时间:2022-11-28 20:21:20
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网站设计安全性,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合 ASP 动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2 用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。
3 SP安全漏洞和防范
3.1 程序设计与脚本信息泄漏隐患
bak 文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入 DLL之中;二是使用微软的Script Encoder对ASP页面进行加密。
3.3 程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的 URL 路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL 注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL 注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造 SQL 语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录: 假设登录页面有两个文本框,分别用来供用户输入帐号和 密码,利用执行SQL 语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入 'OR 0=0,即不管前面输入的用户帐号和密码是什么,OR后面的 0=0 总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入' GO DROP TABLE 用户表,后果是用户表被彻底删除。
C.参数传递: 假设我们有个网页链接地址是 HTTP://……asp?id=22, 然后 ASP在页面中利用 Request.QueryString['id']取得该 id值,构成某 SQL 语句, 这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22 and user=0 ,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql 语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一: 在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二: 在客户端利用 ASP 自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三: 为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四: 对于参数的情况,页面利用 QueryString 或者 Quest 取得参数后, 要对每个参数进行判断处理,发现异常字符, 要利用 replace 函数将异常字符过滤掉,然后再做下一步操作。
转贴于
第五:只给出一种错误提示信息,服务器都只提示HTTP 500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4 传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载 。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5 SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用Beyond Compare 2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。 Beyond Compare 2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳 田晓芳 李桂宝《ASP程序设计与 WEB信息安全》 中国教育信息化2007年21期.
[关键词] 商务网站 要素 功能
电子商务从出现以来,一直改变着人们的生活方式,通过网络渗透到每一个角落,从观念和行为上影响着社会的发展。信息时代,众多的工业企业、教育机构及政府机关都在建设自己的网站。电子商务的使用能帮助企业有效的降低成本,保持与顾客及时、直接的接触,增强企业的竞争力。随着越来越多的企业在构建电子商务网站,探讨影响网站成功的因素就显得尤其重要。本文从网站前台规划设计和功能两个方面探讨了商务网站成功的要素。
一、要有好的网站策略及规划来决定网上商务模式及目标网站,在结构上进行合理的构思
建站前应该明确,建站的目的是充分满足目标用户的需求,能为他们提供迫切需求的信息和资源,让他们能在网站中迅速找到他们遇到困难的解决方案,因此网站规划的第一步应该考虑:如何建立一个受用户欢迎的网站,所以在结构上必须合理构思。成功的商务网站总有以下几个特点:
1.版面设计和图形合理。一般来说,好的商务网站版面设计应该遵循有序性原则、平衡性原则、装饰性原则。版面设计和图形关系到对主页的第一印象。图片可以让网站更加具有吸引力。比如,在线销售产品的网站,需要用图片为用户提供具有视觉吸引力的内容。
2.颜色设置合理,网页有层次感。商务网站网页应该力求抓住而不是淹没浏览者的注意力,电子商务网站应该以产品展示为主,网站色彩的运用不能喧宾夺主。
3.导航清晰。设计网站必须要注意:导航要合理,设计应该融入整个网站设计中,最好能将企业的形象加入导航的设计,从而进一步加深浏览者对企业形象的认识。
二、功能方面决定电子商务网站成功的几个因素
在电子商务的范畴内,企业网站按其功能和特性可以划分三个阶段:售前、在线销售、售后。任何电子商务活动都适合这一分类。售前阶段包括企业通过广告、公关、新产品和服务以及其他活动吸引用户。顾客的购买活动出现在在线销售阶段,在这一阶段用户可以通过网络设施交付订单和支付费用。售后阶段包括顾客服务,解决顾客问题等活动。
通过对100个著名网站的网上的问卷调查和统计分析,得出影响网站成功的主要因素有以下四点:
1.信息和服务质量。信息质量应从几个方面来衡量:精度、时间、关联性、输出信息的灵活性、产品/服务说明的全面性、信息的价值,符合伦理道德、产品/服务信息的质量及对企业目标的支持程度。服务质量包括:快速响应、有保障、系统服务。
2.顾客对交易过程的控制程度、易用性、自信心,能够跟踪订单状况和提供安全保密功能。系统使用方式是用户满意的一个重要决定因素,顾客对电子商务的信任是使用该系统的一个重要前提。系统的易用性和使顾客感觉到他们能够控制该系统也是顾客选择网上购物的一个重要因素。此外,网站设计者还应该考虑允许用户在线跟踪其订单状况。
3.娱乐性。当对网站的访问量能给用户带来娱乐时,那么用户重复访问该网站的可能性将大大提高。顾客的满意不仅仅来自于购买产品和服务的外在回报,而且还来源于通过购物而得到的个人和感情的内在回报。网站的设计者应通过激励用户的参与,吸引用户的注意力等手段促使用户访问该网站以增加网上交易的机会。
4.系统设计质量。据欧洲电子协会的调查,79%被调查者认为网站设计的质量,尤其安全性是用户所主要关心的问题。然而,安全性仅是系统设计质量的一个方面,另一方面,可靠性也至关重要。在任何情况下,保证网站可靠,稳定的运行,确保数据的完整性,正确性和可恢复性无疑是网站设计的前提。
很明显,电子商务网站的成功主要和以上四个因素有关。当企业要建立电子商务网站时,要注意到这些因素的重要性。根据研究结果,可以得出以下几点建议:
1.企业和网站设计者应主动寻找通过网站改善信息和服务质量方式。为了提高质量的信息和服务,企业和网站设计者应在售前和售后阶段树立面向服务的观念。例如,网站可提供有关详细介绍其产品和服务链接的介绍;帮助用户下载或更新信息。
2.企业和网站设计者应注意顾客使用网站的方式。研究证明,系统的使用方式对网站的成功与否起着至关重要的作用。用户在整个交易过程中应有一定的控制权和主动权。
3.企业和网站设计者需在网站设计中激励用户参与和吸引用户注意力,使用户从访问网站中获得乐趣。网站的设计者应富有创造性以使用户通过网上购物获得心理的满足。
4.系统的设计质量,尤其安全性对网站的成功至关重要。没有安全的保证,用户将不可能使用电子商务。此外,系统的经济性、可扩展性以及先进性都是应该加以保证的环节。
参考文献:
[1]董 慧:电子商务网页设计与网站建设.武汉大学出版社,2004年4月
>> 基于Web的技术的网站设计 基于的博客网站设计研究 基于技术的网站群系统设计 基于的报社网站设计 基于平台的中小型电子商务网站的设计与研究 基于ASP的购物网站设计 基于的市级气象服务平台(网站)开发建设 基于平台的安全网站编程技术 基于的仓储系统 基于的精品课程网站的设计与研究 浅淡基于的网站CMS新闻管理模块的设计与实现 基于的船员远程自主学习培训网站的设计 基于的C语言课程学习网站的设计与实现 基于的精品课程网站的设计和实现 基于的《计算机应用基础》课程网站的设计 基于的交互式动态企业网站设计分析 基于页面模板与技术的信息网站设计与实现 基于的精品课程网站设计与开发① 基于的数字图书馆网站设计与实现 基于技术的网站开发架构设计 常见问题解答 当前所在位置:lEncode(txtuserpwd.Text),"md5");
验证码是一种防范Cookie数据自动保存而引起的凭据被截取技术,从自己服务器发起的表单进行验证便可解决这一漏洞,随机产生的验证码和文本框比较来实现,关于产生图片验证码的技术源码网络上的资源有很多,大家可以进行自由下载参考。
7数据库访问技术
1)作为网页与数据库访问的接口,提供强有力的对象支持,在实现过程中,我们可以基于以下两种策略来实现。一种策略是连接对象Connection(指定数据库信息)、命令对象Command(查询、添加、修改、删除)、数据读取对象DataReader(执行操作后的临时数据表,给应用程序提供执行操作后的结果);一种策略是连接对象Connection、数据适配器对象DataAdaper(负责数据的传输)、数据集对象DataSet(临时数据库,保存执行后的临时数据,供应用程序访问)。
2)从vs2005以后版本的.NET开发平台,增加了使用数据源直接操作数据库的功能,省去了连接的过程和临时数据操作。
3)数据批量导入,借助文件上传控件导入EXCEL文件,借助实现数据的导入,借助GridView控件进行数据的显示,最后使用For循环实现数据的添加。
①文件的导入:filepath = Server.MapPath("~\\MSadmin\\") + "excel.xls";FileUpload1.SaveAs(filepath);
GridView1.DataSource = CreateDataSource();
②借助实现数据的导入,即CreateDataSource()方法实现数据的连接,数据适配器的设置,生成的数据集对象作为函数的返回值,以绑定到GridView控件中。
③通过For循环将GridView中的数据进行读取并写入到数据库中。
4)数据批量导出,借助于Gridview将查询的结果先进行显示,然后将表格中的数据进行导出到EXCEL中,关键代码为:
Response.AppendHeader("Content-Disposition","attachment;filename=" + HttpUtility.UrlEncode("表名.xls",Encoding.UTF8).ToString());
8 结论
通过一个实际的网站案例,从网站布局设计到网站安全防范、网站技术实现,本文给出了一个概要框架,限于篇幅的原因,很多技术细节没有体现;当然,网站开发技术还有很多,本人也在学习过程中,论文所列观点与技术点仅供参考,不恰当之处还请阅读者多多指教。
参考文献:
[1]孙守强.“基于平台的安全网站编程技术”.电子技术与软件工程,2015.6.
1.1平台威胁
电子商务是一种有别于传统交易,依托网络平台来开展的新兴交易方式,信息传递过程中影响信息传播速度的因素很多,包括电磁辐射干扰和网络设备老化,情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外,一己私利造成的人为商务系统硬件破坏更为严重,他们有意更改信息内容,通过这种不法手段获取经济利益。
1.2安全环境恶化
发达国家经过多年的发展,技术水平远远领先于我国,尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足,核心技术还未取得突破性进展,不得不依靠进口采购。在无法独立自主生产的情况下,必须依靠国外引进,生产技术和维护技术受到极大的限制,极大影响了我国电子商务的健康发展。
1.3黑客入侵
一些不法分子面对电子商务交易的蓬勃发展,势必会产生不劳而获的贪婪心理,利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序,通过木马程序侵入本地计算机,使得计算机记录的登录信息遭到篡改或泄露,导致重要文件及资金丢失。网络病毒不可控性很强,其自身繁殖功能十分强大,严重损坏计算机文件,还会对计算机的硬件设施造成严重破坏,且网络技术的迅速发展,使计算机病毒的破坏力也随之增强。
1.4网上支付安全隐患
网上支付是电子商务的核心部分,确保支付安全才能保障电子商务的健康发展,因此,网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知,商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提,理由如下:首先,网络在实际运行中灵活性较强,当前的多种技术手段无法完全应对网络安全威胁,仍存在较大的问题。其次,虽然各家银行先后建立了CA认证中心,但这些CA认证中心的权威性不足,无法成为全国性的认证标准,造成重复认证和资源浪费。最后,新《合同法》虽然纳入电子合同的法律效用条款,但数字签名仍存在技术问题,这导致问题出现后的一些复杂法律关系难以解决,如责任认定、责任承担、有效执行仲裁结果等。
2常见信息安全漏洞防御
2.1结构性查询语言注入
这是一种用于存取信息数据的数据库系统,其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为SQL,从本质上来说是一种程序设计的、高级的非过程化编程语言,其作用是作为客户端与数据库服务器相互沟通的桥梁。因此,SQL是网站设计中安全防御的重点包括以下内容。
2.1.1经典的‘or1=1’注入
作为计算机最经典的结构性查询语言,该注入方式一般不需要用户名进行验证,密码方面也没有多层输入的要求,故身份登录并不会受到用户名的限制。因此,该注入方式在编写验证程序时,通过程序设计使得用户名输入时无需验证,避开非预期字符串的限制,然后将信息直接传递给mysql-query()函数执行。这种注入方式跳过了验证环节,验证码正确与否都不干涉用户名登录。因此,从信息安全防御角度出发,登录确认工作是网站设计的重中之重,注意严密防范非法用户登录。
2.1.2利用union语句的注入
Union语句注入的作用机理是,网站设计中注入union会使网站程序默认的语句出错,网站运行速度受限,或者网页直接打不开,严重时还会引起网站崩溃。结构性查询语言从理论上来说注入方式较多,从根源上防御各种注入方式才是关键。作为计算机工作者,日常网络维护要认真严谨,细心对查询语句的参数进行过滤,遇到可疑情况及时排查。
2.2跨站脚本攻击的防范
跨站脚本攻击,英文全称为CrossSiteScripting。该脚本通过将恶意代码植入到用户的网站页面,让用户登录与实际网站完全不同的虚假网站。该脚本主要是将JavaScript脚本注入到HTML标签中进行攻击,是一种频繁引发网站设计安全威胁的重要因素。
2.2.1跨站脚本攻击的探测
跨站脚本攻击是可以及时检测到的,有助于尽早发现网站设计过程中的问题,语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方,如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例,在网站评论页面的输入框中写入相关代码,完成后进行刷新,若发现浏览器的弹出窗口没有得到禁止,基本可以判断该网站设计的评论模块有跨站脚本攻击过。
2.2.2重新定向
一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞,那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页,实现刷目标网站流量的目的。举一个简单的例子,用户A发了一个容易构造的URL给用户B,当用户B打开后,恶意脚本开始攻击用户B的电脑,可以执行前一个用户A权限下的所有命令。
2.2.3攻击弹出其他网页
大部分网民浏览网页时都碰到过广告弹窗的情况,这是电脑黑客通过跨站脚本攻击的方式,实现攻击计算机用户正在浏览网页的目的,从而让用户浏览其他网页。针对跨站脚本这种攻击方式,通常采用特征匹配来进行针对性防御,同时加强认证工作,最大限度避免跨站脚本攻击的发生。
3结语
摘要:软件定义网络作为一种新型网络架构,将网络设备的控制平面和数据平面分离,受到了各界的关注与支持。介绍了SDN的产生
>> 基于SDN的物联网安全架构研究 基于B/S架构的城市电网安全性评价系统研究 云计算下网站群架构安全性的分析与实践 谈云计算的网站群架构和安全性设计与实践 B/S架构软件的安全性测试分析 探讨安全性规范在室内设计中的应用与研究 中药安全性的影响因素与对策探讨 密码存储与传输的安全性探讨 中药安全性评价与监护方法的探讨 “两体一导”架构下的生物多样性与安全性课程群建设 建筑结构设计的特点及设计原则与安全性研究 隐写术的应用及安全性研究 土建结构工程的安全性及措施研究 基于快递包装的安全性分析及研究 Session安全性研究及应用 安全可控的SDN技术研究 基于ASP网站的安全性研究与实现 ASP网站的安全性研究与实现 网站设计中的安全性研究与实现 WLAN技术与安全性研究 常见问题解答 当前所在位置:.
[3] Myung-Ki Shin, Ki-Hyuk Nam, Hyoung-Jun Kim. Software-Defined Networking(SDN):A Reference Architecture and Open APIs. ICT Convergence[C]. Korea, 2012:360-361.
[4] Open Networking Foundation. Software-Defined networking: The new norm for networks[EB/OL]. ONF White Paper, 2012..
[6] 王茜,赵慧玲,王岩,解云鹏. SDN在通信网络中的应用方案探讨[J].电信网技术,2013(3):26-27.
[7] Hartman S, Wasserman M, Zhang D. Security Requirements in the Software Defined Networking Model[EB/OL]. IETF Draft , 2013, http:///html/draft-hartman-sdnsec-requirements-00
[8] Open DayLight[EB/OL]. 2014, http://.
关键词:电子商务;电子商务网站;商业活动;制作流程
中图分类号:TP303
文献标识码:A 文章编号:1672-7800(2014)003-0033-03
0 引言
电子商务是指全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,买卖双方基于浏览器/服务器的应用方式进行各种商贸活动,从而实现商务活动、交易活动、金融活动和相关综合服务活动的一种新型的商业运营模式[1]。随着网络技术、通信技术和信息技术的迅猛发展,基于互联网的电子商务活动越来越深入人们的生活中,虚拟企业、虚拟银行、网络营销、网络支付、网络广告等新词汇为人们所熟知[2]。人们可以通过浏览网络商城购买各种所需用品,利用网络进行贷款结算服务,政府通过网络可以进行电子招标、政府采购等。
电子商务网站是指企业、机构或公司在Internet上建立的站点,其目的是为了宣传企业形象、产品信息、进行商务交易、提供商业服务等。电子商务网站作为电子商务系统运行的主要承担者和体现者,是网上的“虚拟公司”或“虚拟工厂”。电子商务网站的设计、规划与管理是电子商务实施运作过程中持续不断的基础工作,网站质量直接影响着电子商务交易的进行。
1 电子商务网站基本构架
电子商务网站一般由一系列网页和具有商业功能的软件系统和后台数据库等组成,前台网页由主网页、公司介绍、产品或服务页面、新闻页面、广告宣传页面、访问者反馈页面等众多网页构成,可以接受客户的浏览、登记和注册,后台数据库可记录客户的有关资料[3]。
图1为典型的电子商务网站组成,因为电子商务网站对系统安全、运行速度、运行效率等要求颇高,因此需要提供多种接入方式,以满足访问者的要求。软件系统信息平台、信用平台、结算平台等各模块的分配满足了商品展示、购物、支付、安全防护等功能,通过前后台系统的链接实现,消费者能够及时获得企业所需展示的信息,企业也能够及时接受消费者的反馈信息,从而对该网站进行实时改进。数据库服务器是电子商务的基石,合理的数据库操作权限可以满足一定的数据安全要求。
目前,电子商务分为企业与消费者之间(B2C)、企业之间(B2B)、消费者之间(C2C)、企业与政府之间(B2G)等。其中,B2C模式是我国最早产生的电子商务模式,即企业通过电子互联网为消费者提供一个新型的购物环境——网上商店。图2为天猫TMALL主页,它整合数千家品牌商、生产商,为商家和消费者之间提供一站式解决方案。这种形式的电子商务网站,商家不需要构建自己的网络基础设施,只要在网络多媒体平台上租用“虚拟空间”,就能拥有自己的网站运行平台。因此,在构建电子商务网站时,只需要考虑网站软件结构和网页设计,以及数据库系统的选择和开发。
2 电子商务网站设计原则
电子商务网站既要处理企业与企业之间、企业与消费者之间大量复杂而繁琐的数据,又要保证数据和信息传输的安全性,与普通网站相比,对数据的处理和传输有较高要求。其建设不但涉及到计算机技术、数据库技术、网络技术,还涉及到通信技术和多媒体技术,同时也涵盖了市场、营销、管理、商务策划等各方面的内容[4]。如果电子商务网站设计得成功,将非常有利于企业自身的宣传和市场经营。因此,为了保证电子商务网站的成功,需要使系统满足以下原则:
(1)定位准确。电子商务网站站点的设计是企业、公司和机构发展战略的重要组成部分。要将企业站点作为因特网这个新媒体上展示企业形象、企业文化的信息空间,首先要明确站点设计的目的和用户需求,挑选与锤炼企业的关键信息,了解所设计网站的受众群体,并对他们的基本情况有所了解,如受教育程度、收入情况、整体消费趋向等,这样才能做到有的放矢[5]。利用一个逻辑结构将其有序地组织起来,开发一个网页设计原型,并逐步精炼该原型,形成创意。
(2)系统安全可靠。电子商务网站可以使得企业与客户之间、企业与企业之间完成相关交易。但是随着网络技术的不断发展,网站的开放性决定了其可能会遭到一些别有用心的黑客的窃取,导致业务中断,也有可能会受到一些网络病毒如特洛伊木马程序等的攻击从而对网站造成损害,因此,网站的安全防护问题越来越重要。另外,网站自身要能保证系统在任何情况下都能保证数据的完整性、正确性、经济性、可扩展性和可恢复性。因此,在网站设计之初要采取一定的措施,保证其安全可靠性。
(3)网页版面设计合理。一个美观、实用的网页直接影响网站的质量和效果,因此,网页设计要讲究编排和布局。这要求设计者要突出主题、统一规划、统一风格,通过文字、图形、动画和视频等的组合,根据设计的内容制作出和谐优美的网页版面,使得用户在愉悦的视觉感受中进入网络商务世界,并能在较短的时间内获得尽可能多的商务信息。另外,网页的导航设计、交互设计都要一目了然,并且容易操作。
3 电子商务网站制作流程
电子商务网站的建立和其它网站的建立过程基本相同,一般来讲,电子商务网站的设计主要包括网站规划、域名注册、网站设计与开发、网站测试推广及维护。
3.1 网站规划与分析
在网站设计初期明确网站构建的目的与意义,分析能够开展的业务。电子商务分为开展B2B交易、开展B2C交易、开展拍卖业务、开展企业形象创建、作为服务性网站等。摸清网站的目标市场和目标客户,并确定网站设计的思想基础。
3.2 域名注册
域名是企业接入互联网的名称,它是每个网络用户IP地址的别名,是一个公司或企业的网络地址。每个接入Internet的用户都应有唯一与其对应的域名,以便别人能够访问,好的域名容易记忆并和网站内容密切联系,如Microsoft公司的域名、百度的域名。通过登录中国互联网络信息中心网站(.cn)就能够了解注册、变更、注销域名的方法,目前很多网站也受理“域名”注册服务。
3.3 网站设计与开发
网站设计与开发主要分为主页设计、功能设计和数据库设计。在制作主页前要考虑到网站的风格和主要实现功能,从内容上将网站分为几个栏目板块,根据企业特点进行设计制作,注意颜色字体的协调搭配,使得设计出的网页简洁明快、吸引人。功能模块主要包括基础设计模块、商品管理模块、订单管理模块、活动管理模块、内容管理模块等,基础设计模块能够让管理员登陆后台系统,对网站进行修改与维护。商品管理、订单管理、内容管理模块和应用管理模块用于实现商家与消费者的交互,如商品、订单支付、评价管理等[6]。
电子商务是以数据库技术和网络技术为支撑,其中数据库技术是核心。一个商务站点后台必须有强大的数据库支撑,数据库要能够科学地组织和存储数据,并有效地获取和维护数据,当前比较流行的数据库有SQL Server、Oracle、MySQL、Access等[2]。数据库设计讲究命名规范、数据的一致性和完整性、索引的唯一性等,图3为商务数据库设计总体结构。
3.4 网站测试与
网站测试是网站制作好后检查网页的必要手段之一,在网站制作完成后通过在多个浏览器内测试结果与设计方案是否吻合,验证链接并评估文件的下载速度,以便及时发现问题并对不满意的地方进行修改。测试修改后的网站到Internet服务器上,如果公司有足够的经济实力和技术实力,可以选择购买自己的服务器,但是对其维护需要耗费大量的时间和金钱。这样时只需要直接把做好的网页包括CGI、ASP、JSP或者PHP程序发到WWW路径下,也可以选择虚拟主机服务,这样不需要自己维护,还可以获得服务商提供的额外服务。在时ISP会提供一个地址和账号、密码,使用FTP软件将网页上传即完成网站的。
3.5 网站推广与维护
电子商务网站后,其推广工作是面向市场的关键一步,通过各种有效的手段如搜索引擎、购买广告位置、广告交换、友情链接、BBS、微博、传统媒体等方式提高网站知名度和网站访问量,从而达到宣传商品的目的。
为了保持站点的吸引力和长久的生命力,使网站逐渐壮大且访问量增多,就要对其进行及时维护,及时添加新的内容,同时通过用户的反馈和建议及时改进网站,经常检查网站的运行情况,并修正网站错误。
4 结语
电子商务是未来商务交易的主要方式,电子商务网站则是交易进行的承担者,是企业开展电子商务活动的基础设施和信息平台,人们通过网站获得所需要的信息并进行网上交易活动,网站设计质量直接影响着商务活动的进行。明确网站设计的基本原则后,对网站进行详细规划与分析,以及合理设计与开发,并对网站进行调试与,定时监测网站,保证服务器的正常工作和网络数据的及时更新,从而推进电子商务活动的正常运行。
参考文献:
[1] 司占军,顾翀.数字出版[M].北京:中国轻工业出版社,2013.
[2] 韩茜.专业文学网站研究[D].石家庄:河北大学,2011.
[3] 于樊鹏,王艳平,沈宏,等.电子商务基础教程[M].北京:清华大学出版社,2009.
[4] 吕春生,张俊峰.电子商务网站的设计与推广[J].农业网络信息,2006(2).
关键词:数据库原理;前台开发;课程网站;在线交流
一、引言
目前,各大高校纷纷建设不同类型的课程网站,这些网站提供资源下载,在线浏览学习,通过邮件形式与课程专业老师交流等,它实现数据库原理知识的共享,给学者提供了一个良好的学习与交流平台,学者可能通过网络在该课程网站上找到自己想要的相关资料,以充实学者对该课程的知识水平。鉴于现今信息技术的发展,数据的管理越来越受到人们的关注,数据库管理技术的重要性更为突出,学习数据库管理的爱好者越来越多,所以建设数据库原理课程网站以方便人们的学习有着很大的必要性,因此加大力度开发好一个更完善的数据库原理课程网站,是现今必要的前提。
二、网站分析与设计
(一)网站设计
网站系统采用AJAX+jquery+技术实现系统的的功能,采用DIV+CSS结合JavaScript与jQuery脚本语言实现网站页面布局及特效,数据库选用了Microsoft SQL Server 2005 的数据库。
系统将采用NET的三层结构来实现,便于系统的再次开发以及维护,同时采用NET的参数化执行SQL语句,防止SQL注入,增强网站的安全性。
(二)数据库设计
1.数据库概述
数据库可以实现数据的收集、整理、存储、检索、更新、统计、删除等操作,因此它在课程网站占重要地位。
根据系统的需求,系统涉及到管理员权限、后台菜单、日志记录、管理员、教材、教师信息、教程资源、教学队伍、留言、课程规划等几个实体,管理员权限有角色、权限规则等过程属性,菜单有菜单名、链接、分类等属性,日志记录有登陆时间、登陆账号等属性,管理员有账号、密码、实名、等属性,教材有标题、章节、内容等属性、教师信息有姓名、年龄、职称、学历、联系方式、研究方向等属性,教程资源有名称、类型、大小等属性,教学队伍和课程规划作为可扩展模块具有相同的标题、内容等属性、留言有留言人姓名、班级、主题、内容等属性。
数据库类型:Microsoft SQL Server 2005
数据库名称:sqldata
登录用户:sa
登录密码:sa
2.定义规则说明
(1)数据表命名规定:数据库名简称Sql+ “_”+描述该表的英文单词或词组组合命名,单词首字母大写。
(2)数据表中的字段命名规定:以单个英文单词或多个单词组合命名,每个单词的第一个字符为大写。
3.数据字典
留言管理E-R图,存放用户留言,一条留言信息可以对应多条回复信息,所以留言与回复为1对多的关系。
三、 网站设计与实现
(一)软件配置
1.服务器端
(1)IIS 6.0 ,具有可靠性、高伸缩性和容错进程架构的Web服务器,安全性高、 易于管理。采用身份验证与授权功能,提供安全性高的信息系统,采用服务器合并降低企业与人工、硬件以及站点管理相关的成本。
(2)Microsoft SQL Server 2005,一套全新的管理工具包,在构建系统、排错及操作应用系统时更快、更有效。在数据整合、分析和报表领域功能全面的智能商务平台,在采取行动和制定更好决策时具备更敏锐的洞察能力。系统有数据加密、默认安全设置以及强制口令策略功能,能够以最高的性能、最高的可用性和最高的安全性运行任何苛刻的应用系统。
2.客户端
(1)操作系统为Windows XP或更高版本。
(2)浏览器采用遨游2,火狐,IE6.0以上版本或其他基于IE与mozilla为核心的浏览器。
3.开发环境
(1)页面开发环境:Adobe Photoshop CS3,用于页面设计;Adobe Fireworks CS3,用于页面切图;Macromedia Dreamweaver 8,用于页面布局。
(2)后台开发环境:Microsoft Visual Studio 2008开发平台、SQL Server 2005数据库,IIS 7.0。
(3)布局设计:DIV+CSS。
(4)脚本语言:Javascript、jquery。
(5)插件选择:jquery。
(二)系统功能设计
1.系统总体规划
主页面提供各子页面的入口,方便用户操作。前台设计模块结构如图2所示:
2.功能模块结构
(1)课程描述模块:介绍该课程所能掌握的知识,对适应当前教学发展趋势的可行性进行剖析,通过引用国外相关方面书籍或应用领域说明该课程的重要性。
(2)教材展示模块:展示所有相关课程的精品教材,给读者选择合适的教材提供更好的途径,为教师选择教学材料提供了良好的平台。
>> 360度生命大挑战 招聘网站中的“360” 便携式无线视频监控系统在长输管道安防上的应用 只身海外,在网上安个家 FLASH在网站中的应用分析 FTP在网站管理中的应用 360° ?/360 DFW在网络安防规划中的应用 1天!我在网上安个家 360挑战小米由“撞机”引发的“小3之争” 360不惧挑战周鸿祎回应质疑 腾讯设10亿安全基金 挑战奇虎360 Flas设计在网站中的应用 Struts技术在网站开发中的应用 Web日志挖掘在网站优化中的应用 Ajax技术在网站设计中的应用 SEO在网站设计中的优化策略分析 ASP技术在网站建设中的应用分析 Photoshop在网站建设中的应用 常见问题解答 当前所在位置:中国 > 管理 > 在网站安防上挑战360 在网站安防上挑战360 杂志之家、写作服务和杂志订阅支持对公帐户付款!安全又可靠! document.write("作者: 本刊编辑部")
申明:本网站内容仅用于学术交流,如有侵犯您的权益,请及时告知我们,本站将立即删除有关内容。 马杰认为,网站安防领域的商业模式自从第一个病毒出现以来,没有本质变化。 黑马精选
电脑有杀毒软件保护,那怎样维护网站的安全呢?通常,网站会采用专业软件或硬件(如防火墙),再配备技术团队来综合维护,但这样的防护组合投入巨大,非初创企业能够承受。那么,在互联网时代,有没有新的方式能解决网站的安全问题呢?
安全宝就是一款基于互联网思维打造的网站安全产品,它在云端给网站提供保护,在威胁到达用户之前就过滤掉,同时具有访问加速等优化功能。创始人马杰如此比喻自己的模式:“互联网的数据流就像水流,喝之前要先净化杀毒,安全宝做了一个净水厂,统一专业净化,既降低采购成本,还免维护。”
2011年,马杰创办了安全宝。那一年,杀毒软件们在PC桌面上的硝烟逐渐散尽。在这之前的十年,马杰一直在瑞星工作,曾任研发部副总。他经历了瑞星打破江民的垄断,也见证了360如何以一种新的模式抢夺瑞星的地盘,最终颠覆了整个杀毒行业。面对变局,马杰觉得自己必须走在浪潮前面。
事实上,马杰在瑞星时就有了用互联网的方式来改造网站安防的思路,但没有受到重视。决定创业时,他的想法获得李开复的支持,并拿到创新工场数百万美元的投资。
安全宝让网站减少了投入,但自己却要在基础设施的搭建上大量烧钱:购置服务器搭建“云”、提高带宽、在各地设置防护节点,保证各个地区的网站都能实时获得全面保护。另外一项隐形投入,就是招“最靠谱”的工程师不断试错。
投入这么多,该怎么赚钱?谈到这个问题,马杰还是有些苦恼。安全宝在几个月前推出了收费版本,但在十几万网站用户中,多数仍为免费用户。安全宝不能像多数互联网产品那样—产品免费的背后是在经营流量,因为企业级产品要更谨慎地处理隐私和安全性问题。
马杰现在的想法是依靠用户规模增长来摊薄成本,做长效生意。他认为现在互联网正与生活的方方面面加速融合,这势必需要更好的安全保障,“一些人找到商业模式赚了钱,就有保安存在的必要了”。
行业还是蓝海,安全宝的对手主要是360网站卫士。马杰表示,进入门槛在于对安全的积累和资金的支持。安全宝正利用团队多年的数据建立分析模型,将来应对攻击时,试图能由防御转变为预防,这是对安防模式的又一次改变。行业的门槛还在于企业级产品的特殊情况,安全宝面对的可能是CEO或者CTO,他们不会不求甚解。如何解决用户群技术范畴太宽泛与产品功能取舍之间的冲突,这需要经验。
关键词:便利性 网站设计 感知风险 再回访意向
引言
营销过程中,维系顾客从而获得竞争优势,一直是研究者和实践者关心的问题。传统的方法中,提高产品、服务的质量或感知质量,给予更多的让渡价值,一直是不变的法则。在这个导向的指引下,学术界更多着眼于实现这些目标的手段。例如被广泛认可的是通过硬性提升自己产品或服务的质量(Taylor and Barker,1994),或通过独特的包装(Underwood and Klein,2002)、广告的暗示(Peterson,Wilson and Brown,1992)等方法塑造顾客对产品质量的感知。另一种途径是给予消费者更多让渡价值。然而如果将这些手段应用在更加激烈的竞争环境之中,似乎解决问题的效果就会被对手的快速模仿行为大幅度削弱。
如今,随着网络技术的发展,网络购物模式快速兴起。在这个背景下,网络的支持使人们几乎能够获得全部的信息;低廉的成本和价格使无数的买家卖家出现在这个市场中;而其自身性质决定了它微弱的进入壁垒。这些不仅造成了网络购物模式的超高速发展,也使得它的竞争态势愈来愈趋于完全竞争。在这样的环境中,如何还能做到良好的顾客维系,就成为了值得探究的问题。
本文正是针对这个问题,基于顾客再回访意向的研究视角进行探讨,以帮助网络零售商店更好的解决顾客维系问题。
本文通过大量相关文献的回顾,找出了影响顾客再回访意向的三个主要因素及其包含的维度(见图1)。
顾客再回访意向的概念
这里的意向是针对再回访这个行为而言的,学者们将这样的意向称为行为意向。心理学科中很早就对“行为意向”做出过定义:个体会采取特定行为的主观可能性(Fishbein,Ajzen,1975)。这个可能性是主观的,仅取决于个人的感知。它既不是人们对特定事物的态度,也不是实际的行为显现。它只是一个主观的概率。本文所涉及的“再回访意向”就是指顾客对自己有可能做出再回访这个行为的可能性的主观评估。
在这个主观的概率评估中,“再回访”这个行为被学者定义为顾客在第一次从个人终端访问网络零售商店之后,由同一个顾客所提出的一系列的后续访问请求(Supphellen,Nysveen,2001)。
总结以上的说法,本文将“顾客再回访意向”,定义为有过访问特定网络零售商店经历的顾客,对自己有可能再次访问它的可能性的主观评估。
顾客再回访意向的影响因素
(一)便利性
“便利性”最早是用来形容一种商品的种类:那些价格低廉、为消费者熟知、并容易买到的商品(Copeland,1923)。后逐渐出现一个新内涵,就是对非金钱成本的节省(Kotler and Zaltman,1971)。到20世纪末,“便利性”逐渐发展形成一个双维度概念,即服务便利性(Berry,Seiders and Grewal,2002)和零售便利性(Seiders,Berry and Gresham,2000)。后者被定义为消费者在店铺购买环境下节约的时间成本和精力成本,使用进入、搜寻、获取商品及交易过程的方便程度这四个维度来衡量。
随着电子商务的发展,相关文献越来越多。有文献沿用“零售便利性”的维度,并延伸其构念,将“在线购物的便利性”定义为消费者对特定网络零售商店所能提供的时间和精力成本的节约程度的感知。同样使用四个原有维度,但开发了新的量表进行测量,四个维度的内部信度都达到了0.87以上(Beauchamp and Ponder,2010)。此处对“在线购物的便利性”这个概念的定义,仍沿用上述文献的研究成果。
现存文献中很少有明确探讨便利性以及顾客再回访意向之间关系的。但在论述它与顾客忠诚的文献中,有学者将再回访作为忠诚的一个维度,并提到顾客将会不断地再回访那些一直致力于为他们节省时间和精力,并且提供便利的购物体验的店铺(Sabine,Martin,Andreas,2009)。类似的,在网络背景下,也有学者认为便利性会影响顾客满意度并最终影响顾客再回访与否的决策(Szymanski and Hise,2000)。试想消费者在购买中付出时间和精力,却感受到不便利的阻碍并体验心理挫败,可预知他们将很难产生再回到此网站的意愿。
此外,利用科技接受模型(Technology Acceptance Model,TAM)来分析,也可说明在线购物的便利性对顾客再回访意向将会有正面影响。科技接受模型最初是在信息系统背景下运用理的理论,来说明人们为什么会接受一个新生信息系统的原因(Davis,1989)。这个模型主要提出了以下两个方面的原因:感知有用性、感知易用性(见图2)。
本文中便利性被定义为消费者对特定网络零售商店所提供的时间成本和精力成本的节约程度的感知。而TAM模型中的感知有用性的定义,是人们对特定信息系统所提供的工作绩效提升程度的感知(Davis,1989)。对比二者可以发现,如果将其定义做出延伸,将某网络零售商店比作在线信息系统,那么节约出来的时间成本和精力成本就是被提升的工作绩效。所以,人们将会认为提供更多便利性的网络零售商店是更有用的。由此消费者则将会产生想要再回访该网络零售商店的态度,并继而产生想要再回访该网络零售商店的行为意向。
(二)网站设计
这里指顾客对网站设计的主观评价。对网络零售商来说,它非常值得关注。因为买卖双方无法面对面沟通,在这样的条件下,它是卖家在整个市场中最为核心的,甚至是唯一的出入口,它的质量对建立和顾客之间的有效交流至关紧要(Palmer,Jonathan,David,1998)。
由于这个界面在电子商务背景下的巨大作用,所以从网络购物模式的兴起开始,就不断有学者研究顾客对零售商店的网站进行主观评估的机制,以及关注点在哪些方面。他们大多数都提到了可用性这个维度(e.g. Nielson,1993)。而之后的学者们则主要提到了美观程度(e.g. Sutcliffe,2006)、逻辑性(e.g. Liang,Lai,2002)、访问速度(e.g. Palmer,2002)等方面。后来则有学者总结前人的经验,指出顾客主要关注网站设计的以下几个方面:信息质量、浏览的难易程度、信息完整度、与顾客的互动程度、网站的技术含量、隐私及安全,并且开发出成熟量表以进行测量(Zhilin Yang,2004)。
通过文献回顾,可发现网站设计是能够导致顾客产生再回访意向的一个重要因素。例如有研究声称高质量网站设计会最终导致不断的重复访问网站(Gefen,2002),根据理理论的说法,行为意向是实际行为的必要条件(Ajzen,1980),所以可说网站设计会影响顾客再回访网站的行为意向。有学者的研究也说明,卖家们在网站的内容安排、更新等方面的质量和效率是造成顾客再回访此网站的一个最主要的原因(Rosen,Elizabeth,2004)。所以说,零售商对自己网站的大力投资是值得的,因为顾客的再回访意向会大大提高,由此而带来更多的长期收益(Kim et al.,2004)。
同时,本文认为前面提到的科技接受模型同样可以解释网站设计的质量是如何影响消费者产生再回访意向的。科技接受模型中,易用性这个变量的定义是:人们相信使用某个特定信息系统,能够为他免去多大程度的精力消耗(Davis,1989)。而网站设计的六个维度都是旨在让用户在使用过程中更加轻松快捷,避免用户付出过多的时间或精力。所以,可以说一个被顾客感知到设计质量很高的网站,是会同时被认为具有高易用性的。这样的易用性不仅会使顾客产生对整个网站系统有用性的感知(即前文提及的便利性),也会倾向于一直使用该网站的态度,并由此产生再回访该网站的行为意向。
(三)感知风险
人们至今没有预知未来的能力,所以任何决策都会导致结果的不确定性,并必须承担错误决策所带来的后果。这是一种风险,一般而言是指人们所感知的受到损失或者伤害的可能性(Rousseau et al.,1998)。据此,本文将“感知风险”定义为人们对使用某个网络零售商店进行购物时可能带来的不安全性,以及实际产生不安全后果之后将会造成的严重程度的主观评估。对于其维度,有过很多不同的说法。总结文献中主要提到过的,主要有:财务的、产品性能的、物理的、社会的、便利性的、心理的(Jacoby and Kaplan,1972;Peter and Tarpey,1975)。还有时间的(Roselius,1971)、隐私方面的(Elliot,1995)。本文使用相关文献结论,将感知财务风险、感知产品性能风险、感知隐私信息泄露风险作为感知风险的三个维度(Forsythe,et al.,2006)。
网购过程中,地理上的分离和交易对象虚拟化 (Olson and Olson,2000),及收付款的不同时性(Ray,2001),使它在电子商务背景下,更加重要并更具决定作用。相关文献称,更低的感知风险以及较高的信任程度,对于顾客维系是非常关键的因素(Reichheld,Achefter,2000)。另有针对顾客是否使用特定网上银行的类似研究,也发现所有变量中,感知风险占据了绝对的重要地位(Tan,Teo,2000)。
另外,本文认为还可使用心理学中的应激资源守恒理论(conservation of resource theory,COR)来解释感知风险与再回访意向之间的关系。COR是指个体拥有一些自认为有价值的资源,并总是竭力去获取新资源,同时试图保护和维持已拥有资源。当感知即将失去这些资源,或已经失去时,则产生强烈心理应激,并通过三种途径弥补资源的损失:寻找匹配与替代的资源、转移注意力、重新评估资源价值(Hobfoll,1989)。当人们有意向使用某网络零售商店购物时,会对自己持有的资源做出评估。安全性是重要的一项。所以感知风险其实就是对自己即将失去“安全性”这一应激资源的感知。这符合COR理论中产生应激的前提。可以预知,人们在具有高度感知风险时,会产生心理应激,并通过上述三种方法来弥补损失,减轻心理应激。然而,后两者无法根本消除应激。只有前者,即寻找新的网络零售商店而不再回访之前的那一个,才可能根本上消除原有应激。这时,顾客再回访意向将会极低。
结论及研究方向
本文通过对文献的回顾,基于建立高度再回访意向的方法提出顾客维系的三个关键因素。在理论上综合了过往的一些研究结论;在实践中为网络零售商店的顾客维系指引了方向。
综上所述,网络零售商店在进行顾客维系时,需要注意三点:一是给消费者提供方便快捷的网络购物体验;二是给消费者呈现一个界面友好、整洁有序、容易使用的网站;三是尽全力将消费者的感知风险控制在较低程度。由此,则可做到良好的顾客维系,从而获得非常可观的长期利益。
由于本文仅仅在理论上阐述了顾客再回访意向的三个前导变量,并没有加以实证分析,所以未来的发展方向,将是在现有各种不同的量表中找到与本文研究方向最匹配的,做成问卷并进行抽样调查,将本文的观点加以实证分析。实证分析预计的结果将会是便利性和网站设计对顾客再回访意向有显著的正相关作用,同时感知风险对顾客再回访有显著的负相关作用。实证分析之后还可以加入已经被广泛论证的变量来进行后随检验,以达到进一步验证本文论点的目的。另外,对于顾客再回访意向所会造成的一些有趣的结果,也是研究方向之一。
参考文献:
1.Taylor SA,Baker TL.An assessment of the relationship between service quality and customer satisfaction in the formation of consumers’ purchase intentions.[J].Retailing,1994,70(2):163-78.
2.Underwood,Robert L and Noreen M.Klein.Packaging as Brand Communication:Effects of Product Pictures on Consumer Responses to the Package and Brand[J].Marketing Theory and Practice,2002,10(4):58-68.
3.Fishbein,M.Ajzen,I.Belief,attitude,intention,and behavior:An introduction to theory and research.Reading,MA:Addison-Wesley.
4.Supphellen,M.H.Nysveen.Drivers of intention to revisit websites of wellknown companies.International[J].Market Research,2001,43(3):341-352.
5.Copeland,M.T.Relation of consumers’ buying habits to marketing methods[J].Harvard Business Review,1923,1(3):282-289.
6.Kotler,Philip and Gerald Zaltman.Social Marketing:An Approach to Planned Social Change[J].Marketing,1971,35(3):3-12
7.Berry,Kathleen Seiders and Dhruv Grewal.Understanding service convenience[J].Marketing,2002,66(July):1-17.
8.Seiders,Leonard L.Berry and Larry G Gresham.Attention,Retailers!How Convenient Is Your Convenience Strategy?[J].Sloan Management Review.2000,41(spring):79-89.
9.Beauchamp and Ponder.Perceptions of Retail Convenience for Instore and Online Shoppers[J].The Marketing Management Journal,2010,20(1):49-65.
10.Sabine Moeller,Martin Fassnacht,Andreas Ettinger.Retaining Customers With Shopping Convenience[J].Relationship marketing,2009,8(4):313-329.
11.Szymanski,D.M.and R.T.Hise.E-satisfaction:an Initial Examination[J].Retailing,2000,76(3): 309-322.
12.Davis,F.D.Perceived usefulness,perceived ease of use,and user acceptance of information technology[J].MIS Quarterly,1989,13(3):319-340.
13.Palmer,Jonathan W.and David A.Grif?th.An emerging model of web site design for marketing[J].Communications of the ACM,1998,41(March),44-51.
14.Nielson,J.Usability engineering.1993,New York:AP Professional.
15.Antonella De Angeli,Alistair Sutcli?e,and Jan Hartmann.Interaction,usability and aesthetics:what in?uences users’ preferences.In DIS’ 06:Proceedings of the 6th ACM conference on Designing Interactive systems,2006:271-280.
16.T.P.Liang,H.J.Lai.Effect of store design on consumer purchases:van empirical study of online bookstores[J].Information and Management.2002,39:431-444.
17.Palmer,J.Web Site Usability,Design,and Performance Metrics.[J].Information Systems Research 2002,13:151-167.
18.Yang,Z.,Cai,S.,Zhou,Z.,&Zhou,N.Development and validation of an instrument to measure user perceived service quality of information presenting web portals[J].Information and Management,2004,42(4):575-589.
19.Gefen,D.Customer loyalty in e-commerce[J].the AIS,2002,3:27-51.
20.Ajzen,I.&Fishbein,M.Understanding attitudes and predicting social behavior.Englewood Cliffs,1980,NJ:Prentice-Hall.
21.Rosen,Deborah E.and Elizabeth Purinton.Website Design:Viewing the Web as a Cognitive Landscape[J].Business Research,2004,57(7):787-94.
22.Kim,H.W.,Xu,Y.,&Koh,J.A comparison of online trust building factors between potential customers and repeat customers[J].the Association for Information Systems,2004,5(10):392-420.
23.Rousseau,D.M.,Sitkin,S.B.,Burt,R.S.,Camerer,C.Not so different after all:a cross-discipline view of trust[J].Academy of Management Review.1998,23(3):393-404.
24.Jacoby,J.and L.Kaplan.The Components of Perceived Risks.Paper presented at the 3rd Annual Conference of the Association for Consumer Research,1972,Champaign,IL.
25.Peter,J.P.and L.X.Tarpey.A Comparative Analysis of Three Consumer Decisions Strategies[J].Consumer Research,1975,2(1):29-37.
26.Roselius,Ted.Consumer Ranking of Risk Reduction Methods[J].Marketing,1971,35(January):56-61.
27.Elliot,S.The Direct Marketing Industry Takes a Look at the Perils of Interactive Technology[N].The New York Times,1995:8.
28.S.Forsythe,C.Liu,D.Shannon,L.C.Gardner.Development of a scale to measure the perceived benefits and risks of online shopping[J].Interactive Marketing.2006,20(2):55-75.
29.Olson,J.S.,and Olson,G.M.i2i Trust in e-commerce[J].Communications of the ACM.2000,43(12):41-44.
30.I.Ray and I.Ray.Fair exchange in e-commerce.In ACM SIGEcomm Exchange,2001.
31.Reichheld,F.F.,& Schefter,P.E-Loyalty:Your secret weapon on the Web[J].Harvard Business Review.2000,78(JulyAugust):105-113.
[关键词] 电子商务 网站规划内容 设计原则 功能模块
电子商务就是利用先进的电子技术进行商务活动的总称。它是通过网络、使用先进的信息处理工具,利用计算机这种载体,将买卖双方的商务信息、产品信息、销售信息、服务信息以及电子支付等活动,用相互认同的交易标准来实现。进行电子商务活动的平台是电子商务网站。电子商务网站在企业的电子商务体系中有着重要的作用,网站内容规划是否合理、设计的好坏、推广的成败,直接关系企业实施电子商务能否成功。
一、电子商务网站规划的内容
电子商务网站的规划是指从战略高度,对网站建设、运营进行的全盘谋略与策划。主要内容应该包括网站构建目标和开展的业务分析、网站目标客户分析、网站市场定位分析、技术与经济可行性分析、运行环境和技术及工具的选择等等,下面仅简单地论述前几个问题。
1.网站构建目标和开展的业务分析。目标是网站构建的出发点,企业能够在网上开展的业务是以自身的商务需求和产品特色及行业特点作为选择的标准。
2.网站目标客户分析。调查与分析目标客户,了解网站可能服务的对象和他们的需求,规划与设计符合目标客户群的商务网站,为他们提供所需的产品或服务,以及满足他们的兴趣与爱好,吸引他们对网站的注意力,使企业的网站不仅仅是停留在公司形象宣传、信息与简单的信息浏览的层面上,而是真正成为满足客户需求的商务网站。
3.网站市场定位分析。现代企业的运行,在生产和制造产品之前,往往都会对自己的产品在市场上处于何种位置、竞争对手的情况、市场份额以及消费者心理做出全面的了解和分析,然后再生产,这样才能做到与消费者紧密无间的配合,电子商务网站亦是如此。盲目地建立一个网站就在因特网上,只能徒增企业的成本而已,因此市场定位分析对电子商务网站的建设是必要而又行之有效的。
4.技术与经济及人员可行性分析。技术可行性分析主要是指构建与运行电子商务网站所必需的硬件、软件及相关技术对电子商务业务流程的支撑分析; 经济可行性分析主要是指构建与运行网站的投入与产出效益分析; 组织人员可行性分析主要是指保证网站构建与运行所需要的人力资源,组织设计和管理制度的分析。学会有效的管理,使网上交易的安全性得到提高。因此,一个好的电子商务网站管理系统应在这方面给予充分的重视。
二、电子商务网站的设计原则
经过对以上情况进行综合分析,制定出企业网站整体规划,确定网站的发展方向和符合本企业特点的服务项目后,接下来就可以进行网站的设计工作。
电子商务网站既要处理企业与企业之间、企业同消费者之间大量复杂而零散的数据和信息,又要保证数据和信息传输的安全性,因此与普通的Web网站相比在数据处理和传输方面要求更高,流程也更加复杂。因此,要使电子商务系统满足以下原则:
1.系统的安全性。在任何情况下,保证网站安全、稳定的运行,确保数据的完整性、正确性和可恢复性无疑是网站设计的前提。
2.系统的经济性。高性价比是一个好网站的重要指标。设计的时候,要注意系统的整体优化和可扩展性,避免重复建设。
3.系统的开放性。商务网站只是企业整个商务体系中的一部分,它可能是企业的第一个系统,但决不应该是最后的一个。因此,它必须设计成支持开放性、符合相关技术标准的系统,使其能与原有系统(如果有的话)协调工作,并与将来新建系统相互兼容。
4.系统的先进性。信息技术的发展日新月异, 我们在设计时,要尽量采用先进而成熟的技术和设备,保证系统高效、可靠安全地运行。与此同时,也要防止片面地追求“一步到位”的倾向。
5.系统的易用性。网站必须设计成易于使用,而不只是信息的简单堆砌。因此,要求网站要有良好的导航功能;当网站的网页数目比较多时,应该提供站内搜索引擎服务,便于客户可以方便,快捷地在站内查找所需的信息。其次,网页要有可读性,可以考虑把长篇的网页分成多幅,或者提供网页之内的书签链接。
三、电子商务网站的功能模块
1.网上电子商务系统。商务网站最主要的功能就是在网上开展电子营销。因此该系统是整个网站的核心模块,也是大多数电子商务网站中技术最成熟的模块。
2.用户认证管理系统。电子商务网站一个很重要的功能是对客户的管理。主要是通过对用户提交的注册信息的进行分析,对不同业务系统的用户登录进行统一认证。包括用户密码、身份及权限的认证等。
3.询价系统。电子商务网站中的询价系统应为用户提供灵活的商品价格查询和分析手段,用户可以自己定义复杂的查询条件,从不同的角度去搜寻自己需要的商品和价格。
4.商品检索引擎。商品检索引擎系统应支持多种方式的检索:既支持简单的关键词检索,也支持复杂的智能检索。并且支持同时对商品、分类等进行的高速查询服务。
5.网上调查系统。网上调查系统用于各种调查活动,可以插入在各种栏目中,商务网站中一般采用通用网上WEB调查系统。其主要作用是协助企业在网上开展调查,用来了解客户的消费心理,从而更好地改善服务。并且能通过调查结果,及时地掌握客户需求和市场走向。
6.广告管理与系统。可以实现按年、月、日、时对广告投放点击进行统计,并对网友进行区域分析,提供商家各种相关的数据。
参考文献:
关键词:ASP网站;安全;防范措施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)33-1342-03
Security Countermeasure on Website with ASP
HU Sai
(Hunan Biological and Electromechanical Polytechnic,Changsha 410127,China)
Abstract: Along with the computer technology and networking's development, ASP (Active Server Pages) takes one kind of typical server end homepage design technique, widely is applied in each kind of Internet application. But the dynamic net's security problem underlines day by day, the security problem receives the attention. This article has analyzed the ASP dynamic net existence safe hidden danger first, then in view of these safe hidden dangers, proposed the corresponding safekeeping of security plan, thus provides the safeguard for the website data security.
Key words: ASP website; security;countermeasure
随着互联网的迅速发展,为了能更好地更充分地使用好互联网这个世界上最大的交流平台,许多单位竞相建设了自己的网站。在Web 数据库访问的多种技术中,ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的技术,英文全称Active Server Pages,动态服务器网页。它是一个Web服务器端的运行环境。ASP本身包含了VBScript 和Javascript引擎,使得脚本可以直接嵌入HTML中。ASP的主要特性是能够把脚本、HTML、组件和强大的Web数据库访问功能结合在一起,形成一个能在服务器上运行的应用程序,并按用户的要求专门制作的HTML页面传送给客户端浏览器。但是,ASP虽然提供了强大的功能和较高的安全性能,不经意间,也有可能由于网站设计者和程序员的疏忽大意,或者由于网站管理员的水平和经验的不足,网站可能随时暴露出许多漏洞,给非法入侵者造成可乘之机,使网站处于风口浪尖,随时有可能受到来自网内网外的各种攻击,给网站带来麻烦,特别是一些与金融有关的网站,不仅拥有网站的企业遭受损失,甚至连累到客户也遭到严重的经济损失。所以说,ASP动态网站的安全问题是个值得网站设计者和管理者重视的问题。
1 存在的安全隐患
1.1 账号和密码的隐患
账号和密码是网站的第二道安全防线。入侵者一旦得到后台登录界面,他就要想法设法获得超级用户的账号和密码。由于网站管理员疏忽或技术水平不过关,账号和密码也有泄露的可能。账号和密码一旦被入侵者窃取,网站就完全被入侵者控制。
1.2 Access库文件的隐患
1.2.1 Access 数据库访问密码的隐患
账户和密码泄露的原因除了网站管理员保管不力外,很大程度与Access库文件有关。由于Access数据库的加密机制非常简单,即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在3.mdb 文件从地址“&H42”开始的区域内。由于异或操作的特点是经过2次异或就能恢复原值,因此,用这一密钥与3. mdb 文件从地址“&H42”开始区域内的加密串进行第2次异或操作,可以轻松地得到任何Access 数据库的密码。
1.2.2 Access 数据库被下载的隐患
在ASP + Access 网上应用系统中,如果有人通过各种方法获得或者猜到Access 数据库的存储路径和数据库名,则该数据库就可以被下载到本地。只要在浏览器地址栏中敲入“URL/ 目录名/ 文件名”,就可以把数据库轻松下载到本地。
1.3 不检测用户输入造成的隐患
有些ASP网站输入框不过滤HTML 和JavaScript 语句,利用这个安全漏洞,用户可以写入一些可执行的ASP代码,可造成其他用户的浏览器因死循环而死掉,甚至可以删除服务器上的一些重要文件。
1.4 绕过权限验证程序的隐患
在程序开发中,要经常编写ASP 代码设置权限验证,使不同类别的用户具有不同级别的操作权限。比如,对于程序中的留言系统, 普通用户可以留言和查看留言的回复,而管理员可以对留言进行更多的操作,如删除、回复、组合查询等。对于安全性不强的系统, 用户在知道相关页面目录的情况下,可以通过在浏览器中敲入相应的地址,绕过验证直接进入该页面,用户只需直接在浏览器端敲入“服务器主机名/相对路//liuyan.asp"就可以饶过权限验证。
1.5 ASP 源程序的隐患
由于ASP 程序采用的是非编译性语言,这大大降低了程序源代码的安全性。任何人只要进入站点,点击“查看”――“源文件”,就可以获得源代码,从而造成ASP 应用程序源代码的泄露。
1.6 木马的隐患
入侵者一般是通过ASP程序上传功能的漏洞进入后台上传ASP木马程序。当木马一旦上传上去就有可能取得网站的管理权限, 修改或删除文件、数据库, 篡改网站的主页。因此ASP木马的防范也尤为重要。
2 关于安全的防范措施
随着计算机技术和网络技术的不断发展,相关技术也得到了一定的完善,高校在进行信息化建设的过程中,要通过强化建设来实现师生之间的信息交流和共享,教师与学生利用互联网来进行办公和查询,提升了师生的交互性,也增强了教学效果。在本文中,阐述了当前高校计算机实验室的现状,分析了计算机实验室网站设计的需求,最后探讨了计算机实验室网站的设计与实现。
关键词:
计算机实验室网;站设计;系统实现
随着社会的发展,计算机实验室所面临的要求也越来越高,为了充分的满足需求,在利用现有实验室资源的基础上,进行网站设计与开发,加强信息、共享与管理,促进教学效果的提升。
1高校计算机实验室现状
1.1硬件建设成本高当前,高校在进行计算机实验室建设时,依据为各个院系自身制定的专业规划,由此一来,计算机实验室与专业环境相适应,然而各个专业所建设的计算机实验室操作系统和应用软件各不相同,导致计算机实验室的通用性比较差,与其他专业的共享难以实现[1]。各个院系的计算机实验室建设完成之后,会根据自身的需要采购硬件设施,这导致硬件设施的重复采购现象比较严重,这无疑增加了硬件设施采购成本。
1.2软件系统管理困难为了保证系统的正常运行,就需要通过专业人员来管理和维护计算机实验室。在管理的过程中,为了满足教学需要,管理人员会不断地更新应用软件。管理人员为了保证计算机系统的安全性,会在系统中安装还原软件以及硬盘保护卡,U盘的使用有着很大的限制性。学生在利用计算机实验室做实验时,产生的实验成果只能通过网络保存到不会丢失的地方,然而当数据过大时,会影响上传,造成实验数据丢失,影响实验进程的顺利开展,挫伤学生实验的积极性[2]。
1.3正版软件授权问题计算机实验室硬件系统建设完成之后,需要安装相应的教学设计软件、仿真软件,为了保证软件的性能以及实验的正常开展,需要购买正版软件,正版软件授权以及后续更新都需要花费比较多的成本,由于经费有限,会限制正版软件的购买。而如果使用盗版软件,安全漏洞比较多,法律风险也比较大,这都在很大程度上限制了计算机实验室的发展。
2基于计算机实验室网站设计与实现
2.1网站设计首先,设计功能和内容。计算机实验室网站主要包含四项功能:第一,网上展厅,所谓网上展厅,就是为学生提供一个展示平台,学生可以将自己的创新成果、优秀作业等通过网上展厅在网站中展示出来。第二,中心简介,主要是对实验室的相关情况进行介绍,包含设备、人员、成立时间等,在计算机基础实验室中,融合了专业基础课以及公共基础课的实验,承担了所有学生的计算机实验课程任务;第三,用户管理,用户管理就是指用户管理员,对系统中的所有用户展开有效的管理;第四,课程管理,在进行课程查询时,主要是查询课程安排时间,查询通过SQL来实现,在进行实验的安排时,以学期为时限,科学安排整个学期的计算机实验,这样一来,学生可以对实验时间有所了解。其次,设计网站结构。之所以要进行计算机实验室网站,主要的目的是管理用户信息、查询实验课程,最终实现提升实验水平。在进行实验安排时,必须要坚持实事求是,注重整体发展的同时,分步骤实现。具体说来,网站的结构为WEB三层结构,通过中间层应用服务器,实现具体逻辑。
2.2网站实现第一,前台的系统实现。在前台的系统中,包含主页以及实验室简介两个功能模块,在进行设计时,二者的设计思想、设计功能各不相同。用户浏览网站时,第一眼看见的便是网站的主页,因此,主页设计直接决定了用户对网站的印象,在进行网站主页设计时,要注重主页的美化,可以适当的运用图片、色调等。第二,后台的系统实现。后台的系统包含两个功能模块,一个是管理模块,一个是用户注册登录模块。在计算机实验室网站中,管理模块主要实现的为课程管理的功能,包含课程表录入编辑以及课程查询,普通用户登录之后,可以进行查询和修改自己的信息,管理员在登录网站之后,可以进行添加、删除、修改,编辑等,具备的权限比较多,管理员管理界面如图1所示。计算机实验室网站的主要使用用户为教师和学生,为了加强管理,管理员需要赋予教师和学生不同的权限。学生在浏览网站时,有些功能需要注册之后才能使用,在网站首页的登录框中,设有注册按钮和登录按钮,学生点击注册按钮,注册用户名和密码,注册完成之后,在登录框中将用户名和密码输入进去,登录到网站之后就可以进行相应的操作。
3结语
通过计算机实验室网站的设计与实现,有效的实现了计算机实验课程管理,通过此网站,教师和学生可以实现相互交流,提升了学生的学习效果,锻炼了学生的实践能力。
参考文献
[1]范玉仙,鲍小忠,黄志远.基于Telnet协议的计算机实验室网络管理工具的研究与实现[J].工业控制计算机,2010,(11):71-72.
