网站设计安全性8篇

时间：2022-02-19 00:57:28

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇网站设计安全性，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

网站设计安全性

篇1

论文摘要：网络上的动态网站以ASP为多数，我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员，与ASP攻击的各种现象斗争了多次，也对网站进行了一次次的修补，根据工作经验，就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验，对ASP程序设计存在的信息安全隐患进行分析，讨论了ASP程序常见的安全漏洞，从程序设计角度对WEB信息安全及防范提供了参考。

1网络安全总体状况分析

2007年1月至6月期间，半年时间内，CNCERT/CC接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。

从CNCERT/CC掌握的半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，也不排除放置恶意代码的可能。对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索，影响企业正常业务的开展。对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。

2用IIS+ASP建网站的安全性分析

微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

bak文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

防范技巧：程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。

3.2对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞

验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。

登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的URL路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。

SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

SQL注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式：

A．用户登录：假设登录页面有两个文本框，分别用来供用户输入帐号和密码，利用执行SQL语句来判断用户是否为合法用户。试想，如果黑客在密码文本框中输入''''OR0=0，即不管前面输入的用户帐号和密码是什么，OR后面的0=0总是成立的，最后结果就是该黑客成为了合法的用户。

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPTABLE用户表，后果是用户表被彻底删除。

C．参数传递：假设我们有个网页链接地址是HTTP：//……asp?id=22，然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值，构成某SQL语句，这种情况很常见。可是，如果黑客将地址变为HTTP：//……asp?id=22anduser=0，结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话，黑客就获得了数据库的用户名，这为他们的进一步攻击提供了很好的条件。

解决方法：以上几个例子只是为了起到抛砖引玉的作用，其实，黑客利用“猜测+精通的sql语言+反复尝试”的方式，可以构造出各种各样的sql入侵。作为程序员，如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的：

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第三：为了防止黑客避开客户端校验直接进入后台，在后台程序中利用一个公用函数再次对用户输入进行检查，一旦发现可疑输入，立即终止程序，但不进行提示，同时，将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

第四：对于参数的情况，页面利用QueryString或者Quest取得参数后，要对每个参数进行判断处理，发现异常字符，要利用replace函数将异常字符过滤掉，然后再做下一步操作。

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第六：在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为“无”好了。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

诸如论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

防止数据库被下载。由于Access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

3.5SP木马

由于ASP它本身是服务器提供的一项服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。

参考文献

[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.

篇2

2007年1月至6月期间，半年时间内，CNCERT/CC接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。

2用IIS+ASP建网站的安全性分析

3SP安全漏洞和防范

3.1程序设计与脚本信息泄漏隐患

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入''''GODROPbr用户表，后果是用户表被彻底删除。

第一：在用户输入页面加以友好备注，告知用户只能输入哪些字符；

第二：在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验，发现非法字符，提示用户且终止程序进行；

第五：只给出一种错误提示信息，服务器都只提示HTTP500错误。

第七：数据库用户的权限配置。对于MS＿SQL，如果PUBLIC权限足够使用的绝不给再高的权限，千万不要SA级别的权限随随便便地给。

3.4传漏洞

防文件上传漏洞

在文件上传之前，加入文件类型判断模块，进行过滤，防止ASP、ASA、CER等类型的文件上传。

暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。

数据库可能被下载。在IIS+ASP网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。

数据库可能被解密

由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。

非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。

使用ODBC数据源。在ASP程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。

使用密码加密。经过MD5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。

3.5SP木马

技巧1：杀毒软件查杀

一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。

技巧2：FTP客户端对比

asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？

我们可以利用一些FTP客户端软件（例如cuteftp，FlashFXP）提供的文件对比功能，通过对比FTP的中的web文件和本地的备份文件，发现是否多出可疑文件。

技巧3：用BeyondCompare2进行对比

技巧4：利用组件性能找asp木马

如：思易asp木马追捕。

大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。

结束语

总结了ASP木马防范的十大原则供大家参考：

建议用户通过FTP来上传、维护网页，尽量不安装asp的上传程序。

对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

要尽量保持程序是最新版本。

不要在网页上加注后台管理程序登陆页面的链接。

为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

要时常备份数据库等重要文件。

日常要多维护，并注意空间中是否有来历不明的asp文件。

篇3

【关键词】网站群；信息安全；云计算；设计

2011年底，中国互联网信息中心数据，我国网民数量首次突破5亿人，网站数量达到了230万个，而在2012年上半年，来自中国互联网信息中心的数据显示，我国移动互联网的网民数量首次超过基于PC互联网人数，这说明移动互联网已成为未来互联网发展的趋势，而移动互联网和云计算的亲和性更加完美，在此背景下，云计算能够给政府网站群在管理和运营方面提供了一个新的技术平台，本文通过某政府单位典型的网站群建设案例来进行具体的分析，来探索云计算在网站群架构和安全性方面的设计。

1.云计算技术在网站群架构设计和安全性方面的实现

1.1 针对云计算在网站群架构设计方面的可行性研究

云计算技术在商业网站以及企业网站群的建设上已经得到了普遍的应用，这说明政府机构网站群的云计算架构也是可以实现的，但是在云计算架构下的应用安全性问题，云计算的表现如何，因此对这一点的探讨还需要通过后续的实施进行研究，当然目前的私有云和公有云的不同属性也有助于解决云计算的应用安全隐患。

1.2 设立云计算的网站群架构的实验平台

1.2.1 实现云计算架构的软硬件资源

本实验的平台采用了8台刀片服务器以及基于raid6.0磁盘阵列。系统软件采用了LINUX以及中间组件和DBMS面向对象数据库。应用软件模块则使用了专业的网站群管理和应用软件。

1.2.2 实验平台的体系架构

在本课题研究的体系架构中，首先要集成研究的基本资源，然后在8台刀片机服务器上安装相应的系统软件和磁盘阵列，安装虚拟服务器操作系统，以及云计算资源管理系统等，从而形成IaaS云计算环境。这是就建立了基本的云计算服务平台。接着就需要在IaaS环境下进一步布置PaaS环境，也就是说要在IaaS上布置支持网站群的基础软件。在完成PaaS环境的部署之后，在安装网站群管理和建设的应用软件，进而形成SaaS环境，此时就完成了本课题研究的体系架构建设，具体如图1所示。

1.2.3 易扩展性设计

在网站群设计阶段就需要充分的考虑今后的易扩展性，在本课题的实验平添环境中需要布置几套能够支持网站群管理的应用软件，在每套系统中有助于建设自由子站群，并通过一个主管理软件统一管理不同子站群，实现子站群的独立性和共享性，同时还能够根据应用的需求随时可以扩大站群。具体如图2所示。

1.3 安全性设计分析

根据图3所示，在这个云计算平台上划分出了2个独立的安全域，这是云计算解决网站群的核心。这两个安全域一个放在互联网中，也就是所谓的公有云。这部分是为了实现站群子站的所有浏览服务。另一个安全域就是在管理服务器的局域网中，因此又叫做私有云。主要的作用就是给网站群的内容作管理。在资源管理和服务平台中，跨域管理的核心就是通过IP地址映射。

图3中的云计算资源管理平台一共有4个子域，虚拟机组成的子域是专门网站群的信息，其作用是面向互联网提供内容浏览服务，这就是为什么这个域被称为公有云的原因。而其他3个子域则分别对信息以及数据库尽心管理，形成私有云，而公有云和私有云之间并没有被截断，而是通过VPN虚拟局域网通道实现数据共享，这种方式能够更好的确保信息的安全传递。

1.4 云计算在网站群架构设计和安全性设计的实验分析

1.4.1 能够提升站群的易扩展性

在站群建设上是一个动态的过程，相对于传统的站群建设中，都是需要经过独立的服务器和独立的空间，需要独立的服务器进行管理，所以一旦增加新的网站进入站群，那么需要做的工作就很多，而且非常繁琐，这不利于网站集群的扩展。但是在云计算技术下，因为采用了网站群应用软件进行集中管理，网站内容都是集中在数据库中，新建的网站内容只需要在数据库中调去，就能够产生一个功能非常丰富的网站，而且还提供了网站外挂功能模块的接口，有助于系统的增强。

1.4.2 网站群的子群和网站安全性更高

在云计算中采用了公有云和私有云结合的方式来实现对网站群的管理，与此同时还在服务器上安装了监控软件，能够对网站站群的属性进行即时监控，比如网站的访问量和访问者等参数的监控，并且这些参数还能够通过前台功能的设置，帮助管理者来监控和管理站群，防范非法入侵，提升网站的安全性。

1.4.3 实验平台资源分析

该站群服务器总共有30台4核服务器，类型分别是22台机架式服务器和8台刀片式服务器。在本实验研究中采用的服务器是8台刀片式服务器。按照非云计算技术组件站群服务，那么这8台刀片式服务器就仅仅能够完成8中虚拟服务，但是在云计算环境下，就能够分配48个虚拟服务，在实验研究中，实际上分配的虚拟机是30台，分别布置在公有云和私有云的云计算管理平台中。在实验研究中，有3个子域采用了私有云的安全设置，并支持3个子站群的网站建设，通过将云计算下的服务器使用数量和非云计算服务器使用数量进行对比分析，能够降低达到一半的水平，而且在站群的安全性方面，云计算的私有云和公有云的共同作用要比非云计算环境下安全要高得多。在能耗上，云计算的能耗要比非云计算的能耗同样也要低一半。

1.5 云计算实验平台设计和实践的关键

1.5.1 对私有云和公有云的应用范围要严格区分

在云计算平台架构中主要有两个层次，一个是信息处理层，另一个是信息展示层。一般而言，云计算体系架构中，信息展示层需要布置在公有云中，而信息处理层则需要布置在私有云中，这两者之间需要通过VPN建立虚拟通道，这样有助于提升网站群的安全。

1.5.2 注重熟能生巧

目前云计算的应用还处于方兴未艾阶段，有很多的应用还存在摸索和研究阶段，因此作为新兴的应用应该将云计算技术的应用放在容易突破的地方，其中从容易了解和熟知的领域进行创新，就能够很好的实现对技术的创新，云计算在存贮和网站管理方面的应用相对已经成熟，本研究课题的实验实际上也就是在这种熟悉的基础上实现的创新。

2.云计算在玩站群架构和安全性设计实验带来的意义

通过对实验平台的研究，云计算技术的核心就在于虚拟化，通过将4个服务模块的虚拟化，分别布置成私有云和公有云，同时在数据存贮方面，同样也使用到了虚拟化的技术，这些对数据存贮安全性和易管理性都具有十分重要的作用。在这里特别要提到的就是云计算技术有效的解决了无边界的安全防护问题，因为在云计算环境下，一切都是虚拟的，这对于安全防护来说，就出现了没有边界的尴尬，无法实现逻辑上的划分隔离。如果仿照物理服务器进行安全防护，那显然有悖于虚拟化的应用。不过随着私有云和公有云的出现则很好的解决了这个瓶颈，将每个子站群布置在一个私有云中，而这个私有云实际上就是一个逻辑边界，因此在私有云中可以实现安全防护。同理公有云同样也是一种逻辑安全边界，可以提升安全防护，而且私有云和公有云之间还可以通过VPN实现信息共享，从而既保证了数据的安全有保证了数据的沟通。

3.总结

云计算的应用非常广泛，虽然在云存贮的应用上以及云系统的使用上都已经相当成熟，但是在站群架构上的使用还处于实验阶段，因为站群的应用需要满足易扩展、安全性、稳定性、易管理性等诸多要求，对于云计算这个新技术能否胜任还存在着一定的疑问，但是随着云计算的进一步成熟，有关云计算的管理软件的丰富，基于云计算的网站群架构和安全性都是完全有保障的！

参考文献

篇4

>> 基于平台的网站设计要点概述基于Web的技术的网站设计基于技术的网站群系统设计基于ASP．NET技术的安全网站设计基于的office应用编程基于技术实现网站会员注册系统基于的仓储系统基于的博客网站设计研究基于的报社网站设计基于档案网站的ASP技术安全分析基于ASP技术开发的网站安全防范基于ASP技术开发的网站安全问题基于ASP的购物网站设计基于的市级气象服务平台（网站）开发建设基于物流系统基于的数据库访问技术基于技术的项目任务管理系统基于页面模板与技术的信息网站设计与实现基于的网站开发前端技术优化研究基于的网站群动态建站技术研究常见问题解答当前所在位置：lEncode（txtusername.Text）；//屏蔽用户输入的恶意html代码

cmd.Parameters.Add（"@password"， SqlDbType.NVarChar， 128）.Value =

FormsAuthentication.HashPasswordForStoringInConfigFile（Server.HtmlEncode（txtuserpwd.Text），"md5"）；

//将用户输入的密码进md5加密，添加记录时的用户密码也要如此写入数据表中。

（4）用户登录后的凭据会以Cookie的形式进行保存，当我们同时访问其他网站的时候，恶意网站便可以截取Cookie凭据，以合法用户的身份向我们的网站服务器发送请求，合法用户的资料将会受到极大的威胁，这就是CSRF跨站请求伪造攻击。为了验证用户的合法性，应该确保发送验证请求的表单是由我们的服务器发出的，常用的解决方法为：给用户提供一个输入验证码的文本框，通过每次与我们服务器表单产生的随机验证码比较，做到CSRF跨站请求伪造攻击防范。

2.2 授权

授权是对认证通过的用户进行的权限限制，类似windows中的用户组的概念，我们称之为角色，不同角色下的用户可以访问不同的网站资源。我们假设网站中有两种角色：Administrator 和Registusers，只有管理员（Administrator）才可以访问Admin文件夹中的资源，管理员和注册用户（Registusers）都可以访问Users文件夹中的资源。我们的做法是：

（1）在网站中建立两个文件夹，Admin和Users，并分别建立或放置基于角色权限访问的页面或文件。

（2）在Admin文件夹中，添加Web.config文件，并在其节中，添加如下参考代码：

同理，在Users文件夹中，添加Web.config文件，并在其节中，添加类似上面的参考代码：

（3）为了便于检验验证和授权的效果，我们可以提前通过注册页面，录入两条分别属于管理员角色和注册用户角色的用户信息，密码写入数据表users之前一定要通过MD5加密。

（4）继续上一节中Login.aspx页面中用户登录验证，我们需要根据用户输入的帐号、密码和验证码核查用户身份的真实性，如果输入正确，定义用户的凭据：FormsAuthenticationTicket FormTicket = new FormsAuthenticationTicket（1，TxtUserName.Text，DateTime.Now，DateTime.Now.AddMinutes（20），true，sdr.GetString（0），FormsAuthentication.FormsCookiePath）；接着将加密后的凭据保存到cookie中，以保证其安全性： string StrHash = FormsAuthentication.Encrypt（FormTicket）；HttpCookie LoginCookie = new HttpCookie（FormsAuthentication.FormsCookieName， StrHash）； Response.Cookies.Add（LoginCookie）；

（5）在Global.asax文件的Application_AuthenticateRequest事件中，将当前用户的标识与当前用户登录验证票据中保存的用户角色进行匹配：

FormsIdentity id = （FormsIdentity）HttpContext.Current.User.Identity；

FormsAuthenticationTicket ticket = id.Ticket；string userData = ticket.UserData；

string[] roles = userData.Split（'，'）；

HttpContext.Current.User = new System.Security.Principal.GenericPrincipal（id， roles）；

3 错误信息处理与信息加密

3.1 错误信息处理

网站运行过程中，出现未处理的错误是常有的事，如果这些错误信息被恶意用户获得，经过一定的分析处理，网站中的重要程序代码信息将有可能泄露，这将成为恶意用户攻击网站的开始。通常可以采纳以下几种策略：

（1）配置网站根目录中Web.Config文件的customErrors 节，如：

，远程用户将看不到错误的详细信息，将会跳转到GenericError.aspx自定义错误信息显示页。

（2）在程序编码过程中，将可能出现错误的代码块放置在try…catch…finally语句中，以捕获程序运行过程中出现的异常，finally结构中通常放置关闭数据库连接等操作语句。

（3）在Global.asax全局应用程序类文件的Application_Error事件中，判断Request.IsLocal的值，对本地用户（值为true），通过Server.GetLastError（）获得程序运行的错误信息；对远程用户（值为false），自定义提示信息。分别给Application变量进行赋值。

3.2 加密viewstate数据

任何一个html页都有一个_viewsate隐藏域控件，用于保存网页提交后的原有控件的状态。虽然viewstate中的数据，已经经过了base64编码，但是恶意用户可以很容易的对编码后的数据进行解码。加密viewstate数据成为了其中之一的解决方案，在网站的Web.config文件的节中，添加如下参考代码：

3.3 加密Web.config配置文件

在web.config配置文件中保存有网站配置的一些敏感性数据，将其进行加密是一种不错的安全解决方式。基于可以读取加密信息的考虑，需要做两项准备工作：

（1）通过System.Security.Principal.WindowsIdentity.GetCurrent（）.Name语句，来读取应用程序标识。

（2）通过aspnet_regiisCpa RSA 密钥容器的名称（通常为：NetFramework Configuration Key）应用程序标识，使RSA密钥容器具有对加密信息读取的权限。

最后便可以通过aspnet_regiis Cpe "配置文件中的节名" -app "应用程序标识"，加密指定配置节中的数据。

4 资源权限设置与运行环境保障

4.1 资源权限设置

虽然在Web.config文件中可以定义基于角色的访问权限，但是如果在IIS中，允许用户有浏览文件夹的访问权限，我们网站的数据安全性依然得不到保障，因此在IIS中创建虚拟目录时，采用IIS对文件夹的默认访问权限，无疑是一种不错的安全方案，千万不要放开文件夹的浏览、文件的执行权限等等。另外，对于采用Form验证方式的网站来说，用户的匿名访问权限一定要放开，因为基于用户名和密码的身份验证是在登陆页面中进行的，不启用匿名访问，用户连登陆页面也将无法访问。

4.2 运行环境保障

作为Web服务器的计算机，不能轻易让用户进入，是保障网站安全性的基础。常用的做法有：使用NTFS文件系统比FAT32安全性高的多；关闭非需要的安全患端口和未用的服务；安装杀毒软件和防火墙，做到及时软件升级和系统补丁更新；使用不宜破解的计算机强密码，防止非法用户各种尝试性登陆；经常进行网站备份和数据库备份等等。

5 结论

网站安全性的技术是网站安全的保障之一，最重要的是，我们一定要提高网站安全防范意识，通过在网站中设计用户的操作日志，来时时监控网站的运行状态，一旦发现非法用户进入或各种操作异常，需要及时果断采取补救措施，保证网站稳定、高效的运行下去。

参考文献

[1]赵强，张红中.“基于的网站系统安全性设计与实现”[J].计算机应用，2008（12）.

[2]秦剑波、雷明彬.“网站设计安全性探讨”[J].商业视角，2007（11）.

[3] Jesse.“开发 MVC应用程序时值得注意的安全问题”http：///，2013（10）.

[4] Willmove && Heath Stewart.“基于角色的窗体安全认证机制”http：//，2006（05）.

作者简介

孙守强（1978-），男，山东省青岛市人。硕士学位。现为青岛黄海学院讲师。主要研究方向为信息安全编程技术。

篇5

良好的网络环境是是需要很长时间的建设，但是网络环境在理论上来说，是没有绝对的优质，只有相对较好，所以在多数时候，基础干部的网络工作环境是并不是很好，这就需要培养基础干部的信息安全意识。

2电子政务中安全问题的应对策略

2.1安全意识的培养

安全意识需要从基础开始培养的，因此对相关的基层人员进行相应的知识培训。一般的电子政务的是一个政府机构的官方网站，而且这些网站的后台都需要登录域名和密码，还有就是网站的信息等需要登录后台或者是需要用户名才可以，这些就存在入侵空间了，类似的还有很多，因此要对基层人员培养安全意识，最有用的方法就是向基层人员讲解那些方面存在安全隐患，并实时对这些基层进行抽查，避免他们进行危险操作。这些都是简单的从表面上解决问题，但这并不能根除所有的安全隐患，因此要提高安全性，还要从另外几个方向上解决根本的问题。

2.2规范操作方式

对安全意识的培养，只是在理论上对基层人员进行了一定程度上的培养，但是还需要在实际操作上进行培养。这主要包括安全浏览，安全登录，安全。安全浏览主要是指日常工作在网页上的安全使用，要求在使用前进行杀毒处理，检查是否开启防火墙，不要在非官网上填写登录名等；安全登录是指在安全的网络环境中登录账号，主要操作为先检查网络环境是否安全，在进行防火墙设置，最重要的是在登录账号之前进行病毒查杀，在进行相关的内容，或信息浏览等，在做完所有的事项之后退出账号。这非常重要的一步，有很多基层人员做好了所有的事，但是最后忘了退出了，就导致账号信息的泄露，这也是很常见的基础错误，还有一种就是很多人喜欢保存登录号密码，这会在别人用你的电脑时，可以很轻松的登录进入相关页面，并进行违法操作等。

2.3提高电子政务建设中的技术支持

很多时候不是电子政务的建设上的问题，而是后台的维护技术不足，再遇到病毒时，安全维护工具和防火墙技术不足，导致网站被病毒感染，使不法分子利用，从而获取民众的信息，这在一定程度上这也是地方政府的失误。在防火墙的技术方面的突破，是需要政府进行招聘的高技术人员，进行防火墙技术升级，网站优化等技术方面的改善。

2.4加强相关人员的保密工作

有的地方政府会把很简单把电子政务建设的工作简简单单的交给一个网络公司来完成，在这个过程中就会存在很多的问题。因为网站的第一设计者并不是政府人员，这个在一定程度上就存在很大的安全隐患，毕竟网站设计过程存在的bug只有网站设计者最为清楚，如果网站设计者将这个网站的设计脚本泄露了，那么就给了那些不法分子利用的机会，可以通过网站设计的源代码来找出设计上的bug，借此来来寻找机会攻击网站，严重的会导致所有的信息泄露。因此为了杜绝这些事项的发生，地方政府在建设网站时，可以将网站设计的任务交给网络设计公司，但是同时也要和他们签订相应的协议，一是为防止他们泄露网站设计思路和源代码，二是在防止他们私自登录网站的后台。还有就是利用政府的网络技术人员对网站进行修改，在一定程度上完善网站设计，减少bug，以减少信息泄露的风险。

3结语

篇6

[关键词] 商务网站要素功能

电子商务从出现以来，一直改变着人们的生活方式，通过网络渗透到每一个角落，从观念和行为上影响着社会的发展。信息时代，众多的工业企业、教育机构及政府机关都在建设自己的网站。电子商务的使用能帮助企业有效的降低成本，保持与顾客及时、直接的接触，增强企业的竞争力。随着越来越多的企业在构建电子商务网站，探讨影响网站成功的因素就显得尤其重要。本文从网站前台规划设计和功能两个方面探讨了商务网站成功的要素。

一、要有好的网站策略及规划来决定网上商务模式及目标网站，在结构上进行合理的构思

建站前应该明确，建站的目的是充分满足目标用户的需求，能为他们提供迫切需求的信息和资源，让他们能在网站中迅速找到他们遇到困难的解决方案，因此网站规划的第一步应该考虑：如何建立一个受用户欢迎的网站，所以在结构上必须合理构思。成功的商务网站总有以下几个特点：

1.版面设计和图形合理。一般来说，好的商务网站版面设计应该遵循有序性原则、平衡性原则、装饰性原则。版面设计和图形关系到对主页的第一印象。图片可以让网站更加具有吸引力。比如，在线销售产品的网站，需要用图片为用户提供具有视觉吸引力的内容。

2.颜色设置合理，网页有层次感。商务网站网页应该力求抓住而不是淹没浏览者的注意力，电子商务网站应该以产品展示为主，网站色彩的运用不能喧宾夺主。

3.导航清晰。设计网站必须要注意：导航要合理，设计应该融入整个网站设计中，最好能将企业的形象加入导航的设计，从而进一步加深浏览者对企业形象的认识。

二、功能方面决定电子商务网站成功的几个因素

在电子商务的范畴内，企业网站按其功能和特性可以划分三个阶段：售前、在线销售、售后。任何电子商务活动都适合这一分类。售前阶段包括企业通过广告、公关、新产品和服务以及其他活动吸引用户。顾客的购买活动出现在在线销售阶段，在这一阶段用户可以通过网络设施交付订单和支付费用。售后阶段包括顾客服务，解决顾客问题等活动。

通过对100个著名网站的网上的问卷调查和统计分析，得出影响网站成功的主要因素有以下四点：

1.信息和服务质量。信息质量应从几个方面来衡量：精度、时间、关联性、输出信息的灵活性、产品/服务说明的全面性、信息的价值，符合伦理道德、产品/服务信息的质量及对企业目标的支持程度。服务质量包括：快速响应、有保障、系统服务。

2.顾客对交易过程的控制程度、易用性、自信心，能够跟踪订单状况和提供安全保密功能。系统使用方式是用户满意的一个重要决定因素，顾客对电子商务的信任是使用该系统的一个重要前提。系统的易用性和使顾客感觉到他们能够控制该系统也是顾客选择网上购物的一个重要因素。此外，网站设计者还应该考虑允许用户在线跟踪其订单状况。

3.娱乐性。当对网站的访问量能给用户带来娱乐时，那么用户重复访问该网站的可能性将大大提高。顾客的满意不仅仅来自于购买产品和服务的外在回报，而且还来源于通过购物而得到的个人和感情的内在回报。网站的设计者应通过激励用户的参与，吸引用户的注意力等手段促使用户访问该网站以增加网上交易的机会。

4.系统设计质量。据欧洲电子协会的调查，79%被调查者认为网站设计的质量，尤其安全性是用户所主要关心的问题。然而，安全性仅是系统设计质量的一个方面，另一方面，可靠性也至关重要。在任何情况下，保证网站可靠，稳定的运行，确保数据的完整性，正确性和可恢复性无疑是网站设计的前提。

很明显，电子商务网站的成功主要和以上四个因素有关。当企业要建立电子商务网站时，要注意到这些因素的重要性。根据研究结果，可以得出以下几点建议：

1.企业和网站设计者应主动寻找通过网站改善信息和服务质量方式。为了提高质量的信息和服务，企业和网站设计者应在售前和售后阶段树立面向服务的观念。例如，网站可提供有关详细介绍其产品和服务链接的介绍；帮助用户下载或更新信息。

2.企业和网站设计者应注意顾客使用网站的方式。研究证明，系统的使用方式对网站的成功与否起着至关重要的作用。用户在整个交易过程中应有一定的控制权和主动权。

3.企业和网站设计者需在网站设计中激励用户参与和吸引用户注意力，使用户从访问网站中获得乐趣。网站的设计者应富有创造性以使用户通过网上购物获得心理的满足。

4.系统的设计质量，尤其安全性对网站的成功至关重要。没有安全的保证，用户将不可能使用电子商务。此外，系统的经济性、可扩展性以及先进性都是应该加以保证的环节。

参考文献:

[1]董慧:电子商务网页设计与网站建设．武汉大学出版社，2004年4月

篇7

关键词：计算机实验室；网站设计；研究与实现

作者简介：杨沫（1992--至今），女，辽宁省盘锦市人，大学本科学历，计算机科学与技术（软件开发方向）专业

前言

随着社会经济的发展以及科学技术的进步，现代化教育更加注重信息网络的应用，从而更好地促进教育简便化发展，使学生在利用互联网过程中，能够更好地进行学习。教学工作对于计算机网络的应用，必须对计算机实验室网站进行有效设计，确保相关技术能够成熟，使信息化建设事业能够得到有效加强，教师和学生利用网络，能够更好地实现交流。计算机实验室网站设计过程中，要注重从实验室网站整体设计内容进行把握，保证计算机实验室网站系统能够切实发挥应有作用，并且在信息以及管理过程中，要对后台系统进行详细设计，充分发挥其功能。本文对计算机实验室网站设计的研究，注重系统设计分析，以期更好地实现实验室网站的整体性能。

1实验室网站整体设计内容

实验室网站设计过程中，必须要注重从整体上进行把握，这样一来，才能够更好地发挥各个部分的功能。在设计过程中，需要着重考虑网站的功能以及内容，并就技术和结构进行仔细设计，这是实现实验室网站功能的关键和基础。实验室网站整体设计，是计算机实验室网站设计的基本原则，也是当下实现计算机教学必须把握的关键内容。

1.1网站功能和内容分析

本文对网站功能和内容的分析，主要包括了网上展厅、中心简介、用户管理、课程管理四个部分内容，这四个部分的设计，是计算机实验室网站整体功能实现的关键，在实际设计过程中，必须要认真把握。关于这部分的具体情况，我们可以从下面的介绍中看出：

1.1.1网上展厅

网上展厅是计算机实验室网站设计中的一个重要环节，该部分对学生的创新结果以及实验报告、优秀作业等内容进行展示，起到一个榜样的效果。同时，网上展厅还能够为学生学习提供相关资料，学生通过网上展厅，可以查阅自己所学的知识，有利于学生进行学习。网上展厅对学生学习起到了一个很好的辅作用，里面的课程实验和课程资源可为学生提供下载，满足学生学习的实际需要[1]。

1.1.2中心简介

中心简介主要是指计算机实验室网站的具体情况介绍，这一部分主要包括了实验室的设备情况、人员组成情况、成立的时间等相关要素内容。在进行计算机实验室网站设计过程中，将学生所学的专业基础课实验以及公共基础课实验进行有效的融合，关系到了学生学习的主要部分。同时，计算机实验室网站具有较大的容量，每年能够为7000名学生提供开放，为学生进行知识学习，提供了较大的便利性。计算机实验室网站中心设计过程中，每年会有40多个开设项目，这些项目涉及的内容会根据学生学习的实际情况进行有效调整。计算机实验室网站内容设计过程中，可以在页面中进行直接查阅，数据库为相关内容的查阅提供了强大的数据支持[2]。计算机实验室网站的中心系统，是实验室网站构成的核心，在设计过程中，必须要考虑到实用性和实际情况进行有效设计。

1.1.3用户管理

用户管理也是计算机实验室网站中心的关键构成部分，是对用户开展系统进行有效管理的人员。在进行用户管理设计过程中，主要分为学生权限和管理员权限两个部分。计算机实验室网站的开放性具有一定的区别性，这种区别性就体现在了权限问题上。学生权限和管理员权限存在较大的不同，管理员将对学生权限进行有效管理。用户管理即是权限管理，是计算机实验室网站设计过程中率先考虑的一个环节。在进行实验室网站浏览过程中，首先需要进行系统登录，若是不登陆的情况下，只能以“游客”的身份进行浏览；当以权限登录时，会根据网站对用户权限的设置情况，浏览不同的系统界面。在进行用户管理时，计算机实验室网站会进行防火墙安装，对系统进行有效地保护以及日常的系统维护工作[3]。

1.1.4课程管理

课程管理是计算机实验室网站设计的又一个重要构成部分，利用课程管理，能够对课程安排时间进行相应的查询工作，主要以SQL形式进行查询。实验安排方面，则是对学期实验情况进行安排，能够让学生对实验课的具体情况进行提前了解，并做好准备，另一方面则是避免实验高峰期，能够保证实验课在有效时间下进行[4]。除了实验课程外，课程管理还包括信息栏等内容，主要一些新型信息，让学生在学习过程中能够进行参考。

1.2网站技术和结构

计算机实验室网站在设计过程中，其主要目的在于对用户信息进行有效管理，并能够对相关实验课程进行有效查询工作，更好地提升实验教学水平。网站技术以及结构设计过程中，必须要对实际情况进行实际分析，坚持实事求是的原则，从网站设计整体进行把握，切实发挥出计算机实验室网站的作用。在进行结构设计过程中，将采用WEB的三层机构技术形式，并且在中间层应用服务器中得以体现。

2计算机实验室网站设计系统实现分析

计算机实验室网站设计系统实现，必须要注重考虑两个方面内容，一是对网站安全的设计，二是前台系统实现。网站安全设计关系到了计算机实验室网站运行的安全性和可靠性，避免被非法程序攻击，前台系统的实现，则是计算机实验室网站的主页功能模块能够发挥应有作用，满足实际需要[4]。

2.1网站安全设计

就当下计算机技术发展情况来看，网站网页设计时，主要应用到了B/S模式，B/S模式在发展过程中，随着技术的不断完善，B/S对应用程序的编写越来越广泛，并能够切实发挥作用。B/S模式在发展过程中，由于受到操作人员自身水平影响，加之经验较为欠缺，B/S模式在对代码进行编写程序的过程中，不能够较为明确地判断数据输入是否拥有合法性，导致安全隐患出现。这样一来，加强安全设计，就显得尤为重要。针对于这一问题，在进行网站安全设计过程中，将会考虑到SQL注入。SQL是英文SQLInjection的简称，主要指讲数据库的查询代码进行正确提交，按照程序所回应的结果，进行数据信息查询工作。SQL注入在计算机实验室网站设计中应用较为广泛，它能够更好地对B/S模式存在的问题进行有效解决，使计算机实验室网站设计更具安全性和可靠性。

2.2前台系统实现

计算机实验室网站设计过程中，前台系统的设计和实现，关系到了计算机实验室网站是否能够发挥作用。前台系统在设计过程中，主要包括两个功能模块，分别是主页的功能模块和实验室的简介功能模块[5]。主页功能模块和实验室简介功能模块在设计过程中，需要根据实际情况进行设计，二者的设计功能和设计思想存在着较大的差别。主页功能模块在设计时，要突出“主页”这一特征，并且需要将其放在第一位，即用户在登录系统后，第一眼看到的则是网站的主页。主页设计要力求简洁，给用户留下较好的印象。主页设计的好坏，将直接影响到用户对网站的整体印象。因此，主页设计过程中，需要重视网站的图片以及相关的色彩设计等内容。在进行实验室简洁功能模块设计时，要确保模块功能的全面性，能够很好地提供查血服务。实验室功能模块的设计，也要力求简洁，能够为用户提供导向性内容。

3计算机实验室网站设计后台系统实现分析

计算机实验室网站设计后台系统，关系到了网站的整体功能以及运行情况，后台系统在设计过程中，必须充分考虑到系统的管理模块和用户注册的登录模块。在实际设计过程中，必须具备较好的数据存储装置，能够对数据进行有效存储，更好地解决用户实际问题[6]。关于对这一问题的分析，我们可以将其与下列案例进行结合分析：案例：设计网络教学与考试平台，平台内容主要包括自动批改和评分平台设计、防止抄袭机制、统计功能、在线考试平台四个方面内容。在设计过程中，需要考虑到建立完善的评分机制、防抄袭设计、强大的统计功能设计。在进行设计过程中，需要从系统管理模块以及用户管理模块进行考虑，并且综合SQL软件，进行有效安全设计。

3.1系统的管理模块

系统的管理模块主要是指对用户登陆的管理，用户在登录界面后，能够看到自己的登录信息，并且根据自身需要，对用户信息进行有效更改。由于用户身份、权限不同，系统管理模块对用户权限也有着差异性规定。普通用户能够对自身信息进行查看和更改；管理员在登录系统界面后，可以对用户信息进行更改、删除等操作，并能够进行文章的编辑以及相关信息。除此之外，管理员还可以进行课程表编辑，拥有较高的权限。在进行系统模块设计过程中，需要充分体现出系统的管理功能，这一内容主要包括以下几点：第一，对课程表进行相应的编辑工作以及查询工作，并且在进行课程表查询时，可以根据关键词，进行课程表搜索。例如输入专业的关键词，就可以查阅到相关的课程信息，或是输入教师的名字，可以查询到课程以及相应的课程时间；第二，课程表修改过程中，要将查询放在首位，并且在修改时，对语句进行限制，只有语句通过SQL查询后，才能够进行修改。利用SQL进行语句查询和限制，可以极大地提升网站安全性；第三，在进行课程表或是课程信息编辑过程中，若是出现课程冲突的情况，应设置相关提示，进行对话框弹出，进行告知，确保课程设置的合理性[7]。

3.2用户注册的登录模块

计算机实验室网站在设计过程中，必须要考虑到开放性设计这一原则，开放模式，主要针对于老师和学生而言。在进行用户注册登录模块设计时，主要考虑到了管理员权限设置问题。一般来说，登录模块主要包括普通权限和管理权限两个方面内容，其中普通权限的用户主要是学生，在登录界面后，主页面上会出现注册按钮和登录按钮。学生在登录信息框输入登录信息，将用户名和登录密码输入进去，之后点击“登录”，即可完成登录操作，进入相应的登陆界面。而对于管理员来说，在进行系统登录过程中，也需要相应的登录信息，即利用用户名和密码进行系统登录。管理员登录系统成功后，能够对学生的注册操作流程予以实现。但在系统设计过程中，需要注意，该操作只需要管理员对操作相应开展。登录完成后，普通用户只能够进入学生页面，并对自身的信息保留着相应的修改权利，无法实现对其他信息的修改。管理员在系统登录成功后，可以对信息进行相应的修改、删除等操作[8]。同时，管理员还具有对课程信息、课程表的编辑处理工作，但是需要利用SQL进行核查。结束语综上所述，本文对计算机实验室网站的设计和实现进行了分析，通过本文的分析，我们不难看出，在进行计算机实验室网站设计过程中，必须要考虑到网站安全设计、系统管理模块、前台系统和后台系统设计等几个方面内容。计算机实验室网站设计，关系到了当下教学工作质量，对于促进师生之间交流来说，具有十分重要的意义。同时，在进行计算机实验室网站设计过程中，还要考虑到网站关联领域的设计问题。这一方面，主要涉及到了系统结构设计、界面设计以及数据库设计等内容。计算机实验室网站的设计，是实现课程管理以及对学生信息进行有效管理的重要工具，对此，必须予以重视，以期利用计算机实验室网站，更好地提升教学水平。

参考文献：

[1]费丽君,杨雄飞,马忠庆.基于JSP的农业院校的大学计算机基础教学网站设计研究[J].安徽农业科学,2014,07:2176-2177.

[2]孔祥勇.基于计算机实验室网站设计的研究与实现[J].电子测试,2014,09:50-51.

[3]刘保欣.计算机程序设计精品课程网站的研究与实现[J].电子制作,2014,10:116-117.

[4]范玉仙,鲍小忠,黄志远.基于Telnet协议的计算机实验室网络管理工具的研究与实现[J].工业控制计算机,2010,11:71-72.

[5]黄晨晖,林泳琴.基于云计算的虚拟计算机实验室的研究与实现[J].实验室研究与探索,2010,11:178-181.

[6].《中国教育技术装备》2014年总目录[J].中国教育技术装备,2015,01:120-142.

[7]王洪海.研究计算机网站建设的规划、设计及其实现[J].电子制作,2015,03:158-159.

篇8

关键词：Java技术；登录功能；公告栏

中图分类号：TP393.092 文献标识码：A 文章编号：1007-9416（2017）04-0161-01

1 精品课程网站概述

精品课程网站本质上来说是将课程转换为电子版，属于信息资源库的一种。它能否对课堂教学以及教材中的内容进行扩展和补充。通过网上平台能否实现教学资源的共享和更新，便于学生间以及学生和教师之间的交流和学习。另外，还可通过测试、教学评价等方法丰富教学内容和形式，并能对教学状况和成果进行反馈，使教师结合具体情况及时对教学内容和进度进行调整。将精品课程网站应用到教学工作中，可发挥多方面的优势。

2 Java技术支持下精品课程网站设计与开发

2.1 设计目标

实现功能的扩展是运用Java技术进行精品课程网站设计的主要目标，追求网站Web框架实用性和高效性的统一，且便于对其进行维护。精品课程网站设计过程中还需要考虑的另一重要因素则是数据的安全。为避免客观因素，系统故障等对数据造成损坏，可采用远程实时快照等方式做好备份工作，防止数据丢失。

对于数据操作来说，其设计重点应放在客户端Web遭受垃圾攻击如何保障其安全上。在对精品课程网站进行管理的过程中，需要建立后台管理系统，对浏览器进行实时维护，便于用户利用浏览器π畔⒔行、更新课程内容以及完成其它操作。对于信息的自主来说，需要设计好网站的信息审核功能，确保所的信息安全、合理。

2.2 设计原则

精品课程教学需求是网站设计和开发的原则，精品课程网站的设计需要既能与教学目标相适应，又能保障其服务质量的提升，便于学生对信息的查找和课程的学习。精品课程网站的服务对象是教师以及学生，其主要功能在于对教学工作进行辅助，在对精品课程网站进行设计的过程中，还应以信息的更新、网站管理更为方便为原则。

2.3 技术手段

B/S在精品课程网站Web系统中发挥着十分重要的作用。基于Java技术对精品课程网站进行设计和开发时，需要综合运用Tomcat等多种技术，才能使网站功能得以扩展，以下是对精品课程网站设计开发过程的技术手段的分析：首先，可利用Java语言初步完成对客户端数据的认证，并对信息进行过滤。其次，为了确保安全，可以利用用户名以及密码机制保障登录的安全性，还可结合不同用户对其权限进行限定，利用MDA技术完成信息的加密，避免用户信息泄漏。最后，需要充分掌握Web运行环境，特别是Tomcat安全设置相关问题，并了解其操作功能。另外，需要将Java语言以及ECIIPse集成开发平台结合起来完成精品课程网站建设的开发与设计。

2.4 数据库设计

要确保数据库的完整性，全面覆盖各类资料。具体来说，需包含学生信息、试题库、学生自我测试成绩等。

2.5 登录功能设计

对于登录功能的设计来说，需要综合考虑教师、学生和管理员三个群体。用户利用账户名及密码完成登录，若需要修改基本信息或登录密码需完成相应的验证。若通过身份验证之后，证明登录用户身份为学生，则其在网站上的权限可包括交流互动、课程学习等方面，并可执行相应操作。若验证后登录用户身份为教师，则其权限可包括课程上传、信息查询、课程讨论等。若验证后登录用户身份为管理员，则其在网站上的权限可以包括对网站试题的管理、维护网站公告信息等。

2.6 公告栏设计

精品课程网站公告栏主要由管理员进行维护，其对公告栏实行管理，权限还该对公告栏内容的设定、上传、删除等。具体步骤为：验证管理员身份，成功登录网站，选选种所要修改的内容，然后便可对该部分内同进行修改。若公告栏内容以及失去作用，则需要删除该部分内容。操作方法为：首先登录网站页面，选中需删除内容，然后执行删除操作。

3 结语

信息技术和计算机技术的进步，使得其在各领域中的应用越来越普遍。基于信息技术的发展，精品课程网站应运而生，并逐渐成为教学方法改革的一大趋势。将Java技术和精品课程网站的设计和开发结合起来，成为新的研究热点。本文在对网站设计目标以及原则进行分析的基础之上，提出将Java技术应用于精品课程网站设计和开发中具体方法，主要包括数据库、登录功能、公告栏三个方面，使精品课程网站具备在线学习、交流互动、答疑解难、自我测评等多方面的功能，为教学工作的开展提供便利。

参考文献

[1]迟浩.基于XML和JAVA的通用课程教学网站设计与开发[D].中国海洋大学，2010，（04）：17-19.

推荐范文