铜陵民论坛安全监测防控平台及网站升级改版项目.docx

1、铜陵民论坛安全监测防控平台及网站升级改版项目铜陵市民论坛安全监测防控平台及网站升级改版项目（一）项目基本情况、项目背景、采购内容： 1、项目基本情况铜陵市市民论坛是铜陵市市民建言献策，咨询投诉的网络渠道，也是政府和市民相互交流的平台。该论坛由铜陵市人民政府办公室主办，铜陵日报代维。随着互联网环境的高速发展，为了铜陵市民论坛网站的安全稳定运行，优化网站整体的访问体验，需要进行相关软件和技术采购。2、项目背景当前，我国正处于改革发展的关键时期，经济体制深刻变革，社会结构深刻变化，利益格局深刻调整，思想观念深刻变化，群众内部利益主体、利益诉求、利益表达和维护方式都发生了巨大变化，在这种情况下，“着力

2、解决人民群众反映强烈的突出问题，提高做好新形势下群众工作的能力”，是党的群众路线教育实践活动中提出的要求之一。而网络问政平台作为各级党委和政府通过互联网积极与网民沟通互动，知民情、解民意、聚民心、汇民智的基本形式和重要渠道，在“保持党同人民群众的血肉联系，发挥党密切联系群众的优势”方面具有得天独厚的优势。因此，在新形势下，利用网络问政于民、问需于民、问计于民，是坚持党的群众路线的生动体现。铜陵市市民论坛作为政府信息化建设的重要组成部分，是民众向政府反映诉求、表达意愿的重要渠道之一，也是集中反映网络舆论动向变化与民众关注热点的平台，2012年铜陵市市民论坛网站上线，得到社会各界一致好评，但由于时

3、间比较久，网站技术不断升级发展，目前铜陵市市民论坛很多应用受到技术牵制不能很好的发展，再者，网站系统长时间不升级，安全隐患比较大，针对本方案对当前市民论坛网站改版。3、采购内容(一)论坛建设 （1） 页面前端 包含原论坛迁移、同时重新设计新版论坛前端浏览页面，并加固模板代码，并要求支持多终端浏览。（2） 管理系统必须包含以下功能：信息展示功能、信息预警及短信邮件提醒、回应制度和问责制度、流程审批功能、报表功能、支持多终端访问、手机验证码注册机制、防灌水及敏感词、附件管理、广告管理、隐私信息云纠察功能。（3） 网站维护 对论坛提供全年7*24小时技术支持。（2）论坛安全（1）渗透测试 对网站进行

4、人工模拟攻击测试，找出潜在的漏洞风险。（2）论坛云安全防护 对市民论坛WEB应用、特定目标、专项威胁等提供7*24小时网站安全动态监测服务；同时进行7*24小时动态防御黑客攻击以及避免网站篡改。（3）论坛系统等保 网站系统二级等保测评。（二）技术方案1 方案原则1.1 标准化原则政务系统网络和信息安全运维要在国家信息系统安全等级评级规范和ISO27000标准的指导下，要建立相应的运维标准和运维考核办法。1.2 实用性原则政务系统网络和信息安全运维要从实际出发，根据运维的实际情况，进行合理规划，制定有效的服务方案和运维方案，切实解决用户的问题。1.3 机动性原则运维单位要根据用户的突发需要，制定

5、相应方案，合理调配运维工作人员，合理安排运维时间，制定相应的应急保障机制。1.4 安全性原则运维过程中，运维单位要切实保护用户设备、系统、平台和网络的安全，做到事前合理规划，事中监测保护，事后分析朔源。1.5 保密性原则运维单位在运维过程中，未经用户允许，不得以任何方式泄露用户信息。2 招标参数网站安全论坛系统等保1、安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；2、安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；完成测评工作后，提出整改意见并配合实施整改，提高系统防护能力，最后出具符合公

6、安机关要求的信息系统安全保护等级测评报告，并协助完成信息系统安全保护等级备案工作，确保通过二级等保测评并取得证书。渗透测试1.被动式信息收集：收集目标系统暴露于网络上，不需要额外的授权便可获取到的信息。2.专业安全工具扫描：专业安全工具扫描、嗅探，对系统的网络、主机和应用程序进行远程漏洞扫描，并对扫描结果进行分析。3.社会工程学探查：利用社会工程学结合大数据方式获取目标网站信息，例如：邮箱、QQ，手机号，身份证信息，历史密码等信息。4.未经验证的重定向和转发：未经验证将用户访问页面重定向或转发到其它网页，利用重定向漏洞诱导用户访问钓鱼或恶意网站或者使用转发去访问未授权页面。5.文件包含：利用文

7、件包含可以获取网站源代码、敏感文件6.跨站脚本攻击：指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。跨站脚本攻击又分：Dom、反射型、存储型，存储型可以获取用户cookie登录到用户中心。7.未授权访问：通过未授权访问一些敏感页面、命令执行，getshell等操作导致危害到网站安全性。例如：管理后台、Redis、Mongodb、Memcache、Jenkins、elasticsearch、hadoop、Docker、CouchDB8越权访问：通过越权访问检查一些页面请求是否可以利用一些方式绕过权限检查

8、，访问或者操作到原本无权访问的页面或者权限更高的页面。9.CSRF：通过CSRF漏洞构造页面发送给用户访问，此时可以做到如下利用场景。比如：通过程序中的缓冲区溢出漏洞，我们可以尝试控制程序的流程，使其执行任意代码；通过网站上的SQL注入漏洞，我们可以读取数据库中的敏感信息，进而获取Webshell甚至获取服务器的控制权等等。10中间件：web应用中承接多个中间件应用，其中各应用之间都可能存在相关漏洞，比如：iis,apache,nginx等。11.安全配置错误：检查应用、框架、Web服务器、数据库服务器、各种应用平台的安全性是否符合标准安全配置。12SQL注入：注入漏洞包含：SQL注入、Xpa

9、th注入、LDAP注入等。不同的方式需要测试人员手动介入测试，除验证注入漏洞是否真实存在外，还需对注入漏洞所产生危害的深度与广度进行识别，并结合其影响为该注入漏洞设置合理的危险等级。13授权绕过漏洞：业务系统中针对未加权认证、平行认证、敏感接口等缺乏认证，从而导致的越权操作及后台可猜解漏洞。14.截获和修改金额漏洞：由于支付业务功能缺乏针对提交方式、服务器验证返回等手段，导致的订单支付金额可修改漏洞。通常会导致重大损失。15规避交易限制：类似于“截获和修改金额漏洞”，通过对会话的修改，突破交易限制。如：“某产品购买数量100份起，通过修改，可1份下单。”16.请求重放漏洞：未采用动态加密方法的

10、认证过程，可能导致业务系统的认证功能失效。17.欺骗密码找回漏洞：目前业务系统对于用户的口令找回，有多种实现逻辑，其中很可能存在验证漏洞从而导致密码泄露。18.系统应用程序测试：针对操作系统应用程序漏洞进行测试和评估，明确漏洞风险论坛云安全防护1、无需在被防御的目标上安装任何软件、代理及硬件盒子，提供相关证明材料且加盖原厂商公章。2、不可对现有的政务云平台安全体系架构、网络拓扑结构进行任何更改或添加任何硬件设备进行组合。3、要能防止以下对网站的Web攻击：SQL注入、命令注入、跨站脚本、代码执行、路径遍历、缓冲区溢出、CGI扫描。4、能防御DDOS攻击和CC攻击，保证网站在DDOS攻击和CC攻

11、击下能正常使用，并显示CC攻击详细情况。5、要能识别出各种Web扫描器的自动化扫描和攻击行为，并进行阻断。6、能识别Web攻击者的IP所在地区，如是境外IP，并据此进行阻断。可以提供网站安全报表，能够实时展示网站的总请求数、总流量、网站浏览人数、搜索引擎引导量和遭攻击次数。提供截图证明并加盖原厂商公章。7、识别出某用户对网站的访问是攻击行为后，能阻断其所有通过Web应用防火墙进行的访问。8、能按照访问时间进行防御，允许或者阻止一定时间段内的访问。9、可根据IP地址，建立黑名单或白名单，阻止或者允许特定IP进行访问。10、可以URL形式定义网站的关键资源，并对关键资源进行监控，一旦发现关键资源被

12、篡改，立刻自动替换回来。11、可检查网站内容，过滤和替换敏感信息、反动言论和淫秽内容。12、提供网站访问情况报表，包括请求数、总流量、网站浏览人数，搜索引擎引导量，遭受攻击次数等，并能按时间端统计的网站访问量。13、可查看网站安全状况，包括各种攻击发生次数，攻击IP、来源（国家）等；14、在统计报表中能够实时展示每天网站加速情况，包括今日流量加速率、今日节省流量和今日加速请求数；同时在报表中能够对网站安全进行评级、当日发现的总攻击次数以及各攻击类型的攻击的次数，攻击类型包括：恶意扫描、xss跨站、文件注入、代码执行、文件包含、cc攻击、远程命令、SQL注入、webshell、恶意采集、特殊攻击

13、和其他。14、网站防护中，能够对黑客扫描尝试和黑客定点攻击进行实时展示，内容至少包括攻击时间、攻击网址、攻击IP、IP归属地、攻击类型和处理结果。15、能够支持微信告警，支持绑定个人微信，能够实时推送每天网站总请求数、总流量、网站浏览人数、遭受攻击次数等。提供截图证明并加盖原厂商公章。16、能按照访问时间进行防御，允许或者阻止一定时间段内的访问；保护网站图片、压缩包等资源文件不被其它站点盗用。18、云防护能够提供智能DNS、轮巡功能，根据用户访问源地址智能解析至相同运营商线路，以最优线路实现从哪来到哪去。网站开发页面前端1 支持多终端（移动设备和PC）访问：页面采用响应式布局设计，页面的结构元

14、素要能够根据不同浏览器和屏幕的尺寸进行自动调整，要为不同终端的用户提供更加舒适的界面和更好的用户体验。2 首面的设计、频道页面设计、会员管理页面、 互动类页面及其他模板页面设计。管理系统1 信息展示功能:论坛基本帖子页面展示功能。2 信息预警及短信邮件提醒:对于网民在前台发布的需要政府部门办结的信息，当进行到某一个步骤未处理时，系统会启动信息预警机制,并通过短信和邮件的方式督促相关部门或责任人进行处理。3 回应制度和问责制度：问政主题帖在有关单位回复后，问政发起人及其他网友可以作满意度评价。4 流程审批功能:问政发起人通过网站、电话提交问题，问政留言就会按照预订的工作流对信息进行流转和处理,系

15、统提供明晰的信息报送、审批和归档功能。5 报表功能:系统可根据问政主题帖处理情况，生成并导出系统化、多维度的统计和分析报表。6、手机号短信验证码注册机制：不添加第三方登录功能，采用手机号短信验证注册机制。7、防灌水及敏感词功能：通过限制发帖时间、设置验证码等技术手段实现防灌水功能；必须提供对敏感词的管理功能，包括敏感词单独添加、批量添加和敏感词分类，针对敏感词提供以下三种过滤方式：禁止、审核、替换，分别进行词语禁止发布、先审核后发布和替换为给定的词语后再发布。8 附件管理:(1)图片内容管理,支持批量上传图片的方式发布论坛信息，对图片可添加标题、概述和标签等文字说明。视频内容管理,支持批量上传视频的方式发布信息，对发布的视频信息可添加标题，描述和标签等文字说明，支持例如FLV、AVI等各种主流视频格式。9 广告管理:用户可以自定义广告位版块，在后台能够编辑广告基本信息、广告类型。10 错别字、隐私信息云纠察功能：当用户、管理员在论坛上发布消息之前，采用自然语言处理（NLP）技术实现错别字、隐私信息云纠察功能，其中隐私信息包括身份证号、银行卡号、手机号、固话号码、人名、地址。网站维护1对论坛提供全年7*24小时技术支持。（3）采购方式 采购方式：公开招标（4）付款方式 项目验收合格后20个工作日内付合同全款的95%；余款5%在项目验收后满12个月后