網(wǎng)站技術(shù)方案模板

1、2020年4月19日網(wǎng)站技術(shù)方案文檔僅供參考XXXXXXXX有限公司網(wǎng)站系統(tǒng)技術(shù)方案目錄網(wǎng)站系統(tǒng)分析 系統(tǒng)現(xiàn)狀與問題需求說明與分析網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目標(biāo)項(xiàng)目內(nèi)容與范圍網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告4.1 設(shè)計(jì)原則與標(biāo)準(zhǔn)4.2 系統(tǒng)結(jié)構(gòu)4.2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)4.2.2 系統(tǒng)體系架構(gòu)4.2.3 系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)4.3 各功能模塊設(shè)計(jì)4.3.1 首頁4.3.2 關(guān)于我們4.3.3 新聞中心4.3.4 產(chǎn)品中心4.3.5 客戶服務(wù)4.3.6 人才中心4.3.7 聯(lián)系我們4.3.8 中英文切換4.3.9 企業(yè)郵箱登錄4.3.10 在線交談4.3.11 信息發(fā)布管理4.3.12 欄目管理4.3.13 權(quán)限管理

2、4.3.14 用戶管理4.3.15 統(tǒng)計(jì)管理4.3.16 日志管理 4.4 系統(tǒng)安全解決方案 4.4.1 可能的安全問題分析 4.4.2 系統(tǒng)防護(hù)解決方案 4.4.3 完善的事件處理4.4.4 其它安全防護(hù) 4.5 技術(shù)方案總結(jié)報(bào)告第五章 項(xiàng)目建設(shè)配套要求 5.1 運(yùn)行環(huán)境 5.2 硬件環(huán)境第六章 項(xiàng)目清單及系統(tǒng)資產(chǎn) 6.1 軟硬件設(shè)備 6.1.1 主要內(nèi)容 6.1.2 清單及系統(tǒng)資產(chǎn) 6.2 軟件開發(fā) 6.2.1 網(wǎng)站功能清單 6.3 項(xiàng)目實(shí)施及培訓(xùn) 網(wǎng)站系統(tǒng)分析1.1網(wǎng)站系統(tǒng)現(xiàn)狀與問題當(dāng)前我公司還沒有自己的對(duì)外網(wǎng)站系統(tǒng)，公司信息資源傳播較為滯后，沒有得到有效的共享，且缺乏與客戶間的交流互動(dòng)

3、。主要問題如下：1、公司信息資源沒有得到有效的共享，未能及時(shí)的面向客戶及用戶公開，不利于客戶及用戶及時(shí)了解我司產(chǎn)品的最新動(dòng)態(tài)。2、缺乏與客戶和使用者溝通交流，不方便公司了解產(chǎn)品在使用過程中所出現(xiàn)的問題。3、沒有一個(gè)網(wǎng)絡(luò)的平臺(tái)，展示公司形象以及向社會(huì)推廣新開發(fā)的產(chǎn)品。1.2需求說明與分析公司網(wǎng)站系統(tǒng)對(duì)于宣傳公司形象、 新產(chǎn)品推廣的開展起到了重要的作用，為了能夠更好的提高服務(wù)質(zhì)量，暢通交流渠道，這就迫切的需要一個(gè)技術(shù)先進(jìn)、內(nèi)容全面、功能合理的平臺(tái)來收集、綜合、管理、發(fā)布公司各類信息?，F(xiàn)結(jié)合現(xiàn)狀，對(duì)公司網(wǎng)站系統(tǒng)的應(yīng)用提出以下方面的需求：1、性能可靠、可擴(kuò)展性好、運(yùn)行安全穩(wěn)定、高效便捷、易于維護(hù)。2、

4、網(wǎng)站欄目內(nèi)容具備靈活性和可配置性，可單個(gè)或批量增刪改信息，支持多種發(fā)布方式，如純文本、文本+圖片、文本+附件、Office文檔，視頻、投票等。3、具備出眾的安全性，可過濾敏感內(nèi)容，限制文件上傳類型，可防止SQL注入、防跨站腳本攻擊。4、具備強(qiáng)大的內(nèi)容編輯功能，類似word，支持可視化編輯、預(yù)覽等。平臺(tái)操作、維護(hù)簡單實(shí)用，信息頁面展示多樣、靈活，分類明確。網(wǎng)站風(fēng)格要求簡明、淡雅、沉穩(wěn)、實(shí)用。 網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目標(biāo)經(jīng)過本網(wǎng)站的建設(shè)，建立功能強(qiáng)大、信息豐富、管理先進(jìn)、界面美觀、使用方便的網(wǎng)站系統(tǒng)，系統(tǒng)應(yīng)具有強(qiáng)大的內(nèi)容管理功能，實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容進(jìn)行全生命周期的工作流管理。以內(nèi)容管理為核心，建設(shè)全文檢索、

5、站群管理等應(yīng)用系統(tǒng)，提供一個(gè)高性能的專業(yè)底層支撐系統(tǒng)。網(wǎng)站技術(shù)平臺(tái)需采用業(yè)界一流的成熟軟件。項(xiàng)目內(nèi)容與范圍本網(wǎng)站系統(tǒng)采用（B/S）模式，部署在XXXXXXXX有限公司網(wǎng)站服務(wù)器上，面向互聯(lián)網(wǎng)用戶，為用戶提供公司各類公告、產(chǎn)品信息，同時(shí)提供在線咨詢、投訴等服務(wù)，提高網(wǎng)站與用戶的互動(dòng)。本網(wǎng)站功能劃分為前臺(tái)展現(xiàn)與后臺(tái)管理兩個(gè)部分，前臺(tái)可劃分為七個(gè)大板塊，包括：首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺(tái)部分功能包括信息發(fā)布管理、權(quán)限管理、用戶管理、欄目管理、統(tǒng)計(jì)管理、日志管理。同時(shí)優(yōu)化網(wǎng)站的性能，增強(qiáng)安全防范措施，保證網(wǎng)站的安全穩(wěn)定運(yùn)行。網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告4.1設(shè)計(jì)原則與

6、標(biāo)準(zhǔn)公司網(wǎng)站系統(tǒng)需遵循先進(jìn)性、開放性、可靠性、可擴(kuò)展維護(hù)性、經(jīng)濟(jì)性原則。1. 先進(jìn)性：建設(shè)起點(diǎn)要高，采用成熟、先進(jìn)、高效的技術(shù)平臺(tái)。應(yīng)做到軟件技術(shù)與硬件技術(shù)相匹配、開發(fā)工具與平臺(tái)環(huán)境相匹配 ，從而發(fā)揮各自的最大效能。2. 開放性：由于國際計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展，因此功能建設(shè)要遵循開放性的原則，開放性主要體現(xiàn)在：系統(tǒng)支持多種硬件平臺(tái)，如PC SERVER、臺(tái)式PC等；在系統(tǒng)建設(shè)中，將以TCP/IP為主要協(xié)議，以實(shí)現(xiàn)整個(gè)系統(tǒng)的開放性。3. 可靠性：功能具有高度的可靠性。提高可靠性的方法很多，一般有如下做法：采用高可靠性的網(wǎng)絡(luò)設(shè)備，出現(xiàn)故障時(shí)能夠迅速恢復(fù)并有適當(dāng)?shù)膽?yīng)急措施。關(guān)鍵設(shè)備采取冗余設(shè)計(jì)

7、，以防單點(diǎn)故障。采用網(wǎng)絡(luò)管理，嚴(yán)格的系統(tǒng)運(yùn)行控制等系統(tǒng)監(jiān)控。4. 擴(kuò)展維護(hù)性：提高功能的可擴(kuò)充性和可維護(hù)性是提高其性能的必備手段，系統(tǒng)采用結(jié)構(gòu)和模塊化構(gòu)造，每個(gè)模塊間保持相正確獨(dú)立性和靈活性，系統(tǒng)配置、設(shè)置參數(shù)化。5. 經(jīng)濟(jì)性：充分考慮網(wǎng)絡(luò)系統(tǒng)當(dāng)前與未來的實(shí)際需求，功能增減方便，技術(shù)既要盡可能選用國際上最成熟的技術(shù)，又要功能機(jī)構(gòu)合理，同時(shí)滿足技術(shù)開發(fā)和用戶使用的需求，保護(hù)用戶已有的投資和今后的再投資。4.2系統(tǒng)結(jié)構(gòu)4.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)系統(tǒng)的總體應(yīng)用架構(gòu)如下圖所示：從應(yīng)用框架上能夠看出，整個(gè)系統(tǒng)采用了分層的框架進(jìn)行設(shè)計(jì)，數(shù)據(jù)存儲(chǔ)在由關(guān)系數(shù)據(jù)庫和全文數(shù)據(jù)庫構(gòu)成的數(shù)據(jù)層，充分利用了關(guān)系數(shù)據(jù)庫的業(yè)務(wù)

8、處理能力和全文數(shù)據(jù)庫的海量存儲(chǔ)和高性能檢索能力。在表現(xiàn)層支持各種用戶訪問，各級(jí)管理員、編輯、公眾都能夠經(jīng)過瀏覽器的接入方式訪問網(wǎng)站，享受各種資訊服務(wù)。上述的系統(tǒng)的框架具有良好的擴(kuò)展性，每一層能夠經(jīng)過集群、雙擊熱備或負(fù)載均衡技術(shù)來部署，在未來負(fù)載增加和并發(fā)訪問壓力增大的情況下，能夠方便擴(kuò)展和升級(jí)，提升系統(tǒng)的處理能力。4.2.2系統(tǒng)體系架構(gòu)網(wǎng)站系統(tǒng)分成前臺(tái)展現(xiàn)與后臺(tái)管理兩個(gè)部分，前臺(tái)可劃分為七個(gè)大板塊，包括：首頁、關(guān)于我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們；后臺(tái)功能包括信息發(fā)布管理、欄目管理、權(quán)限管理、用戶管理、統(tǒng)計(jì)管理、日志管理。主要應(yīng)用到的技術(shù)包括、信息安全防范、ajax等,數(shù)

9、據(jù)資源層可存儲(chǔ)文本、附件、多媒體、文檔等各類資源。4.2.3系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)網(wǎng)站采用B/S（瀏覽器/服務(wù)器）模式，使用C#.NET開發(fā)技術(shù)進(jìn)行項(xiàng)目的開發(fā)，技術(shù)框架采用三層體系架構(gòu)(3-tier application)，分別為展現(xiàn)應(yīng)用層、業(yè)務(wù)邏輯層以及數(shù)據(jù)持久層。三層體系架構(gòu)實(shí)現(xiàn)了分散關(guān)注、松散耦合、邏輯復(fù)用、標(biāo)準(zhǔn)定義。展現(xiàn)、應(yīng)用層：位于最外層（最上層），離用戶最近。用于顯示數(shù)據(jù)和接收用戶輸入的數(shù)據(jù)，為用戶提供一種交互式操作的界面。該層中采用MVC（Model-View-Controller，即模型-視圖-控制器）模式，將用戶界面與后置代碼區(qū)分開，利于代碼的重用性。而用戶界面中，引入AJ

10、AX技術(shù)，全面提高用戶使用體驗(yàn)。業(yè)務(wù)邏輯層：是系統(tǒng)架構(gòu)中體現(xiàn)核心價(jià)值的部分，它的關(guān)注點(diǎn)主要集中在業(yè)務(wù)規(guī)則的制定、業(yè)務(wù)流程的實(shí)現(xiàn)等與業(yè)務(wù)需求有關(guān)的系統(tǒng)設(shè)計(jì)。在這一層中，引入應(yīng)用服務(wù)器，實(shí)現(xiàn)網(wǎng)站業(yè)務(wù)功能。業(yè)務(wù)邏輯層在體系架構(gòu)中的位置很關(guān)鍵，它處于數(shù)據(jù)訪問層(持久層)與表示層中間，起到了數(shù)據(jù)交換中承上啟下的作用。數(shù)據(jù)持久層：有時(shí)候也稱為是數(shù)據(jù)訪問層，其功能主要是負(fù)責(zé)數(shù)據(jù)庫的訪問，能夠訪問數(shù)據(jù)庫系統(tǒng)、二進(jìn)制文件、文本文檔或是XML文檔。簡單的說法就是實(shí)現(xiàn)對(duì)數(shù)據(jù)表的Select，Insert，Update，Delete的操作。如果要加入ORM的元素，那么就會(huì)包括對(duì)象和數(shù)據(jù)表之間的mapping，以及對(duì)象

11、實(shí)體的持久化。4.3各功能模塊設(shè)計(jì)4.3.1 首頁首頁不設(shè)子欄目，為網(wǎng)站整體展示。滾動(dòng)大圖展示公司形象，首頁底部設(shè)置小的滾動(dòng)圖片，展示公司產(chǎn)品信息，用戶可直接點(diǎn)擊進(jìn)入相關(guān)產(chǎn)品頁面。4.3.2 關(guān)于我們?cè)摍谀课挥谑醉搶?dǎo)航欄第一位，下設(shè)四個(gè)子欄目，分別為：公司簡介、企業(yè)文化、企業(yè)榮譽(yù)和企業(yè)資質(zhì)；4.3.3 新聞中心 該欄目位于首頁導(dǎo)航欄第二位，下設(shè)兩個(gè)子欄目，分別為：行業(yè)動(dòng)態(tài)和公司新聞；可向客戶展示行業(yè)的最新動(dòng)態(tài)和公司的相關(guān)新聞動(dòng)態(tài)。4.3.4 產(chǎn)品中心 該欄目位于首頁導(dǎo)航欄第三位，設(shè)四個(gè)子欄目，分別為：輸液器系列、注射器系列、輸注泵系列和配藥器系列；向用戶呈現(xiàn)公司的產(chǎn)品信息和產(chǎn)品的技術(shù)參數(shù)。4.

12、3.5 客戶服務(wù) 該欄目位于首頁導(dǎo)航欄第四位，下設(shè)三個(gè)子欄目，分別為：技術(shù)支持、下載中心和客戶留言，其中“技術(shù)支持”下再設(shè)兩個(gè)二級(jí)子欄目，分別為常見問題和代理?xiàng)l件；為客戶解答常見的技術(shù)問題及處理方法。也可方便用戶下載我公司的相關(guān)資質(zhì)證件。4.3.6 人才中心 該欄目位于首頁導(dǎo)航欄第五位，下設(shè)兩個(gè)子欄目，分別為：人才策略和招聘信息；呈現(xiàn)我公司的用人策略及招聘信息。4.3.7 聯(lián)系我們 該欄目位于首頁導(dǎo)航欄第六位，下設(shè)兩個(gè)子欄目，分別為：銷售網(wǎng)絡(luò)和聯(lián)系方式。4.3.8 中英文切換 該欄目位于首頁右上角，方便用戶隨時(shí)切換中英文瀏覽網(wǎng)頁。4.3.9 企業(yè)郵箱登錄 該欄目位于首頁右上角，方便我公司內(nèi)部員

13、工快速登錄我公司企業(yè)郵箱。4.3.10 在線交談 該欄目位于首頁右下角，方便用戶隨時(shí)與我公司專業(yè)人員聯(lián)系，經(jīng)過QQ工具連接可快速建立供需雙方的聯(lián)系。4.3.11 信息發(fā)布管理支持管理公司信息的發(fā)布、修改、刪除、審核、轉(zhuǎn)移、轉(zhuǎn)載等操作，支持批量操作，支持多類型信息的發(fā)布，如純文本、圖文、office、附件、多媒體信息等。可配置信息的瀏覽、評(píng)論權(quán)。4.3.12 欄目管理 公司信息以欄目的形式進(jìn)行分類存儲(chǔ)，欄目的建設(shè)采用層級(jí)模式，以樹狀結(jié)構(gòu)展示，管理員能夠經(jīng)過選擇不同的節(jié)點(diǎn)欄目對(duì)其進(jìn)行增刪改操作，支持拖放排序。可配置欄目屬性，實(shí)現(xiàn)各種功能的開啟、關(guān)閉和權(quán)限分配。如配置信息的瀏覽權(quán)、發(fā)布權(quán)、完全控制權(quán)

14、、審核權(quán)、簽收權(quán)，開啟或關(guān)閉在線評(píng)論、訪問IP段限制等。4.3.13 權(quán)限管理 主要權(quán)限包括：瀏覽、發(fā)布、審核、簽收、評(píng)論、置頂、轉(zhuǎn)移轉(zhuǎn)載、完全控制等。權(quán)限可指定到具體欄目，擁有權(quán)限的用戶可進(jìn)行相應(yīng)的操作。4.3.14 用戶管理 可對(duì)用戶、組織機(jī)構(gòu)進(jìn)行管理，包括增刪改查操作，用戶權(quán)限分配，自定義用戶角色等。為保證用戶帳戶的安全性，系統(tǒng)對(duì)用戶密碼進(jìn)行MD5加密處理，防止其它非法用戶進(jìn)入系統(tǒng)進(jìn)行數(shù)據(jù)處理。4.3.15 統(tǒng)計(jì)管理 可統(tǒng)計(jì)平臺(tái)各類數(shù)據(jù)，如訪問量、在線人數(shù)、信息發(fā)布數(shù)量、點(diǎn)擊次數(shù)等?？砂磿r(shí)間段、欄目、用戶、自定義角色進(jìn)行統(tǒng)計(jì)，可生成和導(dǎo)出統(tǒng)計(jì)報(bào)表。4.3.16 日志管理實(shí)現(xiàn)對(duì)系統(tǒng)日志和操

15、作日志進(jìn)行記錄和管理，協(xié)助系統(tǒng)管理員完成系統(tǒng)安全與數(shù)據(jù)查錯(cuò)的工作。系統(tǒng)級(jí)日志主要記錄：用戶登錄情況、在線情況、程序出錯(cuò)信息等；數(shù)據(jù)級(jí)日志主要記錄：各類數(shù)據(jù)讀寫修改、刪除等操作的動(dòng)作。4.4 系統(tǒng)安全解決方案4.4.1可能的安全問題分析1.頁面被篡改門戶網(wǎng)站一旦被篡改（加入一些敏感的顯性內(nèi)容），常常會(huì)引發(fā)較大的影響，嚴(yán)重時(shí)甚至?xí)斐烧问录?。另外一種篡改方式是網(wǎng)頁掛馬：網(wǎng)頁內(nèi)容表面上沒有任何異常，卻可能被偷偷的掛上了木馬程序。網(wǎng)頁掛馬雖然未必會(huì)給網(wǎng)站帶來直接損害，但卻會(huì)給瀏覽網(wǎng)站的用戶帶來損失。2.在線業(yè)務(wù)被攻擊對(duì)企業(yè)和個(gè)人用戶提供在線服務(wù)，已經(jīng)成為門戶網(wǎng)站的重要功能。這些服務(wù)一旦受到拒絕服務(wù)攻

16、擊而癱瘓、終止，對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響，可能會(huì)造成經(jīng)濟(jì)損失，嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。3.機(jī)密數(shù)據(jù)外泄在線業(yè)務(wù)系統(tǒng)中，總是需要保存一些企業(yè)、公眾的相關(guān)資料，這些資料往往涉及到企業(yè)秘密和個(gè)人隱私，一旦泄露，會(huì)造成企業(yè)或個(gè)人的利益受損，可能會(huì)給單位帶來嚴(yán)重的法律糾紛。4.4.2系統(tǒng)防護(hù)解決方案1.WEB安全需求對(duì)Web應(yīng)用的安全防護(hù)主要包括如下需求：部署簡便，管理集中，操作簡潔，性能影響甚微。包括：對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無影響。方便管理，無需進(jìn)行復(fù)雜的配置。對(duì)現(xiàn)有WEB服務(wù)器的訪問速率不能造成太大的影響。對(duì)正常業(yè)務(wù)訪問不能進(jìn)行錯(cuò)誤的攔截阻斷。在需要保護(hù)的WEB門戶服務(wù)器前端透明直連部署一臺(tái)

17、WEB應(yīng)用防火墻，對(duì)網(wǎng)站實(shí)行7X24小時(shí)的實(shí)時(shí)監(jiān)控，保護(hù)WEB站點(diǎn)數(shù)據(jù)不被攻擊，避免網(wǎng)頁篡改給網(wǎng)站帶來的形象損害，避免信息內(nèi)容不合規(guī)等；2.WEB安全評(píng)估網(wǎng)站安全保障是一項(xiàng)系統(tǒng)工程。網(wǎng)站的安全保障當(dāng)前最為薄弱的環(huán)節(jié)就在于缺少對(duì)WEB防護(hù)層面的整體考慮。 針對(duì)網(wǎng)站的安全評(píng)估，需要使用安全掃描、滲透測(cè)試、安全監(jiān)測(cè)三個(gè)方面的技術(shù)手段進(jìn)行實(shí)施評(píng)估工作。 3.安全掃描安全掃描采用模擬入侵者的手法，對(duì)網(wǎng)站進(jìn)行模擬攻擊?？裳杆侔l(fā)現(xiàn)大多數(shù)常見的網(wǎng)站安全漏洞，如常見的SQL注 入、跨站腳本、目錄瀏覽、應(yīng)用錯(cuò)誤等漏洞。便于指導(dǎo)后期的安全分析和加固工作。 安全掃描器技術(shù)先進(jìn)的同時(shí)也存在一些無法解決的問題，如網(wǎng)頁內(nèi)容

18、中的惡意代碼難識(shí)別、程序中的邏輯漏洞等需要人工判斷的內(nèi)容無法實(shí)現(xiàn)自動(dòng)化。 4.安全監(jiān)測(cè)建立網(wǎng)站安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容的安全監(jiān)測(cè)，主要用于對(duì)網(wǎng)頁木馬監(jiān)測(cè)、網(wǎng)站可用性、關(guān)鍵字監(jiān)測(cè)。 經(jīng)過該平臺(tái)，能夠?qū)崿F(xiàn)網(wǎng)頁木馬監(jiān)測(cè)，因?yàn)榫W(wǎng)頁木馬不同于常規(guī)的網(wǎng)站漏洞，具有一定的潛伏性和隱蔽性，常規(guī)模擬入侵者的攻擊無法發(fā)現(xiàn)木馬，而需要模擬成一個(gè)有漏洞的操作系統(tǒng)去訪問這些網(wǎng)頁，監(jiān)測(cè)有漏洞的操作系統(tǒng)是否會(huì)被網(wǎng)站植入木馬。 5.滲透測(cè)試滲透測(cè)試借助安全專家多年安全測(cè)試的經(jīng)驗(yàn)，使用大量安全工具、安全方法和安全理論相結(jié)合，從攻擊、防御多個(gè)角度出發(fā)去識(shí)別 網(wǎng)站存在的安全風(fēng)險(xiǎn)。相比于工具型掃描滲透測(cè)試更多側(cè)重于邏輯類型的安全問

19、題識(shí)別、需要人工輔助類型的安全問題檢測(cè)，從而能夠?qū)⒕W(wǎng)站的安全水平提升到一個(gè) 新的高度。 例如檢測(cè)出網(wǎng)站存某處敏感信息泄露，可能報(bào)告的是低危險(xiǎn)級(jí)別的安全事件。然后輔助人工則可利用這個(gè)敏感信息可能進(jìn)一步獲取網(wǎng)站的管理員賬戶和密碼信息，最終實(shí)現(xiàn)完全控制網(wǎng)站的目的。 6.WEB安全防御安全防御是實(shí)踐安全預(yù)警、分析、防御、加固的系統(tǒng)措施的過程，而非部署某一款安全產(chǎn)品這樣簡單。建議營銷管理平臺(tái)網(wǎng)站安全的防御應(yīng)至少做到如下三個(gè)方面。 7.安全分析安全分析是安全防御的基礎(chǔ)，安全分析的重心是安全評(píng)估的報(bào)告和安全設(shè)備的日志匯總信息。經(jīng)過安全分析能夠清晰的認(rèn)識(shí)到當(dāng)前存在的主要問題以及所面臨的安全威脅。 安全分析是一

20、個(gè)跨部門協(xié)調(diào)的工作，一般由用戶職能部門牽頭安全服務(wù)商負(fù)責(zé)整體安全分析的內(nèi)容綱要，由安全服務(wù)商、軟件開發(fā)商、系統(tǒng)運(yùn)維人員、業(yè)務(wù)使用代表等共同參與以最終確定安全防御的目標(biāo)。 8.安全防護(hù)當(dāng)網(wǎng)站檢測(cè)出有特定安全問題時(shí)將提出相應(yīng)的安全應(yīng)對(duì)措施。除通用的防護(hù)策略之外還提供相關(guān)的安全加固對(duì)象，滿足安全加固策略的實(shí)施。 9.安全加固網(wǎng)站安全加固是一個(gè)不斷改進(jìn)的過程，隨著業(yè)務(wù)的變更、安全研究的深入等均會(huì)促進(jìn)安全加固工作的展開。 安全加固建議：采用硬件WEB應(yīng)用防火墻加固的同時(shí)硬件廠商為用戶方提供詳細(xì)的安全加固建議，便于程序開發(fā)商修復(fù)存在的安全缺陷。10.WEB安全建議定期進(jìn)行專業(yè)的安全評(píng)估，包括黑盒測(cè)試-遠(yuǎn)程

21、深度安全評(píng)估以及白盒測(cè)試-本地代碼安全評(píng)估。針對(duì)安全評(píng)估結(jié)果進(jìn)行專業(yè)安全整改和加固。建立和完善一套有效的安全管理制度，對(duì)長虹集團(tuán)的日常維護(hù)和使用進(jìn)行規(guī)范。建立起一套完善有效的應(yīng)急響應(yīng)預(yù)案和流程，并定期進(jìn)行應(yīng)急演練，一旦發(fā)現(xiàn)發(fā)生任何異常狀況可及時(shí)進(jìn)行處理和恢復(fù)，有效避免網(wǎng)站業(yè)務(wù)中斷帶來損失。定期對(duì)相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn)，提高安全技術(shù)能力和實(shí)際操作能力。4.4.3完善的事件處理防護(hù)體系結(jié)構(gòu)圖1.事前檢查針對(duì)營銷管理平臺(tái)各WEB應(yīng)用系統(tǒng)及部分未上線的應(yīng)用系統(tǒng)，采用WEB應(yīng)用掃描器進(jìn)行一次WEB系統(tǒng)全面的OWASP TOP 10檢測(cè)，能夠幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可

22、靠的WEB應(yīng)用服務(wù)，改進(jìn)并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力。2.事中告警針對(duì)各類攻擊行為及異常訪問行為，實(shí)時(shí)告警并經(jīng)過各類方式通知給安全管理員，便于快速處理安全事件。3.事后分析經(jīng)過系統(tǒng)內(nèi)部告警日志，實(shí)現(xiàn)對(duì)攻擊源的定位分析，同時(shí)提供各類統(tǒng)計(jì)分析，方便掌握整個(gè)應(yīng)用系統(tǒng)的動(dòng)態(tài)安全狀況及運(yùn)行狀態(tài)。 4.4.4其它安全防護(hù)系統(tǒng)其它安全防護(hù)措施包括：制定服務(wù)器管理的配套制度，編寫可行的應(yīng)急方案，并定期演練。設(shè)置專門的系統(tǒng)管理員，定期安排專人進(jìn)行服務(wù)器巡檢，杜絕安全隱患。定期審查服務(wù)器巡檢記錄。防止SQL注入。防止跨站腳本攻擊。嚴(yán)格控制系統(tǒng)更新發(fā)布，執(zhí)行工作票管理制度，對(duì)于系統(tǒng)程序版本和配置變更進(jìn)行

23、嚴(yán)格、規(guī)范的管理。4.5 技術(shù)方案總結(jié)報(bào)告經(jīng)過上述技術(shù)方案，以先進(jìn)的計(jì)算機(jī)技術(shù)手段建立系統(tǒng)，完全依據(jù)現(xiàn)行相關(guān)國家及行業(yè)標(biāo)準(zhǔn)規(guī)程，利用現(xiàn)代系統(tǒng)工程技術(shù)、網(wǎng)絡(luò)信息數(shù)據(jù)庫服務(wù)技術(shù)、通信技術(shù)，為XXXXXXXX有限公司提供了一套完善的、高效的網(wǎng)站系統(tǒng)平臺(tái)，滿足我公司網(wǎng)站的建設(shè)與管理的目標(biāo)。經(jīng)過主流的分享平臺(tái)，讓用戶繼續(xù)將文章實(shí)時(shí)時(shí)訊、最新產(chǎn)品信息分享出去，讓文章能被更廣泛的流傳，增加我公司網(wǎng)站的訪問流量，擴(kuò)大我公司網(wǎng)站影響力。第五章 項(xiàng)目建設(shè)配套要求5.1運(yùn)行環(huán)境服務(wù)器操作系統(tǒng)：Windows Server 企業(yè)版 64位Web服務(wù)器軟件： IIS數(shù)據(jù)庫存儲(chǔ)軟件：SQL Server 數(shù)據(jù)庫客戶端：W

24、indows .NET平臺(tái)：2.0版本以上5.2硬件環(huán)境應(yīng)用數(shù)據(jù)庫服務(wù)器：16GB物理內(nèi)存或者更多，500g硬盤存儲(chǔ)或以上，高速雙網(wǎng)卡；第六章 項(xiàng)目清單和系統(tǒng)資產(chǎn)6.1軟硬件設(shè)備6.1.1主要內(nèi)容按照第五章項(xiàng)目配套要求，本項(xiàng)目需要采購服務(wù)器、window server 操作系統(tǒng)、SQL Server 數(shù)據(jù)庫。另外，該系統(tǒng)有手機(jī)短信功能，需要與移動(dòng)簽訂相關(guān)短信接口協(xié)議。6.1.2清單及項(xiàng)目資產(chǎn)序號(hào)采購項(xiàng)規(guī)格說明數(shù)量單位報(bào)價(jià)單價(jià)報(bào)價(jià)總價(jià)1網(wǎng)站服務(wù)器Dell R910，E4830CPU 4個(gè)/32G內(nèi)存/600G硬盤3個(gè)/雙冗余電源/3年原廠服務(wù)1臺(tái)2操作系統(tǒng)window server 企業(yè)版 64位1套3數(shù)據(jù)庫SQL Server 標(biāo)準(zhǔn)版1套4天清漢馬USG-FW-3610D防火墻2U上架設(shè)備，雙電源，提供大于10個(gè)千兆Combo接口，內(nèi)存不小于2G，吞吐量不小于6G，若購買VPN授權(quán)無用戶數(shù)限制，設(shè)備面板