诚信为本,市场在变,诚信永远不变...
热线电话:
400-023-4588网站设计论文范文10篇
MG体育茶企网站视觉设计是以互联网作为载体,以互联网技术和数字交互技术为基础,依照客户和消费者的相关需求设计,同时遵循艺术设计规律,实现商业目的与功能统一,是商业功能和视觉艺术的统一。设计具有江西文化特征的茶企网站,需要把握以下设计原则:
(一)主题鲜明性。创建网站首先必须具有明确的目的和目标群体。既然是作为宣传江西茶叶的网站,首先需要考虑广大消费者对于江西茶叶的了解和印象。明确设计网站的主要目的是为了宣传产品、介绍企业还是推广电子商务?例如云南大益茶业集团官网设计,网站宣传主题目的非常明确,宣传和推广大益品牌的茶文化和茶产品。
(二)信息专业性。网站的信息内容应该充分展现茶企的专业性。通过各类信息、数据向外界介绍茶企的业务范围、性质和实力。作为江西茶企,应通过网站各类信息,向消费者和客户宣传江西茶文化和茶叶的优势和独特之处,塑造良好的品牌形象从而创造更多的商机。
(三)功能实用性。茶企网站提供的各种功能服务应符合浏览者实际需求并且体现企业文化。如英国著名茶叶品牌“立顿”茶中文官网中,在栏目设置上从立顿品牌诠释、品牌历史到立顿产品简介、立顿广告营销等等提供了丰富的功能设置。
(四)设计艺术性。茶企网站设计将企业文化内涵与现代界面设计理念相结合,创造出能够充分体现茶企独特的企业文化理念、卓越的产品特性等视觉形象,塑造茶企良好的品牌形象。如江西“大鄣山”茶企网站首页设计(图1),以美丽茶园景色为背景,绿色充溢整个页面。页面设计丰富而单纯,将受众带入到情景之中,极具视觉冲击力。具有良好视觉形象设计的企业网站,不仅能达到宣传企业、提高企业知名度的效果,而且“人性化”的设计理念也会给予用户以视觉和心理上的双重愉悦感和美的享受,使用户发自内心地接受并喜欢浏览网站的信息,从而使企业和用户达到了双赢。
企业网站的视觉设计不仅仅只是网页的装饰设计,更重要的是体现了企业的形象和文化。茶企网站设计中的视觉表达必须遵循基本的设计规律且符合基本的美学原理和排版原则。江西茶企网站设计的视觉表达从以下几个方面进行分析。
(一)页面版式设计表达。网页版式设计主要是从网页整体角度考虑,获得的对于网页界面的整体理解和感受。网页版面设计要求整体布局一致,视觉流程流畅且主次分明,从而减少用户在浏览时所产生的视觉跳动性。由于茶文化网站其诉求的重点在于传递企业理念,提升企业品牌。这是茶文化网站在页面整体版式设计上着重考虑的因素。页面整体构图形式方面主要有三种类型:上下型、左右型和混合型。无论采用哪种类型,目的都是为了彰显企业文化理念和品牌形象。在中国传统文化中,饱满、完整是形式追求上的主要选择。如大益茶业集团中文官网页面整体设计采用混合型版式,图形与文字由上至下,从左到右,集中在页面中间,使得整个页面版式形式完整、主次分明、稳重大方,不落俗套。茶文化网站由于企业理念和品牌形象各不相同,因此在网页版式设计上具有较强的灵活性,可以设计出多样化的页面版式效果。
(二)色彩元素的设计表达。色彩作为网页中最先吸引浏览者视线的视觉要素,在网站设计中具有非常重要的地位。在页面设计中,应该根据和谐统一和重点突出的原则,将不同的色彩进行组合搭配。设计江西茶企网站应充分认识和理解茶文化对于色彩的理解和诠释,利用色彩的巧妙搭配,彰显江西茶文化和茶产品的精神内涵。我们可以根据企业形象识别系统中的企业视觉识别系统进行标准色的选取、运用,使企业形象整体而统一。江西茶企网站应要选择企业视觉识别系统的标准色以及辅助色进行整体页面色彩设计构思。一般而言,我们应当先确立一种主色调以利于网站主题的表现与气氛的烘托。然后确定与主色调相类似的辅助色,这样有利于界面风格的统一。最后还可以选择小面积的对比色,从而实现大面积协调与小面积对比,这样整个页面设计在统一和谐的基础上会显得更加活泼生动。例如杭州龙井茶叶集团官网中(图2),页面的色彩设计利用色彩的主次关系,主色调采用浓重的黑色与明黄色,传递出杭州龙井茶与皇家之间的历史渊源,塑造杭州龙井茶尊贵的品质和形象。
(三)文字与图形设计表达。文字是网站信息传达的主要载体,可以让访问者方便、快捷地了解网站内容。在网页设计中,文字的编排主要表现在字体、大小以及强弱效果的变化。江西茶企网站在文字选择方面着重考虑文化性和功能性的结合。利用不同汉字字体,创造与企业文化相对应的视觉形象。图形相对于单纯的文字来说,信息容量更大也更具有视觉感染力和冲击力,更能满足用户的情感需求。图形化设计使得用户与网页之间的沟通与交流变得更人性化,更为愉悦和便捷。设计江西茶企网站,通过具有典型中国文化特征的图片、图标等的设计和表达来感染用户和客户。在大益茶业集团中文官网页面中,大益茶的标志设计利用汉字与图形的结合,传递出大益茶的企业理念和品牌形象。江西茶企中也有优秀的例证,“大鄣山”茶叶网站的标志采用书法字体(图3),具有浓重的文化特征和视觉效果。
(四)视觉表达元素的统一性。网站视觉设计的最终目的不只是单纯追求视觉感染力而是更好地表现网站的主题,因此视觉元素的统一性非常重要。一是视觉设计个元素要与主题相统一,视觉设计必须服务于网站主题的表达。江西茶企网站设计宣传主题是对外宣传和推广江西茶文化和茶产品,这一主题必须贯彻在整个设计的始终。二是内容与形式要统一,即整体视觉元素和网页内容及意境的统一。视觉表达各元素中应在内容上的内在联系和表现形式上相呼应,并注意整体设计风格的一致性,实现视觉上和心理上的统一。
工作流通常指的是工作参与者为了达到某一工作目标而实施的工作以及工作转交过程。工作流属于一种对工作流程的计算模型,是把工作流程前后相关的工作联系在一起的规则。简言之,工作流指的是一系列相互联系且自动实施的业务活动,是业务流程的全部或者部分自动化。按照工作内容和要求的不同我们可以针对不同类型的工作流定义出不同形式与特点的流程,在每个流程中都定义相关的节点信息,同时各个节点和有与其对应的角色。各种单据与报表可以对应不同的流程,如果我们的工作内容或者管理需求发生变化,则可以对其中相关的一项节点或流程信息进行调整,进而极大的提升了整个系统的扩展性与灵活度。
对流程进行定义之后,开始制作相关单据与报表,正式进入流转过程,各个流程都分成了不同节点,而每一个节点都必须通过具备一定权限的签名之后才能够顺利向下一节点流转。具备权限的用户在打开系统之后能够成功查看自身所在节点的一系列流程信息,主要包含有需要签名的单据、接受的回退申请或者撤销的流程等。
Java网站设计中的工作流的设计文/康晓林蒋少莉良好的审批流程设计不但能够摆脱时间与空间的制约,管理者也能够不受时空的限制而下达相关指令,从而极大的提升工作效率。本文主要探讨了基于Java的网站设计中工作流系统的设计。摘要流转结束之后能够撤销,让其恢复到流转开始时的状态,另外在流程流转过程中数据库中已经被修改的信息也会恢复到原始状态。在流转开始之前,我们可以利用存储过程将定义好的流程进行初始化,进而生成流程实例。若流转已经完成的流程因某种原因必须撤销,管理员能够直接对流程信息进行查看并下达撤销指令,进而让其作为新流程再次流转。
在Java平台下设计的系统之中,一般我们选择把需要连接的主机名、用户名以及数据库都写在JavaBean内,若用户数据库产生变化或者主机名、用户名被修改,则必须对连接数据库的JavaBean进行修改,再编译为Class文件,之后通过JSP客户端或者应用程序进行调用。这样一来就能够避免对源程序进行修改和重新编译的繁琐问题。在本文所设计的系统中,主要是把需要连接的数据库、主机名和用户名共同写在一个加密文件内,在与数据库连接时仅仅需要利用JavaBean来读取这一加密文件。如果连接信息变化,则只需要对加密文件进行修改,而不对连接数据库程序进行修改就能够实现与数据库的有效连接,进而在很大程度上提升了连接数据库的灵活性。
该系统是基于互联网的网站系统,我们无法明确的了解有多少用户会同时上线使用,如果有成千上万人同时登陆,系统所承受的负荷非常之大。其中,数据库连接的建立与释放是这一系统中代价最大的操作,系统在数据库的建立与释放的过程中运用连接池技术,建立了相应的数据库连接对象,当客户端应用程序对连接产生使用需求时,便从中取出,之后再放回其中,减少了连接重新释放所消耗的时间,同时其余客户端应用程序需要与对象进行连接时可以直接从中取出使用,节省了建立连接的时间。
在本系统中,对审批流程的定义、流转以及撤销进行了设计,运用微软GryptoAPI技术、CAPICOM控件、JDK扩展库IAIK控件以及数字签名技术,有效的实现了单据和报表等网上审批流程。
1.引言:目前动态网站设计技术主要有:利用Perl/C++/Delphi等开发的CGI,两种有名的API-ISAPI/NSAPI,还有ColdFusion,以及最近几年流行起来的3p技术-ASP,PHP,JSP(据Internet上有关网站统计约有近百种);ASP-AtiveServerPage,由微软公司开发,是一个WEB服务器端的开发环境,主要采用脚本语言VBScript(或javascript/perl等)作为自己的开发语言,可用ODBC或直接驱动法访问Window平台的数据库。PHP-PersonServerPage,是由Rasmus个人创立的一种跨平台的服务器端的嵌入式脚本语言.它大量地借用C,Java和Perl语言的语法,并耦合PHP自己的特性,.是一种很有个性的网站开发语言,它支持目前绝大多数数据库。JSP-JavaServerPage,是Sun公司推出的新一代站点开发语言,Sun公司除Java应用程序和JavaApplet之外,又创立了JSP,其可以在Serverlet和JavaBean的支持下,完成功能强大的站点程序开发,特别是有许多访问数据库的方法。在电子商务平台设计中,主要需要解决网站结构的设计,注册界面,交易界面,后台数据库,以及配套模块诸如购物/用户/论坛/反馈/搜索/会话等设计;考虑篇幅,本文只给出统一的前台界面及后台数据库的3p设计方法;可以说ASP,PHP,JSP与网络数据库的操作是电子商务网站平台设计的坚强基石。
标签处将端口设置为82(在我的NT5.0上装有三个服务器,这样三个服务器的端口分别为IIS:80;Apache:81;Resin:82其实也可设置为其他互不冲突的端口号).测试JSP:启动Resin服务器,启动浏览器,在地址栏处输127.0.0.1:82/,若浏览到Resin服务器的JSP欢迎页面,说明安装成功
3生成三种格式的动态表单页面为了通用,这里采用可能用到的表单对象为例,至于下面设计具体数据表用到的字段,只要转成给出的表单域相应对象即可.
3.1用ASP动态生成与数据库进行数据交流的操作表单:form.asp:生成表单域头:生成普通文本:生成密码文本:生成滚动文本:生成单选:生成复选:生成列表框:生成提交按钮生成重填按钮生成表单域尾
3.2用PHP动态生成与数据库进行数据交流的操作表单:form.php生成表单域头:?生成普通文本:?生成密码文本:?生成滚动文本:?生成单选:?生成复选:?生成列表框:网络数据库Asp技术Php技术Jsp技术网站设计?生成提交按钮?生成重填按钮?生成表单域尾?
3.3用JSP动态生成与数据库进行数据交流的操作表单form.jsp生成表单域头:生成普通文本:生成密码文本:生成滚动文本:生成单选:生成复选:生成列表框:生成提交按钮生成重填按钮生成表单域尾
6.2连接数据库的方法:通过上述操作可看出,本文采用了三种操作MySql数据库的方法,Asp采用直接驱动法,Php采用MySql函数法,Jsp采用JDBC-ODBC/JavaBean法
6.3网站结构设计考虑篇幅,本文只给出了Widows平台上,电子商务网站设计中的主要环节的代码设计,对于Linux平台、网站结构、各个功能模块设计等论题,作者已经有两篇这方面的论文在核心刊物上待发表,这里不便公开.
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[id]取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
论文摘要:网络上的动态网站以ASP为多数,我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP程序设计存在的信息安全隐患进行分析,讨论了ASP程序常见的安全漏洞,从程序设计角度对WEB信息安全及防范提供了参考。
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[id]取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[id]取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
[1]袁志芳田晓芳李桂宝《ASP程序设计与WEB信息安全》中国教育信息化2007年21期.
[2]陈明奇《2007年上半年网络安全状况分析》信息网络安全2007年第10期
当今计算机网络技术飞速发展,网络化和全球化成为不可抗拒的世界潮流。网站(Website)简单地说是一种通讯工具,人们可以通过网站来自己想要公开的资讯,或者利用网站来提供相关的网络服务。目前许多企业都拥有自己的网站,他们利用网站来开展电子商务与客户互动来往,产品资讯、招聘等等。但同时有些企业在网站的设计中出现了一些设计误区,可能会造成低效的品牌宣传、混乱的业务信息沟通等问题。本文列举出企业网站设计的六个误区以及正确的解决方法。希望企业能尽快走出误区最大限度地利用网站宣传、沟通、获取利润。
误区一:设计主题不明确。对于企业网站来说,必须具有明确的主题和目标群体。要清楚网站是面对客户、供应商、消费者还是全部,主要目的是为了介绍企业、宣传产品还是为了实现电子商务。许多企业对此没有明确的主题,只是把公司产品、业务简介、公司促销活动等信息贴在公司网站上。这样的做法充其量只是多个电子公告板而已,根本没有发挥网络的互动功能。其实,网站架设应由网络营销角度出发。换句话说,是否可以透过网络在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。因此,传统产业要的网站,应该由营销主管角度优先思索。第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
误区二:色彩运用不和谐。色彩是艺术表现的要素之一,它是光刺激眼睛再传导到大脑中枢而产生的一种感觉。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合、搭配来构成美丽的页面。国内网站在设计中并不注重色彩方面的和谐表达,网页颜色数量过多、互不相干的两种色彩放在一起、搭配不协调,缺乏统一的风格。在色彩的运用过程中,还应注意的一个问题是:由于国家和种族的不同,宗教和信仰的不同,生活的地理位置、文化修养的差异,不同的人群对色彩的喜恶程度有着很大差异。所以在企业网站设计中要考虑主要读者群的背景和构成而不能盲目运用色彩。
误区三:多媒体表现形式过多。网页中使用图片、动画、声音我们无可厚非,这也体现了网络交互性的一个方面,但问题是在网页中胡乱地加入一些互不相干的图片动画和声音,会扰乱浏览者的阅读视线,影响浏览者的心情,而最终导致离开!同时由于有些用户不一定安装相应的电脑软件,有些图像或其他文件可能无法正常显示,也就无法达到预期的效果。特别是企业在经营自己的在线商务,企业网站最重要的任务就是销售产品或服务,其他任何脱离这个基本原则的东西都是不合适的。所以企业的网页不需要太多图片和动画,因为要看漂亮的图片和动画,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
误区四:浏览器和显示器不兼容。虽然IE浏览器用户占据绝对多数,但是,也不能因此忽视其他浏览器的用户。特别是有国外用户的企业,国外市场上其他类型的浏览器还有着比较大的市场份额。另外,并非每个用户都使用800*600小字体的显示模式,不要自以为是地为用户建议“最佳显示模式”。所以在设计的时候一定要考虑到不同分辨率下的状况,争取都能做到好的效果。误区五:传输、更新速度过慢。页面是网站留住访问者的关键因素。如果不能让每个页面都保持较快的,至少应该确保主页速度尽可能快。而我们一部分企业网站的设计从速度上来看是失败的,耐心的等待半天才看到最后划着红叉的图片--图片链接下载失败,只能刷新,这又要等一段时间。测试一下企业网站的,尤其是如果网站首页图片比较多的话,当然注意清除电脑中浏览器的缓存。另外,影响网站速度的因素有很多,其中除了技术方面,就是主体图片,因此再次强调一定要保证图片使用的度!同样如果一个企业网站的资料一个月才更新一次,很多浏览者将对此失去兴趣,也会使企业失去更多可能的客户。当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得最新资讯。另外所谓活网站的“活”,也是指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等,当然不需样样功能都具备。必须针对网站的定位,选择适合的机制;同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心。
误区六:疏忽网站安全问题。很多企业网站具有了完善的导航功能,清晰的文字,漂亮的页面但却忽视了网站的安全问题。因为很多企业网站的目的是为了用于进行电子政务或电子商务,因此网站的安全就更加显得重要。为了设计和管理一个有效、可靠的网站商业服务,必须事先制定一套全面的网站服务安全策略。安全策略将应用于所有网站服务系统、数据库、内容、电脑平台、软件以及网络,它们的作用是处理、交互或者提供对服务的访问途径。提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。
当今计算机网络技术飞速发展,网络化和全球化成为不可抗拒的世界潮流。网站(Website)简单地说是一种通讯工具,人们可以通过网站来自己想要公开的资讯,或者利用网站来提供相关的网络服务。目前许多企业都拥有自己的网站,他们利用网站来开展电子商务与客户互动来往,产品资讯、招聘等等。但同时有些企业在网站的设计中出现了一些设计误区,可能会造成低效的品牌宣传、混乱的业务信息沟通等问题。本文列举出企业网站设计的六个误区以及正确的解决方法。希望企业能尽快走出误区最大限度地利用网站宣传、沟通、获取利润。
误区一:设计主题不明确。对于企业网站来说,必须具有明确的主题和目标群体。要清楚网站是面对客户、供应商、消费者还是全部,主要目的是为了介绍企业、宣传产品还是为了实现电子商务。许多企业对此没有明确的主题,只是把公司产品、业务简介、公司促销活动等信息贴在公司网站上。这样的做法充其量只是多个电子公告板而已,根本没有发挥网络的互动功能。其实,网站架设应由网络营销角度出发。换句话说,是否可以透过网络在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。因此,传统产业要的网站,应该由营销主管角度优先思索。第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
误区二:色彩运用不和谐。色彩是艺术表现的要素之一,它是光刺激眼睛再传导到大脑中枢而产生的一种感觉。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合、搭配来构成美丽的页面。国内网站在设计中并不注重色彩方面的和谐表达,网页颜色数量过多、互不相干的两种色彩放在一起、搭配不协调,缺乏统一的风格。在色彩的运用过程中,还应注意的一个问题是:由于国家和种族的不同,宗教和信仰的不同,生活的地理位置、文化修养的差异,不同的人群对色彩的喜恶程度有着很大差异。所以在企业网站设计中要考虑主要读者群的背景和构成而不能盲目运用色彩。
误区三:多媒体表现形式过多。网页中使用图片、动画、声音我们无可厚非,这也体现了网络交互性的一个方面,但问题是在网页中胡乱地加入一些互不相干的图片动画和声音,会扰乱浏览者的阅读视线,影响浏览者的心情,而最终导致离开!同时由于有些用户不一定安装相应的电脑软件,有些图像或其他文件可能无法正常显示,也就无法达到预期的效果。特别是企业在经营自己的在线商务,企业网站最重要的任务就是销售产品或服务,其他任何脱离这个基本原则的东西都是不合适的。所以企业的网页不需要太多图片和动画,因为要看漂亮的图片和动画,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
误区四:浏览器和显示器不兼容。虽然IE浏览器用户占据绝对多数,但是,也不能因此忽视其他浏览器的用户。特别是有国外用户的企业,国外市场上其他类型的浏览器还有着比较大的市场份额。另外,并非每个用户都使用800*600小字体的显示模式,不要自以为是地为用户建议“最佳显示模式”。所以在设计的时候一定要考虑到不同分辨率下的状况,争取都能做到好的效果。误区五:传输、更新速度过慢。页面是网站留住访问者的关键因素。如果不能让每个页面都保持较快的,至少应该确保主页速度尽可能快。而我们一部分企业网站的设计从速度上来看是失败的,耐心的等待半天才看到最后划着红叉的图片--图片链接下载失败,只能刷新,这又要等一段时间。测试一下企业网站的,尤其是如果网站首页图片比较多的话,当然注意清除电脑中浏览器的缓存。另外,影响网站速度的因素有很多,其中除了技术方面,就是主体图片,因此再次强调一定要保证图片使用的度!同样如果一个企业网站的资料一个月才更新一次,很多浏览者将对此失去兴趣,也会使企业失去更多可能的客户。当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得最新资讯。另外所谓活网站的“活”,也是指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等,当然不需样样功能都具备。必须针对网站的定位,选择适合的机制;同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心。
误区六:疏忽网站安全问题。很多企业网站具有了完善的导航功能,清晰的文字,漂亮的页面但却忽视了网站的安全问题。因为很多企业网站的目的是为了用于进行电子政务或电子商务,因此网站的安全就更加显得重要。为了设计和管理一个有效、可靠的网站商业服务,必须事先制定一套全面的网站服务安全策略。安全策略将应用于所有网站服务系统、数据库、内容、电脑平台、软件以及网络,它们的作用是处理、交互或者提供对服务的访问途径。提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设中的重要一环。
企业需不需要网站?几乎所有有远见的企业家都会毫不犹豫地说:当然需要!但一个不容忽视的问题是,许多企业仅仅停留在有网站的阶段,他们并没有意识到一个界面粗糙、内容单一、流程混乱、安全性差的网站,其实给访问者留下了极差的感觉,严重破坏了企业的形象。
怎么样的企业网站才算成功?时代财富顾问公司在为众多企业设计网站的过程中,总结出了一套完整的、有较高参考价值的《企业网站评定标准》,期望以此引起企业界对自身网站的重视,使企业网站真正成为企业宣传、管理、营销的有效工具。
企业网站定义:主要为了外界了解企业自身、树立良好企业形象、并适当提供一定服务的网站。根据行业特性的差别,以及企业的建站目的和主要目标群体的不同,大致可以把企业网站分为:
基本信息型:主要面向客户、业界人士或者普通浏览者,以介绍企业的基本资料、帮助树立企业形象为主;也可以适当提供行业内的新闻或者知识信息。这种类型网站通常也被形象的比喻为企业的WEBCatalog。
电子商务型:主要面向供应商、客户或者企业产品(服务)的消费群体,以提供某种直属于企业业务范围的服务或交易、或者为业务服务的服务或者交易为主;这样的网站可以说是正处于电子商务化的一个中间阶段,由于行业特色和企业投入的深度广度的不同,其电子商务化程度可能处于从比较初级的服务支持、产品列表到比较高级的网上支付的其中某一阶段。通常这种类型可以形象的称为网上XX企业。例如,网上银行、网上酒店等。
多媒体广告型:主要面向客户或者企业产品(服务)的消费群体,以宣传企业的核心品牌形象或者主要产品(服务)为主。这种类型无论从目的上还是实际表现手法上相对于普通网站而言更像一个平面广告或者电视广告,因此用多媒体广告来称呼这种类型的网站更贴切一点。
在实际应用中,很多网站往往不能简单的归为某一种类型,无论是建站目的还是表现形式都可能涵盖了两种或两种以上类型;对于这种企业网站,可以按上述类型的区别划分为不同的部分,每一个部分都基本上可以认为是一个较为完整的网站类型。注意:由于互联网公司的特殊性,在这里不包含互联网的信息提供商或者服务提供商的网站。
企业网站第一原则:目的性Intension必须有明确合理的建站目的和目标群体
任何一个网站,必须首先具有明确的目的和目标群体。网站是面对客户、供应商、消费者还是全部?主要目的是为了介绍企业、宣传某种产品还是为了试验电子商务?如果目的不是唯一的,还应该清楚的列出不同目的的轻重关系。建站包括类型的选择、内容功能的筹备、界面设计等各个方面都受到目的性的直接影响,因此目的性是一切原则的基础。
目的应该是定义明确的,而不是笼统的说要做一个平台、要搞电子商务,应该清楚主要希望谁来浏览,具体要做到哪些内容,提供怎样的服务,达到什么效果。
在当前的资源环境下能够实现的,而不能脱离了自身的人力、物力、互联网基础以及整个外部环境等因素盲目制订目标,尤其是对外部环境的考量通常容易被忽略,结果只能成为美好的一相情愿。
如果目标比较庞大,应该充分考虑各部分的轻重关系和实现的难易度,想要一步登天的做法通常会导致投入过大且缺少头绪,不如分清主次循序渐进。
在充分考虑了目的和目标群体的特点以后,再来选择建站类型,并相应的安排适当的信息内容和功能服务。显然如果目标群体的互联网基础薄弱,建立电子商务型的网站就是个失误。在信息内容和功能服务的安排上,还应该避免大而全的十全大补丸式、贫乏空洞的八股文式、以及选材偏离主题的常见错误。
企业网站第二原则:专业性Specialization信息内容应该充分展现企业的专业特性
对外介绍企业自身,最主要的目的是向外界介绍企业的业务范围、性质和实力,从而创造更多的商机。在这里包括:
如果是上市企业,提供企业的股票市值或者到专门财经网站的链接将有助于浏览者了解企业的实力
全面性:对所在行业的相关知识、信息的涵盖范围应该全面,尽管内容本身不必做得百分百全面
独创性:具有原创性、独创性的内容更能引起得到重视和认可,有助于提升浏览者对企业本身的印象
如果企业的客户、潜在客户包含不同语系的,应该提供相应的语言版本,至少应该提供通用的英语版本
网站提供的功能服务应该是切合浏览者实际需求的且符合企业特点的。例如网上银行提供免费电子邮件和个人主页空间就既不符合浏览者对网上银行网站的需求也不是银行的优势,这样的功能服务提供不但会削弱浏览者对网站的整体印象,还浪费了企业的资源投入,有弊无利。
每个服务必须有定义清晰的流程,每个步骤需要什么条件、产生什么结果、由谁来操作、如何实现等都应该是清晰无误的。
实现功能服务的程序必须是正确的、健壮的(防错的)、能够及时响应的、能够应付预想的同时请求服务数峰值的。
当功能较多的时候应该清楚的定义相互之间的轻重关系,并在界面上和服务响应上加以体现。
◎不同板块的内容尽量做到没有交叉重复内容,共性较多的内容应尽量划分到同一板块。
在安排层次的时候要充分考虑用户操作,比较常用的信息内容、功能服务应该尽量放到更浅的层次以减少用户点击次数。
信息内容的获取和功能服务的过程都应该尽量将所需要进行的步骤控制在3~5步以内,不得不需要更多的步骤的时候应该有明确的提示。
界面元素的命名的一致性:同样的元素应该用同样的命名;同类元素命名满足一致性,做到即使某个元素的表述不清楚也能从上下文推断其义。
元素风格一致性:界面元素的美观风格、摆放位置在同一个界面和不同界面之间都应该是一致的。
每个界面调出的时间应该在可以接受范围之内,当必须耗用较长的时间时应该有明确提示并最好有进度显示。
当不同的方式能够达到相同或近似的效果时,总是应该选取令客户访问或使用更简单快捷的方式(在开发资源差别可忽略的情况下),例如尽量减少客户端插件的使用。
大量信息内容尽量不超过浏览器高度的500%,如果超过,应该使用页内定位或者进行分页。
命名应该是简洁的、定义清晰的、易明且不易相互混淆的;对于目标群体而言,尽量不使用较为生僻的词语,如果一定要,则应给出容易理解的解释。应该具有明确的导航条和网站地图提供快速导航操作。
企业网站第五原则:艺术性Artwork网页创作本身已经成了一种独特的艺术
网页创作从某种意义上来说可以称为eyeballwork,要达到吸引眼球的目的,再结合界面设计的相关原理,形成了一种独特的艺术,这使得企业网站的设计应该满足:
访问速度,取决于服务器接入方式和接入带宽、摆放地点、硬件性能和页面数据量、网络拥塞程度等多方因素。如果目标群体不止本地,则还应考虑地理因素造成的性能下降。
可容纳的最大同时请求数,取决于服务器性能、程序消耗资源和网络拥塞程度等因素。
企业网站第七原则:常维护更新Maintenance网站的最大特点是它总是不断变化的
网站的不断更新是其具有生命力的源泉之一。对于三种类型网站而言,更新的重要性通常为基本信息型多媒体广告型电子商务型。网站更新指标包括:
企业网站第八原则:发挥作用Knownandused网站必须被访问和使用才有价值
域名应该尽量容易理解和记忆,并且尽量简短;当难以简短的时候,宁愿放弃无意义或者难以理解的字符数字组合而选用稍长一点的域名。
域名设计应充分考虑目标群体的特点,例如如果要做到国际化,域名包含汉语拼音显然是不可取的。
登陆搜索引擎是一种行之有效的推广方法,在常用大型搜索引擎登录,设计更准确和全面的关键词,可以增加被正确检索的机会。
与同类或者相关类型企业网站结为联盟或者结成伙伴关系也有利于网站的有针对性的推广。
企业网站可以针对其目标群体特点采用一些其他的推广方法,例如座谈会等。作用比较突出的甚至包含品牌形象的网站也可以采用单独广告投入的方式进行宣传,例如网上银行、网上酒店等。
企业网站第九原则:反教条Anti-dogmatism原则是为目的服务而不应成为教条
任何原则都是因应目的而制定的,如果所采用的方法确实能够更好的达到目的,那就不必受原则本身的桎梏。
O2O的含义是OnlineToOffline,是一种在近年来十分流行的电子商务新模式,这种商务模式在与互联网进行合作的最普遍的形式就是网站浏览售卖的方法。所以消费者可以在网站上进行商品的浏览,并且通过在线支付的方式进行购买。O2O的设计理念就是将网站上的数据到实体店铺当中,再让商铺在后台进行服务情况的了解,再对消费者提供数据和商品信息。在这个支付的过程中,可以多种方式进行支付,例如使用二维码扫码的方式进行支付,消费者在订购商品和服务之后,就会受到一个二维码,通过扫描就可以验证信息,从而就会获得相应的产品和服务。
O2O网站的出现给人们的生活带来了极大的便利,由于现代社会高速发展,人们的生活普遍都比较疲惫,在工作之余人们可以足不出户就能够购买到合格的产品和优质的服务。并且更多的O2O网站的设计更加人性化,也给人们提供了更多种类的服务,例如当产品出现价格浮动的时候,消费者就会通过推送等形式了解到价格的变化,从而就能够实时的了解商品的信息,所以更加具有便利性。
安全性的优势主要体现在支付手段上,近几年各种的O2O网站开始越来越重视支付的安全性,更加切实的保证了消费者的权益不受到损害,很多的网站在支付的设计上添加了很多的安全保障,例如指纹验证、验证码验证、支付密码验证等方式,防止消费者的经济财产受到损失。在支付之后的追踪上也能体现其安全性,O2O模式可以让消费者在购买商品和服务之后能够对商品的位置进行追踪,通过用户与商品的联系,对商品的所有信息进行全程的控制。安全性这一优势让消费者市场得到了有效的拓宽。
O2O的网站在极大便利了人们生活和保障人们支付安全性的同时,也正在不断的扩展其商品和服务的涉及面。例如在很多餐饮企业就与网站进行了深刻的合作,还有很多的健身企业、媒体企业都在互联网中设立了自己的O2O网站,让其方式得到了很大的拓宽,能让消费者在网站中可以购买到所有类型的商品,同时得到更全面的服务。
携程旅行网是在1999年创立的,是我国比较早出现的O2O电子商务网站,早期创立的时候,一般只能够实现在线下进行服务和管理,网站的作用并没有得到很大的展现。但是在后期发展进步的过程中,技术的支持让携程旅行网实现了机票预订、酒店预订、商旅预定、度假预订等很多种类型的线上支付,提供给消费者包括旅行信息、旅行预定、旅行方式等全方位的一站式服务,这种网站的设计方式让消费者在旅行的时候进行所有环节的规划,具有极大的便利性。智能手机的普及下,也出现了手机APP的形式,与O2O网站的功能相同,实际的的服务水平非常高,在O2O网站的设计运作上也更加的全面。
大众点评网是我国处于比较领先地位的第三方消费点评网站,在这个O2O的网站设计上,加入了消费者在生活中的餐饮、娱乐、购物、住宿等方面的信息,凡是与网站进行合作的企业就会给消费者提供比较合理的优惠方案,在消费者进行消费之后还可以对商家的产品和服务进行点评,同时可以与其他消费者进行互动。这个网站的设计还能够为商家进行宣传和推广,通过与商家进行一定的协商,让平台与商家一起制定宣传方式和优惠方式,一般还可以提供团购的方案,让商家和消费者都得到更多的利益。在同样类型的O2O网站设计中,也设计了比较全面的服务类型和服务方式,在移动互联网中成功的占有了一席之地,受众群的年龄层也逐渐从年轻消费人群转为各个年龄段的人群,其覆盖的地区也越来越大,已经可以在中国进行全面的覆盖。
赶集网出现的时间虽然并不长,但是在我国的O2O网站中占有很重要的地位。它是国内目前最大的分类信息门户网站,人们可以通过其设计模式和分类,找到所需要的服务,包括职业招聘、房产信息、同城活动、票务买卖、车辆买卖等商务类的服务,赶集网自2005年以来十年的时间内得到了快速的进步和发展。在近年来网站的宣传设计上让其更加处于流行的趋势中,登陆到这个网站的用户就可以通过这个信息平台自己的商品信息,让其他需要的用户进行购买,属于网络上的“跳蚤市场”。这种O2O网站的设计更加适合现在的人们的生活需求。
淘宝网的O2O设计无疑是近些年来最流行的网络购物方式,虽然很多新兴的购物网站势头很劲,但是其地位还是没有被动摇。这是由于其网站设计的合理性和便利性所决定的,消费者通过在网站上获取各类商品的信息,同时淘宝网的网络设计了与商家进行直接的沟通,有利于消费者能够更了解商品的信息,从而与其他的商品进行比对,买到更加称心的商品。同时在网站设计的宣传方面,网站也提供了很多优惠的方式和时间段,供消费者进行选择,同时在过程中也得到了极大的影响力。
综上所述,企业用O2O这一网络平台的设计将产品与服务进行更好更有效的销售,也能够为用户在日常的生活中带来更大的便利。通过对技术的不断提升和改进,让O2O的平台更加高效,也让用户的满意度达到了更高的水平,这种设计方法在未来还要进行更加广泛的推广,更好的惠于大众。
[1]潘越.基于可用性研究的O2O电子商务网站界面设计[D].重庆师范大学,2013.
扫一扫关注大业微信公众帐号
