|
项目 |
技术及参数要求 |
|
系统架构 |
系统架构要求使用B/S技术,同时需要兼容手机端展示。 |
|
部署方式 |
校内本地化部署 |
|
技术架构 |
系统采用java+ mysql数据库,前后端分离机构,确保跨平台性,并与学校整体信息化环境兼容。 整体架构:应用层、表示层、会话层、采用PGP与SSL进行防护加固。传输层采用TLS与SET安全协议。网络层采用IPSEC进行防护。整体架构针对XSS攻击、注⼊攻击、CSRF攻击具有一定防御手段。同时针对敏感信息通过架构采用对称与非对称进行加密,对非敏感数据进行信息摘要和数字签名。 |
|
部署环境 |
要求部署在基于linux的centos系统上保证系统的稳定性与安全性 |
|
技术实现 |
本项目需求须基于学校已经建设完成的官网的功能样式进行开发。 |
|
系统组成 |
2. 后端管理系统:对前端web栏目自定义、前端信息内容新增删除修改、置顶、统计分析、阅读量、日志、角色、用户、权限等。 |
|
数据迁移 |
需要对原有网站所有信息进行无损迁移到新建系统中,同时需要对接学校现有中间件用户信息,保证用户信息一致性。 |
|
系统安全要求 |
系统要符合网安法要求,系统存在口令策略方面的安全保护措施,包括不限于强制修改初始密码,密码复杂度控制,爆破登录锁定等功能;具有完善的系统日志;系统管理后台与业务入口分离。 因本系统需在互联网上向全球开放,涉及网络系统安全。成交方需要对系统进行为期一年运维保障。 |
|
网站代码安全维护要求 |
网站程序代码的安全审计,包括PHP、JSP、.NET等程序代码的安全审计,上传漏洞,SQL注入漏洞,以及网站后门木马和程序恶意挂马代码的检测和清除。 |
|
网站数据运维要求 |
通过对主流数据库系统(包括MySQL等)进行工具扫描和人工检查,查找数据库系统配置、用户权限分配等方面的安全隐患。 |
|
网站权限安全设置运维要求 |
网站文件夹的权限安全分配,防止网站目录跨站影响其他网站的安全。ASP安全设置、PHP安全设置、.net安全设置、CGI安全设置、组策略安全设置。网站数据库 Mysql 等的数据库安全设置,以及数据库账号的权限安全分配。Nginx、Apache、IIS、等网站所需的环境,进行人工的安全加固。 |
|
网站漏洞修复运维要求 |
相应的网站漏洞进行修复,对黑客入侵的痕迹进行分析来制定相应的网站防篡改方案,修复漏洞不单是对BUG的修复,而是跟网站紧密结合在一起,进行行之有效的安全解决方案,即要修复网站的漏洞,也要保证网站的各个功能正常使用,还要保证网站的正常运营。 |
|
网站应用服务器运维要求 |
对服务器环境进行安全设置,包括IIS,Nginx、Apache、Lnmp等环境的安全部署,底层系统的安全设置,IP安全策略设置。 |
|
网站紧急恢复响应运维要求 |
如网站遭受攻击、内容被篡改、系统被入侵、等安全事件,或出现不可预测性错误时,及时把网站恢复到最近数据,确保网站能正常运行,修补安全漏洞,消除安全隐患。 |
|
网站数据备份响应运维要求 |
网站和数据库的备份工作,要求本地、异地同时备份,要求每季度进行备份,保障数据绝对安全,数据恢复服务,确保系统崩溃后尽快恢复:协助用户建立全面的备份计划及灾难恢复计划,做到有备无患。在遇到各类严重故障而导致系统崩溃后,确保在最短时间内恢复。 |
|
Web漏洞扫描 |
运维期间对系统每个月进行漏洞扫描,范围覆盖 OWASP TOP 10的 Web 漏洞,例如:SQL 注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、0Day/1Day/NDay 漏洞检测、弱密码等。 |
|
主机漏洞扫描 |
每个月通过节点引擎对主机漏洞、弱口令、端口暴露、支持3W+识别策略。 |
|
网站行为分析 |
每个月对用户进行分析,建模和学习,从而构建出用户在不同场景中的正常状态并形成基线。实时的监测用户当前的行为,通过已经构建的规则模型、统计模型、机器学习模型和无监督的聚类分析。及时发现用户、系统和设备存在的可疑行为,解决海量日志里快速定位安全事件的难题。包括历史未出现过的异常行为。 |
|
漏洞问题处理 |
针对web网站、主机漏洞、网站行为分析扫描出的结果提供结果报告、同时提供解决方案并且对网站、主机进行升级解决漏洞问题。 |