.网站规划与建设[M].北京:机械工业出版社,2007:4-8.
网站开发论文参考文献:
[1]孔祥鑫.基于PHP技术的校园网站的设计与实现[D].天津:天津师范大学,2012.
[2]李良.基于PHP的商业站点设计与实现[D].南昌:南昌大学,2010.
[3]杜闯.PHP在动态网站开发中的优势[J].电脑知识与技术,2010(13).
[4]贾素来.使用PHP和MySQL开发动态网站[J].大众科技,2011(3).
[5]李晶.PHP技术应用于中小企业网站开发探讨[J].软件开发设计,2014(10).
[6]杜闯.PHP在动态网站开发中的优势[J].电脑知识与技术,2010(13).
[7]贾素来.使用PHP和MySQL开发动态网站[J].大众科技,2011(3).
网站开发论文参考文献:
[1]靳莹.基于缓存技术的内容管理系统研究[D].吉林大学,2014.
[2]黄菊.分布式缓存技术及其在车辆监控系统中的应用[D].北京邮电大学,2015.
[3]崔解宾.分布式内存缓存技术在数据处理平台中的研究与应用[D].北京邮电大学,2015.
[4]李光瑞.Map/Reduce型海量数据处理平台中的内存级数据缓存技术研究[D].北京工业大学,2013.
[5]易会战,王锋,左克,杨灿群,杜云飞,马亚青.基于内存缓存的异步检查点容错技术[J].计算机研究与发展,2014(06):1229-1239.
关键词:
期刊网站;评价;指标;构建
随着信息技术的飞速发展,以及互联网应用水平的持续提高,期刊出版业正在发生深刻的变革,期刊的数字化、网络化要求不断提高[1-2]。期刊出版不仅要实现编辑过程的网络化,更要做到出版、发行等全方位的网络化,以提高工作效率,加快信息传播速度,提升科技期刊的核心竞争力[3]。期刊自建网站无疑是期刊全方位网络化的基础,是扩大期刊显示度,提升期刊核心竞争力的有效途径。通过自建网站,编辑部不仅能实现期刊编辑、出版有关的组稿、收稿、审稿、编辑加工到发排出版全过程的网络化,而且可以加强对期刊的宣传,扩大期刊的影响力,方便读者、作者、专家和编委随时了解期刊的最新动态[4-5]。期刊网站按构成一般可分为功能层、内容层和效用层3个层次[6]。期刊网站的功能和内容一般包括期刊基本信息、期刊内容数字化、在线办公、服务读者、在线经营与管理以及其它扩展信息与功能等6个方面[7-8]。前期研究表明,江苏省科技期刊网站存在功能和内容参差不齐、网络化程度不高、网站管理与服务不到位、网站经营能力不足等问题,网站功能仍停留在浅层次[9]。为进一步评价江苏省科技期刊网站的功能与服务,以网站构成的3个层次为前提,依据网站建设、网站内容、网站功能与网站管理等指标构建期刊网站评价指标体系,并对现有期刊网站进行评级。旨在找出江苏省科技期刊网站建设过程中存在的问题与不足,提出相应的解决措施与对策,从而促进江苏期刊网络化工作的整体发展。
1期刊网站评价指标体系的构建
1.1评价指标和权重的确定
构建评价指标体系首先要确定总体目标,再将总体目标进行分解,确立相应的一级、二级和三级指标,最终形成期刊网站的综合评价指标体系。指标体系建立时,不仅要考虑网站内容与功能等核心指标,也要兼顾栏目设置、页面布局、信息安全、信息更新管理及相关辅助功能情况[10]。根据期刊网站建设功能和内容包含的6个方面,并结合美国化学会期刊网站建设情况[11],确定了网站建设、网站内容、网站功能和网站管理等4个一级指标,并分解为10个二级指标和40个三级指标。评价指标在确定各自权重时,以网站内容和网站功能为主要指标,所占权重相对较高;而网站建设和网站管理作为辅助指标,所占权重较低,具体指标及权重如表1所示。
1.2评价指标的技术性分析
1.2.1网站建设
网站建设指标包括主页设计、辅助功能两个二级指标,主要用于评价网站设计的外在表现形式以及网站主页中的相关辅助功能。可以简单区分为定性和定量两种形式,其中主页设计是定性指标,通过访问者对网站页面布局、栏目分类、色彩搭配和整体效果等的总体评价来赋值,评价指标要求是网站主页布局合理,栏目设置及分类层次清晰、重点突出,色彩风格和主色调能体现期刊特性和定位、设计风格统一,页面整体美观大方。辅助功能是定量指标,通过分析网站是否有友情链接、访问统计、会员登录、留言板、二维码扫描和RSS订阅等功能来赋值[12]。
1.2.2网站内容
网站内容根据不同的主体可分为:期刊信息和编辑部信息两个二级指标。主要评价期刊信息和编辑部信息的完整性,包括:期刊介绍渊包括基本信息、报道范围、数据库收录等冤、编委会、广告服务、英文版网站以及必要的外延信息渊如在不同数据库的影响因子、被引频次、web下载率等指标冤;编辑部的联系方式、通知公告和相关行业资讯,包括期刊动态、信息公告、编辑部工作安排以及行业会议、展览等资讯,要求的信息规范、可靠,更新及时。
1.2.3网站功能
网站功能是评价指标体系中最重要的部分,也是权重最大的部分,可以说是整个期刊网站的核心部分。其目的是突出期刊网站的实用性,更好地服务作者、服务读者、服务审稿专家,实现期刊从组稿、收稿、审稿、编辑加工到发排出版全过程的网络化。网站功 能的二级指标包括在线采编、服务作者、服务读者和特色服务4个二级指标。渊1冤在线采编。在线采编功能是指期刊网络采编系统的使用,通过作者投稿/查稿、专家审稿和编辑办公功能的开发,以实现作者、专家、编辑和主编等在线稿件处理。渊2冤服务作者。主要是为作者提供论文撰写、格式规范、论文投稿与发表等过程中的相关参考,包括政策法规、编辑规范、征稿简约/投稿指南、写作模板和下载中心等。渊3冤服务读者。包括当期目录、过刊浏览、文献检索、论文下载渊全文冤和期刊订阅等,即主要通过及时有效地将期刊内容网络化,以便于读者能更快更及时地获取论文信息。渊4冤特色服务。包括文献跟踪、引文提示、E-mailAlert服务和科学普及等。传统意义的文献跟踪服务是指读者可以在某期刊网站上登记并标明感兴趣的论题,当期刊本身或其它合作期刊发表相关文章时,该网站将通过电子邮件告知用户,让用户及时获得相关信息[11]。评价体系中的文献跟踪主要是指期刊已中与此篇论文相关的文章索引。引文提示是指期刊网站除了提供文献信息外,还在论文全文的参考文献后列出该文献的他引情况,通过点击他引,可快速链接到引用文献来源期刊的网站,阅读文献摘要或全文。E-mailAlert服务可为用户免费定制E-mail送达服务,可根据订阅用户的需求,每天或每周及时将内容目录发送给用户[13]。科学普及是指期刊网站的科普宣传功能,网站利用文字、视频、音频、动漫等多种表现形式普及科学常识,既可以向公众传播专业知识、普及科学技术、提高全民科学素养,又可以扩大读者范围,提高期刊网站的点击率和影响力。
1.2.4网站管理
网站管理主要分为信息内容管理和信息安全管理。信息内容管理包括留言及公告管理、信息更新量和信息时效性,要求有专人对网站进行日常维护和管理,信息更新及时有效,留言板等互动性信息能及时回复,与作者、读者的互动性好。信息安全管理包括响应速度、可用性和安全性,要求期刊网站不能存在明显的安全漏洞,对重要信息有相应的安全管理措施,并确保网站访问的安全性;网站响应时间短、访问速度快,兼容性好,能支持多种操作系统和不同版本的浏览器访问。
2评价结果与分析
2.1网站等级的划分及评定
根据2014年江苏省新闻出版广电局报刊核验工作统计,江苏省现有期刊442种,其中科技学术期刊228种,社科学术期刊115种,非学术期刊99种。228种科学技术期刊中拥有独立域名网站的期刊145种。根据表1中科技期刊网站建设评价指标渊总分为100分冤对145种科技期刊进行评分,平均得分为73.4分,然后按照评分结果划分为优、良、中、差4个等级,具体结果见表2。由表2可知,网站功能达到优秀等级的期刊仅7种,占所有期刊的比例不到5%,分别为中国药科大学学报、排灌机械工程学报、岩土工程学报、江苏大学学报渊自然科学版冤、实用心电学杂志、中国天然药物渊英文冤和电力系统自动化。而等级为差的期刊有17种,比例达到了11.8%,这17种期刊网站基本只包含了简单的期刊信息、编辑部信息,以及服务作者、服务读者和辅助功能的部分内容,大多没有在线采编渊或只有简单的在线投稿冤、特色服务、全文下载等功能,缺少会员登录、留言板、二维码扫描、RSS订阅等互动性较强的内容,信息更新量少,时效性差,无法满足作者、读者和审稿专家对期刊网站内容的需求。
2.2网站评价指标得分及分析
为更加系统全面地分析评价科技期刊网站的功能,以指导江苏省科技期刊网站建设并促进其发展,对网站评价指标体系中一级和二级指标的得分情况进一步深入分析,具体见表3。由表3可知,网站建设指标的得分率为69.3%,其中辅助功能的得分率较低,仅为47.1%,辅助功能三级指标中会员登录、留言板和其它渊二维码扫描区、RSS订阅等冤的得分率均较低,分别为21.4%、35.9%和21.7%。由此可以看出,网站建设时对于互动类栏目的开发不够,分析其原因可能是:在网站运行过程中,互动类栏目的维护比较耗费时间,需要编辑部安排专门的人员进行维护,考虑到当前期刊编辑部普遍人手不足的现状,互动类栏目的设计就显得略有不足。网站内容指标的得分率为68.7%,其中期刊信息的得分率较低,仅为60.4%,期刊信息三级指标中广告服务、英文版和外延信息渊影响因子、被引频次等冤的得分率较低,分别为28.6%、37.6%和13.1%。分析原因可能是:当前中国大多数科技期刊的读者群在国内,对于英文版重视程度不够,同时对期刊的经营不够,期刊的广告服务功能缺失,很大一部分期刊没有开通在线广告服务。网站功能指标的得分率为72.3%,其色服务的得分率较低,仅为15.1%,特色服务三级指标中文献跟踪、引文提示、E-mailAlert服务和科学普及的得分率均较低,分别为24.1%、4.8%、23.4%和8.3%。此外,三级指标中行业资讯和政策法规的得分率也仅为34.1%和17.6%。
3问题与建议
3.1问题分析
通过期刊网站评价指标体系的构建,对江苏省145种科技期刊网站进行了分析与评价,可以看出,江苏省科技期刊网站建设取得了一定的成就,形成了一批网站建设、内容、功能和管理比较完善的期刊网站,但也存在诸多的问题与不足:渊1冤从网站建设上看,期刊与作者、读者和审稿专家互动性的辅助功能较少,比如会员登录、留言板、微博、微信、APP和RSS订阅等,期刊无法吸引读者的注意,网站的点击量很低,受关注度不够;渊2冤从网站内容上看,大多数网站内容单调,信息资源贫乏,信息量少,且都以文字内容为主,缺少图片、音频、视频及其它多媒体表现形式,与一般的门户网站相比,网站界面简单、表现形式单一、栏目单调,无法体现期刊特色;渊3冤从网站功能上看,网站具有在线采编功能的比例超过了90%,绝大多数的期刊实现了作者在线投稿、专家远程审稿和编辑在线办公的网上办公模式。但网站的拓展功能明显不足,特色服务内容依然不够,比如网站具有文献跟踪、引文提示、E-mailAlert服务和科学普及功能的比例均不足25%,网站关于编辑出版政策法规的内容也仅为17.6%,还有网站的部分功能形同虚设,根本无法打开或打开后是空白。
3.2发展建议
针对以上问题,建议在今后的网站建设与维护过程中加强以下几方面的内容。渊1冤加强网站互动功能建设,提高网站关注度。加强对留言板、微信、微博、QQ等功能的开发与维护,通过多种平台进行沟通与交流,及时解决作者、读者和专家在实际工作中的困难与问题。期刊网站可以实行会员制,以会员登录的形式实现网站资源共享,同时会员可以对期刊发表的论文进行点评,评选热点论文;编辑部根据会员的点评结果,定期更新,将优秀的论文推荐给读者。渊2冤采用多种表现形式,丰富网站内容。网站内容的表现形式多种多样,除了文字介绍,可以通过图片、音频、视频等多种形式来展示。比如,可以通过图片窗口来展示论文的主要内容和研究成果,远比简单的文字说明更加形象生动.主编作为期刊的主要负责人,其在行业中的地位和影响力在一定程度上代表了期刊的影响力,网站除了期刊的文字介绍外,可以通过主编对期刊介绍的视频来进一步宣传期刊;关于编辑部团队的介绍,除了编辑人员的基本信息外,还可以通过图片展示工作环境、团队建设与交流活动、演讲、参加业内活动等情况;还可以通过动漫、音频和视频来普及科学知识,介绍行业发展现状等。渊3冤拓展网站功能,更好地服务作者与读者。期刊网站的设计应该将服务作者和服务读者的思路贯穿始终,除了满足他们当前对信息和内容的需求外,还要考虑其深层次的需求。因此,网站应拓展服务功能,加强文献跟踪、引文提示和E-mail推送等特色服务,同时可以增加文献数据分析、专家连线等服务,方便作者对文献信息的统计分析。
4结语
科技期刊的数字化和网络化,既是期刊发展的机遇,也是对传统期刊的一种挑战。期刊独立域名网站作为期刊网络化的一种形式,在网站建设过程中,应充分考虑网站内容、网站功能和网站管理等多方面的因素,力求通过多种形式丰富网站内容,同时从作者、读者和专家的角度拓展网站功能。在此基础上,根据期刊自身的类型,建设具有期刊自身特色的网站,以增加期刊网站的吸引力与关注度,从而扩大期刊的影响力和知名度。
参考文献:
[1]杨郁霞.从24种农业科技期刊网站调查结果谈科技期刊网站的简约性[J].编辑学报,2012,24(4):371-373.
[2]刘飚,邢飞,徐威.国外科技期刊网站的调查与思考[J].中国科技期刊研究,2009,20(3):479-483.
[3]黄仲一,郭雨梅,毛善锋.高校科技期刊网站评价指标体系的构建[J].编辑学报,2011,23(5):457-459.
[4]王媛,杨聚祥,刘永昌,等.我国科技期刊自建网站现状与分析[J].科技与出版,2010,(7):32-34.
[5]龙秀芬,吴惠勤,颜志森.我国化学类核心期刊网站建设现状及分析[J].韶关学:学报:自然科学版,2012,33(8):88-93.
[6]程维红,任胜利,路文如,等.2007耀2011年中国科协科技期刊网站建设进展[J].中国科技期刊研究,2012,23(4):519-525.
[7]程维红,任胜利,王应宽,等.中国科协所属科技期刊的网络化建设进展[J].中国科技期刊研究,2010,21(4):425-430.
[8]周青.综合性生物核心期刊网站建设情况分析与思考[J].编辑学报,2010,22(4):355-357.
[9]陈强,黄萍,罗彦卿,等.江苏省自然科学类期刊网络化现状调查与分析[J].农业图书情报学刊,2012,24(10):156-159.
[10]于孟晨,张立新,潘秋岑.科技期刊网站的内容设置与定位思考[J].理论导刊,2014,(12):95-97.
[11]龙秀芬,吴惠勤,丁岩,等.美国化学会期刊网站建设分析[J].编辑学报,2011,23(S1):25-28.
食品安全的问题,小编认为,应该是当下天朝国百姓们最关心的民生问题,所以这类论文自然成了小编关注的对象。每一位食品安全的学术创作者,你可能影响着食品加工商的业界良心,也或许影响着大家对食品选择的判断,更有可能影响国家对食品安全的方针政策。食品安全落实到千家万户,所以你的论文该在哪里发表,这非常重要!
首先,作为期刊,你得清楚自己除了是为了奉献自己的学术成果之外,还是有其他的目的。如果是评定职称那么你得先去了解自己所在单位对发表期刊论文的具体要求,包括所要发表的期刊级别,发表的篇数,论文的字符数等等。然而你是在校生,需要完成学业,或是评优评奖需要的材料,你也需要事先清楚学校对的要求,一般学校要求不会像单位要求那么高,学生党可以多多比较,选择性价比高的期刊社发表。
其次,你的论文题目和内容至关重要,现在论文的审核要求是越来越高了,质量不是太好的文章也是很容易被退回来的,所以大家在选题的时候一定要慎重!已经过时的不要写,根据大家感兴趣的写,比如热点话题,转基因食物、农药残留等等。论点除了新颖之外,最好还要有事实数据说话,为你的论点加分不说,很多有真实数据的论文质量也会高很多,会为你节约不少时审核的时间。
接着,找合适的期刊社发表,一般新手选择在网上搜,在哪儿搜呢,你可以去知网官网,查找出与食品安全相关的期刊,然后去该期刊官网,获取联系方式,一般是邮箱或者电话。但是要特别注意的是,很多山寨网站现在做得比官网还要靠前,所以一定要认真鉴别,一般窗口老是弹出客服对方框的网站那绝对都是山寨的。到底去哪儿发的问题,真的,其实交给我们就好了。
最后,就是投稿了,按照你提供的要求,我们会量身制定合适的期刊,你只需耐心等待,期刊会用最快的速度飞到你的怀抱。
1、可以去中国知网、维普、万方这三个文献资料专业网站上去查找。毕业论文的文献资料,你可以去中国知网、维普、万方这三个文献资料专业网站上去下载,但是这三个网站是付费的,如果你在学校内下应该是免费的,一般学校都会购买这几个网站的文献,在校内网络下是免费的。当然,网上资料也不会完全,还得去图书馆找些东西。
2、可以在万维、知网上进行论文。虽然市面上出现了很多第三方机构,但在选择的时候首先一定要注意他们的安全机制,即是否能够保障你的论文安全,不被泄露;其次就是看他们的算法是否科学合理,数据库是否涵盖广、是否及时更新,因为只有算法科学,数据库范围广且及时更新,它的结果才会更准确。
(来源:文章屋网 )
(一)首页设计
在整体上,网站的首页设计要做到界面直观,条理清楚,个性突出,导航设计清晰,操作简易,图像、文字、背景颜色、标题、注脚等风格统一,整体效果舒适顺畅。具体来说,文学精品课网站首页的主要色彩为绿色,绿白相间,网页看起来雅致而有生气,同时,通过调整其透明度,增加层次感。网站的整体布局呈“国”字形。首先,欢迎界面位于首页上部,包括题目和导航栏,其英美文学代表人物莎士比亚和福克纳的照片和课程题目与导航栏目主题一致,和谐美观;导航按钮“首页、课程介绍、课程建设、学习指南、网络课堂、实践教学、师生互动、教学资源、教学研究、政策支持、下载专区”依次排列,导向清晰,节时省力。其次,网站的中间部分由“课程简介”、“课程负责人简介”、“学术动态”、“通知公告”和“教学•研讨•交流”(教学、科研与参加学术交流的展示图片)、“友情链接”六个栏目组成;各模块的内容突出“新”字,语言简洁易读;移动式图片通过点击图片本身可阅读该图片的具体信息。网站首页的下方显示“版权所有”、“技术支持”和“访问统计”等信息。总之,首页的设计要突出个性,保持形式与内容的一致与和谐。
(二)前台显示系统设计
前台显示系统包括“申报网站”和“课程网站”两个栏目。点击导航按钮,便显示“拐角型”的子首页。本部分侧重论述“课程网站”的前台显示系统的结构设计。1.申报网站“申报网站”由“课程负责人情况”、“主讲教师情况”、“教学队伍情况”、“课程描述”、“自我评价”、“课程建设规划”、“申报书”等栏目组成。主要通过文件链接的形式,为专家评审提供材料。2.课程网站“课程网站”包括“课程介绍”、“课程建设”、“学习指南”、“网络课堂”、“实践教学”、“交流互动”、“教学资源”、“教学研究”、“政策支持”和“下载专区”十个栏目。“课程介绍”栏目首页的左侧显示“课程简介”和“课程描述”两个子栏目。“课程简介”简要介绍了《英美文学及选读》课程在英语专业学习中的地位、教学目标、主要教学内容、教学要求等内容。“课程描述”比较详细地描述了本课程的课程性质、课程理念、课程目标、课程内容、课程安排、教材的选用与参考书目。“课程建设”栏目下设“教学团队”、“教学内容”、“教学条件”和“教学效果”四个子栏目。“教学团队”栏目内含“师资队伍”和“学术水平”两个下一级栏目。“师资结构”由主讲教师、师资结构、教师培养、梯队建设构成,“学术水平”由教学评估、高职授课、科研统计、获奖情况、荣誉称号、年终考核、突出成绩构成。“教学内容”栏目涵盖《英美文学及选读》课程标准、考试大纲、教学实施计划、实践教学实施方案、实践教学内容一览表、教学改革实施方案和教改成果统计一览表。“教学条件”栏目包括《英美文学及选读》教学文件、教材建设规划、使用教材一览表、辅助教材一览表、教学方法与手段、网络教学资源建设方案、网络教学资源一览表、网络教学资源使用情况介绍、教学音像资料一览表、多媒体教学课件一览表。“教学效果”栏目包含《英美文学及选读》课程的“主要教学环节质量”、“讲课质量”和“综合评价”。“主要教学环节质量”内有辅导计划、辅导记录、批改作业、考试命题、阅卷规章制度、题库建设(链接习题库)、教考分离情况总结、试卷档案、相关讲座及其课件、任课教师指导学生参加科技月活动获奖话剧剧本、演讲稿等。“讲课质量”包括学生信息员反馈、各学期访谈、座谈会情况、督导组听课反馈意见、主讲教师录像(链接“教学资源”)。“综合评价”内含同行评价(校外专家评价和校内专家及同行评价)、学评教情况(学生问卷调查、访谈、座谈会、学生评教结果)、学生能力测试(试卷分析等)。“学习指南”下设培养目标、学习方法、必读书目和推荐书目四个子栏目。四个导航按钮会链接各自的内容,其中“学习方法”导航按钮会链接若干关于学习策略的文章和讲座。“网络课堂”栏目的首页设有“学习资料”、“学习公告”、“在线自测”、“学习工具”和“考研信息”五个导航按钮。“学习资料”包括英美文学简史、文学术语、文学常用词汇和教学课件。在“学习公告”栏目中,教师会依照教学计划各章节的知识要点、预习任务、课堂讨论题目、课堂教学的重点、难点解析、论坛时间安排、学期论文题目、作业反馈信息、辅导安排、测试时间等信息。“在线自测”提供各章节的练习题、模拟试卷和参考答案。“学习工具”包括学习笔记、学习记录、作业管理、词典等常用工具。在“考研信息”主要一些大学的研究生招生信息、推荐书目以及一些公共课和专业课学习指导。“实践教学”栏目下设六个导航按钮,“教学目标”、“学期论文”、“话剧改编”、“表演录像”、“学生创作”和“毕业论文”。各按钮分别链接《英美文学及选读》课程实践教学目标、学生的优秀学期论文、改编的话剧剧本、表演录像、图片、学生的小说、散文、诗歌、话剧等自创作品、各届毕业论文题目、优秀毕业论文等实践教学的内容。“交流互动”栏目首页包括“网络答疑”和“讨论交流”两个按钮。“网络答疑”含有E-mail邮箱和留言板式,“讨论交流”采用在线论坛方式。“教学资源”栏目的首页设有“教学课件”、“习题库”、“教学录像”、“图书馆”和“电影院”五个导航按钮,分别链接《英美文学及选读》教学课件、习题库、教学录像以及英美小说、诗歌、戏剧和散文图书馆、英美文学名著电影院。“教学研究”栏目首页的导航,“学术论文”、“课题研究”、“专著简介”和“研究现状”,分别链接教学与研究学术论文、课题研究申报书、结题书和课题研究报告、英美文学专著简介、英美文学研究现状、教研计划和活动总结、教学团队教研获奖情况。“政策支持”栏目通过“教育部”、“河北省教育厅”、“邯郸学院”,“外国语学院”导航按钮链接各级别的关于精品课申报、建设、评审、验收、政策、财政支持等方面的文件。“下载专区”栏目为师生提供可以下载的一些辅导材料、讲座、课件、学期和毕业论文写作格式、学习评价标准、教研成果、科研信息等文件。
(三)后台管理系统设计
文学精品课网站后台管理系统的设计合理与否关系到整个网站的正常运行。精品课网站后台维护系统必须具备快速维护与更新文字、音频、视频、图片等内容的功能。网站后台管理系统的设计要依照前台显示系统的内容,其每一个项目则与前台显示系统中的每一个项目相互对应。后台管理系统(见图1)是管理员和任课教师对整个网站进行维护的平台,它包括首页管理、栏目管理、内容管理和用户管理。文学精品课网站后台管理系统的软件技术平台受执行效率较高的技术的支撑,同时支持SQLServer数据库。是Microsoft推出的新一代ActiveServerPages,具有理想的存储和读取数据的速度和效率,保持较强的可操作性、稳定性和安全性。因此,通过科学有效的系统设计,“网站后台管理系统实现了智能化的分布式信息制作、、维护和管理平台,从而使网站的信息管理效率提高,网站更新速度加快,数据质量提高。”[4]258
二、功能设计
文学精品课网站信息系统以SQLServer2000数据库管理系统为后台数据库,采用ASP网站架构技术,实现文学精品课建设所需要的互动交流、在线阅读、学习记录、在线测试、音视播放、快速搜索、图文移动、栏目链接、修改更新、资料下载十大功能。
(一)互动交流功能
“互动交流功能”通过E-mail、留言板、在线论坛等方式实现教师与学生、学生与学生、教师与教师、校内与校外学习者的沟通与交流。留言板和邮件能够满足师生之间的答疑和生生之间的交流与沟通,所有留言通过后台老师的审核后读者方可看到。在线论坛则以教师给出关于英美作家写作特点、作品分析等相关的题目、学生分组讨论的形式,实现师生之间、生生之间的在线交流。
(二)在线阅读功能
“在线阅读功能”通过点击导航按钮实现直接阅读所有教学资源,诸如教学文件、习题库、英美文学作品、论文、学术动态、通知公告等文件,还可浏览教师和学生的在教学、科研、文学知识比赛、名著表演、诗歌散文朗诵等活动的图片。
(三)学习记录功能
“学习记录功能”是在“网络课堂”里设置的有益于学生自学的一个学习工具。学生既可以通过点击“作业管理”按钮,完成并提交作业,也可以点击“词典”按钮,查阅、学习英美文学术语和文学教材里出现的生词。此外,学生可通过记录功能记录学习笔记。
(四)在线测试功能
“在线测试功能”设置于“网络课堂”栏目,教师和学生可以通过自主拼题来实现在线测试、试卷提交和成绩查询的功能。教师可以检查学生对各个章节教学重点的掌握程度,学生亦可自测学习情况。
(五)音视播放功能
“音频播放功能”能够实现网站所有资源中的音频和视频在线播放,如“教学课件”里的名著电影片段视频、诗歌朗诵录音、“教学录像”里的教师录像以及“电影院”中的英美名著电影和“实践教学”栏目里学生的话剧表演录像等音视频资源。
(六)快速搜索功能
各子栏目首页左侧均设有“导航栏目”、“站内搜索”和“热门文章”三个快捷搜索导航按钮。通过点击导航按钮,或者输入文件的关键词,或者通过移动的热门文章题目,实现快速搜索到相关内容的功能。
(七)图文移动功能
“图文移动功能”包括“图片移动”、“文件名称移动”和“重要通知移动”的功能。“图片移动”便于生动展示教学、科研、活动成果,并通过点击图片可阅读该图片翔实的文字说明;“文件名称移动”用于“学术动态”、“通知公告”、“热门文章”栏目中的内容。“重要通知移动”是在导航按钮下方设置的滚动式简短、醒目的红色文字,用于重要的通知。各栏目中依次出现的图片、文章题目和通知,便于师生查阅。
(八)栏目链接功能
链接功能包括“站内链接”和“站外链接”两项功能。“站内链接”指前台显示系统的一级导航按钮通过点击各按钮链接二级、依次三级按钮的内容。“站外链接”指通过“友情链接”链接列表式或滚动式的各重点大学网站,如耶鲁大学公开课网站以及北京、上海、广东、天津、西安、南京、大连、洛阳、成都等地各大学的英语专业精品课网站,以扩展师生视野,提供更多学习、交流的平台。
(九)修改更新功能
“修改更新功能”通过后台管理系统支持多位教师在同一时间共同补充文学课程的网络教学资源,支持任课教师按照教学需要增删二级栏目的导航按钮,上传新的文字、图片、课件、视频等教学资料,确保网站教学资源的正常维护,保持网站资源的新颖和前沿。
(十)资料下载功能
文学网站资源丰富,在“下载专区”有很多诸如课程标准、考试大纲、习题、课件、音频、录像、论文格式与要求、科研成果等教学和科研资源可在线下载并显示资料基本信息,从而达到资源共享的效果。
2内文版面自我宣传设计的原则及要素
内文版面自我宣传设计的原则如下。1)一目了然,容易获取。页眉在版心外,比较醒目,还不影响论文部分,并且设计得好还能使版面美观[7]。因此,对期刊自我宣传信息多采用页眉设计:有的放在版心上边的天头位置,如《编辑学报》;有的放在版心下边的地脚位置,如《中国科技期刊研究》;有的竖排在版心左右的切口处,如《编辑学刊》;放在订口位置的较为少见。考虑读者需求首要是论文信息,其次才是备其查找使用的期刊信息,以及读者的阅读习惯,期刊自我宣传信息宜放在版心下边的地脚位置。2)与论文信息简单易分,不相混淆。期刊自我宣传信息和作为论文主要信息的正文部分的字号和字体要有所区别。页眉用字的字号必须小于论文正文字号,字体可酌选。为了与论文信息更易区分,其间多用页眉线隔开。3)择录要点,信息简洁。单篇文章的PDF文档需要补充展示、宣传的期刊信息很多,但版面空间毕竟有限;因此,要根据读者需要和期刊宣传意图选择精要信息设计,如刊名,年、卷、期,页码,栏目名称,体现刊物定位、办刊宗旨和方针的宣传语等,展现期刊的“精髓”信息。此外,可利用现代技术,制作、刊载能包括较多信息的二维码[8],可链接期刊网址、博客、微博等,给读者提供找寻期刊更多信息的路径。4)版面整体美观、明朗、和谐。期刊自我宣传信息的设计还要体现美化版面、调节视角、平衡感官的功能,既引导、方便读者阅读,又要努力营造愉快、轻松的阅读氛围。成熟的计算机排版设计技术已被广泛应用,调用点、线、块、框、字体、符号、图片,以及利用黑白灰或多色系、冷暖调等装饰功能给版面设计提供了极大便利;但不能过度使用而喧宾夺主,使版面混乱,影响读者阅读论文。内文版面自我宣传设计的要素如下。1)必需要素。对于文章编排,GB/T3179—2009《期刊编排格式》规定:“正文部分应根据需要在页眉或其他适当位置标志便于迅速识别的下列项目:a)刊名(外文并列刊名可缩写);b)出版年、卷号、期号;c)第一著者或全部著者和文章题名。”[9]科技期刊,尤其是学术类和技术类期刊,肩负弘扬、传播科学技术的神圣使命,要带头认真贯彻执行国家标准。按照国家标准在期刊内文版面设计中放置这些必需要素,既是对期刊的自我宣传,又是为读者和检索机构提供方便,更有益于我国期刊出版与国际接轨[10]。2)必要要素。国家标准没有明确规定,但读者深入认识、了解刊物,作者撰写论文引用、投稿和期刊为适应数字化、网络化办刊形势而进行自我宣传、营销需要一些很有必要的期刊信息要素,如期刊网址,投稿在线平台网址或投稿信箱,体现刊物定位、办刊宗旨和方针的宣传语,代表期刊学术质量的主要荣誉,被检索收录情况,中、英文引文格式,期刊博客、微博、论坛网址等。数字技术和新媒体已深刻地改变了科技期刊的生态环境,期刊根据自身情况在版面编排上加上部分必要要素,使信息传播方式、传播渠道多样化、大众化,使界面更人性化、更友好,能明显增强期刊的传播效能,提升刊物的影响力。
免责声明以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
