厦门市财政性投资信息化项目建设方案含可行性分析.docx

1、厦门市财政性投资信息化项目建设方案含可行性分析附件厦门市财政性投资信息化项目建设方案（含可行性分析）项目名称： 申报单位： （公章） 联 系 人： 联系电话： 填报日期： 一、项目背景、项目历史情况厦门市人民政府门户、厦门市国家保密局、厦门三农网、厦门市政协、厦门市公务员门户、厦门市信息化局、厦门市检察院、厦门市民政局、无线政务等网站已经运行网页防篡改系统，目前系统运行良好，拦截攻击效果明显。自从年 份网页防篡改系统部署上线之后，我中心安全服务商严格按照合同内的服务条款定期每个季度甚至有时每个 上门做巡检、解决问题等服务，并且出具相关巡检报告。截止年 份，我中心采购的网页防篡改系统（一期）个许

2、可年维保期满。为了继续得到网页防篡改系统的正常维护，以及考虑到后续数量不少的许可追加成本，为保障本中心和各局办单位的网站正常运行，需要向安全服务商购买网页防篡改系统不限许可的产品服务。、服务器的安全问题来自服务器本身及网络环境的安全 包括服务器系统漏洞，系统权限，网络环境（如等）、网络端口管理等，这是应用安全的基础。来自服务器应用的安全 、及其它中间件等，已有的漏洞、本身的配置、文件权限等，这个直接影响访问网站的效率和结果，即应用服务的性能与安全问题网站程序的安全 即程序漏洞，程序代码质量直接影响：输出输出控制、验证控制、执行权限控制等可以被利用的程序脚本漏洞。这个是安全中占比例最高的一部分安

3、全隐患。 周边应用的安全一台服务器通常不是独立存在的，其它的应用服务器可能会影响到服务器的安全，如数据库服务、服务等。、服务器的安全维护特征操作系统漏洞补丁的滞后性应用及周边软件版本过低各应用系统仅使用了默认配置部分应用服务没有在用，但仍在“服务”业务新系统的不断加入各应用系统代码水平参差不齐加固没有做到连续性与时效性要求再好的安全产品也需要专业的安全服务支撑二、项目建设目标、系统总体建设规划系统防护是一个复杂问题，包括应对网页篡改、应用层攻击、导致系统可用性问题的其它类型黑客攻击等各种措施。不能寄希望于单一采用本方案描述的网页篡改防护系统解决应用的所有问题，如后台修改动态网页数据的网页篡改问

4、题。作为系统安全防护解决方案的有机组成部分，网页篡改防护系统与其它手段一起，共同确保系统的安全运行。其它应用防护措施将作为建议参考提供。、网页防篡改目标网页篡改防护系统总体要求包括运行环境、用户接口界面、协议要求、功能要求、管理要求、安全性要求等方面：运行环境网页篡改防护系统的服务器端能够运行主流的商用平台上，支持主要的服务器平台及操作系统，如、 、 、等，可以采用主流数据库存储相关数据如 、。可防护厦门市政府部署的各类应用支持厦门市政府业务系统使用的各类服务器，例如、等；支持各类服务器中安装的主流数据库，包括 、等；支持厦门市政府各类系统所部署的服务器操作系统及其版本。用户接口界面网页篡改防

5、护系统要求界面友好，易于安装、配置和管理，具有图形化简体中文界面，各类技术文档均应具有简体中文版。功能要求网页篡改防护系统能够针对篡改网页的主要攻击手段提供有效检测和防护，针对网页内容的完整性进行实时监控，在网页遭到篡改后具备阻断或对网页内容进行及时恢复等功能。管理要求网页篡改防护系统须具备完整的帐号、认证、权限管理、审计功能。性能要求网页篡改防护系统须能够及时监控网页的非法篡改并能够及时进行响应。网页篡改防护系统运行时不影响正常的用户访问，对服务器资源占用较小，不对服务器性能产生明显影响。安全性与可靠性要求网页篡改防护系统须保证自身安全性。网页篡改防护系统须具备较高可靠性，支持冗余部署。接口

6、开放性网页篡改防护系统应用的各项技术应保证具有开放性、可扩展性，系统软件和硬件须提供开放的应用接口，能够与其他应用系统进行互通。网页篡改防护系统管理和组件间通信基于标准协议，便于系统的管理、集成和扩展。三、项目建设的可行性 技术和应用可行性自从年 份网页防篡改系统部署上线之后，我中心安全服务商严格按照合同内的服务条款定期每个季度甚至有时每个 上门做巡检、解决问题等服务，并且出具相关巡检报告。 运维人员可靠性我中心安全服务商运维流程规范，运维文档编写完整，运维记录清晰，负责运维服务的工程师每次上门巡检或问题解决过程中耐心细致，已和网站开发商形成了相对固定的合作模式，对我中心的业务需求变更能很快的

7、响应。二、产品服务方式网页防篡改产品服务主要有如下几种服务方式：、热线电话服务安全服务商将为厦门市信息技术服务中心提供天*小时的热线电话及传真支持，如果厦门市政府网页防篡改系统出现技术故障，可以通过电话得到支持与帮助。公司将在尽可能短的时间内协助和指导制定解决问题的方案，然后由厦门市信息技术服务中心反馈解决方案是否有效，安全服务商公司依据反馈信息决定进一步的支持措施。技术支持工程师直接同客户对话，帮助解决客户提出的疑难问题。根据问题的严重程度，将优先解决客户认为是关键而紧急的任务。电话热线提供*小时的服务能力。即每周天，每日小时提供服务。对客户提出的一般性问题进行技术咨询、指导。服务电话：传真

8、电话：小时值班电话：、远程在线诊断和故障排除服务如果条件允许，在得到厦门市政府的许可的情况下，安全服务商公司将采用远程登入（）、 远程访问、远程监控服务，以及时、准确、全面了解系统运行状况，发现其中存在的认识误区和隐蔽的错误，从而更直接、快速地为厦门市政府免费的排除故障，解决问题。、现场技术支持系统发生严重故障，在无法远程解决的情况下，个小时内现场维护响应，提供故障诊断服务；提供围绕维保产品运行维护的专人服务，包括产品安装，产品问题诊断和 ，根据网页防篡改系统的故障严重程度提供的限时解决故障的现场服务，保障系统的正常运行和使用。每季度提供现场的巡检和加固服务，并在工作完成后提交相关工作报告。、

9、电子邮件热线服务客户可以以电子邮件的形式随时向安全服务商电子邮件热线发送关于问题请求，专门的技术支持工程师实时监控电子邮件信息，并及时予以回复。电子邮件热线： 三、服务内容产品服务主要有如下几个方面的服务内容：、解答问题解答您在安装、配置和使用产品的过程中出现的疑问和问题；、接收反馈接收有关产品缺陷和错误报告，以及对产品提出的改进建议；、提供补丁对于本产品存在的缺陷或错误，我们将不定期提供最新的补丁；、知识库提供关于天存公司产品的全方位信息，以及；、系统培训提供不限次免费与产品相关的系统安全方面的培训；、后续安装部署提供不次免费系统重装及迁移；、全天候技术支持安全服务商公司承诺提供小时的电话技

10、术支持服务，响应方式包括：电话、远程登录等。、产品巡检服务提供每季度现场巡检，包括系统运行状态的检测，数据备份等，并提供日志分析报告。、主机网络层漏洞扫描每季度提供服务器指定端口漏洞扫描（非现场检测），检测目标服务器是否存在端口漏洞；以及服务器网络服务漏洞扫描，检测目标服务器是否存在网络服务漏洞。并提供相关扫描报告。、主机应用层漏洞检测 每季度提供主机应用层漏洞检测（非现场检测），包括：操作系统配置检查：检查目标服务器的操作系统是否存在漏洞。数据库配置检查：检查目标服务器上的数据库是否存在漏洞以及目标服务器与数据库服务器之间的通信配置是否存在漏洞。平台配置检查：检查目标服务器上的*是否存在漏洞

11、。注释：* ： 现成软件，包括位于主机操作系统之上，自定制的应用逻辑层之下的所有软件。、应用程序漏洞检测每季度提供应用程序漏洞检测（现场检测），包括：木马查找：通过检查目标应用的脚本，查找其中是否已被植入网页木马脚本检查：通过检查目标应用的脚本，检测其中是否存在明显的代码漏洞。应用漏洞扫描：通过扫描目标应用，检测是否存在注入漏洞、漏洞等应用层漏洞。、安全产品配置策略调整*小时全天候支持已部署网页防篡改系统的配置调整，包括安全策略的调整，应用程序的调整（新增或者升级），应用服务器迁移或扩展等等。四、服务提交成果每次系统维护服务工作完成后，依据服务项目的不同，可能需要提交如下的报告、记录等文档等资

12、料（包括但不限于）：故障诊断报告系统维护和故障恢复的实施计划维护工作阶段报告系统加固工作报告每个季度巡检日志分析报告每年年度网站安全巡检日志分析报告四、预算费用以下是应用整体安全服务项目一年期的服务价格明细表：序号项目名称项目描述计量单位数量价格（￥）备 注应用安全整体服务（安全加固）费 版本：标准动态版发布服务器平台：服务器平台：发布功能：手动 自动线程：多线程 多主要功能：篡改检测与自动恢复、动态应用防护防注入攻击：支持防跨站脚本攻击：支持套不限 不限系统巡检服务对网站的网页防篡改系统进行维护服务和小版本升级和定期上门巡检服务服务器不限 年次审计服务提供对应用层攻击的监视和记录。记录和分析

13、对站点和应用的入侵企图，并进行集中分析和统计，同时在每个季度形成安全分析报告服务器不限 年次操作系统安全加固主要涉及以下项目的检查、加固和清理：()系统关键性补丁；()防火墙、筛选（）设置；()系统进程；()恶意病毒、木马；()系统主要目录、文件权限；()目录共享；()系统账户；()远程管理；服务器不限 年次服务安全加固主要涉及以下项目的检查、加固和清理：()匿名登录()外网连接()账号角色分配()读写操作控制()目录权限服务器不限 年次数据库安全加固主要涉及以下项目的检查、加固和清理：()匿名登录()外网连接()账号角色分配，()历史挂马表数据()无效数据库服务器不限 年次服务器软件中间件主

14、要涉及以下项目的检查、加固和清理：()默认配置：执行权限、请求方法、调试处理、出错页面、父路径，后台管理、样例页面、无效虚拟主机；()误配置：目录浏览、写入授权，多余解析引擎，服务扩展；()规范性配置：匿名访问账号隔离、应用程序池独立分配；上传目录、数据文件读写约束。服务器不限 年次后台访问管理主要涉及以下项目的检查、加固和清理：()基于域访问限制；()类型、版本等内容隐秘性。服务器不限 年次程序逻辑主要涉及以下项目的检查、加固和清理：()访问限制失效；()程序路径、数据库连接信息泄漏。服务器不限 年次网页漏洞主要涉及以下项目的检查、加固和清理：()（源码中的）注释性的默认用户名、密码；()后

15、台相关操作脚本状态认证机制。服务器不限 年次网页木马主要涉及以下项目的检查、加固和清理：()遍历网站结构；()网页后门、嵌入性一句话木马。()网站代码的漏洞扫描。服务器不限 年次无效网页文件主要涉及以下项目的检查、加固和清理：()测试文件：、；()程序包文件、；()安装目录、；()多扩展名文件；服务器不限 年次网站日志涉及日志文件中的以下信息：()连续性状态码()非工作时间状态码()大量带有语句的请求服务器不限 年次账户口令主要涉及以下项目的检查、加固和清理：()弱口令()默认口令()口令绕过服务器不限 年次通用应用插件主要涉及上传控件等通用文本编辑器插件的漏洞检查、加固和清理；服务器不限 年次通用应用系统主要涉及、等通用类程序的漏洞检查、加固和清理；服务器不限 年次合计 “一”、“二”、“三”价格总计 说明：.标准审计服务是根据服务器的安全情况做统计分析，并形成具体的安全分析报告。.加固建议和加固实施是对主机操作系统、服务程序及网页代码进行检查和分析后提供完善的加固建议或者实施方案，加固实施完成后可形成报告。