網(wǎng)站技術(shù)方案全解_第1頁(yè)
網(wǎng)站技術(shù)方案全解_第2頁(yè)
網(wǎng)站技術(shù)方案全解_第3頁(yè)
網(wǎng)站技術(shù)方案全解_第4頁(yè)
網(wǎng)站技術(shù)方案全解_第5頁(yè)
已閱讀5頁(yè),還剩11頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

XXXXXXXX有限公司網(wǎng)站系統(tǒng)技術(shù)方案目錄網(wǎng)站系統(tǒng)分析系統(tǒng)現(xiàn)狀與問(wèn)題需求闡明與分析網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目的項(xiàng)目?jī)?nèi)容與范疇網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告4.1設(shè)計(jì)原則與原則4.2系統(tǒng)構(gòu)造4.2.1網(wǎng)絡(luò)拓?fù)錁?gòu)造4.2.2系統(tǒng)體系架構(gòu)4.2.3系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)4.3各功效模塊設(shè)計(jì)4.3.1首頁(yè)4.3.2有關(guān)我們4.3.3新聞中心4.3.4產(chǎn)品中心4.3.5客戶服務(wù)4.3.6人才中心4.3.7聯(lián)系我們4.3.8中英文切換4.3.9公司郵箱登錄4.3.10在線交談4.3.11信息公布管理4.3.12欄目管理4.3.13權(quán)限管理4.3.14顧客管理4.3.15統(tǒng)計(jì)管理4.3.16日志管理4.4系統(tǒng)安全解決方案4.4.1可能的安全問(wèn)題分析4.4.2系統(tǒng)防護(hù)解決方案4.4.3完善的事件解決4.4.4其它安全防護(hù)4.5技術(shù)方案總結(jié)報(bào)告第五章項(xiàng)目建設(shè)配套規(guī)定5.1運(yùn)行環(huán)境5.2硬件環(huán)境第六章項(xiàng)目清單及系統(tǒng)資產(chǎn)6.1軟硬件設(shè)備6.1.1重要內(nèi)容6.1.2清單及系統(tǒng)資產(chǎn)6.2軟件開(kāi)發(fā)6.2.1網(wǎng)站功效清單6.3項(xiàng)目實(shí)施及培訓(xùn)網(wǎng)站系統(tǒng)分析1.1網(wǎng)站系統(tǒng)現(xiàn)狀與問(wèn)題現(xiàn)在我公司還沒(méi)有自己的對(duì)外網(wǎng)站系統(tǒng),公司信息資源傳輸較為滯后,沒(méi)有得到有效的共享,且缺少與客戶間的交流互動(dòng)。重要問(wèn)題以下:1、公司信息資源沒(méi)有得到有效的共享,未能及時(shí)的面對(duì)客戶及顧客公開(kāi),不利于客戶及顧客及時(shí)理解我司產(chǎn)品的最新動(dòng)態(tài)。2、缺少與客戶和使用者溝通交流,不方便公司理解產(chǎn)品在使用過(guò)程中所出現(xiàn)的問(wèn)題。3、沒(méi)有一種網(wǎng)絡(luò)的平臺(tái),展示公司形象以及向社會(huì)推廣新開(kāi)發(fā)的產(chǎn)品。1.2需求闡明與分析公司網(wǎng)站系統(tǒng)對(duì)于宣傳公司形象、新產(chǎn)品推廣的開(kāi)展起到了重要的作用,為了能夠更加好的提高服務(wù)質(zhì)量,暢通交流渠道,這就迫切的需要一種技術(shù)先進(jìn)、內(nèi)容全方面、功效合理的平臺(tái)來(lái)收集、綜合、管理、公布公司各類信息?,F(xiàn)結(jié)合現(xiàn)狀,對(duì)公司網(wǎng)站系統(tǒng)的應(yīng)用提出下列方面的需求:1、性能可靠、可擴(kuò)展性好、運(yùn)行安全穩(wěn)定、高效便捷、易于維護(hù)。2、網(wǎng)站欄目?jī)?nèi)容含有靈活性和可配備性,可單個(gè)或批量增刪改信息,支持多個(gè)公布方式,如純文本、文本+圖片、文本+附件、Office文檔,視頻、投票等。3、含有杰出的安全性,可過(guò)濾敏感內(nèi)容,限制文獻(xiàn)上傳類型,可避免SQL注入、防跨站腳本攻擊。4、含有強(qiáng)大的內(nèi)容編輯功效,類似word,支持可視化編輯、預(yù)覽等。平臺(tái)操作、維護(hù)簡(jiǎn)樸實(shí)用,信息頁(yè)面展示多樣、靈活,分類明確。網(wǎng)站風(fēng)格規(guī)定簡(jiǎn)要、淡雅、沉穩(wěn)、實(shí)用。網(wǎng)站系統(tǒng)項(xiàng)目建設(shè)目的通過(guò)本網(wǎng)站的建設(shè),建立功效強(qiáng)大、信息豐富、管理先進(jìn)、界面美觀、使用方便的網(wǎng)站系統(tǒng),系統(tǒng)應(yīng)含有強(qiáng)大的內(nèi)容管理功效,實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容進(jìn)行全生命周期的工作流管理。以內(nèi)容管理為核心,建設(shè)全文檢索、站群管理等應(yīng)用系統(tǒng),提供一種高性能的專業(yè)底層支撐系統(tǒng)。網(wǎng)站技術(shù)平臺(tái)需采用業(yè)界一流的成熟軟件。項(xiàng)目?jī)?nèi)容與范疇本網(wǎng)站系統(tǒng)采用(B/S)模式,布署在XXXXXXXX有限公司網(wǎng)站服務(wù)器上,面對(duì)互聯(lián)網(wǎng)顧客,為顧客提供公司各類公示、產(chǎn)品信息,同時(shí)提供在線咨詢、投訴等服務(wù),提高網(wǎng)站與顧客的互動(dòng)。本網(wǎng)站功效劃分為前臺(tái)呈現(xiàn)與后臺(tái)管理兩個(gè)部分,前臺(tái)可劃分為七個(gè)大板塊,涉及:首頁(yè)、有關(guān)我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們;后臺(tái)部分功效涉及信息公布管理、權(quán)限管理、顧客管理、欄目管理、統(tǒng)計(jì)管理、日志管理。同時(shí)優(yōu)化網(wǎng)站的性能,增強(qiáng)安全防備方法,確保網(wǎng)站的安全穩(wěn)定運(yùn)行。網(wǎng)站技術(shù)方案設(shè)計(jì)報(bào)告4.1設(shè)計(jì)原則與原則公司網(wǎng)站系統(tǒng)需遵照先進(jìn)性、開(kāi)放性、可靠性、可擴(kuò)展維護(hù)性、經(jīng)濟(jì)性原則。1.先進(jìn)性:建設(shè)起點(diǎn)要高,采用成熟、先進(jìn)、高效的技術(shù)平臺(tái)。應(yīng)做到軟件技術(shù)與硬件技術(shù)相匹配、開(kāi)發(fā)工具與平臺(tái)環(huán)境相匹配,從而發(fā)揮各自的最大效能。2.開(kāi)放性:由于國(guó)際計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)不停發(fā)展,因此功效建設(shè)要遵照開(kāi)放性的原則,開(kāi)放性重要體現(xiàn)在:系統(tǒng)支持多個(gè)硬件平臺(tái),如PCSERVER、臺(tái)式PC等;在系統(tǒng)建設(shè)中,將以TCP/IP為重要合同,以實(shí)現(xiàn)整個(gè)系統(tǒng)的開(kāi)放性。3.可靠性:功效含有高度的可靠性。提高可靠性的辦法諸多,普通有以下做法:采用高可靠性的網(wǎng)絡(luò)設(shè)備,出現(xiàn)故障時(shí)能夠快速恢復(fù)并有適宜的應(yīng)急方法。核心設(shè)備采用冗余設(shè)計(jì),以防單點(diǎn)故障。采用網(wǎng)絡(luò)管理,嚴(yán)格的系統(tǒng)運(yùn)行控制等系統(tǒng)監(jiān)控。4.擴(kuò)展維護(hù)性:提高功效的可擴(kuò)充性和可維護(hù)性是提高其性能的必備手段,系統(tǒng)采用構(gòu)造和模塊化構(gòu)造,每個(gè)模塊間保持相對(duì)的獨(dú)立性和靈活性,系統(tǒng)配備、設(shè)立參數(shù)化。5.經(jīng)濟(jì)性:充足考慮網(wǎng)絡(luò)系統(tǒng)現(xiàn)在與將來(lái)的實(shí)際需求,功效增減方便,技術(shù)既要盡量選用國(guó)際上最成熟的技術(shù),又要功效機(jī)構(gòu)合理,同時(shí)滿足技術(shù)開(kāi)發(fā)和顧客使用的需求,保護(hù)顧客已有的投資和此后的再投資。4.2系統(tǒng)構(gòu)造4.2.1網(wǎng)絡(luò)拓?fù)錁?gòu)造系統(tǒng)的總體應(yīng)用架構(gòu)以下圖所示:從應(yīng)用框架上能夠看出,整個(gè)系統(tǒng)采用了分層的框架進(jìn)行設(shè)計(jì),數(shù)據(jù)存儲(chǔ)在由關(guān)系數(shù)據(jù)庫(kù)和全文數(shù)據(jù)庫(kù)構(gòu)成的數(shù)據(jù)層,充足運(yùn)用了關(guān)系數(shù)據(jù)庫(kù)的業(yè)務(wù)解決能力和全文數(shù)據(jù)庫(kù)的海量存儲(chǔ)和高性能檢索能力。在體現(xiàn)層支持多個(gè)顧客訪問(wèn),各級(jí)管理員、編輯、公眾都能夠通過(guò)瀏覽器的接入方式訪問(wèn)網(wǎng)站,享有多個(gè)資訊服務(wù)。上述的系統(tǒng)的框架含有良好的擴(kuò)展性,每一層能夠通過(guò)集群、雙擊熱備或負(fù)載均衡技術(shù)來(lái)布署,在將來(lái)負(fù)載增加和并發(fā)訪問(wèn)壓力增大的狀況下,能夠方便擴(kuò)展和升級(jí),提高系統(tǒng)的解決能力。4.2.2系統(tǒng)體系架構(gòu)網(wǎng)站系統(tǒng)分成前臺(tái)呈現(xiàn)與后臺(tái)管理兩個(gè)部分,前臺(tái)可劃分為七個(gè)大板塊,涉及:首頁(yè)、有關(guān)我們、新聞中心、產(chǎn)品中心、客戶服務(wù)、人才中心、聯(lián)系我們;后臺(tái)功效涉及信息公布管理、欄目管理、權(quán)限管理、顧客管理、統(tǒng)計(jì)管理、日志管理。重要應(yīng)用到的技術(shù)涉及、信息安全防備、ajax等,數(shù)據(jù)資源層可存儲(chǔ)文本、附件、多媒體、文檔等各類資源。4.2.3系統(tǒng)技術(shù)及應(yīng)用軟件架構(gòu)網(wǎng)站采用B/S(瀏覽器/服務(wù)器)模式,使用C#.NET開(kāi)發(fā)技術(shù)進(jìn)行項(xiàng)目的開(kāi)發(fā),技術(shù)框架采用三層體系架構(gòu)(3-tierapplication),分別為呈現(xiàn)應(yīng)用層、業(yè)務(wù)邏輯層以及數(shù)據(jù)持久層。三層體系架構(gòu)實(shí)現(xiàn)了分散關(guān)注、松散耦合、邏輯復(fù)用、原則定義。呈現(xiàn)、應(yīng)用層:位于最外層(最上層),離顧客近來(lái)。用于顯示數(shù)據(jù)和接受顧客輸入的數(shù)據(jù),為顧客提供一種交互式操作的界面。該層中采用MVC(Model-View-Controller,即模型-視圖-控制器)模式,將顧客界面與后置代碼分辨開(kāi),利于代碼的重用性。而顧客界面中,引入AJAX技術(shù),全方面提高顧客使用體驗(yàn)。業(yè)務(wù)邏輯層:是系統(tǒng)架構(gòu)中體現(xiàn)核心價(jià)值的部分,它的關(guān)注點(diǎn)重要集中在業(yè)務(wù)規(guī)則的制訂、業(yè)務(wù)流程的實(shí)現(xiàn)等與業(yè)務(wù)需求有關(guān)的系統(tǒng)設(shè)計(jì)。在這一層中,引入應(yīng)用服務(wù)器,實(shí)現(xiàn)網(wǎng)站業(yè)務(wù)功效。業(yè)務(wù)邏輯層在體系架構(gòu)中的位置很核心,它處在數(shù)據(jù)訪問(wèn)層(持久層)與表達(dá)層中間,起到了數(shù)據(jù)交換中承上啟下的作用。數(shù)據(jù)持久層:有時(shí)候也稱為是數(shù)據(jù)訪問(wèn)層,其功效重要是負(fù)責(zé)數(shù)據(jù)庫(kù)的訪問(wèn),能夠訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)、二進(jìn)制文獻(xiàn)、文本文檔或是XML文檔。簡(jiǎn)樸的說(shuō)法就是實(shí)現(xiàn)對(duì)數(shù)據(jù)表的Select,Insert,Update,Delete的操作。如果要加入ORM的元素,那么就會(huì)涉及對(duì)象和數(shù)據(jù)表之間的mapping,以及對(duì)象實(shí)體的持久化。4.3各功效模塊設(shè)計(jì)4.3.1首頁(yè)首頁(yè)不設(shè)子欄目,為網(wǎng)站整體展示。滾動(dòng)大圖展示公司形象,首頁(yè)底部設(shè)立小的滾動(dòng)圖片,展示公司產(chǎn)品信息,顧客可直接點(diǎn)擊進(jìn)入有關(guān)產(chǎn)品頁(yè)面。4.3.2有關(guān)我們?cè)摍谀课挥谑醉?yè)導(dǎo)航欄第一位,下設(shè)四個(gè)子欄目,分別為:公司介紹、公司文化、公司榮譽(yù)和公司資質(zhì);4.3.3新聞中心該欄目位于首頁(yè)導(dǎo)航欄第二位,下設(shè)兩個(gè)子欄目,分別為:行業(yè)動(dòng)態(tài)和公司新聞;可向客戶展示行業(yè)的最新動(dòng)態(tài)和公司的有關(guān)新聞動(dòng)態(tài)。4.3.4產(chǎn)品中心該欄目位于首頁(yè)導(dǎo)航欄第三位,設(shè)四個(gè)子欄目,分別為:輸液器系列、注射器系列、輸注泵系列和配藥器系列;向顧客呈現(xiàn)公司的產(chǎn)品信息和產(chǎn)品的技術(shù)參數(shù)。4.3.5客戶服務(wù)該欄目位于首頁(yè)導(dǎo)航欄第四位,下設(shè)三個(gè)子欄目,分別為:技術(shù)支持、下載中心和客戶留言,其中“技術(shù)支持”下再設(shè)兩個(gè)二級(jí)子欄目,分別為常見(jiàn)問(wèn)題和代理?xiàng)l件;為客戶解答常見(jiàn)的技術(shù)問(wèn)題及解決辦法。也可方便顧客下載我公司的有關(guān)資質(zhì)證件。4.3.6人才中心該欄目位于首頁(yè)導(dǎo)航欄第五位,下設(shè)兩個(gè)子欄目,分別為:人才方略和招聘信息;呈現(xiàn)我公司的用人方略及招聘信息。4.3.7聯(lián)系我們?cè)摍谀课挥谑醉?yè)導(dǎo)航欄第六位,下設(shè)兩個(gè)子欄目,分別為:銷售網(wǎng)絡(luò)和聯(lián)系方式。4.3.8中英文切換該欄目位于首頁(yè)右上角,方便顧客隨時(shí)切換中英文瀏覽網(wǎng)頁(yè)。4.3.9公司郵箱登錄該欄目位于首頁(yè)右上角,方便我公司內(nèi)部員工快速登錄我公司公司郵箱。4.3.10在線交談該欄目位于首頁(yè)右下角,方便顧客隨時(shí)與我公司專業(yè)人員聯(lián)系,通過(guò)QQ工具連接可快速建立供需雙方的聯(lián)系。4.3.11信息公布管理支持管理公司信息的公布、修改、刪除、審核、轉(zhuǎn)移、轉(zhuǎn)載等操作,支持批量操作,支持多類型信息的公布,如純文本、圖文、office、附件、多媒體信息等??膳鋫湫畔⒌臑g覽、評(píng)論權(quán)。4.3.12欄目管理公司信息以欄目的形式進(jìn)行分類存儲(chǔ),欄目的建設(shè)采用層級(jí)模式,以樹(shù)狀構(gòu)造展示,管理員能夠通過(guò)選擇不同的節(jié)點(diǎn)欄目對(duì)其進(jìn)行增刪改操作,支持拖放排序??膳鋫錂谀繉傩?,實(shí)現(xiàn)多個(gè)功效的啟動(dòng)、關(guān)閉和權(quán)限分派。如配備信息的瀏覽權(quán)、公布權(quán)、完全控制權(quán)、審核權(quán)、簽收權(quán),啟動(dòng)或關(guān)閉在線評(píng)論、訪問(wèn)IP段限制等。4.3.13權(quán)限管理重要權(quán)限涉及:瀏覽、公布、審核、簽收、評(píng)論、置頂、轉(zhuǎn)移轉(zhuǎn)載、完全控制等。權(quán)限可指定到具體欄目,擁有權(quán)限的顧客可進(jìn)行對(duì)應(yīng)的操作。4.3.14顧客管理可對(duì)顧客、組織機(jī)構(gòu)進(jìn)行管理,涉及增刪改查操作,顧客權(quán)限分派,自定義顧客角色等。為確保顧客帳戶的安全性,系統(tǒng)對(duì)顧客密碼進(jìn)行MD5加密解決,避免其它非法顧客進(jìn)入系統(tǒng)進(jìn)行數(shù)據(jù)解決。4.3.15統(tǒng)計(jì)管理可統(tǒng)計(jì)平臺(tái)各類數(shù)據(jù),如訪問(wèn)量、在線人數(shù)、信息公布數(shù)量、點(diǎn)擊次數(shù)等??蓽?zhǔn)時(shí)間段、欄目、顧客、自定義角色進(jìn)行統(tǒng)計(jì),可生成和導(dǎo)出統(tǒng)計(jì)報(bào)表。4.3.16日志管理實(shí)現(xiàn)對(duì)系統(tǒng)日志和操作日志進(jìn)行統(tǒng)計(jì)和管理,協(xié)助系統(tǒng)管理員完畢系統(tǒng)安全與數(shù)據(jù)查錯(cuò)的工作。系統(tǒng)級(jí)日志重要統(tǒng)計(jì):顧客登錄狀況、在線狀況、程序出錯(cuò)信息等;數(shù)據(jù)級(jí)日志重要統(tǒng)計(jì):各類數(shù)據(jù)讀寫修改、刪除等操作的動(dòng)作。4.4系統(tǒng)安全解決方案4.4.1可能的安全問(wèn)題分析1.頁(yè)面被篡改門戶網(wǎng)站一旦被篡改(加入某些敏感的顯性內(nèi)容),經(jīng)常會(huì)引發(fā)較大的影響,嚴(yán)重時(shí)甚至?xí)斐烧问录?。另外一種篡改方式是網(wǎng)頁(yè)掛馬:網(wǎng)頁(yè)內(nèi)容表面上沒(méi)有任何異常,卻可能被偷偷的掛上了木馬程序。網(wǎng)頁(yè)掛馬即使未必會(huì)給網(wǎng)站帶來(lái)直接損害,但卻會(huì)給瀏覽網(wǎng)站的顧客帶來(lái)?yè)p失。2.在線業(yè)務(wù)被攻擊對(duì)公司和個(gè)人顧客提供在線服務(wù),已經(jīng)成為門戶網(wǎng)站的重要功效。這些服務(wù)一旦受到回絕服務(wù)攻擊而癱瘓、終止,對(duì)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)必然造成極大的影響,可能會(huì)造成經(jīng)濟(jì)損失,嚴(yán)重時(shí)甚至?xí)绊懮鐣?huì)穩(wěn)定。3.機(jī)密數(shù)據(jù)外泄在線業(yè)務(wù)系統(tǒng)中,總是需要保存某些公司、公眾的有關(guān)資料,這些資料往往涉及到公司秘密和個(gè)人隱私,一旦泄露,會(huì)造成公司或個(gè)人的利益受損,可能會(huì)給單位帶來(lái)嚴(yán)重的法律糾紛。4.4.2系統(tǒng)防護(hù)解決方案1.WEB安全需求對(duì)Web應(yīng)用的安全防護(hù)重要涉及以下需求:布署簡(jiǎn)便,管理集中,操作簡(jiǎn)潔,性能影響甚微。涉及:

對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)錁?gòu)造無(wú)影響。

方便管理,無(wú)需進(jìn)行復(fù)雜的配備。

對(duì)現(xiàn)有WEB服務(wù)器的訪問(wèn)速率不能造成太大的影響。

對(duì)正常業(yè)務(wù)訪問(wèn)不能進(jìn)行錯(cuò)誤的攔截阻斷。

在需要保護(hù)的WEB門戶服務(wù)器前端透明直連布署一臺(tái)WEB應(yīng)用防火墻,對(duì)網(wǎng)站實(shí)施7X24小時(shí)的實(shí)時(shí)監(jiān)控,保護(hù)WEB站點(diǎn)數(shù)據(jù)不被攻擊,避免網(wǎng)頁(yè)篡改給網(wǎng)站帶來(lái)的形象損害,避免信息內(nèi)容不合規(guī)等;2.WEB安全評(píng)定網(wǎng)站安全保障是一項(xiàng)系統(tǒng)工程。網(wǎng)站的安全保障現(xiàn)在最為單薄的環(huán)節(jié)就在于缺少對(duì)WEB防護(hù)層面的整體考慮。針對(duì)網(wǎng)站的安全評(píng)定,需要使用安全掃描、滲入測(cè)試、安全監(jiān)測(cè)三個(gè)方面的技術(shù)手段進(jìn)行實(shí)施評(píng)定工作。3.安全掃描安全掃描采用模擬入侵者的手法,對(duì)網(wǎng)站進(jìn)行模擬攻擊??煽焖侔l(fā)現(xiàn)大多數(shù)常見(jiàn)的網(wǎng)站安全漏洞,如常見(jiàn)的SQL注入、跨站腳本、目錄瀏覽、應(yīng)用錯(cuò)誤等漏洞。便于指導(dǎo)后期的安全分析和加固工作。安全掃描器技術(shù)先進(jìn)的同時(shí)也存在某些無(wú)法解決的問(wèn)題,如網(wǎng)頁(yè)內(nèi)容中的惡意代碼難識(shí)別、程序中的邏輯漏洞等需要人工判斷的內(nèi)容無(wú)法實(shí)現(xiàn)自動(dòng)化。4.安全監(jiān)測(cè)建立網(wǎng)站安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)對(duì)網(wǎng)站內(nèi)容的安全監(jiān)測(cè),重要用于對(duì)網(wǎng)頁(yè)木馬監(jiān)測(cè)、網(wǎng)站可用性、核心字監(jiān)測(cè)。通過(guò)該平臺(tái),能夠?qū)崿F(xiàn)網(wǎng)頁(yè)木馬監(jiān)測(cè),由于網(wǎng)頁(yè)木馬不同于常規(guī)的網(wǎng)站漏洞,含有一定的潛伏性和隱蔽性,常規(guī)模擬入侵者的攻擊無(wú)法發(fā)現(xiàn)木馬,而需要模擬成一種有漏洞的操作系統(tǒng)去訪問(wèn)這些網(wǎng)頁(yè),監(jiān)測(cè)有漏洞的操作系統(tǒng)與否會(huì)被網(wǎng)站植入木馬。5.滲入測(cè)試滲入測(cè)試借助安全專家數(shù)年安全測(cè)試的經(jīng)驗(yàn),使用大量安全工具、安全辦法和安全理論相結(jié)合,從攻擊、防御多個(gè)角度出發(fā)去識(shí)別網(wǎng)站存在的安全風(fēng)險(xiǎn)。相比于工具型掃描滲入測(cè)試更多側(cè)重于邏輯類型的安全問(wèn)題識(shí)別、需要人工輔助類型的安全問(wèn)題檢測(cè),從而能夠?qū)⒕W(wǎng)站的安全水平提高到一種新的高度。例如檢測(cè)出網(wǎng)站存某處敏感信息泄露,可能報(bào)告的是低危險(xiǎn)級(jí)別的安全事件。然后輔助人工則可運(yùn)用這個(gè)敏感信息可能進(jìn)一步獲取網(wǎng)站的管理員賬戶和密碼信息,最后實(shí)現(xiàn)完全控制網(wǎng)站的目的。6.WEB安全防御安全防御是實(shí)踐安全預(yù)警、分析、防御、加固的系統(tǒng)方法的過(guò)程,而非布署某一款安全產(chǎn)品這樣簡(jiǎn)樸。建議營(yíng)銷管理平臺(tái)網(wǎng)站安全的防御應(yīng)最少做到以下三個(gè)方面。7.安全分析安全分析是安全防御的基礎(chǔ),安全分析的重心是安全評(píng)定的報(bào)告和安全設(shè)備的日志匯總信息。通過(guò)安全分析能夠清晰的認(rèn)識(shí)到現(xiàn)在存在的重要問(wèn)題以及所面臨的安全威脅。安全分析是一種跨部門協(xié)調(diào)的工作,普通由顧客職能部門牽頭安全服務(wù)商負(fù)責(zé)整體安全分析的內(nèi)容綱要,由安全服務(wù)商、軟件開(kāi)發(fā)商、系統(tǒng)運(yùn)維人員、業(yè)務(wù)使用代表等共同參加以最后擬定安全防御的目的。8.安全防護(hù)當(dāng)網(wǎng)站檢測(cè)出有特定安全問(wèn)題時(shí)將提出對(duì)應(yīng)的安全應(yīng)對(duì)方法。除通用的防護(hù)方略之外還提供有關(guān)的安全加固對(duì)象,滿足安全加固方略的實(shí)施。9.安全加固網(wǎng)站安全加固是一種不停改善的過(guò)程,隨著業(yè)務(wù)的變更、安全研究的進(jìn)一步等均會(huì)增進(jìn)安全加固工作的展開(kāi)。安全加固建議:采用硬件WEB應(yīng)用防火墻加固的同時(shí)硬件廠商為顧客方提供具體的安全加固建議,便于程序開(kāi)發(fā)商修復(fù)存在的安全缺點(diǎn)。10.WEB安全建議定時(shí)進(jìn)行專業(yè)的安全評(píng)定,涉及黑盒測(cè)試-遠(yuǎn)程深度安全評(píng)定以及白盒測(cè)試-本地代碼安全評(píng)定。針對(duì)安全評(píng)定成果進(jìn)行專業(yè)安全整治和加固。建立和完善一套有效的安全管理制度,對(duì)長(zhǎng)虹集團(tuán)的日常維護(hù)和使用進(jìn)行規(guī)范。建立起一套完善有效的應(yīng)急響應(yīng)預(yù)案和流程,并定時(shí)進(jìn)行應(yīng)急演習(xí),一旦發(fā)現(xiàn)發(fā)生任何異常狀況可及時(shí)進(jìn)行解決和恢復(fù),有效避免網(wǎng)站業(yè)務(wù)中斷帶來(lái)?yè)p失。定時(shí)對(duì)有關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn),提高安全技術(shù)能力和實(shí)際操作能力。4.4.3完善的事件解決防護(hù)體系構(gòu)造圖1.事前檢查針對(duì)營(yíng)銷管理平臺(tái)各WEB應(yīng)用系統(tǒng)及部分未上線的應(yīng)用系統(tǒng),采用WEB應(yīng)用掃描器進(jìn)行一次WEB系統(tǒng)全方面的OWASPTOP10檢測(cè),能夠協(xié)助顧客充足理解WEB應(yīng)用存在的安全隱患,建立安全可靠的WEB應(yīng)用服務(wù),改善并提高應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力。2.事中告警針對(duì)各類攻擊行為及異常訪問(wèn)行為,實(shí)時(shí)告警并通過(guò)各類方式告知給安全管理員,便于快速解決安全事件。3.事后分析通過(guò)系統(tǒng)內(nèi)部告警日志,實(shí)現(xiàn)對(duì)攻擊源的定位分析,同時(shí)提供各類統(tǒng)計(jì)分析,方便掌握整個(gè)應(yīng)用系統(tǒng)的動(dòng)態(tài)安全狀況及運(yùn)行狀態(tài)。4.4.4其它安全防護(hù)系統(tǒng)其它安全防護(hù)方法涉及:

制訂服務(wù)器管理的配套制度,編寫可行的應(yīng)急方案,并定時(shí)演習(xí)。

設(shè)立專門的系統(tǒng)管理員,定時(shí)安排專人進(jìn)行服務(wù)器巡檢,杜絕安全隱患。

定時(shí)審查服務(wù)器巡檢統(tǒng)計(jì)。

避免SQL注入。

避免跨站腳本攻擊。

嚴(yán)格控制系統(tǒng)更新公布,執(zhí)行工作票管理制度,對(duì)于系統(tǒng)程序版本和配備變更進(jìn)行嚴(yán)格、規(guī)范的管理。4.5技術(shù)方案總結(jié)報(bào)告通過(guò)上述技術(shù)方案,以先進(jìn)的計(jì)算機(jī)技術(shù)手段建立系統(tǒng),完全根據(jù)現(xiàn)行有關(guān)國(guó)家及行業(yè)原則規(guī)程,運(yùn)用當(dāng)代系統(tǒng)工程技術(shù)、網(wǎng)絡(luò)信息數(shù)據(jù)庫(kù)服務(wù)技術(shù)、通信技術(shù),為XXXXXXXX有限公司提供了一套完善的、高效的網(wǎng)站系統(tǒng)平臺(tái),滿足我公司網(wǎng)站的建設(shè)與管理的目的。通過(guò)主流的分享平臺(tái),讓顧客繼續(xù)將文章實(shí)時(shí)時(shí)訊、最新產(chǎn)品信息分享出去,讓文章能被更廣泛的流傳,增加我公司網(wǎng)站的訪問(wèn)流量,擴(kuò)大我公司網(wǎng)站影響力。第五章項(xiàng)目建設(shè)配套規(guī)定5.1運(yùn)行環(huán)境服務(wù)器操作系統(tǒng):WindowsServer公司版64位Web服務(wù)器軟件:IIS數(shù)據(jù)庫(kù)存儲(chǔ)軟件:SQLServer數(shù)據(jù)庫(kù)客戶端:Windows.NET平臺(tái):2.0版本以上5.2硬件環(huán)境應(yīng)用\數(shù)據(jù)庫(kù)服務(wù)器:16GB物理內(nèi)存或者更多,500g硬盤存儲(chǔ)或以上,高速雙網(wǎng)卡;第六章項(xiàng)目清單和系統(tǒng)資產(chǎn)6.1軟硬件設(shè)備6.1.1重要內(nèi)容按照第五章項(xiàng)目配套規(guī)定,本項(xiàng)目需要采購(gòu)服務(wù)器、windowserver操作系統(tǒng)、SQLServer數(shù)據(jù)庫(kù)。另外,該系統(tǒng)有手機(jī)短信功效,需要與移動(dòng)訂立有關(guān)短信接口合同。6.1.2清單及項(xiàng)目資產(chǎn)序號(hào)采購(gòu)項(xiàng)規(guī)格闡明數(shù)量單位報(bào)價(jià)單價(jià)報(bào)價(jià)總價(jià)1網(wǎng)站服務(wù)器DellR910,

E4830CPU4個(gè)/32G內(nèi)存/600G

硬盤

3個(gè)/雙冗余電源/3年原廠服務(wù)1臺(tái)2操作系統(tǒng)windowserver公司版64位1套3數(shù)據(jù)庫(kù)SQLServer原則版1套4天清漢馬USG-FW-3610D防火墻2U上架設(shè)備,雙電源,提供不不大于10個(gè)千兆Combo接口,內(nèi)存不不大于2G,吞吐量不不大于6G,若購(gòu)置VPN授權(quán)無(wú)顧客

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論