網(wǎng)站技術(shù)方案

《網(wǎng)站技術(shù)方案》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)站技術(shù)方案（35頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、XXXXXXXX有限公司 網(wǎng)站系統(tǒng) 技術(shù)方案 目錄 第一章網(wǎng)站系統(tǒng)分析 1.1 系統(tǒng)現(xiàn)狀與問題 1.2 需求說明與分析 第二章 網(wǎng)站系統(tǒng)項目建設(shè)目標(biāo) 第三章項目內(nèi)容與范圍 第四章網(wǎng)站技術(shù)方案設(shè)計報告 4.1 設(shè)計原則與標(biāo)準(zhǔn) 4.2 系統(tǒng)結(jié)構(gòu) 4.2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 4.2.2 系統(tǒng)體系架構(gòu) 4.2.3 系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu) 4.3 各功能模塊設(shè)計 4.3.1 首頁 4.3.2 關(guān)于我們 4.3.3 新聞中心 4.3.4 產(chǎn)品中心 4.3.5 客戶服務(wù) 4.3.6 人才中心 4.3.7 聯(lián)系我們 4.3.8 中英文切換 4.3.9 企業(yè)郵箱登錄

2、 4.3.10 在線交談 4.3.11 信息發(fā)布管理 4.3.12 欄目管理 4.3.13 權(quán)限管理 4.3.14 用戶管理 4.3.15 統(tǒng)計管理 4.3.16 日志管理 4.4 系統(tǒng)安全解決方案 4.4.1 可能的安全問題分析 4.4.2 系統(tǒng)防護(hù)解決方案 4.4.3 完善的事件處理 4.4.4 其他安全防護(hù) 4.5 技術(shù)方案總結(jié)報告 第五章 項目建設(shè)配套要求 5.1 運(yùn)行環(huán)境 5.2 硬件環(huán)境 第六章 項目清單及系統(tǒng)資產(chǎn) 6.1 軟硬件設(shè)備 6.1.1 主要內(nèi)容 6.1.2 清單及系統(tǒng)資產(chǎn) 6.2 軟件開發(fā) 6.2.1 網(wǎng)站功能清單 6.3

3、項目實(shí)施及培訓(xùn) 第一章網(wǎng)站系統(tǒng)分析 1.1 網(wǎng)站系統(tǒng)現(xiàn)狀與問題 目前我公司還沒有自己的對外網(wǎng)站系統(tǒng)，公司信息資源傳播較為滯后，沒有 得到有效的共享，且缺乏與客戶間的交流互動。主要問題如下： 1、公司信息資源沒有得到有效的共享，未能及時的面向客戶及用戶公開， 不利于客戶及用戶及時了解我司產(chǎn)品的最新動態(tài)。 2、缺乏與客戶和使用者溝通交流，不方便公司了解產(chǎn)品在使用過程中所出 現(xiàn)的問題。 3、沒有一個網(wǎng)絡(luò)的平臺，展示公司形象以及向社會推廣新開發(fā)的產(chǎn)品。 1.2 需求說明與分析 公司網(wǎng)站系統(tǒng)對于宣傳公司形象、 新產(chǎn)品推廣的開展起到了重要的作用，為 了能夠更好的提高服務(wù)質(zhì)量，暢通交流

4、渠道，這就迫切的需要一個技術(shù)先進(jìn)、 內(nèi)容全面、功能合理的平臺來收集、綜合、管理、發(fā)布公司各類信息?，F(xiàn)結(jié) 合現(xiàn)狀，對公司網(wǎng)站系統(tǒng)的應(yīng)用提出以下方面的需求： 1、性能可靠、可擴(kuò)展性好、運(yùn)行安全穩(wěn)定、高效便捷、易于維護(hù)。 2、網(wǎng)站欄目內(nèi)容具備靈活性和可配置性，可單個或批量增刪改信息，支持 多種發(fā)布方式，如純文本、文本 +圖片、文本+附件、Office文檔，視頻、投 票等。 3、具備出色的安全性，可過濾敏感內(nèi)容，限制文件上傳類型，可防止 SQL注入、 防跨站腳本攻擊。 4、具備強(qiáng)大的內(nèi)容編輯功能，類似 word ,支持可視化編輯、預(yù)覽等。平臺 操作、維護(hù)簡單實(shí)用，信息頁面展示多樣、靈活，

5、分類明確。 5、網(wǎng)站風(fēng)格要求簡明、淡雅、沉穩(wěn)、實(shí)用。 第二章 網(wǎng)站系統(tǒng)項目建設(shè)目標(biāo) 通過本網(wǎng)站的建設(shè)，建立功能強(qiáng)大、信息豐富、管理先進(jìn)、界面美觀、使用方 便的網(wǎng)站系統(tǒng)，系統(tǒng)應(yīng)具有強(qiáng)大的內(nèi)容管理功能， 實(shí)現(xiàn)對網(wǎng)站內(nèi)容進(jìn)行全生 命周期的工作流管理。 以內(nèi)容管理為核心，建設(shè)全文檢索、站群管理等應(yīng)用 系統(tǒng)，提供一個高性能的專業(yè)底層支撐系統(tǒng)。 網(wǎng)站技術(shù)平臺需采用業(yè)界一流 的成熟軟件。 第三章 項目內(nèi)容與范圍 本網(wǎng)站系統(tǒng)采用（B/S）模式，部署在XXXXXXXX有限公司網(wǎng)站服務(wù)器上， 面向互聯(lián)網(wǎng)用戶，為用戶提供公司各類公告、產(chǎn)品信息，同時提供在線咨詢、 投訴等服務(wù)，提高網(wǎng)站與用戶的互動。

6、 本網(wǎng)站功能劃分為前臺展現(xiàn)與后臺管理兩個部分，前臺可劃分為七個大板塊，包括： 首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺部分 功能包括信息發(fā)布管理、權(quán)限管理、用戶管理、欄目管理、統(tǒng)計管理、日志管理。同 時優(yōu)化網(wǎng)站的性能，增強(qiáng)安全防范措施，保證網(wǎng)站的安全穩(wěn)定運(yùn)行。 -2 - 第四章 網(wǎng)站技術(shù)方案設(shè)計報告 4.1 設(shè)計原則與標(biāo)準(zhǔn) 公司網(wǎng)站系統(tǒng)需遵循先進(jìn)性、開放性、可靠性、可擴(kuò)展維護(hù)性、經(jīng)濟(jì)性原則。 1 .先進(jìn)性：建設(shè)起點(diǎn)要高，采用成熟、先進(jìn)、高效的技術(shù)平臺。應(yīng)做到軟 件技術(shù)與硬件技術(shù)相匹配、開發(fā)工具與平臺環(huán)境相匹配 ，從而發(fā)揮各自的 最大效能。

7、 2 .開放性：由于國際計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展，所以功能建設(shè)要遵 循開放性的原則，開放性主要體現(xiàn)在： 系統(tǒng)支持多種硬件平臺， 如 PCSERVER、臺式PC等；在系統(tǒng)建設(shè)也 將以 TCP/IP為主要協(xié)議，以實(shí)現(xiàn)整 個系統(tǒng)的開放性。 3 .可靠性：功能具有高度的可靠性。提高可靠性的方法很多，一般有如下 做法：采用高可靠性的網(wǎng)絡(luò)設(shè)備，出現(xiàn)故障時能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急 措施。關(guān)鍵設(shè)備采取冗余設(shè)計，以防單點(diǎn)故障。采用網(wǎng)絡(luò)管理，嚴(yán)格的系統(tǒng) 運(yùn)行控制等系統(tǒng)監(jiān)控。 4 .擴(kuò)展維護(hù)性：提高功能的可擴(kuò)充性和可維護(hù)性是提高其性能的必備手段， 系統(tǒng)采用結(jié)構(gòu)和模塊化構(gòu)造，每個模塊間保持相對的獨(dú)立性和

8、靈活性，系統(tǒng) 配置、設(shè)置參數(shù)化。 5 .經(jīng)濟(jì)性：充分考慮網(wǎng)絡(luò)系統(tǒng)當(dāng)前與未來的實(shí)際需求，功能增減方便，技術(shù)既要盡可 能選用國際上最成熟的技術(shù)， 又要功能機(jī)構(gòu)合理， 同時滿足技術(shù)開發(fā)和用戶使用的需求， 保護(hù)用戶已有的投資和今后的再投資。 4.2 系統(tǒng)結(jié)構(gòu) 4.2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 系統(tǒng)的總體應(yīng)用架構(gòu)如下圖所示: 核心幼據(jù)屏 從應(yīng)用框架上可以看出， 整個系統(tǒng)采用了分層的框架進(jìn)行設(shè)計， 數(shù)據(jù)存儲在 由關(guān)系數(shù)據(jù)庫和全文數(shù)據(jù)庫構(gòu)成的數(shù)據(jù)層， 充分利用了關(guān)系數(shù)據(jù)庫的業(yè)務(wù)處 理能力和全文數(shù)據(jù)庫的海量存儲和高性能檢索能力。 在表現(xiàn)層支持各種用戶訪問， 各級管理員、編輯、公眾

9、都可以通過瀏覽器的 接入方式訪問網(wǎng)站，享受各種資訊服務(wù)。 上述的系統(tǒng)的框架具有良好的擴(kuò)展性， 每一層可以通過集群、 雙擊熱備或負(fù)載均衡技術(shù) 來部署， 在未來負(fù)載增加和弁發(fā)訪問壓力增大的情況下， 可以方便擴(kuò)展和升級， 提升系 統(tǒng)的處理能力。 4.2.2 系統(tǒng)體系架構(gòu) ■首頁1 I醫(yī)不標(biāo) 新聞中心 人才中，尊 瞞我們 郵礴錄 -7 - 前臺內(nèi)容展示 網(wǎng)站系統(tǒng)分成前臺展現(xiàn)與后臺管理兩個部分， 前臺可劃分為七個大板塊，包 括：首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們； 后臺功能包括信息發(fā)布管理、欄目管理、

10、權(quán)限管理、用戶管理、統(tǒng)計管理、日志 管理。主要應(yīng)用到的技術(shù)包括 、信息安全防范、ajax等，數(shù)據(jù)資源層可存 儲文本、附件、多媒體、文檔等各類資源。 4.2.3 系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu) 業(yè)務(wù)邏輯顯 展現(xiàn)、應(yīng)用層 應(yīng)用程序服務(wù)器 Enterprise Servnces PKI身傍認(rèn)證 Data 數(shù)翡型 數(shù)據(jù)埼久屋 Hibernate 一 持久的數(shù)據(jù)對象及其集合 Persistent (fojects N性配置 |「"四L配置二 Hibernate properties XML Mnpp ir^ SQL Server 2008 敷據(jù)庫 網(wǎng)站采用B/S

11、（瀏覽器/服務(wù)器）模式，使用 C#.NET開發(fā)技術(shù)進(jìn)行項目 的開發(fā)，技術(shù)框架采用三層體系架構(gòu) （3-tier application）,分別為展現(xiàn)應(yīng)用層、 業(yè)務(wù)邏輯層以及數(shù)據(jù)持久層。 三層體系架構(gòu)實(shí)現(xiàn)了分散關(guān)注、 松散耦合、邏 輯復(fù)用、標(biāo)準(zhǔn)定義。 展現(xiàn)、應(yīng)用層：位于最外層（最上層） ，離用戶最近。用于顯示數(shù)據(jù)和 接收用戶輸入的數(shù)據(jù)，為用戶提供一種交互式操作的界面。該層中采用 MVC （Model-View-Controller ,即模型-視圖-控制器）模式，將用戶界面與后 置代碼區(qū)分開，利于代碼的重用性。而用戶界面中，引入 AJAX技術(shù)，全面提 高用戶使用體驗。 業(yè)務(wù)邏輯層：是系統(tǒng)架

12、構(gòu)中體現(xiàn)核心價值的部分， 它的關(guān)注點(diǎn)主要集中 在業(yè)務(wù)規(guī)則的制定、 業(yè)務(wù)流程的實(shí)現(xiàn)等與業(yè)務(wù)需求有關(guān)的系統(tǒng)設(shè)計。 在這一 層中，引入應(yīng)用服務(wù)器， 實(shí)現(xiàn)網(wǎng)站業(yè)務(wù)功能。 業(yè)務(wù)邏輯層在體系架構(gòu)中的位 置很關(guān)鍵，它處于數(shù)據(jù)訪問層（持久層）與表示層中間， 起到了數(shù)據(jù)交換中承 上啟下的作用。 數(shù)據(jù)持久層：有時候也稱為是數(shù)據(jù)訪問層， 其功能主要是負(fù)責(zé)數(shù)據(jù)庫的訪 問，可以訪問數(shù)據(jù)庫系統(tǒng)、二進(jìn)制文件、文本文檔或是 XML文檔。簡單的說法 就是實(shí)現(xiàn)對數(shù)據(jù)表的 Select , Insert , Update , Delete的操作。如果要加入 ORM的元素，那么就會包括對象和數(shù)據(jù)表之間的 mapping ,

13、以及對象 實(shí)體的持久化。 4.3 各功能模塊設(shè)計 4.3.1 首頁 首頁不設(shè)子欄目， 為網(wǎng)站整體展示。 滾動大圖展示公司形象， 首頁底部設(shè)置 小的滾動圖片，展示公司產(chǎn)品信息，用戶可直接點(diǎn)擊進(jìn)入相關(guān)產(chǎn)品頁面。 4.3.2 關(guān)于我們 該欄目位于首頁與航欄第一位，下設(shè)四個子欄目，分別為：公司簡介、企業(yè) 文化、企業(yè)榮譽(yù)和企業(yè)資質(zhì)； 4.3.3 新聞中心 該欄目位于首頁與航欄第二位，下設(shè)兩個子欄目，分別為：行業(yè)動態(tài)和公 司新聞；可向客戶展示行業(yè)的最新動態(tài)和公司的相關(guān)新聞動態(tài)。 4.3.4 產(chǎn)品中心 該欄目位于首頁導(dǎo)航欄第三位，設(shè)四個子欄目，分別為：輸液器系列、注 射器系列、輸注泵系

14、列和配藥器系列；向用戶呈現(xiàn)公司的產(chǎn)品信息和產(chǎn)品 的技術(shù)參數(shù)。 4.3.5 客戶服務(wù) 該欄目位于首頁導(dǎo)航欄第四位，下設(shè)三個子欄目，分別為：技術(shù)支持、下 載中心和客戶留言，其中“技術(shù)支持”下再設(shè)兩個二級子欄目，分別為常 見問題和代理條件；為客戶解答常見的技術(shù)問題及處理方法。也可方便用 戶下載我公司的相關(guān)資質(zhì)證件。 4.3.6 人才中心 該欄目位于首頁與航欄第五位，下設(shè)兩個子欄目，分別為：人才策略和招 聘信息；呈現(xiàn)我公司的用人策略及招聘信息。 4.3.7 聯(lián)系我們 該欄目位于首頁與航欄第六位，下設(shè)兩個子欄目，分別為：銷售網(wǎng)絡(luò)和聯(lián) 系方式。 4.3.8 中英文切換 該欄目位于首頁右上角

15、，方便用戶隨時切換中英文瀏覽網(wǎng)頁。 4.3.9 企業(yè)郵箱登錄 該欄目位于首頁右上角，方便我公司內(nèi)部員工快速登錄我公司企業(yè)郵箱。 4.3.10 在線交談 該欄目位于首頁右下角，方便用戶隨時與我公司專業(yè)人員聯(lián)系，通過 QQ 工具連接可快速建立供需雙方的聯(lián)系。 4.3.11 信息發(fā)布管理 支持管理公司信息的發(fā)布、修改、刪除、審核、轉(zhuǎn)移、轉(zhuǎn)載等操作，支持 批量操作，支持多類型信息的發(fā)布，如純文本、圖文、 office、附件、多媒體 信息等。可配置信息的瀏覽、評論權(quán)。 4.3.12 欄目管理 公司信息以欄目的形式進(jìn)行分類存儲，欄目的建設(shè)采用層級模式，以樹狀 結(jié)構(gòu)展示，管理員可以通過選

16、擇不同的節(jié)點(diǎn)欄目對其進(jìn)行增刪改操作，支 持拖放排序。 可配置欄目屬性，實(shí)現(xiàn)各種功能的開啟、關(guān)閉和權(quán)限分配。如配置信息的 瀏覽權(quán)、發(fā)布權(quán)、完全控制權(quán)、審核權(quán)、簽收權(quán)，開啟或關(guān)閉在線評論、 訪問IP段限制等。 4.3.13 權(quán)限管理 主要權(quán)限包括：瀏覽、發(fā)布、審核、簽收、評論、置頂、轉(zhuǎn)移轉(zhuǎn)載、完全 控制等。權(quán)限可指定到具體欄目，擁有權(quán)限的用戶可進(jìn)行相應(yīng)的操作。 4.3.14 用戶管理 可對用戶、組織機(jī)構(gòu)進(jìn)行管理，包括增刪改查操作，用戶權(quán)限分配，自定 義用戶角色等。為保證用戶帳戶的安全性，系統(tǒng)對用戶密碼進(jìn)行 MD5加密處 理，防止其他非法用戶進(jìn)入系統(tǒng)進(jìn)行數(shù)據(jù)處理。 4.3.15 統(tǒng)計

17、管理 可統(tǒng)計平臺各類數(shù)據(jù)，如訪問量、在線人數(shù)、信息發(fā)布數(shù)量、點(diǎn)擊次數(shù)等。 可按時間段、欄目、用戶、自定義角色進(jìn)行統(tǒng)計，可生成和導(dǎo)出統(tǒng)計報表。 4.3.16 日志管理 實(shí)現(xiàn)對系統(tǒng)日志和操作日志進(jìn)行記錄和管理， 協(xié)助系統(tǒng)管理員完成系統(tǒng)安全 與數(shù)據(jù)查錯的工作。系統(tǒng)級日志主要記錄：用戶登錄情況、在線情況、程序 由錯信息等；數(shù)據(jù)級日志主要記錄： 各類數(shù)據(jù)讀寫修改、 刪除等操作的動作。 4.4系統(tǒng)安全解決方案 4.4.1 可能的安全問題分析 1 .頁面被篡改 門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容） ，常常會引發(fā)較大的影 響，嚴(yán)重時甚至?xí)斐烧问录? 另外一種篡改方式是網(wǎng)頁

18、掛馬： 網(wǎng)頁內(nèi)容表面上沒有任何異常， 卻可能被 偷偷的掛上了木馬程序。 網(wǎng)頁掛馬雖然未必會給網(wǎng)站帶來直接損害， 但卻 會給瀏覽網(wǎng)站的用戶帶來損失。 2 .在線業(yè)務(wù)被攻擊 對企業(yè)和個人用戶提供在線服務(wù)， 已經(jīng)成為門戶網(wǎng)站的重要功能。 這些服 務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、 終止，對業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的 影響，可能會造成經(jīng)濟(jì)損失，嚴(yán)重時甚至?xí)绊懮鐣€(wěn)定。 3 .機(jī)密數(shù)據(jù)外泄 在線業(yè)務(wù)系統(tǒng)中， 總是需要保存一些企業(yè)、 公眾的相關(guān)資料， 這些資料往 往涉及到企業(yè)秘密和個人隱私， 一旦泄露，會造成企業(yè)或個人的利益受損， 可能會給單位帶來嚴(yán)重的法律糾紛。 4.4.2 系統(tǒng)防護(hù)解決方

19、案 1 .WEB安全需求 對Web應(yīng)用的安全防護(hù)主要包括如下需求： 部署簡便，管理集中，操作簡 潔，性能影響甚微。包括： ? 對現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無影響。?方 便管理，無需進(jìn)行復(fù)雜的配置。 ? 對現(xiàn)有 WEB服務(wù)器的訪問速率不能造成太大的影響。 ? 對正常業(yè)務(wù)訪問不能進(jìn)行錯誤的攔截阻斷。 ? 在需要保護(hù)的 WEB門戶服務(wù)器前端透明直連部署一臺 WEB應(yīng)用防火墻， 對網(wǎng)站實(shí)行7X24小時的實(shí)時監(jiān)控，保護(hù) WEB站點(diǎn)數(shù)據(jù)不被攻擊，避免 網(wǎng)頁篡改給網(wǎng)站帶來的形象損害，避免信息內(nèi)容不合規(guī)等； 2 .WEB安全評估 網(wǎng)站安全保障是一項系統(tǒng)工程。 網(wǎng)站的安全保障當(dāng)前最為薄弱的環(huán)節(jié)就在

20、于缺少對 WEB防護(hù)層面的整體考慮。 針對網(wǎng)站的安全評估，需要使用安 全掃描、滲透測試、安全監(jiān)測三個方面的技術(shù)手段進(jìn)行實(shí)施評估工作。 3 .安全掃描 安全掃描采用模擬入侵者的手法， 對網(wǎng)站進(jìn)行模擬攻擊。可迅速發(fā)現(xiàn)大多 數(shù)常見的網(wǎng)站安全漏洞，如常見的 SQL注入、跨站腳本、目錄瀏覽、應(yīng)用 錯誤等漏洞。便于指導(dǎo)后期的安全分析和加固工作。 安全掃描器技術(shù)先進(jìn)的同時也存在一些無法解決的問題， 如網(wǎng)頁內(nèi)容中的惡 意代碼難識別、程序中的邏輯漏洞等需要人工判斷的內(nèi)容無法實(shí)現(xiàn)自動化。 4 .安全監(jiān)測 建立網(wǎng)站安全監(jiān)測平臺實(shí)現(xiàn)對網(wǎng)站內(nèi)容的安全監(jiān)測， 主要用于對網(wǎng)頁木馬 監(jiān)測、網(wǎng)站可用性、關(guān)鍵字監(jiān)

21、測。 -9 - 通過該平臺， 可以實(shí)現(xiàn)網(wǎng)頁木馬監(jiān)測， 因為網(wǎng)頁木馬不同于常規(guī)的網(wǎng)站漏 洞，具有一定的潛伏性和隱蔽性，常規(guī)模擬入侵者的攻擊無法發(fā)現(xiàn)木馬，而 需要模擬成一個有漏洞的操作系統(tǒng)去訪問這些網(wǎng)頁， 監(jiān)測有漏洞的操作系 統(tǒng)是否會被網(wǎng)站植入木馬。 5 .滲透測試 滲透測試借助安全專家多年安全測試的經(jīng)驗， 使用大量安全工具、安全方 法和安全理論相結(jié)合，從攻擊、防御多個角度出發(fā)去識別 網(wǎng)站存在的安全風(fēng) 險。相比于工具型掃描滲透測試更多側(cè)重于邏輯類型的安全問題識 別、需要人工輔助類型的安全問題檢測， 從而可以將網(wǎng)站的安全水平提升 到一個新的高度。 例如檢測出網(wǎng)站存某處敏

22、感信息泄露， 可能報告的是低危險級別的安全事 件。然后輔助人工則可利用這個敏感信息可能進(jìn)一步獲取網(wǎng)站的管理員賬 戶和密碼信息，最終實(shí)現(xiàn)完全控制網(wǎng)站的目的。 6 .WEB安全防御 安全防御是實(shí)踐安全預(yù)警、分析、防御、加固的系統(tǒng)措施的過程，而非部 署某一款安全產(chǎn)品這樣簡單。建議營銷管理平臺網(wǎng)站安全的防御應(yīng)至少做 到如下三個方面。 7 .安全分析 安全分析是安全防御的基礎(chǔ)， 安全分析的重心是安全評估的報告和安全設(shè) 備的日志匯總信息。 通過安全分析可以清晰的認(rèn)識到當(dāng)前存在的主要問題 以及所面臨的安全威脅。 安全分析是一個跨部門協(xié)調(diào)的工作， 通常由用戶職能部門牽頭安全服務(wù)商負(fù) 責(zé)整體安全

23、分析的內(nèi)容綱要， 由安全服務(wù)商、 軟件開發(fā)商、 系統(tǒng)運(yùn)維人員、 業(yè)務(wù)使用代表等共同參與以最終確定安全防御的目標(biāo)。 8 .安全防護(hù) 當(dāng)網(wǎng)站檢測出有特定安全問題時將提出相應(yīng)的安全應(yīng)對措施。 除通用的防護(hù) 策略之外還提供相關(guān)的安全加固對象，滿足安全加固策略的實(shí)施。 9 .安全加固 網(wǎng)站安全加固是一個不斷改進(jìn)的過程， 隨著業(yè)務(wù)的變更、 安全研究的深入 等均會促進(jìn)安全加固工作的展開。 安全加固建議：采用硬件 WEB應(yīng)用防火墻加固的同時硬件廠商為用戶方 提供詳細(xì)的安全加固建議，便于程序開發(fā)商修復(fù)存在的安全缺陷。 10 .WEB安全建議 定期進(jìn)行專業(yè)的安全評估，包括黑盒測試 -遠(yuǎn)程深度

24、安全評估以及白盒測 試-本地代碼安全評估。 針對安全評估結(jié)果進(jìn)行專業(yè)安全整改和加固。 建立和完善一套有效的安全管理制度， 對長虹集團(tuán)的日常維護(hù)和使用進(jìn)行 規(guī)范。 建立起一套完善有效的應(yīng)急響應(yīng)預(yù)案和流程， 并定期進(jìn)行應(yīng)急演練， 一旦 發(fā)現(xiàn)發(fā)生任何異常狀況可及時進(jìn)行處理和恢復(fù)， 有效避免網(wǎng)站業(yè)務(wù)中斷帶來 損失。 定期對相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn)， 提高安全技術(shù)能力和實(shí)際 操作能力。 -11 - 4.4.3完善的事件處理 防護(hù)體系結(jié)構(gòu)圖 1 .事前檢查 針對營銷管理平臺各 WEB應(yīng)用系統(tǒng)及部分未上線的應(yīng)用系統(tǒng)，采用 WEB應(yīng)用 掃描器進(jìn)行一次 WEB系統(tǒng)全

25、面的OWASP TOP 10檢測，可以幫助用戶充分 了解WEB應(yīng)用存在的安全隱患， 建立安全可靠的 WEB應(yīng)用服務(wù)，改善并提 升應(yīng)用系統(tǒng)抗各類 WEB應(yīng)用攻擊的能力。 35分 -13 - E-M排I地址 數(shù)據(jù)庫錯誤 文件備份 I:何域HTMLJ5面通信 表單隱藏修 篝康醐網(wǎng)箱L信皂 網(wǎng)站管理后臺地址 密接注入 踏站［挑本； pHPiNm-r / 1翻他L 伊站路修世漏 澤魯 M處 2 .事中告警 針對各類攻擊行為及異常訪

26、問行為， 實(shí)時告警并通過各類方式通知給安全 管理員，便于快速處理安全事件。 3 .事后分析 通過系統(tǒng)內(nèi)部告警日志，實(shí)現(xiàn)對攻擊源的定位分析，同時提供各類統(tǒng)計分析，方便 掌握整個應(yīng)用系統(tǒng)的動態(tài)安全狀況及運(yùn)行狀態(tài)。 4 .4.4其他安全防護(hù) 系統(tǒng)其他安全防護(hù)措施包括： ?制定服務(wù)器管理的配套制度，編寫可行的應(yīng)急方案，并定期演練。 ?設(shè)置專門的系統(tǒng)管理員，定期安排專人進(jìn)行服務(wù)器巡檢，杜絕安全隱患。 ?定期審查服務(wù)器巡檢記錄。 ?防止SQL注入。 ?防止跨站腳本攻擊。 ?嚴(yán)格控制系統(tǒng)更新發(fā)布，執(zhí)行工作票管理制度，對于系統(tǒng)程序版本和配置 變更進(jìn)行嚴(yán)格、規(guī)范的管理。 4.5技術(shù)方案總

27、結(jié)報告 通過上述技術(shù)方案，以先進(jìn)的計算機(jī)技術(shù)手段建立系統(tǒng)，完全依據(jù)現(xiàn)行相關(guān)國家及行業(yè) 標(biāo)準(zhǔn)規(guī)程， 利用現(xiàn)代系統(tǒng)工程技術(shù)、 網(wǎng)絡(luò)信息數(shù)據(jù)庫服務(wù)技術(shù)、 通信技術(shù)， 為XXXXXXXX有 限公司提供了一套完善的、高效的網(wǎng)站系統(tǒng)平臺，滿足我公司網(wǎng)站的建設(shè)與管理的目 標(biāo)。通過主流的分享平臺，讓用戶繼續(xù)將文章實(shí)時時訊、最新產(chǎn)品信息分享出去，讓文 章能被更廣泛的流傳，增加我公司網(wǎng)站的訪問流量，擴(kuò)大我公司網(wǎng)站影響力。 第五章 項目建設(shè)配套要求 5.1 運(yùn)行環(huán)境 服務(wù)器操作系統(tǒng)： Windows 2008 Server 企業(yè)版 64位 Web服務(wù)器軟件： IIS 數(shù)據(jù)庫存儲軟件： SQL S

28、erver 2008數(shù)據(jù)庫 客戶端：Windows .NET平臺：2.0版本以上 5.2 硬件環(huán)境 應(yīng)用數(shù)據(jù)庫服務(wù)器： 16GB物理內(nèi)存或者更多， 500g硬盤存儲或以上，高速雙網(wǎng)卡； -22- 第六章項目清單和系統(tǒng)資產(chǎn) 6.1軟硬件設(shè)備 6.1.1主要內(nèi)容 按照第五章項目配套要求,本項目需要采購服務(wù)器、 window server 2008操作 系統(tǒng)、SQL Server 2008數(shù)據(jù)庫。另外，該系統(tǒng)有手機(jī)短信功能，需要與移動 簽訂相關(guān)短信接口協(xié)議。 6.1.2清單及項目資產(chǎn) 序號 采購項 規(guī)格說明 數(shù)量 單位 報價單價 報價總價 1 網(wǎng)站服務(wù)器

29、 Dell R910 , E4830CPU 4 個/32G內(nèi)存/600G 硬 盤3個/雙冗余電源 /3年 原廠服務(wù) 1 臺 2 操作系統(tǒng) window server 2008 企 業(yè)版64位 1 套 3 數(shù)據(jù)庫 SQL Server 2008 標(biāo) 準(zhǔn)版1 套; 4 天清漢馬USG-FW-3610D 防火墻 2U上架設(shè)備，雙電源， 提供大于10個千兆 Combo接口，內(nèi)存/、小 于2G ,吞吐里:不小于 6G,若購買VPN授權(quán)無 用戶數(shù)限制，設(shè)備面板 支持液晶屏顯示簡單狀 態(tài)，采用MIPS64專用多 核硬件平臺，非 X86

30、架 構(gòu)，并提供國家版權(quán)局 頒發(fā)的多核并行操作系 統(tǒng)《計算機(jī)軟件著作權(quán) 登記證書》。 1 臺 5 天清Web應(yīng)用網(wǎng)關(guān) WAG1020 2U上架設(shè)備，雙電源， 提供大于10個千兆 Combo接口，弁發(fā)連接 數(shù)不小于39萬，吞吐量 不小于1.8G ,支持XML DoS攻擊防護(hù)、爬蟲防 護(hù)、CSRF(Cross-Site Request Forgery)攻擊防 護(hù)。支持請求信息自學(xué) 習(xí)、URL流量控制、網(wǎng) 頁掛馬防護(hù)、 Webshell 1 套  掛馬防護(hù)，支持捕獲原 始報文。 6 PKI/CA身份認(rèn)證系統(tǒng)設(shè)備 證書簽發(fā)系統(tǒng)

31、：吉大正 元UCA（內(nèi)嵌目錄服務(wù) 系統(tǒng)） 安全認(rèn)證網(wǎng)關(guān)：G2000 USB Key: SZD 34 1 套 7 移動短信接口 1 套 8 合計 6.2軟件開發(fā) 6.2.1網(wǎng)站功能清單 序號 采購項 規(guī)格說明 數(shù)量 單位 單價（元） 金額（元） 1 首頁 公司概況功能開發(fā) 2 人天 2 關(guān)于我們 公］百息＞75 3 人天 3 新聞中心 新聞公告功能開發(fā) 1 人天 4 產(chǎn)品中心 產(chǎn)品信息開發(fā) 2 人天 5 客戶服務(wù) 在線留言和技術(shù)支持

32、2 人天 6 人才中心 用人策略和招聘信息開發(fā) 2 人天 7 聯(lián)系我們 在線聯(lián)系 2 人天 8 中英切換 英語功能開發(fā) 2 人天 9 郵箱系統(tǒng) 在線登錄系統(tǒng) 2 人天 10 在線交談 在線QQ聯(lián)系功能開發(fā) 1 人天 11 信息發(fā)布管理 信息發(fā)布管理功能開發(fā) 2 人天 12 欄目管理 欄目管理功能開發(fā) 2 人天 13 權(quán)限管理 權(quán)限管理功能開發(fā) 2 H 人天 14 用戶管理 用戶管理功能開發(fā) 1 人天

33、 15 統(tǒng)計管理 統(tǒng)計管理功能開發(fā) 1 人天  16日三 嗒理 1 日志管理功能開發(fā) 1人天 合計 6.3項目實(shí)施、培訓(xùn) 項目建設(shè)完成后，由承建方網(wǎng)絡(luò)公司提供技術(shù)支持并組織人員培訓(xùn) 序號 項目 規(guī)格說明 數(shù)量 單價 金額 1 軟件實(shí)施費(fèi) 包括基礎(chǔ)數(shù)據(jù)整理、 公共信息錄入、權(quán) 限分配、系統(tǒng)實(shí)施后需求變更管理等。 1 2 培訓(xùn)費(fèi)用 集中分3次對用戶進(jìn)行使用操作培訓(xùn)、 對管理員進(jìn)行系統(tǒng)管理、 權(quán)限管理等培 訓(xùn)。 3 3 技術(shù)服務(wù)費(fèi) 系統(tǒng)

34、鑒定費(fèi)、驗收評審費(fèi)等 1 4 系統(tǒng)集成費(fèi) 包括服務(wù)器安裝上架、 數(shù)據(jù)庫軟件、網(wǎng) 站平臺安裝等 1 合計 紅 塵紫陌, 有轟轟烈烈的昨日，也有平淡如水的今天。在生活平平仄仄的韻腳中，一直都泛著故事的清香，我看到每一寸的光陰都落在我的宣紙上，跌進(jìn)每一個方方正正的小楷里，沉香、迷醉。 秋光靜好，窗外陽光和細(xì)微的風(fēng)都好，我也尚好。不去向秋寒暄，只愿坐在十月的門扉，寫一闕清麗的小詩，送給秋天；在一杯香茗里欣然，讀一抹秋意闌珊，依著深秋，細(xì)嗅桂花的香 馥，賞她們的淡定從容地綻放。 聽風(fēng)穿過幽幽長廊，在平淡簡約的人生中，把日子過成云卷云舒，行云

35、流水的模樣，過成一幅畫，一首詩。有你，有我，有愛，有暖，就好。在安靜恬淡的時光里，勾勒我們最美的今天 和明天。 醉一簾秋之幽夢，寫一行小字，念一個遠(yuǎn)方，癡一生眷戀。一記流年，一寸相思。不許海誓山盟，只許你在，我就在。你是我前世今生的愛，是刻在心頭的一枚朱砂。 任由塵世千般云煙散盡，任由風(fēng)沙凝固成沙漠的墻，你依然是我生命的風(fēng)景。 人生苦短，且行且珍惜。十月如詩，就讓我獨(dú)醉其中吧！行走紅塵，做最簡單的自己。簡單讓人快樂，快樂的人，都是因為簡單。心豁達(dá)，坦然，不存勾心斗角。從容面對人生，做最好 的自己，巧笑嫣然，你若盛開，蝴蝶自來。 那就做一朵花吧！優(yōu)雅綻放，優(yōu)雅凋落，不帶憂傷，只記美好。

36、 這個秋日，一切都很美，陽光淺淺，云舞蒼穹，閑風(fēng)淡淡。撿拾一片薄如蟬翼的枯葉，寫著季節(jié)流轉(zhuǎn)的故事，沉淀著歲月的風(fēng)華。安靜的享受生命途徑上的一山一水。 執(zhí)筆揮墨，耕耘愛的世界，輕聲吟唱?dú)q月安好，把一縷縷醉人的情懷，婉約成小字里的風(fēng)月千里，泅成指尖上的浪漫和馨香。靜立于秋光濠解里，賞碧水云天，攜來閑云幾片，柔風(fēng)幾縷， 縫進(jìn)歲月的香囊里，將唯美雅致收藏，醉臥美好時光。 秋，是靜美的，是收獲的，是滿載希望而歸的季節(jié)。秋只因葉落，蕨蕤消，花殘瘦影，不免總給人一種無邊蕭瑟。 然而秋，也有秋的美。如黃巢《不第后賦菊》詩中有句：待到秋來九月八，我花開后百花殺。是不是聽起來特別霸道有味。 誰說秋實(shí)悲涼

37、的，百花殘了何妨？我菊正艷艷，香影欹滿山。還有一句歌詞叫：春游百花，秋有月。秋天的月，要比任何季節(jié)都美，都明亮，都讓人迷戀陶然。 秋有赤楓把美麗的秋燃燒成通紅火辣，秋有萬千銀杏如蝶，秋哪有蕭索？秋一直很美，你可有發(fā)現(xiàn)美的眼睛呢？ 每一個季節(jié)，都有著不同的旖旎。人生何嘗不是如四季，有青春絕艷的花季，也有老驥伏楊的暮年。容顏老去，青春不復(fù)，所有的美好不會消失，一直珍藏著。 即便時光變得荒蕪，而你我一直永如初見，彼此溫柔以待。走進(jìn)十月，驀然回首，你我都在，惟愿光陰路上，且行且惜，寂靜相伴，無悔一生。 紅塵紫陌，有轟轟烈烈的昨日，也有平淡如水的今天。在生活平平仄仄的韻腳中，一直都泛著故事的清香

38、，我看到每一寸的光陰都落在我的宣紙上，跌進(jìn)每一個方方正正的小楷里，沉香、 迷醉。 秋光靜好，窗外陽光和細(xì)微的風(fēng)都好，我也尚好。不去向秋寒暄，只愿坐在十月的門扉，寫一闕清麗的小詩，送給秋天；在一杯香茗里欣然，讀一抹秋意闌珊，依著深秋，細(xì)嗅桂花的香 馥，賞她們的淡定從容地綻放。 聽風(fēng)穿過幽幽長廊，在平淡簡約的人生中，把日子過成云卷云舒，行云流水的模樣，過成一幅畫，一首詩。有你，有我，有愛，有暖，就好。在安靜恬淡的時光里，勾勒我們最美的今天 和明天。 醉一簾秋之幽夢，寫一行小字，念一個遠(yuǎn)方，癡一生眷戀。一記流年，一寸相思。不許海誓山盟，只許你在，我就在。你是我前世今生的愛，是刻在心頭的一枚朱砂

39、。 任由塵世千般云煙散盡，任由風(fēng)沙凝固成沙漠的墻，你依然是我生命的風(fēng)景。 人生苦短，且行且珍惜。十月如詩，就讓我獨(dú)醉其中吧！行走紅塵，做最簡單的自己。簡單讓人快樂，快樂的人，都是因為簡單。心豁達(dá)，坦然，不存勾心斗角。從容面對人生，做最好 的自己，巧笑嫣然，你若盛開，蝴蝶自來。 那就做一朵花吧！優(yōu)雅綻放，優(yōu)雅凋落，不帶憂傷，只記美好。 這個秋日，一切都很美，陽光淺淺，云舞蒼穹，閑風(fēng)淡淡。撿拾一片薄如蟬翼的枯葉，寫著季節(jié)流轉(zhuǎn)的故事，沉淀著歲月的風(fēng)華。安靜的享受生命途徑上的一山一水。 執(zhí)筆揮墨，耕耘愛的世界，輕聲吟唱?dú)q月安好，把一縷縷醉人的情懷，婉約成小字里的風(fēng)月千里，泅成指尖上的浪漫和馨

40、香。靜立于秋光濠解里，賞碧水云天，攜來閑云幾片，柔風(fēng)幾縷， 縫進(jìn)歲月的香囊里，將唯美雅致收藏，醉臥美好時光。 秋，是靜美的，是收獲的，是滿載希望而歸的季節(jié)。秋只因葉落，蕨蕤消，花殘瘦影，不免總給人一種無邊蕭瑟。 然而秋，也有秋的美。如黃巢《不第后賦菊》詩中有句：待到秋來九月八，我花開后百花殺。是不是聽起來特別霸道有味。 誰說秋實(shí)悲涼的，百花殘了何妨？我菊正艷艷，香影欹滿山。還有一句歌詞叫：春游百花，秋有月。秋天的月，要比任何季節(jié)都美，都明亮，都讓人迷戀陶然。 秋有赤楓把美麗的秋燃燒成通紅火辣，秋有萬千銀杏如蝶，秋哪有蕭索？秋一直很美，你可有發(fā)現(xiàn)美的眼睛呢？ 每一個季節(jié)，都有著不同的旖旎。人生何嘗不是如四季，有青春絕艷的花季，也有老驥伏楊的暮年。容顏老去，青春不復(fù)，所有的美好不會消失，一直珍藏著。 即便時光變得荒蕪，而你我一直永如初見，彼此溫柔以待。走進(jìn)十月，驀然回首，你我都在，惟愿光陰路上，且行且惜，寂靜相伴，無悔一生 -16- -17- -18-