XXXXXXXX有限公司網(wǎng)站系統(tǒng)技術(shù)方案目錄第一章網(wǎng)站系統(tǒng)分析系統(tǒng)現(xiàn)狀與問題需求說明與分析第二章網(wǎng)站系統(tǒng)項目建設(shè)目標(biāo)第三章項目內(nèi)容與范圍第四章網(wǎng)站技術(shù)方案設(shè)計報告設(shè)計原則與標(biāo)準(zhǔn)系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)系統(tǒng)體系架構(gòu)系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)各功能模塊設(shè)計首頁關(guān)于我們新聞中心產(chǎn)品中心客戶服務(wù)人才中心聯(lián)系我們中英文切換企業(yè)郵箱登錄在線交談信息發(fā)布管理欄目管理權(quán)限管理用戶管理統(tǒng)計管理日志管理系統(tǒng)安全解決方案可能的安全問題分析系統(tǒng)防護(hù)解決方案完善的事件處理其他安全防護(hù)技術(shù)方案總結(jié)報告第五章項目建設(shè)配套要求運行環(huán)境硬件環(huán)境第六章項目清單及系統(tǒng)資產(chǎn)軟硬件設(shè)備主要內(nèi)容清單及系統(tǒng)資產(chǎn)軟件開發(fā)網(wǎng)站功能清單項目實施及培訓(xùn)第一章網(wǎng)站系統(tǒng)分析網(wǎng)站系統(tǒng)現(xiàn)狀與問題目前我公司還沒有自己的對外網(wǎng)站系統(tǒng)，公司信息資源傳播較為滯后，沒有得到有效的共享，且缺乏與客戶間的交流互動。主要問題如下：1、公司信息資源沒有得到有效的共享，未能及時的面向客戶及用戶公開，不利于客戶及用戶及時了解我司產(chǎn)品的最新動態(tài)。2、缺乏與客戶和使用者溝通交流，不方便公司了解產(chǎn)品在使用過程中所出現(xiàn)的問題。3、沒有一個網(wǎng)絡(luò)的平臺，展示公司形象以及向社會推廣新開發(fā)的產(chǎn)品。需求說明與分析公司網(wǎng)站系統(tǒng)對于宣傳公司形象、新產(chǎn)品推廣的開展起到了重要的作用，為了能夠更好的提高服務(wù)質(zhì)量，暢通交流渠道，這就迫切的需要一個技術(shù)先進(jìn)、內(nèi)容全面、功能合理的平臺來收集、綜合、管理、發(fā)布公司各類信息。現(xiàn)結(jié)合現(xiàn)狀，對公司網(wǎng)站系統(tǒng)的應(yīng)用提出以下方面的需求：1、性能可靠、可擴(kuò)展性好、運行安全穩(wěn)定、高效便捷、易于維護(hù)。2、網(wǎng)站欄目內(nèi)容具備靈活性和可配置性，可單個或批量增刪改信息，支持多種發(fā)布方式，如純文本、文本+圖片、文本+附件、Office文檔，視頻、投示等。3、具備出色的安全性，可過濾敏感內(nèi)容，限制文件上傳類型，可防止SQL注入、防跨站腳本攻擊。4、具備強大的內(nèi)容編輯功能，類似word，支持可視化編輯、預(yù)覽等。平臺操作、維護(hù)簡單實用，信息頁面展示多樣、靈活，分類明確。5、網(wǎng)站風(fēng)格要求簡明、淡雅、沉穩(wěn)、實用。第二章網(wǎng)站系統(tǒng)項目建設(shè)目標(biāo)通過本網(wǎng)站的建設(shè)，建立功能強大、信息豐富、管理先進(jìn)、界面美觀、使用方便的網(wǎng)站系統(tǒng)，系統(tǒng)應(yīng)具有強大的內(nèi)容管理功能，實現(xiàn)對網(wǎng)站內(nèi)容進(jìn)行全生命周期的工作流管理。以內(nèi)容管理為核心，建設(shè)全文檢索、站群管理等應(yīng)用系統(tǒng)，提供一個高性能的專業(yè)底層支撐系統(tǒng)。網(wǎng)站技術(shù)平臺需采用業(yè)界一流的成熟軟件。第三章項目內(nèi)容與范圍本網(wǎng)站系統(tǒng)采用（B/S）模式，部署在XXXXXXXX有限公司網(wǎng)站服務(wù)器上，面向互聯(lián)網(wǎng)用戶，為用戶提供公司各類公告、產(chǎn)品信息，同時提供在線咨詢、投訴等服務(wù)，提高網(wǎng)站與用戶的互動。本網(wǎng)站功能劃分為前臺展現(xiàn)與后臺管理兩個部分，前臺可劃分為七個大板塊，包括：首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺部分功能包括信息發(fā)布管理、權(quán)限管理、用戶管理、欄目管理、統(tǒng)計管理、日志管理。同時優(yōu)化網(wǎng)站的性能，增強安全防范措施，保證網(wǎng)站的安全穩(wěn)定運行。

第四章網(wǎng)站技術(shù)方案設(shè)計報告設(shè)計原則與標(biāo)準(zhǔn)公司網(wǎng)站系統(tǒng)需遵循先進(jìn)性、開放性、可靠性、可擴(kuò)展維護(hù)性、經(jīng)濟(jì)性原則。.先進(jìn)性：建設(shè)起點要高，采用成熟、先進(jìn)、高效的技術(shù)平臺。應(yīng)做到軟件技術(shù)與硬件技術(shù)相匹配、開發(fā)工具與平臺環(huán)境相匹配，從而發(fā)揮各自的最大效能。.開放性：由于國際計算機技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展，所以功能建設(shè)要遵循開放性的原則，開放性主要體現(xiàn)在：系統(tǒng)支持多種硬件平臺，如PCSERVER、臺式PC等；在系統(tǒng)建設(shè)中，將以TCP/IP為主要協(xié)議，以實現(xiàn)整個系統(tǒng)的開放性。.可靠性：功能具有高度的可靠性。提高可靠性的方法很多，一般有如下做法：采用高可靠性的網(wǎng)絡(luò)設(shè)備，出現(xiàn)故障時能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急措施。關(guān)鍵設(shè)備采取冗余設(shè)計，以防單點故障。采用網(wǎng)絡(luò)管理，嚴(yán)格的系統(tǒng)運行控制等系統(tǒng)監(jiān)控。.擴(kuò)展維護(hù)性：提高功能的可擴(kuò)充性和可維護(hù)性是提高其性能的必備手段，系統(tǒng)采用結(jié)構(gòu)和模塊化構(gòu)造，每個模塊間保持相對的獨立性和靈活性，系統(tǒng)配置、設(shè)置參數(shù)化。.經(jīng)濟(jì)性：充分考慮網(wǎng)絡(luò)系統(tǒng)當(dāng)前與未來的實際需求，功能增減方便，技術(shù)既要盡可能選用國際上最成熟的技術(shù)，又要功能機構(gòu)合理，同時滿足技術(shù)開發(fā)和用戶使用的需求，保護(hù)用戶已有的投資和今后的再投資。系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)系統(tǒng)的總體應(yīng)用架構(gòu)如下圖所示:應(yīng)用品『一內(nèi)容管理-個性情息柿勢出方式名語種支恃基和查由轉(zhuǎn)畀排序應(yīng)用品『一內(nèi)容管理-個性情息柿勢出方式名語種支恃基和查由轉(zhuǎn)畀排序應(yīng)用中間件核心敕據(jù)層 -<>妖格平戶——k.J ，性文曜數(shù)據(jù)里「,回;卡^據(jù)網(wǎng)關(guān)飛二.■扁k半結(jié)均化，非結(jié)枸化轂據(jù)杳曲、阱一J J"

從應(yīng)用框架上可以看出，整個系統(tǒng)采用了分層的框架進(jìn)行設(shè)計，數(shù)據(jù)存儲在由關(guān)系數(shù)據(jù)庫和全文數(shù)據(jù)庫構(gòu)成的數(shù)據(jù)層，充分利用了關(guān)系數(shù)據(jù)庫的業(yè)務(wù)處理能力和全文數(shù)據(jù)庫的海量存儲和高性能檢索能力。在表現(xiàn)層支持各種用戶訪問，各級管理員、編輯、公眾都可以通過瀏覽器的接入方式訪問網(wǎng)站，享受各種資訊服務(wù)。上述的系統(tǒng)的框架具有良好的擴(kuò)展性，每一層可以通過集群、雙擊熱備或負(fù)載均衡技術(shù)來部署，在未來負(fù)載增加和并發(fā)訪問壓力增大的情況下，可以方便擴(kuò)展和升級，提升系統(tǒng)的處理能力。4.2.2系統(tǒng)體系架構(gòu)網(wǎng)站系統(tǒng)分成前臺展現(xiàn)與后臺管理兩個部分，前臺可劃分為七個大板塊，包括：首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺功能包括信息發(fā)布管理、欄目管理、權(quán)限管理、用戶管理、統(tǒng)計管理、日志管理。主要應(yīng)用到的技術(shù)包括、信息安全防范、ajax等，數(shù)據(jù)資源層可存儲文本、附件、多媒體、文檔等各類資源。4.2.3系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)業(yè)務(wù)度輯層數(shù)據(jù)持久層展現(xiàn)、應(yīng)用層應(yīng)用程序胭務(wù)器EntsrpriseServices通信PKI身份認(rèn)證數(shù)據(jù)模型OatsMods-H業(yè)務(wù)度輯層數(shù)據(jù)持久層展現(xiàn)、應(yīng)用層應(yīng)用程序胭務(wù)器EntsrpriseServices通信PKI身份認(rèn)證數(shù)據(jù)模型OatsMods-Hiberne't?持幺的鈾據(jù)對象及其集含Persi￡t?ntObjects屬性配直HibernatepropertiesXML配置XMLMapping-SQLServer2M8數(shù)據(jù)庫網(wǎng)站采用B/S（瀏覽器/服務(wù)器）模式，使用C#.NET開發(fā)技術(shù)進(jìn)行項目的開發(fā)，技術(shù)框架采用三層體系架構(gòu)（3-tierapplication）,分別為展現(xiàn)應(yīng)用層、業(yè)務(wù)邏輯層以及數(shù)據(jù)持久層。三層體系架構(gòu)實現(xiàn)了分散關(guān)注、松散耦合、邏輯復(fù)用、標(biāo)準(zhǔn)定義。展現(xiàn)、應(yīng)用層：位于最外層（最上層），離用戶最近。用于顯示數(shù)據(jù)和接收用戶輸入的數(shù)據(jù)，為用戶提供一種交互式操作的界面。該層中采用MVC（Model-View-Controller，即模型-視圖-控制器）模式，將用戶界面與后置代碼區(qū)分開，利于代碼的重用性。而用戶界面中，引入AJAX技術(shù)，全面提高用戶使用體驗。業(yè)務(wù)邏輯層：是系統(tǒng)架構(gòu)中體現(xiàn)核心價值的部分，它的關(guān)注點主要集中在業(yè)務(wù)規(guī)則的制定、業(yè)務(wù)流程的實現(xiàn)等與業(yè)務(wù)需求有關(guān)的系統(tǒng)設(shè)計。在這一層中，引入應(yīng)用服務(wù)器，實現(xiàn)網(wǎng)站業(yè)務(wù)功能。業(yè)務(wù)邏輯層在體系架構(gòu)中的位置很關(guān)鍵，它處于數(shù)據(jù)訪問層（持久層）與表示層中間，起到了數(shù)據(jù)交換中承上啟下的作用。數(shù)據(jù)持久層：有時候也稱為是數(shù)據(jù)訪問層，其功能主要是負(fù)責(zé)數(shù)據(jù)庫的訪問，可以訪問數(shù)據(jù)庫系統(tǒng)、二進(jìn)制文件、文本文檔或是XML文檔。簡單的說法就是實現(xiàn)對數(shù)據(jù)表的Select，Insert，Update，Delete的操作。如果要加入ORM的元素，那么就會包括對象和數(shù)據(jù)表之間的mapping，以及對象實體的持久化。各功能模塊設(shè)計首頁首頁不設(shè)子欄目，為網(wǎng)站整體展示。滾動大圖展示公司形象，首頁底部設(shè)置小的滾動圖片，展示公司產(chǎn)品信息，用戶可直接點擊進(jìn)入相關(guān)產(chǎn)品頁面。關(guān)于我們該欄目位于首頁導(dǎo)航欄第一位，下設(shè)四個子欄目，分別為：公司簡介、企業(yè)文化、企業(yè)榮譽和企業(yè)資質(zhì)；新聞中心該欄目位于首頁導(dǎo)航欄第二位，下設(shè)兩個子欄目，分別為：行業(yè)動態(tài)和公司新聞；可向客戶展示行業(yè)的最新動態(tài)和公司的相關(guān)新聞動態(tài)。產(chǎn)品中心該欄目位于首頁導(dǎo)航欄第三位，設(shè)四個子欄目，分別為：輸液器系列、注射器系列、輸注泵系列和配藥器系列；向用戶呈現(xiàn)公司的產(chǎn)品信息和產(chǎn)品的技術(shù)參數(shù)?？蛻舴?wù)該欄目位于首頁導(dǎo)航欄第四位，下設(shè)三個子欄目，分別為：技術(shù)支持、下載中心和客戶留言，其中“技術(shù)支持”下再設(shè)兩個二級子欄目，分別為常見問題和代理條件；為客戶解答常見的技術(shù)問題及處理方法。也可方便用戶下載我公司的相關(guān)資質(zhì)證件。人才中心該欄目位于首頁導(dǎo)航欄第五位，下設(shè)兩個子欄目，分別為：人才策略和招聘信息；呈現(xiàn)我公司的用人策略及招聘信息。聯(lián)系我們該欄目位于首頁導(dǎo)航欄第六位，下設(shè)兩個子欄目，分別為：銷售網(wǎng)絡(luò)和聯(lián)系方式。中英文切換該欄目位于首頁右上角，方便用戶隨時切換中英文瀏覽網(wǎng)頁。企業(yè)郵箱登錄該欄目位于首頁右上角，方便我公司內(nèi)部員工快速登錄我公司企業(yè)郵箱。在線交談該欄目位于首頁右下角，方便用戶隨時與我公司專業(yè)人員聯(lián)系，通過QQ工具連接可快速建立供需雙方的聯(lián)系。信息發(fā)布管理支持管理公司信息的發(fā)布、修改、刪除、審核、轉(zhuǎn)移、轉(zhuǎn)載等操作，支持批量操作，支持多類型信息的發(fā)布，如純文本、圖文、office、附件、多媒體信息等?？膳渲眯畔⒌臑g覽、評論權(quán)。欄目管理公司信息以欄目的形式進(jìn)行分類存儲，欄目的建設(shè)采用層級模式，以樹狀結(jié)構(gòu)展示，管理員可以通過選擇不同的節(jié)點欄目對其進(jìn)行增刪改操作，支持拖放排序?？膳渲脵谀繉傩?，實現(xiàn)各種功能的開啟、關(guān)閉和權(quán)限分配。如配置信息的瀏覽權(quán)、發(fā)布權(quán)、完全控制權(quán)、審核權(quán)、簽收權(quán)，開啟或關(guān)閉在線評論、訪問IP段限制等。權(quán)限管理主要權(quán)限包括：瀏覽、發(fā)布、審核、簽收、評論、置頂、轉(zhuǎn)移轉(zhuǎn)載、完全控制等。權(quán)限可指定到具體欄目，擁有權(quán)限的用戶可進(jìn)行相應(yīng)的操作。用戶管理可對用戶、組織機構(gòu)進(jìn)行管理，包括增刪改查操作，用戶權(quán)限分配，自定義用戶角色等。為保證用戶帳戶的安全性，系統(tǒng)對用戶密碼進(jìn)行MD5加密處理，防止其他非法用戶進(jìn)入系統(tǒng)進(jìn)行數(shù)據(jù)處理。統(tǒng)計管理可統(tǒng)計平臺各類數(shù)據(jù)，如訪問量、在線人數(shù)、信息發(fā)布數(shù)量、點擊次數(shù)等?？砂磿r間段、欄目、用戶、自定義角色進(jìn)行統(tǒng)計，可生成和導(dǎo)出統(tǒng)計報表。日志管理實現(xiàn)對系統(tǒng)日志和操作日志進(jìn)行記錄和管理，協(xié)助系統(tǒng)管理員完成系統(tǒng)安全與數(shù)據(jù)查錯的工作。系統(tǒng)級日志主要記錄：用戶登錄情況、在線情況、程序出錯信息等；數(shù)據(jù)級日志主要記錄：各類數(shù)據(jù)讀寫修改、刪除等操作的動作。系統(tǒng)安全解決方案可能的安全問題分析.頁面被篡改門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容），常常會引發(fā)較大的影響，嚴(yán)重時甚至?xí)斐烧问录?。另外一種篡改方式是網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁掛馬雖然未必會給網(wǎng)站帶來直接損害，但卻會給瀏覽網(wǎng)站的用戶帶來損失。.在線業(yè)務(wù)被攻擊對企業(yè)和個人用戶提供在線服務(wù)，已經(jīng)成為門戶網(wǎng)站的重要功能。這些服務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、終止，對業(yè)務(wù)的正常運轉(zhuǎn)必然造成極大的影響，可能會造成經(jīng)濟(jì)損失，嚴(yán)重時甚至?xí)绊懮鐣€(wěn)定。.機密數(shù)據(jù)外泄在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個人隱私，一旦泄露，會造成企業(yè)或個人的利益受損，可能會給單位帶來嚴(yán)重的法律糾紛。系統(tǒng)防護(hù)解決方案.WEB安全需求對Web應(yīng)用的安全防護(hù)主要包括如下需求：部署簡便，管理集中，操作簡潔，性能影響甚微。包括：對現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無影響。方便管理，無需進(jìn)行復(fù)雜的配置。對現(xiàn)有WEB服務(wù)器的訪問速率不能造成太大的影響。對正常業(yè)務(wù)訪問不能進(jìn)行錯誤的攔截阻斷。?在需要保護(hù)的WEB門戶服務(wù)器前端透明直連部署一臺WEB應(yīng)用防火墻，對網(wǎng)站實行7X24小時的實時監(jiān)控，保護(hù)WEB站點數(shù)據(jù)不被攻擊，避免網(wǎng)頁篡改給網(wǎng)站帶來的形象損害，避免信息內(nèi)容不合規(guī)等；.WEB安全評估網(wǎng)站安全保障是一項系統(tǒng)工程。網(wǎng)站的安全保障當(dāng)前最為薄弱的環(huán)節(jié)就在于缺少對WEB防護(hù)層面的整體考慮。針對網(wǎng)站的安全評估，需要使用安全掃描、滲透測試、安全監(jiān)測三個方面的技術(shù)手段進(jìn)行實施評估工作。.安全掃描安全掃描采用模擬入侵者的手法，對網(wǎng)站進(jìn)行模擬攻擊。可迅速發(fā)現(xiàn)大多數(shù)常見的網(wǎng)站安全漏洞，如常見的SQL注入、跨站腳本、目錄瀏覽、應(yīng)用錯誤等漏洞。便于指導(dǎo)后期的安全分析和加固工作。安全掃描器技術(shù)先進(jìn)的同時也存在一些無法解決的問題，如網(wǎng)頁內(nèi)容中的惡意代碼難識別、程序中的邏輯漏洞等需要人工判斷的內(nèi)容無法實現(xiàn)自動化。.安全監(jiān)測建立網(wǎng)站安全監(jiān)測平臺實現(xiàn)對網(wǎng)站內(nèi)容的安全監(jiān)測，主要用于對網(wǎng)頁木馬監(jiān)測、網(wǎng)站可用性、關(guān)鍵字監(jiān)測。通過該平臺，可以實現(xiàn)網(wǎng)頁木馬監(jiān)測，因為網(wǎng)頁木馬不同于常規(guī)的網(wǎng)站漏洞，具有一定的潛伏性和隱蔽性，常規(guī)模擬入侵者的攻擊無法發(fā)現(xiàn)木馬，而需要模擬成一個有漏洞的操作系統(tǒng)去訪問這些網(wǎng)頁，監(jiān)測有漏洞的操作系統(tǒng)是否會被網(wǎng)站植入木馬。.滲透測試滲透測試借助安全專家多年安全測試的經(jīng)驗，使用大量安全工具、安全方法和安全理論相結(jié)合，從攻擊、防御多個角度出發(fā)去識別網(wǎng)站存在的安全風(fēng)險。相比于工具型掃描滲透測試更多側(cè)重于邏輯類型的安全問題識另I」、需要人工輔助類型的安全問題檢測，從而可以將網(wǎng)站的安全水平提升到一個新的高度。例如檢測出網(wǎng)站存某處敏感信息泄露，可能報告的是低危險級別的安全事件。然后輔助人工則可利用這個敏感信息可能進(jìn)一步獲取網(wǎng)站的管理員賬戶和密碼信息，最終實現(xiàn)完全控制網(wǎng)站的目的。.WEB安全防御安全防御是實踐安全預(yù)警、分析、防御、加固的系統(tǒng)措施的過程，而非部署某一款安全產(chǎn)品這樣簡單。建議營銷管理平臺網(wǎng)站安全的防御應(yīng)至少做到如下三個方面。.安全分析安全分析是安全防御的基礎(chǔ)，安全分析的重心是安全評估的報告和安全設(shè)備的日志匯總信息。通過安全分析可以清晰的認(rèn)識到當(dāng)前存在的主要問題以及所面臨的安全威脅。安全分析是一個跨部門協(xié)調(diào)的工作，通常由用戶職能部門牽頭安全服務(wù)商負(fù)責(zé)整體安全分析的內(nèi)容綱要，由安全服務(wù)商、軟件開發(fā)商、系統(tǒng)運維人員、業(yè)務(wù)使用代表等共同參與以最終確定安全防御的目標(biāo)。.安全防護(hù)當(dāng)網(wǎng)站檢測出有特定安全問題時將提出相應(yīng)的安全應(yīng)對措施。除通用的防護(hù)策略之外還提供相關(guān)的安全加固對象，滿足安全加固策略的實施。.安全加固網(wǎng)站安全加固是一個不斷改進(jìn)的過程，隨著業(yè)務(wù)的變更、安全研究的深入等均會促進(jìn)安全加固工作的展開。安全加固建議：采用硬件WEB應(yīng)用防火墻加固的同時硬件廠商為用戶方提供詳細(xì)的安全加固建議，便于程序開發(fā)商修復(fù)存在的安全缺陷。.WEB安全建議定期進(jìn)行專業(yè)的安全評估，包括黑盒測試-遠(yuǎn)程深度安全評估以及白盒測試-本地代碼安全評估。針對安全評估結(jié)果進(jìn)行專業(yè)安全整改和加固。建立和完善一套有效的安全管理制度，對長虹集團(tuán)的日常維護(hù)和使用進(jìn)行規(guī)范。建立起一套完善有效的應(yīng)急響應(yīng)預(yù)案和流程，并定期進(jìn)行應(yīng)急演練，一旦發(fā)現(xiàn)發(fā)生任何異常狀況可及時進(jìn)行處理和恢復(fù)，有效避免網(wǎng)站業(yè)務(wù)中斷帶來損失。定期對相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn)，提高安全技術(shù)能力和實際操作能力。4.4.3完善的事件處理主動防御監(jiān)控審過主動防御監(jiān)控審過防護(hù)體系結(jié)構(gòu)圖.事前檢查針對營銷管理平臺各WEB應(yīng)用系統(tǒng)及部分未上線的應(yīng)用系統(tǒng)，采用WEB應(yīng)用掃描器進(jìn)行一次WEB系統(tǒng)全面的OWASPTOP10檢測，可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力。35分?jǐn)?shù)據(jù)庫錯誤網(wǎng)站管理后臺地址鏈接注入一框架注入跨站腳本網(wǎng)站管理后臺地址鏈接注入一框架注入跨站腳本任何域HTML貝面通信表單隱藏±或--敏感白勺HTMUR■電內(nèi)網(wǎng)IPPHPTNFC測試文件Wub應(yīng)用程序錯謖??網(wǎng)站路徑泄漏Z5.事中告警針對各類攻擊行為及異常訪問行為，實時告警并通過各類方式通知給安全管理員，便于快速處理安全事件。.事后分析通過系統(tǒng)內(nèi)部告警日志，實現(xiàn)對攻擊源的定位分析，同時提供各類統(tǒng)計分析，方便掌握整個應(yīng)用系統(tǒng)的動態(tài)安全狀況及運行狀態(tài)。4.4.4其他安全防護(hù)系統(tǒng)其他安全防護(hù)措施包括：?制定服務(wù)器管理的配套制度，編寫可行的應(yīng)急方案，并定期演練。?設(shè)置專門的系統(tǒng)管理員，定期安排專人進(jìn)行服務(wù)器巡檢，杜絕安全隱患。?定期審查服務(wù)器巡檢記錄。?防止SQL注入。?防止跨站腳本攻擊。?嚴(yán)格控制系統(tǒng)更新發(fā)布，執(zhí)行工作票管理制度，對于系統(tǒng)程序版本和配置變更進(jìn)行嚴(yán)格、規(guī)范的管理。4.5技術(shù)方案總結(jié)報告通過上述技術(shù)方案，以先進(jìn)的計算機技術(shù)手段建立系統(tǒng)，完全依據(jù)現(xiàn)行相關(guān)國家及行業(yè)標(biāo)準(zhǔn)規(guī)程，利用現(xiàn)代系統(tǒng)工程技術(shù)、網(wǎng)絡(luò)信息數(shù)據(jù)庫服務(wù)技術(shù)、通信技術(shù)，為XXXXXXXX有限公司提供了一套完善的、高效的網(wǎng)站系統(tǒng)平臺，滿足我公司網(wǎng)站的建設(shè)與管理的目標(biāo)。通過主流的分享平臺，讓用戶繼續(xù)將文章實時時訊、最新產(chǎn)品信息分享出去，讓文章能被更廣泛的流傳，增加我公司網(wǎng)站的訪問流量，擴(kuò)大我公司網(wǎng)站影響力。第五章項目建設(shè)配套要求運行環(huán)境服務(wù)器操作系統(tǒng)：Windows2008Server企業(yè)版64位Web服務(wù)器軟件：IIS數(shù)據(jù)庫存儲軟件：SQLServer2008數(shù)據(jù)庫客戶端：Windows.NET平臺：2.0版本以上硬件環(huán)境應(yīng)用'數(shù)據(jù)庫服務(wù)器：16GB物理內(nèi)存或者更多，500g硬盤存儲或以上，高速雙網(wǎng)卡；-10-

第六章項目清單和系統(tǒng)資產(chǎn)軟硬件設(shè)備主要內(nèi)容按照第五章項目配套要求，本項目需要采購服務(wù)器、windowserver2008操作系統(tǒng)、SQLServer2008數(shù)據(jù)庫。另外，該系統(tǒng)有手機短信功能，需要與移動簽訂相關(guān)短信接口協(xié)議。清單及項目資產(chǎn)序號采購項規(guī)格說明數(shù)量單位報價單價報價總價1網(wǎng)站服務(wù)器DellR910，E4830CPU4個32G內(nèi)存/600G硬盤3個/雙冗余電源/3年原廠服務(wù)1臺2操作系統(tǒng)windowserver2008企業(yè)版64位1套3數(shù)據(jù)庫SQLServer2008標(biāo)準(zhǔn)版1套4天清漢馬USG-FW-3610D防火墻2U上架設(shè)備，雙電源，提供大于10個千兆Combo接