铜陵民论坛安全监测防控平台及网站升级改版项目.docx

1、铜陵民论坛安全监测防控平台及网站升级改版项目铜陵市民论坛安全监测防控平台及网站升级改版项目（一）项目基本情况、项目背景、采购内容： 1、项目基本情况铜陵市市民论坛是铜陵市市民建言献策，咨询投诉的网络渠道，也是政府和市民相互交流的平台。该论坛由铜陵市人民政府办公室主办，铜陵日报代维。随着互联网环境的高速发展，为了铜陵市民论坛网站的安全稳定运行，优化网站整体的访问体验，需要进行相关软件和技术采购。2、项目背景当前，我国正处于改革发展的关键时期，经济体制深刻变革，社会结构深刻变化，利益格局深刻调整，思想观念深刻变化，群众内部利益主体、利益诉求、利益表达和维护方式都发生了巨大变化，在这种情况下，“着力

2、解决人民群众反映强烈的突出问题，提高做好新形势下群众工作的能力”，是党的群众路线教育实践活动中提出的要求之一。而网络问政平台作为各级党委和政府通过互联网积极与网民沟通互动，知民情、解民意、聚民心、汇民智的基本形式和重要渠道，在“保持党同人民群众的血肉联系，发挥党密切联系群众的优势”方面具有得天独厚的优势。因此，在新形势下，利用网络问政于民、问需于民、问计于民，是坚持党的群众路线的生动体现。铜陵市市民论坛作为政府信息化建设的重要组成部分，是民众向政府反映诉求、表达意愿的重要渠道之一，也是集中反映网络舆论动向变化与民众关注热点的平台，2012年铜陵市市民论坛网站上线，得到社会各界一致好评，但由于时

3、间比较久，网站技术不断升级发展，目前铜陵市市民论坛很多应用受到技术牵制不能很好的发展，再者，网站系统长时间不升级，安全隐患比较大，针对本方案对当前市民论坛网站改版。3、采购内容(一)论坛建设 （1） 页面前端 包含原论坛迁移、同时重新设计新版论坛前端浏览页面，并加固模板代码，并要求支持多终端浏览。（2） 管理系统必须包含以下功能：信息展示功能、信息预警及短信邮件提醒、回应制度和问责制度、流程审批功能、报表功能、支持多终端访问、手机验证码注册机制、防灌水及敏感词、附件管理、广告管理、隐私信息云纠察功能。（3） 网站维护 对论坛提供全年7*24小时技术支持。（2）论坛安全（1）渗透测试 对网站进行

4、人工模拟攻击测试，找出潜在的漏洞风险。（2）论坛云安全防护 对市民论坛WEB应用、特定目标、专项威胁等提供7*24小时网站安全动态监测服务；同时进行7*24小时动态防御黑客攻击以及避免网站篡改。（3）论坛系统等保 网站系统二级等保测评。（二）技术方案1 方案原则1.1 标准化原则政务系统网络和信息安全运维要在国家信息系统安全等级评级规范和ISO27000标准的指导下，要建立相应的运维标准和运维考核办法。1.2 实用性原则政务系统网络和信息安全运维要从实际出发，根据运维的实际情况，进行合理规划，制定有效的服务方案和运维方案，切实解决用户的问题。1.3 机动性原则运维单位要根据用户的突发需要，制定

5、相应方案，合理调配运维工作人员，合理安排运维时间，制定相应的应急保障机制。1.4 安全性原则运维过程中，运维单位要切实保护用户设备、系统、平台和网络的安全，做到事前合理规划，事中监测保护，事后分析朔源。1.5 保密性原则运维单位在运维过程中，未经用户允许，不得以任何方式泄露用户信息。2 招标参数网站安全论坛系统等保1、安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；2、安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；完成测评工作后，提出整改意见并配合实施整改，提高系统防护能力，最后出具符合公

6、安机关要求的信息系统安全保护等级测评报告，并协助完成信息系统安全保护等级备案工作，确保通过二级等保测评并取得证书。渗透测试1.被动式信息收集：收集目标系统暴露于网络上，不需要额外的授权便可获取到的信息。2.专业安全工具扫描：专业安全工具扫描、嗅探，对系统的网络、主机和应用程序进行远程漏洞扫描，并对扫描结果进行分析。3.社会工程学探查：利用社会工程学结合大数据方式获取目标网站信息，例如：邮箱、QQ，手机号，身份证信息，历史密码等信息。4.未经验证的重定向和转发：未经验证将用户访问页面重定向或转发到其它网页，利用重定向漏洞诱导用户访问钓鱼或恶意网站或者使用转发去访问未授权页面。5.文件包含：利用文

7、件包含可以获取网站源代码、敏感文件6.跨站脚本攻击：指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。跨站脚本攻击又分：Dom、反射型、存储型，存储型可以获取用户cookie登录到用户中心。7.未授权访问：通过未授权访问一些敏感页面、命令执行，getshell等操作导致危害到网站安全性。例如：管理后台、Redis、Mongodb、Memcache、Jenkins、elasticsearch、hadoop、Docker、CouchDB8越权访问：通过越权访问检查一些页面请求是否可以利用一些方式绕过权限检查

8、，访问或者操作到原本无权访问的页面或者权限更高的页面。9.CSRF：通过CSRF漏洞构造页面发送给用户访问，此时可以做到如下利用场景。比如：通过程序中的缓冲区溢出漏洞，我们可以尝试控制程序的流程，使其执行任意代码；通过网站上的SQL注入漏洞，我们可以读取数据库中的敏感信息，进而获取Webshell甚至获取服务器的控制权等等。10中间件：web应用中承接多个中间件应用，其中各应用之间都可能存在相关漏洞，比如：iis,apache,nginx等。11.安全配置错误：检查应用、框架、Web服务器、数据库服务器、各种应用平台的安全性是否符合标准安全配置。12SQL注入：注入漏洞包含：SQL注入、Xpa

9、th注入、LDAP注入等。不同的方式需要测试人员手动介入测试，除验证注入漏洞是否真实存在外，还需对注入漏洞所产生危害的深度与广度进行识别，并结合其影响为该注入漏洞设置合理的危险等级。13授权绕过漏洞：业务系统中针对未加权认证、平行认证、敏感接口等缺乏认证，从而导致的越权操作及后台可猜解漏洞。14.截获和修改金额漏洞：由于支付业务功能缺乏针对提交方式、服务器验证返回等手段，导致的订单支付金额可修改漏洞。通常会导致重大损失。15规避交易限制：类似于“截获和修改金额漏洞”，通过对会话的修改，突破交易限制。如：“某产品购买数量100份起，通过修改，可1份下单。”16.请求重放漏洞：未采用动态加密方法的

10、认证过程，可能导致业务系统的认证功能失效。17.欺骗密码找回漏洞：目前业务系统对于用户的口令找回，有多种实现逻辑，其中很可能存在验证漏洞从而导致密码泄露。18.系统应用程序测试：针对操作系统应用程序漏洞进行测试和评估，明确漏洞风险论坛云安全防护1、无需在被防御的目标上安装任何软件、代理及硬件盒子，提供相关证明材料且加盖原厂商公章。2、不可对现有的政务云平台安全体系架构、网络拓扑结构进行任何更改或添加任何硬件设备进行组合。3、要能防止以下对网站的Web攻击：SQL注入、命令注入、跨站脚本、代码执行、路径遍历、缓冲区溢出、CGI扫描。4、能防御DDOS攻击和CC攻击，保证网站在DDOS攻击和CC攻

11、击下能正常使用，并显示CC攻击详细情况。5、要能识别出各种Web扫描器的自动化扫描和攻击行为，并进行阻断。6、能识别Web攻击者的IP所在地区，如是境外IP，并据此进行阻断。可以提供网站安全报表，能够实时展示网站的总请求数、总流量、网站浏览人数、搜索引擎引导量和遭攻击次数。提供截图证明并加盖原厂商公章。7、识别出某用户对网站的访问是攻击行为后，能阻断其所有通过Web应用防火墙进行的访问。8、能按照访问时间进行防御，允许或者阻止一定时间段内的访问。9、可根据IP地址，建立黑名单或白名单，阻止或者允许特定IP进行访问。10、可以URL形式定义网站的关键资源，并对关键资源进行监控，一旦发现关键资源被

12、篡改，立刻自动替换回来。11、可检查网站内容，过滤和替换敏感信息、反动言论和淫秽内容。12、提供网站访问情况报表，包括请求数、总流量、网站浏览人数，搜索引擎引导量，遭受攻击次数等，并能按时间端统计的网站访问量。13、可查看网站安全状况，包括各种攻击发生次数，攻击IP、来源（国家）等；14、在统计报表中能够实时展示每天网站加速情况，包括今日流量加速率、今日节省流量和今日加速请求数；同时在报表中能够对网站安全进行评级、当日发现的总攻击次数以及各攻击类型的攻击的次数，攻击类型包括：恶意扫描、xss跨站、文件注入、代码执行、文件包含、cc攻击、远程命令、SQL注入、webshell、恶意采集、特殊攻击

13、和其他。14、网站防护中，能够对黑客扫描尝试和黑客定点攻击进行实时展示，内容至少包括攻击时间、攻击网址、攻击IP、IP归属地、攻击类型和处理结果。15、能够支持微信告警，支持绑定个人微信，能够实时推送每天网站总请求数、总流量、网站浏览人数、遭受攻击次数等。提供截图证明并加盖原厂商公章。16、能按照访问时间进行防御，允许或者阻止一定时间段内的访问；保护网站图片、压缩包等资源文件不被其它站点盗用。18、云防护能够提供智能DNS、轮巡功能，根据用户访问源地址智能解析至相同运营商线路，以最优线路实现从哪来到哪去。网站开发页面前端1 支持多终端（移动设备和PC）访问：页面采用响应式布局设计，页面的结构元

14、素要能够根据不同浏览器和屏幕的尺寸进行自动调整，要为不同终端的用户提供更加舒适的界面和更好的用户体验。2 首面的设计、频道页面设计、会员管理页面、 互动类页面及其他模板页面设计。管理系统1 信息展示功能:论坛基本帖子页面展示功能。2 信息预警及短信邮件提醒:对于网民在前台发布的需要政府部门办结的信息，当进行到某一个步骤未处理时，系统会启动信息预警机制,并通过短信和邮件的方式督促相关部门或责任人进行处理。3 回应制度和问责制度：问政主题帖在有关单位回复后，问政发起人及其他网友可以作满意度评价。4 流程审批功能:问政发起人通过网站、电话提交问题，问政留言就会按照预订的工作流对信息进行流转和处理,系

15、统提供明晰的信息报送、审批和归档功能。5 报表功能:系统可根据问政主题帖处理情况，生成并导出系统化、多维度的统计和分析报表。6、手机号短信验证码注册机制：不添加第三方登录功能，采用手机号短信验证注册机制。7、防灌水及敏感词功能：通过限制发帖时间、设置验证码等技术手段实现防灌水功能；必须提供对敏感词的管理功能，包括敏感词单独添加、批量添加和敏感词分类，针对敏感词提供以下三种过滤方式：禁止、审核、替换，分别进行词语禁止发布、先审核后发布和替换为给定的词语后再发布。8 附件管理:(1)图片内容管理,支持批量上传图片的方式发布论坛信息，对图片可添加标题、概述和标签等文字说明。视频内容管理,支持批量上传

16、视频的方式发布信息，对发布的视频信息可添加标题，描述和标签等文字说明，支持例如FLV、AVI等各种主流视频格式。9 广告管理:用户可以自定义广告位版块，在后台能够编辑广告基本信息、广告类型。10 错别字、隐私信息云纠察功能：当用户、管理员在论坛上发布消息之前，采用自然语言处理（NLP）技术实现错别字、隐私信息云纠察功能，其中隐私信息包括身份证号、银行卡号、手机号、固话号码、人名、地址。网站维护1对论坛提供全年7*24小时技术支持。（3）采购方式 采购方式：公开招标（4）付款方式 项目验收合格后20个工作日内付合同全款的95%；余款5%在项目验收后满12个月后一次付清。（5）投标人资格要求 1、

17、满足中华人民共和国政府采购法第二十二条的全部要求，能独立承担民事责任，且具有从事本项目的经营范围和能力；（6）评标办法的初步意见 综合评分法（7）合同主要条款合同招标人（甲方）：供货人（乙方）：签订地点：铜陵项目名称：项目编号：本项目经批准采用公开招标采购方式，经本项目评审委员会认真评审，决定将采购合同授予乙方。为进一步明确双方的责任，确保合同的顺利履行，根据中华人民共和国合同法之规定及安徽铜陵公共资源交易中心的谈判文件、成交通知书等相关资料的要求，经甲乙双方充分协商，特订立本合同，以便共同遵守。第一条 货物名称、品牌、型号、规格、制造商、数量及交货时间序号货物名称型号规格制造商单位数量单价金

18、额交货期备注金额合计第二条 合同总价款1、合同总价：（人民币）大写（ ）。2、总价应包含货物及所需附件购置费、包装费、运输费、人工费、保险费、安装调试费、各种税费、资料费、售后服务费及合同实施过程中的不可预见费用等全部费用。3、本合同价为固定不变价。第三条 产品的技术标准（包括质量要求），按下列第（ ）项执行：按国家标准执行；按部颁标准执行；若无以上标准，则应不低于同行业质量标准；有特殊要求的，按甲乙双方在合同中商定的技术条件、样品或补充的技术要求执行；乙方提供和交付的货物技术标准应与谈判文件规定的技术标准相一致。若技术标准中无相应规定，所投货物应符合相应的国际标准或原产地国家有关部门最新颁布

19、的相应的正式标准。进口产品的质量标准为。乙方所提供的货物应是全新、未使用过的，是完全符合以上质量标准的原装正品（含零部件、配件、随机工具等），表面无划伤、无碰撞；相关的施工安装是由持有有权部门核发上岗证书的安装调试人员按照国际或国家现行安装验收规范来实施的；乙方所提供的货物在正确安装、正常使用和保养条件下，在其使用寿命内应具有满意的性能。第四条 包装、运输、保险1、乙方所供货物的制造商原装出厂包装箱号与设备出厂批号一致。2、包装必须与运输方式相适应，包装方式的确定及包装费用均由乙方负责，由于不适当的包装而造成货物在运输过程中有任何损坏、丢失由乙方负责。3、包装应足以承受整个过程中的运输、转运、

20、贮存等，并考虑铜陵地区的气候特点。4、每一包装箱两个侧面用不褪色的容易识别的中文字样作出标记：箱号、装运标志、毛重、净重、到货地址、收货人名称、货物名称等。5、货物在验收合格前的保险由乙方负责，并负责其派出的现场服务人员人身意外保险。【注：合同中约定的包装标准应与乙方在投标文件中承诺的一致，且投标文件应作为合同附件与合同具有同等法律效力。】第五条 产品的交货方法、到货地点和交货期限1.交货方法，按下列第（ ）项执行：乙方送货上门；乙方代运；甲方自提自运。2.到货地点： (甲方指定的任何地点，安装并调试.)3.产品的交货期限。第六条 付款条件 本合同以人民币付款。具体付款方式：详见投标人须知前附

21、表第七条 验收方法1.乙方安装调试后，在 天内通知甲方组织验收，交易中心保留受托参与本项目验收的权利。验收不合格的，乙方应负责重新提供达到本合同约定的质量要求的产品。2.甲、乙双方应严格履行合同有关条款，如果验收过程中发现乙方在没有征得交易中心同意的情况下擅自变更合同标的物，将拒绝通过验收，由此引起的一切后果及损失由乙方承担。3.甲方验收时，应成立三人以上（由甲、乙双方、资产管理人、技术人员、纪检等相关人员组成）验收小组，明确责任，严格依照采购文件、中标（成交）通知书、政府采购合同及相关验收规范进行核对、验收，形成验收结论，并出具书面验收报告。涉及安全、消防、环保等其他需要由质检或行业主管部门

22、进行验收的项目，必须邀请相关部门或相关专家参与验收。检测、验收费用均由乙方承担。第八条 对产品提出异议的时间和办法1.甲方在验收中，如果发现产品不符合合同约定的，应一面妥为保管，一面在工作日内向乙方书面提出异议，并抄送交易中心。具体说明产品不符合规定的内容并附相关验收材料，同时提出不符合规定产品的处理意见。2.甲方因使用、保管、保养不善等造成产品质量下降的，不得提出异议。3.乙方在接到甲方异议后，应在 工作日内负责处理，否则，即视为默认甲方提出的异议和处理意见。第九条 乙方应提供完善周到的技术支持和售后服务，否则交易中心将根据甲方的请求在进行事实调查的基础上，视情节轻重从乙方的履约保证金中扣除

23、部分或全部补偿甲方。1.保修乙方对其所提供的货物免费保修年，保修期从开始。乙方应在接到报修通知后天内上门维修，负责更换有瑕疵的货物、部件或提供相应的质量保证期内的服务。由此造成的损失，甲方保留索赔的权利。如果乙方在收到报修通知后天内没有弥补缺陷，甲方可采取必要的补救措施，但费用和风险由乙方承担。2.维修保修期届满后，乙方应对其提供的货物负有维修义务，但所涉及的费用由甲方承担。第十条 乙方的违约责任1.乙方不能交货的，应向甲方偿付不能交货部分货款的 %（通用产品的幅度为1%5%，专用产品的幅度为10%30%）的违约金。2.乙方所交产品不符合合同规定的，应根据产品的具体情况，由乙方负责包换或包修，

24、并承担修理、调换或退货而支付的实际费用,同时，乙方应按规定，对更换件相应延长质量保证期，并赔偿甲方相应的损失。乙方不能修理或者不能调换的，按不能交货处理。3.乙方因产品包装不符合合同规定，必须返修或重新包装的，乙方应负责返修或重包装，并承担支付的费用。甲方不要求返修或重新包装而要求赔偿损失的，乙方应当偿付甲方该不合格包装物低于合格包装物的价值部分。因包装不符合规定造成货物损坏或灭失的，乙方应当负责赔偿。每件货物包装箱内应附一份详细装箱单和质量证书。为进口件的，应出具报关手续和原产地、原产工厂证明、报关手续和商检证明等。4.如果乙方没有按照规定的时间交货、完成货物安装和提供服务，应向甲方支付违约

25、金，违约金从货款中扣除，按每周迟交货物或未提供服务交货价的0.5%计收。但违约金的最高限额为迟交货物或提供服务合同价的5%。一周按7天计算，不足7天按一周计算。如果达到最高限额，甲方应考虑终止合同，由此给甲方造成的损失由乙方承担。5.乙方提前交货的产品、多交的产品和不符合合同规定的产品，甲方在代保管期内实际支付的保管、保养等费用以及非因甲方保管不善而发生的损失，应当由乙方承担。6.乙方应对其所提供的货物承担所有权担保责任，并应保证甲方在中华人民共和国内使用该货物时不侵犯第三人的知识产权。否则乙方应承担由此引起的一切法律责任及费用。7.任何一方未经对方同意而单方面终止合同的，应向对方赔偿相当于本

26、合同总价款 %违约金。第十一条 甲方的违约责任1.甲方中途退货，应向乙方偿付退货部分货款 %（通用产品的幅度为1%5%专用产品的幅度为15%30%）的违约金。2.甲方违反合同规定拒绝接货的，应当承担由此造成的损失。第十二条 不可抗力1.如果双方任何一方由于受诸如战争、严重火灾、洪水、台风、地震等不可抗力的事故，致使影响合同履行时，履行合同的期限应予以延长，延长的期限应相当于事故所影响的时间。不可抗力事故系指买卖双方在缔结合同时所不能预见的，并且它的发生及其后果是无法避免和无法克服的事故。2.甲乙双方的任何一方由于不可抗力的原因不能履行合同时，应及时向对方通报不能履行或不能完全履行的理由，在取得

27、有关主管机关证明以后，允许延期履行、部分履行或者不履行合同，并根据情况可部分或全部免予承担违约责任。第十三条履约保证金1.本项目履约保证金为(人民币),收受人为，期限至。2.乙方提供的履约保证金按规定格式以银行保函形式提供的，与此有关的费用由卖方承担。3.如乙方未能履行其合同规定的任何义务，甲方有权从履约保证金中取得补偿。第十四条转让与分包1.除甲方事先书面同意外，乙方不得部分转让或全部转让其应履行的合同义务。2.乙方应在投标文件中或以其他书面形式对甲方确认本合同项下所授予的所有分包合同。但该确认不解除乙方承担的本合同下的任何责任或义务。意即在本合同项下，乙方对甲方负总责。第十五条合同文件及资

28、料的使用1.乙方在未经甲方同意的情况下，不得将合同、合同中的规定、有关计划、图纸、样本或甲方为上述内容向乙方提供的资料透露给任何人。2.除非执行合同需要，在事先未得到甲方同意的情况下，乙方不得使用前款所列的任何文件和资料。第十六条 其他1.按本合同规定应该偿付的违约金、赔偿金、保管保养费和各种经济损失，应当在明确责任后10天内，按银行规定的结算办法付清，否则按逾期付款处理。但任何一方不得自行扣发货物或扣付货款来充抵。2.本合同如发生纠纷，当事人双方应当及时协商解决，协商不成时，按以下第（）项方式处理：根据中华人民共和国仲裁法的规定向铜陵仲裁委员会申请仲裁。向合同签订地有级别管辖权的人民法院起诉

29、。第十七条 下列关于安徽铜陵公共资源交易中心（铜陵市政府采购中心）_的采购文件及有关附件是本合同不可分割的组成部分，与本合同具有同等法律效力，这些文件包括但不限于：招标文件；乙方提供的投标文件；服务承诺；甲乙双方商定的其他文件。以上附件顺序在前的具有优先解释权。本合同一式份，甲乙双方各执份，交铜陵市公共资源交易监督管理局审核备案后，交易中心留存份，自双方当事人签字盖章之日起生效。本合同合计页A4纸张，缺页之合同为无效合同。采购人（甲方）：（公章）供货人（乙方）：（公章）地址： 地址：法定代表人：法定代表人：委托代理人： 委托代理人：电话： 电话：开户银行：开户银行：账号： 账号：年 月 日 年

30、 月 日铜陵市公共资源交易监督管理局：（合同备案专用章）年 月 日附 ：主要标的一览表此表中主要标的由采购人列出，产品由投标人填写，将随中标结果公告一并发布，接受社会监督。项目名称分类项目功能项目要求合同期限论坛建设页面前端包含原论坛迁移、同时重新设计新版论坛前端浏览页面，并加固模板代码，并要求支持多终端浏览一次性签订管理系统必须包含以下功能：信息展示功能、信息预警及短信邮件提醒、回应制度和问责制度、流程审批功能、报表功能、支持多终端访问、手机号短信验证码注册机制、防灌水及敏感词、附件管理、广告管理、隐私信息云纠察功能 一次性签订网站维护对论坛提供全年7*24小时技术支持一年一签论坛安全渗透测试对网站进行人工模拟攻击测试，找出潜在的漏洞风险一次性签订论坛云安全防护对市民论坛WEB应用、特定目标、专项威胁等提供7*24小时网站安全动态监测服务；同时进行7*24小时动态防御黑客攻击以及避免网站篡改三年一签论坛系统等保网站系统二级等保测评一次性签订