时间:2023-01-15 10:55:08
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网站设计方案范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
在这种背景下,经过充分的调查和论证,该企业于2013年立项,开发基于.NET的企业级网站,不仅要达到宣传企业,建立企业形象的目的,更重要的是要扩大销售,并与潜在客户建立商业联系。
1 系统分析
1.1 企业信息系统调查
随着互联网快速发展,公司领导意识到利用互联网宣传和树立企业形象,宣传企业产品,销售产品是刻不容缓的。企业在2007年了第一版企业门户网站,但网站是静态的,只实现宣传企业、企业信息的功能,完全跟不上企业发展的步伐。不能进行公司信息(新闻、公告等)的动态维护,缺少网络用户与公司的交流功能,缺少在线投票功能,缺少用户在线的询价和下订单功能等。但企业硬件方面的设备还可继续使用。
1.2 系统需求
通过分析,用户的需求概括为以下几点:
1) 网站用户根据权限不同,分三个等级:普通用户,注册用户,网站管理员:
普通用户,只能浏览公司简介、新闻、公司公告、产品信息、购物指南,可参与投票及参加企业招聘等基本功能。
任何一个普通用户都可申请成为网站的注册用户,注册用户除享有普通用户享有的所有功能外,还可维护自己的信息,给网站留言,并进行产品的在线订购。
管理员拥有所有的权限,对网站进行全面的维护和管理;提供企业信息,和用户在线交流;回复用户留言,维护留言板;查看用户信息;维护产品信息,处理在线订单;和维护网站公告和企业新闻等。
2) 网站功能需求:
①查询功能:查询产品信息、公告新闻、招聘信息、留言主题等。
②在线留言功能:客户留言,管理员维护留言,客户和企业的实时对话。
③投票功能:管理员根据企业需要,设置投票主题,用户进行投票,方便企业更好的了解客户对产品的满意度等。
④招聘人才,收集应聘者信息功能:网站展示招聘岗位及要求,用户在线填写个人信息供企业筛选。
⑤新闻和公告功能:新闻和公告,分为内部和外部两部分。内部员工和外部用户能浏览到的新闻和公告应有所不同。
⑥在线订购功能:注册用户在线浏览产品信息,与销售人员在线沟通产品及订购细节,完成在线订购。
3) 网站性能需求:
①客户端运行在Windows平台下,系统应有一个较友好的GUI。
②可维护性和可扩展性:能够应对大量客户的并发访问;能够应对企业的发展便于更新和升级。
③实用灵活性:系统要适合用户的需要,满足用户使用的功能需求;要与企业外部的信息系统跨渠道连接,如与银行、认证、邮递、行政管理等。
④简易可靠性:采用成熟先进的软件开发技术,提供高效的运行环境和开发工具,使用可重用组件技术,避免对系统复杂的基础结构的开发工作,减少繁杂琐碎的重复性代码编写,用比较容易掌握的技术,最少的投入和工作时间,开发出安全、可靠的系统。
2 系统目标
根据上面的分析,本网站在系统的设计、开发和实施中应遵循四个原则:实用性、可靠性、可维护性以及易移植性和扩展性。在这四个原则的思想指导下,提出系统的功能目标和性能目标如下:
2.1功能目标
根据现有网站中存在的问题以及企业发展现状的要求,在现有条件的支持下设计出系统的功能目标如下:
1) 用户登录、注册:不同的用户拥有不同的权限;2) 企业基本展示:对企业的基本信息进行介绍;3) 新闻展示:企业新闻,分为面向外部和内部;4) 公告展示:下发企业的通知公告,分为面向企业外部和内部;5) 留言板:方便企业与用户交互;6) 投票功能:针对某些问题,获取有意义的意见和决策依据;7) 站内搜索功能:提高用户查找的效率;8) 询价预订:注册用户可在线下订单;⑼系统后台管理:管理员维护网站。
2.2性能目标
1) 准确可靠:要求各种数据准确无误。
2) 安全:对于公司的机密信息,如客户档案、供应商信息、进货数据和销售数据等,只能由相关的人获取,其他无关人员不能获得。
3) 响应速度快,界面友好:正常情况下,用户在使用中应该保证系统运行的速度较快,方便用户的输入与浏览。
4) 通用性、实用性强,操作简单方便。
5) 便于扩展维护:公司的下步目标是建立功能较完善的内部网站,新系统要能与将来的内部网站集成衔接。同时新系统应具有较强的管理维护功能。
3 系统规划设计
3.1 关键技术
系统基于.NET平台开发。微软公司.NET 平台的全称是 Visual Studio.net Enterprise Architect(企业架构),其主要目的是实现企业级的应用程序解决方案。.NET从本质上说是一种组件化的开发思想,它将对资源的访问和复杂的商务逻辑都封装在自己提供的组件模型中,通过组件向表示层提供接口,实现组件的复用。
采用 SQL Server 2008 作为后台数据库。SQL Server 2008 是 Microsoft 公司推出的高性能关系数据库管理系统,其工具丰富,功能全面,性能优良,操作简单。支持企业级数据库,支持大量用户同时访问,支持用户同时处理多处数据源,支持分布式查询。
3.2 系统规划
根据对系统的需求和功能分析,站在系统开发者的角度来阐述这些需求,即对系统进行规划,将系统规划为10个子系统:
1) 公司简介子系统:向所有用户介绍公司的基本情况,包括企业信息、组织结构、设计能力、工艺设备、企业荣誉、质量管理、专利产品等。管理员登陆后台管理系统,可维护这些信息。
2) 新闻子系统:管理员通过该模块添加、修改和删除新闻。根据登陆权限新闻又分为外部和内部新闻。外部新闻面向用户;内部新闻面向公司内部人员。内、外新闻统一管理,管理员在添加或修改时,选择新闻类型即可。内外部新闻在公司内网主页或外网主页上只显示最新五条,可通过“更多”链接查看其它新闻,点击新闻标题显示新闻的详细内容。
3) 公司公告子系统:公告分为内部和外部公告。具有添加、修改和删除功能,内、外公告的管理采取统一管理的方法。
4) 产品展示子系统:用于展示企业产品,附每种产品的简介。管理员进入后台管理,可添加、修改和删除产品信息。经过维护的产品信息将在网页上实时更新。
5) 留言板子系统:注册会员可针对任何问题留言。作用是向社会公众提供与公司进行交流的窗口;管理员可维护留言板(删除一些不合适在网上的留言)。用户无权对自已提交的留言进行删除。
6) 招聘子系统:用户了解企业招聘信息,在线填写自己的应聘信息。
7) 投票调查子系统:针对用户的要求,调查客户对产品的满意度等。
8) 在线订购子系统:注册用户把欲购产品放入购物车,在线下单购买。如不想购买,可清空购物车。管理员在后台收订单,将订单移交给销售部门。
网站域名:*(本域名为未来站长网域名,你可以更换为你的域名)
服务方式:网友通过本站可以交到更多真诚的朋友或恋人,本站不定期举办线下恋人速配活动
服务对象:想认识更多朋友或寻找另一半的XX市市民。(不满16周岁的除外)
网站特色:将会打造成为XX市唯一的专业婚恋交友网站。
与各大正规婚庆,婚介公司联盟,使网站及线下活动人气得到保障。
采用先进的视频认证及身份证认证系统,保证了交友信息的真实性和安全性。
不定期举办线下活动使网站气愤更加活跃。
推广渠道:线上推广,搜索引擎,帖子推广,会员推荐注册送积分等。
线下推广,发宣传单,市场调查,在部分网吧做广告,组织交友活动等。
盈利模式:会员收费,广告收入,线下活动收入。
(二)市场分析:每个人都希望自己人缘好,显示生活中人们交往的途径有限,当网络迅速发展起来后,网络交友也流行起来,人们通过网络可以更快更方便的认识更多的人,但是目前大多数交友网站都存在着信息不真实不和安全的问题。且范围太广,网络交友也造成了不少悲剧,这时网友们真正需要的是一个更专业更安全的本地交友平台。
(三)具体运营方案
A.资金筹备:
电脑一台,为降低成本,可先购买二手机(1000元)
域名服务器,月付600元,年付7200元。
网站程序:800元购买专业交友程序。
备用资金:500元
一期启动资金合计3500元
B.网站架设:耗时3天
C.投入测试运营,启动初期推广计划(15天)
D.筹备首次线下活动,计划100人以上(15天)
E.以后的运营方案在网站投入运营后按实际情况制定。
(四)
网站要赢利需满足的条件。
网站总投入3500元+后期投资。
后期投资:服务器600元,网站推广500元,1名客服工资1000元,临时备用100元,共2000元/月。
网站前3个月以测试状态运营不收费,所以前3月网站基本在烧钱期,靠线下活动赢利支撑。
关键词: 高层商场;火灾特点;消防设计;消防设施
Key words: high level shopping mall;fire characteristics;fire design;fire protection facilities
中图分类号:TU998.1 文献标识码:A 文章编号:1006-4311(2016)20-0229-03
1 绪论
1.1 背景
近年来,我国商场的数量与规模不断增加,这对社会经济的发展起了极大的推动作用,而许多商家为了获得更大的发展空间和经济利益,高层商场正朝着复杂化、中庭化、多功能化方向发展。然而,当人们与亲朋好友在商场中购物、娱乐、休息时,谁也不会在意商场中的存在的诸多火灾隐患,一旦发生火灾就有可能造成人员伤亡和巨大的财产损失。为此,了解高层商场火灾特点,对其消防设计开展研究具有重要意义。
1.2 国内外研究现状
1.2.1 国外研究动态
现代大型商场大多采用中庭这一建筑形式,中庭往往贯通几个楼层,一旦着火,烟气充满整个空间,严重的火灾事实使人们越来越重视烟气问题。美国防火研究机构(FPRF)和国家标准技术研究所(NIST)等国外机构都在积极开展此方面研究,并希望借助这些工作建立相关安全标准[1];为了提高内装修材料的耐火性能,减少烟气中毒害物质对人员的伤害,美国 GE 塑料公司推出了一种新型阻燃材料―Ultem 纤维(全能阻燃纤维),具有耐高温、强度好、模量大、广泛的耐化学剂性、抗燃烧性和低致烟性等特点,可广泛用于需要阻燃和防止烟雾扩散的材料[2];高层商场烟囱效应强,不同国家在其规范上对不同的加压方法进行了规定,从而保证人员能安全疏散。英国BS 5588提出了建议,对楼梯井内同时施加正压和着火楼层施加负压[3],澳大利亚更紧了一步,其规范要求楼梯井加正压,着火楼层加负压,着火楼层的上下楼层也加正压,对加负压区和排烟要求比英国低,这种方法解决烟气通过楼层间其他连接和贯通方式而扩散的问题。
1.2.2 国内研究动态
中国人口众多,人员密集,商场发生火灾时,人员能否安全疏散是普遍关注的问题。我国有关建筑系统和人员行为的综合研究正在开展着,准备建立疏散综合动态模型[4],研究中更注重人行为因素,并考虑残疾人的疏散行为和对整体疏散时间的影响。此外,据我国统计分析,建筑火灾造成的人员伤亡中,85%是由有毒烟气所致,能否及时有效排烟极为重要,目前国内开发的自动控制排烟窗,其主要特点是将建筑物自然采光、换气、排烟三要素融为一体。自动控制排烟窗与消防联动控制设备输出接口连接,形成全自动开闭窗控制系统,使建筑物中的浓烟高温及有毒有害气体排至室外,减少人员伤亡,而且平时还可作为建筑物自然通风、换气控制之用,适用于不设置机械排烟系统的各类建筑[5]。
1.3 研究该课题的意义
开展高层商场消防安全的系统研究,有助于火灾隐患的确定和消除,为商场的建筑防火设计、消防设施设计及内部的消防安全管理提供了技术手段,也为政府对此类建筑的安全管理提供理论依据,更有效地保证了人民的生命和财产的安全。本文通过分析高层商场火灾特点,了解其防火薄弱环节,掌握高层商场消防设计要点,为消防设计提供有效的安全评估方法,同时为其他建设工程的防火提供了借鉴价值。
2 高层商场建筑火灾特点
分析高层商场的火灾特点,是研究高层商场消防设计的基础,通过查阅资料,高层商场的火灾特点主要表现在以下几个方面:
2.1 易形成立体燃烧
中图分类号:TM615 文献标识码:A 文章编号:1009-2374(2014)05-0023-02
无电地区电力建设是我国实现电力普遍的一项重要任务要求。2002年开始,我国陆续组织实施了“送电到乡”工程,光明行活动等,通过因地制宜开发利用当地的可再生能源资源,为无电地区提供清洁
电力。
1 离网光伏电站的发电系统原理
太阳能发电系统是利用根据光生伏打效应原理制成的太阳能电池将太阳辐射能直接转换成电能的发电系统。它主要由太阳能电池方阵、控制器、蓄电池组、逆变器等部分组成,其系统结构如图1所示:
图1 离网光伏发电系统示意图
2 离网光伏电站的系统配置选型
2.1 太阳能电池板
20kWp离网光伏电站,选用250Wp多晶硅电池组件,共80块组件,10块组件串联为1组,分成8个太阳电池串列。组件参数见表1。
2.2 太阳能控制器
系统额定电压:DC220V
输入电流=组件的峰值电流×并联块数×安全系数
=8.81×8×1.25
=88.1A
太阳能控制器技术参数见表2。
表1 光伏组件技术参数表
序号 指标 参数
1 峰值功率 250Wp
2 开路电压(Voc) 37.6V
3 短路电流(Isc) 8.81A
4 工作电压(Vmppt) 30.4V
5 工作电流(Imppt) 8.23A
6 组件效率 15.27%
7 最大外形尺寸 1650×992×45mm
8 工作温度 -40°C~+85°C
表2 太阳能控制器的技术参数
序号 指标 参数
1 额定蓄电池电流(A) 100
2 最大光伏组件功率(kWp) 20
3 充电回路压降(V) ≤1.35
4 放电回路压降(V) ≤0.1
5 空载电流(mA) ≤50
6 保护功能 蓄电池充满过放控制
蓄电池充满、欠压、过放LED指示及蜂鸣器报警;短路保护(空气开关和保险);反接保护;防反充保护;MOSFET模块开关
7 工作环境温度范围(℃) -30~+50
8 防护等级 IP20
2.3 蓄电池
离网光伏电站需要配置存储蓄电池。蓄电池容量(Ah)与负载容量(Ah)之比宜在3~6倍以上:连续阴雨天数较少地区约为3~4倍以上。连续阴雨天数较多地区约为5~6倍以上。
离网光伏电站储能系统选择阀控式胶体铅酸蓄电池,其优点是寿命较长、免维护。
蓄电池的选用要求:阴雨天连续使用3天。
蓄电池的容量计算如下:
蓄电池容量=(负载耗电量/系统电压)×备电时间×放电率修正系数/(放电深度×低温修正系数)
负载耗电量:20kWp离网光伏电站为20kWh;
备电时间:3天;
系统电压:220V;
放电深度:0.5;
放电率修正系数:1.1;
低温修正系数:0.8;
则20kWp离网光伏电站蓄电池容量为750Ah。
蓄电池的容量选择:800(Ah)
直流电压304V,因系统的损耗存在,所以蓄电池的电压为210V~260V,选用2V800Ah,110个串。
蓄电池技术参数见表3:
表3 蓄电池技术参数
序号 指标 参数
1 标准条件下的额定容量C10 2V/800Ah
2 标准条件下的额定工作电压 2V
3 标准条件下的蓄电池自放电率(28天)
4 标准条件下的浮充电寿命 ≥10年
5 允许工作环境温度范围 -20℃~+55℃
6 推荐使用环境温度 15℃~30℃
7 允许工作环境湿度范围 92%RH
8 蓄电池寿命终止容量
2.4 逆变器选型
离网光伏电站负载主要为照明、电视、广播等。选择离网型逆变器技术参数见表4。
2.5 防雷汇线盒选择
为了减少电池串并联的直流电缆量和直流损耗,采用2路汇线盒进行一次汇流。汇线盒应具备以下特点:(1)可同时接入2路输入,每回设15A熔断器保护,熔断器的耐压值为1000V;(2)每回均可承受DC1000V电压;(3)配有专用防雷器,正负极都具备防雷功能;(4)直流输出母线端配有可分断的直流断路器。
2.6 交流配电柜选择
选用30kVA交流配电柜1台,双路输出。其主要技术特性如下:
容量:30KVA;
输入:逆变器单相输入;
输出:双路单相AC220V,每个输出至少2路接线端子;
测量功能:电压测量,电流测量,电度测量;
保护功能:漏电保护器。
表4 离网逆变器技术参数
类型 指标 参数
直流输入 输入额定电压(DC)(V) 220
输入额定电流(A) 65.84
允许输入电压范围 180-300
交流输出 额定容量 20kVA
输出额定功率 16kW
输出额定电压及频率 220V,50Hz(单相)
输出额定电流 90.9
过载能力 150%,10秒
保护能力 过载、短路、欠压、过压、过温
冷却方式 温控强制通风
使用环境温度(℃) -30~50
防护等级 IP20
3 结语
由于自然环境条件的制约,至今仍存在着许多未通电的村落,这些无电村落地处偏远,交通不便,大电网延伸解决这些地区的通电问题不符合电网的经济输送距离。采用离网光伏电站解决这些地区农牧民基本生活用电问题无疑是一个既经济又有效的电力解决方案。电站建成后能够解决无电地区农牧民群众的照明、看电视、听广播等基本生活用电问题,提高文明生活用能水平,使农牧民能及时了解现代科技、文化、信息、市场等情况,提高农牧民群众的综合文化素质,提高农牧民群众保护生态环境的意识,这对维护民族地区的稳定将起到积极的作用。
参考文献
[1] 李安定.太阳能光伏发电系统工程[M].北京工业大学出版社,2001.
[2] 李刚.太阳能发电原理[M].北京电力出版社,2003.
[3] 王长贵,崔荣强,周篁.新能源发电技术[M].中国电力出版社,2003.
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 03. 081
[中图分类号] TN915.08 [文献标识码] A [文章编号] 1673 - 0194(2017)03- 0144- 02
1 PHP简介
作为一种内嵌式语言,PHP技术在动态网页方面具备更快的执行速度,自诞生至今,PHP技术已经被广发应用于2 000多万个网站中,成为全球最普及的互联网开发语言。近年来,随着PHP技术的不断完善,其已经由网络开发语言逐渐发展成为适合企业部署的技术平台,西门子、IBM等知名公司也开始广泛使用PHP技术。最早期的PHP技术主要具备访客留言与访客计数等功能,随着后期的开发利用,PHP技术开始加入MySQL支持,进而提升了动态网页开发的执行力。
2 PHP网站设计中存在的信息安全问题
实际PHP编码设计过程中,由于程序员并不具备足够的安全防御意识,导致设计过程中,没有认真检验输入信息的可靠性与安全性,使得计算机内部的操作系统极易被不法分子利用,导致错误指令会被当做正确指令使用,从而造成了用户信息的泄露现象,严重侵犯了用户信息的隐私。
2.1 SQL注入
由广义层面看来,网站程序设计员需要在网站代码编程过程中合理判断用户输入数据的合法性与安全性,从而杜绝网站信息的泄露行为。但如果网站程序员忽视了这一操作,用户就可以利用提交数据库查询代码的方式,并根据数据返回结果获取信息,这便是注入了SQL。这种错误操作很容易导致网站用户信息的泄露,因此,程序员需要在网站设计过程中认真判断分析所输入稻莸暮戏ㄐ裕从而进一步提升网站信息的安全性。
2.2 发生or 1=1与union语句入侵
注入or 1=1,可以使不法分子在登录网站时避开密码验证过程,从而可以利用任意的使用名便可以随意进入信息系统,从而达到侵入目的,这也是网站设计中应用最为广泛的语句注入模式,它主要是程序员在编写代码过程中,并未认真检测所输信息是否含有非预期的字符,而是直接将客户的需求传达给计算机的函数系统进行识别。这种注入方法会使密码验证失去原有的保护作用,不法分子可以利用漏洞直接侵入网站系统,从而可以容易的获得所有用户的数据资料。而与or 1=1语句注入侵入不同的是,union语句则可以使程序的默认语言出现混乱,计算机在执行union程序后,会利用自身的SQL注入语句,从而侵入内部程序系统。
2.3 XSS跨站攻击
作为最常见的网站攻击模式,XSS的工作原理比较接近SQL的工作原理,不同的是,XSS还要通过专门的脚本才可以注入到HTML标签之中,进而可以在网页输入框架中输入违法恶意的信息内容。当这些恶意信息进入到网站的客户端时,网络浏览器无法做到识别排除,而是会自动运行这些错误信息,从而会影响网页页面的正常显示,进而可以在进一步注入脚本。同时,还可以使用网页输入代码方式,在利用XSS漏洞的基础上控制计算机的操作系统,进而为黑客编写恶意程序提供了方便,破坏了计算机原有系统的安全性与稳定性。黑客攻击网页的主要方式便是在计算机浏览网站利用XSS自动弹出一些窗口,但这些窗口网页会带有黑客设计好的感染病毒,从而借此获取用户信息。
3 PHP网站设计的信息防御措施
3.1 公开防御措施
在保护网站信息安全的过程中,程序员应适当公开安全防御措施,使客户更为清楚的了解具体的防御过程。用户也不可以直接跳过信息安全检测步骤,并要求在进入网站系统之前,要输入相应的用户名与密码,保证网站运行操作的安全性,从而达到保护网站信息的目的。
3.2 跟踪数据运行
为了进一步确保网站设计的安全性,程序员还应做到实时跟踪用户的数据运行过程,通过掌握信息的具体动向来约束用户的使用行为,从而防止发生信息泄露问题。但用户信息的实时追踪是一种难度较大的信息监测方法,当程序员不够熟悉其工作原理时,便会无法理解Web的运作原理,程序开发过程中不可避免的会出现失误,进而产生安全漏洞,为此,程序员还应认真学习数据追踪的工作原理,全面了解实时追踪的操作过程。
3.3 筛选输入信息
为了进一步确保网站信息的安全性,程序员还应对用户所输信息进行必要的筛选,使其可以实现合法化。同时,网站工作人员也应认真确认筛选用户输入信息,以充分避免木马病毒的在未知情况下被误用。
3.4 防止注入SQL
当前,网络系统具有多种注入方式,且它们都存在一个明显的共同点,即缺乏必要的过滤程序,以此实现非法获取用户资料信息的目的。为了充分避免非法语句的注入,程序员需要认真筛选、过滤查询语句。并利用计算机内的正规的函数表达式进行常用语句的匹配,充分提升筛选的准确率。由此可见,只要使用了过滤函数便可以很大程度上避免SQL语句注入的侵入,从而充分保护了网站用户信息的安全性。
4 结 语
1.1平台威胁
电子商务是一种有别于传统交易,依托网络平台来开展的新兴交易方式,信息传递过程中影响信息传播速度的因素很多,包括电磁辐射干扰和网络设备老化,情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外,一己私利造成的人为商务系统硬件破坏更为严重,他们有意更改信息内容,通过这种不法手段获取经济利益。
1.2安全环境恶化
发达国家经过多年的发展,技术水平远远领先于我国,尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足,核心技术还未取得突破性进展,不得不依靠进口采购。在无法独立自主生产的情况下,必须依靠国外引进,生产技术和维护技术受到极大的限制,极大影响了我国电子商务的健康发展。
1.3黑客入侵
一些不法分子面对电子商务交易的蓬勃发展,势必会产生不劳而获的贪婪心理,利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序,通过木马程序侵入本地计算机,使得计算机记录的登录信息遭到篡改或泄露,导致重要文件及资金丢失。网络病毒不可控性很强,其自身繁殖功能十分强大,严重损坏计算机文件,还会对计算机的硬件设施造成严重破坏,且网络技术的迅速发展,使计算机病毒的破坏力也随之增强。
1.4网上支付安全隐患
网上支付是电子商务的核心部分,确保支付安全才能保障电子商务的健康发展,因此,网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知,商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提,理由如下:首先,网络在实际运行中灵活性较强,当前的多种技术手段无法完全应对网络安全威胁,仍存在较大的问题。其次,虽然各家银行先后建立了CA认证中心,但这些CA认证中心的权威性不足,无法成为全国性的认证标准,造成重复认证和资源浪费。最后,新《合同法》虽然纳入电子合同的法律效用条款,但数字签名仍存在技术问题,这导致问题出现后的一些复杂法律关系难以解决,如责任认定、责任承担、有效执行仲裁结果等。
2常见信息安全漏洞防御
2.1结构性查询语言注入
这是一种用于存取信息数据的数据库系统,其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为SQL,从本质上来说是一种程序设计的、高级的非过程化编程语言,其作用是作为客户端与数据库服务器相互沟通的桥梁。因此,SQL是网站设计中安全防御的重点包括以下内容。
2.1.1经典的‘or1=1’注入作为计算机最经典的结构性查询语言,该注入方式一般不需要用户名进行验证,密码方面也没有多层输入的要求,故身份登录并不会受到用户名的限制。因此,该注入方式在编写验证程序时,通过程序设计使得用户名输入时无需验证,避开非预期字符串的限制,然后将信息直接传递给mysql-query()函数执行。这种注入方式跳过了验证环节,验证码正确与否都不干涉用户名登录。因此,从信息安全防御角度出发,登录确认工作是网站设计的重中之重,注意严密防范非法用户登录。
2.1.2利用union语句的注入Union语句注入的作用机理是,网站设计中注入union会使网站程序默认的语句出错,网站运行速度受限,或者网页直接打不开,严重时还会引起网站崩溃。结构性查询语言从理论上来说注入方式较多,从根源上防御各种注入方式才是关键。作为计算机工作者,日常网络维护要认真严谨,细心对查询语句的参数进行过滤,遇到可疑情况及时排查。
2.2跨站脚本攻击的防范
跨站脚本攻击,英文全称为CrossSiteScripting。该脚本通过将恶意代码植入到用户的网站页面,让用户登录与实际网站完全不同的虚假网站。该脚本主要是将JavaScript脚本注入到HTML标签中进行攻击,是一种频繁引发网站设计安全威胁的重要因素。
2.2.1跨站脚本攻击的探测跨站脚本攻击是可以及时检测到的,有助于尽早发现网站设计过程中的问题,语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方,如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例,在网站评论页面的输入框中写入相关代码,完成后进行刷新,若发现浏览器的弹出窗口没有得到禁止,基本可以判断该网站设计的评论模块有跨站脚本攻击过。
2.2.2重新定向一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞,那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页,实现刷目标网站流量的目的。举一个简单的例子,用户A发了一个容易构造的URL给用户B,当用户B打开后,恶意脚本开始攻击用户B的电脑,可以执行前一个用户A权限下的所有命令。
2.2.3攻击弹出其他网页大部分网民浏览网页时都碰到过广告弹窗的情况,这是电脑黑客通过跨站脚本攻击的方式,实现攻击计算机用户正在浏览网页的目的,从而让用户浏览其他网页。针对跨站脚本这种攻击方式,通常采用特征匹配来进行针对性防御,同时加强认证工作,最大限度避免跨站脚本攻击的发生。
1 引言
施工控制网时工程施工的基础和依据,其精度直接影响工程质量。新建铁路工程及附属设施施工控制网精度要求高,测量难度大。目前平面控制网多采用GNSS方法布设、高程控制网一般使用高精度电子水准仪测量。探讨施工控制网布设方法和具体要求,非常必要。
2 工程概况
新建佛山西站位于广东省佛山市狮山镇,车站共有在建贵广、南广铁路、珠三角城际铁路佛肇、广佛环线以及预留拟建深茂铁路等5条线路引入,分设客专场和城际场,两场横列布置,贵广、南广铁路和深茂铁路合设专场,规模为6台15线(含正线4条),到发线有效650米。
本测量项目的目的是为佛山西站顶棚吊装提供测量数据,满足施工需求,精度等级按《高速铁路工程测量规范》(TB 10601-2009)执行。其中平面控制网按CPII要求布设,采用GPS静态观测,测量等级按三等施测;高程控制网按二等高程控制测量施测。
3 施工控制网布设方案
3.1 已有资料利用情况
为保证施工控制与前期工作测量基准的统一,施工控制网的布设以现有的首级控制网作为优先起算,起算数据由业主提供。施工控制网布设前对首级控制网进行检测,当首级控制网破坏或精度不能满足工程需求时,需业主提供更高等级的起算点,同时对首级控制网点进行检核。
3.2 坐标和高程系统
平面基准采用施工独立坐标系,参数为:WGS84椭球,中央子午线113°00′00″,投影面大地高0米。高程基准采用1985国家高程基准。
3.3 施工控制网布设
3.3.1 平面控制网布设
(1)布网设计
各级GPS网采用逐级布设,布设原则主要考虑作业需求、测区已有资料、测区地形、交通情况及作业效率等因素。首级平面控制网采用CPII网布设,精度、观测要求GPS三等要求执行。本着按规范作业的原则,所设计的网形能够覆盖整个施工区域,每次观测均计划投入徕卡GPS 9台,同步进行观测。新布设的GPS控制网最少与3个高等级的已知控制点连测。
(2)选点埋石
① GPS控制点选在通视良好、交通方便、地基稳定且能长期保存的地方,其中部分点位的选择应同时兼顾水准联测的需要。②埋点位置要求地势开阔,且要避开高度角15°以上的挡星障碍,以便接收到足够的卫星信号。③远离大功率无线电发射源(如电视台、电台、微波塔等),其距离大于200米;远离高压线及微波传送信号通道不小于50米;④点位选在交通方便,并有利于其它测量手段拓展及连测;⑤点位选择底质稳定,易于标示长期保存;⑥当利用旧点时,首先确认该点的完好性,并符合相应规格和埋石要求,且能长期保存。
(3)GPS平面控制网外业观测要求
①采用的观测仪器确保通过国家计量局检验,在检验的有效期内使用;本工程观测时使用9台双频徕卡GPS接收机,其静态测量的标称精度为5mm+1ppm。②天线通过三脚架分别置于各个测站上,采用静态测量作业模式。③经检查接收机电源电缆和天线连接无误后方可开机。④GPS网的布设,应视作业时的卫星状况、预期达到的精度、成果可靠性以及接收机的数量和测区的交通等情况综合考虑,按照优化设计的原则进行,一般由若干个独立观测环构成。⑤GPS D级网的观测技术要求:设置卫星截止高度角15°;历元采样间隔为10″;有效观测卫星数不少于4颗;GDOP值小于6;GPS天线对中误差小于2mm;天线高取测前、测后两次量测的平均值,且两次读数之差不大于2mm,如果大于该值,及时分析原因或者开展补救措施;有效时段长度≥60min。
(4)GPS控制网数据处理
GPS网平差是在近似WGS-84坐标系统下的无约束三维平差。
基线向量解算时,解算全部基线,选用配套软件自动解算。GPS基线向量网成果的内符合精度分析:对无约束平差成果进行分析,主要考察基线向量观测值改正数、各点坐标中误差、点位中误差、GPS基线向量边的方位和边长相对精度。基线向量解算后,可初步检查一下评判各基线的置信参数,检查同步环、异步环等闭合差,查出超限原因,剔除有粗差的基线。
检验合格后,进行GPS控制网无约束平差,输出控制点在WGS-84坐标下的三维坐标、各基线向量三个坐标差观测值的改正数、基线长度、基线方位、点位和边长的精度信息。
无约束平差后,以无约束平差确定的有效观测量为基础,进行约束平差。平差结果,输出控制点在国家坐标系下的三维或二维坐标、基线向量改正数、基线长度、基线方位角等,以及相关精度信息。
3.3.2 高程控制测量
本项目中高程基面采用1985国家高程基准。利用测区内或测区旁的已知高等级高程控制点作为起算点,按二等施测。
(1)水准点选点与埋石
在水准路线布设前,进行现场踏勘,收集道路、地形等信息,同时做好技术设计,获取最优路径;
水准点选在土质坚实、安全僻静、观测方便和利于长期保存的地点,应尽可能选在道路附近,基岩露头或土层较浅处,点位采用埋石或混凝土浇灌方法。避免选择易受水淹、潮湿,易土崩、滑坡等不利地貌点;为满足数据处理及应用方便,部分点与CPII控制网GPS点同点。
(2)水准外业观测与记录
用于水准测量的仪器必须经过国家计量局的鉴定,并确保作业时间在仪器的鉴定合格期内开展;数字水准仪在每天实测前进行i角测定,仅当i角值小于15″方可作业,如果大于该值,应把仪器送厂家维护;水准测量拟使用Trimble DiNi03电子水准仪和铟钢数码水准尺,该仪器的标称精度为每公里高差中误差±0.3mm。
水准路线尽量沿坡度平缓的交通道路布设;观测前二十分钟将仪器置于露天阴凉处;一测段水准路线的测站数必须是偶数。往、返测的前、后标尺必须交换;各测段应沿同一路线、用同类仪器与尺承进行往返测,往、返测的测站和尺承位置相同;一测段的往测和返测,应分别在上午和下午不同时间段完成。
(3)水准测量内业处理
平差前先做好正常水准面不平行改正、尺长改正,然后再用清华三维平差软件进行平差,生成最终的水准平差结果,并统计出处高程中误差、相对点位中误差,获得高程网中最弱点、最弱观测边等信息、最终点位平差成果。
4 结论
在新建佛山西站施工控制网布设项目中,根据项目要求,进行了控制点选点、野外观测、平差计算设计,经工程实践,该设计科学合理,可以满足施工控制网的布设要求,为工程的顺利实施提供了保障。
参考文献:
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011)06-0000-01
ASP-based Web Site Design Security Issues
Zhao Zhijiang
(Baise University,Baise533000,China)
Abstract:Currently, the development of tools for web design are many, and ASP (ActiveServer Pages) as a typical server-side web design technology that will script, hypertext, and powerful database access functions together, set a simple, efficient, And easy scalability in one. Therefore, its free Internet-based source code very much, many enterprises and institutions to download them directly as their website, also there is a flawed source, hundreds of websites have been affected by the phenomenon, there are some programmers Lack of principle for the ASP site and the means of background knowledge of the invasion, the design of the site there are significant security risks.
Keywords:ASP;Site security;Security vulnerabilities;Preventive strategies
随着互联网的迅速发展,为了能更好地更充分地使用好互联网这个世界上最大的交流平台,许多单位竞相建设了自己的网站。在Web数据库访问的多种技术中,ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的技术,英文全称Active Server Pages,动态服务器网页。它是一个Web服务器端的运行环境。ASP本身包含了VBScript和Javascript引擎,使得脚本可以直接嵌入HTML中。ASP动态网站的安全问题是个值得网站设计者和管理者重视的问题。
一、ASP在网络安全上的优点
ASP脚本是使用VBScript,JavaScript或JScript脚本语言编写的,与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出HTTP请求,访问ASP文件时,Web服务器判断出该请求的ASP文件含有“<%”和“%>”后,调用ASP。DLL,进行语法分析、解释执行,然后将最终结果转换成为标准的HTML格式内容,返回给Web浏览器,由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点:
(一)不泄漏源代码。相比客户端执行的JavaScript程序,ASP在网络安全上的优点之一是用户不能看到ASP源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了ASP开发人员的版权,又维护了网站系统的安全。(二)支持虚拟目录。虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露,往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改,就可以搬迁到另一台服务器上正常运行,另外,管理员可以对虚拟目录设置不同的操作权限。从而方便管理,并且提高ASP程序的安全性。
二、ASP网站的主要安全隐患
(一)设计上的漏洞。有些网站在设计时存在利用网上的现成模板或代码公开的免费程序,有些ASP网站设计人员将有特权的用户名、密码、数据库路径等直接写在程序中,为攻击者攻击系统提供了破解密码、下载数据库甚至登录到后台获取网站的管理权限等途径。(二)系统软件和管理上的漏洞。Windows、Linux等操作系统以及网站采用的数据库系统如Access、SQL SERVER等存在有一定的安全漏洞;IIS、注册表、特殊系统命令和文件夹的属性、用户名及用户权限、用户口令及生存期等安全设置,若处理不当,对网站的安全性影响较大。(三)后台管理用户使用安全问题。网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响,如后台登录的用户名、密码过于简单有规律、密码使用期太长等易被破解;密码保存问题、后台管理计算机系统有木马和计算机病毒容易造成密码泄露等。
三、对ASP安全隐患的防范策略
目前,大多数网站上的ASP程序有很多安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。
(一)源程序泄露的防范。当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。因此,程序员应该在网页前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对。inc文件内容进行加密,其次也可以使用。ASP文件代替。inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。(二)防止验证被绕过。现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。因此,对于这类问题的防范,需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。(三)用户名与口令破解的防范。用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。因此,涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。
四、结语
用户驻地网(CPN)是用户网络接口(UNI)到用户终端之间的相关网络设施,从管理需要上讲,即指用户驻地业务集中点到用户终端之间的相关网络设施。用户驻地可以使一个居民小区,也可是一栋或相邻的多栋写字楼,如中小型事业单位的企业局部专网、校园网和学院内部驻地等商用大客户市场,但不包括城域范围内的接入网。
近年来,宽带通信业务的迅速发展,用户驻地网业务的开展成为各通信运营商热衷的焦点,驻地网网络的发展和建设成为原运营商和新兴运营商在进行网络规划建设时必须考虑的重要部分,而且相当一部分住宅小区的房地产商也参与到了宽带用户驻地网的建设中。如何把握驻地网发展建设的政策关,建立和谐竞争的通信市场环境,是宽带业务市场发展的重要课题。笔者作为南阳铁通分公司一员,分析探讨了当前驻地网发展建设中存在的问题,并结合自身工作经验提出解决建议,以供参考。
1 发展建设用户驻地网的意义
通过进行用户驻地网建设,把楼内和小区内零散用户集中起来,使大量的小用户合并成一个个大用户,使公众电信运营商(中国电信、联通、移动等)愿意把各自的光缆设备连接到这些大用户提供服务,以此开辟新的盈利空间。这种模式的发展使用户可以自由选择通信业务的提供者,打破了运营商对通信网“最后一公里”的垄断,不仅为小区、集团等零散客户提供了物美价廉的服务,而且促进了我国通信行业的健康发展。
南阳市用户驻地网的发展为中国电信、联通、移动等公司本地旁路业务的推进提供了基础条件,随着全市基建规模的迅速发展,大型商务写字楼及住宅小区的涌现,大批的集中用户的需求,完全可以打破城市原有的市话业务的垄断现象,利用制定出的合理的用户驻地网政策发展用户驻地网建设,降低通信建设成本;让用户自己掌握用户线,自由选择市话业务的提供方,打破城市市话在通信领域竞争的“瓶颈”问题,利于城市用户驻地网及本地旁路业务健康发展。
2驻地网发展建设中存在的问题
我市已形成了中国电信、联通、移动三大通信运营商等在宽带接入领域的竞争局面,用户驻地网作为通信运营商发展宽带客户业务的重要资源,已成为通信宽带运营商相互争夺的热点。在这种不良竞争环境中,出现的一些突出问题明显加重了运营商的建设运营成本,主要表现在以下几个方面:
2.1 恶性竞争危及通信安全
在城镇街道上,往往同一条人行道被多家企业管道反复破路、施工、修复,地下井盖星罗棋布,各种管道纵横交错,这种重复投资、建设的日趋严重,造成了国家资源的损耗和企业人力、财力、物力的大量浪费,加重建设成本,使有限的地下空间资源紧缺,杂乱无序的管道铺设工程,在一定程度上威胁着基础通信管线的健康发展,对通信市场的信息化的建设产生了不利的影响。
为了压缩成本,不乏一些开发商选择不具备施工资质的工程队伍进行施工建设,管道施工过程不符合建设规范技术标准导致通信管线工程出现质量问题,或损坏、挤压到原有通信运营商的通信管线及设施的现象发生,通信运营商进入小区后不得不进行二次建设或重新改造。
2.2 缺乏统一规划造成开发商滥收费用并垄断用户驻地网接入
在固话市场进入激烈竞争前,各县市均按照《电信条例》中明确规定的“建筑物内电信管线和配线设施以及建筑用地范围内的电信管道,应纳入建设项目的设计文件,并随建设项目同时施工与验收,所需经费应当纳入建设项目概算”的条例进行。自出现运营商之间的竞争后,各家通信运营商为争夺用户,抢占市场份额,便主动联系房产开发商以获得独家经营权,因此提高了开发商的地位,开发商就此违背条例,提出多方条件,或要求进入的运营商自主建设,节约了自己的建设成本;或开发商自行建设通信基础设施,然后以远高于成本价的卖价卖给进入的运营商,从中赚到一笔数额不小的差价,而且一部分工程质量远不能达标,运营商进入后还需重新建设;或开发商与运营商达成协议,进行共同建设,这样一来,运营商不但要在工程建设中投资,还要分给开发商股份,将一定的利润与其分成,通信业利润一部分划入至开发商私人收入中,造成国有资产的大量流失。
2.3 驻地网产权合法主体难以确定
因国家物权法缺失,由通信运营商合法投资建设的驻地网管道产权权属证明缺乏,产权登记制度还未健全,发证机关不明确,致使合法产权主体所有权模糊,用户驻地网建设责任和产权归属难以划分。小区开发商自恃拥有小区通信设施的产权,无法体现业主用户自愿选择使用电信运营商的权利。
3 规范驻地网发展建设的解决方案
要实现通信企业不断向提供综合信息服务目标的转型,必须尽快建立健全用户驻地网产权管理的长效机制和法律保障措施,遏制小区开发商的不法行为,解决用户驻地网发展建设中遇到的多种问题,规范通信市场竞争秩序,促进通信业的持续健康发展。
3.1 建立和完善驻地网管道的物权和登记制度
建立驻地网管道产权制度以管道所有权发证为准,企业权力申请人应依法向政府行政主管部门申请管道权属登记,领取在驻地网管道权属证书,依法获取对管道行使占有、使用、收益和处分的权利;只有通过权属登记,确认管道产权与管道权利,才能对各类管道管线产权实施有效的管理,便于法院诉讼案件的受理及纠纷的处理,避免不必要的冲突。
3.2 实施协调、平衡的驻地网利益管制政策
依法按照政府有关部门的政策规定,明确小区房地产开发商与通信运营商之间的责任和义务,对小区通信设施进行统一规范。各通信运营商通过自建通信设施入区,严格杜绝与开发商或物业公司签订排他性协议,让开发商充分履行投资建设“红线“内通信设施的责任和义务,不得以垄断驻地网资源的方式参与通信企业业务经营,对各家通信运营商给予诚信、公平、公正的对等开放机会参与竞争。依照规定,督促小区开发商承担用户驻地网设施的建设责任,并无偿交由通信运营商接入和投入使用,义务提供运营商放置通信接入设施的设备间等。
3.3 摒弃恶性竞争,在良好的竞争环境中求发展
各通信运营商要保持与政府及相关职能部门和电信监管机构的沟通与联系,在各有关部门的监督管理下,尽快出台管制政策,鼓励中国电信、联通、移动等运营商之间的联合建设,实现由小区开发商进行驻地网建设,各通信运营商平等接入,用户自由选择通信运营商的发展趋势,坚决制止任一方的不良垄断现象出现,共同以优质的服务赢得用户的信赖,通过规范的业务合作协议,友好协商解决驻地网发展建设中出现的每一个障碍问题。
参考文献
[1] 阚凯力. 建设用户驻地网意义何在. 光明日报,
[2] 薛兴华. 用户驻地网发展过程中亟待解决的几个问题[J].通信世界,2005,11,25
0引言
当前网络与信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面具有生存性和保障性支撑作用的关键产业。网络与信息安全可能会影响个人的工作、生活,甚至会影响国家经济发展、社会稳定、国防安全。因此,网络与信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。本文对PHP网站设计中信息安全防御的研究具有重要的意义。
1PHP编码过程中的安全问题及其防范
服务器和PHP的运行环境配置好后,并不意味着网络应用就安全了,程序员的安全意识也起着决定性的作用。如果程序员的安全意识不高,对用户的所有输入都没有进行安全验证,那么,所有有害的指令都将作为合法指令被执行。
1.1SQL注入的防范
程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使得用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
1)经典的'or 1=1' 注入
‘or 1=1’注入是非常经典的注入语句,一般用在登录系统时绕过密码验证,以任意用户名登入。其原理是利用程序员在编写验证程序的时候没有验证用户的输入是否含有非预期的字符串,直接传递给mysql_query()函数执行,or 1=1使得无论密码是否匹配保证验证语句为真,达到绕过密码验证的目的
2)利用union语句的注入
Union 语句是利用其特性,使程序默认的语句出错,让程序执行union之后自己构造的SQL语句,达到注入的目的。
3)防SQL注入的通用解决方案
注入的手段是多种多样,十分灵活的,但有一个共同点,都是利用没有对输入进行过滤。防止注入的方法也就是对传递给查询语句的参数进行过滤。
该函数是通过正则表达式匹配常用的注入语句,并对其进行过滤。采用该过滤函数后,使用上述方法再次进行注入时,全部失效。
1.2XSS跨站攻击
XSS 全称为Cross Site Scripting,由于 CSS 已经用作样式表的简称,故称为XSS。 XSS是一种常见的网站攻击的手段。其原理与SQL注入比较类似,只不过利用的HTML标签中注入JavaScript脚本,通过在网页的输入框输入一些恶意的内容,通常是 JavaScript 脚本片段达到注入的目的,这些恶意输入在提交之后并重新读回到客户端时,浏览器会解释执行这些恶意的脚本内容,从而影响网页的正常显示。
1)XSS探测
在判断一个网站是否存在XSS漏洞是,经常用到下面这条语句进行探测:
在输入框中输入该语句找到该语句执行的地方看是否有弹窗,如果有,则表示这个网站存在XSS漏洞,这里以留言本为例。
登入留言页面,在输入框内输入检测代码,刷新页面,发现浏览器弹出窗口,表明该留言板存在着XSS漏洞。
2)利用XSS重定向
一旦确定网站存在XSS漏洞,那么攻击手段就有很多种,将当前网页重定向到其他网页是一种比较直接的方法,黑客可以利用这种手法达到刷网站流量,或者在转向的网站上挂上木马,使访问者电脑感染木马病毒的目的,攻击代码如下:
将evil.org替换成想要转向的网址就达到注入的目的了。
3)利用XSS弹出其他网页
平时在浏览有些网站的时候经常会出现弹出广告的情况,黑客也会可以利用XSS攻击使正在浏览被攻击页面的用户浏览器弹出窗口,这样又可以利用弹窗来达到挂马的目的了。攻击代码如下:
该段代码是让浏览器弹出一个窗口并打开百度首页,把百度的网址换成挂马的网页,黑客的攻击目的就达到了。
4)利用<iframe>标签进行XSS攻击
<iframe>是一个非常常用的HTML标签,他的功能是在网页中嵌入其他网页,可 以通过height属性和src指定嵌入页面的高度和地址。黑客可以将高度设为0,将页面地址设置为被挂马的网页,或者利用cookie的同源特性窃取cookie。
攻击代码如下:
2安全防御常用方法
2.1平衡风险与可用性
尽量使安全措施对用户透明,使他们感受不到它的存在。如果实在不可能,就尽量采用用户比较常见和熟悉的方式来进行。例如,在用户访问受控信息或服务前让他们输入用户名和密码就是一种比较好的方式。
2.2跟踪数据
作为一个有安全意识的开发者,最重要的一件事就是随时跟踪数据。不只是要知道它是什么和它在哪里,还要知道它从哪里来,要到哪里去。有时候要做到这些是困难的,特别是当你对WEB的运做原理没有深入理解时。这也就是为什么尽管有些开发者在其它开发环境中很有经验,但他对WEB不是很有经验时,经常会犯错并制造安全漏洞。
2.3过滤输入
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。
3小结
本文主要研究了在PHP网站代码编写过程中应该注意的一些与安全相关的要点以及一些应该遵守的方法,掌握了这些方法,对PHP网站安全有很大的好处,希望对同行能有一定的参考作用。
参考文献
[1] Stuttard.D,Pinto.M,石华耀译.黑客攻防技术宝典[M].北京: 人民邮电出版社,2009.
[2] 周绯菲,何文.计算机网络安全技术实验教程.北京: 邮电大学出版社,2009.
中图分类号:TN929.533文献标识码:A文章编号:1005-3824(2014)03-0073-03
0引言
LTE(long term evolution)是3GPP组织制定的新一代宽带无线移动通信技术,当前已成为未来移动通信发展的主要技术方向,并已在全球几大主流市场进行了商用部署和应用[1]。LTE网络需要提供高速的移动数据业务,这对LTE网络的覆盖提出了很高的要求。受限于高频段损耗大及新增站址困难等因素,LTE网络覆盖将面临前所未有的挑战。
2011年底小灵通的退网,导致中国电信和中国联通目前有数百万的小灵通站址闲置。如果利用好这些小灵通站址资源对LTE站点进行升级改造,不仅能有效地解决LTE网络的深度覆盖、热点补充和站址获取困难等问题,同时还可共享小灵通基站现网的站点资源,降低网络建设成本,盘活现有网络资产,这对运营商有着非常重要的意义。
1应用背景
对于面向提供高速移动数据业务的LTE系统,与现网2G/3G相比,LTE网络的覆盖将面临以下四大挑战。
1)深度覆盖和热点覆盖需求强烈。70%80%的移动数据业务发生在室内,尤其来自无室分系统的密集居民区和学校等场景,室外宏站穿透覆盖室内的方案存在室内覆盖欠佳、吸收话务比例不高的情况,急需解决深度覆盖问题[2];同时,随着移动数据业务量的迅猛增长和移动数据业务分布的不均衡,部分特定区域会出现数据业务的突发性增长,从而造成容量不足和用户业务质量下降等热点覆盖问题。
2)移动数据业务质量要求高。为保证用户的高速移动数据业务体验,必须提供良好的连续覆盖;而基于高阶调制的数据业务对信号的强度和信噪比提出了更高的要求[3]。
3)高频段损耗大,覆盖能力较差。频段越高,对应的路损越大,覆盖能力越弱。假如LTE采用2 GHz附近的高频段,相比2G系统的800 MHz和900 MHz频段,其传播损耗和穿透损耗明显偏高,将影响LTE网络的覆盖能力。
4)新增站址困难。LTE网络与现有2G/3G网络共址无法满足信号的覆盖要求,未来LTE网络必须新增相当多的站址。但考虑到居民的环保意识越来越强,天面资源获取及业主协调的难度越来越大,新增站址将面临巨大的挑战。
因此,为满足不同应用场景的部署需求,克服高频段覆盖能力弱的短板,LTE需要引入满足不同应用场景需求的多样化基站部署方式来应对这些挑战。而小灵通基站在城区分布广泛,通过选取合适的小灵通基站部署LTE站点,可实现未来LTE部署时热点区域的流量吸收和高频段网络的信号补盲,并缓解站点获取困难等问题。
2分场景解决方案
小灵通站点覆盖范围小,数量众多,广泛分布在居民区、办公楼、电线杆和电话亭等区域。小灵通基站可用的站点资源主要有:抱杆资源,小灵通基站一般采用3 m抱杆和1-2层天线支架平台,部分基站采用了增高架;电源资源,小灵通基站一般采用220 V市电电源,部分重要的基站还配置有UPS;接地资源,小灵通基站设置有小接地铜排,并用镀锌扁钢连接至大楼地网;传输资源,小灵通基站设备和小灵通基站控制器之间采用双绞线传输信号[4]。
根据LTE网络的覆盖需求和网络特性,以及小灵通基站可用资源的特点,可将小灵通基站在LTE网络中的利用场景和改造方式划分为以下3类。
1)室外宏基站覆盖场景。
现有2G/3G网络叠加LTE网络后,由于LTE网络高频,需要在现有网络基础上新增较多的宏基站才能满足LTE网络的高速移动数据覆盖需求,而小灵通基站的覆盖范围和LTE网络的覆盖范围相当,可以考虑把小灵通基站利旧成LTE宏基站,解决新建站址困难的问题。
在规划宏站位置附近寻找站高20 m以上,距离规划宏站位置小于100 m的小灵通基站,利旧成三扇区宏基站。由于小灵通站点天面条件和机房条件的限制,建议直接采用BBU+RRU的分布式宏基站解决方案,将BBU集中放置在现网宏站机房,RRU安装在现有的小灵通基站抱杆上,可充分利旧现有站址资源。
RRU拉远设备一般体积较小,安装简便,可直接安装在小灵通基站现有抱杆上;通过选用室外型交流电源供电方式,可直接使用小灵通基站的外市电、UPS电源和接地资源;覆盖的天线可选用尺寸和增益较小的双极化天线,可直接利旧小灵通基站的天线抱杆安装。由于采用光纤拉远,不能直接使用小灵通基站的传输资源,但可以共用小灵通基站的传输线路布放路由和PVC管等资源。
2)微站补盲覆盖场景。
相比2G/3G系统,在高频段建设的LTE网络,覆盖半径更小,加上室内穿透损耗,无法建设室分系统的部分居民区的覆盖问题将更加突出。可考虑选取合适的小灵通站址建设LTE微基站,然后将定向天线对准居民楼进行覆盖,可解决居民区无法建设室内分布系统导致的覆盖问题。
LTE微基站的设备、天馈安装方式及利旧方式与RRU拉远设备基本相同,可有效地利旧小灵通基站的抱杆、市电和接地资源。微基站体积更加小巧,集成度更高,部分厂家还可集基带、射频和天线于一体,相比普通的RRU拉远设备安装更加灵活。针对微基站的传输接入,光纤到楼的站点一般都有光纤预留,建议直接跳纤至IPRAN或PTN网络;无光纤资源的站点,可考虑利旧小灵通基站现有的双绞线资源,通过2线对绑定可支持80/20 M,但需要增加VDSL2MODEM和DLSAM设备。
安装效果如图1[5]所示。
随着LTE网络的发展和移动数据业务分布的不均衡,移动数据流量的迅猛增长,局部地区将出现数据热点,需要通过加站、扩载频和小区分裂等方式进行扩容。可通过在热点区域的周边利用合适的小灵通站址,快速部署LTE宏基站或微基站,解决容量不足、频段有限和站址获取困难等问题,疏导热点数据业务流量,改善无线数据业务的用户体验。
综上所述,将小灵通基站升级改造为LTE站点,在LTE网络建设初期可作为网络覆盖的补充,后期可作为容量提升的手段,以此实现LTE信号的深度覆盖和热点区域的流量吸收。
3建设难点分析及快速改造方案
随着公众环保意识的逐渐增强,加上基站辐射的不实报导造成社会舆论对电磁辐射的误解,导致居民对于移动基站的建设非常敏感,如何快速快捷地改造这些小灵通基站成为LTE站点,成为了小灵通基站能否被成功利用的关键和难点所在。
基于国内通信网建设的现状,以及LTE网络产业发展的状况,本着绿色建站和资源共享的原则,建议从以下几个方面入手来解决小灵通基站的快速改造难题。
1)单个设备即能解决LTE站点升级改造。新增LTE基站设备建议采用室外型一体化设计,集基带、射频和天线于一体,天线内置,馈线不外露,并防水防尘。一体化设备由于无外置天线和天馈线,可直接架设在小灵通基站的现有抱杆上,免除了居民对于移动天线的困惑和猜测。
2)多种传输方式解决接入。LTE基站设备除了能提供传统的光纤接入方式的支持外,同时还需提供支持xDSL(数字用户线路)、xPON(无源光网络)、FE(快速以太网)/GE(千兆以太网)等多种传输接入方式,方便回传接入[56]。必要时可直接利旧现有小灵通基站的双绞线进行传输,减少针对现有传输线路进行重新布放和改造的工作。
3)1人1 h完成改造施工。施工人员改造前做好充足的准备工作,根据基站周边小区居民楼和办公楼的物业情况进行灵活协调,选择最佳的时间段进场施工。做到一次进场,快速实施,1人1 h即完成小灵通站点的LTE升级改造工作,最大限度地减少对周边民众的影响,有效地避免居民的怀疑和反感。
4投资效益分析
