項目系統(tǒng)功能說明

1、項目系統(tǒng)功能說明本次項目為 PC端，通過對學校采購業(yè)務的發(fā)布、 審批、記錄的全業(yè)務鏈管理，實現(xiàn)對學校采購業(yè)務的工作任務落實的全生命周期管理，并向各級用戶提供統(tǒng)一化、便捷化的管理和功能操作。4.1 采購信息管理平臺功能建設需求1、項目采購方式：可發(fā)布招標公告與網上詢價公告。認證過的供應商可在網上詢價規(guī)定時間內報名并針對電子詢價的項目在平臺里輸入報價。為保證公平，報名詢價期間所有管理員用戶都無法看到報名供應商數(shù)量及供應商報價，可設定某標截止前幾小時內允許報價供應商修改最終報價。詢價規(guī)定時間截止后，方可查詢供應商報價結果并排序確認最低價格。2、內部項目申報審批：申請人申請項目后，由部門主管、歸口部門

2、、財資處、審計處、采購管理員和校領導共同完成審核流程。項目申請流程結束后，申請人可點擊“申請掛網”功能，錄入基本信息、上傳附件，確定后該任務到“采購管理員”處， “采購管理員”對任務進行編輯和附件的更改上傳，最終確定掛網。確定審核后將對外掛網公示。3、會員管理系統(tǒng)：主要包括：投標單位管理、招標代理機構管理和采購單位管理等。4、項目類型管理： 對招標代理公司和招投標代理機構所在的分類進行管理，對項目進行配置和維護，并能建立項目類別，將項目進行歸類管理。5、項目退回：在退回該任務的時候，每個崗位需要填寫退回原因和建議，方便申請人了解情況，重新申請。6、記錄和打?。核胁块T崗位的用戶需要能查詢顯示和

3、自己及部門經辦的項目記錄和詳情，可打印該任務詳情頁面信息。7、中標金額：最終審核項目歸檔的時候，需要把中標金額進行采集歸檔，如中標金額和招標金額有差異，則結余資金自動回到申報部門的資金庫里。8、中標公示：將競價、招標等交易結果登記進入系統(tǒng)，在平臺上發(fā)布。9、角色管理：按照項目功能要求，平臺分系統(tǒng)管理員、投標單位、招標代理機構、學校部門等，根據(jù)不同角色賦予相應的管理權限。系統(tǒng)管理員：對系統(tǒng)用戶、角色、部門、權限等進行綜合管理。投標單位：提供投標單位（供應商）注冊管理功能，允許投標單位信息的自助維護、信息服務的定制等。通過審核后，開通會員功能。支持投標單位網上自助注冊、審核入庫的流程化操作，投標單

4、位的資質、業(yè)績、經營范圍等受平臺管理。招標代理機構：代理機構通過網上注冊申請備案，填寫資質證件、從業(yè)人員、營業(yè)執(zhí)照等必要信息，并上傳相關資料附件，以便管理員進行審核備案。學校部門：為學校所有學院（系）、部門科室開設賬號和根據(jù)現(xiàn)實流程調研整理并梳理流程權限。部門賬號分為部門主管（黨群和行政）、部門操作員（黨群和行政）、校領導。申請人申請項目后，由多部門主管、歸口部門、財資處、審計處、采購管理員和校領導共同完成審核流程。4.2 采購信息管理數(shù)據(jù)監(jiān)管功能需求1、統(tǒng)計分析：可按照不同的需要，對業(yè)務的數(shù)據(jù)進行統(tǒng)計，而且可以對相應的數(shù)據(jù)導出， 進而進行更為有效的分析。 包括統(tǒng)計項目、 預算資金、結余金額、

5、實際支出金額、每年任務量等，需大數(shù)據(jù)支撐。2、統(tǒng)計報表：根據(jù)系統(tǒng)信息進行統(tǒng)計分析形成的固定格式的統(tǒng)計報表。目前包含項目信息統(tǒng)計和項目統(tǒng)計報表兩大部分內容。按照名稱，時間段，類別，負責人等查詢條件生成報表，統(tǒng)計報表內容均可支持下載。3、綜合查詢：為用戶提供快捷的基礎及業(yè)務數(shù)據(jù)的查詢展示，同時提供詳細的數(shù)據(jù)匯總功能。 通過系統(tǒng)查詢數(shù)據(jù)滿足學校查詢需求，同時用戶可通過通用查詢功能進行自定義查詢以滿足個性化需求。4、資金管理：學校各部門每年都會劃分資金。資金由相關人員分配資金到“歸口部門”或“校內各部門”，到“歸口部門”后，該部門可以把到賬的金額再次分配給“各部門”，部門還可分黨群和行政，資金需詳細劃

6、分給每個部門。4.3 采購信息管理平臺數(shù)據(jù)防篡改系統(tǒng)數(shù)據(jù)篡改風險分析近年來， Web網頁被篡改的事件屢見不鮮。自2003年起，國家互聯(lián)網應急中心（ CNCERT/CC）持續(xù)對境內網站被篡改的情況進行監(jiān)測、跟蹤和分析，其嚴重性呈逐年上升的趨勢。 而網頁之所以存在被篡改的風險，主要分為外在和內在兩個方面的原因。從外在原因來看，目前黑客篡改網頁的手段層出不窮，形式也是多種多樣。但總結下來，主要包括以下幾種：篡改信息：直接修改文件（腳本、圖片等）的內容，是一種顯性的篡改。目的也主要是讓公眾看到黑客散布的信息；網頁掛馬：通過在網頁（動靜態(tài)腳本）中嵌入網頁木馬，然后“歪用”各種腳本語言的某些功能在網頁被訪

7、問時，對 Web服務器端或 Web客戶端發(fā)起攻擊。 主要目的一般是竊取數(shù)據(jù)、劫持訪問等。這是一種較為隱蔽的篡改形式；非法上傳：利用各種漏洞向 Web服務器上上傳惡意腳本、木馬程序等各種非法文件。主要目的一般是竊取數(shù)據(jù)、控制服務器等；植入外鏈：通過在網頁中植入外鏈， 來達到提高自己網站訪問量的目的。 這是目前非常高發(fā)的一種篡改形式，而且由于該種形式比較隱蔽，一般較難發(fā)現(xiàn)。從內在原因來看， Web應用系統(tǒng)本身也難免存在各種防不勝防的風險點，都有可能造成網頁被篡改。 有時候，這些內在的風險所造成的后果反而比外在的黑客攻擊要嚴重得多。主要包括以下幾種：Web應用的運行環(huán)境不安全： 安全策略不嚴、 賬號

8、管理失控、 權限配置不當、惡意程序失察等；Web應用程序自身存在安全缺陷：危險的第三方控件、被忽視的測試網頁或示例程序、脆弱的訪問控制機制、暴露的敏感信息等；Web網頁文件的發(fā)布過程不規(guī)范：不安全的發(fā)布工具、不規(guī)范的發(fā)布流程、不嚴格的發(fā)布權限等。因此，任何試圖單從外在原因的角度 （即主動防御） 來解決網頁防篡改問題的傳統(tǒng)產品， 都難以達到 100%的防篡改效果。 其中，最常見的一種方式是期望通過對應用層攻擊的防護， 來保證網頁不會被篡改。 然而，如果網站的發(fā)布管理本身就存在漏洞， 那么即便所有的應用層攻擊都被有效攔截， 網頁仍然有可能因為使用了不安全的發(fā)布工具， 或發(fā)布權限被盜用等問題而導致網

9、頁被篡改。 由此可見，只有采用“內外兼修”的機制，才能達到最佳的防篡改效果。數(shù)據(jù)防篡改系統(tǒng)功能需求全方位的篡改檢查網頁防篡改系統(tǒng)在篡改的檢查點上做了全方位的覆蓋，以確保100%的可靠性，主要包括事件觸發(fā)、核心內嵌和定時掃描。事件觸發(fā) 事件觸發(fā)是傳統(tǒng)的網頁防篡改產品通常采用的檢查方式，即在文件被修改的時候進行篡改檢查，網頁防篡改系統(tǒng)也將事件觸發(fā)作為檢查點之一。但是，單純在文件被修改時進行檢查的風險在于， 一旦未能識別篡改行為， 則該篡改行為即行生效，導致整個防篡改機制完全失效了。核心內嵌 核心內嵌是網頁防篡改系統(tǒng)所采用的主要檢查方式，即在文件被訪問的時候，通過數(shù)字水印校驗技術進行篡改檢查， 這樣

10、可以確保任何被篡改的網頁文件都無法被訪問到， 從而實現(xiàn)了很高的網頁防篡改可靠性。 網頁防篡改系統(tǒng)將繼續(xù)保留該種檢查方式。定時掃描 定時掃描是網頁防篡改系統(tǒng)引入的全新檢查機制，它實現(xiàn)了在任意時間節(jié)點上對任何文件進行篡改檢查的功能。 對于部署網頁防篡改系統(tǒng)之前已經存在的網頁文件也可以進行篡改檢查， 同時也支持對于待發(fā)布網頁文件的內容掃描，使網頁防篡改不再局限于篡改事件的事中事后， 真正實現(xiàn)了貫穿網頁文件生命周期的網頁防篡改。多手段的篡改識別網頁防篡改系統(tǒng)提供更多的篡改識別手段， 以確保整個防篡改機制不會被黑客的篡改行為繞過，主要包括文件屬性檢查、數(shù)字水印校驗和文件內容掃描。文件屬性檢查 文件屬性檢

11、查是傳統(tǒng)的網頁防篡改產品對篡改行為主要側重的判斷依據(jù)，其判定的對象都是寫操作行為， 判定的標準則是預設的進程白名單或文件屬性變化規(guī)則。 網頁防篡改系統(tǒng)也將把文件屬性檢查作為輔助識別篡改行為的手段之一。 但是，一旦黑客對寫操作的行為進行偽裝， 或者在篡改網頁文件時，不改變其文件屬性， 則這種防篡改機制即被繞過， 無法識別出黑客的篡改行為。數(shù)字水印校驗數(shù)字水印校驗是網頁防篡改系統(tǒng)主要采用的技術手段之一，它把防篡改的側重點從行為轉換為文件。數(shù)字水印是每個網頁文件唯一的標識，網頁文件任何一個字節(jié)的變化，都會使得數(shù)字水印隨之改變。因此，任何文件變化都會在數(shù)字水印校驗時被發(fā)現(xiàn)。而合法的變化還是非法的變化，

12、完全取決于文件變化時，數(shù)字水印是否也同步發(fā)生變化，與操作的進程以及文件自身的屬性無關。這樣，黑客的任何偽裝行為都無法繞開篡改檢測，從而使得防篡改系統(tǒng)具備了 100%的篡改識別能力。網頁防篡改系統(tǒng)將繼續(xù)保留該種篡改識別的手段。文件內容掃描 網頁防篡改系統(tǒng)在網頁防篡改系統(tǒng)的基礎上，新增了文件內容掃描的篡改識別機制， 網頁文件內容中的不合規(guī)或有害信息都能被準確地識別出來。隨著網站應用的日益復雜，網站里由用戶產生的內容（ user generated content ）也越來越普遍。這部分內容與集中式內容管理架構不同，通常在部署時，往往沒有所謂的 “源文件” 可供比對。而這部分文件， 也是最容易藏污納

13、垢，帶來安全隱患的可疑文件。 網頁防篡改系統(tǒng)對這部分文件的處理， 一方面可以細粒度地根據(jù)文件類型、文件目錄和文件產生方式之間的組合進行判斷； 另一方面，還內置了檢查文件具體內容是否包含惡意腳本的引擎。 這樣即使是用戶產生的內容，也能獲得足夠的防護，不會由此產生短板，從而降低整個站點的安全度。更靈活的篡改處理網頁防篡改系統(tǒng)采用多種靈活的篡改處理機制相結合，以確保能夠在任何時刻對網頁防篡改系統(tǒng)識別出錯誤的、有害的或被篡改的網頁文件進行及時恢復，主要包括篡改恢復、 指定恢復和精確同步。 這些機制完全是自動的， 無需篡改行為或者訪問行為來觸發(fā)恢復動作。 網頁防篡改系統(tǒng)的這種特性能夠幫助用戶實現(xiàn)更加靈活

14、、更貼近實際環(huán)境及安全需求的網頁防篡改。篡改恢復篡改恢復是最常見的處理機制，是在網頁文件被篡改時觸發(fā)的恢復動作，大部分傳統(tǒng)的網頁防篡改產品也都采用了這種處理機制。在網頁防篡改系統(tǒng)中，有兩種情形會自動觸發(fā)該機制。一是在網頁文件被非法修改 （即事件觸發(fā)）時，二是在網頁文件被訪問時識別出篡改行為（即核心內嵌）。但是，單獨采用篡改恢復的處理機制無法覆蓋所有情況。指定恢復指定恢復可以根據(jù)網頁防篡改系統(tǒng)的防篡改策略配置，在任意時刻被觸發(fā)。比如在新網頁文件準備發(fā)布之前，進行一次篡改檢測， 并對有問題的文件進行恢復； 或者在需要對系統(tǒng)進行安全評估時，對系統(tǒng)的指定目錄進行篡改檢測，并對有問題的文件進行恢復；或者

15、在定時掃描檢查時， 對有問題的網頁文件進行篡改恢復。精確同步 精確同步是網頁防篡改系統(tǒng)新增的一種篡改處理機制，并采用了智能化的同步傳輸技術。它無須篡改行為真實發(fā)生，可以根據(jù)防篡改策略配置，在任意時刻被觸發(fā)。 一般來說，精確同步可以在網頁防篡改系統(tǒng)部署完畢且上線之前觸發(fā)一次， 對已有的所有網頁文件進行同步， 確保網頁防篡改系統(tǒng)上線后不存在已有的漏洞； 或是周期性地進行觸發(fā)， 以保證網頁文件的發(fā)布和更新都得到了及時同步。 當然，精確同步機制不僅限于上述應用場景， 具體可以根據(jù)防篡改策略進行靈活配置和調整。專業(yè)級的發(fā)布平臺網站是時刻處于變化之中， 理論上網頁的發(fā)布更新是網頁內容變化的唯一合法渠道，因

16、此確保網頁發(fā)布過程的安全性是網頁防篡改系統(tǒng)需要高度關注的網頁防篡改系統(tǒng)問題。網頁防篡改系統(tǒng)為網頁文件的發(fā)布提供了一套安全高效的文件傳輸工具。 同時，對于發(fā)布服務器上的網頁文件采取了寫保護措施， 確保發(fā)布服務器上網頁文件的完整性不會遭到黑客的破壞。網頁防篡改系統(tǒng)在網頁防篡改系統(tǒng)的基礎上， 從功能性和安全性兩方面對發(fā)布系統(tǒng)進行了強化。 在功能上，加強了對站群系統(tǒng)的支持， 對于規(guī)模較大的網站（群）系統(tǒng)能夠實現(xiàn)無縫對接。同時，增加了發(fā)布定制功能，能夠根據(jù)用戶網站的環(huán)境、管理上的特殊需求，對發(fā)布過程進行定制。例如： 網頁防篡改系統(tǒng)的發(fā)布系統(tǒng)能夠通過發(fā)布定制功能實現(xiàn)發(fā)布的同時對 Web服務器端的舊文件進行

17、備份，并且在發(fā)生誤發(fā)布時， 能夠實現(xiàn)對誤操作的回退。 該功能大大增加了發(fā)布可靠性，杜絕了因誤發(fā)布造成的負面影響。通過網頁防篡改系統(tǒng)的發(fā)布系統(tǒng)進行網頁文件發(fā)布， 可以有效避免使用不安全的發(fā)布工具（例如： FTP工具等）而造成的發(fā)布安全性問題。用戶只需將待發(fā)布的網頁文件交給網頁防篡改系統(tǒng)， 文件傳輸工作將由網頁防篡改系統(tǒng)的發(fā)布系統(tǒng)自動完成。整個過程采用加密傳輸。同時，網頁防篡改系統(tǒng)的發(fā)布系統(tǒng)還增加了一個待發(fā)布網頁文件的安全審核過程，即對每個待發(fā)布的網頁文件進行內容掃描，確保這些文件不包含惡意代碼、非法外鏈等。只有通過內容掃描確認沒有問題的網頁文件，才會被發(fā)布到 Web服務器上。網頁防篡改系統(tǒng)的發(fā)布

18、系統(tǒng)還引入了“站點” 的概念，允許將復雜的內容系統(tǒng)劃分成多個站點，并將網頁文件的發(fā)布和管理權限細分成多個角色，對 Web服務器上的站點、目錄的文件接收權限也可以做到細粒度的管控，即不同的站點、目錄對應不同的發(fā)布賬戶。 從而規(guī)范了發(fā)布權限的管理， 進一步保障了發(fā)布環(huán)節(jié)的高安全性。一站式的 Web管理網頁防篡改系統(tǒng)提供了全新的一站式 Web管理中心，只需通過瀏覽器，即能對已網頁防篡改系統(tǒng)部署的所有網頁防篡改系統(tǒng)服務模塊進行統(tǒng)一配置和管理，解決了跨平臺、分布式部署的管理問題。尤其是對部署于采用云架構的 Web應用上的網頁防篡改系統(tǒng)， 網頁防篡改系統(tǒng)的管理中心提供了一種高效便捷的管理方式。網頁防篡改系

19、統(tǒng)的 Web管理中心能夠監(jiān)控部署于 Web服務器端的防護模塊是否正常運行， 防護功能是否開啟， 以及網頁防篡改系統(tǒng)各個部件是否聯(lián)通。 并對防護的實時數(shù)據(jù)進行統(tǒng)計匯總。同時，也可以對防護模塊進行遠程配置。網頁防篡改系統(tǒng)的 Web管理中心對系統(tǒng)管理的角色進行細分，將安全管理和審計人員與業(yè)務（網頁發(fā)布）管理和審計人員進行明確的區(qū)分。同時，對每個角色能夠在較細的粒度上 （細到站點） 劃分管理范圍。 確保了網頁防篡改系統(tǒng)自身的管理維護具備極高的安全性。網頁防篡改系統(tǒng)是 Web應用安全中的一環(huán)，因此，網頁防篡改系統(tǒng)的日志、報警信息等需要與外部系統(tǒng)進行較為廣泛和頻繁的交互。 網頁防篡改系統(tǒng)提供豐富的可定制接口，能滿足各種系統(tǒng)接駁、日志轉儲、數(shù)據(jù)交換等需求。4.4 數(shù)據(jù)防篡改軟件總體性能要求：1、上傳文件速度： 5ms（ 50K文件）；2、篡改檢測時間：訪問時實時檢測；3、篡改恢復時間： 6ms。