贵州财经职业学院门户网站建设招标公告
贵州财经职业学院门户网站建设招标公告
贵州财经职业学院门户网站建设
采购公告
为了顺应学校发展,充分利用高校门户网站基本功能,实现学院招生宣传、资源共享、信息交流、协同工作,提高学院社会知名度与美誉度。经2020年7月14日第十六次校长办公会研究同意,本着公正、公开、公平的原则,我校决定采取公开招标方式对贵州财经职业学院门户网站建设采购项目进行校内竞争性综合比选采购,现将有关事项公告如下:
一、招标内容:
1. 贵州财经职业学院门户网站建设采购项目(详细项目清单见附件)。
2.预算9.5万元
二、投标人的资质要求
1.投标人必须是具有独立民事责任能力的法人及公司;
2.投标人必须具备有效的营业执照等有关资质证明(原件及对应的复印件);
3.投标人在近三年内无违纪违法经营行为(因行贿、违约等行为被公共媒体曝光或被行业主管部门处罚等)。
三、报名、报价截止时间、开标时间及地点
1.报名时间:符合条件的投标企业在报名时须携带营业执照、资质证书、法人授权委托书、身份证原件,同时提交相应资料复印件壹套(A4纸装订),并加盖公章,于2020年12月9日至11日到贵州省财政学校新校区(清镇市职教城乡愁校区云站路50号)行政楼401/402办公室报名。
2.递交报价文件截止时间:2020年12月14日下午14:00时;
3.开标时间:2020年12月14日下午14:00时;
4.开标地点:贵州省财政学校新校区(清镇市云站路50号)行政楼三楼乡愁会议室;若有改动,具体时间另行通知;
5.联系人:杨亚军、舒祥:****-********、180*****682;
四、报价文件组成及要求
1.企业资质(工商税务登记证、经营许可证、组织机构代码证、营业执照)复印件加盖单位印章;
2.相关资质证书;
3.单位的法定代表人身份证复印件、授权委托书、投标人身份证复印件;
4.报价单(报价、服务承诺等项目);
5.主要业绩资料;
6.服务承诺;
以上资质为必备文件,如有缺项为无效投标。请投标人将投标文件,包括正本壹份,副本贰份(请标明“正本”或“副本”字样)密封、盖章。开标时以正本为准。
五、其他事宜
本次招标必须具有三家以上(不少于三家)的投标人参加,标书各自密封,公开拆标。投标人少于三家时,将另行确定招标。
本次采购详细需求参数如下:
目 录
1. 项目概要随着经济的发展和国家科教兴国战略的实施,校园网络建设已逐步成为学校的基础建设项目,更成为衡量一个学校教育信息化、现代化的重要标志。根据《省人民政府关于同意建立贵州财经职业学院的批复》(黔府函〔2020〕48号)和《教育部办公厅关于公布实施专科教育高等学校备案名单的函》(教发厅函〔2020〕22号),2020年4月12日贵州省人民政府正式批准建立贵州财经职业学院。为了顺应学校发展,实现招生宣传、资源共享、信息交流、协同工作等校园网基本功能,需要一个高速的、具有先进性的、可扩展的校园网平台以适应当前学院发展的需求并满足学校各方面应用的需要,特拟定以下建设方案大。
本次项目需要完成学院官网网站、英文版网站建设,完成等保测评服务工作。
(1)栏目规划:围绕学院事业发展、校园文化建设等工作规划学院的网站栏目,包含并不限于以下栏目:首页、学校概况、机构设置、学校动态、党政建设、产教融合、招生就业、信息公开、学校服务、培训中心、财职院文化。
校园网栏目设置
首页 | 学校概况 | 机构设置 | 学校动态 | 党政建设 | 产教融合 | 招生就业 | 信息公开 | 学校服务 | 培训中心 | 财职院文化 |
各类 模块 展示 | 学校简介 | 职能部门 | 学校新闻 | 支部概况 | 合作企业 | 招生简章 | 规章制度 | 教学服务 | 中心简介 | 校史馆 |
历史沿革 | 教学单位 | 公告信息 | 党建动态 | 产业学院 | 分类招生 | 计划规划 | 助学服务 | 继续教育 | 贵州财经职业教育集团 | |
领导介绍 | 电子校报 | 制度建设 | 职教动态 | 招聘信息 | 经费管理 | 科研服务 | 培训动态 | 贵州省职业院校新时代文明实践红色文化教育基地 | ||
标识校训 | 专题活动 | 就业指导 | 依申请公开 | 办事指南 | 网络学院 | |||||
学院视频 | 团青工作 | 信息公开 申请 | 心理健康 | |||||||
校园风光 | 工会工作 |
(2)页面设计:设计要符合贵州省财政学院的特征,提供首页、形象区Banner创意设计图3张、内页Banner设计图3张、通用栏目页、文章页、频道页、指定页面,部分界面元素要统一。
(3)功能需求:围绕解决学院宣传展示服务平台建设分散、数据不通、使用不便等突出问题,坚持一体化发展方向和移动优先策略,通过流程优化、平台再造,搭建学院“一微一端一网”,实现各种媒介资源、生产要素有效整合。
(4)站群用户管理及权限体系
平台用户范围为学院内从事宣传工作的在职在岗人员、业务部门相关联审人员。根据人员职责,设置不同权限。管理员权限分为三级管理。
平台有完善、灵活的权限体系,包括数据权限、功能权限等,适应不同的角色和管理需求。
(5)站群“采、编、发”功能
平台具备采编一体化功能,系统提供一站式的内容采集、编辑、审核和发布。方便采编人员及时策划、采集、编辑新闻,并通过平台进行审核、一键发布。
(6)站群统计分析功能
数据分析旨在让所有新闻线索、选题策划、传播效果、运营效果有数据支撑。通过对各单位、个人报送、选用稿件的数量、类型、浏览量等进行系统分析,形成分析报告可以实时查询。
(7)内容报送系统
内容报送系统建设可实现学院和系部之间的新闻信息的报送、采集、处理、共享等功能。内容报送系统是用电子化手段代替传统的传真、电话、纸质信函等介质,实现学院之间的新闻、简报、专报等信息的上报,进行信息采编与发布,提高工作效率、加强公司之间(横向和纵向)的信息交流。实现信息报送、信息采编、发布审批、信息管理、网站生成等功能的政务信息管理与服务的平台。内容报送单位通过本系统实时报送各类新闻信息,集团的信息采编人员通过此系统进行新闻稿件,党建动态等信息进行汇总,形成网站内容,发布到站群各站供各类用户浏览查询。
(1)支持关键字分类搜索;
(2)支持关键字模糊匹配功能;
(3)提供完善的智能搜索功能;
(4)支持热词联想检索
(5)提供热词、分类搜索及搜索结果分类展示功能,
(6)可按时间(天、周、月)搜索、按结果搜索(按时间、相关排序)。
(1)多维度(站群、网站、栏目、信息)可视化的数据统计;
(2)PV、UV保证数据准确度;
(1)支持灵活开设各种形式的征集,问卷、调查等互动活动;
(2)支持多项权限(时间段、IP和用户)控制;
(3)支持前台展示可视化模板编辑;
(4)支持安全有效性过滤控制(敏感词、后台审核);
(5)支持图表式调查结果统计分析。
(6)支持评论留言功能。
高峰同时在线人数按照1000人计算,系统使用高峰时按并发的可能性为5%计算,最大并发用户数:50。数据响应时间要求如下:
(1)复杂事务查询的平均响应时间<=10秒
(2) 简单事务查询的平均响应时间<=5秒
(3)应用界面平均响应时间<=5秒,峰值在10秒内
(1)配合甲方部署网页防篡改
(2)协助调试应用安全防护
(3)配合甲方对网站进行安全加固及安全等保工作。
(1)协助甲方部署申请、创建设公众号;
(2)协助甲方进行相关域名备案;
系统备份要求:
供应商应根据采购方要求,结合用户单位提出的要求,对应用系统进行定期备份,确保备份到达项目管理要求。
(1)供应商根据服务应用系统和数据安全管理,按照相关安全管理规范,在应用系统上线运行前开展代码检测,结合系统定级要求,配合安全实施单位作好应用系统安全加固和防护。
(2)若发生安全事件,应做及时作好安全排查和处理。
本次网站建设遵循“实用性、功能性、统一管理,统一架构,分级管理”的建设要求,选用先进的技术构架,成熟的优质产品和科学的运维模式,对贵州财经职业学院门户网站进行建设,整合信息资源;具体来说要突出体现以下特征:
(1)安全性:系统建设要符合用户对信息安全管理的要求,建立完善可靠的安全保障体系,对非法入侵、非法攻击和网络计算机病毒应具有很强的防范能力,确保系统具有严格的身份认证功能,并有相应的技术手段对数据安全和操作安全加以保护,从应用技术和系统管理上确保网络信息的高度安全;
(2)规范性:构建一个统一的、共享的、实用的、规范的网站;
(3)易使用性:主要体现在两个方面:一是应用界面简捷、直观,尽量减少菜单的层次和不必要的点击过程,使用户在使用时一目了然,便于快速掌握系统操作方法,特别是要符合工作人员的思维方式和工作习惯,方便非计算机专业人员的使用;二是应提供联机的或脱机的帮助手段;
(4)开放性:为了使系统具有较强的生命力和开放性,应遵循已有的国际标准和国内标准,以利于采用多种先进技术和产品;
(5)有限开源性:随着业务逻辑的改变,需要对系统进行维护、微调或二次开发。对该系统的非核心代码,应该开源,并提供规范的数据库设计,接口规范;
(6)可扩展性:该系统是一个不断发展中的应用系统,在系统设计时要考虑到新技术、新产品出现时对本系统的兼容性;当业务需求、外部环境发生变化时,可以扩展系统的功能和性能。软件设计要简明,各功能模块间的耦合度小,以适应业务发展需要,便于系统的继承和扩展;
(7)可维护性:系统应具有良好的结构,各个部分应有明确和完整的定义,使得局部的修改不影响全局和其他部分的结构和运行;
(8)可靠性:系统设计应采用成熟、稳定、可靠的软件技术,保证系统在大数据量、高并发的情况下长时间不间断地安全运行,提供7*24小时不间断服务。
2.技术解决方案在整个项目的规划和实施中要遵循以下原则,保证整个项目建设符合预期目标。
建立安全可靠、性能稳定、功能完善、能满足未来若干年要求的学校网站平台基本框架,对网站内容发布管理、加强整合与协同,避免重复建设。
学校网站建设以社会公众的需求为导向,以服务满意为宗旨,提供更全面、便捷的网上信息服务功能。
在门户网站建设理念、整体规划设计上具备前瞻性,门户网站平台架构要能满足今后若干年发展的要求。满足公众需求来拓展门户网站功能,充分汲取原网站的优秀栏目、特色内容,确定保留的栏目、整合的栏目、新增的栏目。
做到设计简洁明快,层级清晰合理,用户能方便快捷的访问自己关注的内容,获取网站提供的服务。
系统采用多层浏览器/服务器体系结构,能满足新增的需求,而系统的体系结构不需作较大的改变,整体规划及框架设计具可扩充性,平台具备在服务器资源足够情况下的灵活扩展能力,能保证系统今后的平滑升级。
平台系统功能前后台均支持所有目前流行的浏览器(IE、FireFox、Chrome等),在设计过程中考虑到在不同的分辨率下都能达到最佳浏览效果。
按照信息安全等级保护三级要求建设,为最大限度的保障网站网络与信息资源的安全,保障系统的稳定运行,我们从系统自身安全功能设计到系统运行硬件安全防护的部署,能够识别和阻断跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie 注入等)、敏感信息泄露、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、应用层拒绝服务、弱口令其他各类变形的应用攻击,从系统环境防护到人工组织预防等多层次地加强网站平台的安全性。确保通过二级等保评测。
基于J2EE和插件技术,平台默认集成大量组件及选件并可扩展集成其它功能选件;支持 HMTL5、web3.0。
三层结构是将应用功能分成表示层、业务逻辑层和数据层三部分。其解决方案是对这三层进行明确分割,并在逻辑上使其独立;采用先进的spring mvc 框架,功能更强大,系统更加安全、易扩展。
系统采用B/S架构。
充分考虑系统的安全性,能确保集成后各系统用户的安全性。
技术上具有延续性,在具体的技术方面,充分考虑技术的先进性与已有系统的技术现状,在采用先进技术的同时,又能能整合利用现有的技术体系。
整个系统界面友好、维护操作简便。
系统具有7*24小时连续工作的能力,平均年故障时间:<1天,平均故障修复时间:<30分钟。
系统后台支持10000用户并发性能指标。
系统前台支持用户百万级以上。
复杂事务查询的平均响应时间<=10秒
简单事务查询的平均响应时间<=5秒
应用界面平均响应时间<=5秒,峰值在10秒内
系统应用平台能实现与各种异构系统的互联,能支持各种业界标准和协议。
在网络稳定(带宽128K)的环境下操作性界面单一操作的系统响应时间小于3秒。
现阶段,软件的多层架构成为主流设计思路,由于采用面向对象的技术、组件开发技术以及平台开发技术,使多层架构设计成为可能,因此本架构方案的目的,就是展现多层架构设计的完整思路,以及其相关的设计原理、内部组织、以及相互的关系。
网站群内容管理系统是构建整个网站系统信息管理的基础平台,通过对大容量、广泛信息源的采集、编辑、制作和发布,支持对历史信息的调入、调出,提供对信息的全流程跟踪管理,帮助用户对网站进行整体策划、模板设计、功能模块的调试安装,为门户网站从构建、设计、编辑、审核、生成、维护、管理全过程提供技术支撑,且构建一个具有良好集成性能和扩展性能的基础性平台。
?一切以用户管理资源为设计出发点;
?面向大数据,支持云环境(阿里云、华为云、浪潮云、曙光云等)、集群、虚拟化等多种环境部署,支持分布式部署;
?基于J2EE和插件技术,集成智能表单、多维、工作流等系统组件。;
?支持 HMTL5、WEB3.0;
?支持敏感词检测;
?支持自动备份;
?支持HMTL5;
?支持可扩展的权限体系,包括数据权限、功能权限等,适应不同的角色和管理;
?支持类word的信息编辑,保留修改痕迹,直接在平台进行采集、加工、生产和传播;
?支持审核流程自定义,平台可根据用户需求自定义设定审核流程;
?支持审核节点手机短信自动提醒;
?支持专业分类,各单位在报送稿件时分类报送;
?支持采编信息的分类标签管理;
?支持标记功能,对信息使用情况或状态进行标记;
?支持流程化的信息审核;
?支持对微信,微博,APP(支持数据的同步发布)。
?支持对用户操作进行记录且操作记录不可清除;
?支持平台根据稿件报送选用等情况自动计分,实时显示评分及排名情况。
?双模板引擎,静态模板引擎实现页面的静态化、动态模板引擎实现业务逻辑和界面展示完全分离。
?采用先进的Spring MVC 框架,功能更强大,系统更加安全、易扩展;
?支持集约化网站群、内外网一体化站群、垂直门户网站群等多种解决方案。
?高度集成的“我的工作台”
平台提供了高度集成的“我的工作台”界面,界面中有个人中心(我的桌面、我的待办、草稿箱、我的收藏)、网站管理、切换网站功能。
?人性化的用户体验设计
功能归栏目、个人中心、右键功能、界面扁平化等人性化的设计,使维护更加便捷。
?插件化设计、可集成或拓展大量组件及选件
基于J2EE和插件技术,集成智能表单、多维、工作流、可视化模板、双模板引擎、索引库、检索引擎、文件管理中心等组件及多维分类、一键多平台发布、在线调查、在线访谈、评论、意见征集、RSS、工作统计、访问统计、简繁转换、智能检索等选件功能。
?双模板引擎
静态模板引擎:提供丰富的数据和完善的模板语法、性能强大、生成速度快,实现了页面的静态化;
动态模板引擎:服务器只需提供数据接口,模板解析和内容展现由客户端完成,服务器压力小、控制权限容易、动态性能强大,实现了业务逻辑和界面展示完全分离。
非常灵活的细粒度的、可扩展的权限控制体系,支持机构、角色、用户三级授权,支持按机构分级授权,支持用户二次开发扩展权限体系。
?可视化模板支持
可视化的模板设计,使网站、专题建设更加简单。
?集成大量资源库
模板库、表单库、样式库、词汇库应有尽有,大大提高了工作效率。
?用户可自行定制统计分析
用户可根据需求自行定义工作量统计功能,为运维考核提供数据参考。
?站群内容超级共享
提供手动或自动的信息推送与采集功能,实现真正意义上的“网站群”数据共享、减少数据的冗余量。
?针对性的搜索引擎优化
支持对搜索引擎的 SEO 优化,提高搜索引擎对网站的收录率。
?平台简单易用
类 office 的信息编辑操作,让信息维护更简单易用。
?智能表单
支持多种控件类型、校验规则等功能,用户可根据需求定制各种类型的数据表单字段及格式。
?工作流
可视化的工作流引擎设计,用户采用拖拽的方式即可定义各种类型的审核流程。
?文件管理中心
附件、图片、音视频等文件采用文件管理中心设计,支持分布式部署,可大大提供访问速度。
?多维分类
系统支持多维及tags分类功能,满足各种分类的扩展要求,如信息公开、商城分类等。
?内容多平台发布
可在包括PC端、移动客户端(兼容IOS和Android版本)、WAP、html5、RSS以及电视、微博、微信、微网站等多平台发布内容。
?良好的可扩展性
除默认集成的选件功能外,可扩展信息公开、咨询投诉、在线访谈及第三方定制开发功能选件。
?支持二次开发
平台构建了一套插件体系,并为此体系提供了开发方法,使得客户的个性化需求通过可插拔的插件来实现。
?安全高效的接口标准支持
提供性能强劲、结构简单、扩展性极强、方便接入的 REST 风格的 HTTP 接口和 WEBSERVICE 接口,满足不同用户的接入需求。
?全面的安全机制
提供多重且完善的安全防护机制,解决六大方面安全问题(页面显示、伪装、注入、文件操作、访问控制、session管理),同时后台提供详细的错误处理和日志记录。
网站群内容管理系统系统提供了非常灵活的细粒度的、可扩展的权限控制体系,支持机构、角色、用户三级授权,支持按机构分级授权,支持用户二次开发扩展权限体系。
通过系统设置中的机构管理,可根据实际情况设置机构层级系统维护体系。系统可支持多层级目录树式机构创建,基本满足不同性质用户机构创建需求。
通过角色管理,实现对用户使用功能菜单的权限进行界定,一个用户或者机构可以拥有多个角色,同样同一个角色也可以赋予多用户或者多机构使用,方便用户对系统实行多用户协同管理。
网站群内容管理系统系统提供有系统管理员角色、网站管理员角色、信息员角色几种类型,并针对各角色管理员可自行分配其具体维护权限(如:信息管理权限、信息类型栏目权限、选件栏目权限、模板管理权限等)。
通过用户管理,设置系统的用户管理体系,并通过非常灵活的细粒度的、可扩展的权限控制体系实现对用户权限的自由分配。
通过设置用户权限自定义分配,可实现用户对网站维护范围的界定。
在网站群内容管理系统系统中,类似于office 的信息编辑操作,让信息维护更简单易用。内容的创建不限于文字,其中图片、附件、FLASH、视频、音频等将可按照用户需求角度进行组织与创建,内容管理云平台提供从信息采集、新增、管理、传递、发布、交流等信息全生命周期过程中所需各项功能;内容的采集不再是单一来源的人工输入,通过与信息抓取系统的无缝对接,可以完成不同种类的信息数据及内容提取,并完成对信息智能采集、自动推送、定时发布的信息闭环流程。
信息的新增通过用户手工输入方式、word导入或者采集等方式。信息编辑时除了可以对信息正常编辑之外还可以插入图片、附件、视频等内容,也可以设置文章评论、意见征集功能,还可以替换热链、敏感词以及检查易错词。
通过对信息编辑管理操作,可以将信息加载到信息库中,并且可以对已经加载到信息库中的信息做修改、删除、审核、发布等工作。同时系统支持对信息转移、推送、采集、排序、批量修改、回收站、撤稿、恢复撤稿、相关信息设定、置顶、预览等操作。
平台内提供信息审核流程化管理功能,信息审核通过栏目与工作流结合设置,信息的审核过程支持多步骤,多人员的复杂审核,同时便于各网站各栏目自定义不同的审核流程,支持审核节点手机短信自动提醒。
流程类别支持多流程的并存创建与检索,并可通过流程类别与站点、栏目的绑定方式,实现该对站点及栏目的流程化审核管理。
网站群内容管理系统系统提供手动或自动的信息推送与采集功能以及跨平台的数据交换共享,实现真正意义上的“网站群”数据共享、降低数据的冗余量。
手动共享
手动共享主要包括推送与采集双向共享操作机制,其针对信息管理中各栏目下的单条信息或多条信息有选择性的一次性手工同步实现方式。
自动共享
自动共享可通过采集及推送方式实现,其主要应用于站群间栏目的相互双向同步模式。方便实现子站向主站的同步报送和主站信息资源的共享。实现真正意义上的“网站群”数据共享、降低数据的冗余量。
采集:是对其他栏目的信息向当前指定栏目的信息自动采集的过程。其可支持对信息的链接采集、镜像采集和副本采集。
推送:是对当前指定栏目的信息向其他栏目自动推送的过程。其可支持对信息的链接推送、镜像推送和副本推送。
数据交换
对于不同厂商所提供的异构系统间数据共享模式,网站群内容管理系统系统将提供有对外的预设标准接口。通过预留标准接口方式实现网站群内容管理系统与其他系统的对接。从而建立起有效的数据共享方式。达到对资源充分利用的效果。
网站群内容管理系统系统提供丰富的数据和完善的模板语法、性能强大、生成速度快,实现了页面的静态化。
模板即网站页面的框架结构,一般是通过Photoshop,Deamweaver等编辑软件实现对页面设计效果图的切割,并搭建起页面的框架机构和实现html页面与附件包(包含图片、css样式表、js脚本文件、flash、视频、音频等文件)的页面模板组成。
制作好的模板可以通过内容管理云平台自带的模板管理功能实现对模板的新增(模板类别:首页、栏目页、文章页、公共单元、咨询投诉、通用选件、依申请公开、在线调查、我要纠错等)、修改更新以及更新上传附件,复制粘贴(可以跨站点操作)、还原(模板修改备份还原)等操作管理。
上传好的模板需要绑定到对应的栏目进行展现,这就需要绑定好对应的站点栏目,模板绑定可以同过三种方式进行。
第一种是在站点管理中选择首页、栏目页、文章页模板,设置站点默认的首页、栏目页、文章页模板。
第二种是在栏目管理中通过右键操作对栏目选择模板。
第三种是在模板管理处对已新增好的模板进行绑定。
系统采用可视化的模板编辑技术,提供所见即所得的模式,在设置过程中,用户只需选择单元表现样式、相关的显示效果便可快速地在可视化页面中预览,系统的简易化管理极大地方便了普通维护人员对页面编辑和维护。同时系统也支持拥有一定网页代码基础的用户对模板源代码进行快速编辑操作。
模板库是网站群内容管理系统系统为用户提供的一个模板资源库,里面会不断的集成一些通用模板,用户可以直接可以在模板管理中选择使用模板库中的模板,从而大大的提高了工作效率,使网站、专题建设更加简单。
为方便对网站内容信息的有效管理,网站群内容管理系统系统对栏目的管理以树形目录的展现方式,层次清晰,易于扩充和删减。其中栏目结构管理可以分为信息栏目管理和选件栏目管理(功能归栏目)。而信息栏目管理和选件栏目管理都和智能表单有着非常密切的关系。
网站群内容管理系统系统为用户提供了智能表单的功能,可以为用户自定义各种信息表单以及选件表单,并支持多种控件类型、校验规则等功能,可根据需求定制各种类型的数据表单字段及格式。
信息栏目管理主要是对普通信息和自定义信息的栏目进行管理,系统除提供有新建、删除等常规功能外,还增设有转移、排序、收藏、预览、采集、推送以及栏目和信息的授权访问等功能。
选件栏目中为提供了一些网站中常用到的选件,例如:咨询投诉、依申请公开、在线调查、我要纠错、通用选件、访谈直播等内容,并且可以根据站点需要进行设置,所有选件的表单都是通过智能表单进行维护。
网站群内容管理系统系统可以选择扩展组件对门户功能进行扩展,通过扩展组件的灵活配置,使得平台应用更加的专业化、个性化。
平台扩展组件包括:我要纠错、文件中心、文章评论、RSS订阅、在线调查、意见征集、文章页上下篇、访问量排行、热点信息排行、最新信息选件、多维分类、微信管理、监测预警管理、水印管理。
平台提供有我要纠错组件,该组件可以将如果在浏览网页过程中,发现有任何页面、文字或链接方面的错误,可以通过该组件将问题提交,以便网站管理人员可以进行改进。
平台集成有文件中心组件,该选件可以对图片、附件和音视频进行上传以及分类管理,便于用户管理,并支持分布式部署,可大大提高访问速度。
平台集成有文章评论组件,该选件可以让网友对信息进行评论,以便获取信息评论,并可以对评论进行管理。
平台提供RSS订阅功能,使用RSS订阅能更快地获取信息,网站提供RSS输出,有利于让用户获取网站内容的最新更新。网络用户可以在客户端借助于支持RSS的聚合工具软件,在不打开网站内容页面的情况下阅读支持RSS输出的网站内容。
平台提供有意见征集组件,该选件用于网站上的议题进行留言和管理。
平台集成有文章上下篇功能,可以在网站文章页面中展现上下篇便于浏览网站信息。
平台提供有访问量排行功能,可以获取站群中网站访问排行情况,也可以随时编辑展示模板。
平台提供有热点信息排行功能,可以获取站群中热点信息排行情况,也可以随时编辑展示模板。
平台提供有最新信息选件,可以获取站群中最新的信息,也可以随时编辑展示模板。
平台提供有多维分类功能,支持自由新建信息分类(可以多维度的对信息进行描述),分类信息在前台得以调取和展现。
平台无缝对接微信公众平台,站点信息发布到公众号无需重复录入,操作简单;支持多服务号和公众号的素材管理和消息群发,支持自定义菜单和分组等微信常用功能。
平台提供敏感词和易错词监测功能,可以对网站日常运维的信息内容进行检测服务。
平台提供有水印管理功能,支持分站点的水印管理功能,自由新建文字水印和图片水印,在信息编辑插入图片时可以对图片进行水印设置。
网站群内容管理系统系统在内容发布机制上主要提供有:整站发布、栏目页发布、内容页发布、增量发布、实时和定时发布等机制,并对发布数据提供进程列表生成和显示,以便查看信息发布的进度和随时调整需要即时发布的信息。
整站发布:对站点内所有信息包括页面等进行发布。
栏目页发布:对选取栏目的页面模板进行发布。
内容页发布:对选中的网站栏目下的信息数据及该信息所附属的页面模板一同进行对外发布。
当网站中数据量过大时,若单纯的通过手工一个一个地勾选方式去实现待发布信息的发布,则效率非常低,因此平台提供有信息的指定发布、增量发布、整站发布功能,同时还提供了信息立即发布、定时发布、跨服务器发布、跨区域远程发布以及对多语种的发布等机制。将大幅地提升对信息发布的灵活性和机动性,并能够满足多种用户的需求。
指定发布:指定所需要发布的信息进行发布。
增量发布:对最近做过更新的信息或页面进行发布,其他数据信息不动。
整站发布:对站点内所有信息包括页面等进行发布。
立即发布:对手工录入、导入以及通过其他途径获取的信息在不需要经过审核的境况下,平台可提供加载后的即时发布机制(平台默认为立即发布状态)。
定时发布:实现对部分信息的时间点控制性发布方式(一般用于对大数据量信息的夜间发布或通知公告信息的挂点发布)。
跨服务器发布:平台出于网站运行的安全及网站运行的效率角度考虑,提供了跨服务器发布方式,实现将平台与外网服务器访问分开的部署机制。减轻了由单台服务器承担过多的运行资源而导致的外网用户访问效率低的问题,同时当前台服务器因某种原因而导致数据丢失时,可通过平台的发布方式实现数据的还原。
跨区域远程发布:针对云平台所部署的服务器与外网用户访问的服务器不在同一区域内,此时可通过跨区域远程发布方式实现网站的维护和页面发布。
多语种发布:平台采用的是Unicode编码,可以支持对多国家语言的发布。
网站群内容管理系统系统提供有网站集群管理功能,对门户主站及各级部门、下属机构子站的同一平台建设和集中维护管理工作。
集中部署:只需部署一套网站群内容管理系统系统,即可集中创建多个子站。
分级管理:各站点可以通过网站群内容管理系统系统单独管理自己的站点内容,系统管理员可以控制主站和子站权限和功能设定,各站点可实现独立管理和对本站点内的权限。
内容共享:可通过平台进行各站点间的内容数据共享,实现对资源的充分利用。
快速实施:通过灵活的模板套用的方式,快速创建复杂的子站点。
灵活管理:子网站即可以在主站服务器上运行,也可以在独立的服务器上运行,主站和子站之间通过多方式实现数据同步,增量更新。
平台提供了站点层级管理功能,在此基础上主站点可以推送栏目及信息到子站点,也可以汇总子站点的数据信息,通过统一的管理,能够将整个平台中的数据资源进行有效的数据共享及整合,这样也能大大的节省资源。
平台支持对站点的创建,并提供站点名称、域名、LOGO、语言版本、生成目录、以及SEO设置、栏目页信息条数、分页数等设置。同时为方便对子站的管理,可实现对站点的调整排序功能,方便平台维护人员的切换。
平台提供对整个网站群的集中管理,包括门户网站主网站、各子网站的建设管理,站点数量可根据授权自行定义,多个站点统一在一个界面上进行管理,配置各站点信息,包括网站的新增、删除、编辑、域名、创建时间、模板、流程等。
平台在提供对大型门户网站群建设的同时,为不影响用户对网站页面的访问效率,平台还支持分布式部署,即通过平台所创建的网站群各子站点可通过自定义分组方式发布到指定目标的服务器上,解决某单台服务器因大并发访问量而导致的访问效率低的问题。分布式部署机制同时也对外网网站群做负载均衡部署提供了很好的技术支撑。
网站群内容管理系统系统提供有全文检索功能,其特点就是"专、精、深",且支持对互动类栏目的检索,相比较其它搜索引擎的海量信息无序化、稳定性差,则显得更加专注、具体和深入。
支持对非结构化数据及结构化数据的文件索引;
支持多种切词访问,极大地提高了搜索的准确性和查全率;
标签式网页,方便编辑;
强大的查询语法,支持组合检索;
多语系支持,以Unicode为基础的设计,支持中、日、韩、英等国际语言网站的检索;
支持分类检索,全方位剖析站群信息供分类检索,如政策类、公告类、办事指南类等;
支持关键字分类搜索;
支持关键字模糊匹配功能;
提供完善的智能搜索功能;
支持热词联想检索;
提供热词、分类搜索及搜索结果分类展示功能;
可按时间(天、周、月)搜索、按结果搜索(按时间、相关排序);
支持对检索结果信息中的关键字的标红显示;
支持对网站群多索引库的创建与信息检索功能;
提供规范、开放的应用编程开发接口,满足不同应用开发的需要;
支持网站群分站点检索模板的设置,支持子站检索独立风格检索页面。
首先设置扩展中心的智能搜索管理参数配置,再在索引库管理中新增索引库并且绑定好站点以及设置好管理字段,之后通过数据调用中的全文检索调用使用。
分类检索、关键字模糊匹配、热词联想、热词、分类搜索、搜索结果分类展示、按时间(天、周、月)搜索、按结果搜索(按时间、相关排序)
考虑到方便用户建立门户信息保障制度,平台提供了网站信息及办件统计功能以及访问统计功能。用户可根据需求自行定义工作量统计功能,为运维考核提供数据参考
提供按网站、栏目、机构、用户进行数据的统计,并支持详细的报表下载,便于对网站信息发布人员进行考核。
提供按站点、栏目、信息进行数据访问的统计,并支持详细的报表下载。
网站的互动需求越来越多,已成为网站对外服务的一个重要指标,随着用户需求的变化,互动要求已经从单一的留言、评论变成现在的咨询、招聘管理等,这就要求提供一个功能强大、易扩展的平台作支撑,不但具有简单易用的前台表单自定义功能,还需提供后台工作流管理审批流程。
前台表单自定义:用户可以根据业务需求,设计表单样式、内容及校验规则。轻松实现对每个文档、文档中每个内容、每个区域都可根据某个使用角色的级别不同,设定不同的访问操作权限。
灵活高效的流程控制:平台提供多样化的可定制的办理流程,用户可根据其机构的办件办理流程特点制定出符合自身的交互办理流程,系统提供的办理流程类别包括:受理、直接办理、交办、协办、督办等,完成办件办理的复杂流程,实现单一办件的多部门流转。
灵活定制的互动业务:系统支持组合配置多种互动服务功能,如:领导信箱、举报投诉、意见箱、效能评议。
高效的工作数据统计:对平台内模块、机构、用户情况进行统计分析,为考核工作提供参考数据。
安全控制体系:采用敏感词识别与提示技术,增强内容安全性的同时,减少内容的管理工作。完善的管理与操作日志便于用户审计。分级的权限管理策略有助于在不降低安全性的同时减少日常管理。
人性化设计:平台支持在线即时通信技术,针对“办件”的办理状态和结果可以通过手机短信或电子邮箱方式告知用户,便于用户能够及时准确地了解其递交的办件办理进程,并对其结果及时查看。使用更加人性化。
可扩展的应用体系: 组件模式的互动交流系统为独立部署、功能扩充、系统接入等提供技术前提。
组件化整合式平台:采用组件化设计,是一个开放式、具弹性的平台,各组件可随插即用,使平台更易用、更具扩展性。
平台提供有在线调查组件,该组件可以为网站提供问卷调查及相关管理,以便于网民参与到网站的调查当中,更便于网站管理人员对调查结果的管理。
功能特点:
? 支持灵活开设各种形式的征集,问卷、调查等互动活动;
? 支持多项权限(时间段、IP和用户)控制;
? 支持前台展示可视化模板编辑;
? 支持安全有效性过滤控制(敏感词、后台审核);
? 支持图表式调查结果统计分析。
网站群内容管理系统系统提供数据报送功能,用户可以通过网站前台按照后台网站的栏目进行报送信息。
功能特点:
? 支持前台按照栏目或分类进行新闻信息报送;
? 支持报送信息自动进入网站群内容管理系统;
? 支持类word的信息编辑;
? 支持用户登录管理。
(1)页面风格
网站页面设计应庄重、大方、简洁,体现学校网站的严肃性、客观性、公正性,既要保持统一风格,又要突出区域特色,还需符合万维网联盟(W3C代码标准规范)的相关标准规范要求。
(2)色调
网站在设计过程中应确定一种主色调,合理搭配辅色调,总色调不宜超过三种。且色调选用须符合贵阳特定的历史、人文和地域特色。学校网站的色调整体不宜超过3种,便于保持网站的整体感。
(3)字体
学校网站的字体须选用符合用户习惯的标准字体和字号,同一类别的栏目和信息使用同一模板,统一字体、字号、行间距和布局等。
正文中文字体为宋体、微软雅黑,英文字体为Arial。兼容多种系统和浏览器。网页中正文字号为12px或14px,英文可以偏小一些10px-12px,标题文字字号通常为:16px /18px/20px/24px,尽可能使用双数。
正文行间距通常为24px-28px。
正文字体颜色通用RGB:515151、RGB:686868等纯深灰色。辅助字体,例如时间显示字体用色,建议为RGB:********2等类似的中等深度的灰色。所用页面字体显示清爽,相比纯黑色(RGB:000)字体视觉显示较为柔和,长时间浏览,视觉劳累程度较低。
(5)页面尺寸
学校网站须适配主流分辨率的规格设计页面,现阶段网页设计遵循的主流分辨率为1920px*1080px,页面内容展示宽度为1200px。主要页面高度不宜过长,建议长度为标准分辨率高度的三倍左右。
网站首页面网页在主流计算机配置和当地平均网速条件下,页面加载时长不宜超过3秒。
(6)页面间距
学校网站页面中栏目之间的间距,建议放置为10-15px。栏目间距直接影响到页面的可浏览性程度,在设置时需要慎重。由于现阶段主流电脑显示器分辨率的不断提升,网站页面设计所考虑的页面宽度也有所提升,在网站设计中,建议采用15px的栏目间距。
(7)图标
学校网站页面中使用的图标需统一,主要体现尺寸、风格等。风格上,可以选择填充或者选择线性。比较流行的是线性图标,一般采用3px的粗细。大小常用的有12x12px、24x24px、48x48px、64x64px、96x96px(或者100x100px)。
(8)按钮
学校网站页面中使用的图标等元素,要有相应的响应状态区分和使用反馈,便于用户浏览和操作感知,提升网站的用户体验。
按钮放置的区域和展现形式要综合考虑实际页面环境,做到展示清晰,意思表达明确。特别是和文字图片混排时,注意版式整洁。
(9)浏览器兼容性
学校网站页面对主流类别及常用版本浏览器须具有较好的兼容性,页面保持整齐不变形,不出现文字错行、表格错位、功能和控件不可用等情况。
学校网站需兼容的浏览器主要为:Chrome、IE、 360浏览器、Firefox、Safari。
(10)时间显示
学校网站内容要清晰显示发布时间,时间格式为yyyy-MM-dd HH:mm。文章页需标明信息来源,并需具备转载分享功能,便于政务信息快速传播。
(11)网页排版
网页中运用的三种对齐方式:齐行,居左,居中。通常情况下网页设计中需注意对齐方式的地方有:元素的对齐、文字的对齐、图片的对齐、区块布局的对齐。
a.元素对齐
元素的对齐指的是网页中的一些按钮、图标、搜索框等网页中的元素统一采用一种对齐方式对齐。元素上的对齐分布让整个界面看起来整齐简洁,内容划分也变得比较明确,可读性强,方便浏览者浏览。
一个网页当中,会有很多元素,而元素的对齐可以让整个界面变得井然有序。元素过于随意摆放没有规律,会让界面杂乱无章。
b.文字的对齐
左对齐是文字对齐中最常见的一种对齐方式,居中对齐常出现在文章详情的标题部分,右对齐文字出现的频率较小,不会以大篇幅出现。
左对齐的方式适合人们的阅读习惯,在学校网页设计中也比较常见,采用的频率较高。
居中对齐是近几年随着html5流行起来,越来越多设计用居中对齐作为一些区块内容展示的方式。居中对齐可以让浏览者的视线集中在该区块内容上,其次从样式上的不对称感可以增加界面的层次感和设计感。但是文字居中对齐不适用于文字内容太多的区块。
右对齐常见到的是在一些小的细节中,如登录注册界面、底部导航区块等。
图片对齐比较好处理,需根据网页想表达的内容去做对齐,以达到好的视觉展示效果。所以在不同的情况下,可以采用不同的对齐方式。
同一个网站也不只限于使用一种对齐方式,对齐比较灵活,就算是同个页面,也可以为了视觉效果而采用两种或三种对齐方式,可根据整个界面的效果制定更适合的方法。
区块布局的对齐
页面中小元素的对齐重要,大的区块对齐也很重要。视觉上的对齐,可以让浏览者快速的浏览到相应的内容。小元素不对齐会显得乱,大区块不对齐会让整个界面没有秩序感,也会对网页浏览者造成视觉上的混乱。
(12)信息标注
页面中的图片和视频应匹配信息内容,确保加载速度,避免出现图片不显示、视频无法播放等情况。
(13)版权问题
避免使用可能存在潜在版权纠纷或争议的图片和视频。如引用第三方信息平台的信息,首先确认是否可以引用,其次注意其提出的额外信息标注等条件,确认无误后方可使用。
学校网站页面布局要科学合理、层次分明、重点突出,一般分为头部标识区、中部内容区和底部功能区。
头部标识区要醒目展示网站名称,可根据实际情况展示中英文域名、徽标(Logo)以及多语言版、搜索等入口,有多个域名的显示主域名。
学校门户网站群要悬挂统一的集成化站群标志,由学校部门在其网站头部相同位置统一放置,增强集约化网站群整体概念。
中部内容区要遵循“从左到右、从上到下”的阅读习惯,科学合理设置布局架构。页面内容部分布局整体规整,内容区域划分合理,给用户感觉内容展现清晰、合理。页面布局规划中,要注重页面的“通气”,避免由于内容板块布局不合理,造成页面的视觉拥挤堵塞。
底部功能区要列明网站主办单位及联系方式、ICP备案编号和站点地图等内容。
学校网站各页面的头部标识区和底部功能区要与首页保持一致,以此保持网站的统一感。特定专题页面可除外。
网站布局要注意图文区域搭配的合理性,不要出现大面积文字展示区域,以提升网站的视觉阅览舒适性。
版面设计注重空白的突出作用。拥挤的版面掩盖了重要信息使用户难以发现自己所要的信息,加大了用户的访问量,让用户心理产生拥堵、厌烦的感觉,影响了用户对网站的满意度,版面要留出适当的空白,以20%~50%为宜,能起到强调及引起注意的作用,既能突出视觉效果,还会产生一种格调高雅的意境,会使版面清爽醒目、条理清晰。
栏目是相对独立的内容单元,通常为一组信息或功能的组合,按照信息类别、特定主题等维度进行编排并集中展现。
栏目设置要科学合理,充分体现学校工作职能,避免开设与履职行为、公众需求相关度不高的栏目。
栏目名称应准确直观、不宜过长,能够清晰体现栏目内容或功能。
栏目内容较多时,可设置子栏目。栏目页要优先展现最新更新的信息内容。
做好各栏目的内容更新、访问统计和日常核查,对无法保障、访问量低的栏目进行优化调整或关停并转。杜绝出现空白栏目,暂不能正常保障的栏目不得在页面显示,不得以“正在建设中”、“正在改版中”、“正在升级中”等理由保留空白栏目。
栏目的内容更新应指定专人进行,确保信息更新有保障。
频道是围绕特定主题的重要栏目或内容的组合,一般设置在中部内容区顶部,在各页面统一展示,为公众便捷使用提供导航。重要的单个栏目也可以作为频道。频道设置要清晰合理,突出重点。频道不宜开设过多,以5—8个为宜。
专题需围绕专项工作开设,集中展现有关工作内容。具有主题性、阶段性和时效性等特点。
专题以图片标题等形式在首页显著位置设置链接入口。专题较多时,需设置专门的专题区。
专项工作结束时,相关专题要从首页显著位置撤下并标注归档标识,集中保留至专题区,便于公众查看使用。
专题的页面风格原则上应与网站整体风格一致,具体页面展现可根据需要灵活设计。
随着国内电子商务网站快速发展,特别是其发展带来的网站用户体验的提升,获得了广大网民的一致认可,也提升了网民对学校网站的用户体验期待,所以在学校网站的规划建设中,要充分考虑浏览者的切身体验,致力于营造舒适、高雅的使用氛围,给用户以美的享受和使用的快感。
学校网站要建立统一资源定位符(URL)设定规则,为本网站的页面、图片、附件等生成唯一的内部地址。内部地址应清晰有效,体现内容分类和访问路径的逻辑性,便于用户识别。除网站迁移外,网站各类资源的URL原则上要保持不变,避免信息内容不可用。
学校网站所使用的其他网站域名或资源地址,称为该网站的外部链接。使用外部链接应经本网站主办单位或承办单位负责人审核。不得链接商业网站和非法网站。
学校网站应建立链接地址的监测巡检机制,确保所有链接有效可用,及时清除不可访问的链接地址,避免产生“错链”、“断链”。对于外部链接要严格审查发布流程,不得引用与所在页面主题无关的内容。严格对非学校网站链接的管理,确需引用非学校网站资源链接的,要加强对相关页面内容的实时监测和管理,杜绝因其内容不合法、不权威、不真实客观、不准确实用等造成不良影响。打开非学校网站链接时,应有提示信息。网站所有的外部链接需在页面上显示,避免出现“暗链”,造成安全隐患。
? 所有页面采用扁平化的国际主流设计风格,页面整体风格清爽、简洁。
? 页面主色调采用蓝色系,辅助色采用绿色、蓝绿色,体现大数据的行业特色,以及持续、生态的发展理念,同时也突出了贵州的地域特色;
? 页面版面采用色块进行区域划分,页面板块划分合理,栏目显示清晰,整体页面视觉上生动不单调。
? 页面首页banner采用轮播的形式展现,节约页面空间资源,控制页面长度,同时也利用在有限的黄金广告位置,宣传更多的内容。
? 页面设计中重视页面与用户的交互效果,在设计过程中对页面规划了多样的触发互动效果,提升用户体验;
? 页面设计中重视图标、色块、字体尺寸等辅助设计元素的视觉功效,在整体页面风格确定的基础上,增加页面的视觉活跃度,和页面展示层次。
? 页面设计符合H5规范,便于后期页面在移动端进行展示。
? 提供门户网站建设咨询与规划服务,包括资源规划、功能规划、栏目规划、页面规划、软硬件及安全规划;
? 构思整体网站的风格及色彩运用。
? 首页形象区Banner创意设计图6张(根据时政热点、校园热点动态更新)
? 界面统一视觉标准元素
? 提供内页Banner设计图3张
? 根据首页风格设计内页风格,设计通用栏目页、文章页、频道页、特殊页面(计算器)等;
? 学院官网微信页面适配。
? 网站的构建、栏目设置、样式设置、网站设置、权限设置和页面实施;
? 网站上线前的栏目内容调研;
? 原网站数据迁移;
? 网站上线时内容发布(内容由调研结果组成);
? 微信公众号申请和认证。
?协助部署网页防篡改;
?协助调试应用安全防护;
?对建设网站进行安全加固,去掉冗余功能,屏蔽冗余页面,过滤系统运行环境信息;
?提过网站安全测试的相关测试报告;
?网站建设应满足二级等保相关要求
?提供SEO优化建议;
?动态页面转静态页面HTML页面输出,优化网页打开速度,优化搜索引擎抓取;
?对网站页面进行优化包括但不限于(图片优化,代码优化)
?对网站页面进行标题,关键词,描述等进行优化。
3. 本项目建设的详细实施方案项目实施计划为初步实施计划,某些项目工作模块可同时进行,保障在120个日历日内完成建设。
网站初步实施计划 | ||||
序号 | 阶段 | 需实现效果 | 完成时间(/日历日) | 备注 |
1 | 需求阶段 | 了解、确认网站需求 | 2 | 整理原网站栏目,确认页面设计需求。 |
2 | 栏目确认 | 确认新网站栏目架构 | 2 | 确认网站栏目。 |
3 | 页面设计 | 设计出符合需求及栏目的首页效果图 | 3 | 设计首页 |
4 | 首页效果图确认 | 审核页面效果图 | 2 | 通过审核并签字 |
5 | 设计内页 | 根据确认的首页设计内页 | 5 | 设计内页 |
6 | 确认内页 | 确认内页的设计 | 2 | 确认内页设计,并启动内页开发。 |
7 | 程序开发 | 进行网站开发工作 | 40 | 页面切图、栏目搭建、模板制作、网站开发、数据迁移。。 |
8 | BUG测试及调整 | 网站进行完整性测试 | 3 | 分别对网站功能、数据、页面、栏目进行测试。 |
9 | 数据录入 | 录入空白栏目数据 | 1 | 按照栏目名称分类提供需录入空白栏目的数据3到5条。 |
10 | 网站运行 | 开发完成后进入试运行阶段 | 30 | 进入试运行阶段,并对网站后期效果、功能进行完善。 |
11 | 英文版网站建设 | 开发英文版网站 | 5 | 甲方提供翻译资料 |
12 | 等保测评服务工作 | 按照等保测评2.0标准,开展学院门户网站二级等保测评服务。 | 40 | |
为了有效地保证门户网站建设的质量,整个实施管理工作划分为启动、设计、实施(开发)和运行阶段,每个阶段完成相应的任务,确保信息系统的建设。
首先需要经双方协调,形成《需求调研计划》及《需求调研大纲》,确定准备工作、需求调研的内容、方法方式以及人员和日程安排等内容,经双方同意后按此计划开始调研。调研正式开始前项目开发组应检查所有必要的准备工作已经圆满完成。
项目开发组根据调研中系统实际技术需求,编写并向项目领导小组提交符合CMM LEVEL 3规范要求的《项目需求分析报告》,并由项目组评审,不合格的部分进一步完善调研;评审通过后由双方共同签署评审意见,并正式生效。
需求阶段是整个过程中最重要的阶段,需求分析成果的好坏将直接导致项目的成功与否,因此合作双方在此阶段多投入是值得的。而且一旦评审通过并生效,则需求报告将成为系统的设计、开发、测试、实施试运行和项目验收的基本依据之一,因此原则上用户需求将不再因为其它因素的改变而变更,如需进行此种变更,需经双方项目负责人协商确定。
项目组在《项目需求分析报告》的基础上,对功能和性能要求进一步加以分析和细化并且把门户网站的详细设计文档化,向项目领导小组提交《项目详细设计报告》,并由项目组组织评审并签署评审意见。对其中评审不合格的部分进一步完善和重新策划,评审通过后由双方共同签署评审意见,并正式生效。
首先需要经双方交流协调,形成《项目实施计划》,确定现场实施的准备工作、人员和日程安排、培训计划、阶段目标等内容,经双方负责人签字后生效,按此计划开始现场实施。正式开始现场实施前项目开发组应检查所有必要的准备工作是否已经完成。
现场工作首先要进行软件在服务器端的安装和调试,包括数据库中各类对象的生成,初始化数据,原有系统的重要数据的转换导入,前后台软件的安装,配置参数调整等工作;完成后需向系统维护人员提交《数据库安装目录》,《软件使用手册》等文件。
软件安装完成并确认可在系统正常运行后,开始人员的培训工作;在培训开始之前需要由双方协商形成《培训计划》,明确培训环境、条件及方式,参加人员,课程课时等详细内容,由双方现场实施负责人签字后生效,并分别开始着手准备,在既定时间内完成。
培训完成后由双方共同进行《培训总结》,针对培训效果确定是否达到目标,是否再增加培训课程。
试运行期内用户负责组织针对《项目需求分析报告》所列的系统功能模块进行现场的系统测试,包括新旧两套系统并行工作一段时间进行验证,使每个功能模块都得到基本确认。
在试运行期内系统存在一定的细节性问题是工程项目不可避免的问题,特别是随着用户应用的逐渐深入,此类需求会逐级提出,此类问题不属于系统的致命性错误;因此当试运行期内所发现的真正的“问题和错误”收敛到一定数目以下时,各业务子系统经过一段时间的并行工作新系统已基本可靠,就可以切换到正式运行阶段,开始正式运行。
正式运行后,由用户提出验收要求,双方共同制定《项目验收计划》,组成项目验收小组,共同进行项目验收。此时公司将向用户提交验收的各类文档,包括对系统开发过程进行总结的《项目总结》,《项目技术报告》,最终的完整的《数据库字典》等。
验收工作将由用户组织的专家组对系统进行全面的验收和鉴定,并出具项目验收小组领导签字的《项目验收报告》,并签署验收意见,公司在此过程中将全程参与,在现场进行验收前的维护工作。
公司承诺对系统软件提供服务保证期,在保证期内提供免费的软件升级和维护服务;在保证期外,公司继续为系统的维护提供技术支持,对于软件升级提供优惠服务。
《项目工作日程安排计划》,在实施中的各阶段,对于所发生的需要在现场进行较长时间工作的情况,如果在《需求调研计划》、《项目实施计划》、《培训计划》等工作计划中未包含,则需要在工作开始前双方共同制订好《现场工作日程安排计划》,并严格据此执行,需要双方现场实施负责人签字生效。
《项目工作周报》,在现场实施工作中,为了把阶段性的工作任务具体落实完成,实施中双方互相监督按照原计划开展工作;周五时双方负责人共同对本周计划执行情况进行总结,对原计划填写工作总结,详细描述各项计划的完成情况,未完成的部分应写明未完成原因和责任归属,必要时双方协商一起进行加班处理,力争按时完成;对于不能按时完成的必须调整到下周计划中进行。
《用户项目报告》,对于实施中各阶段较长时间不在用户现场进行的,或项目处于用户试运行、维护期的情况,为了使用户能够及时获知项目的进展情况和公司开发小组的工作情况,公司将在开发阶段每周向用户相关领导提交此报告,维护期内每月至少提交一次。
《阶段评估报告》,实施中当某一阶段性目标实现后,公司将对该阶段双方联合开发组的工作情况进行总结,编写该报告并向工程领导小组提交,及时总结经验教训,为下阶段工作打好基础。
以下是对上面的实施过程中将产生的文件汇总说明:
阶段 | 名称 | 作用 | 评审级别 | 变更控制 |
需求调研 | 《需求调研计划》 《需求调研大纲》 | 确定需求调研的准备工作、内容、方法方式及人员和日程安排 | 双方现场实施负责人 | 双方现场实施负责人 |
《项目需求分析报告》 | 明确用户业务需求 | 双方项目负责人 | 双方项目负责人 | |
项目设计 | 《项目详细设计报告》 | 描述整个系统软件的模块设计,详细设计 | 双方项目负责人 | 双方现场实施负责人 |
现场实施 | 《项目实施计划》 | 项目实施进度,分工,检查点设置,提交成果等计划 | 双方现场实施负责人 | 双方项目负责人 |
项目测试 | 《测试计划》 《测试总结报告》 | 符合ISO9001质量保证体系规定的功能测试、同行间测试文档 | ||
系统培训 | 《培训计划》 《培训总结》 | 明确培训环境条件及方式,参加人员,课程课时等要求 培训记录,培训效果总结,是否达到目标 | 双方现场实施负责人 | 双方现场实施负责人 |
系统安装 | 《数据库安装目录》 《软件使用操作手册》 | 现场安装、调试和提交软件的相关文档 | ||
项目验收 | 《验收计划》 《验收报告》 《项目总结》 | 项目过程总结,技术总结等验收相关文档 | ||
日常工作 | 《项目工作日程安排计划》 | 需在现场进行较长时间的一般工作日程安排 | 双方现场实施负责人 | 双方现场实施负责人 |
《现场工作周报》 | 现场工作周计划 | 双方现场实施负责人 | 双方现场实施负责人 | |
《阶段评估报告》 | 某阶段性目标实现后进行总结,向工程领导小组提交,为下阶段打好基础 |
项目管理办公室是由用户和我公司的高层领导人组成,这样可以充分保证项目实施能被正确的指导和推动,可以迅速解决在实施过程中出现的不可预测的原则性问题。
项目管理办公室中的用户成员有责任推动相关工作人员密切配合项目实施,对中心内部各部门所要达到的项目目标有清楚的定义,明确责、权、利关系,与项目组一起做好工作。
项目负责人必须随时向项目管理办公室报告整个项目进展情况,向项目管理办公室负责,采取正确的实施行动来完成项目实施工作。
双方在项目中的角色和责任如下:
单位 | 责任 |
贵州财经职业学院 | 网站的现状调查、分析; 提出项目需求; 组织方案验收 |
公司 | 项目管理 负责系统连接或软件部署、配置、软件开发等技术文件; 负责项目实施;提出项目测试计划, 配合项目验收 |
在项目的实施过程中,如果没有明确的任务分工,将会造成“职责不清”的混乱局面,使工作关系与任务分配陷入多种的关联交叉状态,导致项目人员“不知所措、不知何往”,这将严重影响对项目的反应能力与控制能力,最终影响实施的进度与实施的质量。
所以要完成好一个项目,建立起一个完善的组织架构后,组织中必须要有明确的分工,做到“各负其责”,但同时需要有统一、有效的领导机构,作到“协调一致”,才能保证整个项目的实施。公司需针对本项目的具体分工如下:
(1)项目管理办公室:
将由用户领导以及公司管理层的相关负责人构成,建议与决定项目管理组人员的组成,接受项目管理组的汇报,指导与监督项目管理组工作,对重大问题作出决定,确保项目实施所需要的资源。
该小组在宣布中标后成立,项目验收后结束。
(2)项目管理组:
接受项目管理办公室的领导与监督,向项目管理办公室汇报;由用户、公司的项目管理人员组成,公司指派一名项目负责人任组长。该组负责协调各相关单位的关系,处理项目中所出现的各种问题;组织各个专业小组,制定项目总的实施进度计划,推进项目进度。
(3)培训组:
接受项目管理组的领导,向项目管理组汇报,制定详细的培训计划,负责协调与实施所有的培训工作,完成培训的组织、培训内容的审定、培训人员的落实、培训场地的联系、培训过程的组织、培训工作总结,按照合同规定完成所有培训工作。
(4)文档组:
接受项目管理组的领导,向项目管理组汇报,制定详细的文档递交计划,负责收集与整理各个阶段的技术文档,按照合同规定完成所有的文档递交工作。
(8)项目实施组(开发组):
接受项目管理组的领导,向项目管理组汇报。
主要工作包括负责项目实施的细节方案设计等工作;给出详细设计的文档、完成文档、网站质量审核;软件安装调试的细节方案设计、协调组织现场软件安装调试;软件集成所需的功能定制开发、接口定制开发。
项目管理范围包括本项目建设周期内各个阶段需求分析、项目计划、项目实施、项目测试、项目验收、网站试运行、系统维护的全过程都包括在内,如项目启动、项目范围内容、项目范围变更等项,具体内容在项目实施前经详细讨论确定。
针对本项目的进度管理从任务分解、时间进度安排到资源分配,每个阶段都有里程碑标志,每个阶段都须严格按照工期要求按时、保质完成,项目负责人负责项目进度控制。
通过对大量的风险事件进行分析,如何使风险事件对项目造成的影响最小,是项目风险管理的主要工作。首先需要预防风险事件的发生,其次当事件发生不可避免之后,应当采取必要的、事先准备好的措施进行工作,将风险对项目目标的影响降低到最小程度。
本项目实施应采用先进的质量管理模式和科学的质量管理体系和流程,并根据项目自身特点选用合适的质量控制规程。
目前,公司主要采用ISO9001质量标准和软件成熟度模型(CMM)两种控制规程。针对本项目,公司将采用GB/T 19001-2000-ISO9001:2000质量体系标准,在项目实施的过程中严格执行这些质量标准。
本项目中,由项目负责人制订质量控制计划,项目质量控制组进行审核。审核方面包括:质量控制措施是否足够、各个成员的质量责任是否明确合理,测试方法是否适用。
为了加强项目质量管理和界定产品质量标准,公司制订适应于项目的检查验收规定,确保本项目网站质量。
本项目中,应实行两级检查、两级验收制度。一级检查、二级检查和一级验收由本公司实施小组组织完成;二级验收由用户组织实施。各级检查验收严格按项目实施中制订的相应的检查验收规定和质量评定标准执行。对实施和验收过程中出现的重大技术问题,将上报用户协调处理,对一般质量问题的处理应予以书面记录。
在项目实施过程中还将采取如下措施保障项目实施质量:
(1)对系统进行安装、产品授权验证。
(2)在项目实施前后对网络性能进行评估。
(3)在系统部署完成后要在实际环境中进行网络连通性测试、安全策略验证和应用系统测试。
(4)配合应用系统做好压力测试,根据压力测试结果调整系统配置。
(5)项目实施后要进行一定时间的试运行,在试运行期间要重点监控网络环境的运行情况、安全策略的验证和系统运行情况,若出现的问题要及时查找原因并加以修正。
质量测试是确保本系统质量的重要手段,不经过认真测试的系统是不能被用于生产的。虽然,对各阶段的文档的审核也可认为是测试,但本项目所指的测试是指对应用软件的测试。做好测试是测试组的责任,测试组是与开发组相互独立的两组,且需要相当的技术和经验,对业务的理解要十分透彻。
建立高效合理的测试流程,包括:做好测试阶段文档和源程序的版本控制;做好测试中发现的BUGS的记录及存档工作;对发现的任何BUGS都要做好原因分析并记录归档;做好回归测试;防止对程序的修改而引起的其他问题。
质量测试的实施过程是与改错过程既是交错的、同时又是并行进行的。在集成测试阶段中,测试一般应当由独立的测试人员来实施。这种方法一方面可以有效地压缩测试的总周期,但更重要的是可以避免开发者自身的思维局限,更加客观全面地进行有效的测试。
对项目实施中的沟通是项目完成的顺利与否的重要因素,所以在整个项目实施的过程中要有一套完善的沟通机制。
在项目实施中,将以项目负责人为核心,实现全面、有效的沟通管理。其中:
(1)项目负责人从始至终控制整个项目的工作进展与步骤,是信息的收集者和发送者。
(2)项目负责人要密切联系了解各干系人信息,及时传达给项目组其他成员。
(3)项目负责人要每周与项目领导小组交换项目工作进展情况,确保项目按计划有步骤地进行,并提交全部项目管理报告给项目领导小组。
(4)项目负责人要每周组织项目组成员召开会议,了解项目进展情况,分派工作,了解项目实施中的问题,及时解决。
(5)项目主管定期联系用户负责人,倾听用户对项目的建议和意见,并采取相应的措施,最大程度保证用户满意度。
(6)销售人员和用户保持正常通畅的沟通渠道,及时接受用户反馈意见。
作为沟通的手段,采用如下方式进行项目的交流:
(1)周例会:必要时参加由项目管理组、用户方在每周共同召开的周例会,会议将对一周以来的工作进展进行回顾,总结问题点,分析原因,并确定解决方案。对下一阶段的工作任务进行部署。会议结果由项目管理组发布会议纪要。
(2)项目阶段总结:在实施的每一个阶段,进行工程阶段总结,评估上一阶段工作得失,为下阶段的工作进行必要的预沟通,解决隐患问题;
(3)多种形式的交流:项目负责人与项目领导小组、用户之间、以及项目队伍成员之间保持通信联络,以传真、电话、电子邮件等方式进行沟通。
公司采用相应的配置控制程序来管理新系统的各个部分,包括文档,需求,数据库设计,编码,文件和数据。并在项目实际实施时制定配置管理计划,并委任一名配置管理员。
配置控制的目的是控制系统的物理和功能特性,确保整个系统的完整性。配置控制既是技术活动又是管理活动,它的过程包括:
配置项目发现和保存
每个配置项目要有一个编号,用来区别有不同需求和实施要求的其它项目。它还有一个版本号,用来标明该项目所处的阶段,在配置项目修改时,版本号要更新。配置系统要能够容纳新的配置项目,不必修改现存项目。
配置项目要保存在软件库里面。为确保足够的安全以及对所有可交付软件项目的控制必须建立如下典型的软件库:
名称 | 状态 |
开发库 | 动态的 |
主库 | 控制的 |
静态库 | 静态的 |
开发库是软件作为一系列模块进行开发和测试的动态库。主库是一个被控制的库,项目的放入和取出必须按规定并以一定的控制方式进行。例如,在单元测试成功之后,模块可以被转入到系统主库,然后供系统集成和系统测试。任何经过以上测试需要修改模块都要放回开发库,以供测试。
当主库达到一定程度的稳定后,就可以将它合成一个基准。每当基准发布以后,相关主库都要进行拷贝产生静态库。之所以叫做静态库,因为以后不再更新,并且归档。
2.配置变动控制
只有当项目已经成为基准的一部分时,软件配置控制才能够进行,它主要控制:
评估对配置项目的变动
协调批准的变动
在本项目的执行过程中,项目负责人将与用户一起定义处理配置变动以及变动授权管理方法。作为对于已经通过的单元,系统的验收测试项目的变动,需要更高级别的授权。
3.配置状态记录
配置状态记录包括所有配置项目跟踪报告,并且贯穿整个系统开发周期中,配置项目状态将通过配置管理员来跟踪和控制。
为有效进行配置状态记录,应该详细记录以下信息:
每个基准版的日期,版本和问题;
每份问题审阅以及文档修改的日期状态;
每份软件问题报告、修改请求、和修改报告的日期和状态;
每个配置项目的总结描述。
软件版本:
公司将在版本文档内记录软件的版本,后续版本要附一个版本说明。该说明列出了版本内的配置项目,并且说明其安装步骤。而且,所有已经修改的错误和已经合并的新的需求都要有记录。要在提交新版本之前重新测试修改过的软件。对于每个版本公司保证文档和代码的一致性,而且保存旧版本。
产品的完整性需要通过变更管理来维持。用户需求的变化、系统需求的变化和系统设计的变化都被监控和跟踪,从而了解被批准变动的实施状态。控制变更的目的是为了确保只有经过批准的变更才能实施,确保变更情况传达到了相应的有关方面,提供它们考虑和获得它们的批准。
用户需求、系统需求和系统设计文档在通过评审并批准后将作为基准。当一个文档变为基准以后,就自动进入变更控制范围。任何变动都需要提交变更请求。变更管理由以下四个部分组成:变更请求、变更评估、变更批准、变更实施和跟踪。
文档必须真实地反映实际项目状态。
文档的验收,不能是在项目验收时统一移交给用户单位,而应当根据项目实施的不同阶段,分批移交,在项目准备阶段就需要制定一个文档移交计划,在规定的时间里移交事先规定格式、内容的文档。
软件开发应严格遵照国家软件工程规范进行,须根据开发进度及时提供有关文档,包括但不仅限于以下文件,视具体情况而定。
(1)响应文件:《合同书》内技术及验收条款。
(2)项目启动阶段:《项目实施/开发计划》《配置管理计划》《质量保证计划》
(3)需求分析阶段:《需求调研报告》《需求规格说明书》
(4)设计阶段:《概要设计说明书》《详细设计说明书》《数据库设计说明书》《接口标准及开发指南》
(5)编码阶段:《模块开发卷宗》《编码规范》
(6)测试阶段:《测试计划》《测试用例记录》《测试分析报告》
(7)试运行/上线阶段:《试运行/上线计划》《试运行/上线报告》
(8)过程文档:《例会记录》《实施/开发周报》《实施/开发进度月报》
(9)培训文档:《培训计划》《培训手册》《培训记录》
(10)交付使用:《用户手册》《操作手册》《系统管理员手册》《系统安装维护手册》《用户使用报告》《项目实施/开发总结报告》
向甲方提供整个系统的安装光盘、本文所规定文档、源代码、二次开发规范和标准接口说明等;以计算机光盘和纸介质两种形式同时交付,一式三份。
最终提供的软件系统无知识产权纠纷,性能稳定可靠,必须提供全套符合行业编程规范、注释清晰明了、能够编译生成生产环境正式运行的应用程序。
项目管理应提交软件开发和实施计划、进度报告、培训计划、培训记录、例会记录以及甲方认为必要的其他文档。
未经甲方认可的情况下,所有的技术文件必须用中文书写或有完整的中文注释。
验收主要以国家、行业和甲方相关技术标准规范、采购文件文件、合同确认的建设要求为依据,对相关建设内容进行逐一核查,如采购文件与合同的建设要求不一致,以有利于甲方的要求为准。在项目实施各阶段需要提供的资料作为本项目所签订的正式附件,与合同正本具有同等的法律约束力。
通过等保3级测评所需相关文件材料。
人员的管理遵循几条原则:本项目中的参与人员在无特殊情况且未经用户同意不进行调换;系统保障期人员均安排参加此项目建设的主要技术人员;本项目的项目管理人员安排具有同类项目丰富项目管理经验的人员。
考虑本系统的保密要求,公司承诺按照涉及国家秘密计算机系统要求进行系统建设的保密管理,并和用户签署保密协议,严格履行保密义务。
考核目的
为了提升项目实施人员的工作业绩、奖励先进、督促后进、促进团队合作、贯彻公司的发展战略,特结合项目实施人员的工作特点,需制定考核方案。
适用范围和特点
适用于公司所有项目实施人员和配合项目实施的技术人员,本方案的考核内容仅限于项目实施部分。
考核指标及考核周期
针对项目实施人员的工作性质,将参与项目实施人员的考核内容确定为工作业绩考核。
考核关系
由总项目负责人会同项目负责人以及相关人员对项目实施进度、质量管理和个人工作能力,项目总负责人做最后考核结果的审批。
项目实施人员的工作业绩指标要根据项目实施工作特点和公司的实际情况主要侧重于个人工作能力、任务指标完成情况两个方面。?
任务指标完成情况:
指公司安排的任务计划是否按时完成。
考核结果分“合格”与“不合格”两种,按时完成即为“合格”,无特殊原因没有按时或因工作质量不达标要求重新实施部分工作即为“不合格”。
个人工作能力:项目实施过程能够独立解决一些常规性问题的,疑难重大问题提出自己的见解和解决方案,日常工作的合理有序安排和实施操作熟练度的掌握。
考核结果分“优秀”、“良好”“一般”三种,能够独立熟练有序完成工作的为优秀,独立/熟练/有序满足其二的为良好,只能达到某一条件为一般。
制作项目实施考核表直观反映考核情况
项目实施的考核过程由三个阶段构成完整的考核管理流程,分别是计划沟通阶段、计划实施阶段和考核阶段。
1.考核明细标准
总分数为10分,达到8分+为优秀,6分+为良好,4分+为一般。
2.计划沟通阶段
(1)项目负责人(或考核者)与被考核者明确本次考核项目的工作任务、完成目标和计划时间
(2)双方确定工作任务等情况的前提下编撰工作计划书。
3.计划实施阶段
(1)行政文员发布项目计划和工作计划以及完成目标和考核标准。
(2)被考核项目组根据工作计划和目标开展工作,达成目标。
(3)各工作计划完成后,被考核人登记完成情况。
4.项目考评
(1)被考核人员每日工作进度完成情况上报,考核人员进度质量核实,并定期向相关负责人汇报。
(2)结果审核
项目实施计划的工作由项目总负责人签署(合格与不合格),行政文员将评估审核结果公示,公示内容包括该项目的完成情况和质量检测以及社会满意度结果。
(3)行政部文员将项目考核结果公示,项目负责人负责与实施顾问进行沟通,项目总负责与技术研发人员沟通,双方共同讨论绩效改进的
方式和途径。
为保证项目的质量,公司需成立专门的项目测试小组,在项目负责人的统一领导之下,完成本次项目的测试工作,首先,在项目开始时,测试小组要完成测试的准备工作,测试准备工作的重点主要包括以下几个主要方面:
对整个项目情况进行调研与了解,以熟悉整个系统的整体架构和实现功能等相关情况,制定出初步的测试计划;
确定测试管理工具的实施方案,对测试管理工具根据项目的特点进行合理规划;包括根据各个项目子系统的特点,制定相应的缺陷跟踪方案、版本提交计划等。
保证测试人员的到位,并对测试人员进行测试管理工具和测试相关基础技术的培训,要求相关系统测试人员先进行相关系统体系结构和功能的了解,为后期的设计测试用例奠定基础。
本项目采用的测试种类包括:模块测试、功能测试、性能测试、全系统测试、压力测试等。
在进行测试前,需要编写详实的测试方案,其中包括测试时间安排、测试准则、测试用例、测试范围、测试目标、测试人员、出错处理流程及处理结果等内容。在测试案例中应包含对异常情况处理的测试,如数据不全、数据类别有误、数据不合法等。
各种类型的测试都是采用循环往复的“测试-改进”操作,以确保问题得到完整、充分的解决的过程。
网站每个模块完成后,进行模块测试。模块测试的目的在于通过大量、反复的测试,尽可能地捕获项目实施时的编码错误,并加以改正,使编写时的错误在这一测试环节得到控制。
功能测试是对项目实现的功能进行测试。功能测试可细分为:独立测试和连续测试两部分。
独立测试是将本项目开发实现的功能一一进行独立测试。在测试过程中,将针对每一个功能制定相应的测试个案,进行严格的功能测试。如测试结果与实现要求不符,将由开发人员进行改进及完善,最终达到功能要求。
测试中发生问题时,编程人员会改动程序以便解决问题。系统将在修改后进行重新测试。此时其进行的测试不仅针对改动部分,还应对原已通过独立测试的部分进行重新测试。
系统的性能是一个很重要的参数,本项目所指的系统性能包括系统的效率、响应时间及处理能力。在测试中,为每个应用设置响应时间、处理速度量度,评估系统的最高处理能力,在发现系统的性能不满足要求进,需进行相应措施对系统的性能进行调整。
对整个网站进行测试,主要针对网站各模块,以及总体功能。按照测试方案中的测试步骤进行,最终做出网站测试报告,主要包含:网站功能、网站实施质量、网站性能等各个方面能否达到设计要求的结论,出现问题,建议解决问题方案。
压力测试的目的是希望能够通过测试,得知在极短时间内对网站进行大量并发访问,是否会对系统造成瞬间无法承受的压力冲击,致使其运行异常甚至崩溃。压力测试可以获知系统的耐压程度,在必要时采取适当的紧急防护措施,如控制、分散等措施,减低缓解系统瞬间压力,防止尖峰时刻的出现,使系统得以稳定地运行。
完成项目整体建设内容后,向甲方书面提出项目初验申请,甲方应在收到响应供应商提出初验申请后20个工作日内对项目进行初验,初验由甲方、最终用户及贵州省大数据发展管理局共同确认合格后方可判定为验收合格,验收合格后出具验收报告。
项目完成初验后,进入试运行期,试运行三个月后,向甲方提交本阶段要求的《系统试运行报告》。
项目初验合格并试运行三个月后,各系统运行正常、稳定,向甲方书面提出项目终验申请,甲方在收到项目终验申请后20个工作日内对项目进行终验,终验需由甲方、最终用户及贵州省大数据发展管理局共同确认合格后方可判定为验收合格,验收合格后出具验收报告。
以甲方公布的采购文件及本合同中规定有利于甲方的建设内容及技术要求为验收范围。
总体要求:
对整个项目的验收包括检查整个系统是否实现了甲方在本文件中所要求的功能,是否与公司提出的解决方案中既定目标功能完全一致。公司必须根据系统总体设计方案提出验收方案,甲方将根据验收方案对系统每个部分进行逐一进行项目用户验收。
响应供应商必须保证本项目所有开发的应用系统软件及使用到的开发工具软件的版权的合法性,本项目完成的所有应用系统软件的源代码及其技术文档等研究开发成果的所有权及版权归甲方所有。未经甲方许可,响应供应商不得在本项目以外使用。
验收内容主要以国家、相关技术标准规范、响应文件和双方合同确认建设内容为依据,对相关建设内容进行逐一核查。
本项目提供的软件及产品须保证系合法取得,任何涉及知识产权和设备非法获得的纠纷与甲方无涉。
公司必须完成网站系统的开发、集成、部署、培训,网站功能和效果满足甲方需求。
公司必须完成原网站内容迁移、官网的上线、网站新内容的发布,网站效果满足甲方要求。
网站安全防护体系建设满足甲方要求,通过甲方组织开展的代码审计。
公司须为验收提供必需的一切条件及相关费用。
为确保网站投入使用后,能够稳定、良好地运行,达到建设预期的目的,将对用户相关人员进行全面、细致的培训工作。
本项目人员培训,是指对网站的使用人员、网站管理人员进行培训。目的是使该项目的受训人员充分具备使用和管理能力,了解与项目相关的认识,以便更好的开展工作。经过培训,保证贵方人员能够独立进行使用、管理、维护和日常处理,保证网站正常、安全的运行。
本项目培训方式包括:使用操作培训、网站管理培训等几部分,由我公司向用户提供现场培训。
用户单位本网站信息录入人员、审核人员、网站管理人员。
项目负责人和用户共同商讨决定,网站培训日期、培训人员、培训课时。
培训地点和设备和甲方沟通决定、我公司提供培训教师、培训教材、培训内容。
响应供应商根据所响应,编制培训计划表,详细说明各相关培训内容,此表培训项目必须与技术响应文件中培训建议内容一致。
?公司配合用户随时密切监视网站信息内容。每天早、中、晚三次不少于一小时。
?发现网上出现非法信息时,公司及时通知用户具体负责人员。
?公司技术人员配合用户及时处理非法信息,强化安全防范措施,并将网站网页重新投入使用。
?公司配合用户妥善保存有关记录及日志或审计记录。
?公司在问题处理完毕后,将有关情况向用户方领导及时汇报。
?用户召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
?当网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,公司立即向用户通报情况。
?公司积极配合用户方进行被破坏系统的恢复与重建工作。
?公司积极配合用户方有关部门共同追查非法信息来源。
?安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。
?当发现计算机感染有病毒后,公司立即向用户通报情况。
?公司积极配合用户方启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
?公司配合用户方对门户网站平台及网站相对应的数据进行备份,并将它们保存于安全处。
?一旦软件遭到破坏性攻击,公司第一时间安排专业人员进行处理。
?公司配合用户方进行系统和数据的恢复。
?公司安排专业人员检查网站日志等资料,确认攻击来源。
?一旦发现数据库异常,公司第一时间安排专业人员进行处理。
?公司配合用户方进行数据的恢复。
?公司安排专业人员检查数据库日志等资料,确认异常信息来源。
从通过最终验收合格之日开始计算,公司提供3年质保期,质保期的第1年,提供免费运维服务。
本项目质保期为3年(自项目终验合格之日起计)。质保期内出现因运行故障、功能缺陷导致系统不能正常工作,在甲方或最终用户方提出故障问题后1日内由负责包修、包换,承担因此产生的人工、现场、部件等一切费用,并承担由此造成的一切损失。
项目建设及项目质保期内,及时提供所承诺的相关服务,不得以任何理由拒绝、拖延为甲方和项目相关厂商提供服务。
质保期内,为甲方及最终用户方提供全面的服务保障,包括但不限于以下内容:
(1)第一年质保期内为甲方及最终用户方提供365 × 7 × 24的本地化售后技术服务、电话热线服务。
(2)第一年质保期内定期开展系统全面巡检,每年不少于4次,并于质保期开始后的每季度第一个月10日前,向甲方及最终用户方出具上季度系统巡检报告,针对巡检中发现的隐患问题,应立即组织处理,确保整个系统的正常运行。
(3)第一年质保期内发生系统故障时,接到甲方或最终用户方通知应立即响应,技术人员必须在60分钟内到达现场,6小时内处理完毕。若由承建的系统故障在12小时内仍未处理完毕的,必须采取应急措施或引入第三方专业机构加以解决,不得影响甲方及最终用户方正常工作,产生的费用由承担。
(4)第一年质保期内为集团网站和公司网站分别提供一次前端页面改版服务。
(5)第一年质保期内根据甲方需求,提供不少于30人天的业务功能改版服务。
(6)第一年质保期内提供内容发布和内容更新服务。
(7)第一年质保期内根据甲方要求,在重大节假日重大活动期间提供重点保障服务,必要时提供现场服务。
(8)三年质保期内在甲方及最终用户方每年的各项安保任务期间,须按照甲方及最终用户方安保任务期间信息系统保障方案,做好现场值守和远程技术支持服务,确保各项安保任务期间承建的系统运行正常、稳定。
(9)三年质保期内为甲方及最终用户方提供不少于1次/年的系统软件功能的免费软件改进和升级服务。
质保期内如产生售后服务违约行为,不积极采取措施解决的,每发生一次违约行为,应按质保金的1%向甲方支付违约金,并承担由此给甲方造成的一切损失,违约金的最高限额为质保金的20%。
质保期满后,如果甲方继续聘请对系统及设备进行维护,则双方另行签署维护协议。
承诺:
? 在质保期满后,若由继续向甲方或最终用户方提供系统软件改进升级、技术支持等服务,须以不高于项目成交价4%每年的价格,向甲方或最终用户方提供系统维护服务。
? 项目运维服务期内提供网站版面或栏目调整、功能调整、节假日或重大活动期间保障等服务。
? 免费运维期结束后,单独签署运维服务合同,每年运维费用不超过网站建设总费用的10%。
? 提供两年免费7*24小时的售后支持服务,保障网站健康、安全、正常运行;
? 免费的系统升级服务,当公司对本项目产品存在优化升级版本时,我们将通知用户进行免费的系统版本升级
? 重要节假日,提供特殊的保障服务(保障方案、本地化保障团队等);
? 在维保期内提供定期提供巡检,一个季度一次。
? 网站运行故障的修复;
? 在改变网站整体布局的情况下,对网站局部设计及板块进行调整(每年不超过20个工作日);
? 配合用户进行网站栏目调整(每年不超过10个工作日);
? 配合用户对系统功能进行使用优化(每年不超过10个工作日)网站安全攻防演练及安全检查的配合协助工作。
? 远程支持——采用电话、QQ指导或远程登录、电子邮件等方式提供技术支持。
? 现场技术服务——当远程支持无法解决用户问题时,指派技术人员提供现场技术服务。
? 定期跟踪——服务期内,我公司会随时定期通过电话跟踪使用情况,及时了解存在的问题,并随时给予解决。必要时,我公司派遣技术人员到现场解决存在的问题。我公司还定期派遣技术人员现场回访,了解应用系统的运行情况,听取意见和建议,解决存在的问题。
? 服务范围
软件故障
系统故障
系统优化;
对系统问题的咨询服务;
其它必须的技术服务。
? 响应时间
保修期内,所有故障维护服务均要在1个小时内响应。提供7*24小时技术支持,包括各种软件系统故障及对各种突发事件采取应急措施等,服务响应时间为1小时。在此期间,公司通过电话提供解决方案,或者利用远程维护方式解决问题。若不能在1时内解决故障问题,公司在2小时赶到现场解决。对设计系统代码、数据库修改等系统实质性内容的修改,公司在2时内派人到现场上门服务,排除故障,并分析故障原因,提出书面故障分析报告及防范措施。
5. 安全推荐防范方案学校网站要根据网络安全法等要求,按照二级等保的要求,贯彻落实网络安全等级保护制度,采取必要措施,对攻击、侵入和破坏学校网站的行为以及影响学校网站正常运行的意外事故进行防范,确保网站稳定、可靠、安全运行。在网信、公安等部门的指导下,加强网络安全监测预警技术能力建设。网站安全与网站开设要同步规划、同步建设、同步实施。
学校网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而网站中不同业务功能模块的信息安全需求又各不相同。如对外便民服务信息系统具有相对开放的结构特点,用户一般为普通民众,便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求,而在网站上独立运行的业务信息系统具有相对封闭的结构特点,用户一般为内部用户,用户对数据的完整性和保密性要求往往大于可用性要求。因此学校网站安全风险贯穿前端Web访问到后端数据处理和反馈整个过程。因此可以定性的认为:前一类信息系统面临的服务中断、外部黑客攻击、非法入侵、安全漏洞等威胁的概率比较大,而后一类内网泄密、监管审计不到位等威胁的概率比较大。
公司需设计安全拓扑图,采取全方位安全措施进行防护。
在Internet出口处部署一台抗DDOS攻击防护系统,用于防护来自外网的拒绝服务攻击;
找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞,进行加固,以保障系统的安全性;
在网站服务器前部署一台Web应用防护系统,通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障门户网站的高可用性和可靠性。
防火墙部署在因特网的接口处,除对因特网用户的访问作限制外,还通过它连接表现层和业务逻辑层,仅仅允许web服务器通过防火墙存取数据库中的数据,通过三层结构进一步完成网站的安全系统。
入侵检测系统则部署在对外提供服务的表现层中,实时检测网络中可疑的数据包,在发现入侵行为时一方面对管理员进行报警同时和防火墙联动切断入侵者的攻击路线。
现有众多安全隐患均是利用系统漏洞的攻击,这种攻击方式是使用缓冲区溢出方式获得管理员权限,从而任意修改网页内容,窃取信息。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取电脑中的重要资料和信息,甚至破坏系统。
通过采用漏洞扫描系统,及时为网站管理人员发现并制止因为系统漏洞而导致的系统损害。
病毒防范系统防止系统级的病毒泛滥,并可对网站系统中上传的文件进行自动杀毒处理。
通过WEB应用防火墙系统的建设与应用,实现对WEB应用系统网站的深度应用攻击防护,支持HTTP/S的双向深度分析,实施抵御各类攻击,包括SQL注入、命令注入 、Cookie 注入、Cookie假冒、跨站脚本(XSS) 、敏感信息泄露、挂马攻击、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、强制访问、应用层拒绝服务、其他变形的应用攻击。
WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用恶意攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等。
系统通过对Web流量进行深度检测对Web应用进行深度防护,提供了全面的入侵防御能力,能在攻击到达Web服务器之前进行阻断,防止恶意的请求或内置非法程序的请求访问目标应用。系统能够解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。系统还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。
针对不同攻击方式采取不同防护方法。如
攻击方式 | 描述 | 网页防篡改的防护方法 |
跨站脚本攻击 | 跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。 | |
SQL 注入 | 攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。 | |
命令注入 | 攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。 | |
cookie/seesion劫持 | Cookie/seesion通常用于用户身份认证,并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/seesion提高访问权限,或伪装成他人的身份登陆。 | |
参数(或表单)篡改 | 通过修改对URL、header和form中对用户输入数据的安全性判断,并且提交到服务器。 | |
缓冲溢出攻击 | 由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。如获取系统管理员的权限。 | |
日志篡改 | 黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。. | |
应用平台漏洞攻击 | 黑客通过获悉应用平台后,可以利用该平台的已知漏洞进行攻击。当应用平台出现漏洞,且没有官方补丁时,同样面临被攻击的风险。 | |
DOS攻击 | 通过DOS攻击请求,以达到消耗应用平台资源异常消耗的一种攻击,最终造成应用平台拒绝服务。 | |
HTTPS类攻击 | 一些狡猾的黑客通过HTTPS进行HTTPS类的攻击,由于SSL加密数据包无法进行有效的检测,导致通用的网络防火墙和普通WEB应用防火墙无能为力。 |
在网络层面,安全主要关注安全域划分、入侵防范和抗拒绝服务攻击。
安全域划分服务通过对数据流向、网络结构等多方面因素,划分合理的安全域。网络系统一般都内部局域网、政务专网(也称广域网)和互联网三大区域,各区域之间要求的不同,采用不同的安全防护设备,包括实现逻辑安全隔离的防火墙。
在网络部署上遵守能不对外开放的服务器尽量不对外开放的原则。
针对网络系统中内部局域网、广域网和互联网三大区域之间,都部署了防火墙,依据安全政策对出入网络的信息流进行控制,有条件地允许、拒绝、检测或过滤信息。防火墙设置综合考虑系统所要求的速度、性能、管理、便易性和性价比等各个方面因素,进行周密设计和总体规划;尽量使用不同的服务器提供不同性质的服务;对于重要系统的出口应重点配置防火墙;在实际配置和实施时应该关闭不需要的服务; 要经常检查防火墙的日志,发现异常应该及时处理,另外还应采取多层防御、冗余防御等措施。
另外广域网与内部局域网之间部署防火墙,加强安全管理,采取必要的措施保证内部局域网较高的安全性。
通过专业的漏洞扫描软件对网络设备及服务器系统进行扫描,可以了解安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络网络风险。网络管理员根据扫描结果更正系统中的错误配置、进行系统加固、安装补丁程序,或采用其他相关防范措施,从而避免被黑客利用。
利用现有防护设备或重新部署防火墙设备对网站服务器区进行边界安全防护,划分网站服务器区安全域,使之与网银区域逻辑隔离。通过Internet边界防火墙在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。同时利用WAF的访问控制功能进行网站服务器区专项访问控制防护,有效地控制黑客利用网站服务器为跳板攻击网银服务区的可能性。
在入侵防范方面,作为防火墙的合理补充,配备入侵检测防御系统能够帮助系统识别入侵、攻击以及异常数据流量,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统从计算机网络系统中的若干关键点收集信息,并分析这些信息,如果发现有黑客入侵或都入侵前的准备行为(例如对服务器的端口进行扫描),能够对这些行为向管理员进行报警,因此可以在黑客入侵前或入侵过程中就发现这些行为,并由管理员做出相应的应对措施,抵御来自互联网的各种入侵行为。
基于Web业务的可用性和连续性要求的考虑,应该在Internet的出口处设置对拒绝服务攻击的防护手段。通常使用的防火墙作为通用型网络安全产品,在防DDoS方面不可能达到专业产品的性能和效率,对大规模的DDoS攻击是无能为力的,甚至会成为攻击目标,造成整个网络的中断。为了实现在抗拒绝服务攻击的同时不影响网络的通讯速度,应当采用专门的硬件设备来抵御拒绝服务攻击。
抗拒绝服务攻击系统通过集成的检测和阻断机制对DDoS攻击实时响应;采用基于行为模式的异常检测,从背景流量中识别攻击流量;提供针对海量DDoS攻击的防护能力;系统能够对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断,从而有效保护门户网站系统的应用服务器;丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
从系统层面的安全威胁来看,可以利用漏洞扫描系统高效、智能的漏洞识别技术,第一时间主动对网站服务器区中的服务器和网络设备进行细致深入的漏洞检测、分析,并出具专业、有效的漏洞防护建议。
同时可以利用Web扫描功能进行应用层扫描。Web应用扫描最关键的技术是网站智能爬虫技术。智能爬虫技术具有自动遍历整个Web服务器的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,验证漏洞的真实性。远程安全评估系统的WAS模块扫描结果准确,误报和漏报率低,全面检查网站各级页面中是否被植入恶意代码(如SQL注入、跨站脚本、网页挂马等),确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。
可以通过门户网站安全评估和加固,使系统有效的抵御外来的入侵和袭击,长期保持在高度可信的状态。其中,渗透测试是安全评估阶段必不可少的服务手段之一。渗透测试是模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。通过渗透测试,可以发现门户网站系统中存在的系统漏洞、代码漏洞和程序逻辑问题(如绕过认证)等。
网站服务器和相关设备的安全加固,是利用多种技术手段对网站服务器区中的网络设备平台、服务器进行安全加固和配置优化,提高网络设备安全性和抗攻击能力,针对网站服务器区所提供的安全加固服务手段有:
a. 基本安全配置检测和优化
b. 帐户密码系统安全检测和增强
c. 网络服务安全优化
d. 网络访问控制安全优化
e. 网络路由与交换协议安全优化
f. 端口安全设置网络连接参数安全增强
g. IOS升级与补丁安装
经过良好配置的网络设备及服务器的抗攻击性和自身安全性有极大的增强。在对其作相应的安全配置后,结合定期的安全评估和维护服务就使得其保持在一个较高的安全线之上。
在当今信息安全意识、信息安全产品都日益成熟的年代,为何入侵者获取数据依然如入无人之境? 很多人认为,在网络中不断部署防火墙、IDS、IPS等设备,可以提高网络的安全性。但是为何基于应用的攻击事件以及相应的“泄库事件”仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。
以B/S常见的对外提供服务的学校网站、学校业务系统等所涉及到的应用安全主要由以下几个方面构成。
1.访问控制:针对用户及恶意攻击者访问信息时进行有效地控制,对于正常请求允许访问,对于恶意请求应及时进行阻止;
2.信息保护:针对于恶意攻击者进行敏感信息访问时应及时保护;
3.安全审计:对业务系统的运行应具备安全审计功能;
4.数据库应用安全:应针对数据库系统进行安全检查,对数据库的操作行为应进行安全监控。
5.软件容错:应用系统及数据库在上线前后及更新时应做好安全性测试,减少系统存在漏洞的可能性,避免有漏洞的系统对外发布。
以上几方面的内容都应具有相应的技术手段和管理制度来实现信息系统的应用安全。
应用安全从整个信息安全的生命周期中是一个动态的、长期的过程,是从建设开始,风险评估、安全加固、安全防护、安全审计、再评估、再加固的过程。而从实际应用考虑,应用安全至少应满足以下要求:
1.事前预警:通过应用系统及数据库的风险评估,发现可能存在的信息泄密点,并进行安全加固随着应用系统及数据库的不断升级,学校能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布,降低信息受泄密的危害;
2.事中防护:恶意攻击者对应用系统及数据库进行攻击或恶意操作时,管理人员及系统能够具有有效地手段阻止恶意行为的发生,减少信息泄密的发生次数,避免对学校和信息造成影响;
3.事后追溯:对于何人何地何时访问学校信息时能够具有追溯手段,对发生的信息泄密事件提供查询工具,方便维护人员及管理员进行事件跟踪和定位,并为事件的还原提供有力依据。
传统网络层安全防护措施和防御体系在安全管理中相当重要,但在面临数据被泄露的安全问题中,应用安全的防护能力更加重要。使用以博虹科技有限公司所提倡的一种基于风险评估模型及“事前+事中+事后”的安全理念的结合传统网络层防护措施的新型应用安全解决方案,将有效降低应用安全风险和出现被泄露信息的风险。
1.风险评估与加固层面:威胁一个信息系统的风险可能来自不同的层面,从网络层、系统层到应用层,都有可能形成对信息系统直接或间接的威胁。通过风险评估对整个信息系统进行有效地安全评估,发现信息系统技术与管理方面存在的威胁。通过专业安全团队的加固,减少或降低威胁对系统造成的影响,避免因存在的威胁造成的信息泄密影响。
2.事前安全防范层面:当前绝大多数学校缺少必备的WEB安全和数据库安全的评估工具,使事前的风险评估难以实施。专业的安全产品需要有效的安全策略才能发挥应有的功能,而事前的安全评估则显得尤为重要。学校业务系统最重要的资产集中在WEB应用层和数据库系统,因此长期有效的保障学校业务系统的安全,安全运维人员应有必备的安全评估工具及技术实力。
3.事中安全防护层面:安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前绝大多数的学校基本上把信息系统的相关主机托管至IDC机房,根据IDC的不同等级分别具备了物理层安全和网络层安全。但学校尚缺少有力的安全防御措施如专业的远程安全接入主机的VPN,网络防火墙,WEB应用防火墙等安全设施,应切实建设相应的安全防御措施,提高系统的抗风险能力。
4.事后安全审计层面:学校核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对学校造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
从Web应用的威胁分析来看,Web应用防护系统是事中有效防护和控制的关键设备。Web应用防护系统需要对用户提交Web服务器端以及Web服务器端向用户返回的双方向数据进行检查。WAF产品可以实现用户à服务器以及服务器à用户双向数据的清洗。对于用户提交服务器端的数据,WAF可以实时发现用户提交数据中的恶意脚本和问题代码/命令。可以进行必要的内容过滤,如恶意脚本和代码,HTTP Error Response(4xx,5xx等),关键敏感字等,充分保证了用户侧的安全,同时避免了服务器端重要信息的泄露。
网页防篡改是将核心程序嵌入到Web服务器中,通过触发方式进行自动监测,对所保护文件夹的所有文件内容(包含:html、asp、jsp、php、jped、gif、bmp、psd、png、flash等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得Internet用户无法看到被篡改页面。
学校网站服务器不得放在境外,禁止使用境外机构提供的物理服务器和虚拟主机。优先采购通过安全审查的网络产品和服务。使用的关键设备和安全专用产品要通过安全认证和安全检测。被列为关键信息基础设施的学校网站要在严格执行等级保护制度的基础上,实行重点保护,不得使用未通过安全审查的网络产品和服务。按照要求定期对学校网站开展安全检测评估。
部署必要的安全防护设备,应对病毒感染、恶意攻击、网页篡改和漏洞利用等风险,保障网站安全运行。操作系统、数据库和中间件等软件要遵循最小安装原则,仅安装应用必需的服务和组件,并及时安装安全补丁程序。部署的设备和软件要具备与网站访问需求相匹配的性能。划分网络安全区域,严格设置访问控制策略,建立安全访问路径。
前台发布页面和后台管理系统应分别部署在不同的主机环境中,并设置严格的访问控制策略,防止后台管理系统暴露在互联网中。要对应用软件的代码进行安全分析和测试,识别并及时处理可能存在的恶意代码。对重要数据、敏感数据进行分类管理,做好加密存储和传输。加强后台发布终端的安全管理,定期开展安全检查,防止终端成为后台管理系统的风险入口。
加强用户管理,根据用户类别设置不同安全强度的鉴别机制。禁止使用系统默认或匿名账户,根据实际需要创建必须的管理用户。要采用两种或两种以上组合的鉴别技术,确定管理用户身份。严格设定访问和操作权限,实现系统管理、内容编辑、内容审核等用户的权限分离。要对管理用户的操作行为进行记录。加强网站平台的用户数据安全防护工作。
使用符合国家密码管理政策和标准规范的密码算法和产品,逐步建立基于密码的网络信任、安全支撑和运行监管机制。
在学校网站建设中,应采用可信计算、云计算、大数据等技术,利用集约化手段,开展网站群建设,减少互联网出口,实现网站的统一管理、统一防护,提高网站综合防护能力。
安全管理与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的安全产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,以博虹提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户安全提供保证。
防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范,降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。以博虹科技有限公司依据多年的应用与数据库安全经验,拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论,来建设应用安全体系。
统一安全运维监控中心通过对全网安全域中IT资源事件的采集、处理和分析,构建可度量的业务信息系统风险模型,实现集中监控、分析、预警和管理的信息系统,展示整体信息安全态势,为用户提供全网业务系统安全集中管理并提供直观的可视化监控大屏和多渠道实时预警通知,并为整个信息系统的安全运营提供决策服务和运维流程管理。安全运维监测中心是从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得用户能够对其所有业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。它除了包含技术以外,还有两个重要的组成部分:人(维护人员、应急小组)和操作过程(相应的管理制度和事件处理流程),体现了信息保障所强调的人、技术、操作这三个核心原则。因此它不仅是技术手段上的快速提升,同时也是管理体系上的高效改进。
监控中心集成统一预警中心,实时多方式发送预警信息。通过监控中心对各个应用系统进行实时监测,在应用系统出现不可访问的情况时第一时间以短信和邮件的形式通知相关责任人,进行故障查看和排除的工作,尽最大可能的保证系统的不间断工作。监测中心需要对各应用系统的运维/管理责任人员的信息进行管理,对监控任务进行管理;
用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。
全面的安全信息收集,通过多种标准协议或定制的收集工具全面收集安全设备、网络设备、主机系统等各类设备产生的日志数据和安全信息,并进行数据格式标准化,为信息共享和数据交换提供数据基础;
系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自于已发现的外部攻击源的威胁。
智能的数据分析,通过信息共享和数据交换对采集的数据进行智能化分析,实现安全信息的集中整理和准确的定损关联,使得技术人员快速的从海量数据中获取有价值的信息;
系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。
针对系统收集到的海量安全事件,系统借助地址分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap、即时消息、工单等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
独立的安全知识管理模块,提供安全信息发布的平台,包括安全技术交流、安全案例库、系统管理知识、安全维护管理知识、安全新闻等相关信息以及系统补丁库、常用安全维护工具、工具软件等工具下载,以实现安全知识的共享,提供组织的整体安全水平;
安全运维监测中心在信息安全管理和安全技术之间起到承上启下的作用,成为技术人员在安全运维过程中的一把利器,能够更有效地回应不断变化的安全风险。
数据采集层:根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。
数据处理层:将采集到的原始安全信息进行关联分析处理,并将所有安全信息进行格式标准化处理,根据策略进行数据归并和压缩后,存储到数据库中。
应用服务层:从数据库中提取信息,并按照策略完成数据的过滤、条件分析,为展示平台提供数据支持;同时还是展示平台进行资源配置的接口。
展示平台:实现安全运维监控中心的统一界面展示。通过Web方式提供统一的图形化管理界面,安全运维监控中心实现了安全监控、维护、管理、展示的全部功能。
数据采集层负责根据策略采集各种安全信息。 采集的方式包括:SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、文件、与用户协商的扩充协议。采集的对象包括:路由器、交换机、帧中继等网络设备上相关的安全信息;漏洞扫描子系统、入侵检测子系统、防火墙子系统和防病毒子系统的安全信息,通过其各自的控制台输出,由数据采集层来接收采集;主机系统的安全信息,由数据采集层直接从主机系统进行收集;从日志服务器、网管服务器收集相关的安全信息;数据采集层将所采集到的数据进行简单归并处理,作为数据处理层的原始数据
数据处理层负责对采集到的原始安全信息进行分析处理。将从网络设备、安全设备、主机系统等数据来源采集到的原始安全信息结合数据库中的资产信息进行关联分析,确认原始安全信息的真实性,并对确认后的安全信息进行格式标准化处理,按照指定的信息收集策略归并安全信息,再经过特定的数据压缩后,存储到数据库中。数据处理层必须将采集到的原始安全信息与通过应用服务层存储的资产信息进行关联分析,以从海量的原始安全信息中提取出有价值的安全信息,为有效降低风险提供准确依据。
应用服务层是展示平台、数据库和数据处理层之间衔接的接口。展示平台通过应用服务层最终完成了拓扑构建、主机及数据库监控、资产管理、脆弱性管理、风险管理、工单管理、安全知识管理、安全策略管理、安全预警等模块的配置信息的录入和修改功能。展示平台通过应用服务层从数据库中提取信息,按照定制策略进行数据过滤、条件分析,以完成资产信息统计、脆弱性统计、工单统计、报表输出等。展示平台通过应用服务层从数据库中提取安全信息,按照定制策略进行抽样分析、模式匹配、异常检测完成安全信息的统计
展示平台实现了安全运维监控中心的统一界面展示。通过展示平台,我们能够查看全网拓扑信息、主机及数据库监控信息、资产分布状态、关注区域的安全状况、安全事件的发生趋势、各类资产的脆弱性状况等;通过展示平台,最终完成对资产管理、安全信息监控、脆弱性管理、安全事件处理、安全知识管理、安全策略管理、安全状况评估、安全预警各功能模块的配置;通过展示平台,最终完成报表的生成、输出(保存和打印)等。
拓扑管理作为网络管理的基本功能,是网管中最基本的也是最重要的组成部分之一。一般情况下,网络管理系统首先都要进行必要的拓扑发现、拓扑监控、拓扑操作,从而充分了解网络系统的运行情况。
拓扑管理实现如下具体功能:
1.自动发现网络设备及其连接,获取最初的网络信息;
网络设备的初始发现。系统能够自动发现网络节点 (包括路由器,交换机和二层的交换设备等),检测网络设备连接,生成和保持TCP/IP网络图。
2.提供各类网络监控视图,使管理员可以直观的了解网络当前运行状况;
通过多种角度的监控视图,管理员可以从不同视角、不同深度了解网络的运行状况,从而发现潜在问题,了解网络运行情况。当网络出现异常时,可以调用详细的网络扩展监控视图,实现网络故障的诊断。
对组织的信息资产进行准确、科学地评估,评估资产的风险值和相应的价值,并且定期或不定期地对资产进行重新评估和赋值。
安全运维监控中心可帮助组织视觉化地直观掌控资产状况,快速确定资产分布、资产价值和风险。资产管理参照国际相关标准(如:ISO 17799)中关于资产管理的要求,实现资产登记、资产的所有权、资产的分类、标识和处理,并结合组织的特殊情况进行调整,也可按照国内相关标准(如:信息系统安全等级保护规范)来划分和标识资产。
以资产为核心,结合等级保护中关于资产的价值、脆弱性、威胁,并按照相关标准分析资产风险及风险变化情况,并给出降低风险的解决方案。
具体的风险分析参照了国际安全管理标准ISO13335 中的“预定义风险价值矩阵法”。此方法基于这样的前提:风险分析需充分考虑资产价值、威胁发生的概率、脆弱性被威胁利用的概率这三个元素,因此根据这三个元素预先设定一个三维风险价值矩阵,然后逐一确定目标信息资产的价值、威胁发生的概率、脆弱性被威胁利用的概率,从而科学地从风险的预先价值矩阵中计算出对应的风险量化值。
安全运维监控中心的主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性。风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱性,并提供解决方案,帮助管理员对脆弱性做出正面积极的响应,预防可能发生的损害。
风险管理为组织对IT维护人员的日常工作管理提供了依据,为评价安全决策、安全工作的成果提供了量化的衡量指标。
登记和显示被监控的所有服务器和终端主机的资产信息,形成主机系统资产信息库,方便管理人员确认主机系统的资产状况。
通过在每个 WINDOWS 前端设备上部署 Agent 实现主机设备信息的采集,Agent 负责实时采集前端设备的资源指标,包括 CPU 使用情况,内存的使用情况,网络连接使用情况和磁盘空间使用情况,汇总到统一管理平台。非WINDOWS不需要部署agent既可收集上述信息。统一管理平台通过程序接口访问数据库获取主要监测数据,进行数据入库和展现。统一管理平台实时监控主机系统的运行状况,当主机系统出现异常时,及时产生预警信息,并可自动触发工单系统督促相关责任人进行快速处理。
支持的主机系统包括:Windows 系列、Sun Solaris系列、HP UX 系列、IBM AIX 系列、LINUX、OpenBSD、FreeBSD、SCO UNIX 等。
登记和显示被监控的所有受监控安全设备的资产信息,形成安全设备资产信息库,方便管理人员确认安全设备的资产状况。
实时监控安全设备的运行状况,当安全设备出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。
针对数据库,监控的内容包括数据库进程启动情况,日常运行日志,表空间的使用情况,数据库Session情况,数据库系统设计的文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资源情况、监控数据库进程的状态、进程所占内存空间等。当数据库系统出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。
支持的数据库有:SQLLITE、Oracle、Oracle RAC、DB2、SQLServer、Mysql 等。
监控的应用服务包括包括web应用服务、邮件服务、学校内部业务系统等。
登记和显示被监控的所有受监控业务系统信息,如OA系统等,形成业务系统资产信息库,包括业务系统运行软硬件平台、业务系统运行和维护责任人等。同时,结合国家等级保护政策要求,清晰划分业务系统的安全保护等级。业务系统模块主要是监测当前业务系统的功能是否正常,功能访问排行,在设定的时间段内执行的各种操作的次数、每个操作的总时间消耗和在系统各部件的时间消耗、不同客户端执行同样操作完成时间的比较等。
1.监测系统功能是否正常
通过采集 Agent的探测实现。Agent定期进行各个关键功能的访问,并把探测的数据发送到统一管理平台。由统一管理平台的接收程序进行入库,同时在界面进行展现。
2.系统运行日志监测
通过程序访问业务系统的数据库和相关日志实现,对业务系统运行过程中的关键情况、运行错误情况进行数据采集和监测。
3.业务系统模拟测试
对业务应用系统能进行模拟测试,及时了解业务应用系统的当前可用性,同时通过模拟用户测试,及时了解当前业务应用系统的性能瓶径,避免业务应用系统出现重大应用问题。
当业务系统出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。
4.数据库系统监控管理
登记和显示被监控的所有受监控数据库系统的信息,形成数据库资产信息库,包括数据库运行的软硬件平台、数据库运行和维护责任人等。通过在数据库所在机器上部署Agent和数据库访问接口方式实现,Agent定期发送数据库的性能情况到运维平台。其中发送的内容包括数据库进程启动情况,日常运行日志,表空间的使用情况,数据库Session情况,数据库系统设计的文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资源情况、监控数据库进程的状态、进程所占内存空间等。当数据库系统出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。支持的应用服务有:Tomcat、WebSphere、WebLogic、Apache、Windows IIS、IISFTP、Netbackup、EMC 备份系统等。
负责关联分析的安全信息中心,从代理层接收原始安全信息,并调用统计关联分析引擎、基于脆弱性和资产的关联引擎、基于知识库的关联引擎实现关联分析,生成安全事件。根据安全事件处理工单策略,将一般级别以上的安全事件(也可随时调整策略)生成安全事件工单,从而进入工单流转流程,并通过SMS 和邮件通知事件处理人。
知识库系统将安全公告、安全预警、补丁库、日志信息库、案例库、工具库、政策法规库、漏洞库等资源集中起来,形成一个知识共享平台。该知识库的数据以数据库的方式存储及管理,并提供按关键字进行全文检索的功能,为培养高素质网络安全技术人员提供了培训资源。
安全事件监控的对象至少包括了路由器、交换机、防火墙、IDS、漏洞扫描设备、主机系统、服务器系统等。其功能是根据安全事件收集策略中定义的信息位置、类型和内容进行信息收集,并根据定义的信息传输目的地对收集的信息进行传输。
安全运维监控中心通过SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、SOAP、文件以及其他扩充协议等方式从网络设备、安全设备、主机系统等多种数据源收集安全信息,经过过滤、汇总和关联分析后,标识其紧急程度,一方面以规定的格式存储到数据库内,另一方面以多种方式实时响应。
安全事件管理模块提供了界面显示报警、手机短信息、E-mail、SYSLOG、与防火墙互动等多种响应方式。
安全事件管理模块根据网络设备、安全设备、主机系统等传输过来的安全信息,经分析发现设备故障后,将详细显示故障来源和解决方法。
管理和监控重要资产存在的脆弱性信息。
各种重要的主机、终端和网络设备上存在的安全脆弱性是影响信息安全的重要潜在风险,本功能实现对重要主机系统和网络设备安全脆弱性信息的收集和管理,对收集的信息进行分析,形成安全事件,驱动工单系统处理安全事件。脆弱性信息的收集可通过定制扫描任务计划、一次性或多次扫描对比等多种方式实现。
定制扫描任务计划:可随时定义扫描任务计划,本模块将在指定的时间根据任务计划通过远程端口扫描的方式对目标设备进行安全脆弱性检测,并提供相应的扫描报告。
扫描:随时根据需要对目标设备进行安全脆弱性检测,并提供相应的扫描报告。灵活的扫描策略,可以定制扫描网段,开始时间等。
该平台提供了资产、安全事件、性能事件、故障事件、脆弱性事件、工单、综合报表等报表类别。报表功能分为报表模块和报表发送策略。报表模块可以根据用户自定义条件来定制报表,可以设定的条件有资产范围,时间范围等;报表发送策略中用户可以定义报表的周期,图形,模板,格式,资产范围,发送用户对象等。
安全运维监控中心报表输出功能具备如下特点:
n 提供了27种不同安全层面的图形统计功能;
n 提供了近10种报表功能,更可根据预先设计的关注点自定制近百种业务的报表;
n 多种针对安全事件分析的综合统计功能;
n 根据用户的不同需求系统可以根据参数条件定制不同的统计报表;
n 报表的数据,可以根据特定的时间段或者时间周期生成;
n 根据不同人员(技术人员、业务主管、领导)的需要,提供了灵活的定制报表的内容和格式,格式和内容的定制均通过界面方便、直观地执行;
n 内置了多种不同类别的报表模板;
n 报表输出的文件格式支持Excel、Doc、PDF、HTML等多种标准格式点击报表文件格式图标,可以按照此种格式导出报表文件。点击报表图形切换图标,可以按照相应图形进行报表图形展示的切换。点击打印图标,可以打印该报表。
统计报表
系统中报表通过选择报表参数条件(资产范围、时间范围),定制实现不同数据集的报表内容统计。
报表展示页面包括图形和列表,图形包括饼图、柱状图、曲线图,可以同时显示,也可以自由切换图形模式。可以设置报表的页眉、页脚,可以在页眉或页脚设置报表LOGO,例如武警的LOGO标识。
报表可以输出为PDF、HTML、EXCEL、WORD、TXT等多种文档格式。对于文本格式输入,将不能包含图形和表格信息。
系统管理包括用于系统全局的参数配置、系统与第三方系统的接口配置、系统维护、策略管理、用户和权限管理、操作审计等。
系统全局参数,例如安全事件类型管理、资产类型管理、资产展示网段划分、资产所属区域管理、资产所属业务域管理、资产系统软件类型管理、报表 LOGO文件配置等。
系统维护包括系统升级和数据库维护,系统升级包括对应用的升级和数据库的升级。通过上传升级文件进行升级,并对升级的历史记录进行保存和展示。
根据用户的业务需求,业务数据可以按照月进行存放,数据库维护可以配置为在什么时间删除某月以前的历史数据。策略管理包括日志信息收集策略、安全事件过滤规则策略、安全事件归并规则策略、关联分析策略、报警发送策略等。对于策略,可以设置优先级,按优先级从高到低进行匹配,一旦匹配高优先级的策略,即停止策略匹配。可以添加、删除、导入、导出、启用/停用策略。
只有超级管理员Admin 有权限进行用户管理和权限分配,其他系统用户只能查看自己的用户信息。可以在本系统实现用户和权限管理,也可以通过统一的权限管理平台进行用户创建和权限划分。权限可以按照用户所属的域及域 IP、接入设备类型和 IP、设备所属的物理位置和管理部门、事件类型及包含的属性、系统菜单等方面进行划分。本系统具体的用户和权限管理需求如下:
(1)权限管理
系统能够对日志浏览、添加、删除,安全事件报表浏览、重点保护单位信息、报警相关配置等进行权限控制。
(2)角色管理
系统超级管理员可以创建、修改、删除本系统的角色,井为角色指定其所具有的权限集合。
(3)用户管理
用户管理采用集中管理的方式,即由系统超级管理员进行各单位用户的创建、修改和删除,并为用户分配角色,每个用户对应一个或多个角色。系统约束新创建用户在第一次登陆后,必须更改初始登陆密码。操作审计用于审计系统用户和非系统用户对系统的操作或者尝试操作,审计的范围包括登陆和登出操作、任何对系统的查看、修改和删除操作。并可以对操作日志进行备份。
根据本系统的业务需求说明,在本系统增加安全知识库功能,包括原始日志库、原始事件库、漏洞库和重点保护用户信息。
原始日志库和原始事件库收集本系统采集到的所有原始日志样本和原始安全事件样本。根据用户配置的周期,定期将汇总后的日志文件 ftp 上传到“安全事件汇总分析与数据挖掘子系统”固定目录下,并用“日期时间”命名文件:日志应包括:源 IP ,源端口,目标IP ,目标端口,攻击方向,攻击类型,时间,所属单位、省份等信息;如无异常,则文件内容为空。
系统每次启动时自动从国家网络安全信息综合知识库中的“用户信息库”下载需要重点保护用户的域名或IP 对应列表,此后每 6小时下载更新一次该列表;系统也可根据用户指令即时下载更新列表。
安全运维监控中心具备自身的审计系统,审计安全运维监控中心上的所有动作,系统上的操作权限和审计修改权限进行了分离,审计只能由审计分析员进行处理,从而确保审计信息的完整性、保密性和有效性。
根据网站和信息系统安全事件的发生原因、性质和机理,网站与信息系统安全事件主要分为以下三类:
n攻击类事件:
指网站系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
n故障类事件:
指网站系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
n灾害类事件:
指因爆炸、火灾、雷击、地震、台风等外力因素导致网站系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
n网站后台系统具有敏感词过滤功能,通过对非法敏感词过滤设置,达到系统级安全控制;
n网站、网页由网站安全负责人员随时密切监视信息内容。每天早、晚二次不少于一小时;
n发现网上出现非法信息时,网站安全负责人员应立即向信息安全组组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告;
n信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用;
n网站维护员应妥善保存有关记录及日志或审计记录;
n网站维护员工作人员应立即追查非法信息来源;
n工作人员会商后,将有关情况向安全领导小组领导汇报有关情况;
n安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
n当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站安全员通报情况;
n网站安全员应在十分钟内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网站安全领导小组副组长汇报情况;
n网站安全员和网络管理员负责被破坏系统的恢复与重建工作;
n网站安全员协同有关部门共同追查非法信息来源;
n安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。
n当发现计算机感染有病毒后,应立即将该机从网络上隔离出来;
n对该设备的硬盘进行数据备份;
n启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作;
n如发现反病毒软件无法清楚该病毒,应立即向安全小组负责人报告;
n网站安全小组相关负责人员在接到通报后,应在十分钟内赶到现场;
n经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向网站安全领导小组副组长报告,并迅速联系有关产品商研究解决;
n安全领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关报告;
n如果感染病毒的设备是服务器或者主机系统,经领导小组组长同意,应立即告知各下属单位做好相应的清查工作。
n重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处;
n一旦软件遭到破坏性攻击,应立即向网站安全员、网络管理员报告,并将系统停止运行;
n网站安全员和网站维护员负责软件系统和数据的恢复;
n网站安全员和网站管理员检查日志等资料,确认攻击来源;
n安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
n各数据库系统要至少准备两个以上数据库备份,平时一份放在服务器内网中,另一份放在另一安全的网络中;
n一旦数据库崩溃,应立即向网站安全员报告,同时通知各下属单位暂缓上传上报数据;
n系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中;
n如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复;
n如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
n服务器等关键设备损坏后,有关人员应立即向网站管理员和网站安全员汇报;
n网站管理员和网站安全员应立即查明原因;
n如果能够自行恢复,应立即用备件替换受损部件;
n如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修;
n如果设备一时不能修复,应向安全领导小组领导汇报,并告知各下属单位,暂缓上传上报数据。
n对于关键岗位平时应做好人员储备,确保一项工作有两人能操作;
n一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况;
n经值班领导批准后,由备用人员上岗操作;
n如果备用人员无法上岗,请求上级单位支援;
n上级单位在接到请求后,应立即派遣人员进行支援。
网站管理员应当根据自己的实际需要做好网站系统设备储备工作。
建立健全应急通信保障工作体系,完善公用通信网,建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保通信畅通。
积极开展网站安全领域的科学研究,建立健全网站安全应急技术支撑平台,提高网站安全科技水平。建立应急处置管理、应急预案管理、应急演练环境、灾难备份等数据系统,为网站与信息安全事件的处置提供科技支撑。
网站安全小组组织编制、出版宣传材料,宣传信息安全相关法律法规和信息安全基础知识,提高公众信息安全应急防范意识。网站安全小组负责提供相关技术支持和专业应急人才培训。
开设应急管理、应急处置及组织指挥等培训课程,对各单位领导干部、管理人员进行培训,并对应急管理和基层处置人员作进行相应的技能培训。
每年组织一次演练,模拟处置影响较大的信息安全事件,组织重点单位参加,检验预案的可执行性。
网站安全事件应急处置工作实行行政领导负责制和责任追究制。
对于在应急处置工作中做出突出贡献的先进集体和个人,给予表彰和奖励。对于迟报、谎报、瞒报、漏报网站安全事件重要情况或者应急处置工作中有其他失职、渎职行为的,依法对有关责任人给予行政处分;构成犯罪的,依法追究刑事责任。
针对现有的业务系统和数据库进行风险评估与安全加固,应用安全评估主要是通过安全漏洞扫描、人工安全检查、渗透测试等方式对业务系统的数据库系统、应用系统、WEB系统的安全性进行评估。
随着学校应用系统及数据库的不断更新升级,原有漏洞的加固或业务系统新功能的增加,或多或少都可能产生新的漏洞,学校应具备有效地检测预警手段,能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布。通过建立WEB应用安全检测系统和数据库安全检测系统,发现业务系统及数据库的漏洞情况,并对其进行安全加固和升级。
学校通过建立WEB应用安全检测系统,对更新升级的业务系统进行上线前的检测,及时发现WEB应用的常见技术弱点,拦截因业务系统的更新将漏洞暴露。检测系统本质是一种模拟常见WEB攻击的非破坏性的工具,在WEB应用的开发、测试、运维阶段,经常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,系统支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。功能如下图所示:
学校通过建立数据库安全检测系统,发现业务系统所依靠的核心数据库是否存在安全漏洞,如默认密码、弱口令、不安全的配置等。数据库安全检测系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具,主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。功能如下图所示:
安全的信息系统需要涉及物理层、网络层、应用层、主机层方方面面的安全防御措施,目前学校的尚缺少有力的应用层安全防御措施,应切实建设相应的安全防御措施,提高系统的抗风险能力。当前最为高效的解决方法是在WEB应用前端部署WEB应用防火墙,实现对WEB应用安全防御。本项目中主要的应用系统为WEB应用尚未部署WEB应用防火墙。
Web应用防火墙(Web ApplicationFirewall,简称: WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下:
透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的WEB应用服务器的IP地址及端口,就可以实现对WEB应用业务的安全检测。而部署WAF,不但不会影响业务系统的性能,同时还能够提升应用交付。
学校核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对学校造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:
对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制,
制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;
贵州财经职业学院门户网站建设
采购公告
为了顺应学校发展,充分利用高校门户网站基本功能,实现学院招生宣传、资源共享、信息交流、协同工作,提高学院社会知名度与美誉度。经2020年7月14日第十六次校长办公会研究同意,本着公正、公开、公平的原则,我校决定采取公开招标方式对贵州财经职业学院门户网站建设采购项目进行校内竞争性综合比选采购,现将有关事项公告如下:
一、招标内容:
1. 贵州财经职业学院门户网站建设采购项目(详细项目清单见附件)。
2.预算9.5万元
二、投标人的资质要求
1.投标人必须是具有独立民事责任能力的法人及公司;
2.投标人必须具备有效的营业执照等有关资质证明(原件及对应的复印件);
3.投标人在近三年内无违纪违法经营行为(因行贿、违约等行为被公共媒体曝光或被行业主管部门处罚等)。
三、报名、报价截止时间、开标时间及地点
1.报名时间:符合条件的投标企业在报名时须携带营业执照、资质证书、法人授权委托书、身份证原件,同时提交相应资料复印件壹套(A4纸装订),并加盖公章,于2020年12月9日至11日到贵州省财政学校新校区(清镇市职教城乡愁校区云站路50号)行政楼401/402办公室报名。
2.递交报价文件截止时间:2020年12月14日下午14:00时;
3.开标时间:2020年12月14日下午14:00时;
4.开标地点:贵州省财政学校新校区(清镇市云站路50号)行政楼三楼乡愁会议室;若有改动,具体时间另行通知;
5.联系人:杨亚军、舒祥:****-********、180*****682;
四、报价文件组成及要求
1.企业资质(工商税务登记证、经营许可证、组织机构代码证、营业执照)复印件加盖单位印章;
2.相关资质证书;
3.单位的法定代表人身份证复印件、授权委托书、投标人身份证复印件;
4.报价单(报价、服务承诺等项目);
5.主要业绩资料;
6.服务承诺;
以上资质为必备文件,如有缺项为无效投标。请投标人将投标文件,包括正本壹份,副本贰份(请标明“正本”或“副本”字样)密封、盖章。开标时以正本为准。
五、其他事宜
本次招标必须具有三家以上(不少于三家)的投标人参加,标书各自密封,公开拆标。投标人少于三家时,将另行确定招标。
本次采购详细需求参数如下:
目 录
1. 项目概要随着经济的发展和国家科教兴国战略的实施,校园网络建设已逐步成为学校的基础建设项目,更成为衡量一个学校教育信息化、现代化的重要标志。根据《省人民政府关于同意建立贵州财经职业学院的批复》(黔府函〔2020〕48号)和《教育部办公厅关于公布实施专科教育高等学校备案名单的函》(教发厅函〔2020〕22号),2020年4月12日贵州省人民政府正式批准建立贵州财经职业学院。为了顺应学校发展,实现招生宣传、资源共享、信息交流、协同工作等校园网基本功能,需要一个高速的、具有先进性的、可扩展的校园网平台以适应当前学院发展的需求并满足学校各方面应用的需要,特拟定以下建设方案大。
本次项目需要完成学院官网网站、英文版网站建设,完成等保测评服务工作。
(1)栏目规划:围绕学院事业发展、校园文化建设等工作规划学院的网站栏目,包含并不限于以下栏目:首页、学校概况、机构设置、学校动态、党政建设、产教融合、招生就业、信息公开、学校服务、培训中心、财职院文化。
校园网栏目设置
首页 | 学校概况 | 机构设置 | 学校动态 | 党政建设 | 产教融合 | 招生就业 | 信息公开 | 学校服务 | 培训中心 | 财职院文化 |
各类 模块 展示 | 学校简介 | 职能部门 | 学校新闻 | 支部概况 | 合作企业 | 招生简章 | 规章制度 | 教学服务 | 中心简介 | 校史馆 |
历史沿革 | 教学单位 | 公告信息 | 党建动态 | 产业学院 | 分类招生 | 计划规划 | 助学服务 | 继续教育 | 贵州财经职业教育集团 | |
领导介绍 | 电子校报 | 制度建设 | 职教动态 | 招聘信息 | 经费管理 | 科研服务 | 培训动态 | 贵州省职业院校新时代文明实践红色文化教育基地 | ||
标识校训 | 专题活动 | 就业指导 | 依申请公开 | 办事指南 | 网络学院 | |||||
学院视频 | 团青工作 | 信息公开 申请 | 心理健康 | |||||||
校园风光 | 工会工作 |
(2)页面设计:设计要符合贵州省财政学院的特征,提供首页、形象区Banner创意设计图3张、内页Banner设计图3张、通用栏目页、文章页、频道页、指定页面,部分界面元素要统一。
(3)功能需求:围绕解决学院宣传展示服务平台建设分散、数据不通、使用不便等突出问题,坚持一体化发展方向和移动优先策略,通过流程优化、平台再造,搭建学院“一微一端一网”,实现各种媒介资源、生产要素有效整合。
(4)站群用户管理及权限体系
平台用户范围为学院内从事宣传工作的在职在岗人员、业务部门相关联审人员。根据人员职责,设置不同权限。管理员权限分为三级管理。
平台有完善、灵活的权限体系,包括数据权限、功能权限等,适应不同的角色和管理需求。
(5)站群“采、编、发”功能
平台具备采编一体化功能,系统提供一站式的内容采集、编辑、审核和发布。方便采编人员及时策划、采集、编辑新闻,并通过平台进行审核、一键发布。
(6)站群统计分析功能
数据分析旨在让所有新闻线索、选题策划、传播效果、运营效果有数据支撑。通过对各单位、个人报送、选用稿件的数量、类型、浏览量等进行系统分析,形成分析报告可以实时查询。
(7)内容报送系统
内容报送系统建设可实现学院和系部之间的新闻信息的报送、采集、处理、共享等功能。内容报送系统是用电子化手段代替传统的传真、电话、纸质信函等介质,实现学院之间的新闻、简报、专报等信息的上报,进行信息采编与发布,提高工作效率、加强公司之间(横向和纵向)的信息交流。实现信息报送、信息采编、发布审批、信息管理、网站生成等功能的政务信息管理与服务的平台。内容报送单位通过本系统实时报送各类新闻信息,集团的信息采编人员通过此系统进行新闻稿件,党建动态等信息进行汇总,形成网站内容,发布到站群各站供各类用户浏览查询。
(1)支持关键字分类搜索;
(2)支持关键字模糊匹配功能;
(3)提供完善的智能搜索功能;
(4)支持热词联想检索
(5)提供热词、分类搜索及搜索结果分类展示功能,
(6)可按时间(天、周、月)搜索、按结果搜索(按时间、相关排序)。
(1)多维度(站群、网站、栏目、信息)可视化的数据统计;
(2)PV、UV保证数据准确度;
(1)支持灵活开设各种形式的征集,问卷、调查等互动活动;
(2)支持多项权限(时间段、IP和用户)控制;
(3)支持前台展示可视化模板编辑;
(4)支持安全有效性过滤控制(敏感词、后台审核);
(5)支持图表式调查结果统计分析。
(6)支持评论留言功能。
高峰同时在线人数按照1000人计算,系统使用高峰时按并发的可能性为5%计算,最大并发用户数:50。数据响应时间要求如下:
(1)复杂事务查询的平均响应时间<=10秒
(2) 简单事务查询的平均响应时间<=5秒
(3)应用界面平均响应时间<=5秒,峰值在10秒内
(1)配合甲方部署网页防篡改
(2)协助调试应用安全防护
(3)配合甲方对网站进行安全加固及安全等保工作。
(1)协助甲方部署申请、创建设公众号;
(2)协助甲方进行相关域名备案;
系统备份要求:
供应商应根据采购方要求,结合用户单位提出的要求,对应用系统进行定期备份,确保备份到达项目管理要求。
(1)供应商根据服务应用系统和数据安全管理,按照相关安全管理规范,在应用系统上线运行前开展代码检测,结合系统定级要求,配合安全实施单位作好应用系统安全加固和防护。
(2)若发生安全事件,应做及时作好安全排查和处理。
本次网站建设遵循“实用性、功能性、统一管理,统一架构,分级管理”的建设要求,选用先进的技术构架,成熟的优质产品和科学的运维模式,对贵州财经职业学院门户网站进行建设,整合信息资源;具体来说要突出体现以下特征:
(1)安全性:系统建设要符合用户对信息安全管理的要求,建立完善可靠的安全保障体系,对非法入侵、非法攻击和网络计算机病毒应具有很强的防范能力,确保系统具有严格的身份认证功能,并有相应的技术手段对数据安全和操作安全加以保护,从应用技术和系统管理上确保网络信息的高度安全;
(2)规范性:构建一个统一的、共享的、实用的、规范的网站;
(3)易使用性:主要体现在两个方面:一是应用界面简捷、直观,尽量减少菜单的层次和不必要的点击过程,使用户在使用时一目了然,便于快速掌握系统操作方法,特别是要符合工作人员的思维方式和工作习惯,方便非计算机专业人员的使用;二是应提供联机的或脱机的帮助手段;
(4)开放性:为了使系统具有较强的生命力和开放性,应遵循已有的国际标准和国内标准,以利于采用多种先进技术和产品;
(5)有限开源性:随着业务逻辑的改变,需要对系统进行维护、微调或二次开发。对该系统的非核心代码,应该开源,并提供规范的数据库设计,接口规范;
(6)可扩展性:该系统是一个不断发展中的应用系统,在系统设计时要考虑到新技术、新产品出现时对本系统的兼容性;当业务需求、外部环境发生变化时,可以扩展系统的功能和性能。软件设计要简明,各功能模块间的耦合度小,以适应业务发展需要,便于系统的继承和扩展;
(7)可维护性:系统应具有良好的结构,各个部分应有明确和完整的定义,使得局部的修改不影响全局和其他部分的结构和运行;
(8)可靠性:系统设计应采用成熟、稳定、可靠的软件技术,保证系统在大数据量、高并发的情况下长时间不间断地安全运行,提供7*24小时不间断服务。
2.技术解决方案在整个项目的规划和实施中要遵循以下原则,保证整个项目建设符合预期目标。
建立安全可靠、性能稳定、功能完善、能满足未来若干年要求的学校网站平台基本框架,对网站内容发布管理、加强整合与协同,避免重复建设。
学校网站建设以社会公众的需求为导向,以服务满意为宗旨,提供更全面、便捷的网上信息服务功能。
在门户网站建设理念、整体规划设计上具备前瞻性,门户网站平台架构要能满足今后若干年发展的要求。满足公众需求来拓展门户网站功能,充分汲取原网站的优秀栏目、特色内容,确定保留的栏目、整合的栏目、新增的栏目。
做到设计简洁明快,层级清晰合理,用户能方便快捷的访问自己关注的内容,获取网站提供的服务。
系统采用多层浏览器/服务器体系结构,能满足新增的需求,而系统的体系结构不需作较大的改变,整体规划及框架设计具可扩充性,平台具备在服务器资源足够情况下的灵活扩展能力,能保证系统今后的平滑升级。
平台系统功能前后台均支持所有目前流行的浏览器(IE、FireFox、Chrome等),在设计过程中考虑到在不同的分辨率下都能达到最佳浏览效果。
按照信息安全等级保护三级要求建设,为最大限度的保障网站网络与信息资源的安全,保障系统的稳定运行,我们从系统自身安全功能设计到系统运行硬件安全防护的部署,能够识别和阻断跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie 注入等)、敏感信息泄露、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、应用层拒绝服务、弱口令其他各类变形的应用攻击,从系统环境防护到人工组织预防等多层次地加强网站平台的安全性。确保通过二级等保评测。
基于J2EE和插件技术,平台默认集成大量组件及选件并可扩展集成其它功能选件;支持 HMTL5、web3.0。
三层结构是将应用功能分成表示层、业务逻辑层和数据层三部分。其解决方案是对这三层进行明确分割,并在逻辑上使其独立;采用先进的spring mvc 框架,功能更强大,系统更加安全、易扩展。
系统采用B/S架构。
充分考虑系统的安全性,能确保集成后各系统用户的安全性。
技术上具有延续性,在具体的技术方面,充分考虑技术的先进性与已有系统的技术现状,在采用先进技术的同时,又能能整合利用现有的技术体系。
整个系统界面友好、维护操作简便。
系统具有7*24小时连续工作的能力,平均年故障时间:<1天,平均故障修复时间:<30分钟。
系统后台支持10000用户并发性能指标。
系统前台支持用户百万级以上。
复杂事务查询的平均响应时间<=10秒
简单事务查询的平均响应时间<=5秒
应用界面平均响应时间<=5秒,峰值在10秒内
系统应用平台能实现与各种异构系统的互联,能支持各种业界标准和协议。
在网络稳定(带宽128K)的环境下操作性界面单一操作的系统响应时间小于3秒。
现阶段,软件的多层架构成为主流设计思路,由于采用面向对象的技术、组件开发技术以及平台开发技术,使多层架构设计成为可能,因此本架构方案的目的,就是展现多层架构设计的完整思路,以及其相关的设计原理、内部组织、以及相互的关系。
网站群内容管理系统是构建整个网站系统信息管理的基础平台,通过对大容量、广泛信息源的采集、编辑、制作和发布,支持对历史信息的调入、调出,提供对信息的全流程跟踪管理,帮助用户对网站进行整体策划、模板设计、功能模块的调试安装,为门户网站从构建、设计、编辑、审核、生成、维护、管理全过程提供技术支撑,且构建一个具有良好集成性能和扩展性能的基础性平台。
?一切以用户管理资源为设计出发点;
?面向大数据,支持云环境(阿里云、华为云、浪潮云、曙光云等)、集群、虚拟化等多种环境部署,支持分布式部署;
?基于J2EE和插件技术,集成智能表单、多维、工作流等系统组件。;
?支持 HMTL5、WEB3.0;
?支持敏感词检测;
?支持自动备份;
?支持HMTL5;
?支持可扩展的权限体系,包括数据权限、功能权限等,适应不同的角色和管理;
?支持类word的信息编辑,保留修改痕迹,直接在平台进行采集、加工、生产和传播;
?支持审核流程自定义,平台可根据用户需求自定义设定审核流程;
?支持审核节点手机短信自动提醒;
?支持专业分类,各单位在报送稿件时分类报送;
?支持采编信息的分类标签管理;
?支持标记功能,对信息使用情况或状态进行标记;
?支持流程化的信息审核;
?支持对微信,微博,APP(支持数据的同步发布)。
?支持对用户操作进行记录且操作记录不可清除;
?支持平台根据稿件报送选用等情况自动计分,实时显示评分及排名情况。
?双模板引擎,静态模板引擎实现页面的静态化、动态模板引擎实现业务逻辑和界面展示完全分离。
?采用先进的Spring MVC 框架,功能更强大,系统更加安全、易扩展;
?支持集约化网站群、内外网一体化站群、垂直门户网站群等多种解决方案。
?高度集成的“我的工作台”
平台提供了高度集成的“我的工作台”界面,界面中有个人中心(我的桌面、我的待办、草稿箱、我的收藏)、网站管理、切换网站功能。
?人性化的用户体验设计
功能归栏目、个人中心、右键功能、界面扁平化等人性化的设计,使维护更加便捷。
?插件化设计、可集成或拓展大量组件及选件
基于J2EE和插件技术,集成智能表单、多维、工作流、可视化模板、双模板引擎、索引库、检索引擎、文件管理中心等组件及多维分类、一键多平台发布、在线调查、在线访谈、评论、意见征集、RSS、工作统计、访问统计、简繁转换、智能检索等选件功能。
?双模板引擎
静态模板引擎:提供丰富的数据和完善的模板语法、性能强大、生成速度快,实现了页面的静态化;
动态模板引擎:服务器只需提供数据接口,模板解析和内容展现由客户端完成,服务器压力小、控制权限容易、动态性能强大,实现了业务逻辑和界面展示完全分离。
非常灵活的细粒度的、可扩展的权限控制体系,支持机构、角色、用户三级授权,支持按机构分级授权,支持用户二次开发扩展权限体系。
?可视化模板支持
可视化的模板设计,使网站、专题建设更加简单。
?集成大量资源库
模板库、表单库、样式库、词汇库应有尽有,大大提高了工作效率。
?用户可自行定制统计分析
用户可根据需求自行定义工作量统计功能,为运维考核提供数据参考。
?站群内容超级共享
提供手动或自动的信息推送与采集功能,实现真正意义上的“网站群”数据共享、减少数据的冗余量。
?针对性的搜索引擎优化
支持对搜索引擎的 SEO 优化,提高搜索引擎对网站的收录率。
?平台简单易用
类 office 的信息编辑操作,让信息维护更简单易用。
?智能表单
支持多种控件类型、校验规则等功能,用户可根据需求定制各种类型的数据表单字段及格式。
?工作流
可视化的工作流引擎设计,用户采用拖拽的方式即可定义各种类型的审核流程。
?文件管理中心
附件、图片、音视频等文件采用文件管理中心设计,支持分布式部署,可大大提供访问速度。
?多维分类
系统支持多维及tags分类功能,满足各种分类的扩展要求,如信息公开、商城分类等。
?内容多平台发布
可在包括PC端、移动客户端(兼容IOS和Android版本)、WAP、html5、RSS以及电视、微博、微信、微网站等多平台发布内容。
?良好的可扩展性
除默认集成的选件功能外,可扩展信息公开、咨询投诉、在线访谈及第三方定制开发功能选件。
?支持二次开发
平台构建了一套插件体系,并为此体系提供了开发方法,使得客户的个性化需求通过可插拔的插件来实现。
?安全高效的接口标准支持
提供性能强劲、结构简单、扩展性极强、方便接入的 REST 风格的 HTTP 接口和 WEBSERVICE 接口,满足不同用户的接入需求。
?全面的安全机制
提供多重且完善的安全防护机制,解决六大方面安全问题(页面显示、伪装、注入、文件操作、访问控制、session管理),同时后台提供详细的错误处理和日志记录。
网站群内容管理系统系统提供了非常灵活的细粒度的、可扩展的权限控制体系,支持机构、角色、用户三级授权,支持按机构分级授权,支持用户二次开发扩展权限体系。
通过系统设置中的机构管理,可根据实际情况设置机构层级系统维护体系。系统可支持多层级目录树式机构创建,基本满足不同性质用户机构创建需求。
通过角色管理,实现对用户使用功能菜单的权限进行界定,一个用户或者机构可以拥有多个角色,同样同一个角色也可以赋予多用户或者多机构使用,方便用户对系统实行多用户协同管理。
网站群内容管理系统系统提供有系统管理员角色、网站管理员角色、信息员角色几种类型,并针对各角色管理员可自行分配其具体维护权限(如:信息管理权限、信息类型栏目权限、选件栏目权限、模板管理权限等)。
通过用户管理,设置系统的用户管理体系,并通过非常灵活的细粒度的、可扩展的权限控制体系实现对用户权限的自由分配。
通过设置用户权限自定义分配,可实现用户对网站维护范围的界定。
在网站群内容管理系统系统中,类似于office 的信息编辑操作,让信息维护更简单易用。内容的创建不限于文字,其中图片、附件、FLASH、视频、音频等将可按照用户需求角度进行组织与创建,内容管理云平台提供从信息采集、新增、管理、传递、发布、交流等信息全生命周期过程中所需各项功能;内容的采集不再是单一来源的人工输入,通过与信息抓取系统的无缝对接,可以完成不同种类的信息数据及内容提取,并完成对信息智能采集、自动推送、定时发布的信息闭环流程。
信息的新增通过用户手工输入方式、word导入或者采集等方式。信息编辑时除了可以对信息正常编辑之外还可以插入图片、附件、视频等内容,也可以设置文章评论、意见征集功能,还可以替换热链、敏感词以及检查易错词。
通过对信息编辑管理操作,可以将信息加载到信息库中,并且可以对已经加载到信息库中的信息做修改、删除、审核、发布等工作。同时系统支持对信息转移、推送、采集、排序、批量修改、回收站、撤稿、恢复撤稿、相关信息设定、置顶、预览等操作。
平台内提供信息审核流程化管理功能,信息审核通过栏目与工作流结合设置,信息的审核过程支持多步骤,多人员的复杂审核,同时便于各网站各栏目自定义不同的审核流程,支持审核节点手机短信自动提醒。
流程类别支持多流程的并存创建与检索,并可通过流程类别与站点、栏目的绑定方式,实现该对站点及栏目的流程化审核管理。
网站群内容管理系统系统提供手动或自动的信息推送与采集功能以及跨平台的数据交换共享,实现真正意义上的“网站群”数据共享、降低数据的冗余量。
手动共享
手动共享主要包括推送与采集双向共享操作机制,其针对信息管理中各栏目下的单条信息或多条信息有选择性的一次性手工同步实现方式。
自动共享
自动共享可通过采集及推送方式实现,其主要应用于站群间栏目的相互双向同步模式。方便实现子站向主站的同步报送和主站信息资源的共享。实现真正意义上的“网站群”数据共享、降低数据的冗余量。
采集:是对其他栏目的信息向当前指定栏目的信息自动采集的过程。其可支持对信息的链接采集、镜像采集和副本采集。
推送:是对当前指定栏目的信息向其他栏目自动推送的过程。其可支持对信息的链接推送、镜像推送和副本推送。
数据交换
对于不同厂商所提供的异构系统间数据共享模式,网站群内容管理系统系统将提供有对外的预设标准接口。通过预留标准接口方式实现网站群内容管理系统与其他系统的对接。从而建立起有效的数据共享方式。达到对资源充分利用的效果。
网站群内容管理系统系统提供丰富的数据和完善的模板语法、性能强大、生成速度快,实现了页面的静态化。
模板即网站页面的框架结构,一般是通过Photoshop,Deamweaver等编辑软件实现对页面设计效果图的切割,并搭建起页面的框架机构和实现html页面与附件包(包含图片、css样式表、js脚本文件、flash、视频、音频等文件)的页面模板组成。
制作好的模板可以通过内容管理云平台自带的模板管理功能实现对模板的新增(模板类别:首页、栏目页、文章页、公共单元、咨询投诉、通用选件、依申请公开、在线调查、我要纠错等)、修改更新以及更新上传附件,复制粘贴(可以跨站点操作)、还原(模板修改备份还原)等操作管理。
上传好的模板需要绑定到对应的栏目进行展现,这就需要绑定好对应的站点栏目,模板绑定可以同过三种方式进行。
第一种是在站点管理中选择首页、栏目页、文章页模板,设置站点默认的首页、栏目页、文章页模板。
第二种是在栏目管理中通过右键操作对栏目选择模板。
第三种是在模板管理处对已新增好的模板进行绑定。
系统采用可视化的模板编辑技术,提供所见即所得的模式,在设置过程中,用户只需选择单元表现样式、相关的显示效果便可快速地在可视化页面中预览,系统的简易化管理极大地方便了普通维护人员对页面编辑和维护。同时系统也支持拥有一定网页代码基础的用户对模板源代码进行快速编辑操作。
模板库是网站群内容管理系统系统为用户提供的一个模板资源库,里面会不断的集成一些通用模板,用户可以直接可以在模板管理中选择使用模板库中的模板,从而大大的提高了工作效率,使网站、专题建设更加简单。
为方便对网站内容信息的有效管理,网站群内容管理系统系统对栏目的管理以树形目录的展现方式,层次清晰,易于扩充和删减。其中栏目结构管理可以分为信息栏目管理和选件栏目管理(功能归栏目)。而信息栏目管理和选件栏目管理都和智能表单有着非常密切的关系。
网站群内容管理系统系统为用户提供了智能表单的功能,可以为用户自定义各种信息表单以及选件表单,并支持多种控件类型、校验规则等功能,可根据需求定制各种类型的数据表单字段及格式。
信息栏目管理主要是对普通信息和自定义信息的栏目进行管理,系统除提供有新建、删除等常规功能外,还增设有转移、排序、收藏、预览、采集、推送以及栏目和信息的授权访问等功能。
选件栏目中为提供了一些网站中常用到的选件,例如:咨询投诉、依申请公开、在线调查、我要纠错、通用选件、访谈直播等内容,并且可以根据站点需要进行设置,所有选件的表单都是通过智能表单进行维护。
网站群内容管理系统系统可以选择扩展组件对门户功能进行扩展,通过扩展组件的灵活配置,使得平台应用更加的专业化、个性化。
平台扩展组件包括:我要纠错、文件中心、文章评论、RSS订阅、在线调查、意见征集、文章页上下篇、访问量排行、热点信息排行、最新信息选件、多维分类、微信管理、监测预警管理、水印管理。
平台提供有我要纠错组件,该组件可以将如果在浏览网页过程中,发现有任何页面、文字或链接方面的错误,可以通过该组件将问题提交,以便网站管理人员可以进行改进。
平台集成有文件中心组件,该选件可以对图片、附件和音视频进行上传以及分类管理,便于用户管理,并支持分布式部署,可大大提高访问速度。
平台集成有文章评论组件,该选件可以让网友对信息进行评论,以便获取信息评论,并可以对评论进行管理。
平台提供RSS订阅功能,使用RSS订阅能更快地获取信息,网站提供RSS输出,有利于让用户获取网站内容的最新更新。网络用户可以在客户端借助于支持RSS的聚合工具软件,在不打开网站内容页面的情况下阅读支持RSS输出的网站内容。
平台提供有意见征集组件,该选件用于网站上的议题进行留言和管理。
平台集成有文章上下篇功能,可以在网站文章页面中展现上下篇便于浏览网站信息。
平台提供有访问量排行功能,可以获取站群中网站访问排行情况,也可以随时编辑展示模板。
平台提供有热点信息排行功能,可以获取站群中热点信息排行情况,也可以随时编辑展示模板。
平台提供有最新信息选件,可以获取站群中最新的信息,也可以随时编辑展示模板。
平台提供有多维分类功能,支持自由新建信息分类(可以多维度的对信息进行描述),分类信息在前台得以调取和展现。
平台无缝对接微信公众平台,站点信息发布到公众号无需重复录入,操作简单;支持多服务号和公众号的素材管理和消息群发,支持自定义菜单和分组等微信常用功能。
平台提供敏感词和易错词监测功能,可以对网站日常运维的信息内容进行检测服务。
平台提供有水印管理功能,支持分站点的水印管理功能,自由新建文字水印和图片水印,在信息编辑插入图片时可以对图片进行水印设置。
网站群内容管理系统系统在内容发布机制上主要提供有:整站发布、栏目页发布、内容页发布、增量发布、实时和定时发布等机制,并对发布数据提供进程列表生成和显示,以便查看信息发布的进度和随时调整需要即时发布的信息。
整站发布:对站点内所有信息包括页面等进行发布。
栏目页发布:对选取栏目的页面模板进行发布。
内容页发布:对选中的网站栏目下的信息数据及该信息所附属的页面模板一同进行对外发布。
当网站中数据量过大时,若单纯的通过手工一个一个地勾选方式去实现待发布信息的发布,则效率非常低,因此平台提供有信息的指定发布、增量发布、整站发布功能,同时还提供了信息立即发布、定时发布、跨服务器发布、跨区域远程发布以及对多语种的发布等机制。将大幅地提升对信息发布的灵活性和机动性,并能够满足多种用户的需求。
指定发布:指定所需要发布的信息进行发布。
增量发布:对最近做过更新的信息或页面进行发布,其他数据信息不动。
整站发布:对站点内所有信息包括页面等进行发布。
立即发布:对手工录入、导入以及通过其他途径获取的信息在不需要经过审核的境况下,平台可提供加载后的即时发布机制(平台默认为立即发布状态)。
定时发布:实现对部分信息的时间点控制性发布方式(一般用于对大数据量信息的夜间发布或通知公告信息的挂点发布)。
跨服务器发布:平台出于网站运行的安全及网站运行的效率角度考虑,提供了跨服务器发布方式,实现将平台与外网服务器访问分开的部署机制。减轻了由单台服务器承担过多的运行资源而导致的外网用户访问效率低的问题,同时当前台服务器因某种原因而导致数据丢失时,可通过平台的发布方式实现数据的还原。
跨区域远程发布:针对云平台所部署的服务器与外网用户访问的服务器不在同一区域内,此时可通过跨区域远程发布方式实现网站的维护和页面发布。
多语种发布:平台采用的是Unicode编码,可以支持对多国家语言的发布。
网站群内容管理系统系统提供有网站集群管理功能,对门户主站及各级部门、下属机构子站的同一平台建设和集中维护管理工作。
集中部署:只需部署一套网站群内容管理系统系统,即可集中创建多个子站。
分级管理:各站点可以通过网站群内容管理系统系统单独管理自己的站点内容,系统管理员可以控制主站和子站权限和功能设定,各站点可实现独立管理和对本站点内的权限。
内容共享:可通过平台进行各站点间的内容数据共享,实现对资源的充分利用。
快速实施:通过灵活的模板套用的方式,快速创建复杂的子站点。
灵活管理:子网站即可以在主站服务器上运行,也可以在独立的服务器上运行,主站和子站之间通过多方式实现数据同步,增量更新。
平台提供了站点层级管理功能,在此基础上主站点可以推送栏目及信息到子站点,也可以汇总子站点的数据信息,通过统一的管理,能够将整个平台中的数据资源进行有效的数据共享及整合,这样也能大大的节省资源。
平台支持对站点的创建,并提供站点名称、域名、LOGO、语言版本、生成目录、以及SEO设置、栏目页信息条数、分页数等设置。同时为方便对子站的管理,可实现对站点的调整排序功能,方便平台维护人员的切换。
平台提供对整个网站群的集中管理,包括门户网站主网站、各子网站的建设管理,站点数量可根据授权自行定义,多个站点统一在一个界面上进行管理,配置各站点信息,包括网站的新增、删除、编辑、域名、创建时间、模板、流程等。
平台在提供对大型门户网站群建设的同时,为不影响用户对网站页面的访问效率,平台还支持分布式部署,即通过平台所创建的网站群各子站点可通过自定义分组方式发布到指定目标的服务器上,解决某单台服务器因大并发访问量而导致的访问效率低的问题。分布式部署机制同时也对外网网站群做负载均衡部署提供了很好的技术支撑。
网站群内容管理系统系统提供有全文检索功能,其特点就是"专、精、深",且支持对互动类栏目的检索,相比较其它搜索引擎的海量信息无序化、稳定性差,则显得更加专注、具体和深入。
支持对非结构化数据及结构化数据的文件索引;
支持多种切词访问,极大地提高了搜索的准确性和查全率;
标签式网页,方便编辑;
强大的查询语法,支持组合检索;
多语系支持,以Unicode为基础的设计,支持中、日、韩、英等国际语言网站的检索;
支持分类检索,全方位剖析站群信息供分类检索,如政策类、公告类、办事指南类等;
支持关键字分类搜索;
支持关键字模糊匹配功能;
提供完善的智能搜索功能;
支持热词联想检索;
提供热词、分类搜索及搜索结果分类展示功能;
可按时间(天、周、月)搜索、按结果搜索(按时间、相关排序);
支持对检索结果信息中的关键字的标红显示;
支持对网站群多索引库的创建与信息检索功能;
提供规范、开放的应用编程开发接口,满足不同应用开发的需要;
支持网站群分站点检索模板的设置,支持子站检索独立风格检索页面。
首先设置扩展中心的智能搜索管理参数配置,再在索引库管理中新增索引库并且绑定好站点以及设置好管理字段,之后通过数据调用中的全文检索调用使用。
分类检索、关键字模糊匹配、热词联想、热词、分类搜索、搜索结果分类展示、按时间(天、周、月)搜索、按结果搜索(按时间、相关排序)
考虑到方便用户建立门户信息保障制度,平台提供了网站信息及办件统计功能以及访问统计功能。用户可根据需求自行定义工作量统计功能,为运维考核提供数据参考
提供按网站、栏目、机构、用户进行数据的统计,并支持详细的报表下载,便于对网站信息发布人员进行考核。
提供按站点、栏目、信息进行数据访问的统计,并支持详细的报表下载。
网站的互动需求越来越多,已成为网站对外服务的一个重要指标,随着用户需求的变化,互动要求已经从单一的留言、评论变成现在的咨询、招聘管理等,这就要求提供一个功能强大、易扩展的平台作支撑,不但具有简单易用的前台表单自定义功能,还需提供后台工作流管理审批流程。
前台表单自定义:用户可以根据业务需求,设计表单样式、内容及校验规则。轻松实现对每个文档、文档中每个内容、每个区域都可根据某个使用角色的级别不同,设定不同的访问操作权限。
灵活高效的流程控制:平台提供多样化的可定制的办理流程,用户可根据其机构的办件办理流程特点制定出符合自身的交互办理流程,系统提供的办理流程类别包括:受理、直接办理、交办、协办、督办等,完成办件办理的复杂流程,实现单一办件的多部门流转。
灵活定制的互动业务:系统支持组合配置多种互动服务功能,如:领导信箱、举报投诉、意见箱、效能评议。
高效的工作数据统计:对平台内模块、机构、用户情况进行统计分析,为考核工作提供参考数据。
安全控制体系:采用敏感词识别与提示技术,增强内容安全性的同时,减少内容的管理工作。完善的管理与操作日志便于用户审计。分级的权限管理策略有助于在不降低安全性的同时减少日常管理。
人性化设计:平台支持在线即时通信技术,针对“办件”的办理状态和结果可以通过手机短信或电子邮箱方式告知用户,便于用户能够及时准确地了解其递交的办件办理进程,并对其结果及时查看。使用更加人性化。
可扩展的应用体系: 组件模式的互动交流系统为独立部署、功能扩充、系统接入等提供技术前提。
组件化整合式平台:采用组件化设计,是一个开放式、具弹性的平台,各组件可随插即用,使平台更易用、更具扩展性。
平台提供有在线调查组件,该组件可以为网站提供问卷调查及相关管理,以便于网民参与到网站的调查当中,更便于网站管理人员对调查结果的管理。
功能特点:
? 支持灵活开设各种形式的征集,问卷、调查等互动活动;
? 支持多项权限(时间段、IP和用户)控制;
? 支持前台展示可视化模板编辑;
? 支持安全有效性过滤控制(敏感词、后台审核);
? 支持图表式调查结果统计分析。
网站群内容管理系统系统提供数据报送功能,用户可以通过网站前台按照后台网站的栏目进行报送信息。
功能特点:
? 支持前台按照栏目或分类进行新闻信息报送;
? 支持报送信息自动进入网站群内容管理系统;
? 支持类word的信息编辑;
? 支持用户登录管理。
(1)页面风格
网站页面设计应庄重、大方、简洁,体现学校网站的严肃性、客观性、公正性,既要保持统一风格,又要突出区域特色,还需符合万维网联盟(W3C代码标准规范)的相关标准规范要求。
(2)色调
网站在设计过程中应确定一种主色调,合理搭配辅色调,总色调不宜超过三种。且色调选用须符合贵阳特定的历史、人文和地域特色。学校网站的色调整体不宜超过3种,便于保持网站的整体感。
(3)字体
学校网站的字体须选用符合用户习惯的标准字体和字号,同一类别的栏目和信息使用同一模板,统一字体、字号、行间距和布局等。
正文中文字体为宋体、微软雅黑,英文字体为Arial。兼容多种系统和浏览器。网页中正文字号为12px或14px,英文可以偏小一些10px-12px,标题文字字号通常为:16px /18px/20px/24px,尽可能使用双数。
正文行间距通常为24px-28px。
正文字体颜色通用RGB:515151、RGB:686868等纯深灰色。辅助字体,例如时间显示字体用色,建议为RGB:********2等类似的中等深度的灰色。所用页面字体显示清爽,相比纯黑色(RGB:000)字体视觉显示较为柔和,长时间浏览,视觉劳累程度较低。
(5)页面尺寸
学校网站须适配主流分辨率的规格设计页面,现阶段网页设计遵循的主流分辨率为1920px*1080px,页面内容展示宽度为1200px。主要页面高度不宜过长,建议长度为标准分辨率高度的三倍左右。
网站首页面网页在主流计算机配置和当地平均网速条件下,页面加载时长不宜超过3秒。
(6)页面间距
学校网站页面中栏目之间的间距,建议放置为10-15px。栏目间距直接影响到页面的可浏览性程度,在设置时需要慎重。由于现阶段主流电脑显示器分辨率的不断提升,网站页面设计所考虑的页面宽度也有所提升,在网站设计中,建议采用15px的栏目间距。
(7)图标
学校网站页面中使用的图标需统一,主要体现尺寸、风格等。风格上,可以选择填充或者选择线性。比较流行的是线性图标,一般采用3px的粗细。大小常用的有12x12px、24x24px、48x48px、64x64px、96x96px(或者100x100px)。
(8)按钮
学校网站页面中使用的图标等元素,要有相应的响应状态区分和使用反馈,便于用户浏览和操作感知,提升网站的用户体验。
按钮放置的区域和展现形式要综合考虑实际页面环境,做到展示清晰,意思表达明确。特别是和文字图片混排时,注意版式整洁。
(9)浏览器兼容性
学校网站页面对主流类别及常用版本浏览器须具有较好的兼容性,页面保持整齐不变形,不出现文字错行、表格错位、功能和控件不可用等情况。
学校网站需兼容的浏览器主要为:Chrome、IE、 360浏览器、Firefox、Safari。
(10)时间显示
学校网站内容要清晰显示发布时间,时间格式为yyyy-MM-dd HH:mm。文章页需标明信息来源,并需具备转载分享功能,便于政务信息快速传播。
(11)网页排版
网页中运用的三种对齐方式:齐行,居左,居中。通常情况下网页设计中需注意对齐方式的地方有:元素的对齐、文字的对齐、图片的对齐、区块布局的对齐。
a.元素对齐
元素的对齐指的是网页中的一些按钮、图标、搜索框等网页中的元素统一采用一种对齐方式对齐。元素上的对齐分布让整个界面看起来整齐简洁,内容划分也变得比较明确,可读性强,方便浏览者浏览。
一个网页当中,会有很多元素,而元素的对齐可以让整个界面变得井然有序。元素过于随意摆放没有规律,会让界面杂乱无章。
b.文字的对齐
左对齐是文字对齐中最常见的一种对齐方式,居中对齐常出现在文章详情的标题部分,右对齐文字出现的频率较小,不会以大篇幅出现。
左对齐的方式适合人们的阅读习惯,在学校网页设计中也比较常见,采用的频率较高。
居中对齐是近几年随着html5流行起来,越来越多设计用居中对齐作为一些区块内容展示的方式。居中对齐可以让浏览者的视线集中在该区块内容上,其次从样式上的不对称感可以增加界面的层次感和设计感。但是文字居中对齐不适用于文字内容太多的区块。
右对齐常见到的是在一些小的细节中,如登录注册界面、底部导航区块等。
图片对齐比较好处理,需根据网页想表达的内容去做对齐,以达到好的视觉展示效果。所以在不同的情况下,可以采用不同的对齐方式。
同一个网站也不只限于使用一种对齐方式,对齐比较灵活,就算是同个页面,也可以为了视觉效果而采用两种或三种对齐方式,可根据整个界面的效果制定更适合的方法。
区块布局的对齐
页面中小元素的对齐重要,大的区块对齐也很重要。视觉上的对齐,可以让浏览者快速的浏览到相应的内容。小元素不对齐会显得乱,大区块不对齐会让整个界面没有秩序感,也会对网页浏览者造成视觉上的混乱。
(12)信息标注
页面中的图片和视频应匹配信息内容,确保加载速度,避免出现图片不显示、视频无法播放等情况。
(13)版权问题
避免使用可能存在潜在版权纠纷或争议的图片和视频。如引用第三方信息平台的信息,首先确认是否可以引用,其次注意其提出的额外信息标注等条件,确认无误后方可使用。
学校网站页面布局要科学合理、层次分明、重点突出,一般分为头部标识区、中部内容区和底部功能区。
头部标识区要醒目展示网站名称,可根据实际情况展示中英文域名、徽标(Logo)以及多语言版、搜索等入口,有多个域名的显示主域名。
学校门户网站群要悬挂统一的集成化站群标志,由学校部门在其网站头部相同位置统一放置,增强集约化网站群整体概念。
中部内容区要遵循“从左到右、从上到下”的阅读习惯,科学合理设置布局架构。页面内容部分布局整体规整,内容区域划分合理,给用户感觉内容展现清晰、合理。页面布局规划中,要注重页面的“通气”,避免由于内容板块布局不合理,造成页面的视觉拥挤堵塞。
底部功能区要列明网站主办单位及联系方式、ICP备案编号和站点地图等内容。
学校网站各页面的头部标识区和底部功能区要与首页保持一致,以此保持网站的统一感。特定专题页面可除外。
网站布局要注意图文区域搭配的合理性,不要出现大面积文字展示区域,以提升网站的视觉阅览舒适性。
版面设计注重空白的突出作用。拥挤的版面掩盖了重要信息使用户难以发现自己所要的信息,加大了用户的访问量,让用户心理产生拥堵、厌烦的感觉,影响了用户对网站的满意度,版面要留出适当的空白,以20%~50%为宜,能起到强调及引起注意的作用,既能突出视觉效果,还会产生一种格调高雅的意境,会使版面清爽醒目、条理清晰。
栏目是相对独立的内容单元,通常为一组信息或功能的组合,按照信息类别、特定主题等维度进行编排并集中展现。
栏目设置要科学合理,充分体现学校工作职能,避免开设与履职行为、公众需求相关度不高的栏目。
栏目名称应准确直观、不宜过长,能够清晰体现栏目内容或功能。
栏目内容较多时,可设置子栏目。栏目页要优先展现最新更新的信息内容。
做好各栏目的内容更新、访问统计和日常核查,对无法保障、访问量低的栏目进行优化调整或关停并转。杜绝出现空白栏目,暂不能正常保障的栏目不得在页面显示,不得以“正在建设中”、“正在改版中”、“正在升级中”等理由保留空白栏目。
栏目的内容更新应指定专人进行,确保信息更新有保障。
频道是围绕特定主题的重要栏目或内容的组合,一般设置在中部内容区顶部,在各页面统一展示,为公众便捷使用提供导航。重要的单个栏目也可以作为频道。频道设置要清晰合理,突出重点。频道不宜开设过多,以5—8个为宜。
专题需围绕专项工作开设,集中展现有关工作内容。具有主题性、阶段性和时效性等特点。
专题以图片标题等形式在首页显著位置设置链接入口。专题较多时,需设置专门的专题区。
专项工作结束时,相关专题要从首页显著位置撤下并标注归档标识,集中保留至专题区,便于公众查看使用。
专题的页面风格原则上应与网站整体风格一致,具体页面展现可根据需要灵活设计。
随着国内电子商务网站快速发展,特别是其发展带来的网站用户体验的提升,获得了广大网民的一致认可,也提升了网民对学校网站的用户体验期待,所以在学校网站的规划建设中,要充分考虑浏览者的切身体验,致力于营造舒适、高雅的使用氛围,给用户以美的享受和使用的快感。
学校网站要建立统一资源定位符(URL)设定规则,为本网站的页面、图片、附件等生成唯一的内部地址。内部地址应清晰有效,体现内容分类和访问路径的逻辑性,便于用户识别。除网站迁移外,网站各类资源的URL原则上要保持不变,避免信息内容不可用。
学校网站所使用的其他网站域名或资源地址,称为该网站的外部链接。使用外部链接应经本网站主办单位或承办单位负责人审核。不得链接商业网站和非法网站。
学校网站应建立链接地址的监测巡检机制,确保所有链接有效可用,及时清除不可访问的链接地址,避免产生“错链”、“断链”。对于外部链接要严格审查发布流程,不得引用与所在页面主题无关的内容。严格对非学校网站链接的管理,确需引用非学校网站资源链接的,要加强对相关页面内容的实时监测和管理,杜绝因其内容不合法、不权威、不真实客观、不准确实用等造成不良影响。打开非学校网站链接时,应有提示信息。网站所有的外部链接需在页面上显示,避免出现“暗链”,造成安全隐患。
? 所有页面采用扁平化的国际主流设计风格,页面整体风格清爽、简洁。
? 页面主色调采用蓝色系,辅助色采用绿色、蓝绿色,体现大数据的行业特色,以及持续、生态的发展理念,同时也突出了贵州的地域特色;
? 页面版面采用色块进行区域划分,页面板块划分合理,栏目显示清晰,整体页面视觉上生动不单调。
? 页面首页banner采用轮播的形式展现,节约页面空间资源,控制页面长度,同时也利用在有限的黄金广告位置,宣传更多的内容。
? 页面设计中重视页面与用户的交互效果,在设计过程中对页面规划了多样的触发互动效果,提升用户体验;
? 页面设计中重视图标、色块、字体尺寸等辅助设计元素的视觉功效,在整体页面风格确定的基础上,增加页面的视觉活跃度,和页面展示层次。
? 页面设计符合H5规范,便于后期页面在移动端进行展示。
? 提供门户网站建设咨询与规划服务,包括资源规划、功能规划、栏目规划、页面规划、软硬件及安全规划;
? 构思整体网站的风格及色彩运用。
? 首页形象区Banner创意设计图6张(根据时政热点、校园热点动态更新)
? 界面统一视觉标准元素
? 提供内页Banner设计图3张
? 根据首页风格设计内页风格,设计通用栏目页、文章页、频道页、特殊页面(计算器)等;
? 学院官网微信页面适配。
? 网站的构建、栏目设置、样式设置、网站设置、权限设置和页面实施;
? 网站上线前的栏目内容调研;
? 原网站数据迁移;
? 网站上线时内容发布(内容由调研结果组成);
? 微信公众号申请和认证。
?协助部署网页防篡改;
?协助调试应用安全防护;
?对建设网站进行安全加固,去掉冗余功能,屏蔽冗余页面,过滤系统运行环境信息;
?提过网站安全测试的相关测试报告;
?网站建设应满足二级等保相关要求
?提供SEO优化建议;
?动态页面转静态页面HTML页面输出,优化网页打开速度,优化搜索引擎抓取;
?对网站页面进行优化包括但不限于(图片优化,代码优化)
?对网站页面进行标题,关键词,描述等进行优化。
3. 本项目建设的详细实施方案项目实施计划为初步实施计划,某些项目工作模块可同时进行,保障在120个日历日内完成建设。
网站初步实施计划 | ||||
序号 | 阶段 | 需实现效果 | 完成时间(/日历日) | 备注 |
1 | 需求阶段 | 了解、确认网站需求 | 2 | 整理原网站栏目,确认页面设计需求。 |
2 | 栏目确认 | 确认新网站栏目架构 | 2 | 确认网站栏目。 |
3 | 页面设计 | 设计出符合需求及栏目的首页效果图 | 3 | 设计首页 |
4 | 首页效果图确认 | 审核页面效果图 | 2 | 通过审核并签字 |
5 | 设计内页 | 根据确认的首页设计内页 | 5 | 设计内页 |
6 | 确认内页 | 确认内页的设计 | 2 | 确认内页设计,并启动内页开发。 |
7 | 程序开发 | 进行网站开发工作 | 40 | 页面切图、栏目搭建、模板制作、网站开发、数据迁移。。 |
8 | BUG测试及调整 | 网站进行完整性测试 | 3 | 分别对网站功能、数据、页面、栏目进行测试。 |
9 | 数据录入 | 录入空白栏目数据 | 1 | 按照栏目名称分类提供需录入空白栏目的数据3到5条。 |
10 | 网站运行 | 开发完成后进入试运行阶段 | 30 | 进入试运行阶段,并对网站后期效果、功能进行完善。 |
11 | 英文版网站建设 | 开发英文版网站 | 5 | 甲方提供翻译资料 |
12 | 等保测评服务工作 | 按照等保测评2.0标准,开展学院门户网站二级等保测评服务。 | 40 | |
为了有效地保证门户网站建设的质量,整个实施管理工作划分为启动、设计、实施(开发)和运行阶段,每个阶段完成相应的任务,确保信息系统的建设。
首先需要经双方协调,形成《需求调研计划》及《需求调研大纲》,确定准备工作、需求调研的内容、方法方式以及人员和日程安排等内容,经双方同意后按此计划开始调研。调研正式开始前项目开发组应检查所有必要的准备工作已经圆满完成。
项目开发组根据调研中系统实际技术需求,编写并向项目领导小组提交符合CMM LEVEL 3规范要求的《项目需求分析报告》,并由项目组评审,不合格的部分进一步完善调研;评审通过后由双方共同签署评审意见,并正式生效。
需求阶段是整个过程中最重要的阶段,需求分析成果的好坏将直接导致项目的成功与否,因此合作双方在此阶段多投入是值得的。而且一旦评审通过并生效,则需求报告将成为系统的设计、开发、测试、实施试运行和项目验收的基本依据之一,因此原则上用户需求将不再因为其它因素的改变而变更,如需进行此种变更,需经双方项目负责人协商确定。
项目组在《项目需求分析报告》的基础上,对功能和性能要求进一步加以分析和细化并且把门户网站的详细设计文档化,向项目领导小组提交《项目详细设计报告》,并由项目组组织评审并签署评审意见。对其中评审不合格的部分进一步完善和重新策划,评审通过后由双方共同签署评审意见,并正式生效。
首先需要经双方交流协调,形成《项目实施计划》,确定现场实施的准备工作、人员和日程安排、培训计划、阶段目标等内容,经双方负责人签字后生效,按此计划开始现场实施。正式开始现场实施前项目开发组应检查所有必要的准备工作是否已经完成。
现场工作首先要进行软件在服务器端的安装和调试,包括数据库中各类对象的生成,初始化数据,原有系统的重要数据的转换导入,前后台软件的安装,配置参数调整等工作;完成后需向系统维护人员提交《数据库安装目录》,《软件使用手册》等文件。
软件安装完成并确认可在系统正常运行后,开始人员的培训工作;在培训开始之前需要由双方协商形成《培训计划》,明确培训环境、条件及方式,参加人员,课程课时等详细内容,由双方现场实施负责人签字后生效,并分别开始着手准备,在既定时间内完成。
培训完成后由双方共同进行《培训总结》,针对培训效果确定是否达到目标,是否再增加培训课程。
试运行期内用户负责组织针对《项目需求分析报告》所列的系统功能模块进行现场的系统测试,包括新旧两套系统并行工作一段时间进行验证,使每个功能模块都得到基本确认。
在试运行期内系统存在一定的细节性问题是工程项目不可避免的问题,特别是随着用户应用的逐渐深入,此类需求会逐级提出,此类问题不属于系统的致命性错误;因此当试运行期内所发现的真正的“问题和错误”收敛到一定数目以下时,各业务子系统经过一段时间的并行工作新系统已基本可靠,就可以切换到正式运行阶段,开始正式运行。
正式运行后,由用户提出验收要求,双方共同制定《项目验收计划》,组成项目验收小组,共同进行项目验收。此时公司将向用户提交验收的各类文档,包括对系统开发过程进行总结的《项目总结》,《项目技术报告》,最终的完整的《数据库字典》等。
验收工作将由用户组织的专家组对系统进行全面的验收和鉴定,并出具项目验收小组领导签字的《项目验收报告》,并签署验收意见,公司在此过程中将全程参与,在现场进行验收前的维护工作。
公司承诺对系统软件提供服务保证期,在保证期内提供免费的软件升级和维护服务;在保证期外,公司继续为系统的维护提供技术支持,对于软件升级提供优惠服务。
《项目工作日程安排计划》,在实施中的各阶段,对于所发生的需要在现场进行较长时间工作的情况,如果在《需求调研计划》、《项目实施计划》、《培训计划》等工作计划中未包含,则需要在工作开始前双方共同制订好《现场工作日程安排计划》,并严格据此执行,需要双方现场实施负责人签字生效。
《项目工作周报》,在现场实施工作中,为了把阶段性的工作任务具体落实完成,实施中双方互相监督按照原计划开展工作;周五时双方负责人共同对本周计划执行情况进行总结,对原计划填写工作总结,详细描述各项计划的完成情况,未完成的部分应写明未完成原因和责任归属,必要时双方协商一起进行加班处理,力争按时完成;对于不能按时完成的必须调整到下周计划中进行。
《用户项目报告》,对于实施中各阶段较长时间不在用户现场进行的,或项目处于用户试运行、维护期的情况,为了使用户能够及时获知项目的进展情况和公司开发小组的工作情况,公司将在开发阶段每周向用户相关领导提交此报告,维护期内每月至少提交一次。
《阶段评估报告》,实施中当某一阶段性目标实现后,公司将对该阶段双方联合开发组的工作情况进行总结,编写该报告并向工程领导小组提交,及时总结经验教训,为下阶段工作打好基础。
以下是对上面的实施过程中将产生的文件汇总说明:
阶段 | 名称 | 作用 | 评审级别 | 变更控制 |
需求调研 | 《需求调研计划》 《需求调研大纲》 | 确定需求调研的准备工作、内容、方法方式及人员和日程安排 | 双方现场实施负责人 | 双方现场实施负责人 |
《项目需求分析报告》 | 明确用户业务需求 | 双方项目负责人 | 双方项目负责人 | |
项目设计 | 《项目详细设计报告》 | 描述整个系统软件的模块设计,详细设计 | 双方项目负责人 | 双方现场实施负责人 |
现场实施 | 《项目实施计划》 | 项目实施进度,分工,检查点设置,提交成果等计划 | 双方现场实施负责人 | 双方项目负责人 |
项目测试 | 《测试计划》 《测试总结报告》 | 符合ISO9001质量保证体系规定的功能测试、同行间测试文档 | ||
系统培训 | 《培训计划》 《培训总结》 | 明确培训环境条件及方式,参加人员,课程课时等要求 培训记录,培训效果总结,是否达到目标 | 双方现场实施负责人 | 双方现场实施负责人 |
系统安装 | 《数据库安装目录》 《软件使用操作手册》 | 现场安装、调试和提交软件的相关文档 | ||
项目验收 | 《验收计划》 《验收报告》 《项目总结》 | 项目过程总结,技术总结等验收相关文档 | ||
日常工作 | 《项目工作日程安排计划》 | 需在现场进行较长时间的一般工作日程安排 | 双方现场实施负责人 | 双方现场实施负责人 |
《现场工作周报》 | 现场工作周计划 | 双方现场实施负责人 | 双方现场实施负责人 | |
《阶段评估报告》 | 某阶段性目标实现后进行总结,向工程领导小组提交,为下阶段打好基础 |
项目管理办公室是由用户和我公司的高层领导人组成,这样可以充分保证项目实施能被正确的指导和推动,可以迅速解决在实施过程中出现的不可预测的原则性问题。
项目管理办公室中的用户成员有责任推动相关工作人员密切配合项目实施,对中心内部各部门所要达到的项目目标有清楚的定义,明确责、权、利关系,与项目组一起做好工作。
项目负责人必须随时向项目管理办公室报告整个项目进展情况,向项目管理办公室负责,采取正确的实施行动来完成项目实施工作。
双方在项目中的角色和责任如下:
单位 | 责任 |
贵州财经职业学院 | 网站的现状调查、分析; 提出项目需求; 组织方案验收 |
公司 | 项目管理 负责系统连接或软件部署、配置、软件开发等技术文件; 负责项目实施;提出项目测试计划, 配合项目验收 |
在项目的实施过程中,如果没有明确的任务分工,将会造成“职责不清”的混乱局面,使工作关系与任务分配陷入多种的关联交叉状态,导致项目人员“不知所措、不知何往”,这将严重影响对项目的反应能力与控制能力,最终影响实施的进度与实施的质量。
所以要完成好一个项目,建立起一个完善的组织架构后,组织中必须要有明确的分工,做到“各负其责”,但同时需要有统一、有效的领导机构,作到“协调一致”,才能保证整个项目的实施。公司需针对本项目的具体分工如下:
(1)项目管理办公室:
将由用户领导以及公司管理层的相关负责人构成,建议与决定项目管理组人员的组成,接受项目管理组的汇报,指导与监督项目管理组工作,对重大问题作出决定,确保项目实施所需要的资源。
该小组在宣布中标后成立,项目验收后结束。
(2)项目管理组:
接受项目管理办公室的领导与监督,向项目管理办公室汇报;由用户、公司的项目管理人员组成,公司指派一名项目负责人任组长。该组负责协调各相关单位的关系,处理项目中所出现的各种问题;组织各个专业小组,制定项目总的实施进度计划,推进项目进度。
(3)培训组:
接受项目管理组的领导,向项目管理组汇报,制定详细的培训计划,负责协调与实施所有的培训工作,完成培训的组织、培训内容的审定、培训人员的落实、培训场地的联系、培训过程的组织、培训工作总结,按照合同规定完成所有培训工作。
(4)文档组:
接受项目管理组的领导,向项目管理组汇报,制定详细的文档递交计划,负责收集与整理各个阶段的技术文档,按照合同规定完成所有的文档递交工作。
(8)项目实施组(开发组):
接受项目管理组的领导,向项目管理组汇报。
主要工作包括负责项目实施的细节方案设计等工作;给出详细设计的文档、完成文档、网站质量审核;软件安装调试的细节方案设计、协调组织现场软件安装调试;软件集成所需的功能定制开发、接口定制开发。
项目管理范围包括本项目建设周期内各个阶段需求分析、项目计划、项目实施、项目测试、项目验收、网站试运行、系统维护的全过程都包括在内,如项目启动、项目范围内容、项目范围变更等项,具体内容在项目实施前经详细讨论确定。
针对本项目的进度管理从任务分解、时间进度安排到资源分配,每个阶段都有里程碑标志,每个阶段都须严格按照工期要求按时、保质完成,项目负责人负责项目进度控制。
通过对大量的风险事件进行分析,如何使风险事件对项目造成的影响最小,是项目风险管理的主要工作。首先需要预防风险事件的发生,其次当事件发生不可避免之后,应当采取必要的、事先准备好的措施进行工作,将风险对项目目标的影响降低到最小程度。
本项目实施应采用先进的质量管理模式和科学的质量管理体系和流程,并根据项目自身特点选用合适的质量控制规程。
目前,公司主要采用ISO9001质量标准和软件成熟度模型(CMM)两种控制规程。针对本项目,公司将采用GB/T 19001-2000-ISO9001:2000质量体系标准,在项目实施的过程中严格执行这些质量标准。
本项目中,由项目负责人制订质量控制计划,项目质量控制组进行审核。审核方面包括:质量控制措施是否足够、各个成员的质量责任是否明确合理,测试方法是否适用。
为了加强项目质量管理和界定产品质量标准,公司制订适应于项目的检查验收规定,确保本项目网站质量。
本项目中,应实行两级检查、两级验收制度。一级检查、二级检查和一级验收由本公司实施小组组织完成;二级验收由用户组织实施。各级检查验收严格按项目实施中制订的相应的检查验收规定和质量评定标准执行。对实施和验收过程中出现的重大技术问题,将上报用户协调处理,对一般质量问题的处理应予以书面记录。
在项目实施过程中还将采取如下措施保障项目实施质量:
(1)对系统进行安装、产品授权验证。
(2)在项目实施前后对网络性能进行评估。
(3)在系统部署完成后要在实际环境中进行网络连通性测试、安全策略验证和应用系统测试。
(4)配合应用系统做好压力测试,根据压力测试结果调整系统配置。
(5)项目实施后要进行一定时间的试运行,在试运行期间要重点监控网络环境的运行情况、安全策略的验证和系统运行情况,若出现的问题要及时查找原因并加以修正。
质量测试是确保本系统质量的重要手段,不经过认真测试的系统是不能被用于生产的。虽然,对各阶段的文档的审核也可认为是测试,但本项目所指的测试是指对应用软件的测试。做好测试是测试组的责任,测试组是与开发组相互独立的两组,且需要相当的技术和经验,对业务的理解要十分透彻。
建立高效合理的测试流程,包括:做好测试阶段文档和源程序的版本控制;做好测试中发现的BUGS的记录及存档工作;对发现的任何BUGS都要做好原因分析并记录归档;做好回归测试;防止对程序的修改而引起的其他问题。
质量测试的实施过程是与改错过程既是交错的、同时又是并行进行的。在集成测试阶段中,测试一般应当由独立的测试人员来实施。这种方法一方面可以有效地压缩测试的总周期,但更重要的是可以避免开发者自身的思维局限,更加客观全面地进行有效的测试。
对项目实施中的沟通是项目完成的顺利与否的重要因素,所以在整个项目实施的过程中要有一套完善的沟通机制。
在项目实施中,将以项目负责人为核心,实现全面、有效的沟通管理。其中:
(1)项目负责人从始至终控制整个项目的工作进展与步骤,是信息的收集者和发送者。
(2)项目负责人要密切联系了解各干系人信息,及时传达给项目组其他成员。
(3)项目负责人要每周与项目领导小组交换项目工作进展情况,确保项目按计划有步骤地进行,并提交全部项目管理报告给项目领导小组。
(4)项目负责人要每周组织项目组成员召开会议,了解项目进展情况,分派工作,了解项目实施中的问题,及时解决。
(5)项目主管定期联系用户负责人,倾听用户对项目的建议和意见,并采取相应的措施,最大程度保证用户满意度。
(6)销售人员和用户保持正常通畅的沟通渠道,及时接受用户反馈意见。
作为沟通的手段,采用如下方式进行项目的交流:
(1)周例会:必要时参加由项目管理组、用户方在每周共同召开的周例会,会议将对一周以来的工作进展进行回顾,总结问题点,分析原因,并确定解决方案。对下一阶段的工作任务进行部署。会议结果由项目管理组发布会议纪要。
(2)项目阶段总结:在实施的每一个阶段,进行工程阶段总结,评估上一阶段工作得失,为下阶段的工作进行必要的预沟通,解决隐患问题;
(3)多种形式的交流:项目负责人与项目领导小组、用户之间、以及项目队伍成员之间保持通信联络,以传真、电话、电子邮件等方式进行沟通。
公司采用相应的配置控制程序来管理新系统的各个部分,包括文档,需求,数据库设计,编码,文件和数据。并在项目实际实施时制定配置管理计划,并委任一名配置管理员。
配置控制的目的是控制系统的物理和功能特性,确保整个系统的完整性。配置控制既是技术活动又是管理活动,它的过程包括:
配置项目发现和保存
每个配置项目要有一个编号,用来区别有不同需求和实施要求的其它项目。它还有一个版本号,用来标明该项目所处的阶段,在配置项目修改时,版本号要更新。配置系统要能够容纳新的配置项目,不必修改现存项目。
配置项目要保存在软件库里面。为确保足够的安全以及对所有可交付软件项目的控制必须建立如下典型的软件库:
名称 | 状态 |
开发库 | 动态的 |
主库 | 控制的 |
静态库 | 静态的 |
开发库是软件作为一系列模块进行开发和测试的动态库。主库是一个被控制的库,项目的放入和取出必须按规定并以一定的控制方式进行。例如,在单元测试成功之后,模块可以被转入到系统主库,然后供系统集成和系统测试。任何经过以上测试需要修改模块都要放回开发库,以供测试。
当主库达到一定程度的稳定后,就可以将它合成一个基准。每当基准发布以后,相关主库都要进行拷贝产生静态库。之所以叫做静态库,因为以后不再更新,并且归档。
2.配置变动控制
只有当项目已经成为基准的一部分时,软件配置控制才能够进行,它主要控制:
评估对配置项目的变动
协调批准的变动
在本项目的执行过程中,项目负责人将与用户一起定义处理配置变动以及变动授权管理方法。作为对于已经通过的单元,系统的验收测试项目的变动,需要更高级别的授权。
3.配置状态记录
配置状态记录包括所有配置项目跟踪报告,并且贯穿整个系统开发周期中,配置项目状态将通过配置管理员来跟踪和控制。
为有效进行配置状态记录,应该详细记录以下信息:
每个基准版的日期,版本和问题;
每份问题审阅以及文档修改的日期状态;
每份软件问题报告、修改请求、和修改报告的日期和状态;
每个配置项目的总结描述。
软件版本:
公司将在版本文档内记录软件的版本,后续版本要附一个版本说明。该说明列出了版本内的配置项目,并且说明其安装步骤。而且,所有已经修改的错误和已经合并的新的需求都要有记录。要在提交新版本之前重新测试修改过的软件。对于每个版本公司保证文档和代码的一致性,而且保存旧版本。
产品的完整性需要通过变更管理来维持。用户需求的变化、系统需求的变化和系统设计的变化都被监控和跟踪,从而了解被批准变动的实施状态。控制变更的目的是为了确保只有经过批准的变更才能实施,确保变更情况传达到了相应的有关方面,提供它们考虑和获得它们的批准。
用户需求、系统需求和系统设计文档在通过评审并批准后将作为基准。当一个文档变为基准以后,就自动进入变更控制范围。任何变动都需要提交变更请求。变更管理由以下四个部分组成:变更请求、变更评估、变更批准、变更实施和跟踪。
文档必须真实地反映实际项目状态。
文档的验收,不能是在项目验收时统一移交给用户单位,而应当根据项目实施的不同阶段,分批移交,在项目准备阶段就需要制定一个文档移交计划,在规定的时间里移交事先规定格式、内容的文档。
软件开发应严格遵照国家软件工程规范进行,须根据开发进度及时提供有关文档,包括但不仅限于以下文件,视具体情况而定。
(1)响应文件:《合同书》内技术及验收条款。
(2)项目启动阶段:《项目实施/开发计划》《配置管理计划》《质量保证计划》
(3)需求分析阶段:《需求调研报告》《需求规格说明书》
(4)设计阶段:《概要设计说明书》《详细设计说明书》《数据库设计说明书》《接口标准及开发指南》
(5)编码阶段:《模块开发卷宗》《编码规范》
(6)测试阶段:《测试计划》《测试用例记录》《测试分析报告》
(7)试运行/上线阶段:《试运行/上线计划》《试运行/上线报告》
(8)过程文档:《例会记录》《实施/开发周报》《实施/开发进度月报》
(9)培训文档:《培训计划》《培训手册》《培训记录》
(10)交付使用:《用户手册》《操作手册》《系统管理员手册》《系统安装维护手册》《用户使用报告》《项目实施/开发总结报告》
向甲方提供整个系统的安装光盘、本文所规定文档、源代码、二次开发规范和标准接口说明等;以计算机光盘和纸介质两种形式同时交付,一式三份。
最终提供的软件系统无知识产权纠纷,性能稳定可靠,必须提供全套符合行业编程规范、注释清晰明了、能够编译生成生产环境正式运行的应用程序。
项目管理应提交软件开发和实施计划、进度报告、培训计划、培训记录、例会记录以及甲方认为必要的其他文档。
未经甲方认可的情况下,所有的技术文件必须用中文书写或有完整的中文注释。
验收主要以国家、行业和甲方相关技术标准规范、采购文件文件、合同确认的建设要求为依据,对相关建设内容进行逐一核查,如采购文件与合同的建设要求不一致,以有利于甲方的要求为准。在项目实施各阶段需要提供的资料作为本项目所签订的正式附件,与合同正本具有同等的法律约束力。
通过等保3级测评所需相关文件材料。
人员的管理遵循几条原则:本项目中的参与人员在无特殊情况且未经用户同意不进行调换;系统保障期人员均安排参加此项目建设的主要技术人员;本项目的项目管理人员安排具有同类项目丰富项目管理经验的人员。
考虑本系统的保密要求,公司承诺按照涉及国家秘密计算机系统要求进行系统建设的保密管理,并和用户签署保密协议,严格履行保密义务。
考核目的
为了提升项目实施人员的工作业绩、奖励先进、督促后进、促进团队合作、贯彻公司的发展战略,特结合项目实施人员的工作特点,需制定考核方案。
适用范围和特点
适用于公司所有项目实施人员和配合项目实施的技术人员,本方案的考核内容仅限于项目实施部分。
考核指标及考核周期
针对项目实施人员的工作性质,将参与项目实施人员的考核内容确定为工作业绩考核。
考核关系
由总项目负责人会同项目负责人以及相关人员对项目实施进度、质量管理和个人工作能力,项目总负责人做最后考核结果的审批。
项目实施人员的工作业绩指标要根据项目实施工作特点和公司的实际情况主要侧重于个人工作能力、任务指标完成情况两个方面。?
任务指标完成情况:
指公司安排的任务计划是否按时完成。
考核结果分“合格”与“不合格”两种,按时完成即为“合格”,无特殊原因没有按时或因工作质量不达标要求重新实施部分工作即为“不合格”。
个人工作能力:项目实施过程能够独立解决一些常规性问题的,疑难重大问题提出自己的见解和解决方案,日常工作的合理有序安排和实施操作熟练度的掌握。
考核结果分“优秀”、“良好”“一般”三种,能够独立熟练有序完成工作的为优秀,独立/熟练/有序满足其二的为良好,只能达到某一条件为一般。
制作项目实施考核表直观反映考核情况
项目实施的考核过程由三个阶段构成完整的考核管理流程,分别是计划沟通阶段、计划实施阶段和考核阶段。
1.考核明细标准
总分数为10分,达到8分+为优秀,6分+为良好,4分+为一般。
2.计划沟通阶段
(1)项目负责人(或考核者)与被考核者明确本次考核项目的工作任务、完成目标和计划时间
(2)双方确定工作任务等情况的前提下编撰工作计划书。
3.计划实施阶段
(1)行政文员发布项目计划和工作计划以及完成目标和考核标准。
(2)被考核项目组根据工作计划和目标开展工作,达成目标。
(3)各工作计划完成后,被考核人登记完成情况。
4.项目考评
(1)被考核人员每日工作进度完成情况上报,考核人员进度质量核实,并定期向相关负责人汇报。
(2)结果审核
项目实施计划的工作由项目总负责人签署(合格与不合格),行政文员将评估审核结果公示,公示内容包括该项目的完成情况和质量检测以及社会满意度结果。
(3)行政部文员将项目考核结果公示,项目负责人负责与实施顾问进行沟通,项目总负责与技术研发人员沟通,双方共同讨论绩效改进的
方式和途径。
为保证项目的质量,公司需成立专门的项目测试小组,在项目负责人的统一领导之下,完成本次项目的测试工作,首先,在项目开始时,测试小组要完成测试的准备工作,测试准备工作的重点主要包括以下几个主要方面:
对整个项目情况进行调研与了解,以熟悉整个系统的整体架构和实现功能等相关情况,制定出初步的测试计划;
确定测试管理工具的实施方案,对测试管理工具根据项目的特点进行合理规划;包括根据各个项目子系统的特点,制定相应的缺陷跟踪方案、版本提交计划等。
保证测试人员的到位,并对测试人员进行测试管理工具和测试相关基础技术的培训,要求相关系统测试人员先进行相关系统体系结构和功能的了解,为后期的设计测试用例奠定基础。
本项目采用的测试种类包括:模块测试、功能测试、性能测试、全系统测试、压力测试等。
在进行测试前,需要编写详实的测试方案,其中包括测试时间安排、测试准则、测试用例、测试范围、测试目标、测试人员、出错处理流程及处理结果等内容。在测试案例中应包含对异常情况处理的测试,如数据不全、数据类别有误、数据不合法等。
各种类型的测试都是采用循环往复的“测试-改进”操作,以确保问题得到完整、充分的解决的过程。
网站每个模块完成后,进行模块测试。模块测试的目的在于通过大量、反复的测试,尽可能地捕获项目实施时的编码错误,并加以改正,使编写时的错误在这一测试环节得到控制。
功能测试是对项目实现的功能进行测试。功能测试可细分为:独立测试和连续测试两部分。
独立测试是将本项目开发实现的功能一一进行独立测试。在测试过程中,将针对每一个功能制定相应的测试个案,进行严格的功能测试。如测试结果与实现要求不符,将由开发人员进行改进及完善,最终达到功能要求。
测试中发生问题时,编程人员会改动程序以便解决问题。系统将在修改后进行重新测试。此时其进行的测试不仅针对改动部分,还应对原已通过独立测试的部分进行重新测试。
系统的性能是一个很重要的参数,本项目所指的系统性能包括系统的效率、响应时间及处理能力。在测试中,为每个应用设置响应时间、处理速度量度,评估系统的最高处理能力,在发现系统的性能不满足要求进,需进行相应措施对系统的性能进行调整。
对整个网站进行测试,主要针对网站各模块,以及总体功能。按照测试方案中的测试步骤进行,最终做出网站测试报告,主要包含:网站功能、网站实施质量、网站性能等各个方面能否达到设计要求的结论,出现问题,建议解决问题方案。
压力测试的目的是希望能够通过测试,得知在极短时间内对网站进行大量并发访问,是否会对系统造成瞬间无法承受的压力冲击,致使其运行异常甚至崩溃。压力测试可以获知系统的耐压程度,在必要时采取适当的紧急防护措施,如控制、分散等措施,减低缓解系统瞬间压力,防止尖峰时刻的出现,使系统得以稳定地运行。
完成项目整体建设内容后,向甲方书面提出项目初验申请,甲方应在收到响应供应商提出初验申请后20个工作日内对项目进行初验,初验由甲方、最终用户及贵州省大数据发展管理局共同确认合格后方可判定为验收合格,验收合格后出具验收报告。
项目完成初验后,进入试运行期,试运行三个月后,向甲方提交本阶段要求的《系统试运行报告》。
项目初验合格并试运行三个月后,各系统运行正常、稳定,向甲方书面提出项目终验申请,甲方在收到项目终验申请后20个工作日内对项目进行终验,终验需由甲方、最终用户及贵州省大数据发展管理局共同确认合格后方可判定为验收合格,验收合格后出具验收报告。
以甲方公布的采购文件及本合同中规定有利于甲方的建设内容及技术要求为验收范围。
总体要求:
对整个项目的验收包括检查整个系统是否实现了甲方在本文件中所要求的功能,是否与公司提出的解决方案中既定目标功能完全一致。公司必须根据系统总体设计方案提出验收方案,甲方将根据验收方案对系统每个部分进行逐一进行项目用户验收。
响应供应商必须保证本项目所有开发的应用系统软件及使用到的开发工具软件的版权的合法性,本项目完成的所有应用系统软件的源代码及其技术文档等研究开发成果的所有权及版权归甲方所有。未经甲方许可,响应供应商不得在本项目以外使用。
验收内容主要以国家、相关技术标准规范、响应文件和双方合同确认建设内容为依据,对相关建设内容进行逐一核查。
本项目提供的软件及产品须保证系合法取得,任何涉及知识产权和设备非法获得的纠纷与甲方无涉。
公司必须完成网站系统的开发、集成、部署、培训,网站功能和效果满足甲方需求。
公司必须完成原网站内容迁移、官网的上线、网站新内容的发布,网站效果满足甲方要求。
网站安全防护体系建设满足甲方要求,通过甲方组织开展的代码审计。
公司须为验收提供必需的一切条件及相关费用。
为确保网站投入使用后,能够稳定、良好地运行,达到建设预期的目的,将对用户相关人员进行全面、细致的培训工作。
本项目人员培训,是指对网站的使用人员、网站管理人员进行培训。目的是使该项目的受训人员充分具备使用和管理能力,了解与项目相关的认识,以便更好的开展工作。经过培训,保证贵方人员能够独立进行使用、管理、维护和日常处理,保证网站正常、安全的运行。
本项目培训方式包括:使用操作培训、网站管理培训等几部分,由我公司向用户提供现场培训。
用户单位本网站信息录入人员、审核人员、网站管理人员。
项目负责人和用户共同商讨决定,网站培训日期、培训人员、培训课时。
培训地点和设备和甲方沟通决定、我公司提供培训教师、培训教材、培训内容。
响应供应商根据所响应,编制培训计划表,详细说明各相关培训内容,此表培训项目必须与技术响应文件中培训建议内容一致。
?公司配合用户随时密切监视网站信息内容。每天早、中、晚三次不少于一小时。
?发现网上出现非法信息时,公司及时通知用户具体负责人员。
?公司技术人员配合用户及时处理非法信息,强化安全防范措施,并将网站网页重新投入使用。
?公司配合用户妥善保存有关记录及日志或审计记录。
?公司在问题处理完毕后,将有关情况向用户方领导及时汇报。
?用户召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
?当网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,公司立即向用户通报情况。
?公司积极配合用户方进行被破坏系统的恢复与重建工作。
?公司积极配合用户方有关部门共同追查非法信息来源。
?安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。
?当发现计算机感染有病毒后,公司立即向用户通报情况。
?公司积极配合用户方启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。
?公司配合用户方对门户网站平台及网站相对应的数据进行备份,并将它们保存于安全处。
?一旦软件遭到破坏性攻击,公司第一时间安排专业人员进行处理。
?公司配合用户方进行系统和数据的恢复。
?公司安排专业人员检查网站日志等资料,确认攻击来源。
?一旦发现数据库异常,公司第一时间安排专业人员进行处理。
?公司配合用户方进行数据的恢复。
?公司安排专业人员检查数据库日志等资料,确认异常信息来源。
从通过最终验收合格之日开始计算,公司提供3年质保期,质保期的第1年,提供免费运维服务。
本项目质保期为3年(自项目终验合格之日起计)。质保期内出现因运行故障、功能缺陷导致系统不能正常工作,在甲方或最终用户方提出故障问题后1日内由负责包修、包换,承担因此产生的人工、现场、部件等一切费用,并承担由此造成的一切损失。
项目建设及项目质保期内,及时提供所承诺的相关服务,不得以任何理由拒绝、拖延为甲方和项目相关厂商提供服务。
质保期内,为甲方及最终用户方提供全面的服务保障,包括但不限于以下内容:
(1)第一年质保期内为甲方及最终用户方提供365 × 7 × 24的本地化售后技术服务、电话热线服务。
(2)第一年质保期内定期开展系统全面巡检,每年不少于4次,并于质保期开始后的每季度第一个月10日前,向甲方及最终用户方出具上季度系统巡检报告,针对巡检中发现的隐患问题,应立即组织处理,确保整个系统的正常运行。
(3)第一年质保期内发生系统故障时,接到甲方或最终用户方通知应立即响应,技术人员必须在60分钟内到达现场,6小时内处理完毕。若由承建的系统故障在12小时内仍未处理完毕的,必须采取应急措施或引入第三方专业机构加以解决,不得影响甲方及最终用户方正常工作,产生的费用由承担。
(4)第一年质保期内为集团网站和公司网站分别提供一次前端页面改版服务。
(5)第一年质保期内根据甲方需求,提供不少于30人天的业务功能改版服务。
(6)第一年质保期内提供内容发布和内容更新服务。
(7)第一年质保期内根据甲方要求,在重大节假日重大活动期间提供重点保障服务,必要时提供现场服务。
(8)三年质保期内在甲方及最终用户方每年的各项安保任务期间,须按照甲方及最终用户方安保任务期间信息系统保障方案,做好现场值守和远程技术支持服务,确保各项安保任务期间承建的系统运行正常、稳定。
(9)三年质保期内为甲方及最终用户方提供不少于1次/年的系统软件功能的免费软件改进和升级服务。
质保期内如产生售后服务违约行为,不积极采取措施解决的,每发生一次违约行为,应按质保金的1%向甲方支付违约金,并承担由此给甲方造成的一切损失,违约金的最高限额为质保金的20%。
质保期满后,如果甲方继续聘请对系统及设备进行维护,则双方另行签署维护协议。
承诺:
? 在质保期满后,若由继续向甲方或最终用户方提供系统软件改进升级、技术支持等服务,须以不高于项目成交价4%每年的价格,向甲方或最终用户方提供系统维护服务。
? 项目运维服务期内提供网站版面或栏目调整、功能调整、节假日或重大活动期间保障等服务。
? 免费运维期结束后,单独签署运维服务合同,每年运维费用不超过网站建设总费用的10%。
? 提供两年免费7*24小时的售后支持服务,保障网站健康、安全、正常运行;
? 免费的系统升级服务,当公司对本项目产品存在优化升级版本时,我们将通知用户进行免费的系统版本升级
? 重要节假日,提供特殊的保障服务(保障方案、本地化保障团队等);
? 在维保期内提供定期提供巡检,一个季度一次。
? 网站运行故障的修复;
? 在改变网站整体布局的情况下,对网站局部设计及板块进行调整(每年不超过20个工作日);
? 配合用户进行网站栏目调整(每年不超过10个工作日);
? 配合用户对系统功能进行使用优化(每年不超过10个工作日)网站安全攻防演练及安全检查的配合协助工作。
? 远程支持——采用电话、QQ指导或远程登录、电子邮件等方式提供技术支持。
? 现场技术服务——当远程支持无法解决用户问题时,指派技术人员提供现场技术服务。
? 定期跟踪——服务期内,我公司会随时定期通过电话跟踪使用情况,及时了解存在的问题,并随时给予解决。必要时,我公司派遣技术人员到现场解决存在的问题。我公司还定期派遣技术人员现场回访,了解应用系统的运行情况,听取意见和建议,解决存在的问题。
? 服务范围
软件故障
系统故障
系统优化;
对系统问题的咨询服务;
其它必须的技术服务。
? 响应时间
保修期内,所有故障维护服务均要在1个小时内响应。提供7*24小时技术支持,包括各种软件系统故障及对各种突发事件采取应急措施等,服务响应时间为1小时。在此期间,公司通过电话提供解决方案,或者利用远程维护方式解决问题。若不能在1时内解决故障问题,公司在2小时赶到现场解决。对设计系统代码、数据库修改等系统实质性内容的修改,公司在2时内派人到现场上门服务,排除故障,并分析故障原因,提出书面故障分析报告及防范措施。
5. 安全推荐防范方案学校网站要根据网络安全法等要求,按照二级等保的要求,贯彻落实网络安全等级保护制度,采取必要措施,对攻击、侵入和破坏学校网站的行为以及影响学校网站正常运行的意外事故进行防范,确保网站稳定、可靠、安全运行。在网信、公安等部门的指导下,加强网络安全监测预警技术能力建设。网站安全与网站开设要同步规划、同步建设、同步实施。
学校网站普遍存在业务数据机密性要求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点。而网站中不同业务功能模块的信息安全需求又各不相同。如对外便民服务信息系统具有相对开放的结构特点,用户一般为普通民众,便民服务业务对数据的可用性和完整性要求往往大于其对机密性要求,而在网站上独立运行的业务信息系统具有相对封闭的结构特点,用户一般为内部用户,用户对数据的完整性和保密性要求往往大于可用性要求。因此学校网站安全风险贯穿前端Web访问到后端数据处理和反馈整个过程。因此可以定性的认为:前一类信息系统面临的服务中断、外部黑客攻击、非法入侵、安全漏洞等威胁的概率比较大,而后一类内网泄密、监管审计不到位等威胁的概率比较大。
公司需设计安全拓扑图,采取全方位安全措施进行防护。
在Internet出口处部署一台抗DDOS攻击防护系统,用于防护来自外网的拒绝服务攻击;
找出主机系统、网络设备及其他设备系统中存在的补丁漏洞和配置漏洞,进行加固,以保障系统的安全性;
在网站服务器前部署一台Web应用防护系统,通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题,充分保障门户网站的高可用性和可靠性。
防火墙部署在因特网的接口处,除对因特网用户的访问作限制外,还通过它连接表现层和业务逻辑层,仅仅允许web服务器通过防火墙存取数据库中的数据,通过三层结构进一步完成网站的安全系统。
入侵检测系统则部署在对外提供服务的表现层中,实时检测网络中可疑的数据包,在发现入侵行为时一方面对管理员进行报警同时和防火墙联动切断入侵者的攻击路线。
现有众多安全隐患均是利用系统漏洞的攻击,这种攻击方式是使用缓冲区溢出方式获得管理员权限,从而任意修改网页内容,窃取信息。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取电脑中的重要资料和信息,甚至破坏系统。
通过采用漏洞扫描系统,及时为网站管理人员发现并制止因为系统漏洞而导致的系统损害。
病毒防范系统防止系统级的病毒泛滥,并可对网站系统中上传的文件进行自动杀毒处理。
通过WEB应用防火墙系统的建设与应用,实现对WEB应用系统网站的深度应用攻击防护,支持HTTP/S的双向深度分析,实施抵御各类攻击,包括SQL注入、命令注入 、Cookie 注入、Cookie假冒、跨站脚本(XSS) 、敏感信息泄露、挂马攻击、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、强制访问、应用层拒绝服务、其他变形的应用攻击。
WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用恶意攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等。
系统通过对Web流量进行深度检测对Web应用进行深度防护,提供了全面的入侵防御能力,能在攻击到达Web服务器之前进行阻断,防止恶意的请求或内置非法程序的请求访问目标应用。系统能够解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。系统还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。
针对不同攻击方式采取不同防护方法。如
攻击方式 | 描述 | 网页防篡改的防护方法 |
跨站脚本攻击 | 跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。 | |
SQL 注入 | 攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。 | |
命令注入 | 攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。 | |
cookie/seesion劫持 | Cookie/seesion通常用于用户身份认证,并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/seesion提高访问权限,或伪装成他人的身份登陆。 | |
参数(或表单)篡改 | 通过修改对URL、header和form中对用户输入数据的安全性判断,并且提交到服务器。 | |
缓冲溢出攻击 | 由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。如获取系统管理员的权限。 | |
日志篡改 | 黑客篡改删除日志以掩盖其攻击痕迹或改变web处理日志。. | |
应用平台漏洞攻击 | 黑客通过获悉应用平台后,可以利用该平台的已知漏洞进行攻击。当应用平台出现漏洞,且没有官方补丁时,同样面临被攻击的风险。 | |
DOS攻击 | 通过DOS攻击请求,以达到消耗应用平台资源异常消耗的一种攻击,最终造成应用平台拒绝服务。 | |
HTTPS类攻击 | 一些狡猾的黑客通过HTTPS进行HTTPS类的攻击,由于SSL加密数据包无法进行有效的检测,导致通用的网络防火墙和普通WEB应用防火墙无能为力。 |
在网络层面,安全主要关注安全域划分、入侵防范和抗拒绝服务攻击。
安全域划分服务通过对数据流向、网络结构等多方面因素,划分合理的安全域。网络系统一般都内部局域网、政务专网(也称广域网)和互联网三大区域,各区域之间要求的不同,采用不同的安全防护设备,包括实现逻辑安全隔离的防火墙。
在网络部署上遵守能不对外开放的服务器尽量不对外开放的原则。
针对网络系统中内部局域网、广域网和互联网三大区域之间,都部署了防火墙,依据安全政策对出入网络的信息流进行控制,有条件地允许、拒绝、检测或过滤信息。防火墙设置综合考虑系统所要求的速度、性能、管理、便易性和性价比等各个方面因素,进行周密设计和总体规划;尽量使用不同的服务器提供不同性质的服务;对于重要系统的出口应重点配置防火墙;在实际配置和实施时应该关闭不需要的服务; 要经常检查防火墙的日志,发现异常应该及时处理,另外还应采取多层防御、冗余防御等措施。
另外广域网与内部局域网之间部署防火墙,加强安全管理,采取必要的措施保证内部局域网较高的安全性。
通过专业的漏洞扫描软件对网络设备及服务器系统进行扫描,可以了解安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络网络风险。网络管理员根据扫描结果更正系统中的错误配置、进行系统加固、安装补丁程序,或采用其他相关防范措施,从而避免被黑客利用。
利用现有防护设备或重新部署防火墙设备对网站服务器区进行边界安全防护,划分网站服务器区安全域,使之与网银区域逻辑隔离。通过Internet边界防火墙在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。同时利用WAF的访问控制功能进行网站服务器区专项访问控制防护,有效地控制黑客利用网站服务器为跳板攻击网银服务区的可能性。
在入侵防范方面,作为防火墙的合理补充,配备入侵检测防御系统能够帮助系统识别入侵、攻击以及异常数据流量,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统从计算机网络系统中的若干关键点收集信息,并分析这些信息,如果发现有黑客入侵或都入侵前的准备行为(例如对服务器的端口进行扫描),能够对这些行为向管理员进行报警,因此可以在黑客入侵前或入侵过程中就发现这些行为,并由管理员做出相应的应对措施,抵御来自互联网的各种入侵行为。
基于Web业务的可用性和连续性要求的考虑,应该在Internet的出口处设置对拒绝服务攻击的防护手段。通常使用的防火墙作为通用型网络安全产品,在防DDoS方面不可能达到专业产品的性能和效率,对大规模的DDoS攻击是无能为力的,甚至会成为攻击目标,造成整个网络的中断。为了实现在抗拒绝服务攻击的同时不影响网络的通讯速度,应当采用专门的硬件设备来抵御拒绝服务攻击。
抗拒绝服务攻击系统通过集成的检测和阻断机制对DDoS攻击实时响应;采用基于行为模式的异常检测,从背景流量中识别攻击流量;提供针对海量DDoS攻击的防护能力;系统能够对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断,从而有效保护门户网站系统的应用服务器;丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
从系统层面的安全威胁来看,可以利用漏洞扫描系统高效、智能的漏洞识别技术,第一时间主动对网站服务器区中的服务器和网络设备进行细致深入的漏洞检测、分析,并出具专业、有效的漏洞防护建议。
同时可以利用Web扫描功能进行应用层扫描。Web应用扫描最关键的技术是网站智能爬虫技术。智能爬虫技术具有自动遍历整个Web服务器的深度扫描功能,自动分析应用系统的代码,当发现了存在弱点的代码之后,会根据不同数据库的特点尝试进行数据获取,验证漏洞的真实性。远程安全评估系统的WAS模块扫描结果准确,误报和漏报率低,全面检查网站各级页面中是否被植入恶意代码(如SQL注入、跨站脚本、网页挂马等),确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道。
可以通过门户网站安全评估和加固,使系统有效的抵御外来的入侵和袭击,长期保持在高度可信的状态。其中,渗透测试是安全评估阶段必不可少的服务手段之一。渗透测试是模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。通过渗透测试,可以发现门户网站系统中存在的系统漏洞、代码漏洞和程序逻辑问题(如绕过认证)等。
网站服务器和相关设备的安全加固,是利用多种技术手段对网站服务器区中的网络设备平台、服务器进行安全加固和配置优化,提高网络设备安全性和抗攻击能力,针对网站服务器区所提供的安全加固服务手段有:
a. 基本安全配置检测和优化
b. 帐户密码系统安全检测和增强
c. 网络服务安全优化
d. 网络访问控制安全优化
e. 网络路由与交换协议安全优化
f. 端口安全设置网络连接参数安全增强
g. IOS升级与补丁安装
经过良好配置的网络设备及服务器的抗攻击性和自身安全性有极大的增强。在对其作相应的安全配置后,结合定期的安全评估和维护服务就使得其保持在一个较高的安全线之上。
在当今信息安全意识、信息安全产品都日益成熟的年代,为何入侵者获取数据依然如入无人之境? 很多人认为,在网络中不断部署防火墙、IDS、IPS等设备,可以提高网络的安全性。但是为何基于应用的攻击事件以及相应的“泄库事件”仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。
以B/S常见的对外提供服务的学校网站、学校业务系统等所涉及到的应用安全主要由以下几个方面构成。
1.访问控制:针对用户及恶意攻击者访问信息时进行有效地控制,对于正常请求允许访问,对于恶意请求应及时进行阻止;
2.信息保护:针对于恶意攻击者进行敏感信息访问时应及时保护;
3.安全审计:对业务系统的运行应具备安全审计功能;
4.数据库应用安全:应针对数据库系统进行安全检查,对数据库的操作行为应进行安全监控。
5.软件容错:应用系统及数据库在上线前后及更新时应做好安全性测试,减少系统存在漏洞的可能性,避免有漏洞的系统对外发布。
以上几方面的内容都应具有相应的技术手段和管理制度来实现信息系统的应用安全。
应用安全从整个信息安全的生命周期中是一个动态的、长期的过程,是从建设开始,风险评估、安全加固、安全防护、安全审计、再评估、再加固的过程。而从实际应用考虑,应用安全至少应满足以下要求:
1.事前预警:通过应用系统及数据库的风险评估,发现可能存在的信息泄密点,并进行安全加固随着应用系统及数据库的不断升级,学校能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布,降低信息受泄密的危害;
2.事中防护:恶意攻击者对应用系统及数据库进行攻击或恶意操作时,管理人员及系统能够具有有效地手段阻止恶意行为的发生,减少信息泄密的发生次数,避免对学校和信息造成影响;
3.事后追溯:对于何人何地何时访问学校信息时能够具有追溯手段,对发生的信息泄密事件提供查询工具,方便维护人员及管理员进行事件跟踪和定位,并为事件的还原提供有力依据。
传统网络层安全防护措施和防御体系在安全管理中相当重要,但在面临数据被泄露的安全问题中,应用安全的防护能力更加重要。使用以博虹科技有限公司所提倡的一种基于风险评估模型及“事前+事中+事后”的安全理念的结合传统网络层防护措施的新型应用安全解决方案,将有效降低应用安全风险和出现被泄露信息的风险。
1.风险评估与加固层面:威胁一个信息系统的风险可能来自不同的层面,从网络层、系统层到应用层,都有可能形成对信息系统直接或间接的威胁。通过风险评估对整个信息系统进行有效地安全评估,发现信息系统技术与管理方面存在的威胁。通过专业安全团队的加固,减少或降低威胁对系统造成的影响,避免因存在的威胁造成的信息泄密影响。
2.事前安全防范层面:当前绝大多数学校缺少必备的WEB安全和数据库安全的评估工具,使事前的风险评估难以实施。专业的安全产品需要有效的安全策略才能发挥应有的功能,而事前的安全评估则显得尤为重要。学校业务系统最重要的资产集中在WEB应用层和数据库系统,因此长期有效的保障学校业务系统的安全,安全运维人员应有必备的安全评估工具及技术实力。
3.事中安全防护层面:安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前绝大多数的学校基本上把信息系统的相关主机托管至IDC机房,根据IDC的不同等级分别具备了物理层安全和网络层安全。但学校尚缺少有力的安全防御措施如专业的远程安全接入主机的VPN,网络防火墙,WEB应用防火墙等安全设施,应切实建设相应的安全防御措施,提高系统的抗风险能力。
4.事后安全审计层面:学校核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对学校造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
从Web应用的威胁分析来看,Web应用防护系统是事中有效防护和控制的关键设备。Web应用防护系统需要对用户提交Web服务器端以及Web服务器端向用户返回的双方向数据进行检查。WAF产品可以实现用户à服务器以及服务器à用户双向数据的清洗。对于用户提交服务器端的数据,WAF可以实时发现用户提交数据中的恶意脚本和问题代码/命令。可以进行必要的内容过滤,如恶意脚本和代码,HTTP Error Response(4xx,5xx等),关键敏感字等,充分保证了用户侧的安全,同时避免了服务器端重要信息的泄露。
网页防篡改是将核心程序嵌入到Web服务器中,通过触发方式进行自动监测,对所保护文件夹的所有文件内容(包含:html、asp、jsp、php、jped、gif、bmp、psd、png、flash等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得Internet用户无法看到被篡改页面。
学校网站服务器不得放在境外,禁止使用境外机构提供的物理服务器和虚拟主机。优先采购通过安全审查的网络产品和服务。使用的关键设备和安全专用产品要通过安全认证和安全检测。被列为关键信息基础设施的学校网站要在严格执行等级保护制度的基础上,实行重点保护,不得使用未通过安全审查的网络产品和服务。按照要求定期对学校网站开展安全检测评估。
部署必要的安全防护设备,应对病毒感染、恶意攻击、网页篡改和漏洞利用等风险,保障网站安全运行。操作系统、数据库和中间件等软件要遵循最小安装原则,仅安装应用必需的服务和组件,并及时安装安全补丁程序。部署的设备和软件要具备与网站访问需求相匹配的性能。划分网络安全区域,严格设置访问控制策略,建立安全访问路径。
前台发布页面和后台管理系统应分别部署在不同的主机环境中,并设置严格的访问控制策略,防止后台管理系统暴露在互联网中。要对应用软件的代码进行安全分析和测试,识别并及时处理可能存在的恶意代码。对重要数据、敏感数据进行分类管理,做好加密存储和传输。加强后台发布终端的安全管理,定期开展安全检查,防止终端成为后台管理系统的风险入口。
加强用户管理,根据用户类别设置不同安全强度的鉴别机制。禁止使用系统默认或匿名账户,根据实际需要创建必须的管理用户。要采用两种或两种以上组合的鉴别技术,确定管理用户身份。严格设定访问和操作权限,实现系统管理、内容编辑、内容审核等用户的权限分离。要对管理用户的操作行为进行记录。加强网站平台的用户数据安全防护工作。
使用符合国家密码管理政策和标准规范的密码算法和产品,逐步建立基于密码的网络信任、安全支撑和运行监管机制。
在学校网站建设中,应采用可信计算、云计算、大数据等技术,利用集约化手段,开展网站群建设,减少互联网出口,实现网站的统一管理、统一防护,提高网站综合防护能力。
安全管理与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的安全产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,以博虹提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户安全提供保证。
防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范,降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。以博虹科技有限公司依据多年的应用与数据库安全经验,拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论,来建设应用安全体系。
统一安全运维监控中心通过对全网安全域中IT资源事件的采集、处理和分析,构建可度量的业务信息系统风险模型,实现集中监控、分析、预警和管理的信息系统,展示整体信息安全态势,为用户提供全网业务系统安全集中管理并提供直观的可视化监控大屏和多渠道实时预警通知,并为整个信息系统的安全运营提供决策服务和运维流程管理。安全运维监测中心是从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得用户能够对其所有业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。它除了包含技术以外,还有两个重要的组成部分:人(维护人员、应急小组)和操作过程(相应的管理制度和事件处理流程),体现了信息保障所强调的人、技术、操作这三个核心原则。因此它不仅是技术手段上的快速提升,同时也是管理体系上的高效改进。
监控中心集成统一预警中心,实时多方式发送预警信息。通过监控中心对各个应用系统进行实时监测,在应用系统出现不可访问的情况时第一时间以短信和邮件的形式通知相关责任人,进行故障查看和排除的工作,尽最大可能的保证系统的不间断工作。监测中心需要对各应用系统的运维/管理责任人员的信息进行管理,对监控任务进行管理;
用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。
全面的安全信息收集,通过多种标准协议或定制的收集工具全面收集安全设备、网络设备、主机系统等各类设备产生的日志数据和安全信息,并进行数据格式标准化,为信息共享和数据交换提供数据基础;
系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自于已发现的外部攻击源的威胁。
智能的数据分析,通过信息共享和数据交换对采集的数据进行智能化分析,实现安全信息的集中整理和准确的定损关联,使得技术人员快速的从海量数据中获取有价值的信息;
系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。
针对系统收集到的海量安全事件,系统借助地址分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap、即时消息、工单等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
独立的安全知识管理模块,提供安全信息发布的平台,包括安全技术交流、安全案例库、系统管理知识、安全维护管理知识、安全新闻等相关信息以及系统补丁库、常用安全维护工具、工具软件等工具下载,以实现安全知识的共享,提供组织的整体安全水平;
安全运维监测中心在信息安全管理和安全技术之间起到承上启下的作用,成为技术人员在安全运维过程中的一把利器,能够更有效地回应不断变化的安全风险。
数据采集层:根据要求从网络设备、安全设备、主机系统等数据来源采集各种安全信息。
数据处理层:将采集到的原始安全信息进行关联分析处理,并将所有安全信息进行格式标准化处理,根据策略进行数据归并和压缩后,存储到数据库中。
应用服务层:从数据库中提取信息,并按照策略完成数据的过滤、条件分析,为展示平台提供数据支持;同时还是展示平台进行资源配置的接口。
展示平台:实现安全运维监控中心的统一界面展示。通过Web方式提供统一的图形化管理界面,安全运维监控中心实现了安全监控、维护、管理、展示的全部功能。
数据采集层负责根据策略采集各种安全信息。 采集的方式包括:SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、文件、与用户协商的扩充协议。采集的对象包括:路由器、交换机、帧中继等网络设备上相关的安全信息;漏洞扫描子系统、入侵检测子系统、防火墙子系统和防病毒子系统的安全信息,通过其各自的控制台输出,由数据采集层来接收采集;主机系统的安全信息,由数据采集层直接从主机系统进行收集;从日志服务器、网管服务器收集相关的安全信息;数据采集层将所采集到的数据进行简单归并处理,作为数据处理层的原始数据
数据处理层负责对采集到的原始安全信息进行分析处理。将从网络设备、安全设备、主机系统等数据来源采集到的原始安全信息结合数据库中的资产信息进行关联分析,确认原始安全信息的真实性,并对确认后的安全信息进行格式标准化处理,按照指定的信息收集策略归并安全信息,再经过特定的数据压缩后,存储到数据库中。数据处理层必须将采集到的原始安全信息与通过应用服务层存储的资产信息进行关联分析,以从海量的原始安全信息中提取出有价值的安全信息,为有效降低风险提供准确依据。
应用服务层是展示平台、数据库和数据处理层之间衔接的接口。展示平台通过应用服务层最终完成了拓扑构建、主机及数据库监控、资产管理、脆弱性管理、风险管理、工单管理、安全知识管理、安全策略管理、安全预警等模块的配置信息的录入和修改功能。展示平台通过应用服务层从数据库中提取信息,按照定制策略进行数据过滤、条件分析,以完成资产信息统计、脆弱性统计、工单统计、报表输出等。展示平台通过应用服务层从数据库中提取安全信息,按照定制策略进行抽样分析、模式匹配、异常检测完成安全信息的统计
展示平台实现了安全运维监控中心的统一界面展示。通过展示平台,我们能够查看全网拓扑信息、主机及数据库监控信息、资产分布状态、关注区域的安全状况、安全事件的发生趋势、各类资产的脆弱性状况等;通过展示平台,最终完成对资产管理、安全信息监控、脆弱性管理、安全事件处理、安全知识管理、安全策略管理、安全状况评估、安全预警各功能模块的配置;通过展示平台,最终完成报表的生成、输出(保存和打印)等。
拓扑管理作为网络管理的基本功能,是网管中最基本的也是最重要的组成部分之一。一般情况下,网络管理系统首先都要进行必要的拓扑发现、拓扑监控、拓扑操作,从而充分了解网络系统的运行情况。
拓扑管理实现如下具体功能:
1.自动发现网络设备及其连接,获取最初的网络信息;
网络设备的初始发现。系统能够自动发现网络节点 (包括路由器,交换机和二层的交换设备等),检测网络设备连接,生成和保持TCP/IP网络图。
2.提供各类网络监控视图,使管理员可以直观的了解网络当前运行状况;
通过多种角度的监控视图,管理员可以从不同视角、不同深度了解网络的运行状况,从而发现潜在问题,了解网络运行情况。当网络出现异常时,可以调用详细的网络扩展监控视图,实现网络故障的诊断。
对组织的信息资产进行准确、科学地评估,评估资产的风险值和相应的价值,并且定期或不定期地对资产进行重新评估和赋值。
安全运维监控中心可帮助组织视觉化地直观掌控资产状况,快速确定资产分布、资产价值和风险。资产管理参照国际相关标准(如:ISO 17799)中关于资产管理的要求,实现资产登记、资产的所有权、资产的分类、标识和处理,并结合组织的特殊情况进行调整,也可按照国内相关标准(如:信息系统安全等级保护规范)来划分和标识资产。
以资产为核心,结合等级保护中关于资产的价值、脆弱性、威胁,并按照相关标准分析资产风险及风险变化情况,并给出降低风险的解决方案。
具体的风险分析参照了国际安全管理标准ISO13335 中的“预定义风险价值矩阵法”。此方法基于这样的前提:风险分析需充分考虑资产价值、威胁发生的概率、脆弱性被威胁利用的概率这三个元素,因此根据这三个元素预先设定一个三维风险价值矩阵,然后逐一确定目标信息资产的价值、威胁发生的概率、脆弱性被威胁利用的概率,从而科学地从风险的预先价值矩阵中计算出对应的风险量化值。
安全运维监控中心的主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性。风险管理协助管理员在最短时间内找出对组织重要资产有严重影响的脆弱性,并提供解决方案,帮助管理员对脆弱性做出正面积极的响应,预防可能发生的损害。
风险管理为组织对IT维护人员的日常工作管理提供了依据,为评价安全决策、安全工作的成果提供了量化的衡量指标。
登记和显示被监控的所有服务器和终端主机的资产信息,形成主机系统资产信息库,方便管理人员确认主机系统的资产状况。
通过在每个 WINDOWS 前端设备上部署 Agent 实现主机设备信息的采集,Agent 负责实时采集前端设备的资源指标,包括 CPU 使用情况,内存的使用情况,网络连接使用情况和磁盘空间使用情况,汇总到统一管理平台。非WINDOWS不需要部署agent既可收集上述信息。统一管理平台通过程序接口访问数据库获取主要监测数据,进行数据入库和展现。统一管理平台实时监控主机系统的运行状况,当主机系统出现异常时,及时产生预警信息,并可自动触发工单系统督促相关责任人进行快速处理。
支持的主机系统包括:Windows 系列、Sun Solaris系列、HP UX 系列、IBM AIX 系列、LINUX、OpenBSD、FreeBSD、SCO UNIX 等。
登记和显示被监控的所有受监控安全设备的资产信息,形成安全设备资产信息库,方便管理人员确认安全设备的资产状况。
实时监控安全设备的运行状况,当安全设备出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。
针对数据库,监控的内容包括数据库进程启动情况,日常运行日志,表空间的使用情况,数据库Session情况,数据库系统设计的文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资源情况、监控数据库进程的状态、进程所占内存空间等。当数据库系统出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。
支持的数据库有:SQLLITE、Oracle、Oracle RAC、DB2、SQLServer、Mysql 等。
监控的应用服务包括包括web应用服务、邮件服务、学校内部业务系统等。
登记和显示被监控的所有受监控业务系统信息,如OA系统等,形成业务系统资产信息库,包括业务系统运行软硬件平台、业务系统运行和维护责任人等。同时,结合国家等级保护政策要求,清晰划分业务系统的安全保护等级。业务系统模块主要是监测当前业务系统的功能是否正常,功能访问排行,在设定的时间段内执行的各种操作的次数、每个操作的总时间消耗和在系统各部件的时间消耗、不同客户端执行同样操作完成时间的比较等。
1.监测系统功能是否正常
通过采集 Agent的探测实现。Agent定期进行各个关键功能的访问,并把探测的数据发送到统一管理平台。由统一管理平台的接收程序进行入库,同时在界面进行展现。
2.系统运行日志监测
通过程序访问业务系统的数据库和相关日志实现,对业务系统运行过程中的关键情况、运行错误情况进行数据采集和监测。
3.业务系统模拟测试
对业务应用系统能进行模拟测试,及时了解业务应用系统的当前可用性,同时通过模拟用户测试,及时了解当前业务应用系统的性能瓶径,避免业务应用系统出现重大应用问题。
当业务系统出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。
4.数据库系统监控管理
登记和显示被监控的所有受监控数据库系统的信息,形成数据库资产信息库,包括数据库运行的软硬件平台、数据库运行和维护责任人等。通过在数据库所在机器上部署Agent和数据库访问接口方式实现,Agent定期发送数据库的性能情况到运维平台。其中发送的内容包括数据库进程启动情况,日常运行日志,表空间的使用情况,数据库Session情况,数据库系统设计的文件存储空间、系统资源的使用率、配置情况、数据库当前的各种锁资源情况、监控数据库进程的状态、进程所占内存空间等。当数据库系统出现异常时,及时产生告警信息,并可自动触发工单系统督促相关责任人进行快速处理。支持的应用服务有:Tomcat、WebSphere、WebLogic、Apache、Windows IIS、IISFTP、Netbackup、EMC 备份系统等。
负责关联分析的安全信息中心,从代理层接收原始安全信息,并调用统计关联分析引擎、基于脆弱性和资产的关联引擎、基于知识库的关联引擎实现关联分析,生成安全事件。根据安全事件处理工单策略,将一般级别以上的安全事件(也可随时调整策略)生成安全事件工单,从而进入工单流转流程,并通过SMS 和邮件通知事件处理人。
知识库系统将安全公告、安全预警、补丁库、日志信息库、案例库、工具库、政策法规库、漏洞库等资源集中起来,形成一个知识共享平台。该知识库的数据以数据库的方式存储及管理,并提供按关键字进行全文检索的功能,为培养高素质网络安全技术人员提供了培训资源。
安全事件监控的对象至少包括了路由器、交换机、防火墙、IDS、漏洞扫描设备、主机系统、服务器系统等。其功能是根据安全事件收集策略中定义的信息位置、类型和内容进行信息收集,并根据定义的信息传输目的地对收集的信息进行传输。
安全运维监控中心通过SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、SOAP、文件以及其他扩充协议等方式从网络设备、安全设备、主机系统等多种数据源收集安全信息,经过过滤、汇总和关联分析后,标识其紧急程度,一方面以规定的格式存储到数据库内,另一方面以多种方式实时响应。
安全事件管理模块提供了界面显示报警、手机短信息、E-mail、SYSLOG、与防火墙互动等多种响应方式。
安全事件管理模块根据网络设备、安全设备、主机系统等传输过来的安全信息,经分析发现设备故障后,将详细显示故障来源和解决方法。
管理和监控重要资产存在的脆弱性信息。
各种重要的主机、终端和网络设备上存在的安全脆弱性是影响信息安全的重要潜在风险,本功能实现对重要主机系统和网络设备安全脆弱性信息的收集和管理,对收集的信息进行分析,形成安全事件,驱动工单系统处理安全事件。脆弱性信息的收集可通过定制扫描任务计划、一次性或多次扫描对比等多种方式实现。
定制扫描任务计划:可随时定义扫描任务计划,本模块将在指定的时间根据任务计划通过远程端口扫描的方式对目标设备进行安全脆弱性检测,并提供相应的扫描报告。
扫描:随时根据需要对目标设备进行安全脆弱性检测,并提供相应的扫描报告。灵活的扫描策略,可以定制扫描网段,开始时间等。
该平台提供了资产、安全事件、性能事件、故障事件、脆弱性事件、工单、综合报表等报表类别。报表功能分为报表模块和报表发送策略。报表模块可以根据用户自定义条件来定制报表,可以设定的条件有资产范围,时间范围等;报表发送策略中用户可以定义报表的周期,图形,模板,格式,资产范围,发送用户对象等。
安全运维监控中心报表输出功能具备如下特点:
n 提供了27种不同安全层面的图形统计功能;
n 提供了近10种报表功能,更可根据预先设计的关注点自定制近百种业务的报表;
n 多种针对安全事件分析的综合统计功能;
n 根据用户的不同需求系统可以根据参数条件定制不同的统计报表;
n 报表的数据,可以根据特定的时间段或者时间周期生成;
n 根据不同人员(技术人员、业务主管、领导)的需要,提供了灵活的定制报表的内容和格式,格式和内容的定制均通过界面方便、直观地执行;
n 内置了多种不同类别的报表模板;
n 报表输出的文件格式支持Excel、Doc、PDF、HTML等多种标准格式点击报表文件格式图标,可以按照此种格式导出报表文件。点击报表图形切换图标,可以按照相应图形进行报表图形展示的切换。点击打印图标,可以打印该报表。
统计报表
系统中报表通过选择报表参数条件(资产范围、时间范围),定制实现不同数据集的报表内容统计。
报表展示页面包括图形和列表,图形包括饼图、柱状图、曲线图,可以同时显示,也可以自由切换图形模式。可以设置报表的页眉、页脚,可以在页眉或页脚设置报表LOGO,例如武警的LOGO标识。
报表可以输出为PDF、HTML、EXCEL、WORD、TXT等多种文档格式。对于文本格式输入,将不能包含图形和表格信息。
系统管理包括用于系统全局的参数配置、系统与第三方系统的接口配置、系统维护、策略管理、用户和权限管理、操作审计等。
系统全局参数,例如安全事件类型管理、资产类型管理、资产展示网段划分、资产所属区域管理、资产所属业务域管理、资产系统软件类型管理、报表 LOGO文件配置等。
系统维护包括系统升级和数据库维护,系统升级包括对应用的升级和数据库的升级。通过上传升级文件进行升级,并对升级的历史记录进行保存和展示。
根据用户的业务需求,业务数据可以按照月进行存放,数据库维护可以配置为在什么时间删除某月以前的历史数据。策略管理包括日志信息收集策略、安全事件过滤规则策略、安全事件归并规则策略、关联分析策略、报警发送策略等。对于策略,可以设置优先级,按优先级从高到低进行匹配,一旦匹配高优先级的策略,即停止策略匹配。可以添加、删除、导入、导出、启用/停用策略。
只有超级管理员Admin 有权限进行用户管理和权限分配,其他系统用户只能查看自己的用户信息。可以在本系统实现用户和权限管理,也可以通过统一的权限管理平台进行用户创建和权限划分。权限可以按照用户所属的域及域 IP、接入设备类型和 IP、设备所属的物理位置和管理部门、事件类型及包含的属性、系统菜单等方面进行划分。本系统具体的用户和权限管理需求如下:
(1)权限管理
系统能够对日志浏览、添加、删除,安全事件报表浏览、重点保护单位信息、报警相关配置等进行权限控制。
(2)角色管理
系统超级管理员可以创建、修改、删除本系统的角色,井为角色指定其所具有的权限集合。
(3)用户管理
用户管理采用集中管理的方式,即由系统超级管理员进行各单位用户的创建、修改和删除,并为用户分配角色,每个用户对应一个或多个角色。系统约束新创建用户在第一次登陆后,必须更改初始登陆密码。操作审计用于审计系统用户和非系统用户对系统的操作或者尝试操作,审计的范围包括登陆和登出操作、任何对系统的查看、修改和删除操作。并可以对操作日志进行备份。
根据本系统的业务需求说明,在本系统增加安全知识库功能,包括原始日志库、原始事件库、漏洞库和重点保护用户信息。
原始日志库和原始事件库收集本系统采集到的所有原始日志样本和原始安全事件样本。根据用户配置的周期,定期将汇总后的日志文件 ftp 上传到“安全事件汇总分析与数据挖掘子系统”固定目录下,并用“日期时间”命名文件:日志应包括:源 IP ,源端口,目标IP ,目标端口,攻击方向,攻击类型,时间,所属单位、省份等信息;如无异常,则文件内容为空。
系统每次启动时自动从国家网络安全信息综合知识库中的“用户信息库”下载需要重点保护用户的域名或IP 对应列表,此后每 6小时下载更新一次该列表;系统也可根据用户指令即时下载更新列表。
安全运维监控中心具备自身的审计系统,审计安全运维监控中心上的所有动作,系统上的操作权限和审计修改权限进行了分离,审计只能由审计分析员进行处理,从而确保审计信息的完整性、保密性和有效性。
根据网站和信息系统安全事件的发生原因、性质和机理,网站与信息系统安全事件主要分为以下三类:
n攻击类事件:
指网站系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。
n故障类事件:
指网站系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。
n灾害类事件:
指因爆炸、火灾、雷击、地震、台风等外力因素导致网站系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。
n网站后台系统具有敏感词过滤功能,通过对非法敏感词过滤设置,达到系统级安全控制;
n网站、网页由网站安全负责人员随时密切监视信息内容。每天早、晚二次不少于一小时;
n发现网上出现非法信息时,网站安全负责人员应立即向信息安全组组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告;
n信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场,作好必要的记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用;
n网站维护员应妥善保存有关记录及日志或审计记录;
n网站维护员工作人员应立即追查非法信息来源;
n工作人员会商后,将有关情况向安全领导小组领导汇报有关情况;
n安全领导小组召开安全领导小组会议,如认为情况严重,应及时向有关上级机关和公安部门报警。
n当有关负责人员网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网站安全员通报情况;
n网站安全员应在十分钟内赶到现场,并首先应将被攻击的服务器等设备从网络中隔离出来,保护现场,同时向网站安全领导小组副组长汇报情况;
n网站安全员和网络管理员负责被破坏系统的恢复与重建工作;
n网站安全员协同有关部门共同追查非法信息来源;
n安全领导小组会商后,如认为情况严重,则立即向公安部门或上级机关报警。
n当发现计算机感染有病毒后,应立即将该机从网络上隔离出来;
n对该设备的硬盘进行数据备份;
n启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作;
n如发现反病毒软件无法清楚该病毒,应立即向安全小组负责人报告;
n网站安全小组相关负责人员在接到通报后,应在十分钟内赶到现场;
n经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向网站安全领导小组副组长报告,并迅速联系有关产品商研究解决;
n安全领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关报告;
n如果感染病毒的设备是服务器或者主机系统,经领导小组组长同意,应立即告知各下属单位做好相应的清查工作。
n重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处;
n一旦软件遭到破坏性攻击,应立即向网站安全员、网络管理员报告,并将系统停止运行;
n网站安全员和网站维护员负责软件系统和数据的恢复;
n网站安全员和网站管理员检查日志等资料,确认攻击来源;
n安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
n各数据库系统要至少准备两个以上数据库备份,平时一份放在服务器内网中,另一份放在另一安全的网络中;
n一旦数据库崩溃,应立即向网站安全员报告,同时通知各下属单位暂缓上传上报数据;
n系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中;
n如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复;
n如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
n服务器等关键设备损坏后,有关人员应立即向网站管理员和网站安全员汇报;
n网站管理员和网站安全员应立即查明原因;
n如果能够自行恢复,应立即用备件替换受损部件;
n如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修;
n如果设备一时不能修复,应向安全领导小组领导汇报,并告知各下属单位,暂缓上传上报数据。
n对于关键岗位平时应做好人员储备,确保一项工作有两人能操作;
n一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况;
n经值班领导批准后,由备用人员上岗操作;
n如果备用人员无法上岗,请求上级单位支援;
n上级单位在接到请求后,应立即派遣人员进行支援。
网站管理员应当根据自己的实际需要做好网站系统设备储备工作。
建立健全应急通信保障工作体系,完善公用通信网,建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保通信畅通。
积极开展网站安全领域的科学研究,建立健全网站安全应急技术支撑平台,提高网站安全科技水平。建立应急处置管理、应急预案管理、应急演练环境、灾难备份等数据系统,为网站与信息安全事件的处置提供科技支撑。
网站安全小组组织编制、出版宣传材料,宣传信息安全相关法律法规和信息安全基础知识,提高公众信息安全应急防范意识。网站安全小组负责提供相关技术支持和专业应急人才培训。
开设应急管理、应急处置及组织指挥等培训课程,对各单位领导干部、管理人员进行培训,并对应急管理和基层处置人员作进行相应的技能培训。
每年组织一次演练,模拟处置影响较大的信息安全事件,组织重点单位参加,检验预案的可执行性。
网站安全事件应急处置工作实行行政领导负责制和责任追究制。
对于在应急处置工作中做出突出贡献的先进集体和个人,给予表彰和奖励。对于迟报、谎报、瞒报、漏报网站安全事件重要情况或者应急处置工作中有其他失职、渎职行为的,依法对有关责任人给予行政处分;构成犯罪的,依法追究刑事责任。
针对现有的业务系统和数据库进行风险评估与安全加固,应用安全评估主要是通过安全漏洞扫描、人工安全检查、渗透测试等方式对业务系统的数据库系统、应用系统、WEB系统的安全性进行评估。
随着学校应用系统及数据库的不断更新升级,原有漏洞的加固或业务系统新功能的增加,或多或少都可能产生新的漏洞,学校应具备有效地检测预警手段,能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布。通过建立WEB应用安全检测系统和数据库安全检测系统,发现业务系统及数据库的漏洞情况,并对其进行安全加固和升级。
学校通过建立WEB应用安全检测系统,对更新升级的业务系统进行上线前的检测,及时发现WEB应用的常见技术弱点,拦截因业务系统的更新将漏洞暴露。检测系统本质是一种模拟常见WEB攻击的非破坏性的工具,在WEB应用的开发、测试、运维阶段,经常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,系统支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。功能如下图所示:
学校通过建立数据库安全检测系统,发现业务系统所依靠的核心数据库是否存在安全漏洞,如默认密码、弱口令、不安全的配置等。数据库安全检测系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具,主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。功能如下图所示:
安全的信息系统需要涉及物理层、网络层、应用层、主机层方方面面的安全防御措施,目前学校的尚缺少有力的应用层安全防御措施,应切实建设相应的安全防御措施,提高系统的抗风险能力。当前最为高效的解决方法是在WEB应用前端部署WEB应用防火墙,实现对WEB应用安全防御。本项目中主要的应用系统为WEB应用尚未部署WEB应用防火墙。
Web应用防火墙(Web ApplicationFirewall,简称: WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下:
透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的WEB应用服务器的IP地址及端口,就可以实现对WEB应用业务的安全检测。而部署WAF,不但不会影响业务系统的性能,同时还能够提升应用交付。
学校核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对学校造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:
对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制,
制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;
基于IP地址、MAC地址和端口号审计;
根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。
数据库审计系统不仅能够检测、记录与回放攻击者的在任何时间的操作行为,也应当能够展现其已经获取到的信息,让运维和安全人员了解到当前造成的损失。
对于B/S架构的应用系统而言,用户通过WEB应用服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 应用服务器的相关信息,无法识别是哪个原始访问者发出的请求。而通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。如图所示:
学校的信息安全管理体系不仅仅做了风险评估、部署了安全产品,就认为信息系统安全了,管理与技术任何一方面存在隐患或漏洞,都可能对学校的业务系统及信息数据造成影响,甚至破坏。我们在防信息泄密的过程中不仅需要加强学校的信息系统安全技术水平,还应在信息安全管理上面进行提升。我们辅以应急响应机制、安全培训体系以及管理制度的建设,以帮助学校在信息系统安全管理方面达到一定的高度,尽可能地避免安全事件的发生,减少对学校形象的影响。
序号 | 服务类别 | 工作内容说明 | 金额(万元) | 备注 |
1 | 网站建设 | 包含栏目规划、页面设计、程序制作,包含检索、信息发布、系部频道、专题、互动功能、 | 8 | |
3 | 英文版建设 | 梳理部分栏目翻译成英文,进行英文版制作 | 1.5 | |
合计:¥9.5万(含第一年技术维护费),第二年按照项目合同10%金额收取技术维护费用。 | ||||
贵州省财政学校
2020年12月8日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
