第一篇:網站建設中的安全防范論文
網站建設中的安全防范
(網絡722孫自鳴 學號2007238023)
摘 要:對目前日益嚴峻的網站安全問題進行分析,提出了網站安全防范措施,通過基于UNIX和Windows等常用平臺,介紹WEB網站的防護經驗及網站中數據庫具體防范。
關鍵詞:網站;安全;防護;數據庫 ;安全;ODBC數據源網站技術簡介安全威脅的來源
1.1 WWW技術簡介
World Wide Web稱為萬維網,簡稱Web。分成服務器端、客戶接收機及通訊協議三個部分。
1.1.1 服務器(Web服務器)
服務器結構中規定了服務器的傳輸設定、信息傳輸格式及服務器本身的基本開放結構。Web服務器的作用就是管理這些文檔,按用戶的要求返回信息。
1.1.2 客戶接收機(Web瀏覽器)
客戶機系統稱為Web瀏覽器,用于向服務器發送資源索取請求,并將接收到的信息進行解碼和顯示。Web瀏覽器是客戶端軟件,它從Web服務器上下載和獲取文件,翻譯下載文件中的HTML代碼,進行格式化,根據HTML中的內容在屏幕上顯示信息。
1.1.3 通訊協議(HTTP協議)
Web瀏覽器與服務器之間遵循HTTP協議進行通訊傳輸。HTTP(HyperText Transfer Protocol,超文本傳輸協議)是分布式的Web應用的核心技術協議,在TCP/IP協議棧中屬于應用層。它定義了Web瀏覽器向Web服務器發送索取Web頁面請求的格式,以及Web頁面在Internet上的傳輸方式。
1.2 服務器安全威脅
對于Web服務器、服務器的操作系統、數據庫服務器都有可能存在漏洞,惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務器上的漏洞可以從以下幾方面考慮:Web服務器操作系統本身存在一些漏洞,能被黑客利用侵入到系統,破壞一些重要文件,甚至造成系統癱瘓。
Web數據庫中安全配置不完整,存在弱口令或被數據庫注入等安全漏洞,導致數據丟失或服務中斷。
Web服務器上的數據存儲結構不合理,沒有劃分安全區域或重要數據沒有存放在安全區域,導致被侵入。
Web服務器上運行的程序存在安全漏洞,或應用程序所需要的權限過高沒有優化,容易被黑客侵入。
1.3 客戶端安全威脅
現在網頁中的活動內容已被廣泛應用,活動內容的不安全性是造成客戶端的主要威脅。
主要用到Java Applet、ActiveX、Cookie等技術都存在不同的安全隱患。
1.4 數據傳輸中的安全威脅
Internet是連接Web客戶機和服務器通信的信道,是不安全的。未經授權的用戶可以改變信道中的信息流傳輸內容,造成對信息完整性的安全威脅。此外,還有像利用拒絕服務攻擊,向網站服務器發送大量請求造成主機無法及時響應而癱瘓,或者發送大量的IP數據包來阻塞通信信道,使網絡的速度便緩慢。
1.5 網站數據庫的安全、(一)Access數據庫的安全問題
1.Access數據庫的存儲隱患
在ASP+Access應用系統中,如果獲得或者猜測到Access數據庫的存儲路徑和數據庫名,則該數據庫就可以被下載到本地。
2.Access數據庫的解密隱患
由于Access數據庫的加密機制非常簡單,所以即使數據庫設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行異或來形成一個加密串,并將其存儲在*.mdb文件中從地址“&H42”開始的區域內。由于異或操作的特點是“經過兩次異或就恢復原值”,因此,用這一密鑰與*.mdb文件中的加密串進行第二次異或操作,就可以輕松地得到Access數據庫的密碼。基于這種原理,很容易編制出解密程序或者在互聯網上下載到破解工具,數據庫文件的內容,企業的資料、隱私和員工的密碼從此不在安全。由此可見,無論是否設置了數據庫密碼,只要數據庫被下載,其信息就沒有任何安全性可言了。
(二)ASP帶來的安全問題
1.ASP程序源代碼的隱患
由于ASP程序采用的是非編譯性語言,這大大降低了程序源代碼的安全性。任何人只要進入站點,就可以獲得源代碼,從而造成ASP應用程序源代碼的泄露。
2.程序設計中的安全隱患
ASP代碼利用表單(form)實現與用戶交互的功能,而相應的內容會反映在瀏覽器的地址欄中,如果不采用適當的安全措施,只要記下這些內容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入“page.asp?x=1”,即可不經過表單頁面直接進入滿足“x=1”條件的頁面。因此,在設計驗證或注冊頁面時,必須采取特殊措施來避免此類問題的發生。WEB安全保護的原則
2.1 實用的原則
針對網站架構,網站安全問題主要分為以下四個方面:服務器安全、邊界安全、Internet和Extranet上的安全,在攻擊行為發生前,做到防患于未然是預防措施的關鍵。
2.2 積極預防的原則
對WEB系統進行安全評估,權衡考慮各類安全資源的價值和對它們實施保護所需要的費用,通過評估,確定不安全情況發生的幾率,采用必要的軟硬件產品,加強網站日常安全監控。
2.3 及時補救的原則
在攻擊事件發生后盡快恢復系統的正常運行,并找出發生攻擊事件問題的原因,將損失
降至最低,并研究攻擊發生后應對措施。建立安全的Web網站
3.1 合理配置主機系統
3.1.1 僅提供必要的服務
默認安裝的操作系統都有一系列常用的服務。例如UNIX系統將提供Finger、Sendmail、FTP、NFS、IP轉發等,Windows NT系統將提供RPC、IP)轉發、FTP、SMTP等。而且,系統在缺省的情況下自動啟用這些服務,或提供簡單易用的配置向導。為此,在安裝操作系統時,應該只選擇安裝必要的協議和服務;對于UNIX系統,應檢查/etc/rc.d/目錄下的各個目錄中的文件,刪除不必要的文件;對于Windows系統,應刪除沒有用到的網絡協議,不要安裝不必要的應用軟件。一般情況下,應關閉Web服務器的IP轉發功能。
對于專門提供Web信息服務(含提供虛擬服務器)的網站,最好由專門的主機(或主機群)作Web服務器系統,對外只提供Web服務,沒有其他任務。這樣,可以保證(1)使系統最好地為Web服務提供支持;(2)管理人員單一,避免發生管理員之間的合作不調而出現安全漏洞的現象;(3)用戶訪問單一,便于控制;(4)日志文件較少,減輕系統負擔。
對于必須提供其他服務,則必須仔細設置目錄、文件的訪問權限,確保遠程用戶無法通過Web服務獲得操作權限
3.1.2 使用必要的輔助工具,簡化安全管理
啟用系統的日志(系統帳戶日志和Web服務器日志)記錄功能。監視并記錄訪問企圖是主機安全的一個重要機制,以利于提高主機的一致性以及其數據保密性。
3.2 合理配置Web服務器
在Unix OS中,以非特權用戶而不是Root身份運行Web服務器。
(1)設置Web服務器訪問控制。通過IP地址控制、子網域名來控制,未被允許的IP地址、IP子網域發來的請求將被拒絕;
(2)通過用戶名和口令限制。只有當遠程用戶輸入正確的用戶名和口令的時候,訪問才能被正確響應。
(3)用公用密鑰加密方法。對文件的訪問請求和文件本身都將加密,以便只有預計的用戶才能讀取文件內容。
3.3 設置Web服務器有關目錄的權限
為了安全起見,管理員應對”文檔根目錄“和“服務器根目錄”做嚴格的訪問權限控制。服務器根目錄下存放日志文件、配置文件等敏感信息,它們對系統的安全至關重要,不能讓用戶隨意讀取或刪改。
服務器根目錄下存放CGI腳本程序,用戶對這些程序有執行權限,惡意用戶有可能利用其中的漏洞進行越權操作。
服務器根目錄下的某些文件需要由Root來寫或者執行,如Web服務器需要Root來啟動,如果其他用戶對Web服務器的執行程序有寫權限,則該用戶可以用其他代碼替換掉Web服務器的執行程序,當Root 再次執行這個程序時,用戶設定的代碼將以Root身份運行。
3.4 安全管理Web服務器
Web服務器的日常管理、維護工作包括Web服務器的內容更新,日志文件的審計,安裝一些新的工具、軟件,更改服務器配置,對Web進行安全檢查等。
4.數據庫的防范對策
我們可以采用迷惑法、隱藏法、加密法、ODBC數據源法和注冊驗證法等技術手段防止數據庫文件被非法下載。
(一)非常規命名法
1.把數據庫的主文件名進行修改,并且放到很深的目錄下面
防止數據庫被找到的簡便方法是為Access數據庫文件起一個復雜的非常規名字,并把它存放在多層目錄下。例如,對于網上花店的數據庫文件,不要簡單地命名為“flower.mdb”或“bloom.mdb”,而是要起個非常規的名字,例如:halower123.mdb,再把它放在如/wh123/wd123d/hoo9/dh123/abc之類的深層目錄下。這樣攻擊者想簡單地猜測數據庫的位置就很困難了。
2.把mdb擴展名修改為ASP或ASA等不影響數據查詢的名字
但是有時候修改為ASP或者ASA以后仍然可以被下載,如將mdb修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet等專業的下載工具就可以直接把數據庫文件下載下來,因此需要找到一種FlashGet無法下載的方法。根據網站在處理包含unicode碼的鏈接的時候將會不予處理的原理。可以利用unicode編碼(比如可以利用“%3C”代替“<”等),來達到目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”的unicode編碼字符轉化成“(”。即是說如向FlashGet提交一個http://22.0.1.2/dat/%29amitx.mdb的下載鏈接,它卻解釋成了http://22.0.1.2/dat/(amitx.mdb,當單擊“確定”按鈕進行下載的時候,FlashGet就去尋找一個名為“(amitx.mdb”的文件,當然找不到。
(二)使用ODBC數據源
在ASP程序設計中,應盡量使用ODBC數據源,不要把數據庫名直接寫在程序中。例如:直接語句
DBPath=ServerMapPath(“/wh123/wd123d/hoo9/dh123/abc/halower123.mdb”)
ODBC數據源語句
Conn Open“driver={Microsoft Access Driver(*.mdb)};dbq=”& DBPath
可見,即使數據庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,數據庫也很容易被下載下來。如果使用ODBC數據源,就不會存在這樣的問題了。
(三)加密ASP頁面
可以使用微軟公司的免費軟件Script Encoder對ASP頁面進行加密。它可以對當前目錄中的所有的ASP文件進行加密,并把加密后的文件統一輸出到相應的目錄中。由于Script Encoder只加密在HTML頁面中嵌入的ASP代碼,其他部分仍保持不變,這就使得我們仍然可以使用FrontPage等常用網頁編輯工具對HTML部分進行修改、完善,操作起來簡單方便、效果良好。
(四)利用Session對象進行注冊驗證
為防止未經注冊的用戶繞過注冊界面直接進入應用系統,可以采用Session對象進行注冊驗證。Session對象最大的優點是可以把某用戶的信息保留下來,讓后續的網頁讀取。一般情況,在設計網站時都要求用戶注冊成功后才可登錄。但如果不采用Session對象進行注冊驗證,則用戶在瀏覽器中敲入“URL/hrmis.asp?page=1”即可繞過注冊界面,直接進入系統。
利用Session對象可以有效阻止這一情況的發生。相關的程序代碼如下:<%
?讀取用戶輸入的賬號和密碼
UserID = Request(“UserID”)
Password = Request(“Password”)
?檢查UserID及Password是否正確(實際程序可能會比較復雜)If UserID <>“hrmis” Or Password <>
“password” Then
Response.Write“賬號錯誤!”
Response.End
End If
'將Session對象設置為通過驗證狀態
Session(“Passed”)= True
%>
進入應用程序后,首先進行驗證:
<%
'如果未通過驗證,返回Login狀態If Not Session(“Passed”)ThenResponse.Redirect“login.htm”
End If
%>
參考文獻
[1]單歐.SSL在web安全中的應用[J].信息網絡安全,[ 2 ] 李東風,謝昕.數據庫安全技術研究與應用.商洛學院學報
[ 3 ]吳溥峰,張玉清.數據庫安全綜述.商洛學院學報
第二篇:網站建設中平面設計的運用論文
摘要:針對平面設計在網站建設的運用, 做了簡單的論述。從實際運用來說, 存在著網站外觀設計和網站圖片效果不佳等問題, 需要做好平面設計運用的把控。現結合網站平面設計實踐經驗, 提出視覺藝術以及版面技巧等的運用策略。
關鍵詞:網站建設;平面設計;版面技巧;視覺藝術;
一、網站建設中平面設計運用的必要性
網站設計離不開平面設計, 但難度更高。平面設計即視覺傳達設計, 其出現的時間早于網站。通過視覺表達的方式, 利用自體排印以及電腦軟件等技巧, 達到建設的目的。在進行網站建設時, 為了使得網站程序和界面等更加美觀和優化, 需要運用到平面設計。網站建設中, 是基于平面設計, 展開的系列設計, 包括頁面規劃和布局等, 優化網站設計, 建設出界面布局更加優化和美觀的網站。
二、網站平面設計中常見的問題
2.1外觀設計效果不佳。
現階段, 電子商務已經成為經濟發展的主要趨勢, 商家更加注重網站外觀設計, 通過網站平面設計, 來展現網站的特色和性質。若外觀設計不合理, 和網站自身性質條件存在著不相符問題。在建設網站時, 每個客戶對于網站外觀設計的要求不同, 需要設計人員針對客戶需求來設計。不過從實際情況來說, 部分設計人員在設計時, 存在著模仿或者復制的情況, 給網站造成不利的影響。
2.2網站圖片效果不佳。
在網站平面設計中, 通過圖片設計, 達到宣傳企業產品的目的, 促進企業網站發展。從實際來說, 若設計人員的設計水平較低, 存在設計問題, 比如產品清晰度低, 圖片效果未能達到企業產品要求, 進而會影響網站的瀏覽量。基于此, 設計人員要具有一定的技術功底, 保證圖片效果的質量。
三、網站建設中平面設計的運用策略
3.1融合新功能。
在進行網站平面設計時, 要注重做好色彩、字體、網頁樣式等的把控。以色彩為例, 顏色過于明顯, 雖然能夠吸引瀏覽者的注意力, 但過于浮夸會給人造成“低端”的感覺, 要做好界面整體的調整, 結合網站特色和特征, 來選擇顏色和字體等。網站平面設計的目的, 是為了給人提供完美的視覺體驗, 為了優化設計作品, 要注重融合新功能。目前, 網站已經發展成為移動H5網站, 除了可以增加動態圖片外, 還可以增加聲光功能和交互功能等, 被廣泛的應用。基于此, 設計人員在設計的過程中, 要做好和客戶之間的溝通, 深度了解網站建設的目的和需求, 進而通過圖片和交互功能等, 增強和瀏覽者的信息交互, 使其能夠獲得更多信息, 進而達到設計的目的。
3.2聚合網頁設計。
在進行網站平面設計時, 為了達到完美的狀態, 可以將具有共同主題的網頁設計融合起來, 生成新的網站。網站建設的過程中, 簡單的信息, 比如文字和圖片等, 通過運用平面設計手段, 使用超言和可拓展超文本標記語言等, 呈現在網站頁面上, 為瀏覽者提供相應的信息。通過運行插件程序, 將矢量圖形以及動畫等多媒體檔案, 利用標示語言移植到網站內。網站建設的難度較大, 合理運用平面設計, 能夠滿足網站設計的需求[1]。網站建設和平面設計的目的具有共同性, 是為了吸引瀏覽者多停留一些時間, 其停留時間越長, 則對網站的興趣度就越高, 可能是網站的目標用戶。
3.3體現視覺元素。
運用平面設計, 進行網站建設, 主要是通過視覺元素, 來傳遞信息。傳統的平面設計, 主要是利用文字和圖像等, 來表達設計目的。多媒體網頁不同于普通的網頁設計, 包括二維平面元素和視聽元素。二維平面元素具體包括文字圖像和版式, 視聽元素包括動畫和媒體視頻等。網站建設并非單個腳本編程, 更是網絡的延續。網絡環境中, 網頁作為動態交互平臺, 傳遞著各類非線性消息, 是網站建設的主要把控點。基于此, 設計人員要熟練運用平面設計技巧, 利用特有的表達能力, 吸引瀏覽者的注意, 進而從網頁中獲得對應的消息。
3.4熟練運用各類技術。
網站建設中, 運用平面設計, 能夠更好的表現網站視覺效果。通過網站平面設計, 能夠創造更多的產業價值, 滿足人們的需求。技術的快速發展, 為平面設計的開展, 提供了技術支撐。動態網頁已經逐步替代靜態網頁, 需要更多的程序語言編程, 比如RUBY和PHP等, 提高平面設計水平。由于網站建設更加復雜, 需要設計人員強化交流和溝通, 激發更多的創意。設計人員之間增強溝通, 結合客戶要求, 合理選用技術, 比如Flash動畫技術等, 提高網站建設水平。
四、結語
綜上所述, 在網站建設中, 運用平面設計, 要融合新功能, 聚合網頁設計, 體現視覺元素, 熟練運用各類技術。在進行設計時, 要以用戶體驗為中心, 按照網站建設要求, 借助各類技術的作用, 增強建設效果。
參考文獻
[1]王軍.網站建設中平面設計與技術的結合研究[J].電子技術與軟件工程, 2015(23):26.
第三篇:電子商務網站建設中的法律問題論文_電子商務網站建設中的法律問題論文
隨著互聯網的迅速普及,電子商務方興未艾,許多年輕創業者選擇了電子商務,特別是建立網絡商店,經銷電子產品、網絡設備、家用電器以至辦公用品、日用日、婦嬰用品等等。與這些鋪天蓋地的B2C模式的電子商務相比,B2B模式的電子商務雖然未占主導地位,但也取得了長足的發展。許多電子商務的經營者已經初嘗了互聯網發展的甜頭,阿里巴巴、易趣等網站則聲名鵲起,取得了驕人的成績,這又進一步刺激了其他創業者將目光投向電子商務。電子商務的載體是電子商務網站,通過電子商務網站以及一些輔助手段,電子商務經營者完成了交易,取得了收益。因此,電子商務網站建設就顯得極其重要,而在網站建設伊始以及建設過程中,相關法律問題不能不引起創業者的重視。電子商務所涉法律問題眾多,囿于篇幅,本文僅就其中幾個相對重要問題,提點參考性建議。
一、經營電子商務,首先要關注合法性。合法性包括幾個層面的內容:如經營內容要合法,一些經營者誤以為互聯網是自由的天堂,在很多國家,網上賭博、色情均在禁止之列,我國亦不例外。再如經營電子商務也必須進行工商登記,不能無照經營,經營的內容也應在工商部門核準的經營范圍內,不能超越。對于一些須前置審批的經營項目,必須首先取得相關政府主管部門的許可。再如我國對經營性互聯網信息服務實行許可證制度,對非經營性互聯網信息服務實行備案制度。經營電子商務屬典型的經營性ICP,應當向信息產業主管部門(在北京、上海等地為通信管理局)辦理經營許可。
二、電子商務網站建設應尊重他人知識產權,同時保護自己的知識產權 電子商務網站建設會面臨眾多知識產權問題,包括著作權、商標權、域名權、專利權以及不正當競爭等。在著作權方面,網頁界面設計、源代碼、軟件以及網站的內容等均受著作權法律保護。值得注意的是,根據最高人民法院的司法解釋,已在報刊上刊登或者網絡上傳播的作品,除非著作權人聲明不得轉載、摘編,可以在網絡上轉載、摘編,但應當載明作者及出處,并支付報酬,并不得刪除或者改變作品的權利管理電子信息。電子商務網站所有者應在網站中就著作權保護相關事項發表聲明,以充分提示網站瀏覽者,并保護自身合法權益。商標權與域名權的交叉侵權是目前比較突出的情況之一,雖然相關法律、法規以及司法解釋對此已有涉及,但是尚有很多空白點,電子商務網站經營者對此應有足夠的準備。不要試圖搭名牌的“便車”,這樣往往得不償失,當然對于一些名牌的反向域名侵奪行為也應據理力爭。對于商標權、專利權的一般性保護,在網絡世界與現實世界并無二致,只是可能侵權的嚴重程度會有所不同。但是在一些國家,對于獨創的商業經營模式也給予專利保護,而由于電子商務本身是嶄新的經營理念,電子商務的很多經營模式都是獨創的,電子商務經營者在采用或者模仿他人的經營模式時就需要特別當心。
三、經營電子商務應當尊重他人隱私,保護消費者權益 電子商務與傳統商務不同,電子商務經營者在交易過程中往往要求交易對方提供很多個人信息,同時也可以利用技術方法獲得更多他人的個人信息。保護這些信息不被不合理地利用,更不得披露給第三人,這既是電子商務經營者最基本的商業道德,也可以避免不必要的訟爭。電子商務經營者在網站上公開自己的隱私保護政策會是一個不錯的選擇,這樣可以減輕甚至消除信息提供者的顧慮。當然,經營者信守自己的承諾比作出承諾更重要,否則,承諾沒有任何意義。消費者權益保護也是經營電子商務的一個重要方面,消費者的各項權利如何在網上交易過程中得到切實保護是電子商務經營者必須
詳細策劃的一個課題,同時售后服務及退換貨等方面的規定也非常必要。
四、經營電子商務應確保交易安全 交易安全是每一個經營者和消費者所關心的。交易安全包括很多方面,其中最重要的兩個方面是支付安全和交貨安全。目前很多電子商務網站,特別是小型電子商務網站仍然采用網下現金支付方式,網站只是起到一個展示的作用,因而在支付環節并無特別的安全問題。還有很多電子商務網站采用信用卡支付或匯款支付方式,從實質上講,它仍然是傳統的支付方式。也有一些網站采用網絡支付方式,而具體形式也不盡相同,如電子貨幣等,在這種情況下,支付安全就極端重要。在交貨安全方面,其中一個重要環節是電子商務企業的物流系統是如何建立的,如果是第三方物流(TPL),如何界定發貨人、物流服務者和收貨人之間的關系是其中的關鍵環節。
五、合同成立時間會對電子交易的完成產生重要影響 從法律角度看,每一個交易均是一個合同關系,但這往往為經營者所忽略。比如消費者從商店買了一支筆,雙方一手交錢,一手交貨,一般的經營者和消費者不會意識到他們之間已經訂立了一份買賣合同,并且已經履行完畢。沒有這樣的意識也不會影響交易。但是在電子商務中,合同何時成立會對電子交易的完成產生重要影響。依據我國合同法,合同的成立須經過要約和承諾這樣的過程,承諾生效時合同成立,合同法同時也規定了數據電文方式的要約和承諾生效的時間。因此,電子商務網站在設計交易環節時,如何界定要約、承諾及其生效時間,將會決定電子交易合同何時成立,同時也將決定履行的方式和地點。當然,如果采用傳統的銀貨兩訖方式交易的,網絡訂單并沒有太大法律意義。
第四篇:互聯網網站安全防范專項建設實施方案
舟山市機關事業單位和國有企業 互聯網網站安全防范專項建設實施方案
為加強我市機關事業單位和國有企業互聯網網站(統稱為政府網站)的安全管理和防護水平,保障網站安全穩定運行,有效應對境內外各種網絡安全威脅,市政府決定自即日起至9月上旬在全市范圍內開展政府網站安全防范專項建設工作。現制定實施方案如下:
一、指導思想和建設目標
以總書記等中央領導同志關于網絡安全工作的重要指示精神為指導,通過開展上線前安全檢測、推行網站群建設、落實信息安全等級保護測評整改和安全監測預警建設等綜合防護措施,及時發現和消除網站安全隱患,按要求落實信息安全等級保護措施,提高網站的安全防護能力,切實加強網絡安全保障工作,確保G20國際峰會期間我市政府網站不發生網絡攻擊和重大輿情事件,確保全年不發生《浙江省網絡與信息安全應急預案》所列的Ⅱ至Ⅳ級事件,切實維護國家政治安全、公共安全、信息基礎設施安全和網絡數據安全。
二、主要工作措施和任務
根據當前我市政府網站分布特點和安全現狀,按照“統一管理、實時監測、集中防護、分級建設”的原則,在全市集中開展政府網站安全防范專項建設,通過四個月的努力,全面落實信息安全等級保護、政府網站群建設及安全監測預警建設等措施。重點是:
(一)集中開展政府網站群建設。各地公安機關、網信部門、經信部門、信息技術中心要指導、督促各政府網站單位、主管部門組織開展網站群建設。根據我市實際,市級政府網站在政務云和工業云分別建設網站群。市信息技術中心要抓緊制定市本級機關事業單位網站群建設技術方案,明確網站遷移方式、安全措施及相關責任。機關事業單位要全面梳理本部門、本行業互聯網網站底數,制定本部門、本行業網站遷移方案,并于6月10日前將遷移方案、聯絡員名單報市信息技術中心和市公安局,確保8月中旬前市級機關事業單位的互聯網網站全部遷移到市政府政務云平臺。市財政局、市經信委要組織開展好全市國有企業互聯網網站群建設,確保8月中旬前全市各國有企業互聯網網站全部遷移到市工業云平臺。各縣(區)可以參照市級做法,做好本區域內政府網站群建設。
(二)開展政府網站信息安全等級保護工作。各地公安機關、經信部門要依據職責,監督、檢查、指導同級政府網站開展信息安全等級保護工作。要按照“誰建設、誰負責,誰運營、誰負責”的原則,開展網站集群化信息安全等級保護測評。市公安局、市經信委要盡快組織開展市級機關事業單位和國有企業互聯網網站的等級測評整改工作。按照“邊測邊建、邊測邊移”的原則,在遷移進入政務云和工業云平臺前,均完成等級測評中的漏洞掃描,并在8月中旬前完成整改。對8月底還不能整改的要暫停運行;市財政局、市經信委、市信息技術中心要在8月中旬前完成政府網站群相關的物理資源層和虛擬資源層等級測評工作。各縣(區)要參照市級做法,開展政府網站信息安全等級保護工作。
(三)開展政府網站安全整改加固工作。各級公安機關要督促、指導政府網站做好安全整改、加固工作。各政府網站單位要邊遷邊查、邊查邊改,嚴格落實網站安全防御措施。機關事業單位的互聯網網站群和全市國有企業網站群要在8月中旬前完成網站防火墻(WAF)、網站云防御系統或網站防篡改系統等必要的安全防御設備的安裝。政府網站單位要根據等級測評檢測出的漏洞,完善網站源代碼安全,無法修補的,要進行全面改版升級,力爭8月底前完成整改。同時,各政府網站要根據等級測評報告,制定整改方案,落實整改措施,并在規定時間內完成整改加固工作。
(四)開展政府網站技術檢測、安全監測和通報預警建設。各地公安機關要充分利用技術手段和社會資源,加強政府網站技術檢測、安全監測和通報預警工作,建立政府網站安全監測和預警通報工作機制。尤其是G20峰會期間,要以“政府購買服務”的方式向有資質的專業公司購買網站漏洞掃描或7*24小時不間斷監測服務,對政府網站的安全及漏洞進行實時常態性監測,盡早發現網站安全漏洞隱患,及時通報預警。各網站單位接到安全預警通報后,要迅速落實漏洞隱患整改措施,堵塞網站安全漏洞,清除預埋的后門木馬,降低網站被攻擊篡改的風險,提升網站安全防護能力和應急處置能力。安全預警處置情況要及時向公安機關通報中心報告。
(五)開展政府網站安全防范檢查和應急機制建設。7月初起,各地公安機關和網信、信息技術、財政、經信等部門要對政府網站的開辦資格、網站群建設、網站安全防護狀況以及網站信息安全等級保護工作落實等情況進行聯合檢查,發現問題及時督促整改。各網站單位要制定完善網站安全應急處置預案并定期開展應急演練。網站遭攻擊篡改的,要第一時間向行業主管部門報告并啟動應急預案,同時向受理備案的公安機關報案,重大事件及時報同級網信部門。公安機關接到報案后,要第一時間趕赴現場,查封相關設備,固定證據,立案偵查,并按照程序進行責任倒查。
三、職責分工
根據省公安廳、省網信辦等四部門《關于黨政機關、事業單位和國有企業互聯網網站安全專項整治行動工作方案》部署,確定相關部門的職責分工如下:
市公安局:負責統籌組織、協調各單位開展政府網站安全防范工作;督促指導機關事業單位和國有企業做好網站群建設;推進機關事業單位和國有企業互聯網網站信息安全等級保護工作;開展網站安全監測、通報預警和應急處置支持等。
市網信辦:指導機關事業單位和國有企業開展網站群建設;監督、檢查、指導機關事業單位和國有企業互聯網網站安全保護工作,督促網站開辦單位加強網站安全監測。
市經信委:組織機關事業單位和國有企業開展網站群建設;配合市網信辦監督、檢查、指導機關事業單位和國有企業的互聯網網站安全保護工作;加強機關事業單位和國有企業互聯網網站信息安全等級保護專家評審工作。
市財政局:負責政府網站安全防范建設經費保障工作;做好政府網站群建設、信息安全等級測評、整改和政府網站安全監測的經費預算和保障;牽頭組織國有企業開展互聯網網站群及安全防范建設工作。
市信息技術中心:牽頭開展政府網站群建設;加強網站群安全防范建設。
市級其它政府網站單位:負責本單位、本系統、本行業互聯網網站安全防范建設工作;開展網站群建設、信息安全等級測評整改和網站安全監測預警建設。
各縣(區)政府和功能區管委會:參照市級做法,負責本區域內機關事業單位和國有企業互聯網網站安全防范專項建設。
四、工作要求
(一)提高認識,加強領導。網絡空間作為繼陸、海、空、天之后的的“第五疆域”,已成為當前國際戰略爭奪的焦點。總書記指出:“沒有網絡安全,就沒有國家安全”,就是對此深刻的詮釋。各地、各單位要充分認清當前網絡安全面臨的嚴峻形勢,從維護國家安全和社會穩定的高度,充分認識開展政府網站安全防范建設的重要性和緊迫性。要加強對此項工作的組織領導,市政府成立由分管副秘書長任組長,市府辦、市公安局、市網信辦、市編委辦、市財政局、市經信委等部門相關負責人任副組長的政府網站安全防范建設工作領導小組(詳見附件),負責組織協調推進工作,辦公室設在市公安局網安支隊。各縣(區)也要成立相應的領導機構,組成專門班子,開展具體工作。各政府網站單位內部要確立網站安全防范建設工作的分管領導和責任部門、具體責任人,切實做到領導親自部署、親自過問,責任部門具體負責。要明確工作職責,制定建設方案,形成一級抓一級、層層抓落實的工作格局。
(二)密切配合,建立長效。網絡的影響不分地域。G20國際峰會臨近,專項建設工作時間緊、任務重、涉及面廣,各有關職能部門、政府網站單位、主管部門要各司其職、各負其責,分工協作、密切配合,齊抓共管、形成合力。要以此次安全防范建設為契機,加強情況通報、溝通交流和協作配合,建立政府網站安全防范長效工作機制。各地公安機關、網信辦、經信部門、財政局、信息技術中心要及時研究具體建設事項,盡快落實網站群建設、網站等級保護和整改加固等舉措。各政府網站單位要主動對接公安、信息技術中心等職能部門,加快推進網站安全防范建設。今后新建政府網站原則上不再單獨建設,必須建于政府網站群,滿足基本安全保護要求后,方可上線運行。
(三)加強宣傳,強化督導。各地要充分利用廣播電視、報刊雜志、互聯網等媒體,加大對網絡安全保護的宣傳力度,及時宣傳網站安全防范專項建設工作,剖析典型案例,營造社會輿論聲勢,提高全社會對網絡安全工作的重視程度。公安、網信辦、經信、財政等部門要按照工作任務中的時間節點,有針對性的開展檢查。對網站遷移不到位、等級保護測評未落實、整改加固未采取,敷衍了事的,一經發現,政府網站單位相關負責同志要當面向市領導小組作出解釋,問題嚴重的,要在全市通報批評,并責令限期整改到位。
第五篇:論文網站集錦
論文網[http://(免費論文下載)
論 文 在線網[http://(論文資源)
論 文 資料網[http://(各專業論文下載)
畢 業 論文網[http://(論文發表等,不錯的地方)
專 業 論文網[http:///lunwen(看看吧挺好)
輕 松 論文網[http://(論文網站)
易 起 論文網[http://(大量的資格認真考試試題,計算機,英語視聽材料)IT認證考試資源網[(大量IT認證考試題庫)
中國大學生網[http://(題庫,模擬題,論文,小學大學)
中國考試網網[http://.cn(太多了)
中國考研網[http://(想考研究生來看看吧,大量免費資源)考研網[http://(自學考試相關資源)
出國考試網[http://(出國考試過關習題等)
天下資源網[http://(出國考試過關習題,英語視聽材料等)
<文學藝術>
白鹿書院[http://(有一大型網上讀書站點,看看吧)
瀟湘書院[http://(網上看書好地方)
新時代書城[http:///book(網上看書好地方)
亦凡書庫[http:///book(網上讀書,看看吧)
中華電腦書庫[http://(大量計算機方面圖書,可以下載)
考試163[http://(大量考試方面的圖書,可以下載)
<外語學習>
擇校學習網[http://(出國學習外語,咨詢等)
163考試網[(要過CET的朋友要去看看,還有聽力資料啊)英語之聲[http://(不錯的地方)
英語寫作網[http://(英語協作技巧等)
英語周報[無憂論文網:http:///
北京語言文化大學論文庫:http://li
點擊咨詢 