網(wǎng)站技術(shù)方案

XXXXXXXX有限公司網(wǎng)站系統(tǒng)技術(shù)方案目錄第一章網(wǎng)站系統(tǒng)分析系統(tǒng)現(xiàn)狀與問(wèn)題需求說(shuō)明與分析第二章網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目標(biāo)第三章項(xiàng)目?jī)?nèi)容與范圍第四章網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告設(shè)計(jì)原則與標(biāo)準(zhǔn)系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)系統(tǒng)體系架構(gòu)系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)各功能模塊設(shè)計(jì)首頁(yè)關(guān)于我們新聞中心產(chǎn)品中心客戶服務(wù)人才中心聯(lián)系我們中英文切換企業(yè)郵箱登錄在線交談信息發(fā)布管理欄目管理權(quán)限管理用戶管理統(tǒng)計(jì)管理日志管理系統(tǒng)安全解決方案可能的安全問(wèn)題分析系統(tǒng)防護(hù)解決方案完善的事件處理其他安全防護(hù)技術(shù)方案總結(jié)報(bào)告第五章項(xiàng)目建設(shè)配套要求運(yùn)行環(huán)境硬件環(huán)境第六章項(xiàng)目清單及系統(tǒng)資產(chǎn)軟硬件設(shè)備主要內(nèi)容清單及系統(tǒng)資產(chǎn)軟件開發(fā)網(wǎng)站功能清單項(xiàng)目實(shí)施及培訓(xùn)第一章網(wǎng)站系統(tǒng)分析網(wǎng)站系統(tǒng)現(xiàn)狀與問(wèn)題目前我公司還沒(méi)有自己的對(duì)外網(wǎng)站系統(tǒng)，公司信息資源傳播較為滯后，沒(méi)有得到有效的共享，且缺乏與客戶間的交流互動(dòng)。主要問(wèn)題如下：1、公司信息資源沒(méi)有得到有效的共享，未能及時(shí)的面向客戶及用戶公開，不利于客戶及用戶及時(shí)了解我司產(chǎn)品的最新動(dòng)態(tài)。2、缺乏與客戶和使用者溝通交流，不方便公司了解產(chǎn)品在使用過(guò)程中所出現(xiàn)的問(wèn)題。3、沒(méi)有一個(gè)網(wǎng)絡(luò)的平臺(tái)，展示公司形象以及向社會(huì)推廣新開發(fā)的產(chǎn)品。需求說(shuō)明與分析公司網(wǎng)站系統(tǒng)對(duì)于宣傳公司形象、新產(chǎn)品推廣的開展起到了重要的作用，為了能夠更好的提高服務(wù)質(zhì)量，暢通交流渠道，這就迫切的需要一個(gè)技術(shù)先進(jìn)、內(nèi)容全面、功能合理的平臺(tái)來(lái)收集、綜合、管理、發(fā)布公司各類信息?，F(xiàn)結(jié)合現(xiàn)狀，對(duì)公司網(wǎng)站系統(tǒng)的應(yīng)用提出以下方面的需求：1、性能可靠、可擴(kuò)展性好、運(yùn)行安全穩(wěn)定、高效便捷、易于維護(hù)。2、網(wǎng)站欄目?jī)?nèi)容具備靈活性和可配置性，可單個(gè)或批量增刪改信息，支持多種發(fā)布方式，如純文本、文本+圖片、文本+附件、Office文檔，視頻、投示等。3、具備出色的安全性，可過(guò)濾敏感內(nèi)容，限制文件上傳類型，可防止SQL注入、防跨站腳本攻擊。4、具備強(qiáng)大的內(nèi)容編輯功能，類似word，支持可視化編輯、預(yù)覽等。平臺(tái)操作、維護(hù)簡(jiǎn)單實(shí)用，信息頁(yè)面展示多樣、靈活，分類明確。5、網(wǎng)站風(fēng)格要求簡(jiǎn)明、淡雅、沉穩(wěn)、實(shí)用。第二章網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目標(biāo)通過(guò)本網(wǎng)站的建設(shè)，建立功能強(qiáng)大、信息豐富、管理先進(jìn)、界面美觀、使用方便的網(wǎng)站系統(tǒng)，系統(tǒng)應(yīng)具有強(qiáng)大的內(nèi)容管理功能，實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容進(jìn)行全生命周期的工作流管理。以內(nèi)容管理為核心，建設(shè)全文檢索、站群管理等應(yīng)用系統(tǒng)，提供一個(gè)高性能的專業(yè)底層支撐系統(tǒng)。網(wǎng)站技術(shù)平臺(tái)需采用業(yè)界一流的成熟軟件。第三章項(xiàng)目?jī)?nèi)容與范圍本網(wǎng)站系統(tǒng)采用（B/S）模式，部署在XXXXXXXX有限公司網(wǎng)站服務(wù)器上，面向互聯(lián)網(wǎng)用戶，為用戶提供公司各類公告、產(chǎn)品信息，同時(shí)提供在線咨詢、投訴等服務(wù)，提高網(wǎng)站與用戶的互動(dòng)。本網(wǎng)站功能劃分為前臺(tái)展現(xiàn)與后臺(tái)管理兩個(gè)部分，前臺(tái)可劃分為七個(gè)大板塊，包括：首頁(yè)、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺(tái)部分功能包括信息發(fā)布管理、權(quán)限管理、用戶管理、欄目管理、統(tǒng)計(jì)管理、日志管理。同時(shí)優(yōu)化網(wǎng)站的性能，增強(qiáng)安全防范措施，保證網(wǎng)站的安全穩(wěn)定運(yùn)行。

第四章網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告設(shè)計(jì)原則與標(biāo)準(zhǔn)公司網(wǎng)站系統(tǒng)需遵循先進(jìn)性、開放性、可靠性、可擴(kuò)展維護(hù)性、經(jīng)濟(jì)性原則。.先進(jìn)性：建設(shè)起點(diǎn)要高，采用成熟、先進(jìn)、高效的技術(shù)平臺(tái)。應(yīng)做到軟件技術(shù)與硬件技術(shù)相匹配、開發(fā)工具與平臺(tái)環(huán)境相匹配，從而發(fā)揮各自的最大效能。.開放性：由于國(guó)際計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展，所以功能建設(shè)要遵循開放性的原則，開放性主要體現(xiàn)在：系統(tǒng)支持多種硬件平臺(tái)，如PCSERVER、臺(tái)式PC等；在系統(tǒng)建設(shè)中，將以TCP/IP為主要協(xié)議，以實(shí)現(xiàn)整個(gè)系統(tǒng)的開放性。.可靠性：功能具有高度的可靠性。提高可靠性的方法很多，一般有如下做法：采用高可靠性的網(wǎng)絡(luò)設(shè)備，出現(xiàn)故障時(shí)能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急措施。關(guān)鍵設(shè)備采取冗余設(shè)計(jì)，以防單點(diǎn)故障。采用網(wǎng)絡(luò)管理，嚴(yán)格的系統(tǒng)運(yùn)行控制等系統(tǒng)監(jiān)控。.擴(kuò)展維護(hù)性：提高功能的可擴(kuò)充性和可維護(hù)性是提高其性能的必備手段，系統(tǒng)采用結(jié)構(gòu)和模塊化構(gòu)造，每個(gè)模塊間保持相對(duì)的獨(dú)立性和靈活性，系統(tǒng)配置、設(shè)置參數(shù)化。.經(jīng)濟(jì)性：充分考慮網(wǎng)絡(luò)系統(tǒng)當(dāng)前與未來(lái)的實(shí)際需求，功能增減方便，技術(shù)既要盡可能選用國(guó)際上最成熟的技術(shù)，又要功能機(jī)構(gòu)合理，同時(shí)滿足技術(shù)開發(fā)和用戶使用的需求，保護(hù)用戶已有的投資和今后的再投資。系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)系統(tǒng)的總體應(yīng)用架構(gòu)如下圖所示:應(yīng)用品『一內(nèi)容管理-個(gè)性情息柿勢(shì)出方式名語(yǔ)種支恃基和查由轉(zhuǎn)畀排序應(yīng)用品『一內(nèi)容管理-個(gè)性情息柿勢(shì)出方式名語(yǔ)種支恃基和查由轉(zhuǎn)畀排序應(yīng)用中間件核心敕據(jù)層 -<>妖格平戶——k.J ，性文曜數(shù)據(jù)里「,回;卡^據(jù)網(wǎng)關(guān)飛二.■扁k半結(jié)均化，非結(jié)枸化轂據(jù)杳曲、阱一J J"

從應(yīng)用框架上可以看出，整個(gè)系統(tǒng)采用了分層的框架進(jìn)行設(shè)計(jì)，數(shù)據(jù)存儲(chǔ)在由關(guān)系數(shù)據(jù)庫(kù)和全文數(shù)據(jù)庫(kù)構(gòu)成的數(shù)據(jù)層，充分利用了關(guān)系數(shù)據(jù)庫(kù)的業(yè)務(wù)處理能力和全文數(shù)據(jù)庫(kù)的海量存儲(chǔ)和高性能檢索能力。在表現(xiàn)層支持各種用戶訪問(wèn)，各級(jí)管理員、編輯、公眾都可以通過(guò)瀏覽器的接入方式訪問(wèn)網(wǎng)站，享受各種資訊服務(wù)。上述的系統(tǒng)的框架具有良好的擴(kuò)展性，每一層可以通過(guò)集群、雙擊熱備或負(fù)載均衡技術(shù)來(lái)部署，在未來(lái)負(fù)載增加和并發(fā)訪問(wèn)壓力增大的情況下，可以方便擴(kuò)展和升級(jí)，提升系統(tǒng)的處理能力。4.2.2系統(tǒng)體系架構(gòu)網(wǎng)站系統(tǒng)分成前臺(tái)展現(xiàn)與后臺(tái)管理兩個(gè)部分，前臺(tái)可劃分為七個(gè)大板塊，包括：首頁(yè)、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺(tái)功能包括信息發(fā)布管理、欄目管理、權(quán)限管理、用戶管理、統(tǒng)計(jì)管理、日志管理。主要應(yīng)用到的技術(shù)包括、信息安全防范、ajax等，數(shù)據(jù)資源層可存儲(chǔ)文本、附件、多媒體、文檔等各類資源。4.2.3系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)業(yè)務(wù)度輯層數(shù)據(jù)持久層展現(xiàn)、應(yīng)用層應(yīng)用程序胭務(wù)器EntsrpriseServices通信PKI身份認(rèn)證數(shù)據(jù)模型OatsMods-H業(yè)務(wù)度輯層數(shù)據(jù)持久層展現(xiàn)、應(yīng)用層應(yīng)用程序胭務(wù)器EntsrpriseServices通信PKI身份認(rèn)證數(shù)據(jù)模型OatsMods-Hiberne't?持幺的鈾據(jù)對(duì)象及其集含Persi￡t?ntObjects屬性配直HibernatepropertiesXML配置XMLMapping-SQLServer2M8數(shù)據(jù)庫(kù)網(wǎng)站采用B/S（瀏覽器/服務(wù)器）模式，使用C#.NET開發(fā)技術(shù)進(jìn)行項(xiàng)目的開發(fā)，技術(shù)框架采用三層體系架構(gòu)（3-tierapplication）,分別為展現(xiàn)應(yīng)用層、業(yè)務(wù)邏輯層以及數(shù)據(jù)持久層。三層體系架構(gòu)實(shí)現(xiàn)了分散關(guān)注、松散耦合、邏輯復(fù)用、標(biāo)準(zhǔn)定義。展現(xiàn)、應(yīng)用層：位于最外層（最上層），離用戶最近。用于顯示數(shù)據(jù)和接收用戶輸入的數(shù)據(jù)，為用戶提供一種交互式操作的界面。該層中采用MVC（Model-View-Controller，即模型-視圖-控制器）模式，將用戶界面與后置代碼區(qū)分開，利于代碼的重用性。而用戶界面中，引入AJAX技術(shù)，全面提高用戶使用體驗(yàn)。業(yè)務(wù)邏輯層：是系統(tǒng)架構(gòu)中體現(xiàn)核心價(jià)值的部分，它的關(guān)注點(diǎn)主要集中在業(yè)務(wù)規(guī)則的制定、業(yè)務(wù)流程的實(shí)現(xiàn)等與業(yè)務(wù)需求有關(guān)的系統(tǒng)設(shè)計(jì)。在這一層中，引入應(yīng)用服務(wù)器，實(shí)現(xiàn)網(wǎng)站業(yè)務(wù)功能。業(yè)務(wù)邏輯層在體系架構(gòu)中的位置很關(guān)鍵，它處于數(shù)據(jù)訪問(wèn)層（持久層）與表示層中間，起到了數(shù)據(jù)交換中承上啟下的作用。數(shù)據(jù)持久層：有時(shí)候也稱為是數(shù)據(jù)訪問(wèn)層，其功能主要是負(fù)責(zé)數(shù)據(jù)庫(kù)的訪問(wèn)，可以訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)、二進(jìn)制文件、文本文檔或是XML文檔。簡(jiǎn)單的說(shuō)法就是實(shí)現(xiàn)對(duì)數(shù)據(jù)表的Select，Insert，Update，Delete的操作。如果要加入ORM的元素，那么就會(huì)包括對(duì)象和數(shù)據(jù)表之間的mapping，以及對(duì)象實(shí)體的持久化。各功能模塊設(shè)計(jì)首頁(yè)首頁(yè)不設(shè)子欄目，為網(wǎng)站整體展示。滾動(dòng)大圖展示公司形象，首頁(yè)底部設(shè)置小的滾動(dòng)圖片，展示公司產(chǎn)品信息，用戶可直接點(diǎn)擊進(jìn)入相關(guān)產(chǎn)品頁(yè)面。關(guān)于我們?cè)摍谀课挥谑醉?yè)導(dǎo)航欄第一位，下設(shè)四個(gè)子欄目，分別為：公司簡(jiǎn)介、企業(yè)文化、企業(yè)榮譽(yù)和企業(yè)資質(zhì)；新聞中心該欄目位于首頁(yè)導(dǎo)航欄第二位，下設(shè)兩個(gè)子欄目，分別為：行業(yè)動(dòng)態(tài)和公司新聞；可向客戶展示行業(yè)的最新動(dòng)態(tài)和公司的相關(guān)新聞動(dòng)態(tài)。產(chǎn)品中心該欄目位于首頁(yè)導(dǎo)航欄第三位，設(shè)四個(gè)子欄目，分別為：輸液器系列、注射器系列、輸注泵系列和配藥器系列；向用戶呈現(xiàn)公司的產(chǎn)品信息和產(chǎn)品的技術(shù)參數(shù)?？蛻舴?wù)該欄目位于首頁(yè)導(dǎo)航欄第四位，下設(shè)三個(gè)子欄目，分別為：技術(shù)支持、下載中心和客戶留言，其中“技術(shù)支持”下再設(shè)兩個(gè)二級(jí)子欄目，分別為常見問(wèn)題和代理?xiàng)l件；為客戶解答常見的技術(shù)問(wèn)題及處理方法。也可方便用戶下載我公司的相關(guān)資質(zhì)證件。人才中心該欄目位于首頁(yè)導(dǎo)航欄第五位，下設(shè)兩個(gè)子欄目，分別為：人才策略和招聘信息；呈現(xiàn)我公司的用人策略及招聘信息。聯(lián)系我們?cè)摍谀课挥谑醉?yè)導(dǎo)航欄第六位，下設(shè)兩個(gè)子欄目，分別為：銷售網(wǎng)絡(luò)和聯(lián)系方式。中英文切換該欄目位于首頁(yè)右上角，方便用戶隨時(shí)切換中英文瀏覽網(wǎng)頁(yè)。企業(yè)郵箱登錄該欄目位于首頁(yè)右上角，方便我公司內(nèi)部員工快速登錄我公司企業(yè)郵箱。在線交談該欄目位于首頁(yè)右下角，方便用戶隨時(shí)與我公司專業(yè)人員聯(lián)系，通過(guò)QQ工具連接可快速建立供需雙方的聯(lián)系。信息發(fā)布管理支持管理公司信息的發(fā)布、修改、刪除、審核、轉(zhuǎn)移、轉(zhuǎn)載等操作，支持批量操作，支持多類型信息的發(fā)布，如純文本、圖文、office、附件、多媒體信息等?？膳渲眯畔⒌臑g覽、評(píng)論權(quán)。欄目管理公司信息以欄目的形式進(jìn)行分類存儲(chǔ)，欄目的建設(shè)采用層級(jí)模式，以樹狀結(jié)構(gòu)展示，管理員可以通過(guò)選擇不同的節(jié)點(diǎn)欄目對(duì)其進(jìn)行增刪改操作，支持拖放排序?？膳渲脵谀繉傩?，實(shí)現(xiàn)各種功能的開啟、關(guān)閉和權(quán)限分配。如配置信息的瀏覽權(quán)、發(fā)布權(quán)、完全控制權(quán)、審核權(quán)、簽收權(quán)，開啟或關(guān)閉在線評(píng)論、訪問(wèn)IP段限制等。權(quán)限管理主要權(quán)限包括：瀏覽、發(fā)布、審核、簽收、評(píng)論、置頂、轉(zhuǎn)移轉(zhuǎn)載、完全控制等。權(quán)限可指定到具體欄目，擁有權(quán)限的用戶可進(jìn)行相應(yīng)的操作。用戶管理可對(duì)用戶、組織機(jī)構(gòu)進(jìn)行管理，包括增刪改查操作，用戶權(quán)限分配，自定義用戶角色等。為保證用戶帳戶的安全性，系統(tǒng)對(duì)用戶密碼進(jìn)行MD5加密處理，防止其他非法用戶進(jìn)入系統(tǒng)進(jìn)行數(shù)據(jù)處理。統(tǒng)計(jì)管理可統(tǒng)計(jì)平臺(tái)各類數(shù)據(jù)，如訪問(wèn)量、在線人數(shù)、信息發(fā)布數(shù)量、點(diǎn)擊次數(shù)等。可按時(shí)間段、欄目、用戶、自定義角色進(jìn)行統(tǒng)計(jì)，可生成和導(dǎo)出統(tǒng)計(jì)報(bào)表。日志管理實(shí)現(xiàn)對(duì)系統(tǒng)日志和操作日志進(jìn)行記錄和管理，協(xié)助系統(tǒng)管理員完成系統(tǒng)安全與數(shù)據(jù)查錯(cuò)的工作。系統(tǒng)級(jí)日志主要記錄：用戶登錄情況、在線情況、程序出錯(cuò)信息等；數(shù)據(jù)級(jí)日志主要記錄：各類數(shù)據(jù)讀寫修改、刪除等操作的動(dòng)作。系統(tǒng)安全解決方案可能的安全問(wèn)題分析.頁(yè)面被篡改門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容），常常會(huì)引發(fā)較大的影響，嚴(yán)重時(shí)甚至?xí)斐烧问录?。另外一種篡改方式是網(wǎng)頁(yè)掛馬：網(wǎng)頁(yè)內(nèi)容表面上沒(méi)有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁(yè)掛馬雖然未必會(huì)給網(wǎng)站帶來(lái)直接損害，但卻會(huì)給瀏覽網(wǎng)站的用戶帶來(lái)?yè)p失。.在線業(yè)務(wù)被攻擊對(duì)企業(yè)和個(gè)人用戶提供在線服務(wù)，已經(jīng)成為門戶網(wǎng)站的重要功能。這些服務(wù)一旦受到拒絕服務(wù)攻擊而癱瘓、終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響，可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。.機(jī)密數(shù)據(jù)外泄在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個(gè)人隱私，一旦泄露，會(huì)造成企業(yè)或個(gè)人的利益受損，可能會(huì)給單位帶來(lái)嚴(yán)重的法律糾紛。系統(tǒng)防護(hù)解決方案.WEB安全需求對(duì)Web應(yīng)用的安全防護(hù)主要包括如下需求：部署簡(jiǎn)便，管理集中，操作簡(jiǎn)潔，性能影響甚微。包括：對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無(wú)影響。方便管理，無(wú)需進(jìn)行復(fù)雜的配置。對(duì)現(xiàn)有WEB服務(wù)器的訪問(wèn)速率不能造成太大的影響。對(duì)正常業(yè)務(wù)訪問(wèn)不能進(jìn)行錯(cuò)誤的攔截阻斷。?在需要保護(hù)的WEB門戶服務(wù)器前端透明直連部署一臺(tái)WEB應(yīng)用防火墻，對(duì)網(wǎng)站實(shí)行7X24小時(shí)的實(shí)時(shí)監(jiān)控，保護(hù)WEB站點(diǎn)數(shù)據(jù)不被攻擊，避免網(wǎng)頁(yè)篡改給網(wǎng)站帶來(lái)的形象損害，避免信息內(nèi)容不合規(guī)等；.WEB安全評(píng)估網(wǎng)站安全保障是一項(xiàng)系統(tǒng)工程。網(wǎng)站的安全保障當(dāng)前最為薄弱的環(huán)節(jié)就在于缺少對(duì)WEB防護(hù)層面的整體考慮。針對(duì)網(wǎng)站的安全評(píng)估，需要使用安全掃描、滲透測(cè)試、安全監(jiān)測(cè)三個(gè)方面的技術(shù)手段進(jìn)行實(shí)施評(píng)估工作。.安全掃描安全掃描采用模擬入侵者的手法，對(duì)網(wǎng)站進(jìn)行模擬攻擊?？裳杆侔l(fā)現(xiàn)大多數(shù)常見的網(wǎng)站安全漏洞，如常見的SQL注入、跨站腳本、目錄瀏覽、應(yīng)用錯(cuò)誤等漏洞。便于指導(dǎo)后期的安全分析和加固工作。安全掃描器技術(shù)先進(jìn)的同時(shí)也存在一些無(wú)法解決的問(wèn)題，如網(wǎng)頁(yè)內(nèi)容中的惡意代碼難識(shí)別、程序中的邏輯漏洞等需要人工判斷的內(nèi)容無(wú)法實(shí)現(xiàn)自動(dòng)化。.安全監(jiān)測(cè)建立網(wǎng)站安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容的安全監(jiān)測(cè)，主要用于對(duì)網(wǎng)頁(yè)木馬監(jiān)測(cè)、網(wǎng)站可用性、關(guān)鍵字監(jiān)測(cè)。通過(guò)該平臺(tái)，可以實(shí)現(xiàn)網(wǎng)頁(yè)木馬監(jiān)測(cè)，因?yàn)榫W(wǎng)頁(yè)木馬不同于常規(guī)的網(wǎng)站漏洞，具有一定的潛伏性和隱蔽性，常規(guī)模擬入侵者的攻擊無(wú)法發(fā)現(xiàn)木馬，而需要模擬成一個(gè)有漏洞的操作系統(tǒng)去訪問(wèn)這些網(wǎng)頁(yè)，監(jiān)測(cè)有漏洞的操作系統(tǒng)是否會(huì)被網(wǎng)站植入木馬。.滲透測(cè)試滲透測(cè)試借助安全專家多年安全測(cè)試的經(jīng)驗(yàn)，使用大量安全工具、安全方法和安全理論相結(jié)合，從攻擊、防御多個(gè)角度出發(fā)去識(shí)別網(wǎng)站存在的安全風(fēng)險(xiǎn)。相比于工具型掃描滲透測(cè)試更多側(cè)重于邏輯類型的安全問(wèn)題識(shí)另I」、需要人工輔助類型的安全問(wèn)題檢測(cè)，從而可以將網(wǎng)站的安全水平提升到一個(gè)新的高度。例如檢測(cè)出網(wǎng)站存某處敏感信息泄露，可能報(bào)告的是低危險(xiǎn)級(jí)別的安全事件。然后輔助人工則可利用這個(gè)敏感信息可能進(jìn)一步獲取網(wǎng)站的管理員賬戶和密碼信息，最終實(shí)現(xiàn)完全控制網(wǎng)站的目的。.WEB安全防御安全防御是實(shí)踐安全預(yù)警、分析、防御、加固的系統(tǒng)措施的過(guò)程，而非部署某一款安全產(chǎn)品這樣簡(jiǎn)單。建議營(yíng)銷管理平臺(tái)網(wǎng)站安全的防御應(yīng)至少做到如下三個(gè)方面。.安全分析安全分析是安全防御的基礎(chǔ)，安全分析的重心是安全評(píng)估的報(bào)告和安全設(shè)備的日志匯總信息。通過(guò)安全分析可以清晰的認(rèn)識(shí)到當(dāng)前存在的主要問(wèn)題以及所面臨的安全威脅。安全分析是一個(gè)跨部門協(xié)調(diào)的工作，通常由用戶職能部門牽頭安全服務(wù)商負(fù)責(zé)整體安全分析的內(nèi)容綱要，由安全服務(wù)商、軟件開發(fā)商、系統(tǒng)運(yùn)維人員、業(yè)務(wù)使用代表等共同參與以最終確定安全防御的目標(biāo)。.安全防護(hù)當(dāng)網(wǎng)站檢測(cè)出有特定安全問(wèn)題時(shí)將提出相應(yīng)的安全應(yīng)對(duì)措施。除通用的防護(hù)策略之外還提供相關(guān)的安全加固對(duì)象，滿足安全加固策略的實(shí)施。.安全加固網(wǎng)站安全加固是一個(gè)不斷改進(jìn)的過(guò)程，隨著業(yè)務(wù)的變更、安全研究的深入等均會(huì)促進(jìn)安全加固工作的展開。安全加固建議：采用硬件WEB應(yīng)用防火墻加固的同時(shí)硬件廠商為用戶方提供詳細(xì)的安全加固建議，便于程序開發(fā)商修復(fù)存在的安全缺陷。.WEB安全建議定期進(jìn)行專業(yè)的安全評(píng)估，包括黑盒測(cè)試-遠(yuǎn)程深度安全評(píng)估以及白盒測(cè)試-本地代碼安全評(píng)估。針對(duì)安全評(píng)估結(jié)果進(jìn)行專業(yè)安全整改和加固。建立和完善一套有效的安全管理制度，對(duì)長(zhǎng)虹集團(tuán)的日常維護(hù)和使用進(jìn)行規(guī)范。建立起一套完善有效的應(yīng)急響應(yīng)預(yù)案和流程，并定期進(jìn)行應(yīng)急演練，一旦發(fā)現(xiàn)發(fā)生任何異常狀況可及時(shí)進(jìn)行處理和恢復(fù)，有效避免網(wǎng)站業(yè)務(wù)中斷帶來(lái)?yè)p失。定期對(duì)相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn)，提高安全技術(shù)能力和實(shí)際操作能力。4.4.3完善的事件處理主動(dòng)防御監(jiān)控審過(guò)主動(dòng)防御監(jiān)控審過(guò)防護(hù)體系結(jié)構(gòu)圖.事前檢查針對(duì)營(yíng)銷管理平臺(tái)各WEB應(yīng)用系統(tǒng)及部分未上線的應(yīng)用系統(tǒng)，采用WEB應(yīng)用掃描器進(jìn)行一次WEB系統(tǒng)全面的OWASPTOP10檢測(cè)，可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力。35分?jǐn)?shù)據(jù)庫(kù)錯(cuò)誤網(wǎng)站管理后臺(tái)地址鏈接注入一框架注入跨站腳本網(wǎng)站管理后臺(tái)地址鏈接注入一框架注入跨站腳本任何域HTML貝面通信表單隱藏±或--敏感白勺HTMUR■電內(nèi)網(wǎng)IPPHPTNFC測(cè)試文件Wub應(yīng)用程序錯(cuò)謖??網(wǎng)站路徑泄漏Z5.事中告警針對(duì)各類攻擊行為及異常訪問(wèn)行為，實(shí)時(shí)告警并通過(guò)各類方式通知給安全管理員，便于快速處理安全事件。.事后分析通過(guò)系統(tǒng)內(nèi)部告警日志，實(shí)現(xiàn)對(duì)攻擊源的定位分析，同時(shí)提供各類統(tǒng)計(jì)分析，方便掌握整個(gè)應(yīng)用系統(tǒng)的動(dòng)態(tài)安全狀況及運(yùn)行狀態(tài)。4.4.4其他安全防護(hù)系統(tǒng)其他安全防護(hù)措施包括：?制定服務(wù)器管理的配套制度，編寫可行的應(yīng)急方案，并定期演練。?設(shè)置專門的系統(tǒng)管理員，定期安排專人進(jìn)行服務(wù)器巡檢，杜絕安全隱患。?定期審查服務(wù)器巡檢記錄。?防止SQL注入。?防止跨站腳本攻擊。?嚴(yán)格控制系統(tǒng)更新發(fā)布，執(zhí)行工作票管理制度，對(duì)于系統(tǒng)程序版本和配置變更進(jìn)行嚴(yán)格、規(guī)范的管理。4.5技術(shù)方案總結(jié)報(bào)告通過(guò)上述技術(shù)方案，以先進(jìn)的計(jì)算機(jī)技術(shù)手段建立系統(tǒng)，完全依據(jù)現(xiàn)行相關(guān)國(guó)家及行業(yè)標(biāo)準(zhǔn)規(guī)程，利用現(xiàn)代系統(tǒng)工程技術(shù)、網(wǎng)絡(luò)信息數(shù)據(jù)庫(kù)服務(wù)技術(shù)、通信技術(shù)，為XXXXXXXX有限公司提供了一套完善的、高效的網(wǎng)站系統(tǒng)平臺(tái)，滿足我公司網(wǎng)站的建設(shè)與管理的目標(biāo)。通過(guò)主流的分享平臺(tái)，讓用戶繼續(xù)將文章實(shí)時(shí)時(shí)訊、最新產(chǎn)品信息分享出去，讓文章能被更廣泛的流傳，增加我公司網(wǎng)站的訪問(wèn)流量，擴(kuò)大我公司網(wǎng)站影響力。第五章項(xiàng)目建設(shè)配套要求運(yùn)行環(huán)境服務(wù)器操作系統(tǒng)：Windows2008Server企業(yè)版64位Web服務(wù)器軟件：IIS數(shù)據(jù)庫(kù)存儲(chǔ)軟件：SQLServer2008數(shù)據(jù)庫(kù)客戶端：Windows.NET平臺(tái)：2.0版本以上硬件環(huán)境應(yīng)用'數(shù)據(jù)庫(kù)服務(wù)器：16GB物理內(nèi)存或者更多，500g硬盤存儲(chǔ)或以上，高速雙網(wǎng)卡；-10-

第六章項(xiàng)目清單和系統(tǒng)資產(chǎn)軟硬件設(shè)備主要內(nèi)容按照第五章項(xiàng)目配套要求，本項(xiàng)目需要采購(gòu)服務(wù)器、windowserver2008操作系統(tǒng)、SQLServer2008數(shù)據(jù)庫(kù)。另外，該系統(tǒng)有手機(jī)短信功能，需要與移動(dòng)簽訂相關(guān)短信接口協(xié)議。清單及項(xiàng)目資產(chǎn)序號(hào)采購(gòu)項(xiàng)規(guī)格說(shuō)明數(shù)量單位報(bào)價(jià)單價(jià)報(bào)價(jià)總價(jià)1網(wǎng)站服務(wù)器DellR910，E4830CPU4個(gè)32G內(nèi)存/600G硬盤3個(gè)/雙冗余電源/3年原廠服務(wù)1臺(tái)2操作系統(tǒng)windowserver2008企業(yè)版64位1套3數(shù)據(jù)庫(kù)SQLServer2008標(biāo)準(zhǔn)版1套4天清漢馬USG-FW-3610D防火墻2U上架設(shè)備，雙電源，提供大于10個(gè)千兆Combo接