购物车(0)
网站毕业设计论文:企业文化与网站设计分析论文
一、企业网站的现状与成因
TribalDDB从2001年5月开始,委托专业市场调查公司进行了中国首次大规模的企业网站效果调研。结果显示,企业网站作为一种新的形象传播途径,同传统媒介相比,对受众更具有亲和力与吸引力,可以帮助企业与消费者建立更亲密、更稳固的联系。同时,研究也发现了一些现象:
(一)中国本土品牌的企业网站明显落后于国际品牌。与国际知名企业的网站相比,无论是在“企业形象”还是在“适用性方面”,中国本土企业的网站都有待提高。
(二)大多数企业的网站形象逊色于企业自身形象,且二者的统一性和一致性也存在较大问题。
(三)许多企业网站的实用性亟须提高,都存在导航指向模糊,网站架构不清晰,帮助信息不齐全等许多问题。
企业网站是企业的一个特殊环境,是连接企业与社会公众的窗口和渠道。造成这些不合理现象的主要原因:
1.整体规划方面企业网站一般都是以下几个栏目:首页、公司简介、产品展示、意见反馈、工作机会、联系方法。
2.网站设计方面大部分企业网站栏目、首页都是一个模式,那就是Flash动画。
3.宣传方面对于企业网站推广,只不过是在几个大网站的搜索引擎登录。
4.网站管理方面多数企业在设计、建立好网站后,放上产品、联系方式就置之不理了。
二、企业网站中的文化价值体现
(一)宣传企业形象
1.新形象在这个网络化信息时代,无论大、中、小型企业,都绝不能被时代所淘汰,企业要懂得并善于用的媒体——互联网,树立企业形象,宣传企业产品。
2.信息量大一本企业宣传册充其量做到几十页,但网站却可以做到几百上千页。在网站上还可以详细介绍项目的背景、技术难度、施工情况等,这种效果比宣传册好很多。
3.更新及时企业客户多了,架构变了,甚至连地址、电话都变了。对企业宣传来说,这不能不说令人遗憾,而网站却可以每天更新(甚至随时更新),可以反映企业的近期情况。
4.新形势的要求网站做得好,给客户的感觉是:这企业领导意识先进,技术走在前列,管理科学化智能化,顾客感觉不同,信任度也高很多。
5.打造品牌网站可以提高企业的知名度和品牌。
6.手段丰富通过公司简介、组织结构、企业文化展示企业的背景、规模以及当前的经营情况,这对于国内外买家了解公司的基本情况是非常重要的。通过电子邮件、电子名片、三维产品演示、360度环绕效果等手段展示企业和产品的风采。
(二)扩展往来业务
1.充分利用网络资源企业网站是强有力的网络工具,能以低投入很方便地把产品或服务的信息发向全世界的每个角落。全世界所有客户都能通过网站,了解企业。
2.无时空限制网站没有时空限制,可随时随地实现沟通。在没有环境上网的情况下还可以将网站信息下载至笔记本电脑里作脱机演示,或者制作成光碟,派发给客户。
3.与客户互动来往企业建立网站,将信息咨询站开设到网上,专人值守,提供信息服务。可与外部建立实时的、专题的或个别的信息交流渠道。可以使客户和客观地了解企业和企业的服务及产品。
4.双向沟通超越时空的双向沟通,顾客看到企业网站后产生进一步洽谈的意向后可即时联系,有效地留住了有“购买冲动”的客户,增加了成功的概率。另外,客户对公司的意见或建议也可通过网站得以收集。
5.挖掘新客户通过搜索引擎、网站链接等手段,可以把公司的信息传到世界各地,找到潜在客户。
6.主动抢占先机任何一家企业要想跟上时展的潮流,必须尽快上网。这样就会不被竞争对手建立网站抢占先机。
7.网络广告企业可以利用自己或别人的网站在网上打广告。其实,企业网站本身就是广告,把企业信息集中起来,分类分栏,方便浏览。
三、建立富有文化内涵的企业网站对策
(一)企业领导一定要指导网站的建设或经常浏览网站的内容。
因为对企业文化特点把握的好坏应该是领导,作为企业的领导也是经常参加大型展览会的,网站本身就是一个特殊的展台,因此领导应该经常浏览,并对网站内容和表现方式提出文化导向的指示。
(二)以企业文化为导向,以本企业员工创意为主,建设一个能反映本企业特点的网站。
一些企业在网站设计时大多是外包给网站公司来设计,由于网站设计公司的商业特点和技术特点与企业的所属行业和产业、企业文化等特点经常存在“断口”,通常不能很好地再现企业的特点;导致很多企业请网站设计公司设计了网站后,就落入俗套,或者维护更新跟不上。
(三)维护和更新网站内容、处理好立足于网站的留言和信件。
对留言或信件的回复和处理,涉及企业内部工作关系的衔接和工作质量问题,也是反映企业文化和企业形象的重要方面。
(四)在建设富有文化内涵的网站中要确保企业网管。
企业网站的负责人应该始终是企业自身的人员。如果条件不具备,没有自己的网站设计人员,外包的网站设计或维护,只能承担技术问题,而网站的风格和内容应该由企业来把握,也就是说责任部门或人员一定要落实到企业内部某职能部门或岗位员工,或专职网管或兼职网管。
网站毕业设计论文:网站设计安全性分析论文
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
及时:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保障了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是近期版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
网站毕业设计论文:企业网站设计误区分析论文
误区一:设计主题不明确。对于企业网站来说,必须具有明确的主题和目标群体。要清楚网站是面对客户、供应商、消费者还是全部,主要目的是为了介绍企业、宣传产品还是为了实现电子商务。许多企业对此没有明确的主题,只是把公司产品、业务简介、公司促销活动等信息贴在公司网站上。这样的做法充其量只是多个电子公告板而已,根本没有发挥网络的互动功能。其实,网站架设应由网络营销角度出发。换句话说,是否可以透过网络在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。因此,传统产业要的网站,应该由营销主管角度优先思索。第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
误区二:色彩运用不和谐。色彩是艺术表现的要素之一,它是光刺激眼睛再传导到大脑中枢而产生的一种感觉。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合、搭配来构成美丽的页面。国内网站在设计中并不注重色彩方面的和谐表达,网页颜色数量过多、互不相干的两种色彩放在一起、搭配不协调,缺乏统一的风格。在色彩的运用过程中,还应注意的一个问题是:由于国家和种族的不同,宗教和信仰的不同,生活的地理位置、文化修养的差异,不同的人群对色彩的喜恶程度有着很大差异。所以在企业网站设计中要考虑主要读者群的背景和构成而不能盲目运用色彩。
误区三:多媒体表现形式过多。网页中使用图片、动画、声音我们无可厚非,这也体现了网络交互性的一个方面,但问题是在网页中胡乱地加入一些互不相干的图片动画和声音,会扰乱浏览者的阅读视线,影响浏览者的心情,而最终导致离开!同时由于有些用户不一定安装相应的电脑软件,有些图像或其他文件可能无法正常显示,也就无法达到预期的效果。特别是企业在经营自己的在线商务,企业网站最重要的任务就是销售产品或服务,其他任何脱离这个基本原则的东西都是不合适的。所以企业的网页不需要太多图片和动画,因为要看漂亮的图片和动画,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
误区四:浏览器和显示器不兼容。虽然IE浏览器用户占据多数,但是,也不能因此忽视其他浏览器的用户。特别是有国外用户的企业,国外市场上其他类型的浏览器还有着比较大的市场份额。另外,并非每个用户都使用800*600小字体的显示模式,不要自以为是地为用户建议“显示模式”。所以在设计的时候一定要考虑到不同分辨率下的状况,争取都能做到好的效果。
误区五:传输、更新速度过慢。页面下载速度是网站留住访问者的关键因素。如果不能让每个页面都保持较快的下载速度,至少应该确保主页速度尽可能快。而我们一部分企业网站的设计从速度上来看是失败的,耐心的等待半天才看到划着红叉的图片--图片链接下载失败,只能刷新,这又要等一段时间。测试一下企业网站的下载速度,尤其是如果网站首页图片比较多的话,当然注意清除电脑中浏览器的缓存。另外,影响网站速度的因素有很多,其中除了技术方面,就是主体图片,因此再次强调一定要保障图片使用的度!同样如果一个企业网站的资料一个月才更新一次,很多浏览者将对此失去兴趣,也会使企业失去更多可能的客户。当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得近期资讯。另外所谓活网站的“活”,也是指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等,当然不需样样功能都具备。必须针对网站的定位,选择适合的机制;同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心。
误区六:疏忽网站安全问题。很多企业网站具有了完善的导航功能,清晰的文字,漂亮的页面但却忽视了网站的安全问题。因为很多企业网站的目的是为了用于进行电子政务或电子商务,因此网站的安全就更加显得重要。为了设计和管理一个有效、的网站商业服务,必须事先制定一套的网站服务安全策略。安全策略将应用于所有网站服务系统、数据库、内容、电脑平台、软件以及网络,它们的作用是处理、交互或者提供对服务的访问途径。提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。
网站毕业设计论文:校园网站设计论文
1.1设计思想
通过网站,宣传,展示学校风采、优点与特色,学校的重大活动安排与招生政策,增强家长与学校之间的联系,在Internet上实现完成部分校务,提高办事效率。
1.2开发工具的选用及介绍
ASP的优势:
ActiveServerPages:“动态服务器网页”,一般简称为“ASP”,ASP之所以能受到大家的重视与使用的原因,主要在于所产生的执行结果都是标准的HTML格式,而且这些程序是在网络服务端中执行,使用一般的浏览器(如IE或Netscape)都可以正确地获得ASP的“执行”结果,并且将这ASP执行的结果直接在浏览器中“浏览”,不像VBScript或javascript是在客户端(Client)的浏览器上执行,若使用VBScript来设计程序,客户端(Client)在IE浏览器中可以显示程序执行的结果,可是,客户端(Client)若使用Netscape浏览器就无法显示VBScript的执行结果。
ASP的特点:
任何开发工具皆可发展ASP
只要使用一般的文书编辑程序,如Windows记事本,就可以编辑。当然,其他网页发展工具,例如,FrontPageExpress、FrontPage等也都可以;不过还是建议你用记事本来写,既省钱又方便,若是使用那些所见即所得的网页编辑来写ASP,可能会发生一些意想不到的离奇状态。
通吃各家浏览由于ASP程序是在网络服务器端中执行,执行结果所产生的HTML文件适用于不同的浏览器。
语言相容性高
ASP与所有的ActiveXScript语言都相容,除了可结合HTML,VBScript、JavaScript、ActiveX服务器组件来设计外,并可经由“plug-In(外挂组件模组)的方式,使用其他厂商(ThirdParty)所提供的语言。
隐密安全性高
如果我们在浏览器中直接查看网页的原始代码,就只能看到HTML文件,原始的ASP程序代码是看不到的!这是因杰ASP程序先于网站服务(WebServer)端执行后,将结果转换成标准HTML文件,再传送到客户端(Client)的浏览器上,因此,我们所辛苦撰写的ASP程序并不会轻易地被看见进而被盗用。
易于操控数据库
ASP可以轻易地通过ODBC(OpenDatabaseConnectivity)驱动程序连接各种不同的数据库,例如:Acess、Foxpro、dBase、Oracle等等,另外,ASP亦可将“文本文件”或是”Excel”文件当成数据库用。
面向对象学习容易
ASP具备有面向对象(Object-Oriented)功能,学习容易,ASP提供了五种方便能力强大的内建对象:Request、Response、Sever、Application以及Session,同时,若使用ASP内建的“Application”对象或”Session”对象所撰写出来的ASP程序可以在多个网页之间暂时保存必要的信息。
ASP的六大内部对象
对象名称功能描述
RequestResponseServerSessionApplicationObjectContext从客户端取得信息将信息送给客户端提供一些Web服务器工具储存在一个Session内的用户信息,该信息仅可被该用户访问在一个ASP-Application中让不同的客户端共享信息可以用来配合MicrosoftTransaction服务器进行分布式事务处理
网站毕业设计论文:企业网站设计的原则探析论文
前言:
企业需不需要网站?几乎所有有远见的企业家都会毫不犹豫地说:当然需要!但一个不容忽视的问题是,许多企业仅仅停留在"有网站"的阶段,他们并没有意识到一个界面粗糙、内容单一、流程混乱、安全性差的网站,其实给访问者留下了极差的感觉,严重破坏了企业的形象。
怎么样的企业网站才算成功?时代财富顾问公司在为众多企业设计网站的过程中,总结出了一套完整的、有较高参考价值的《企业网站评定标准》,期望以此引起企业界对自身网站的重视,使企业网站真正成为企业宣传、管理、营销的有效工具。
企业网站定义:主要为了外界了解企业自身、树立良好企业形象、并适当提供一定服务的网站。根据行业特性的差别,以及企业的建站目的和主要目标群体的不同,大致可以把企业网站分为:
基本信息型:主要面向客户、业界人士或者普通浏览者,以介绍企业的基本资料、帮助树立企业形象为主;也可以适当提供行业内的新闻或者知识信息。这种类型网站通常也被形象的比喻为企业的"WEBCatalog"。
电子商务型:主要面向供应商、客户或者企业产品(服务)的消费群体,以提供某种直属于企业业务范围的服务或交易、或者为业务服务的服务或者交易为主;这样的网站可以说是正处于电子商务化的一个中间阶段,由于行业特色和企业投入的深度广度的不同,其电子商务化程度可能处于从比较初级的服务支持、产品列表到比较高级的网上支付的其中某一阶段。通常这种类型可以形象的称为"网上XX企业"。例如,网上银行、网上酒店等。
多媒体广告型:主要面向客户或者企业产品(服务)的消费群体,以宣传企业的核心品牌形象或者主要产品(服务)为主。这种类型无论从目的上还是实际表现手法上相对于普通网站而言更像一个平面广告或者电视广告,因此用"多媒体广告"来称呼这种类型的网站更贴切一点。
在实际应用中,很多网站往往不能简单的归为某一种类型,无论是建站目的还是表现形式都可能涵盖了两种或两种以上类型;对于这种企业网站,可以按上述类型的区别划分为不同的部分,每一个部分都基本上可以认为是一个较为完整的网站类型。注意:由于互联网公司的特殊性,在这里不包含互联网的信息提供商或者服务提供商的网站。
企业网站及时原则:目的性Intension必须有明确合理的建站目的和目标群体
任何一个网站,必须首先具有明确的目的和目标群体。网站是面对客户、供应商、消费者还是全部?主要目的是为了介绍企业、宣传某种产品还是为了试验电子商务?如果目的不是的,还应该清楚的列出不同目的的轻重关系。建站包括类型的选择、内容功能的筹备、界面设计等各个方面都受到目的性的直接影响,因此目的性是一切原则的基础。
建站的目的应该是经过成熟考虑的,包含几大要素:
目的应该是定义明确的,而不是笼统的说要做一个平台、要搞电子商务,应该清楚主要希望谁来浏览,具体要做到哪些内容,提供怎样的服务,达到什么效果。
在当前的资源环境下能够实现的,而不能脱离了自身的人力、物力、互联网基础以及整个外部环境等因素盲目制订目标,尤其是对外部环境的考量通常容易被忽略,结果只能成为美好的一相情愿。
如果目标比较庞大,应该充分考虑各部分的轻重关系和实现的难易度,想要一步登天的做法通常会导致投入过大且缺少头绪,不如分清主次循序渐进。
在充分考虑了目的和目标群体的特点以后,再来选择建站类型,并相应的安排适当的信息内容和功能服务。显然如果目标群体的互联网基础薄弱,建立电子商务型的网站就是个失误。在信息内容和功能服务的安排上,还应该避免大而全的十全大补丸式、贫乏空洞的八股文式、以及选材偏离主题的常见错误。
企业网站第二原则:专业性Specialization信息内容应该充分展现企业的专业特性
对外介绍企业自身,最主要的目的是向外界介绍企业的业务范围、性质和实力,从而创造更多的商机。在这里包括:
应该完整无误的表述了企业的业务范围(产品、服务)及主次关系
应该齐备的介绍企业的地址、性质、联系方式
提供企业的年度报表将有助于浏览者了解企业的经营状况、方针和实力
如果是上市企业,提供企业的股票市值或者到专门财经网站的链接将有助于浏览者了解企业的实力
如果提供行业内的信息服务,则这些信息服务应具备以下特性:
性:对所在行业的相关知识、信息的涵盖范围应该,尽管内容本身不必做得百分百
专业性:所提供的信息应该是专业的、有说服力的
时效性:所提供的信息必须至少是没有失效的,这保障了信息是有用的
独创性:具有原创性、独创性的内容更能引起得到重视和认可,有助于提升浏览者对企业本身的印象
所提供的信息是容易检索的
如果企业的客户、潜在客户包含不同语系的,应该提供相应的语言版本,至少应该提供通用的英语版本
企业网站第三原则:实用性Utility功能服务应该是切合实际需求的
网站提供的功能服务应该是切合浏览者实际需求的且符合企业特点的。例如网上银行提供免费电子邮件和个人主页空间就既不符合浏览者对网上银行网站的需求也不是银行的优势,这样的功能服务提供不但会削弱浏览者对网站的整体印象,还浪费了企业的资源投入,有弊无利。
网站提供的功能服务必须保障质量,这包括:
每个服务必须有定义清晰的流程,每个步骤需要什么条件、产生什么结果、由谁来操作、如何实现等都应该是清晰无误的。
实现功能服务的程序必须是正确的、健壮的(防错的)、能够及时响应的、能够应付预想的同时请求服务数峰值的。
需要人工操作的功能服务应该设有常备人员和相应责权制度。
用户操作的每一个步骤(无论正确与否)完成后应该被提示当前处于什么状态。
服务成功递交以后的响应时间通常不应超过整个服务周期的10%。
当功能较多的时候应该清楚的定义相互之间的轻重关系,并在界面上和服务响应上加以体现。
层次性:
条理清晰的结构,表现为网站的板块划分的合理性,这里需要注意:
板块的划分应该有充分的依据并且是容易理解的。
不同板块的内容尽量做到没有交叉重复内容,共性较多的内容应尽量划分到同一板块。
在最表层尽量减少划分的板块数量,通常控制在4~6之间比较合适。
划分后的结构层次不宜过深,通常不超过5层为佳。
在安排层次的时候要充分考虑用户操作,比较常用的信息内容、功能服务应该尽量放到更浅的层次以减少用户点击次数。
信息内容的获取和功能服务的过程都应该尽量将所需要进行的步骤控制在3~5步以内,不得不需要更多的步骤的时候应该有明确的提示。
一致性:
页面整体设计风格的一致性:整体页面布局和用图用色风格前后一致。
界面元素的命名的一致性:同样的元素应该用同样的命名;同类元素命名满足一致性,做到即使某个元素的表述不清楚也能从上下文推断其义。
功能一致性:完成同样的功能应该尽量使用同样的元素。
元素风格一致性:界面元素的美观风格、摆放位置在同一个界面和不同界面之间都应该是一致的。
精简性:
每个界面调出的时间应该在可以接受范围之内,当必须耗用较长的时间时应该有明确提示并好有进度显示。
当不同的方式能够达到相同或近似的效果时,总是应该选取令客户访问或使用更简单快捷的方式(在开发资源差别可忽略的情况下),例如尽量减少客户端插件的使用。
主要界面尽量不超过浏览器高度的200%。
大量信息内容尽量不超过浏览器高度的500%,如果超过,应该使用页内定位或者进行分页。
命名应该是简洁的、定义清晰的、易明且不易相互混淆的;对于目标群体而言,尽量不使用较为生僻的词语,如果一定要,则应给出容易理解的解释。应该具有明确的导航条和网站地图提供快速导航操作。
错误或者无效的链接是界面设计的大忌之一。
主要的信息应该放在突出的位置上,常用的功能则应该放到容易操作的位置上。
针对目标群体的需要应充分考虑浏览器兼容性、字体兼容性和插件流行程度等。
对于专业的术语、复杂的操作等有直接的容易理解的帮助。
简单有效的个性化有助于增强界面的易操作性。
在风格允许的情况下,可以适当增强交互操作的趣味性和吸引力。
企业网站第五原则:艺术性Artwork网页创作本身已经成了一种独特的艺术
网页创作从某种意义上来说可以称为"eyeballwork",要达到吸引眼球的目的,再结合界面设计的相关原理,形成了一种独特的艺术,这使得企业网站的设计应该满足:
遵循基本的图形设计原则,符合基本美学原理和排版原则。
对于主题和次要对象的处理符合排版原理。
全站的设计作为一个整体,应该具有整体的一致性。
网站的不断更新是其具有生命力的源泉之一。对于三种类型网站而言,更新的重要性通常为基本信息型>多媒体广告型>电子商务型。网站更新指标包括:
信息维护频度
信息更新数量*质量/时间比
改版频度
影响维护的一个重要元素是网站界面和功能开发所选用的技术。
企业网站第八原则:发挥作用Knownandused网站必须被访问和使用才有价值
再好的网站,如果没有人访问和使用也是毫无价值的。
域名设计是企业网站的重要元素:
域名应该尽量容易理解和记忆,并且尽量简短;当难以简短的时候,宁愿放弃无意义或者难以理解的字符数字组合而选用稍长一点的域名。
域名设计应充分考虑目标群体的特点,例如如果要做到国际化,域名包含汉语拼音显然是不可取的。
域名应该尽量有意义并反映网站实质作用,一定要做到不可有歧义。
企业网站本身应该就是企业CI的一部分:
应该出现在企业常备的名片、Catalog、信封里。
应该出现在企业的各种广告里。
登陆搜索引擎是一种行之有效的推广方法,在常用大型搜索引擎登录,设计更和的关键词,可以增加被正确检索的机会。
与同类或者相关类型企业网站结为联盟或者结成伙伴关系也有利于网站的有针对性的推广。
结合企业本身的宣传推广活动和促销活动加强网站上的宣传和利用。
企业网站可以针对其目标群体特点采用一些其他的推广方法,例如座谈会等。作用比较突出的甚至包含品牌形象的网站也可以采用单独广告投入的方式进行宣传,例如网上银行、网上酒店等。
企业网站第九原则:反教条Anti-dogmatism原则是为目的服务而不应成为教条
任何原则都是因应目的而制定的,如果所采用的方法确实能够更好的达到目的,那就不必受原则本身的桎梏。
每一项指标在不同的网站都有不同的重要性,根据实际情况可能降低其重要程度甚至舍弃;同样,对达到目的更具意义的指标可以相应提高
多媒体广告型网站是一个特别的类型,因为广告思维本身常常是打破常规的,因此对于多媒体广告型网站有些原则并不实用,但是这种类型的网站仍应遵循目的性、性能需求、维护需求和发挥作用。
网站毕业设计论文:ASP在网站设计中应用分析论文
摘要:随着网络技术的快速发展,人们越来越依赖于勺_联网站来获取信息,信息的即时性和大容量性促使网站从“静态”逐步转变为“动态”,动态网站的设计技术也随之发展成熟起来介绍了动态网页的一些特点以及日前在动态网页设计中应用相当)‘一泛的开发环境—ASP,以如何建立基于IIS的ASP动态网站为中心,简要介绍了动态商业网站设计的趋势,并以实例分析比较直观地展示了ASP在动态网页设计中的优越性
关键词:动态网站;物件导向;表单;脚本语A
1引言
目前呈儿何增长的互联网站中,有相当一部分仍固守“静态“,无形中已大大落后于时代的步伐.所谓“静态”指的就是网站的网页内容“固定不变“,当用户浏览器通过互联网的HTTP(HypertextTransportProtocx>1)协议向WEB服务器清求提供网页内容时,服务器仅仅是将原已设计好的静态HTML文档传送给用户浏览器.其页面的内容使用的仅仅是标准的HTML代码,最多再加上流行的GIF''''89A格式的动态图片,若网站维护者要更新网页的内容,就必须手动地来更新其所有的HTML文档.“静态”网站的致命弱点就是不易维护,为了不断更新网页内容所做的工作量是巨大的.
随着网站信息量的不断增大,静态网站逐渐没落,动态网站已经成熟起来,它的“交互性”少自动更新”、“因时因人而变”等诸多优良特性无疑很好地适应了信息时代的要求.能够使网站“动态化”的技术较多,目前比较流行和成熟的是ASP技术.
2基于ASP的动态网站建设概述
2.1“动态”的概念
所谓“动态”,并不是指那儿个放在网页上的GIF动态图片,在这里笔者为动态页面的概念制定了以下儿条规则:
1)“交互性”,即网页会根据用户的要求和选择而动态改变和响应,将浏览器作为客户端界面,这将是今后WEB发展的大势所趋.
2)“自动更新”,即无须手动地更新HTML文档,便会自动生成新的页面,可以大大节省工作量.
3)“因时因人而变”,即当不同的时问、不同的人访问同一网址时会产生不同的页面.
2.2ASP的概念及特点
MicrosoftActiveS。二Pages即我们所称的ASP,其实是一套微软开发的服务器端脚本环境,ASP内含于IIS3.0和4.0之中,通过ASP我们可以结合HTML网页,ASP指令和ActiveX元件建立动态、交互目_高效的WEB服务器应用程序.有了ASP你就不必担心客户的浏览器是否能运行你所编写的代码,因为所有的程序都将在服务器端执行,包括所有嵌在普通HTML中的脚本程序.当程序执行完毕后,服务器仅将执行的结果返回给客户浏览器,这样也就减轻了客户端浏览器的负担,大大提高了交互的速度.以下罗列了ActiveS。
二Pages所独具的一些特点:
1)使用VBScriptJScript等简单易懂的脚本语言,结合HTML代码,即可快速地完成网站的应用程序.
2)无须Compile编译,容易编写,可在服务器端直接执行.
3)使用普通的文本编辑器,如Window、的记事本,即可进行编辑设计.
4)与浏览器无关(Br+wserIn<lepen<lenoe),用户端只要使用可执行HTML码的浏览器,即可浏览Active
S。二Pages所设计的网页内容.ActiveS。二Pages所使用的脚本语言(VBSoriptJsoript)均在WEB服务器端执
行,用户端的浏览器不需要能够执行这些脚本语言,如图1所示.
用户端浏览器IE或NS1r1''''1''''1''''洁求11而1''''III]子
WEB服务器ActiveServerP
5)ActiveS。二Pages能与任何AotiveXscripting语言相容.除了可使用VBSoript或JSoript语言来设计外,还通过plug-in的方式,使用由第三方所提供的其他脚本语言,譬如REXX,Perl,Tol等.脚本引擎是处理脚本程序的COM(ComponentObjectModel)物件.
6)ActiveS。二Pages的源程序,不会被传到客户浏览器,因而可以避免所写的源程序被他人票J窃,也提高了程序的安全性.
7)可使用服务器端的脚本来产生客户端的脚本.
8)物件导向(Obje<,一(>riented).
9)AotiveXS。二Components(AotiveX服务器元件)具有无限可扩充性.可以使用VisualBasic,JavaVisualC++,Cobol等编程语言来编写你所需要的AotiveXS。二Component.
2.3ASP技术流行的原因
如果你是个人网站的维护者,使用的是免费主页空问,那么绝大多数情况下你只能使用Java,JavaScript和近期的DHTML技术.DHTML就是当网页从WEB服务器下载后无须再经过服务器的处理,而在浏览器中直接动态地更新网页的内容排版样式、动画.
或许对于一个个人网站来说,充分运用DHTML技术足以令网页栩栩如生,动感十足.然而对于建立商业网站的企业而言,仅仅拥有DHTML是远远不够的.因为仅仅发生在客户浏览器端的动态效果是无法满足商业网站大量信息查询,客户咨询,资源交互等“动态”需求的.因此作为商业网站的设计者,必须要设计出更具实用性和交互性的“动态”网站.由于绝大多数商业网站都具有大量的数据和信息,而建网的初衷也就是在于方便客户查询企业资料,方便同客户的交流,及时获得信息反馈.那么,就必然会面临如何让使用者在浏览器界面中,通过互联网或内联网(Intran川查询WEB数据库的资料,甚至输入、更新和删除WEB服务器上的资料.
目前)匕种常用的“动态”网站设计方法有:CGI(CommonGatc}vayInterlace),IDC(InternetDatabaseConnec-tor),ActiveXDataOhje川ADO),相比较而言ADO具有容易使用、开发执行快速、消耗系统资源较少和占用磁盘空问小等优点.根据许多从事网站设计工作多年的专家的经验,ADO和ASP的结合可以高效快速地使网站“动态化”,使得网站便于管理和维护,从长远来看这对搭档也势必成为今后一段时问内“动态’''''WEB的核心技术,因此ASP技术在动态网站设计中的流行也成为了一种必然.
网站毕业设计论文:企业网站设计探究论文
[摘要]建设网站或制作网页已成为企业对外宣传、实施电子商务的重要方式。本文主要探讨企业建设网站需要遵循的原则和应该注意的问题,旨在使企业网站能更好地发挥作用,提升企业的形象。
[关键词]网站企业设计
企业网站是向用户和网民提供信息(包括产品和服务)的一种现代化方式,是企业开展电子商务的基础设施和信息平台,离开网站电子商务就无从谈起。企业的网址被称为“网络商标”,也是企业无形资产的组成部分,而企业网站则是Internet上宣传和反映企业形象和文化的重要窗口。网站设计对企业而言,就显得极为重要,在企业网站设计中要做好以下几个环节的工作。
一、网站的定位及方案设计
企业要建设好网站,就必须对网站进行定位。网站应以展现企业形象、介绍产品和服务、体现企业发展战略作为目标。具体内容包括:服务对象、提供的产品和服务内容、企业产品和服务的表现方式(风格)、企业的文化特色等。对网站而言,用户认可度和满意度是衡量网站建设质量和价值的主要标准,只有充分满足用户需求,为他们提供及时、、的信息和品质服务,网站的建设才是成功的。因此要充分调研消费者的需求、市场的状况,然后进行综合分析,从而做出切实可行的计划。
在目标明确的基础上,完成网站的构思创意即总体方案设计。对网站的整体风格和特色做出定位,规划好网站的组织结构。要以“消费者”为中心,而不能以“设计”为中心。应做到主题鲜明突出,要点明确,以简单明确的语言和画面体现站点的主题。充分调动一切手段充分表现网站的个性和情趣,办出自己的特点。
二、网站的版式设计
网页设计作为一种视觉语言,要讲究编排和布局,应充分利用和借鉴平面设计的优点。版式设计通过文字图形的空间组合,要表达出和谐美、色彩美。在栏目设置过程中,既要考虑当前工作,还要兼顾以后工作的长远发展,避免出现主页经常调整的情况。子栏目的设置则根据单位实际进行规划。如果用户经过5级以上的浏览还没有看到所感兴趣的信息则会出现厌烦情绪,所以在内容规划和整体设计时,网页内容查找深度以3~5级为宜;这样既方便用户使用,又符合人们上网的习惯和生理、心理适应力。页面设计应以美观、大方、简洁为原则,保持一致的风格,不宜太过花哨。一个的网页设计者应该知道哪一段文字、图形该落于何处,才能使整个网页生辉。多页面站点页面的编排设计要求把页面之间的有机联系反映出来,特别要处理好页面之间和页面内的秩序与内容的关系。为了达到的视觉表现效果,应讲究整体布局的合理性,使浏览者有一个流畅的视觉体验。
色彩是艺术表现的要素之一。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合和搭配来构成美丽的页面。要根据色彩对人们心理的影响,合理地加以运用。虽然网页颜色应用没有数量限制,但也不能毫无节制。应根据总体风格的要求先定出一至二种主色调,以此为基调进行设计。同时还要考虑用户的浏览器分辨率,要保障所有用户在浏览网站内容时得到的是一致的结果。网页形式与内容要统一,必须将丰富的意义和多样的形式组织成统一的页面结构,形式语言必须符合页面的内容,体现内容的丰富含义,要突出本企业的产品特色、服务特色和文化特色。运用对比与调和、对称与平衡、节奏与韵律以及留白等手段,通过空间、文字、图形之间的相互关系建立整体的均衡状态,产生和谐的美感。网页设计中点、线、面的运用并不孤立,合理使用点、线、面的互相穿插、互相衬托、互相补充就能构成的页面效果,以表达出的设计意境。
三、网站的管理机制设计
Web站点建立后,必须经常进行信息更新,同时要保障信息的质量,让浏览者了解企业的近期发展动态和网上服务等,从而帮助企业建立良好的形象。企业要加强网站的管理,必须建立一支高素质的信息采编队伍和网站管理队伍。采编人员要经常搜集各种信息,将收集到的各种信息及时分析整理,及时、、地提供给网站管理人员。网站管理人员则要及时地将各类信息在网站上进行,并要保障信息完整、链接无误。
网站服务器应该二十四小时运转,网站的硬件和软件要做好备份,一旦出现故障,应立即组织技术人员排除,保障网站尽快恢复正常。为了防止黑客攻击和病毒侵入,应配备防火墙和杀病毒软件,要定期对系统进行检测并实时监测。对于网页和各种文档资料、数据库等重要资料,必须要定期备份,将数据备份在移动硬盘和光盘上长期保存,并同纸质档案一样进行分类整理,以便网站系统出现问题后能尽快恢复。
四、网站的用户信息反馈机制设计
要建设好网站就必须建立良好的用户信息反馈机制,通过对用户的反馈信息进行分析可以更好地指导网站建设工作。随时跟踪用户的需求,经常与他们沟通,征集意见和建议。通过电话咨询、当面交流、网上调查、电子邮件、建立BBS等渠道征集用户对网站的反馈建议和意见,集思广益做好网站的建设和维护工作。有条件的可以编制软件,自动记录网站访问情况,将访问者的信息记录在数据库中,定期对其进行分析、挖掘,找出网站建设过程中存在的问题和不足,然后加以改进。在企业的Web站点上,要认真回复用户的疑问,做到有问必答。要将用户的用意进行分类汇总,交由相关部门处理,使企业网站访问者感受到企业的真实存在并由此产生信任感。根据统计的结果也可以发现用户感兴趣的内容、关心的问题,掌握了这些信息,网站的下一步规划和建设就更有针对性。
网站毕业设计论文:网站设计风格与色彩分析论文
随着网络的日益普及,网络正以一种前所未有的冲击力影响着人们的生活,越来越多的人开始借助网络进行工作、交流、学习等活动。当人们通过浏览器进入互联网这个虚拟世界时,进入眼帘的是各种各样的网页,如何设计出一个创意新颖、设计精美、结构合理的网站,来吸引众多的人关注自己的网站,成为网站设计者日益关心的问题。
一、网站设计的风格
“风格”是指站点的整体形象给浏览者的综合感受。这个“整体形象”包括站点的CI(标志,色彩,字体,标语)、版面布局、浏览方式、交互性、文字、语气、内容价值等等诸多因素。风格是有人性的,不管是色彩、技术、文字、布局,还是交互方式,只要能由此让浏览者明确分辨出这是本网站独有的,这就形成了网站的“风格”。一般都要求:清纯简洁,主题鲜明,内容编排得当合理、有一定的艺术感,美观、实用,相关链接正常,能体现网站的基本功能,可以从以下几个方面来为网站设计一个独特的风格。
1.网站标志(LOGO)
LOGO是指网站的标志,标志可以是中文、英文字母,也可以是符号、图案等。标志的设计创意应当来自网站的名称和内容。比如:网站内有代表性的人物、动物、植物,可以用它们作为设计的蓝本,加以卡通化或者艺术化;专业网站可以以本专业有代表的物品作为标志。最常用和最简单的方式是用自己网站的英文名称作标志,采用不同的字体、字母的变形、字母的组合可以很容易制作好自己的标志。
2.网站色彩
网站给人的及时印象来自视觉冲击,不同的色彩搭配产生不同的效果,并可能影响到访问者的情绪。颜色搭配是体现风格的关键。“标准色彩”是指能体现网站形象和延伸内涵的色彩,要用于网站的标志、标题、主菜单和主色块,给人以整体统一的感觉。至于其它色彩也可以使用,但应当只是作为点缀和衬托,绝不能喧宾夺主。例如IBM的深蓝色,肯德基的红色条型。一般来说,一个网站的标准色彩不超过3种,太多则让人眼花缭乱。适合于网页标准色的颜色有:蓝色,黄/橙色,黑/灰/白色三大系列色。一般以白色和黑色的背景网页好做,颜色搭配最方便;亮色与暗色配合,最容易突出画面,如黑与白,红与黑,黄与紫;而近似的颜色的搭配,能给一种柔和的感觉,如墨蓝与淡蓝,深绿与浅绿。好能给主页定一个主色调,不要搞得花花绿绿的。
3.设计网站字体
和标准色彩一样,标准字体是指用于标志、标题、主菜单的特有字体。一般网页默认的字体是宋体。为了体现站点的“与众不同”和特有风格,可以根据需要选择一些特别字体。制作者可以根据自己网站所表达的内涵,选择更贴切的字体。需要说明的是:使用非默认字体只能用图片的形式,因为很可能浏览者的计算机里没有安装特别字体,他看到的只能是乱码,那么辛苦的设计制作便付之东流了。
4.使用精炼有效的语言
现代生活节奏加快,人们往往没有时间看大块文章。为了节约时间,在单位时间内获取较大量的信息,人们需要精练的信息,即信息精品,要用信息语言来表达信息内容。所谓信息语言是指以下公式:信息=基本事实+数据描述+专家观点。
信息语言摒弃一切广告性词句、文学性修饰词句,不欢迎一切关于意义、重要性的过分渲染。尽量采用数字说话,欢迎定量描述,反对过多的定性描述,特别是无法形成概念的定性描述。用信息语言描述,任何信息都应该有出处,有时间,分类。当然,应当满足信息的时效性、性、完整性、精练性等固有的特点。在此特别注意的是,不要出现错别字、病句。
5.设计网站宣传语
网站的宣传语也可以说是网站的精神、主题与中心,或者是网站的目标,用一句话或者一个词来高度概括。用富有气势的话或词语来概括网站,进行对外宣传,可以收到比较好的结果。
二、网站设计的色彩搭配
打开一个网站,给用户留下及时印象的既不是网站的丰富内容,也不是网站合理的版面布局,而是网站的色彩。色彩对人的视觉效果非常明显,一个网站设计成功与否,在某种程度上取决与设计者对色彩的运用和搭配,因此专业人士把色彩制作成色系表,根据这些色系让网站也有其自身的色系,网站的色系是浏览者整体的视觉观感,若一个网站色系能有一致性,不仅会使网站看起来美观,更能让浏览者对内容不易混淆,增加了浏览的简洁与方便。而网站的色系更能衬托出网站的主题,若色系能与主题合理搭配,将会增加浏览者的易读性。网站的色系包含了网页的底色、文字字型、图片的色系、颜色等等,这不单只是将颜色搭配得当就算,还要配合每个内容,及网站主题。1.网页的底色
网页的底色是整个网站风格的重要指针。举例来说,以黑色作为背景颜色的网页,因黑色本对人的视觉上会造成黯淡的感觉,若是拿来用作活泼的儿童网站,就是不适合了。因为小孩子是天真无邪的、活泼的、有朝气的,与黑色的沉稳、黯淡,很难联想在一起。当然,每个人的审美观不同,可能也会对颜色的代表性看法不同,但既然网站不是只写给自己看的,就应该要注意到大部分人可能会有的观点,然后以众人居多的观点出发,来设计网页。
2.文字字型
文字字型上的设计,好的网站是以所有浏览者都能看到的字型为主。常会看到有许多网站要求浏览者须自行下载某种字型,才能达到浏览效果,这是种非常奇怪的行为。毕竟浏览者只是来找资料或是来看网站的内容,不可能会因为这种“为达浏览效果”,而自行下载所需要的字型。当所要求的字型若不下载,并不会影响到网站内容上的浏览与不便,那么对浏览者的要求就微乎其微不可能发生任何作用。这么一来,对于网页设计者来说,无非是非常可惜的,因为当初的设计风格却未能让浏览者一窥全貌,岂不是白费心思的吗?
3.图片的色系
以色彩学简单的区分,色系可分为冷色系与暖色系,再详细一点的区分,又可分出各种颜色的色系,而色系的区分,就在于主观浏览意识上的差异了。如何将图片的色系与网站整体色系相对应,就是比较困难的地方了。要绘制一张图并非易事,要绘制一张符合自己网页风格的图,更是困难重重。大部分的网页制作者,并不大可能驾轻就熟的使用影像处理软件或绘图软件,于是乎,网页素材的网站就开始盛行了。当然,不会使用绘图软件并不代表网页就不能设计的很出色,若是能将网络上的素材资源妥善利用,网站也是可以走出自己的风格的。而该怎么选择适合自己网站的图片,就是门很大的学问了。
以图片内容来说,能切合网站主题好,若不能,也别差异太多。以颜色来说,若一个网页是蓝色的底色,但整个网页的图片却乱七八糟,各种颜色纷纷出笼,更糟的是,蓝色是属于冷色系的颜色,若以蓝色为底的网页,却尽都是大红色、橘色的图片,那将会使整张网页看起来就像垃圾堆,杂乱无章。所以,可以简单的归纳出,网页与图档的颜色,色系一致或是视觉效果一致,将会使网页看起来更为美观且有自己的风格。
4.网页的颜色
网页的颜色,并非单一就图文件、文字颜色、或是底色为主,而是以浏览者的角度来观看,整体网页看上去是偏向哪种色系。常常见到许多网站虽然色系搭配的很好,但却是没有自己的风格。以目前流行的柔色系、粉色系网站来说,就是失了自己独到的风格。因为使用粉色系的网站,不外乎都有相同的特点,文字颜色浅,底色也以浅色系为主,这样除了没有自己的风格外,看起来既不大方也难登大雅之堂。以各大搜寻网站来说,根本不会做这样的设计,因为文字颜色淡,加上底色浅,对浏览者来说,阅读上非常吃力,所以这样的设计风格也应尽量避免。一个有自己风格,且阅读起来舒适大方的网页,并不可能一次就写好,而是需要经过不厌其烦的修正、调色,才能达到浏览效果的。
三、网页的美化设计
1.使用CSS优化网页外观
使用CSS来获得对整个站点所有WEB页面的外观控制。设置页边空白,页面填充,边界,颜色和背景。对任意网页元素设置字体大小及改变字体外观。创建动态活动链接。创建CSS风格的兼容的网页。
CSS的主要好处就在于,你不用去修改网页文件,只要修改这个页面连接的CSS文件,就可以实现不同的显示效果,包括底色、背景图片、文字大小、颜色、边框……等等。网站的版面、布局要求,不能占用较大的边幅放栏目图片,正文的位置不能少,图片与文章的搭配要平衡,过多使用大图片,大大增加了传输流量,影响了网站浏览者阅读的速度,要优化网页就尽可能使用CSS实现,灵活地使用CSS,可以使页面精致漂亮而又不会占用过多的系统资源,所以很有必要花些时间研究一下。
2.用表格美化页面布局
表格布局好像已经成为一个标准,随便浏览一个站点,它们一定是用表格布局的。表格布局的优势在于它能对不同对象加以处理,而又不用担心不同对象之间的影响。而且表格在定位图片和文本上比起用CSS更加方便。表格布局的缺点是,当你用了过多表格时,页面下载速度受到影响。对于表格布局,你可以随便找一个站点的首页,然后保存为HTML文件,利用网页编辑工具打开它(要所见即所得的软件),你会看到这个页面是如何利用表格的。
网站毕业设计论文:ASP网站设计安全性分析论文
论文关键词:ASP;黑客攻击;SQL注入;安全漏洞;木马后门
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
及时:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保障了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是近期版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
网站毕业设计论文:企业网站设计误区分析论文
[摘要]随着网络信息技术的发展,许多企业都建立了网站,用于企业宣传和电子商务。同时企业网站在设计中也存在着一些漏洞和误区。本文阐述了企业网站设计中的六个误区以及正确的解决方法。
[关键词]企业网站网站设计误区
当今计算机网络技术飞速发展,网络化和全球化成为不可抗拒的世界潮流。网站(Website)简单地说是一种通讯工具,人们可以通过网站来自己想要公开的资讯,或者利用网站来提供相关的网络服务。目前许多企业都拥有自己的网站,他们利用网站来开展电子商务与客户互动来往,产品资讯、招聘等等。但同时有些企业在网站的设计中出现了一些设计误区,可能会造成低效的品牌宣传、混乱的业务信息沟通等问题。本文列举出企业网站设计的六个误区以及正确的解决方法。希望企业能尽快走出误区较大限度地利用网站宣传、沟通、获取利润。
误区一:设计主题不明确。对于企业网站来说,必须具有明确的主题和目标群体。要清楚网站是面对客户、供应商、消费者还是全部,主要目的是为了介绍企业、宣传产品还是为了实现电子商务。许多企业对此没有明确的主题,只是把公司产品、业务简介、公司促销活动等信息贴在公司网站上。这样的做法充其量只是多个电子公告板而已,根本没有发挥网络的互动功能。其实,网站架设应由网络营销角度出发。换句话说,是否可以透过网络在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。因此,传统产业要的网站,应该由营销主管角度优先思索。第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
误区二:色彩运用不和谐。色彩是艺术表现的要素之一,它是光刺激眼睛再传导到大脑中枢而产生的一种感觉。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合、搭配来构成美丽的页面。国内网站在设计中并不注重色彩方面的和谐表达,网页颜色数量过多、互不相干的两种色彩放在一起、搭配不协调,缺乏统一的风格。在色彩的运用过程中,还应注意的一个问题是:由于国家和种族的不同,宗教和信仰的不同,生活的地理位置、文化修养的差异,不同的人群对色彩的喜恶程度有着很大差异。所以在企业网站设计中要考虑主要读者群的背景和构成而不能盲目运用色彩。
误区三:多媒体表现形式过多。网页中使用图片、动画、声音我们无可厚非,这也体现了网络交互性的一个方面,但问题是在网页中胡乱地加入一些互不相干的图片动画和声音,会扰乱浏览者的阅读视线,影响浏览者的心情,而最终导致离开!同时由于有些用户不一定安装相应的电脑软件,有些图像或其他文件可能无法正常显示,也就无法达到预期的效果。特别是企业在经营自己的在线商务,企业网站最重要的任务就是销售产品或服务,其他任何脱离这个基本原则的东西都是不合适的。所以企业的网页不需要太多图片和动画,因为要看漂亮的图片和动画,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
误区四:浏览器和显示器不兼容。虽然IE浏览器用户占据多数,但是,也不能因此忽视其他浏览器的用户。特别是有国外用户的企业,国外市场上其他类型的浏览器还有着比较大的市场份额。另外,并非每个用户都使用800*600小字体的显示模式,不要自以为是地为用户建议“显示模式”。所以在设计的时候一定要考虑到不同分辨率下的状况,争取都能做到好的效果。误区五:传输、更新速度过慢。页面下载速度是网站留住访问者的关键因素。如果不能让每个页面都保持较快的下载速度,至少应该确保主页速度尽可能快。而我们一部分企业网站的设计从速度上来看是失败的,耐心的等待半天才看到划着红叉的图片--图片链接下载失败,只能刷新,这又要等一段时间。测试一下企业网站的下载速度,尤其是如果网站首页图片比较多的话,当然注意清除电脑中浏览器的缓存。另外,影响网站速度的因素有很多,其中除了技术方面,就是主体图片,因此再次强调一定要保障图片使用的度!同样如果一个企业网站的资料一个月才更新一次,很多浏览者将对此失去兴趣,也会使企业失去更多可能的客户。当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得近期资讯。另外所谓活网站的“活”,也是指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等,当然不需样样功能都具备。必须针对网站的定位,选择适合的机制;同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心。
误区六:疏忽网站安全问题。很多企业网站具有了完善的导航功能,清晰的文字,漂亮的页面但却忽视了网站的安全问题。因为很多企业网站的目的是为了用于进行电子政务或电子商务,因此网站的安全就更加显得重要。为了设计和管理一个有效、的网站商业服务,必须事先制定一套的网站服务安全策略。安全策略将应用于所有网站服务系统、数据库、内容、电脑平台、软件以及网络,它们的作用是处理、交互或者提供对服务的访问途径。提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。
网站毕业设计论文:ASP技术动态网站设计论文
[摘要]本文从软件工程的角度出发,系统分析了校园网站的规划与设计过程。并在系统设计阶段详细介绍了网站设计过程中应注意的问题,重点对网站安全做了技术分析和研究。
[关键词]网站立项系统分析系统设计网站测试网站维护
一、引言
网络技术的不断成熟和发展,促进了基于网络技术的校园网站的发展。校园网站开发是一项很复杂的工作,我校根据学校实际,确定网站的定位和需求,从软件工程的角度出发,针对学校网站建设的特点和重点,整理出一套适合学校网站建设管理和控制的方法,以此来保障网站建设的高效率、高质量。
二、网站立项
校园网站建设,要成立一个专门的项目小组:学校领导、学校网络管理员、美术教师、各科室人员、计算机专业教师等8人~9人以及“计算机学会”社团学生代表5人组成,由网络管理员作为项目负责人负责对该项目的统一调度和安排。
三、网站设计开发过程
(一)系统分析阶段
建立一个网站,首要明确设计思想,编写一份详尽的需求说明书,这是网站建设成功的关键所在。
我校根据各方面的反馈意见进行认真的分析,对网站设计进行定位:学校网站规划要着重考虑教师和学生的需求;内容上要以学校整体宣传为主,同时也要为访问者提供其所关心的内容;内容要求及时更新;版面要求新颖有特色,同时还要增强网站的方便性、整体性和安全性。
(二)系统设计阶段
1.网站总体设计
网站设计有了一份详尽的需求说明书后,就可以根据需求说明书,对网站进行总体规划,给出一份网站总体建设方案。总体规划具体要明确网站需要实现的目的和目标;网站形象说明;网站的栏目版块和结构;网站内容的安排,相互链接关系;使用软件、硬件和技术分析说明;开发时间进度表;维护方案;制作费用;需要遵循的规则和标准有哪些等。
2.网站详细设计
总体设计阶段以比较抽象概括的方式提出解决问题的办法,具体设计阶段的任务就是把解决方法具体化、明确化,设计中应注意的问题有:
(1)网站设计的风格定位。网站要有自己的特色,设计中不要太多地考虑技术问题,而应该更多地考虑不断增加网站的内涵,要在能够动态反映学校情况的内容上下功夫。
(2)网站设计的整体性。网站设计,注意考虑网站的易维护性,技术上多采用CSS、模板等,对网站的整体风格进行定位,方便日常维护与更新。
(3)关键技术的研究及应用。网站设计中,怎样防黑,保护网站内容不被别人窃取、修改是网站建设必须考虑的技术性问题。本人主要从IIS、ASP和Access三方面来总结网站系统面临的常见的安全威胁及解决方法。
①集中管理ASP的目录,设置访问权限。在设置WEB站点时,将HTMI文件同ASP文件分开放置在不同的目录下,然后将HTML子目录设置为“读”;将ASP子目录设置为“执行”。
②对IIS中的特殊Web目录禁止匿名访问并限制IP地址。对IIS中的sample、scripts、iisadmin等web目录,通过各目录属性对话框中的“目录安全性”标签设置为禁止匿名访问并限制IP地址,并用NTFS的特性设置详细的安全权限,除了Administrator,其它帐号都应该设置为只读权限。
③防止Access数据库被下载。有效地防止数据库被下载的方法有:非常规命名法:为Access数据库文件取一个复杂的非常规名字,并把它放在几层目录下;使用ODBC数据源:在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中。
④进行数据备份。运用FSO组件对Access数据库进行备份,以便在数据被破坏时进行快速恢复,尽可能多地挽回损失。
⑤对ASP页面进行加密。为了有效地防止ASP源代码泄露,可以对ASP页面进行加密。加密的方法一般有两种:一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。
⑥后台用户注册验证。为了防止后台用户未经注册的用户绕过注册界面直接进入应用系统,我们采用Session对象进行注册验证:<%UserID=Request(“UserID”)
‘读取使用者所输入的用户名和密码
Password=Request(“Password”)
IfUserID<>“hrmis”OrPassword<>“password”Then
Response.Write“用户名错误!”
Response.End
EndIf
‘将Session对象设置为通过验证状态
Session(“Passed”)=True%>
进入应用程序后,首先进行验证:
<%‘如果未通过验证,返回Login.asp页面登陆状态
IfNotSession(“Passed”)ThenResponse.Redirect“Login.asp”
EndIf%>
⑦让学生参与网站设计。学生参与设计,无论对丰富网站内容、提高学校网站的点击率还是扩大学校网站的影响都能起到相当大的作用。
(三)网站测试
有了网站的具体设计方案,各网站制作人员就可以全力进入开发阶段。尽量采用边制作边调试,即采用本机调试和上传服务器调试的方法,观察速度、兼容性、交互性等。
投入运行之前,需对网站需求分析、系统分析、设计规格说明和编码最终复审,还要对系统进行各种综合测试。测试结束后,制作有关文档存档,并写出一个校园网站使用说明文档。至此,网站项目建设完毕。
(四)网站的管理和更新
做好网站的管理与更新,是一个网站树立形象的根本、生存的根本。我校专门成立了安全组织机构,制定出适合我校的《校园网站管理办法》、《校园网站信息审核制度》、《校园网站异常情况案件报告制度》等规定,建立健全了各项安全管理制度。
四、结论
我校网站已经试运行一段时间,为学校的教师、学生和教学管理人员提供教学管理、教学研究、日常办公、信息交流等应用服务的平台,较好地满足了设计最初的需求。在整个设计网站的过程中,重视学校网站的“规划—设计—管理—发展”的规律,实现可持续性发展。
网站毕业设计论文:ASP网站设计安全性研究论文
论文关键词:ASP;黑客攻击;SQL注入;安全漏洞;木马后门
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
及时:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保障了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是近期版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
网站毕业设计论文:电子商务购物网站设计论文
[摘要]随着电子商务的蓬勃发展,电子商务购物网站的设计具有非常重要的意义。介绍了开发工具ASP的功能特点,并给出购物系统功能模块,以及对购物车进行设计的总体规划和设计思路,同时在ASP开发工具的支持之下,详细地介绍了购物车的系统结构及功能划分,并且给出了重要部分的源代码。
[关键词]电子商务购物车ASP
一、使用工具简介
ASP是ActiveServerPages:“动态服务器网页”的简称,其主要特点在于所产生的执行结果都是标准的HTML格式,目前,开发网站的软件很多,并且都各有所长,因为这些程序是在网络服务端执行,使用一般的浏览器都可以正确地获得ASP的“执行”结果,并且ASP执行的结果可以直接在浏览器中“浏览”,不仅如此,ASP还具有如下特点:与HTML文件融合,容易创建、修改,不需其他编译、连接程序,面向对象可扩展等,因此,ASP技术非常适合于购物网站的设计。
电子商务系统的应用提高了商业企业的生存力和竞争力。网上购物系统是企业(商家)面对消费者模式下的电子商务系统。企业通过网上商店建立网上销售渠道,直接面对最终用户,减少了销售过程中的中间环节,降低了客户的购买成本,从而赢得更多的客户。如何设计和实现一个实用且易于扩展的电子商务在线购物系统,它要具备哪些基本功能,成为商业企业关注的问题[1]。
二、系统功能
系统为用户提供美观、友好的商品展示铺面。顾客能够方便查询并订购商品。商家可以方便定义各种商品信息,让所有上网浏览的客户看到所录入的产品信息,并可以随时进行购买活动。系统的功能共设计了以下的模块(图1):
由于整个设计有十一个模块,我们以购物车商品模块的设计为例,具体的介绍如何运用ASP进行其功能的实现。购物车模块是前台用户端程序中非常关键的一个功能模块,帮助用户完成商品的选购,并把商品交给服务台进行结算。它包含的功能有:添加商品,浏览购物车,取消购物车中的商品,更新购物车中的商品,清空购物车。
1.添加商品功能
当用户进入商城后,一旦选购了商品,系统就会为每一个用户分配一辆购物车供用户使用,当用户不断单击旁边的[购买]按钮时,系统将会不停地帮用户把商品放入到给用户分配的购物车中。对于相同的商品,用户单击多少次就相当于购买该商品的数量是多少。当用户单击购买时,系统会出现购买提示。
实现购物车的添加商品功能的主要代码(\purchase\shopgoo
ds.asp),如以下程序所示。
IfsMode="add"Then
IfsItemAindex>=1Then''''购物车中已经含有物品
Fori=0tosItemAindex-1''''查对购物车中是否已经有此物品
IfsItemId=sItemA(i)Then
sNowItemAIndex=i
ExitFor
EndIf
Next
IfsNowItemAIndex<>""AndsNowItemAIndex>=0Then''''购物车中已经有此物品
sItemNumA(sNowItemAIndex)=sItemNumA(sNowItemAIndex)+sItemNum
Session("CartItemNumArray")=""
Fori=0tosItemAindex-1Session("CartItemNumArray")=Session("CartItemNumArray")&sItemNumA(i)&"@"
Next
ElseifsNowItemAIndex=""Then''''购物车中还没有此物品Session("CartItemTypeArray")=Session("CartItemTypeArray")&sItemId&"@"
Session("CartItemNumArray")=Session("CartItemNumArray")&sItemNum&"@"
EndIf
ElseIfcint(sItemAindex)=-1then''''购物车是空车
Session("CartItemTypeArray")=sItemId&"@"
Session("CartItemNumArray")=sItemNum&"@"
购物车里的全部商品都存储在两个Session里面,Session("CartItemTypeArray")存储着商品的种类,每类商品中间使用特殊的符号“@”来间隔;Session("CartItemNumArray")存储着商品的数量,每种商品的数量使用同种类相同的符号“@”来间隔,并且两个是相互对应的,每种商品对应着一个数字。
在打开购物车后,要向购物车中添加商品,首先查看购物车中是否有商品了,如果有商品,再判断是不是有此类商品,如果有此类商品,把存储商品数量的Session打开,找到同种类相应的项,直接为此类商品添加数量1,然后再把存储商品数量的Session打包成字符串;如果没有此类商品,则直接在存储商品种类和商品数量的Session字符串后面加上种类和数据就可以了;如果购物车是空车,则操作方法同没有此类商品的方法一样。
2.浏览购物车
在购物过程中,当用户购买完商品后,只需要单击商城上的[购物车]按钮,它将列出当前用户的购物情况。在这儿不仅可以看到购物的详细情况,而且还可以对当前选购的商品进行编辑修改或者清空购物车。购物车列表页如图2所示。
3.取消购物车中的商品
用户想要删除某种商品,此时系统将触发程序代码/purchase/shopgoods.asp?imod=del?itemid=del&itemid=<%response.writesitemtypea(i)%>,此时直接提交给服务器端供系统处理。
4.更新购物车中的商品
用户单击列表页的[订购车更新]按钮时,将把获得的购物车列表中的数据进行拆分,从而整个容器提交给后台系统以便处理。
5.清空购物车
在这些操作中,清空购物车是最容易的,我们就需要把存储购物车的两个Session全部清空就可以了,当用户购买商品时,再为用户建立它即可。
在Internet上开展电子商务,具有降低经营成本、加快资金周转、开发广阔市场范围、提供全新服务方式等特点。随着社会网络化发展的不断深化,企业应用商务网站开展一系列商业活动将成为未来企业经营活动的主要方式。可以预见,在电子商务环境影响下连锁企业竞争基础不再依靠传统的资本、技术及规模,更重要的体现在现代信息管理技术水平中。
网站毕业设计论文:企业网站设计研究论文
[摘要]随着网络信息技术的发展,许多企业都建立了网站,用于企业宣传和电子商务。同时企业网站在设计中也存在着一些漏洞和误区。本文阐述了企业网站设计中的六个误区以及正确的解决方法。
[关键词]企业网站网站设计误区
当今计算机网络技术飞速发展,网络化和全球化成为不可抗拒的世界潮流。网站(Website)简单地说是一种通讯工具,人们可以通过网站来自己想要公开的资讯,或者利用网站来提供相关的网络服务。目前许多企业都拥有自己的网站,他们利用网站来开展电子商务与客户互动来往,产品资讯、招聘等等。但同时有些企业在网站的设计中出现了一些设计误区,可能会造成低效的品牌宣传、混乱的业务信息沟通等问题。本文列举出企业网站设计的六个误区以及正确的解决方法。希望企业能尽快走出误区较大限度地利用网站宣传、沟通、获取利润。
误区一:设计主题不明确。对于企业网站来说,必须具有明确的主题和目标群体。要清楚网站是面对客户、供应商、消费者还是全部,主要目的是为了介绍企业、宣传产品还是为了实现电子商务。许多企业对此没有明确的主题,只是把公司产品、业务简介、公司促销活动等信息贴在公司网站上。这样的做法充其量只是多个电子公告板而已,根本没有发挥网络的互动功能。其实,网站架设应由网络营销角度出发。换句话说,是否可以透过网络在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。因此,传统产业要的网站,应该由营销主管角度优先思索。第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
误区二:色彩运用不和谐。色彩是艺术表现的要素之一,它是光刺激眼睛再传导到大脑中枢而产生的一种感觉。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合、搭配来构成美丽的页面。国内网站在设计中并不注重色彩方面的和谐表达,网页颜色数量过多、互不相干的两种色彩放在一起、搭配不协调,缺乏统一的风格。在色彩的运用过程中,还应注意的一个问题是:由于国家和种族的不同,宗教和信仰的不同,生活的地理位置、文化修养的差异,不同的人群对色彩的喜恶程度有着很大差异。所以在企业网站设计中要考虑主要读者群的背景和构成而不能盲目运用色彩。
误区三:多媒体表现形式过多。网页中使用图片、动画、声音我们无可厚非,这也体现了网络交互性的一个方面,但问题是在网页中胡乱地加入一些互不相干的图片动画和声音,会扰乱浏览者的阅读视线,影响浏览者的心情,而最终导致离开!同时由于有些用户不一定安装相应的电脑软件,有些图像或其他文件可能无法正常显示,也就无法达到预期的效果。特别是企业在经营自己的在线商务,企业网站最重要的任务就是销售产品或服务,其他任何脱离这个基本原则的东西都是不合适的。所以企业的网页不需要太多图片和动画,因为要看漂亮的图片和动画,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
误区四:浏览器和显示器不兼容。虽然IE浏览器用户占据多数,但是,也不能因此忽视其他浏览器的用户。特别是有国外用户的企业,国外市场上其他类型的浏览器还有着比较大的市场份额。另外,并非每个用户都使用800*600小字体的显示模式,不要自以为是地为用户建议“显示模式”。所以在设计的时候一定要考虑到不同分辨率下的状况,争取都能做到好的效果。误区五:传输、更新速度过慢。页面下载速度是网站留住访问者的关键因素。如果不能让每个页面都保持较快的下载速度,至少应该确保主页速度尽可能快。而我们一部分企业网站的设计从速度上来看是失败的,耐心的等待半天才看到划着红叉的图片--图片链接下载失败,只能刷新,这又要等一段时间。测试一下企业网站的下载速度,尤其是如果网站首页图片比较多的话,当然注意清除电脑中浏览器的缓存。另外,影响网站速度的因素有很多,其中除了技术方面,就是主体图片,因此再次强调一定要保障图片使用的度!同样如果一个企业网站的资料一个月才更新一次,很多浏览者将对此失去兴趣,也会使企业失去更多可能的客户。当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得近期资讯。另外所谓活网站的“活”,也是指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等,当然不需样样功能都具备。必须针对网站的定位,选择适合的机制;同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心。
误区六:疏忽网站安全问题。很多企业网站具有了完善的导航功能,清晰的文字,漂亮的页面但却忽视了网站的安全问题。因为很多企业网站的目的是为了用于进行电子政务或电子商务,因此网站的安全就更加显得重要。为了设计和管理一个有效、的网站商业服务,必须事先制定一套的网站服务安全策略。安全策略将应用于所有网站服务系统、数据库、内容、电脑平台、软件以及网络,它们的作用是处理、交互或者提供对服务的访问途径。提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。
