網(wǎng)站技術(shù)方案

XXXXXXXX有限公司 網(wǎng)站系統(tǒng) 技術(shù)方案 目錄 第一章網(wǎng)站系統(tǒng)分析 1.1 系統(tǒng)現(xiàn)狀與問題 1.2 需求說明與分析 第二章 網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目標(biāo) 第三章項(xiàng)目?jī)?nèi)容與范圍 第四章網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告 4.1 設(shè)計(jì)原則與標(biāo)準(zhǔn) 4.2 系統(tǒng)結(jié)構(gòu) 4.2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 4.2.2 系統(tǒng)體系架構(gòu) 4.2.3 系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu) 4.3 各功能模塊設(shè)計(jì) 4.3.1 首頁 4.3.2 關(guān)于我們 4.3.3 新聞中心 4.3.4 產(chǎn)品中心 4.3.5 客戶服務(wù) 4.3.6 人才中心 4.3.7 聯(lián)系我們 4.3.8 中英文切換 4.3.9 企業(yè)郵箱登錄 4.3.10 在線交談 4.3.11 信息發(fā)布管理 4.3.12 欄目管理 4.3.13 權(quán)限管理 4.3.14 用戶管理 4.3.15 統(tǒng)計(jì)管理 4.3.16 日志管理 4.4 系統(tǒng)安全解決方案 4.4.1 可能的安全問題分析 4.4.2 系統(tǒng)防護(hù)解決方案 4.4.3 完善的事件處理 4.4.4 其他安全防護(hù) 4.5 技術(shù)方案總結(jié)報(bào)告 第五章 項(xiàng)目建設(shè)配套要求 5.1 運(yùn)行環(huán)境 5.2 硬件環(huán)境 第六章 項(xiàng)目清單及系統(tǒng)資產(chǎn) 6.1 軟硬件設(shè)備 6.1.1 主要內(nèi)容 6.1.2 清單及系統(tǒng)資產(chǎn) 6.2 軟件開發(fā) 6.2.1 網(wǎng)站功能清單 6.3 項(xiàng)目實(shí)施及培訓(xùn) 第一章網(wǎng)站系統(tǒng)分析 1.1 網(wǎng)站系統(tǒng)現(xiàn)狀與問題 目前我公司還沒有自己的對(duì)外網(wǎng)站系統(tǒng)，公司信息資源傳播較為滯后，沒有 得到有效的共享，且缺乏與客戶間的交流互動(dòng)。主要問題如下： 1、公司信息資源沒有得到有效的共享，未能及時(shí)的面向客戶及用戶公開， 不利于客戶及用戶及時(shí)了解我司產(chǎn)品的最新動(dòng)態(tài)。 2、缺乏與客戶和使用者溝通交流，不方便公司了解產(chǎn)品在使用過程中所出 現(xiàn)的問題。 3、沒有一個(gè)網(wǎng)絡(luò)的平臺(tái)，展示公司形象以及向社會(huì)推廣新開發(fā)的產(chǎn)品。 1.2 需求說明與分析 公司網(wǎng)站系統(tǒng)對(duì)于宣傳公司形象、 新產(chǎn)品推廣的開展起到了重要的作用，為 了能夠更好的提高服務(wù)質(zhì)量，暢通交流渠道，這就迫切的需要一個(gè)技術(shù)先進(jìn)、 內(nèi)容全面、功能合理的平臺(tái)來收集、綜合、管理、發(fā)布公司各類信息?，F(xiàn)結(jié) 合現(xiàn)狀，對(duì)公司網(wǎng)站系統(tǒng)的應(yīng)用提出以下方面的需求： 1、性能可靠、可擴(kuò)展性好、運(yùn)行安全穩(wěn)定、高效便捷、易于維護(hù)。 2、網(wǎng)站欄目?jī)?nèi)容具備靈活性和可配置性，可單個(gè)或批量增刪改信息，支持 多種發(fā)布方式，如純文本、文本 +圖片、文本+附件、Office文檔，視頻、投 票等。 3、具備出色的安全性，可過濾敏感內(nèi)容，限制文件上傳類型，可防止 SQL注入、 防跨站腳本攻擊。 4、具備強(qiáng)大的內(nèi)容編輯功能，類似 word ,支持可視化編輯、預(yù)覽等。平臺(tái) 操作、維護(hù)簡(jiǎn)單實(shí)用，信息頁面展示多樣、靈活，分類明確。 5、網(wǎng)站風(fēng)格要求簡(jiǎn)明、淡雅、沉穩(wěn)、實(shí)用。 第二章 網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目標(biāo) 通過本網(wǎng)站的建設(shè)，建立功能強(qiáng)大、信息豐富、管理先進(jìn)、界面美觀、使用方 便的網(wǎng)站系統(tǒng)，系統(tǒng)應(yīng)具有強(qiáng)大的內(nèi)容管理功能， 實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容進(jìn)行全生 命周期的工作流管理。 以內(nèi)容管理為核心，建設(shè)全文檢索、站群管理等應(yīng)用 系統(tǒng)，提供一個(gè)高性能的專業(yè)底層支撐系統(tǒng)。 網(wǎng)站技術(shù)平臺(tái)需采用業(yè)界一流 的成熟軟件。 第三章 項(xiàng)目?jī)?nèi)容與范圍 本網(wǎng)站系統(tǒng)采用（B/S）模式，部署在XXXXXXXX有限公司網(wǎng)站服務(wù)器上， 面向互聯(lián)網(wǎng)用戶，為用戶提供公司各類公告、產(chǎn)品信息，同時(shí)提供在線咨詢、 投訴等服務(wù)，提高網(wǎng)站與用戶的互動(dòng)。 本網(wǎng)站功能劃分為前臺(tái)展現(xiàn)與后臺(tái)管理兩個(gè)部分，前臺(tái)可劃分為七個(gè)大板塊，包括： 首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺(tái)部分 功能包括信息發(fā)布管理、權(quán)限管理、用戶管理、欄目管理、統(tǒng)計(jì)管理、日志管理。同 時(shí)優(yōu)化網(wǎng)站的性能，增強(qiáng)安全防范措施，保證網(wǎng)站的安全穩(wěn)定運(yùn)行。 -2 - 第四章 網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告 4.1 設(shè)計(jì)原則與標(biāo)準(zhǔn) 公司網(wǎng)站系統(tǒng)需遵循先進(jìn)性、開放性、可靠性、可擴(kuò)展維護(hù)性、經(jīng)濟(jì)性原則。 1 .先進(jìn)性：建設(shè)起點(diǎn)要高，采用成熟、先進(jìn)、高效的技術(shù)平臺(tái)。應(yīng)做到軟 件技術(shù)與硬件技術(shù)相匹配、開發(fā)工具與平臺(tái)環(huán)境相匹配 ，從而發(fā)揮各自的 最大效能。 2 .開放性：由于國際計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展，所以功能建設(shè)要遵 循開放性的原則，開放性主要體現(xiàn)在： 系統(tǒng)支持多種硬件平臺(tái)， 如 PCSERVER、臺(tái)式PC等；在系統(tǒng)建設(shè)也 將以 TCP/IP為主要協(xié)議，以實(shí)現(xiàn)整 個(gè)系統(tǒng)的開放性。 3 .可靠性：功能具有高度的可靠性。提高可靠性的方法很多，一般有如下 做法：采用高可靠性的網(wǎng)絡(luò)設(shè)備，出現(xiàn)故障時(shí)能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急 措施。關(guān)鍵設(shè)備采取冗余設(shè)計(jì)，以防單點(diǎn)故障。采用網(wǎng)絡(luò)管理，嚴(yán)格的系統(tǒng) 運(yùn)行控制等系統(tǒng)監(jiān)控。 4 .擴(kuò)展維護(hù)性：提高功能的可擴(kuò)充性和可維護(hù)性是提高其性能的必備手段， 系統(tǒng)采用結(jié)構(gòu)和模塊化構(gòu)造，每個(gè)模塊間保持相對(duì)的獨(dú)立性和靈活性，系統(tǒng) 配置、設(shè)置參數(shù)化。 5 .經(jīng)濟(jì)性：充分考慮網(wǎng)絡(luò)系統(tǒng)當(dāng)前與未來的實(shí)際需求，功能增減方便，技術(shù)既要盡可 能選用國際上最成熟的技術(shù)， 又要功能機(jī)構(gòu)合理， 同時(shí)滿足技術(shù)開發(fā)和用戶使用的需求， 保護(hù)用戶已有的投資和今后的再投資。 4.2 系統(tǒng)結(jié)構(gòu) 4.2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 系統(tǒng)的總體應(yīng)用架構(gòu)如下圖所示: 核心幼據(jù)屏 從應(yīng)用框架上可以看出， 整個(gè)系統(tǒng)采用了分層的框架進(jìn)行設(shè)計(jì)， 數(shù)據(jù)存儲(chǔ)在 由關(guān)系數(shù)據(jù)庫和全文數(shù)據(jù)庫構(gòu)成的數(shù)據(jù)層， 充分利用了關(guān)系數(shù)據(jù)庫的業(yè)務(wù)處 理能力和全文數(shù)據(jù)庫的海量存儲(chǔ)和高性能檢索能力。 在表現(xiàn)層支持各種用戶訪問， 各級(jí)管理員、編輯、公眾都可以通過瀏覽器的 接入方式訪問網(wǎng)站，享受各種資訊服務(wù)。 上述的系統(tǒng)的框架具有良好的擴(kuò)展性， 每一層可以通過集群、 雙擊熱備或負(fù)載均衡技術(shù) 來部署， 在未來負(fù)載增加和弁發(fā)訪問壓力增大的情況下， 可以方便擴(kuò)展和升級(jí)， 提升系 統(tǒng)的處理能力。 4.2.2 系統(tǒng)體系架構(gòu) ■首頁1 I醫(yī)不標(biāo) 新聞中心 人才中，尊 瞞我們 郵礴錄 -7 - 前臺(tái)內(nèi)容展示 網(wǎng)站系統(tǒng)分成前臺(tái)展現(xiàn)與后臺(tái)管理兩個(gè)部分， 前臺(tái)可劃分為七個(gè)大板塊，包 括：首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們； 后臺(tái)功能包括信息發(fā)布管理、欄目管理、權(quán)限管理、用戶管理、統(tǒng)計(jì)管理、日志 管理。主要應(yīng)用到的技術(shù)包括 、信息安全防范、ajax等，數(shù)據(jù)資源層可存 儲(chǔ)文本、附件、多媒體、文檔等各類資源。 4.2.3 系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu) 業(yè)務(wù)邏輯顯 展現(xiàn)、應(yīng)用層 應(yīng)用程序服務(wù)器 Enterprise Servnces PKI身傍認(rèn)證 Data 數(shù)翡型 數(shù)據(jù)埼久屋 Hibernate 一 持久的數(shù)據(jù)對(duì)象及其集合 Persistent (fojects N性配置 |「"四L配置二 Hibernate properties XML Mnpp ir^ SQL Server 2008 敷據(jù)庫 網(wǎng)站采用B/S （瀏覽器/服務(wù)器）模式，使用 C#.NET開發(fā)技術(shù)進(jìn)行項(xiàng)目 的開發(fā)，技術(shù)框架采用三層體系架構(gòu) （3-tier application）,分別為展現(xiàn)應(yīng)用層、 業(yè)務(wù)邏輯層以及數(shù)據(jù)持久層。 三層體系架構(gòu)實(shí)現(xiàn)了分散關(guān)注、 松散耦合、邏 輯復(fù)用、標(biāo)準(zhǔn)定義。 展現(xiàn)、應(yīng)用層：位于最外層（最上層） ，離用戶最近。用于顯示數(shù)據(jù)和 接收用戶輸入的數(shù)據(jù)，為用戶提供一種交互式操作的界面。該層中采用 MVC （Model-View-Controller ,即模型-視圖-控制器）模式，將用戶界面與后 置代碼區(qū)分開，利于代碼的重用性。而用戶界面中，引入 AJAX技術(shù)，全面提 高用戶使用體驗(yàn)。 業(yè)務(wù)邏輯層：是系統(tǒng)架構(gòu)中體現(xiàn)核心價(jià)值的部分， 它的關(guān)注點(diǎn)主要集中 在業(yè)務(wù)規(guī)則的制定、 業(yè)務(wù)流程的實(shí)現(xiàn)等與業(yè)務(wù)需求有關(guān)的系統(tǒng)設(shè)計(jì)。 在這一 層中，引入應(yīng)用服務(wù)器， 實(shí)現(xiàn)網(wǎng)站業(yè)務(wù)功能。 業(yè)務(wù)邏輯層在體系架構(gòu)中的位 置很關(guān)鍵，它處于數(shù)據(jù)訪問層（持久層）與表示層中間， 起到了數(shù)據(jù)交換中承 上啟下的作用。 數(shù)據(jù)持久層：有時(shí)候也稱為是數(shù)據(jù)訪問層， 其功能主要是負(fù)責(zé)數(shù)據(jù)庫的訪 問，可以訪問數(shù)據(jù)庫系統(tǒng)、二進(jìn)制文件、文本文檔或是 XML文檔。簡(jiǎn)單的說法 就是實(shí)現(xiàn)對(duì)數(shù)據(jù)表的 Select , Insert , Update , Delete的操作。如果要加入 ORM的元素，那么就會(huì)包括對(duì)象和數(shù)據(jù)表之間的 mapping ,以及對(duì)象 實(shí)體的持久化。 4.3 各功能模塊設(shè)計(jì) 4.3.1 首頁 首頁不設(shè)子欄目， 為網(wǎng)站整體展示。 滾動(dòng)大圖展示公司形象， 首頁底部設(shè)置 小的滾動(dòng)圖片，展示公司產(chǎn)品信息，用戶可直接點(diǎn)擊進(jìn)入相關(guān)產(chǎn)品頁面。 4.3.2 關(guān)于我們 該欄目位于首頁與航欄第一位，下設(shè)四個(gè)子欄目，分別為：公司簡(jiǎn)介、企業(yè) 文化、企業(yè)榮譽(yù)和企業(yè)資質(zhì)； 4.3.3 新聞中心 該欄目位于首頁與航欄第二位，下設(shè)兩個(gè)子欄目，分別為：行業(yè)動(dòng)態(tài)和公 司新聞；可向客戶展示行業(yè)的最新動(dòng)態(tài)和公司的相關(guān)新聞動(dòng)態(tài)。 4.3.4 產(chǎn)品中心 該欄目位于首頁導(dǎo)航欄第三位，設(shè)四個(gè)子欄目，分別為：輸液器系列、注 射器系列、輸注泵系列和配藥器系列；向用戶呈現(xiàn)公司的產(chǎn)品信息和產(chǎn)品 的技術(shù)參數(shù)。 4.3.5 客戶服務(wù) 該欄目位于首頁導(dǎo)航欄第四位，下設(shè)三個(gè)子欄目，分別為：技術(shù)支持、下 載中心和客戶留言，其中“技術(shù)支持”下再設(shè)兩個(gè)二級(jí)子欄目，分別為常 見問題和代理?xiàng)l件；為客戶解答常見的技術(shù)問題及處理方法。也可方便用 戶下載我公司的相關(guān)資質(zhì)證件。 4.3.6 人才中心 該欄目位于首頁與航欄第五位，下設(shè)兩個(gè)子欄目，分別為：人才策略和招 聘信息；呈現(xiàn)我公司的用人策略及招聘信息。 4.3.7 聯(lián)系我們 該欄目位于首頁與航欄第六位，下設(shè)兩個(gè)子欄目，分別為：銷售網(wǎng)絡(luò)和聯(lián) 系方式。 4.3.8 中英文切換 該欄目位于首頁右上角，方便用戶隨時(shí)切換中英文瀏覽網(wǎng)頁。 4.3.9 企業(yè)郵箱登錄 該欄目位于首頁右上角，方便我公司內(nèi)部員工快速登錄我公司企業(yè)郵箱。 4.3.10 在線交談 該欄目位于首頁右下角，方便用戶隨時(shí)與我公司專業(yè)人員聯(lián)系，通過 QQ 工具連接可快速建立供需雙方的聯(lián)系。 4.3.11 信息發(fā)布管理 支持管理公司信息的發(fā)布、修改、刪除、審核、轉(zhuǎn)移、轉(zhuǎn)載等操作，支持 批量操作，支持多類型信息的發(fā)布，如純文本、圖文、 office、附件、多媒體 信息等?？膳渲眯畔⒌臑g覽、評(píng)論權(quán)。 4.3.12 欄目管理 公司信息以欄目的形式進(jìn)行分類存儲(chǔ)，欄目的建設(shè)采用層級(jí)模式，以樹狀 結(jié)構(gòu)展示，管理員可以通過選擇不同的節(jié)點(diǎn)欄目對(duì)其進(jìn)行增刪改操作，支 持拖放排序。 可配置欄目屬性，實(shí)現(xiàn)各種功能的開啟、關(guān)閉和權(quán)限分配。如配置信息的 瀏覽權(quán)、發(fā)布權(quán)、完全控制權(quán)、審核權(quán)、簽收權(quán)，開啟或關(guān)閉在線評(píng)論、 訪問IP段限制等。 4.3.13 權(quán)限管理 主要權(quán)限包括：瀏覽、發(fā)布、審核、簽收、評(píng)論、置頂、轉(zhuǎn)移轉(zhuǎn)載、完全 控制等。權(quán)限可指定到具體欄目，擁有權(quán)限的用戶可進(jìn)行相應(yīng)的操作。 4.3.14 用戶管理 可對(duì)用戶、組織機(jī)構(gòu)進(jìn)行管理，包括增刪改查操作，用戶權(quán)限分配，自定 義用戶角色等。為保證用戶帳戶的安全性，系統(tǒng)對(duì)用戶密碼進(jìn)行 MD5加密處 理，防止其他非法用戶進(jìn)入系統(tǒng)進(jìn)行數(shù)據(jù)處理。 4.3.15 統(tǒng)計(jì)管理 可統(tǒng)計(jì)平臺(tái)各類數(shù)據(jù)，如訪問量、在線人數(shù)、信息發(fā)布數(shù)量、點(diǎn)擊次數(shù)等。 可按時(shí)間段、欄目、用戶、自定義角色進(jìn)行統(tǒng)計(jì)，可生成和導(dǎo)出統(tǒng)計(jì)報(bào)表。 4.3.16 日志管理 實(shí)現(xiàn)對(duì)系統(tǒng)日志和操作日志進(jìn)行記錄和管理， 協(xié)助系統(tǒng)管理員完成系統(tǒng)安全 與數(shù)據(jù)查錯(cuò)的工作。系統(tǒng)級(jí)日志主要記錄：用戶登錄情況、在線情況、程序 由錯(cuò)信息等；數(shù)據(jù)級(jí)日志主要記錄： 各類數(shù)據(jù)讀寫修改、 刪除等操作的動(dòng)作。 4.4系統(tǒng)安全解決方案 4.4.1 可能的安全問題分析 1 .頁面被篡改 門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容） ，常常會(huì)引發(fā)較大的影 響，嚴(yán)重時(shí)甚至?xí)斐烧问录? 另外一種篡改方式是網(wǎng)頁掛馬： 網(wǎng)頁內(nèi)容表面上沒有任何異常， 卻可能被 偷偷的掛上了木馬程序。 網(wǎng)頁掛馬雖然未必會(huì)給網(wǎng)站帶來直接損害， 但卻 會(huì)給瀏覽網(wǎng)站的用戶帶來損失。 2 .在線業(yè)務(wù)被攻擊 對(duì)企業(yè)和個(gè)人用戶提供在線服務(wù)， 已經(jīng)成為門戶網(wǎng)站的重要功能。 這些服 務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、 終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的 影響，可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。 3 .機(jī)密數(shù)據(jù)外泄 在線業(yè)務(wù)系統(tǒng)中， 總是需要保存一些企業(yè)、 公眾的相關(guān)資料， 這些資料往 往涉及到企業(yè)秘密和個(gè)人隱私， 一旦泄露，會(huì)造成企業(yè)或個(gè)人的利益受損， 可能會(huì)給單位帶來嚴(yán)重的法律糾紛。 4.4.2 系統(tǒng)防護(hù)解決方案 1 .WEB安全需求 對(duì)Web應(yīng)用的安全防護(hù)主要包括如下需求： 部署簡(jiǎn)便，管理集中，操作簡(jiǎn) 潔，性能影響甚微。包括： ? 對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無影響。?方 便管理，無需進(jìn)行復(fù)雜的配置。 ? 對(duì)現(xiàn)有 WEB服務(wù)器的訪問速率不能造成太大的影響。 ? 對(duì)正常業(yè)務(wù)訪問不能進(jìn)行錯(cuò)誤的攔截阻斷。 ? 在需要保護(hù)的 WEB門戶服務(wù)器前端透明直連部署一臺(tái) WEB應(yīng)用防火墻， 對(duì)網(wǎng)站實(shí)行7X24小時(shí)的實(shí)時(shí)監(jiān)控，保護(hù) WEB站點(diǎn)數(shù)據(jù)不被攻擊，避免 網(wǎng)頁篡改給網(wǎng)站帶來的形象損害，避免信息內(nèi)容不合規(guī)等； 2 .WEB安全評(píng)估 網(wǎng)站安全保障是一項(xiàng)系統(tǒng)工程。 網(wǎng)站的安全保障當(dāng)前最為薄弱的環(huán)節(jié)就在 于缺少對(duì) WEB防護(hù)層面的整體考慮。 針對(duì)網(wǎng)站的安全評(píng)估，需要使用安 全掃描、滲透測(cè)試、安全監(jiān)測(cè)三個(gè)方面的技術(shù)手段進(jìn)行實(shí)施評(píng)估工作。 3 .安全掃描 安全掃描采用模擬入侵者的手法， 對(duì)網(wǎng)站進(jìn)行模擬攻擊。可迅速發(fā)現(xiàn)大多 數(shù)常見的網(wǎng)站安全漏洞，如常見的 SQL注入、跨站腳本、目錄瀏覽、應(yīng)用 錯(cuò)誤等漏洞。便于指導(dǎo)后期的安全分析和加固工作。 安全掃描器技術(shù)先進(jìn)的同時(shí)也存在一些無法解決的問題， 如網(wǎng)頁內(nèi)容中的惡 意代碼難識(shí)別、程序中的邏輯漏洞等需要人工判斷的內(nèi)容無法實(shí)現(xiàn)自動(dòng)化。 4 .安全監(jiān)測(cè) 建立網(wǎng)站安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容的安全監(jiān)測(cè)， 主要用于對(duì)網(wǎng)頁木馬 監(jiān)測(cè)、網(wǎng)站可用性、關(guān)鍵字監(jiān)測(cè)。 -9 - 通過該平臺(tái)， 可以實(shí)現(xiàn)網(wǎng)頁木馬監(jiān)測(cè)， 因?yàn)榫W(wǎng)頁木馬不同于常規(guī)的網(wǎng)站漏 洞，具有一定的潛伏性和隱蔽性，常規(guī)模擬入侵者的攻擊無法發(fā)現(xiàn)木馬，而 需要模擬成一個(gè)有漏洞的操作系統(tǒng)去訪問這些網(wǎng)頁， 監(jiān)測(cè)有漏洞的操作系 統(tǒng)是否會(huì)被網(wǎng)站植入木馬。 5 .滲透測(cè)試 滲透測(cè)試借助安全專家多年安全測(cè)試的經(jīng)驗(yàn)， 使用大量安全工具、安全方 法和安全理論相結(jié)合，從攻擊、防御多個(gè)角度出發(fā)去識(shí)別 網(wǎng)站存在的安全風(fēng) 險(xiǎn)。相比于工具型掃描滲透測(cè)試更多側(cè)重于邏輯類型的安全問題識(shí) 別、需要人工輔助類型的安全問題檢測(cè)， 從而可以將網(wǎng)站的安全水平提升 到一個(gè)新的高度。 例如檢測(cè)出網(wǎng)站存某處敏感信息泄露， 可能報(bào)告的是低危險(xiǎn)級(jí)別的安全事 件。然后輔助人工則可利用這個(gè)敏感信息可能進(jìn)一步獲取網(wǎng)站的管理員賬 戶和密碼信息，最終實(shí)現(xiàn)完全控制網(wǎng)站的目的。 6 .WEB安全防御 安全防御是實(shí)踐安全預(yù)警、分析、防御、加固的系統(tǒng)措施的過程，而非部 署某一款安全產(chǎn)品這樣簡(jiǎn)單。建議營銷管理平臺(tái)網(wǎng)站安全的防御應(yīng)至少做 到如下三個(gè)方面。 7 .安全分析 安全分析是安全防御的基礎(chǔ)， 安全分析的重心是安全評(píng)估的報(bào)告和安全設(shè) 備的日志匯總信息。 通過安全分析可以清晰的認(rèn)識(shí)到當(dāng)前存在的主要問題 以及所面臨的安全威脅。 安全分析是一個(gè)跨部門協(xié)調(diào)的工作， 通常由用戶職能部門牽頭安全服務(wù)商負(fù) 責(zé)整體安全分析的內(nèi)容綱要， 由安全服務(wù)商、 軟件開發(fā)商、 系統(tǒng)運(yùn)維人員、 業(yè)務(wù)使用代表等共同參與以最終確定安全防御的目標(biāo)。 8 .安全防護(hù) 當(dāng)網(wǎng)站檢測(cè)出有特定安全問題時(shí)將提出相應(yīng)的安全應(yīng)對(duì)措施。 除通用的防護(hù) 策略之外還提供相關(guān)的安全加固對(duì)象，滿足安全加固策略的實(shí)施。 9 .安全加固 網(wǎng)站安全加固是一個(gè)不斷改進(jìn)的過程， 隨著業(yè)務(wù)的變更、 安全研究的深入 等均會(huì)促進(jìn)安全加固工作的展開。 安全加固建議：采用硬件 WEB應(yīng)用防火墻加固的同時(shí)硬件廠商為用戶方 提供詳細(xì)的安全加固建議，便于程序開發(fā)商修復(fù)存在的安全缺陷。 10 .WEB安全建議 定期進(jìn)行專業(yè)的安全評(píng)估，包括黑盒測(cè)試 -遠(yuǎn)程深度安全評(píng)估以及白盒測(cè) 試-本地代碼安全評(píng)估。 針對(duì)安全評(píng)估結(jié)果進(jìn)行專業(yè)安全整改和加固。 建立和完善一套有效的安全管理制度， 對(duì)長(zhǎng)虹集團(tuán)的日常維護(hù)和使用進(jìn)行 規(guī)范。 建立起一套完善有效的應(yīng)急響應(yīng)預(yù)案和流程， 并定期進(jìn)行應(yīng)急演練， 一旦 發(fā)現(xiàn)發(fā)生任何異常狀況可及時(shí)進(jìn)行處理和恢復(fù)， 有效避免網(wǎng)站業(yè)務(wù)中斷帶來 損失。 定期對(duì)相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn)， 提高安全技術(shù)能力和實(shí)際 操作能力。 -11 - 4.4.3完善的事件處理 防護(hù)體系結(jié)構(gòu)圖 1 .事前檢查 針對(duì)營銷管理平臺(tái)各 WEB應(yīng)用系統(tǒng)及部分未上線的應(yīng)用系統(tǒng)，采用 WEB應(yīng)用 掃描器進(jìn)行一次 WEB系統(tǒng)全面的OWASP TOP 10檢測(cè)，可以幫助用戶充分 了解WEB應(yīng)用存在的安全隱患， 建立安全可靠的 WEB應(yīng)用服務(wù)，改善并提 升應(yīng)用系統(tǒng)抗各類 WEB應(yīng)用攻擊的能力。 35分 -13 - E-M排I地址 數(shù)據(jù)庫錯(cuò)誤 文件備份 I:何域HTMLJ5面通信 表單隱藏修 篝康醐網(wǎng)箱L信皂 網(wǎng)站管理后臺(tái)地址 密接注入 踏站［挑本； pHPiNm-r / 1翻他L 伊站路修世漏 澤魯 M處 2 .事中告警 針對(duì)各類攻擊行為及異常訪問行為， 實(shí)時(shí)告警并通過各類方式通知給安全 管理員，便于快速處理安全事件。 3 .事后分析 通過系統(tǒng)內(nèi)部告警日志，實(shí)現(xiàn)對(duì)攻擊源的定位分析，同時(shí)提供各類統(tǒng)計(jì)分析，方便 掌握整個(gè)應(yīng)用系統(tǒng)的動(dòng)態(tài)安全狀況及運(yùn)行狀態(tài)。 4 .4.4其他安全防護(hù) 系統(tǒng)其他安全防護(hù)措施包括： ?制定服務(wù)器管理的配套制度，編寫可行的應(yīng)急方案，并定期演練。 ?設(shè)置專門的系統(tǒng)管理員，定期安排專人進(jìn)行服務(wù)器巡檢，杜絕安全隱患。 ?定期審查服務(wù)器巡檢記錄。 ?防止SQL注入。 ?防止跨站腳本攻擊。 ?嚴(yán)格控制系統(tǒng)更新發(fā)布，執(zhí)行工作票管理制度，對(duì)于系統(tǒng)程序版本和配置 變更進(jìn)行嚴(yán)格、規(guī)范的管理。 4.5技術(shù)方案總結(jié)報(bào)告 通過上述技術(shù)方案，以先進(jìn)的計(jì)算機(jī)技術(shù)手段建立系統(tǒng)，完全依據(jù)現(xiàn)行相關(guān)國家及行業(yè) 標(biāo)準(zhǔn)規(guī)程， 利用現(xiàn)代系統(tǒng)工程技術(shù)、 網(wǎng)絡(luò)信息數(shù)據(jù)庫服務(wù)技術(shù)、 通信技術(shù)， 為XXXXXXXX有 限公司提供了一套完善的、高效的網(wǎng)站系統(tǒng)平臺(tái)，滿足我公司網(wǎng)站的建設(shè)與管理的目 標(biāo)。通過主流的分享平臺(tái)，讓用戶繼續(xù)將文章實(shí)時(shí)時(shí)訊、最新產(chǎn)品信息分享出去，讓文 章能被更廣泛的流傳，增加我公司網(wǎng)站的訪問流量，擴(kuò)大我公司網(wǎng)站影響力。 第五章 項(xiàng)目建設(shè)配套要求 5.1 運(yùn)行環(huán)境 服務(wù)器操作系統(tǒng)： Windows 2008 Server 企業(yè)版 64位 Web服務(wù)器軟件： IIS 數(shù)據(jù)庫存儲(chǔ)軟件： SQL Server 2008數(shù)據(jù)庫 客戶端：Windows .NET平臺(tái)：2.0版本以上 5.2 硬件環(huán)境 應(yīng)用數(shù)據(jù)庫服務(wù)器： 16GB物理內(nèi)存或者更多， 500g硬盤存儲(chǔ)或以上，高速雙網(wǎng)卡； -22- 第六章項(xiàng)目清單和系統(tǒng)資產(chǎn) 6.1軟硬件設(shè)備 6.1.1主要內(nèi)容 按照第五章項(xiàng)目配套要求,本項(xiàng)目需要采購服務(wù)器、 window server 2008操作 系統(tǒng)、SQL Server 2008數(shù)據(jù)庫。另外，該系統(tǒng)有手機(jī)短信功能，需要與移動(dòng) 簽訂相關(guān)短信接口協(xié)議。 6.1.2清單及項(xiàng)目資產(chǎn) 序號(hào) 采購項(xiàng) 規(guī)格說明 數(shù)量 單位 報(bào)價(jià)單價(jià) 報(bào)價(jià)總價(jià) 1 網(wǎng)站服務(wù)器 Dell R910 , E4830CPU 4 個(gè)/32G內(nèi)存/600G 硬 盤3個(gè)/雙冗余電源 /3年 原廠服務(wù) 1 臺(tái) 2 操作系統(tǒng) window server 2008 企 業(yè)版64位 1 套 3 數(shù)據(jù)庫 SQL Server 2008 標(biāo) 準(zhǔn)版1 套; 4 天清漢馬USG-FW-3610D 防火墻 2U上架設(shè)備，雙電源， 提供大于10個(gè)千兆 Combo接口，內(nèi)存/、小 于2G ,吞吐里:不小于 6G,若購買VPN授權(quán)無 用戶數(shù)限制，設(shè)備面板 支持液晶屏顯示簡(jiǎn)單狀 態(tài)，采用MIPS64專用多 核硬件平臺(tái)，非 X86架 構(gòu)，并提供國家版權(quán)局 頒發(fā)的多核并行操作系 統(tǒng)《計(jì)算機(jī)軟件著作權(quán) 登記證書》。 1 臺(tái) 5 天清Web應(yīng)用網(wǎng)關(guān) WAG1020 2U上架設(shè)備，雙電源， 提供大于10個(gè)千兆 Combo接口，弁發(fā)連接 數(shù)不小于39萬，吞吐量 不小于1.8G ,支持XML DoS攻擊防護(hù)、爬蟲防 護(hù)、CSRF(Cross-Site Request Forgery)攻擊防 護(hù)。支持請(qǐng)求信息自學(xué) 習(xí)、URL流量控制、網(wǎng) 頁掛馬防護(hù)、 Webshell 1 套  掛馬防護(hù)，支持捕獲原 始報(bào)文。 6 PKI/CA身份認(rèn)證系統(tǒng)設(shè)備 證書簽發(fā)系統(tǒng)：吉大正 元UCA（內(nèi)嵌目錄服務(wù) 系統(tǒng)） 安全認(rèn)證網(wǎng)關(guān)：G2000 USB Key: SZD 34 1 套 7 移動(dòng)短信接口 1 套 8 合計(jì) 6.2軟件開發(fā) 6.2.1網(wǎng)站功能清單 序號(hào) 采購項(xiàng) 規(guī)格說明 數(shù)量 單位 單價(jià)（元） 金額（元） 1 首頁 公司概況功能開發(fā) 2 人天 2 關(guān)于我們 公］百息＞75 3 人天 3 新聞中心 新聞公告功能開發(fā) 1 人天 4 產(chǎn)品中心 產(chǎn)品信息開發(fā) 2 人天 5 客戶服務(wù) 在線留言和技術(shù)支持 2 人天 6 人才中心 用人策略和招聘信息開發(fā) 2 人天 7 聯(lián)系我們 在線聯(lián)系 2 人天 8 中英切換 英語功能開發(fā) 2 人天 9 郵箱系統(tǒng) 在線登錄系統(tǒng) 2 人天 10 在線交談 在線QQ聯(lián)系功能開發(fā) 1 人天 11 信息發(fā)布管理 信息發(fā)布管理功能開發(fā) 2 人天 12 欄目管理 欄目管理功能開發(fā) 2 人天 13 權(quán)限管理 權(quán)限管理功能開發(fā) 2 H 人天 14 用戶管理 用戶管理功能開發(fā) 1 人天 15 統(tǒng)計(jì)管理 統(tǒng)計(jì)管理功能開發(fā) 1 人天  16日三 嗒理 1 日志管理功能開發(fā) 1人天 合計(jì) 6.3項(xiàng)目實(shí)施、培訓(xùn) 項(xiàng)目建設(shè)完成后，由承建方網(wǎng)絡(luò)公司提供技術(shù)支持并組織人員培訓(xùn) 序號(hào) 項(xiàng)目 規(guī)格說明 數(shù)量 單價(jià) 金額 1 軟件實(shí)施費(fèi) 包括基礎(chǔ)數(shù)據(jù)整理、 公共信息錄入、權(quán) 限分配、系統(tǒng)實(shí)施后需求變更管理等。 1 2 培訓(xùn)費(fèi)用 集中分3次對(duì)用戶進(jìn)行使用操作培訓(xùn)、 對(duì)管理員進(jìn)行系統(tǒng)管理、 權(quán)限管理等培 訓(xùn)。 3 3 技術(shù)服務(wù)費(fèi) 系統(tǒng)鑒定費(fèi)、驗(yàn)收評(píng)審費(fèi)等 1 4 系統(tǒng)集成費(fèi) 包括服務(wù)器安裝上架、 數(shù)據(jù)庫軟件、網(wǎng) 站平臺(tái)安裝等 1 合計(jì) 紅 塵紫陌, 有轟轟烈烈的昨日，也有平淡如水的今天。在生活平平仄仄的韻腳中，一直都泛著故事的清香，我看到每一寸的光陰都落在我的宣紙上，跌進(jìn)每一個(gè)方方正正的小楷里，沉香、迷醉。 秋光靜好，窗外陽光和細(xì)微的風(fēng)都好，我也尚好。不去向秋寒暄，只愿坐在十月的門扉，寫一闕清麗的小詩，送給秋天；在一杯香茗里欣然，讀一抹秋意闌珊，依著深秋，細(xì)嗅桂花的香 馥，賞她們的淡定從容地綻放。 聽風(fēng)穿過幽幽長(zhǎng)廊，在平淡簡(jiǎn)約的人生中，把日子過成云卷云舒，行云流水的模樣，過成一幅畫，一首詩。有你，有我，有愛，有暖，就好。在安靜恬淡的時(shí)光里，勾勒我們最美的今天 和明天。 醉一簾秋之幽夢(mèng)，寫一行小字，念一個(gè)遠(yuǎn)方，癡一生眷戀。一記流年，一寸相思。不許海誓山盟，只許你在，我就在。你是我前世今生的愛，是刻在心頭的一枚朱砂。 任由塵世千般云煙散盡，任由風(fēng)沙凝固成沙漠的墻，你依然是我生命的風(fēng)景。 人生苦短，且行且珍惜。十月如詩，就讓我獨(dú)醉其中吧！行走紅塵，做最簡(jiǎn)單的自己。簡(jiǎn)單讓人快樂，快樂的人，都是因?yàn)楹?jiǎn)單。心豁達(dá)，坦然，不存勾心斗角。從容面對(duì)人生，做最好 的自己，巧笑嫣然，你若盛開，蝴蝶自來。 那就做一朵花吧！優(yōu)雅綻放，優(yōu)雅凋落，不帶憂傷，只記美好。 這個(gè)秋日，一切都很美，陽光淺淺，云舞蒼穹，閑風(fēng)淡淡。撿拾一片薄如蟬翼的枯葉，寫著季節(jié)流轉(zhuǎn)的故事，沉淀著歲月的風(fēng)華。安靜的享受生命途徑上的一山一水。 執(zhí)筆揮墨，耕耘愛的世界，輕聲吟唱?dú)q月安好，把一縷縷醉人的情懷，婉約成小字里的風(fēng)月千里，泅成指尖上的浪漫和馨香。靜立于秋光濠解里，賞碧水云天，攜來閑云幾片，柔風(fēng)幾縷， 縫進(jìn)歲月的香囊里，將唯美雅致收藏，醉臥美好時(shí)光。 秋，是靜美的，是收獲的，是滿載希望而歸的季節(jié)。秋只因葉落，蕨蕤消，花殘瘦影，不免總給人一種無邊蕭瑟。 然而秋，也有秋的美。如黃巢《不第后賦菊》詩中有句：待到秋來九月八，我花開后百花殺。是不是聽起來特別霸道有味。 誰說秋實(shí)悲涼的，百花殘了何妨？我菊正艷艷，香影欹滿山。還有一句歌詞叫：春游百花，秋有月。秋天的月，要比任何季節(jié)都美，都明亮，都讓人迷戀陶然。 秋有赤楓把美麗的秋燃燒成通紅火辣，秋有萬千銀杏如蝶，秋哪有蕭索？秋一直很美，你可有發(fā)現(xiàn)美的眼睛呢？ 每一個(gè)季節(jié)，都有著不同的旖旎。人生何嘗不是如四季，有青春絕艷的花季，也有老驥伏楊的暮年。容顏老去，青春不復(fù)，所有的美好不會(huì)消失，一直珍藏著。 即便時(shí)光變得荒蕪，而你我一直永如初見，彼此溫柔以待。走進(jìn)十月，驀然回首，你我都在，惟愿光陰路上，且行且惜，寂靜相伴，無悔一生。 紅塵紫陌，有轟轟烈烈的昨日，也有平淡如水的今天。在生活平平仄仄的韻腳中，一直都泛著故事的清香，我看到每一寸的光陰都落在我的宣紙上，跌進(jìn)每一個(gè)方方正正的小楷里，沉香、 迷醉。 秋光靜好，窗外陽光和細(xì)微的風(fēng)都好，我也尚好。不去向秋寒暄，只愿坐在十月的門扉，寫一闕清麗的小詩，送給秋天；在一杯香茗里欣然，讀一抹秋意闌珊，依著深秋，細(xì)嗅桂花的香 馥，賞她們的淡定從容地綻放。 聽風(fēng)穿過幽幽長(zhǎng)廊，在平淡簡(jiǎn)約的人生中，把日子過成云卷云舒，行云流水的模樣，過成一幅畫，一首詩。有你，有我，有愛，有暖，就好。在安靜恬淡的時(shí)光里，勾勒我們最美的今天 和明天。 醉一簾秋之幽夢(mèng)，寫一行小字，念一個(gè)遠(yuǎn)方，癡一生眷戀。一記流年，一寸相思。不許海誓山盟，只許你在，我就在。你是我前世今生的愛，是刻在心頭的一枚朱砂。 任由塵世千般云煙散盡，任由風(fēng)沙凝固成沙漠的墻，你依然是我生命的風(fēng)景。 人生苦短，且行且珍惜。十月如詩，就讓我獨(dú)醉其中吧！行走紅塵，做最簡(jiǎn)單的自己。簡(jiǎn)單讓人快樂，快樂的人，都是因?yàn)楹?jiǎn)單。心豁達(dá)，坦然，不存勾心斗角。從容面對(duì)人生，做最好 的自己，巧笑嫣然，你若盛開，蝴蝶自來。 那就做一朵花吧！優(yōu)雅綻放，優(yōu)雅凋落，不帶憂傷，只記美好。 這個(gè)秋日，一切都很美，陽光淺淺，云舞蒼穹，閑風(fēng)淡淡。撿拾一片薄如蟬翼的枯葉，寫著季節(jié)流轉(zhuǎn)的故事，沉淀著歲月的風(fēng)華。安靜的享受生命途徑上的一山一水。 執(zhí)筆揮墨，耕耘愛的世界，輕聲吟唱?dú)q月安好，把一縷縷醉人的情懷，婉約成小字里的風(fēng)月千里，泅成指尖上的浪漫和馨香。靜立于秋光濠解里，賞碧水云天，攜來閑云幾片，柔風(fēng)幾縷， 縫進(jìn)歲月的香囊里，將唯美雅致收藏，醉臥美好時(shí)光。 秋，是靜美的，是收獲的，是滿載希望而歸的季節(jié)。秋只因葉落，蕨蕤消，花殘瘦影，不免總給人一種無邊蕭瑟。 然而秋，也有秋的美。如黃巢《不第后賦菊》詩中有句：待到秋來九月八，我花開后百花殺。是不是聽起來特別霸道有味。 誰說秋實(shí)悲涼的，百花殘了何妨？我菊正艷艷，香影欹滿山。還有一句歌詞叫：春游百花，秋有月。秋天的月，要比任何季節(jié)都美，都明亮，都讓人迷戀陶然。 秋有赤楓把美麗的秋燃燒成通紅火辣，秋有萬千銀杏如蝶，秋哪有蕭索？秋一直很美，你可有發(fā)現(xiàn)美的眼睛呢？ 每一個(gè)季節(jié)，都有著不同的旖旎。人生何嘗不是如四季，有青春絕艷的花季，也有老驥伏楊的暮年。容顏老去，青春不復(fù)，所有的美好不會(huì)消失，一直珍藏著。 即便時(shí)光變得荒蕪，而你我一直永如初見，彼此溫柔以待。走進(jìn)十月，驀然回首，你我都在，惟愿光陰路上，且行且惜，寂靜相伴，無悔一生 -16- -17- -18-