第一篇:网站建设中的安全防范论文
网站建设中的安全防范
(网络722孙自鸣 学号2007238023)
摘 要:对目前日益严峻的网站安全问题进行分析,提出了网站安全防范措施,通过基于UNIX和Windows等常用平台,介绍WEB网站的防护经验及网站中数据库具体防范。
关键词:网站;安全;防护;数据库 ;安全;ODBC数据源网站技术简介安全威胁的来源
1.1 WWW技术简介
World Wide Web称为万维网,简称Web。分成服务器端、客户接收机及通讯协议三个部分。
1.1.1 服务器(Web服务器)
服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档,按用户的要求返回信息。
1.1.2 客户接收机(Web浏览器)
客户机系统称为Web浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。
1.1.3 通讯协议(HTTP协议)
Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperText Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。
1.2 服务器安全威胁
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:Web服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。
Web数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,导致数据丢失或服务中断。
Web服务器上的数据存储结构不合理,没有划分安全区域或重要数据没有存放在安全区域,导致被侵入。
Web服务器上运行的程序存在安全漏洞,或应用程序所需要的权限过高没有优化,容易被黑客侵入。
1.3 客户端安全威胁
现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。
主要用到Java Applet、ActiveX、Cookie等技术都存在不同的安全隐患。
1.4 数据传输中的安全威胁
Internet是连接Web客户机和服务器通信的信道,是不安全的。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。
1.5 网站数据库的安全、(一)Access数据库的安全问题
1.Access数据库的存储隐患
在ASP+Access应用系统中,如果获得或者猜测到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。
2.Access数据库的解密隐患
由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内。由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以轻松地得到Access数据库的密码。基于这种原理,很容易编制出解密程序或者在互联网上下载到破解工具,数据库文件的内容,企业的资料、隐私和员工的密码从此不在安全。由此可见,无论是否设置了数据库密码,只要数据库被下载,其信息就没有任何安全性可言了。
(二)ASP带来的安全问题
1.ASP程序源代码的隐患
由于ASP程序采用的是非编译性语言,这大大降低了程序源代码的安全性。任何人只要进入站点,就可以获得源代码,从而造成ASP应用程序源代码的泄露。
2.程序设计中的安全隐患
ASP代码利用表单(form)实现与用户交互的功能,而相应的内容会反映在浏览器的地址栏中,如果不采用适当的安全措施,只要记下这些内容,就可以绕过验证直接进入某一页面。例如在浏览器中敲入“page.asp?x=1”,即可不经过表单页面直接进入满足“x=1”条件的页面。因此,在设计验证或注册页面时,必须采取特殊措施来避免此类问题的发生。WEB安全保护的原则
2.1 实用的原则
针对网站架构,网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全,在攻击行为发生前,做到防患于未然是预防措施的关键。
2.2 积极预防的原则
对WEB系统进行安全评估,权衡考虑各类安全资源的价值和对它们实施保护所需要的费用,通过评估,确定不安全情况发生的几率,采用必要的软硬件产品,加强网站日常安全监控。
2.3 及时补救的原则
在攻击事件发生后尽快恢复系统的正常运行,并找出发生攻击事件问题的原因,将损失
降至最低,并研究攻击发生后应对措施。建立安全的Web网站
3.1 合理配置主机系统
3.1.1 仅提供必要的服务
默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等,Windows NT系统将提供RPC、IP)转发、FTP、SMTP等。而且,系统在缺省的情况下自动启用这些服务,或提供简单易用的配置向导。为此,在安装操作系统时,应该只选择安装必要的协议和服务;对于UNIX系统,应检查/etc/rc.d/目录下的各个目录中的文件,删除不必要的文件;对于Windows系统,应删除没有用到的网络协议,不要安装不必要的应用软件。一般情况下,应关闭Web服务器的IP转发功能。
对于专门提供Web信息服务(含提供虚拟服务器)的网站,最好由专门的主机(或主机群)作Web服务器系统,对外只提供Web服务,没有其他任务。这样,可以保证(1)使系统最好地为Web服务提供支持;(2)管理人员单一,避免发生管理员之间的合作不调而出现安全漏洞的现象;(3)用户访问单一,便于控制;(4)日志文件较少,减轻系统负担。
对于必须提供其他服务,则必须仔细设置目录、文件的访问权限,确保远程用户无法通过Web服务获得操作权限
3.1.2 使用必要的辅助工具,简化安全管理
启用系统的日志(系统帐户日志和Web服务器日志)记录功能。监视并记录访问企图是主机安全的一个重要机制,以利于提高主机的一致性以及其数据保密性。
3.2 合理配置Web服务器
在Unix OS中,以非特权用户而不是Root身份运行Web服务器。
(1)设置Web服务器访问控制。通过IP地址控制、子网域名来控制,未被允许的IP地址、IP子网域发来的请求将被拒绝;
(2)通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候,访问才能被正确响应。
(3)用公用密钥加密方法。对文件的访问请求和文件本身都将加密,以便只有预计的用户才能读取文件内容。
3.3 设置Web服务器有关目录的权限
为了安全起见,管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。服务器根目录下存放日志文件、配置文件等敏感信息,它们对系统的安全至关重要,不能让用户随意读取或删改。
服务器根目录下存放CGI脚本程序,用户对这些程序有执行权限,恶意用户有可能利用其中的漏洞进行越权操作。
服务器根目录下的某些文件需要由Root来写或者执行,如Web服务器需要Root来启动,如果其他用户对Web服务器的执行程序有写权限,则该用户可以用其他代码替换掉Web服务器的执行程序,当Root 再次执行这个程序时,用户设定的代码将以Root身份运行。
3.4 安全管理Web服务器
Web服务器的日常管理、维护工作包括Web服务器的内容更新,日志文件的审计,安装一些新的工具、软件,更改服务器配置,对Web进行安全检查等。
4.数据库的防范对策
我们可以采用迷惑法、隐藏法、加密法、ODBC数据源法和注册验证法等技术手段防止数据库文件被非法下载。
(一)非常规命名法
1.把数据库的主文件名进行修改,并且放到很深的目录下面
防止数据库被找到的简便方法是为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下。例如,对于网上花店的数据库文件,不要简单地命名为“flower.mdb”或“bloom.mdb”,而是要起个非常规的名字,例如:halower123.mdb,再把它放在如/wh123/wd123d/hoo9/dh123/abc之类的深层目录下。这样攻击者想简单地猜测数据库的位置就很困难了。
2.把mdb扩展名修改为ASP或ASA等不影响数据查询的名字
但是有时候修改为ASP或者ASA以后仍然可以被下载,如将mdb修改为ASP以后,直接在IE的地址栏里输入网络地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。如果使用FlashGet等专业的下载工具就可以直接把数据库文件下载下来,因此需要找到一种FlashGet无法下载的方法。根据网站在处理包含unicode码的链接的时候将会不予处理的原理。可以利用unicode编码(比如可以利用“%3C”代替“<”等),来达到目的。而FlashGet在处理包含unicode码的链接的时候却“自作聪明”地把unicode编码做了对应的处理,比如自动把“%29”的unicode编码字符转化成“(”。即是说如向FlashGet提交一个http://22.0.1.2/dat/%29amitx.mdb的下载链接,它却解释成了http://22.0.1.2/dat/(amitx.mdb,当单击“确定”按钮进行下载的时候,FlashGet就去寻找一个名为“(amitx.mdb”的文件,当然找不到。
(二)使用ODBC数据源
在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名直接写在程序中。例如:直接语句
DBPath=ServerMapPath(“/wh123/wd123d/hoo9/dh123/abc/halower123.mdb”)
ODBC数据源语句
Conn Open“driver={Microsoft Access Driver(*.mdb)};dbq=”& DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,数据库也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了。
(三)加密ASP页面
可以使用微软公司的免费软件Script Encoder对ASP页面进行加密。它可以对当前目录中的所有的ASP文件进行加密,并把加密后的文件统一输出到相应的目录中。由于Script Encoder只加密在HTML页面中嵌入的ASP代码,其他部分仍保持不变,这就使得我们仍然可以使用FrontPage等常用网页编辑工具对HTML部分进行修改、完善,操作起来简单方便、效果良好。
(四)利用Session对象进行注册验证
为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取。一般情况,在设计网站时都要求用户注册成功后才可登录。但如果不采用Session对象进行注册验证,则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面,直接进入系统。
利用Session对象可以有效阻止这一情况的发生。相关的程序代码如下:<%
„读取用户输入的账号和密码
UserID = Request(“UserID”)
Password = Request(“Password”)
„检查UserID及Password是否正确(实际程序可能会比较复杂)If UserID <>“hrmis” Or Password <>
“password” Then
Response.Write“账号错误!”
Response.End
End If
'将Session对象设置为通过验证状态
Session(“Passed”)= True
%>
进入应用程序后,首先进行验证:
<%
'如果未通过验证,返回Login状态If Not Session(“Passed”)ThenResponse.Redirect“login.htm”
End If
%>
参考文献
[1]单欧.SSL在web安全中的应用[J].信息网络安全,[ 2 ] 李东风,谢昕.数据库安全技术研究与应用.商洛学院学报
[ 3 ]吴溥峰,张玉清.数据库安全综述.商洛学院学报
第二篇:网站建设中平面设计的运用论文
摘要:针对平面设计在网站建设的运用, 做了简单的论述。从实际运用来说, 存在着网站外观设计和网站图片效果不佳等问题, 需要做好平面设计运用的把控。现结合网站平面设计实践经验, 提出视觉艺术以及版面技巧等的运用策略。
关键词:网站建设;平面设计;版面技巧;视觉艺术;
一、网站建设中平面设计运用的必要性
网站设计离不开平面设计, 但难度更高。平面设计即视觉传达设计, 其出现的时间早于网站。通过视觉表达的方式, 利用自体排印以及电脑软件等技巧, 达到建设的目的。在进行网站建设时, 为了使得网站程序和界面等更加美观和优化, 需要运用到平面设计。网站建设中, 是基于平面设计, 展开的系列设计, 包括页面规划和布局等, 优化网站设计, 建设出界面布局更加优化和美观的网站。
二、网站平面设计中常见的问题
2.1外观设计效果不佳。
现阶段, 电子商务已经成为经济发展的主要趋势, 商家更加注重网站外观设计, 通过网站平面设计, 来展现网站的特色和性质。若外观设计不合理, 和网站自身性质条件存在着不相符问题。在建设网站时, 每个客户对于网站外观设计的要求不同, 需要设计人员针对客户需求来设计。不过从实际情况来说, 部分设计人员在设计时, 存在着模仿或者复制的情况, 给网站造成不利的影响。
2.2网站图片效果不佳。
在网站平面设计中, 通过图片设计, 达到宣传企业产品的目的, 促进企业网站发展。从实际来说, 若设计人员的设计水平较低, 存在设计问题, 比如产品清晰度低, 图片效果未能达到企业产品要求, 进而会影响网站的浏览量。基于此, 设计人员要具有一定的技术功底, 保证图片效果的质量。
三、网站建设中平面设计的运用策略
3.1融合新功能。
在进行网站平面设计时, 要注重做好色彩、字体、网页样式等的把控。以色彩为例, 颜色过于明显, 虽然能够吸引浏览者的注意力, 但过于浮夸会给人造成“低端”的感觉, 要做好界面整体的调整, 结合网站特色和特征, 来选择颜色和字体等。网站平面设计的目的, 是为了给人提供完美的视觉体验, 为了优化设计作品, 要注重融合新功能。目前, 网站已经发展成为移动H5网站, 除了可以增加动态图片外, 还可以增加声光功能和交互功能等, 被广泛的应用。基于此, 设计人员在设计的过程中, 要做好和客户之间的沟通, 深度了解网站建设的目的和需求, 进而通过图片和交互功能等, 增强和浏览者的信息交互, 使其能够获得更多信息, 进而达到设计的目的。
3.2聚合网页设计。
在进行网站平面设计时, 为了达到完美的状态, 可以将具有共同主题的网页设计融合起来, 生成新的网站。网站建设的过程中, 简单的信息, 比如文字和图片等, 通过运用平面设计手段, 使用超言和可拓展超文本标记语言等, 呈现在网站页面上, 为浏览者提供相应的信息。通过运行插件程序, 将矢量图形以及动画等多媒体档案, 利用标示语言移植到网站内。网站建设的难度较大, 合理运用平面设计, 能够满足网站设计的需求[1]。网站建设和平面设计的目的具有共同性, 是为了吸引浏览者多停留一些时间, 其停留时间越长, 则对网站的兴趣度就越高, 可能是网站的目标用户。
3.3体现视觉元素。
运用平面设计, 进行网站建设, 主要是通过视觉元素, 来传递信息。传统的平面设计, 主要是利用文字和图像等, 来表达设计目的。多媒体网页不同于普通的网页设计, 包括二维平面元素和视听元素。二维平面元素具体包括文字图像和版式, 视听元素包括动画和媒体视频等。网站建设并非单个脚本编程, 更是网络的延续。网络环境中, 网页作为动态交互平台, 传递着各类非线性消息, 是网站建设的主要把控点。基于此, 设计人员要熟练运用平面设计技巧, 利用特有的表达能力, 吸引浏览者的注意, 进而从网页中获得对应的消息。
3.4熟练运用各类技术。
网站建设中, 运用平面设计, 能够更好的表现网站视觉效果。通过网站平面设计, 能够创造更多的产业价值, 满足人们的需求。技术的快速发展, 为平面设计的开展, 提供了技术支撑。动态网页已经逐步替代静态网页, 需要更多的程序语言编程, 比如RUBY和PHP等, 提高平面设计水平。由于网站建设更加复杂, 需要设计人员强化交流和沟通, 激发更多的创意。设计人员之间增强沟通, 结合客户要求, 合理选用技术, 比如Flash动画技术等, 提高网站建设水平。
四、结语
综上所述, 在网站建设中, 运用平面设计, 要融合新功能, 聚合网页设计, 体现视觉元素, 熟练运用各类技术。在进行设计时, 要以用户体验为中心, 按照网站建设要求, 借助各类技术的作用, 增强建设效果。
参考文献
[1]王军.网站建设中平面设计与技术的结合研究[J].电子技术与软件工程, 2015(23):26.
第三篇:电子商务网站建设中的法律问题论文_电子商务网站建设中的法律问题论文
随着互联网的迅速普及,电子商务方兴未艾,许多年轻创业者选择了电子商务,特别是建立网络商店,经销电子产品、网络设备、家用电器以至办公用品、日用日、妇婴用品等等。与这些铺天盖地的B2C模式的电子商务相比,B2B模式的电子商务虽然未占主导地位,但也取得了长足的发展。许多电子商务的经营者已经初尝了互联网发展的甜头,阿里巴巴、易趣等网站则声名鹊起,取得了骄人的成绩,这又进一步刺激了其他创业者将目光投向电子商务。电子商务的载体是电子商务网站,通过电子商务网站以及一些辅助手段,电子商务经营者完成了交易,取得了收益。因此,电子商务网站建设就显得极其重要,而在网站建设伊始以及建设过程中,相关法律问题不能不引起创业者的重视。电子商务所涉法律问题众多,囿于篇幅,本文仅就其中几个相对重要问题,提点参考性建议。
一、经营电子商务,首先要关注合法性。合法性包括几个层面的内容:如经营内容要合法,一些经营者误以为互联网是自由的天堂,在很多国家,网上赌博、色情均在禁止之列,我国亦不例外。再如经营电子商务也必须进行工商登记,不能无照经营,经营的内容也应在工商部门核准的经营范围内,不能超越。对于一些须前置审批的经营项目,必须首先取得相关政府主管部门的许可。再如我国对经营性互联网信息服务实行许可证制度,对非经营性互联网信息服务实行备案制度。经营电子商务属典型的经营性ICP,应当向信息产业主管部门(在北京、上海等地为通信管理局)办理经营许可。
二、电子商务网站建设应尊重他人知识产权,同时保护自己的知识产权 电子商务网站建设会面临众多知识产权问题,包括著作权、商标权、域名权、专利权以及不正当竞争等。在著作权方面,网页界面设计、源代码、软件以及网站的内容等均受著作权法律保护。值得注意的是,根据最高人民法院的司法解释,已在报刊上刊登或者网络上传播的作品,除非著作权人声明不得转载、摘编,可以在网络上转载、摘编,但应当载明作者及出处,并支付报酬,并不得删除或者改变作品的权利管理电子信息。电子商务网站所有者应在网站中就著作权保护相关事项发表声明,以充分提示网站浏览者,并保护自身合法权益。商标权与域名权的交叉侵权是目前比较突出的情况之一,虽然相关法律、法规以及司法解释对此已有涉及,但是尚有很多空白点,电子商务网站经营者对此应有足够的准备。不要试图搭名牌的“便车”,这样往往得不偿失,当然对于一些名牌的反向域名侵夺行为也应据理力争。对于商标权、专利权的一般性保护,在网络世界与现实世界并无二致,只是可能侵权的严重程度会有所不同。但是在一些国家,对于独创的商业经营模式也给予专利保护,而由于电子商务本身是崭新的经营理念,电子商务的很多经营模式都是独创的,电子商务经营者在采用或者模仿他人的经营模式时就需要特别当心。
三、经营电子商务应当尊重他人隐私,保护消费者权益 电子商务与传统商务不同,电子商务经营者在交易过程中往往要求交易对方提供很多个人信息,同时也可以利用技术方法获得更多他人的个人信息。保护这些信息不被不合理地利用,更不得披露给第三人,这既是电子商务经营者最基本的商业道德,也可以避免不必要的讼争。电子商务经营者在网站上公开自己的隐私保护政策会是一个不错的选择,这样可以减轻甚至消除信息提供者的顾虑。当然,经营者信守自己的承诺比作出承诺更重要,否则,承诺没有任何意义。消费者权益保护也是经营电子商务的一个重要方面,消费者的各项权利如何在网上交易过程中得到切实保护是电子商务经营者必须
详细策划的一个课题,同时售后服务及退换货等方面的规定也非常必要。
四、经营电子商务应确保交易安全 交易安全是每一个经营者和消费者所关心的。交易安全包括很多方面,其中最重要的两个方面是支付安全和交货安全。目前很多电子商务网站,特别是小型电子商务网站仍然采用网下现金支付方式,网站只是起到一个展示的作用,因而在支付环节并无特别的安全问题。还有很多电子商务网站采用信用卡支付或汇款支付方式,从实质上讲,它仍然是传统的支付方式。也有一些网站采用网络支付方式,而具体形式也不尽相同,如电子货币等,在这种情况下,支付安全就极端重要。在交货安全方面,其中一个重要环节是电子商务企业的物流系统是如何建立的,如果是第三方物流(TPL),如何界定发货人、物流服务者和收货人之间的关系是其中的关键环节。
五、合同成立时间会对电子交易的完成产生重要影响 从法律角度看,每一个交易均是一个合同关系,但这往往为经营者所忽略。比如消费者从商店买了一支笔,双方一手交钱,一手交货,一般的经营者和消费者不会意识到他们之间已经订立了一份买卖合同,并且已经履行完毕。没有这样的意识也不会影响交易。但是在电子商务中,合同何时成立会对电子交易的完成产生重要影响。依据我国合同法,合同的成立须经过要约和承诺这样的过程,承诺生效时合同成立,合同法同时也规定了数据电文方式的要约和承诺生效的时间。因此,电子商务网站在设计交易环节时,如何界定要约、承诺及其生效时间,将会决定电子交易合同何时成立,同时也将决定履行的方式和地点。当然,如果采用传统的银货两讫方式交易的,网络订单并没有太大法律意义。
第四篇:互联网网站安全防范专项建设实施方案
舟山市机关事业单位和国有企业 互联网网站安全防范专项建设实施方案
为加强我市机关事业单位和国有企业互联网网站(统称为政府网站)的安全管理和防护水平,保障网站安全稳定运行,有效应对境内外各种网络安全威胁,市政府决定自即日起至9月上旬在全市范围内开展政府网站安全防范专项建设工作。现制定实施方案如下:
一、指导思想和建设目标
以总书记等中央领导同志关于网络安全工作的重要指示精神为指导,通过开展上线前安全检测、推行网站群建设、落实信息安全等级保护测评整改和安全监测预警建设等综合防护措施,及时发现和消除网站安全隐患,按要求落实信息安全等级保护措施,提高网站的安全防护能力,切实加强网络安全保障工作,确保G20国际峰会期间我市政府网站不发生网络攻击和重大舆情事件,确保全年不发生《浙江省网络与信息安全应急预案》所列的Ⅱ至Ⅳ级事件,切实维护国家政治安全、公共安全、信息基础设施安全和网络数据安全。
二、主要工作措施和任务
根据当前我市政府网站分布特点和安全现状,按照“统一管理、实时监测、集中防护、分级建设”的原则,在全市集中开展政府网站安全防范专项建设,通过四个月的努力,全面落实信息安全等级保护、政府网站群建设及安全监测预警建设等措施。重点是:
(一)集中开展政府网站群建设。各地公安机关、网信部门、经信部门、信息技术中心要指导、督促各政府网站单位、主管部门组织开展网站群建设。根据我市实际,市级政府网站在政务云和工业云分别建设网站群。市信息技术中心要抓紧制定市本级机关事业单位网站群建设技术方案,明确网站迁移方式、安全措施及相关责任。机关事业单位要全面梳理本部门、本行业互联网网站底数,制定本部门、本行业网站迁移方案,并于6月10日前将迁移方案、联络员名单报市信息技术中心和市公安局,确保8月中旬前市级机关事业单位的互联网网站全部迁移到市政府政务云平台。市财政局、市经信委要组织开展好全市国有企业互联网网站群建设,确保8月中旬前全市各国有企业互联网网站全部迁移到市工业云平台。各县(区)可以参照市级做法,做好本区域内政府网站群建设。
(二)开展政府网站信息安全等级保护工作。各地公安机关、经信部门要依据职责,监督、检查、指导同级政府网站开展信息安全等级保护工作。要按照“谁建设、谁负责,谁运营、谁负责”的原则,开展网站集群化信息安全等级保护测评。市公安局、市经信委要尽快组织开展市级机关事业单位和国有企业互联网网站的等级测评整改工作。按照“边测边建、边测边移”的原则,在迁移进入政务云和工业云平台前,均完成等级测评中的漏洞扫描,并在8月中旬前完成整改。对8月底还不能整改的要暂停运行;市财政局、市经信委、市信息技术中心要在8月中旬前完成政府网站群相关的物理资源层和虚拟资源层等级测评工作。各县(区)要参照市级做法,开展政府网站信息安全等级保护工作。
(三)开展政府网站安全整改加固工作。各级公安机关要督促、指导政府网站做好安全整改、加固工作。各政府网站单位要边迁边查、边查边改,严格落实网站安全防御措施。机关事业单位的互联网网站群和全市国有企业网站群要在8月中旬前完成网站防火墙(WAF)、网站云防御系统或网站防篡改系统等必要的安全防御设备的安装。政府网站单位要根据等级测评检测出的漏洞,完善网站源代码安全,无法修补的,要进行全面改版升级,力争8月底前完成整改。同时,各政府网站要根据等级测评报告,制定整改方案,落实整改措施,并在规定时间内完成整改加固工作。
(四)开展政府网站技术检测、安全监测和通报预警建设。各地公安机关要充分利用技术手段和社会资源,加强政府网站技术检测、安全监测和通报预警工作,建立政府网站安全监测和预警通报工作机制。尤其是G20峰会期间,要以“政府购买服务”的方式向有资质的专业公司购买网站漏洞扫描或7*24小时不间断监测服务,对政府网站的安全及漏洞进行实时常态性监测,尽早发现网站安全漏洞隐患,及时通报预警。各网站单位接到安全预警通报后,要迅速落实漏洞隐患整改措施,堵塞网站安全漏洞,清除预埋的后门木马,降低网站被攻击篡改的风险,提升网站安全防护能力和应急处置能力。安全预警处置情况要及时向公安机关通报中心报告。
(五)开展政府网站安全防范检查和应急机制建设。7月初起,各地公安机关和网信、信息技术、财政、经信等部门要对政府网站的开办资格、网站群建设、网站安全防护状况以及网站信息安全等级保护工作落实等情况进行联合检查,发现问题及时督促整改。各网站单位要制定完善网站安全应急处置预案并定期开展应急演练。网站遭攻击篡改的,要第一时间向行业主管部门报告并启动应急预案,同时向受理备案的公安机关报案,重大事件及时报同级网信部门。公安机关接到报案后,要第一时间赶赴现场,查封相关设备,固定证据,立案侦查,并按照程序进行责任倒查。
三、职责分工
根据省公安厅、省网信办等四部门《关于党政机关、事业单位和国有企业互联网网站安全专项整治行动工作方案》部署,确定相关部门的职责分工如下:
市公安局:负责统筹组织、协调各单位开展政府网站安全防范工作;督促指导机关事业单位和国有企业做好网站群建设;推进机关事业单位和国有企业互联网网站信息安全等级保护工作;开展网站安全监测、通报预警和应急处置支持等。
市网信办:指导机关事业单位和国有企业开展网站群建设;监督、检查、指导机关事业单位和国有企业互联网网站安全保护工作,督促网站开办单位加强网站安全监测。
市经信委:组织机关事业单位和国有企业开展网站群建设;配合市网信办监督、检查、指导机关事业单位和国有企业的互联网网站安全保护工作;加强机关事业单位和国有企业互联网网站信息安全等级保护专家评审工作。
市财政局:负责政府网站安全防范建设经费保障工作;做好政府网站群建设、信息安全等级测评、整改和政府网站安全监测的经费预算和保障;牵头组织国有企业开展互联网网站群及安全防范建设工作。
市信息技术中心:牵头开展政府网站群建设;加强网站群安全防范建设。
市级其它政府网站单位:负责本单位、本系统、本行业互联网网站安全防范建设工作;开展网站群建设、信息安全等级测评整改和网站安全监测预警建设。
各县(区)政府和功能区管委会:参照市级做法,负责本区域内机关事业单位和国有企业互联网网站安全防范专项建设。
四、工作要求
(一)提高认识,加强领导。网络空间作为继陆、海、空、天之后的的“第五疆域”,已成为当前国际战略争夺的焦点。总书记指出:“没有网络安全,就没有国家安全”,就是对此深刻的诠释。各地、各单位要充分认清当前网络安全面临的严峻形势,从维护国家安全和社会稳定的高度,充分认识开展政府网站安全防范建设的重要性和紧迫性。要加强对此项工作的组织领导,市政府成立由分管副秘书长任组长,市府办、市公安局、市网信办、市编委办、市财政局、市经信委等部门相关负责人任副组长的政府网站安全防范建设工作领导小组(详见附件),负责组织协调推进工作,办公室设在市公安局网安支队。各县(区)也要成立相应的领导机构,组成专门班子,开展具体工作。各政府网站单位内部要确立网站安全防范建设工作的分管领导和责任部门、具体责任人,切实做到领导亲自部署、亲自过问,责任部门具体负责。要明确工作职责,制定建设方案,形成一级抓一级、层层抓落实的工作格局。
(二)密切配合,建立长效。网络的影响不分地域。G20国际峰会临近,专项建设工作时间紧、任务重、涉及面广,各有关职能部门、政府网站单位、主管部门要各司其职、各负其责,分工协作、密切配合,齐抓共管、形成合力。要以此次安全防范建设为契机,加强情况通报、沟通交流和协作配合,建立政府网站安全防范长效工作机制。各地公安机关、网信办、经信部门、财政局、信息技术中心要及时研究具体建设事项,尽快落实网站群建设、网站等级保护和整改加固等举措。各政府网站单位要主动对接公安、信息技术中心等职能部门,加快推进网站安全防范建设。今后新建政府网站原则上不再单独建设,必须建于政府网站群,满足基本安全保护要求后,方可上线运行。
(三)加强宣传,强化督导。各地要充分利用广播电视、报刊杂志、互联网等媒体,加大对网络安全保护的宣传力度,及时宣传网站安全防范专项建设工作,剖析典型案例,营造社会舆论声势,提高全社会对网络安全工作的重视程度。公安、网信办、经信、财政等部门要按照工作任务中的时间节点,有针对性的开展检查。对网站迁移不到位、等级保护测评未落实、整改加固未采取,敷衍了事的,一经发现,政府网站单位相关负责同志要当面向市领导小组作出解释,问题严重的,要在全市通报批评,并责令限期整改到位。
第五篇:论文网站集锦
论文网[http://(免费论文下载)
论 文 在线网[http://(论文资源)
论 文 资料网[http://(各专业论文下载)
毕 业 论文网[http://(论文发表等,不错的地方)
专 业 论文网[http:///lunwen(看看吧挺好)
轻 松 论文网[http://(论文网站)
易 起 论文网[http://(大量的资格认真考试试题,计算机,英语视听材料)IT认证考试资源网[(大量IT认证考试题库)
中国大学生网[http://(题库,模拟题,论文,小学大学)
中国考试网网[http://.cn(太多了)
中国考研网[http://(想考研究生来看看吧,大量免费资源)考研网[http://(自学考试相关资源)
出国考试网[http://(出国考试过关习题等)
天下资源网[http://(出国考试过关习题,英语视听材料等)
<文学艺术>
白鹿书院[http://(有一大型网上读书站点,看看吧)
潇湘书院[http://(网上看书好地方)
新时代书城[http:///book(网上看书好地方)
亦凡书库[http:///book(网上读书,看看吧)
中华电脑书库[http://(大量计算机方面图书,可以下载)
考试163[http://(大量考试方面的图书,可以下载)
<外语学习>
择校学习网[http://(出国学习外语,咨询等)
163考试网[(要过CET的朋友要去看看,还有听力资料啊)英语之声[http://(不错的地方)
英语写作网[http://(英语协作技巧等)
英语周报[无忧论文网:http:///
北京语言文化大学论文库:http://li
点击咨询 