关于基于B_S的系统安全分析

甘肃科技纵横２００７年（第３６卷）第４期信息技术
摘要：随着时代的发展，各行业都转向企业信息化管理，网络企业管理软件便显示出其特点：高效，方便，快捷，并不受地点、时间限制。

但是在这些诱人的功能背后，却有着很多的漏洞等等，这些漏洞可能会给企业带来巨大的经济损失。

本文主要论述分析基于Ｂ／Ｓ结构的管理系统的安全。

主要论述：登陆安全，程序安全，Ｗｅｂ应用系统安全，ＡＳＰ页面安全等。

关键词：Ｂ／Ｓ结构系统安全ＡＳＰ
在信息化高速发展的时代，随着科学技术的发展，计算机科学日渐成熟，很多行业看到了商机，纷纷利用计算机进行企业的管理。

如今主要的网络化管理系统分两类，一是基于ＡＳＰ技术，一是Ｊ２ＥＥ技术的。

这里我们主要针对ＡＳＰ技术，是用Ｂ／Ｓ结构。

Ｂ／Ｓ模式称为浏览器／服务器模式，是Ｃ／Ｓ模式的发展。

它的数据及应用可通过不同平台、不同网络存取，与平台无关，伸缩性大。

它由表示层（ＢＲＯＷＳＥＲ）、功能层（ＷＥＢＳＥＲＶＥＲ）与数据库服务层（ＤＢＳＥＲＶ－ＥＲ）构成三层分布式结构。

Ｂ／Ｓ结构维护和升级方式简单，成本降低，选择更多。

但是Ｂ／Ｓ模式的安全性让人关注。

很多新手在架设网站时，虽然设置了用户登陆，但是并未设置其安全性，比如如果已知道网站后台页面地址，未注册用户可以直接跳过登陆页面进入等等。

其实防止起来很简单，现在建立一个模型。

软件环境：
操作系统：Ｗｉｎｄｏｗｓ２０００／ＷｉｎｄｏｗｓＸＰ
网络协议：ＴＣＰ／ＩＰ
Ｗｅｂ服务器：ＩＩＳ５．０
数据库：ＳＱＬＳｅｒｖｅｒ２０００
软件开发工具：ＤＲＥＡＭＷＡＶＥＲ８．０
浏览器：ＩｎｔｅｒｎｅｔＥｘｐｌｏｒｅ５．０及以上
硬件配置：
处理器：ＩｎｔｅｌＰｅｎｔｉｕｍＶ（３Ｇ）
内存：１Ｇ
硬盘空间：８０ＧＢ
光驱：４０Ｘ以上
显卡：ＩＮＴ２显示适配器
网络配置：宽带网络
开发语言需求：ＨＴＭＬ，ＪＡＶＡ
网站流程图（见图１）：
一、为解决未注册用户直接访问管理页面，我们可以采用Ｓｅｓｓｉｏｎ对象进行注册验证。

具体步骤为制作一个下面的注册页面。

设计要求注册成功后系统启动ｈｒｍｉｓ．ａｓｐ？ｐａｇｅ＝１页面。

假设，不采用Ｓｅｓｓｉｏｎ对象进行注册验证，则用户在浏览器中敲入＂ＵＲＬ／ｈｒｍｉｓ．ａｓｐ？ｐａｇｅ＝１＂即可绕过注册界面，直接进入系统。

在此，利用Ｓｅｓｓｉｏｎ对象进行注册验证：
＜％
＇读取使用者所输入的账号和密码
ＵｓｅｒＩＤ＝Ｒｅｑｕｅｓｔ（＂ＵｓｅｒＩＤ＂）
Ｐａｓｓｗｏｒｄ＝Ｒｅｑｕｅｓｔ（＂Ｐａｓｓｗｏｒｄ＂）
＇检查ＵｓｅｒＩＤ及Ｐａｓｓｗｏｒｄ是否正确
ＩｆＵｓｅｒＩＤ＜＞＂ｈｒｍｉｓ＂ＯｒＰａｓｓｗｏｒｄ＜＞＂ｐａｓｓｗｏｒｄ＂Ｔｈｅｎ
Ｒｅｓｐｏｎｓｅ．Ｗｒｉｔｅ＂账号错误！＂
Ｒｅｓｐｏｎｓｅ．Ｅｎｄ
ＥｎｄＩｆ
＇将Ｓｅｓｓｉｏｎ对象设置为通过验证状态
Ｓｅｓｓｉｏｎ（＂Ｐａｓｓｅｄ＂）＝Ｔｒｕｅ
％＞
进入应用程序后，首先进行验证：
＜％
＇如果未通过验证，返回Ｌｏｇｉｎ状态
ＩｆＮｏｔＳｅｓｓｉｏｎ（＂Ｐａｓｓｅｄ＂）Ｔｈｅｎ
Ｒｅｓｐｏｎｓｅ．Ｒｅｄｉｒｅｃｔ＂Ｌｏｇｉｎ．ａｓｐ＂
ＥｎｄＩｆ
％＞
二、程序设计中容易被忽视的安全性问题。

ＡＳＰ代码使用表单实现交互，而相应的内容会反映在浏览器的地址栏中，如果不采用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面。

例如在浏览器中敲入＂．．．ｐａｇｅ．ａｓｐ？ｘ＝１＂，即可不经过表单页面直接进入满足＂ｘ＝１＂条件的页面。

因此，在验证或注册页面中，必须采取特殊措施来避免此类问题的产生。

为有效地防止ＡＳＰ源代码泄露，可以对ＡＳＰ页面进行加密。

我们曾采用两种方法对ＡＳＰ页面进行加密。

一是使用组件技术将编程逻辑封装入ＤＬＬ之中；二是使用微软的ＳｃｒｉｐｔＥｎｃｏｄｅｒ对ＡＳＰ页面进行加密。

使用组件技术存在的主要问题是每段代码均需组件化，操作比较繁琐，工作量较大，而使用Ｅｎｃｏｄｅｒ对ＡＳＰ页面进行加密，操作简单、收效良好。

ＳｃｒｉｐｔＥｎｃｏｄｅｒ的运行程序是ＳＣＲＥＮＣ．ＥＸＥ，使用方法是：
ＳＣＲＥＮＣ［／ｓ］［／ｆ］［／ｘｌ］［／ｌｄｅｆＬａｎｇｕａｇｅ］［／ｅｄｅｆＥｘｔｅｎｓｉｏｎ］ｉｎｐｕｔｆｉｌｅｏｕｔｐｕｔｆｉｌｅ
其中：／ｓ是屏蔽屏幕输出；／ｆ指定输出文件是否覆盖同名输入文件；／ｘｌ指是否在．ａｓｐ文件的顶部添加＠Ｌａｎｇｕａｇｅ指令；／ｌｄｅ－ｆＬａｎｇｕａｇ指定缺省的脚本语言；／ｅｄｅｆＥｘｔｅｎｓｉｏｎ指定待加密文件的扩展名。

三、为了保证Ｗｅｂ应用系统的安全性，日志文件是至关重要的。

需要测试相关信息是否写进了日志文件、是否可追踪。

四、Ｗｅｂ应用系统是否有超时的限制，也就是说，用户登陆后在一定时间内（例如１５分钟）没有点击任何页面，是否需要重新登陆才能正常使用。

五、注意ＡＳＰ页面的安全性。

一是源代码安全性隐患。

由于ＡＳＰ程序采用非编译性语言，大大降低了程序源代码的安全性。

六、服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。

所以，还要测试没有经过授权，就不能在（下转１８４页）
关于基于Ｂ／Ｓ的系统安全分析
谢缙
（贵州大学电器工程学院，贵州贵阳５５０００３）
图１
２５
甘肃科技纵横２００７年（第３６卷）第４期!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
（上接２５页）服务器端放置和编辑脚本的问题。

安全性一直是网站最为关心的问题，如何提高自身网站安全性，其中安全性测试最重要，必须严格的按照标准一步一步测试。

文化教育
摘要：针对多媒体技术在教学中存在的一些误区，提出从教学方法、教学内容上如何来保证教学质量的一些观点，以便于灵活应用多媒体资源，更好地服务于教学。

关键词：多媒体教学多媒体课件教学质量
随着信息技术的高速发展及教学方式的多样化，多媒体教学作为一种新兴的教学方式进入了各类学校的课堂。

它是利用文字、实物、图像、声音等多种媒体向学生传递信息的一种教学手段。

与其他教学方式相比较，多媒体教学具有自己独特的优势：运用多媒体教学可以充分调动学生的主动性和积极性，培养学生的观察力、想象力和思维能力，以及提高教学效率，丰富学习内容，扩展学生的知识面等优点。

运用多媒体技术进行辅助教学已经成为学校教学的一种重要方式。

现在很多学校，都在大力推广普及多媒体教育：从硬件设施的建设，课件的开发，到相关人才的培养，再到各种学术活动的举办等各个方面都得到极大的发展，理论研究也是丰富多彩。

然而，在实际的多媒体教学过程当中，如果多媒体技术运用不当，就会走进一些新的误区，出现新的问题。

下面笔者就多媒体教学当中主要存在的一些误区谈一些自己的看法。

使用多媒体课件进行教学，教师需要根据自己所讲述的内容及重点制作课件。

由于要查找各类的课件素材，所以制作课件需要花费教师较多的时间和精力，备一节课往往要比普通课多花几倍的时间，很多教师熟练了传统的教学方式，使用多媒体课件教学反而觉得不适应。

也有一部分教师由于计算机操作不够熟练，在教学时往往由于误操作而影响教学。

所以有教师认为：多媒体教学方式虽然好，但是由于制作起来比较麻烦，而且需要较多的投入。

因此只适合于进行公开教学或课件制作评比等装点门面的课堂教学，而在日常的教学当中，仍然使用传统的教学方法。

笔者认为：多媒体教学应该贯穿于整个学期的教学当中，来弥补传统教学方式的不足，同时还可以提高教师的课件制作及多媒体应用水平。

多媒体技术作为一种先进的现代技术运用到课堂教学当中，可以大大地提高课堂教学效率。

传统教学中教师一般是通过在黑板上书写文字、作演示、演算推理等来完成，要占用较多的课堂时间，课堂时间的利用率不高，而运用多媒体技术，教师可以预先在计算机上书写、作图，上课时运用多媒体技术投影，教师只需点击鼠标即可展示教学内容，方便快捷，提高课堂教学效率。

因此，有的教师便认为既然教学效率提高了，可以在课堂上多讲些内容，造成了课堂中的信息过多过滥，教学内容“面面俱到”。

这样使得学生难以区分教学内容中的重点和难点。

再一个方面，信息太多也使得学生难以消化吸收理解和掌握。

传统教学方式虽然展示的速度慢一些，但它能够留给学生充分的时间思考，这对知识的掌握以及思维的培养都是至关重要的。

知识的掌握需要循序渐进，不可能一蹴而就。

所以我们不应该否定多媒体辅助教学在提高教学效率上的作用，也不应过多强调它如何能够提高教学效率，而
应当正确地运用它的这一特点。

合理的利用多媒体教学有利于教学内容重点的突出和难点的突破，如果教师在教学过程中，教学内容不能够联系教学实际，会造成学生注意力的分散，影响了教学目标的实现。

在传统教学当中，教师在讲台上一边进行板书，一边配以讲解推理，声情并茂，抑扬顿挫，根据学生的反应灵活地调整讲解速度，学生的注意力被教师所吸引，这是教师引导学生学习知识的过程。

而运用多媒体辅助教学，课件是事先做好的，不便于在课堂上根据教学的实际情况临时调整。

理论公式的推导过程也是突然呈现给学生，显得较为唐突，思维过程不够连贯。

教师多数时间是在讲台上点击鼠标，学生的注意力被大屏幕投影所吸引，好像是在与机器进行交流，增加了师生之间的距离。

教师授课的激情也受到束缚，缺少了课堂教学中的一些“即兴发挥”，难以做到一气呵成，从而影响了教学效果。

在多媒体教学过程中起主导作用的应该是教师，多媒体教具只是起到辅助教师教学的作用。

如果教师在教学当中过多地依赖于多媒体课件，甚至在教学过程中，无论是讲授内容还是作练习，都是通过课件来完成的，整节课下来完全是一个课件的演示、播放过程。

教师完全围绕课件讲课，由“课件辅助教师”变成了“教师辅助课件”，这不利于教师威信的建立。

在教学过程中，学生只是处于被动的接收状态，不利于培养学生的主动性、想象力和思维能力。

因此，在多媒体教学当中要发挥教师的主导作用，增加师生之间的交互环节。

如果在教学过程中把所有的教学环节都通过多媒体来表现，那么教师只起到播放员和讲解员的作用，势必会影响教学效果。

教师运用多媒体技术进行教学，要以教学内容为主体，而把声音、图像、动画等媒体应作为课件的点缀，为教学内容服务。

然而有的教师制作课件过于追求画面的漂亮、声音的美妙，漂亮华丽成为课件的首选标准，使得多媒体课件华而不实。

使用这样的课件进行教学时，学生的注意力被这些花里胡哨的内容所吸引，不能够将注意力集中到教学内容上来，偏离了教学的主题，实现不了应有的教学效果。

随着信息技术的日益发展，多媒体应用已经成为多媒体技术发展的主流，多媒体教学作为一种重要的教学手段，已经越来越体现出其优越性。

但是我们也应该清醒地认识到多媒体教学运用不当所产生的问题，在教学过程中应该扬长避短，合理地运用多媒体，充分发挥多媒体的优势，为教学服务，提高教学质量，真正起到辅助教学的作用。

参考文献：
【１】张大均．教学心理学【Ｍ】．重庆：西南师范大学出版社，１９９７．
【２】冯家胜．关于多媒体教学的思考【Ｊ】．天津师范大学学报（基础教育版），２００２．３．
【３】杨芳．谈多媒体教学与传统教学的融合【Ｊ】．教育与职业，２００２．６．【４】刘春阳．关于多媒体教学的思考【Ｊ】．职业技术教育研究，２００６．５．
浅议多媒体教学中的一些误区
张义平
（甘肃交通职业技术学院，甘肃兰州７３００７０）
１误区一：多媒体教学成为走形式、走过场２误区二：教学内容过多，突出不了重点３误区三：教师变成课件播放员，师生之间缺少互动４误区四：教学中主次不分，造成“买椟还珠”的效果
１８４。