欢迎来到天天文库
浏览记录
ID:22402984
大小:81.00 KB
页数:10页
时间:2018-10-29
《铜陵市民论坛安全监测防控平台及网站升级改版项目》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、铜陵市民论坛安全监测防控平台及网站升级改版项目(一)项目基本情况、项目背景、采购内容:1、项目基本情况铜陵市市民论坛是铜陵市市民建言献策,咨询投诉的网络渠道,也是政府和市民相互交流的平台。该论坛由铜陵市人民政府办公室主办,铜陵日报代维。随着互联网环境的高速发展,为了铜陵市民论坛网站的安全稳定运行,优化网站整体的访问体验,需要进行相关软件和技术采购。2、项目背景当前,我国正处于改革发展的关键时期,经济体制深刻变革,社会结构深刻变化,利益格局深刻调整,思想观念深刻变化,群众内部利益主体、利益诉求、利益表
2、达和维护方式都发生了巨大变化,在这种情况下,“着力解决人民群众反映强烈的突出问题,提高做好新形势下群众工作的能力”,是党的群众路线教育实践活动中提出的要求之一。而网络问政平台作为各级党委和政府通过互联网积极与网民沟通互动,知民情、解民意、聚民心、汇民智的基本形式和重要渠道,在“保持党同人民群众的血肉联系,发挥党密切联系群众的优势”方面具有得天独厚的优势。因此,在新形势下,利用网络问政于民、问需于民、问计于民,是坚持党的群众路线的生动体现。铜陵市市民论坛作为政府信息化建设的重要组成部分,是民众向政府反
3、映诉求、表达意愿的重要渠道之一,也是集中反映网络舆论动向变化与民众关注热点的平台,2012年铜陵市市民论坛网站上线,得到社会各界一致好评,但由于时间比较久,网站技术不断升级发展,目前铜陵市市民论坛很多应用受到技术牵制不能很好的发展,再者,网站系统长时间不升级,安全隐患比较大,针对本方案对当前市民论坛网站改版。3、采购内容(一)论坛建设(1)页面前端包含原论坛迁移、同时重新设计新版论坛前端浏览页面,并加固模板代码,并要求支持多终端浏览。(2)管理系统必须包含以下功能:信息展示功能、信息预警及短信邮件提
4、醒、回应制度和问责制度、流程审批功能、报表功能、支持多终端访问、手机验证码注册机制、防灌水及敏感词、附件管理、广告管理、隐私信息云纠察功能。(3)网站维护对论坛提供全年7*24小时技术支持。(二)论坛安全(1)渗透测试对网站进行人工模拟攻击测试,找出潜在的漏洞风险。(2)论坛云安全防护对市民论坛WEB应用、特定目标、专项威胁等提供7*24小时网站安全动态监测服务;同时进行7*24小时动态防御黑客攻击以及避免网站篡改。(3)论坛系统等保网站系统二级等保测评。(二)技术方案1方案原则1.1标准化原则政务
5、系统网络和信息安全运维要在国家信息系统安全等级评级规范和ISO27000标准的指导下,要建立相应的运维标准和运维考核办法。1.2实用性原则政务系统网络和信息安全运维要从实际出发,根据运维的实际情况,进行合理规划,制定有效的服务方案和运维方案,切实解决用户的问题。1.3机动性原则运维单位要根据用户的突发需要,制定相应方案,合理调配运维工作人员,合理安排运维时间,制定相应的应急保障机制。1.4安全性原则运维过程中,运维单位要切实保护用户设备、系统、平台和网络的安全,做到事前合理规划,事中监测保护,事后分
6、析朔源。1.5保密性原则运维单位在运维过程中,未经用户允许,不得以任何方式泄露用户信息。2招标参数网站安全论坛系统等保1、安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;2、安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评;完成测评工作后,提出整改意见并配合实施整改,提高系统防护能力,最后出具符合公安机关要求的信息系统安全保护等级测评报告,并协助完成信息系统安全保护等级备案工作,确保通过二级等保测评
7、并取得证书。渗透测试1.被动式信息收集:收集目标系统暴露于网络上,不需要额外的授权便可获取到的信息。2.专业安全工具扫描:专业安全工具扫描、嗅探,对系统的网络、主机和应用程序进行远程漏洞扫描,并对扫描结果进行分析。3.社会工程学探查:利用社会工程学结合大数据方式获取目标网站信息,例如:邮箱、QQ,手机号,身份证信息,历史密码等信息。4.未经验证的重定向和转发:未经验证将用户访问页面重定向或转发到其它网页,利用重定向漏洞诱导用户访问钓鱼或恶意网站或者使用转发去访问未授权页面。5.文件包含:利用文件包含
8、可以获取网站源代码、敏感文件6.跨站脚本攻击: 指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。跨站脚本攻击又分:Dom、反射型、存储型,存储型可以获取用户cookie登录到用户中心。7.未授权访问:通过未授权访问一些敏感页面、命令执行,getshell等操作导致危害到网站安全性。例如:管理后台、Redis、Mongodb、Memcache、Jenkins、elasticse
此文档下载收益归作者所有