网站整改实施方案(通用8篇)
网站整改实施方案 篇1
随着经济社会的发展,政府网站已逐步成为政府部门发布政务信息、提供在线服务、与公众互动交流的重要平台和窗口,根据市政府办公室《关于做好第一次全国政府网站普查检查整改阶段有关工作的通知》要求,对照全国政府网站普查评分体系,结合我局实际,深入研究指标要求,通过人工、技术等手段逐项指标、逐条要求进行自查,发现了一些问题,并提出相应的整改措施,现将有关整改方案汇报如下:
一、加强组织领导,切实做好网站整改工作。
我局将政务信息公开工作列入部门年度工作重点,成立了以局长为组长,各副局长为副组长,各处室、直属事业单位负责人为成员的政务信息公开工作领导小组。
制定了由局办公室牵头、测绘地理信息中心组织协调、各业务处室为各栏目责任主体的工作机制,按业务分类将网站信息的更新报送工作交相关处室责任人负责。信息中心对各个处室信息报送责任人采取集中培训、个别辅导的方式,确保及时、准确上报各类信息。建立处室“联络员”工作方案,由办公室督办各项工作进展,定期上网检查,并每月进行通报网站信息维护更新情况,及时发现和改正存在的问题。
二、加强制度建设 ,抓好落实整改工作。
制定《泰州市国土资源局网站后台操作手册》、《泰州市国土资源网站信息发布管理制度》、《泰州市国土资源局政府信息公开处室责任规定》等一系列网站信息公开管理制度。
日常操作中严格按照制度执行,进一步明确政务信息网上公开的基本原则、目标任务及内容、方式、流程等。建立政务信息网上公开部门协调与联动机制,规范工作流程,强化部门沟通协调,形成工作合力;确定政务信息网上公开审核制度,坚持“谁主管、谁负责,谁审批、谁负责”的原则,网站上每一个栏目都落实到具体处室具体负责人员;明确推行政务信息网上公开工作的时限,按照“合法、全面、准确、及时”的要求公开政务信息,对已公开的政务信息发生变化或失效时,及时更新;强化政务信息网上公开监督、考核、奖惩机制,加强对政务信息网上公开的.监督检查,提高公开质量和公开实效。
三、排查问题,及时纠正,务求网站整改取得实效。
1、针对网站可用性,人工每周点击监测,发现首页打不开或者链接不能正常访问的情况,及时汇报,由栏目负责人来修改或者重新制作,如果栏目负责人不能解决问题,则交给网站制作方来解决。
2、针对网站页面信息更新情况,我局制定门户网站维护分工表,最后两列分别为栏目更新的最新时间和数目以及存在问题。看首页栏目的更新数量和时间,基本信息更新是否及时准确,每月的5号检查并统计上报,对于没有及时更新的栏目对照栏目维护责任表通报相关处室并要求整改到位。
3、针对互动回应情况,安排工作人员察看门户网站,首先看有没有开设政务咨询类、调查征集类和互动访谈类的栏目,如果没有开设,及时通知相关负责人进行添加并确保开设的栏目可以使用;其次监测开设栏目的使用情况,对于政务咨询类,监测1年内有没有有效信件、留言的;对于调查征集类栏目,监测1年内有没有开展调查征集活动(不得少于3次);对于互动访谈类栏目,监测1年内有没有开展互动访谈活动(不得少于3次),没有开展或者开展时间在一年之前的,立刻整改到位。
4、针对服务实用情况,首先看办事指南,要求每个处室相关负责人检测该处室的办事指南是否上传,上传的是否完整和准确,不符合要求的,各处室相关负责人整理材料,制定或者补充办事指南;其次看附件下载所需的办事表格是否提供下载,能否正常下载。人工监测,点击链接下载,看文件是否能够下载,不能下载的通知相关处室提供相应的表格文件,做成链接上传;最后看在线申报和查询系统能否访问,人工每周检测,不能访问的,及时整改。
总之,我局将把政务信息公开工作抓紧、抓实、抓好,对门户网站运行当中遇到的新情况、新问题及时研究解决,确保正常规范运行。
网站整改实施方案 篇2
1998年, MichaelKunze为德国计算机杂志c’t写作了一篇关于“自由软件如何成为商业软件替代品”的文章时, 第一次提出了“LAMP”这个专有名词。用来指代Linux操作系统、Apache网络服务器、MySQL数据库和PHP (Perl或 Python) 脚本语言的组合。由于LAMP的4个组件都是开源的, 无数志愿者不断对相关技术进行升级和更新, 使得LAMP迅速成为国际上成熟的框架结构, 形成了一个强大的Web应用平台。与Java/J2EEx相比, LAMP具有Web资源丰富、轻量、迅速开发等优点。下面就LAMP的搭建和典型应用展开探讨。
1 操作系统选择
与Windows或商业版本的UNIX相比, Linux具有先天优势。由于Linux的内核源码以及外围应用程序都可为程序员自由获得, 所以, 很多公司相继开发了自己的Linux发行版本, 不同版本各具特色。比如RHEL的稳定, 又如Ubuntu的易用。
出于成本方面的考虑, 推荐使用CentOS (Community Enterprise Operating System) , 它是RHEL Linux的精简版本, 其内核核心代码与RHEL无异, 唯一不同的是, RHEL或者其它Linux企业版本面对企业提供的升级和维护服务是收费的, 因此, 我们用免费的CentOS替代Red Hat Enterprise Linux使用, 可以获得较高的稳定性。
2 安装准备
(1) 为便于Web应用程序的开发和测试, 可利用VMware在计算机上同时安装CentOS操作系统和用于测试的Window操作系统。
(2) 在搭建LAMP环境的过程中, 时常会用到其它相关包。为了简化操作, 第一, 在Linux图形界面安装开发工具和开发库;第二, 将搭建LAMP过程中会用到的安装包全部放在一个目录中 (例如/usr/down) 。
(3) 安装好相应工具 (如SecureCRT) 用以远程操作, 并且, 为了避免乱码现象, 应修改/etc/sysconfig/il8n配置文件, 将其中UTF-8改成GB18030。
3 Apache服务器安装
如果使用源码包安装Apache2 , 则要按照以下步骤进行:①#cd /usr/down;②#zxvf httpd-2.2.4.tar.gz //解压apache源码;③#cd httpd-2.2.4;④#make;⑤#make install;⑥#/server/apache/bin/apachectl start //启动apache。
安装完毕后, 可以进行测试:
在浏览器中输入http://localhost/, 如果出现 Apache测试页面的页面, 说明Apache已经安装成功。
4 MySQL安装、配置和测试
(1) 安装MySQL, 依下面步骤执行:
①# cd /usr/down //切换到MySQL源码所在目录;②创建用于运行MySQL服务器的组mysql和用户mysql:
#groupadd mysql
#useradd -g mysql mysql
③# ./configure --prefix=/server/mysql;④#make & make install
(2) 设置MySQL数据库。
①# cp support-files/mysql.server /etc/rc.d/init.d/mysqld //创建MySQL授权表;②修改数据目录的访问权限:
# cd /server/mysql
#chown -R root .
#chown -R mysql var
# 执行 chgrp -R mysql .
(3) 对MySQL数据库进行简单测试。
# /server/mysql/bin/mysqld_safe --user=mysql & 或者#mysql –u root –p /
/启动MySQL, 系统会提示输入密码。由于安装时没有设置密码, 所以默认密码为空。直接点击回车进入;若出现图1的界面, 则表示已经成功安装了MySQL。
5 PHP模块安装
(1) # cd /usr/down;
(2) # tar -zxvf php-5.2.1.tar.gz;
(3) cd php-5.2.1 ;./configure --prefix=/server/php --with-mysql=/server/mysql --with-apxs2=/server/apache/bin/apxs // --with-apx2=/server/apache/bin/apxs指明使用共享的Apache 2.0处理模块;
(4) #make &make install;
(5) cp php.ini-dist /usr/local/lib/php.ini //整合环境;
(6) 在Apache配置文件中添加如下内容, 然后存盘退出:
LoadModule php5_module modules/libphp5.so
AddType application/x-httpd-php .ph
p (在DirectoryIndex index.html index.html.var一行后加上index.php)
(7) # vi /server/apache/htdocs/phpinfo.ph
p//在网站根目录下建立一个phpinfo.php的文件。输入如下内容, 存盘退出:
< phpPhpinfo () ;
>
(8) 在浏览器中打开http://localhost/phpinfo.php, 若出现与PHP相关信息的网页, 则说明安装成功, 否则需进一步调试;
(9) 安装phpMyAdmin
# tar -zxvf phpMyAdmin-2.10.0.2-all-languages.tar.g
# cp -r phpMyAdmin-2.10.0.2-all-languages/ /server/apache/htdocs/phpmyadmin/
// 将phpmyadmin剪切到网站根目录下。
可以在浏览器中输入以下地址进行测试:http://localhost/phpmyadmin/。
6 应用实例——简单聊天室系统
聊天室是最简单的网站应用之一, 它能够实现不同用户的在线沟通。聊天室的主要功能有:用户注册、用户发言、查看用户信息、查看历史聊天记录。
(1) 系统流程。
本系统分为聊天功能子系统和用户管理子系统, 系统首页为index.php, 模块之间具体逻辑关系如图2。
(2) 数据库设计。
系统的数据库有chat和member两个表, 分别用来存储聊天信息和用户信息。
(3) 系统实现。
系统主页面分为聊天和用户管理两大功能区域。两个功能区域分别需要用到连接数据库和判断是否为登录用户这两个公共文件, 其中, dbconnect.php用于创建与数据库的连接, 其源代码如下:
< php $link_id=@mysql_connect (“localhost”, “root”, “guest”)
or die (“连接数据库服务器失败:”.mysql_error () ) ;
//选择要访问的数据库
@mysql_select_db (“chat_db”, $link_id)
or die (“连接数据库服务器失败:”.mysql_error () )
>
在聊天子系统中, 用户可以选择与一个或多个在线用户进行聊天, 并且能够查看历史记录。聊天子系统需要文件speak.php、chat_display.php、chat_private.php以及chat_history.php。其中, speak.php用于用户编写聊天信息的内容, 将信息存储到数据库chat表中;chat_private.php用于实时显示和某一在线用户聊天的内容;chat_history.php用于显示用户聊天的历史记录。依次按照系统功能和php的语法编写各个文件代码。
至此, 已经完成了LAMP的搭建和典型实例的测试。最后, 有两个问题值得注意:①在安装Linux的过程中, 如果选择完全安装, 则已经安装了LAMP环境, 但是此时版本相对较低, 为了在安装过程中不出现差错, 并且保证日后系统能够稳定运行, 最好先卸载低版本环境的相关软件;②若要提高PHP的执行效率, 可以安装Eacdelerator加速软件, 并利用Nginx实现Web负载均衡。
摘要:LAMP常用于搭建动态网站或者服务器, 是目前国际流行的Web框架;LAMP的各个组件有通用、跨平台、高性能、低价格的优势, 是企业搭建网站的首选平台。LAMP环境的搭建过程较为复杂, 具体过程根据选择组件的版本不同存在差异, 并且应注意各模块安装的顺序。聊天室作为最简单的网站应用之一, 是LAMP方案实现的一个典型实例。对此进行了论述。
关键词:LAMP,开源,环境搭建,Web服务
参考文献
[1]LUKE WELLING LAURA THOMSON.PHP and MySQL WebDevelopment[M].北京:机械工业出版社, 2009.
[2]李建伟, 夅积仁.PHP+MySQL开发实例教程[M].北京:中国电力出版社, 2010.
网站整改实施方案 篇3
今年1月,媒体曝光了中国电子商会通过“315消费电子投诉网” 以负面新闻要挟企业缴费的行为。随后,民政部进行立案调查。
经查,“315消费电子投诉网”为中国电子商会主办的受理消费者投诉的维权网站,网站由中国电子商会授权北京赛亿互联科技有限公司具体运营。在网站运营过程中,中国电子商会以受政府部门委托之名,利用“315消费电子投诉网”收集的消费者投诉信息,向企业发出《约谈通知书》,并以“联合工商、质检等有关部门对企业查处、曝光”等相威胁,约谈被投诉企业。同时,该会利用投诉信息在网上曝光对企业产生的负面影响,向企业施加压力,迫使企业与网站签订会员协议或不同级别的“战略合作协议”,通过提供“归档”、“直通车”等“服务”,使投诉信息曝光时间长短不同,以此向企业收取数额不等的费用。
根据《社会团体登记管理条例》,民政部依法对中国电子商会做出警告的行政处罚,责令该会对直接负责的主管人员做出严肃处理。同时,民政部责令中国电子商会不得通过“315消费电子投诉网”向企业收取费用;不得与企业发生利益关联,该网站不得继续刊登企业广告;要求其不得以中国电子商会名义向企业发出《约谈通知书》;还要将“315消费电子投诉网”实际发生的经济业务事项纳入中国电子商会的会计账簿,进行会计核算。并对该会其他收费项目进行自查自纠,规范收费行为。
网站自查整改报告 篇4
根据《国务院办公厅关于开展第一次全国政府网站普查的通知》(国办发?2015?15号)文件及县委、县政府的要求,县商务局高度重视,积极准备,希望以此次普查为契机,提高局门户网站信息发布、互动交流、便民服务水平,全面提升网站的权威性和影响力。现将自查整改情况汇报如: 一是加强组织领导,健全工作制度。成立由分管办公室的副职任组长,办公室主任为副组长,选调两名懂计算机的工作人员为成员的专项工作组。按照“谁主管谁负责、谁运行谁负责”的要求明确分工、健全责任制;二是摸清底子,加强衔接。对网站基本运行情况进行逐个自查,看栏目是否存在“僵尸”和“睡眠”现象,数据信息是否有缺失和失真现象。通过对领导讲话、办事指南、重要专题、当地概况、招商动态、统计数据、招商信息、企业信息、产品信息、农商展台、农产供应、图片新闻等12个栏目的地毯式自查,发现农商展台、产品信息、领导讲话、当地概况、企业信息等栏目长期没更新。由于该网站只属省商务厅的一子网站,没有在后台更新的权限,但为了确保网站整改到位,局机关多次向市商务局信息中心和省商务厅信息中心汇报,争取到了上级的大力支持。三是抓紧时间,确保整改到位。按照文件规定的相关要求,农商展台、农产供应等几个栏目经请示省商务信息中心批准进行了核减,对商务动态、重要专题、统计数据等多个栏目进行了更新。截止目前,我们信息公开无一差错,无空白栏目、无未更新栏目、无单项否决,按要求完成各阶段任务。在今后的工作中,我们要继续积极贯彻落实上级有关文件精神,进一步做好政府网站建设工作。一方面详细了解和借鉴工作开展好、内容规范的其他单位网站建设经验,尽快完善我局网站建设。其次是进一步完善制度,丰富内容。严格按照《中华人民共和国政府信息公开条例》和《蓝山县政府信息公开规定》的要求开展工作,逐步增强依法公开,主动公开意识,不断丰富政务信息公开内容,完善信息公开目录,创新公开形式,力求使公开的信息更贴近公众、方便群众。再次是进一步规范管理,加强检查。不断完善细化政务信息公开目录和内容,增强政务信息公开工作的针对性,增加发布信息量,提高采集业务数据的及时性、准确性,增强服务意识,真正做到以公开促廉政,以公开树形象,推动各项工作健康有序发展。篇二:政府网站检查整改报告 ****政府网站检查整改报告 *****人民政府办公室:
根据市人民政府办公室《关于开展政府网站检查通知》相关要求,我局积极安排部署,对照《通知》检查整改要求,对我局所属*****外网子站及***政府信息公开网站子站相关内容进行了认真自查,针对存在的问题分别采取相应措施,进行了安全整改,现将有关整改情况汇报如下:
一、开展检查的情况
我局汇合局信息中心对所属*****外网及****政府信息公开网站子站进行了严格检查。我局上述两个外网能够正常访问,各栏目及其子栏目内容更新及时;信息发布审核和保密审查机制健全;网站提供的各项服务和互动功能正常;网站的链接均经过管理单位审核把关;网站安全防范工作到位,采取了防攻击、防篡改、防病毒等安全防护措施,并制定了应急处置预案;网站的运行和维护责任到岗。但还存在两方面的问题:一是存在网站内容错误的现象;二是部分内容链接不上的情况。
二、整改主要措施 针对网站内容错误的现象,我局组织专人对近一年来的信息内容进行逐篇检查,不放过任何一个小差错。同时,明确要求网站后台管理人员加强网站管理平台的口令管理,增加口令强度,专人负责并定期更换。
针对部分内容链接不上的情况,我局办公室广泛搜集出现问题相 关信息,并组织专人对链接进行检查,逐一修复,保证链接畅通。同时建立问题即时报告制,全局各分局、科室(中心)如发现有错链或断链的情况,及时报告网站运行维护科室,及时修复。
三、主要问题及工作建议
在政府网站(*****信息公开网站子站)运行和维护过程中,经常会出现网站无法打开的情况,影响到了部分即时性强的信息的及时对外发布,望相关部门妥善解决。*********** 二〇一一年十一月一日篇三:网站基本情况调查和自查整改报告
附件3 政府网站存在问题记录 1 xxxx信息网检查整改报告
钦南区人民政府办公室:
根据xxx区人民政府办公室《xxx区人民政府办公室关于做好政府网站基本情况调查和自查有关工作的通知》相关要求,我局积极安排部署,对照《通知》检查整改要求,对我局所属xxx信息网相关内容进行了认真自查,针对存在的问题分别采取相应措施,进行了安全整改,现将有关整改情况汇报如下:
一、开展检查的情况
根据通知要求我局对xxx信息网站进行了严格检查。我局网站两年多以来,在上级部门的帮助下,在工作中克服了人员少、时间紧、任务重等困难,周密部署,精心组织,步步推进,保证了条例的正式施行后的科技信息公开工作顺利开展,目前,总体进展良好。各栏目内容更新及时;信息发布审核和保密审查机制健全;网站提供的各项服务和互动功能正常;网站的链接均经过管理单位审核把关;网站安全防范工作到位,采取了防攻击、防篡改、防病毒等安全防护措施,并制定了应急处置预案;网站的运行和维护责任到岗。但还存在两方面的问题:一是存在网站视频点播栏目无法正常播放的现象;二是部分内容链接不上的情况。
二、整改主要措施
针对网站视频点播栏目无法正常播放的现象,我局组织专人对视频点播栏目内容进行逐篇检查,并联系市科技局网站负责人帮助技术
指导。同时,明确要求网站后台管理人员加强网站管理平台的口令管理,增加口令强度,专人负责并定期更换。
针对部分内容链接不上的情况,我局办公室广泛搜集出现问题相关信息,并组织专人对链接进行检查,逐一修复,保证链接畅通。同时建立问题即时报告制,全局各股室如发现有错链或断链的情况,及时报告网站运行维护人员,及时修复。
三、主要问题及工作建议
在xxx信息网站运行和维护过程中,会出现网站无法打开的情况,影响到了部分即时性强的信息的及时对外发布,望得到相关部门帮忙妥善解决。下阶段我局网站将一步加强网站xxx专栏建设,充分发挥其xxx第一平台的作用,及时更新图片,合理布局网站页面,做到图文并茂,保证页面质量;进一步完善科技动态以及信息公开栏建设。促进我局xxx信息公开工作走向制度化、规范化的轨道发展。xxxx局
二〇一二年九月十八日篇四:县国土局关于全国政府网站普查工作自查整改情况汇报
县国土局关于全国政府网站普查工作自查
整改情况汇报
县府办: 根据县府办转发青岛市《关于进一步做好政府网站普查工作的通知 》文件要求,县国土局领导班子高度重视,组织相关科室对我局所属政府信息公开网站相关内容进行了认真自查,确保检查工作不走过场,取得实效。针对存在的问题分别采取相应措施,进行了扎实整改。现将有关整改情况总结如下。
一、开展检查的情况
(一)全面检查,切实解决政府网站管理中的突出问题。由分管领导、办公室、信息室对局政府网站进行了全面的检查。重点检查了以下六个方面的内容:一是网站页面能否正常访问,各栏目及其子栏目是否及时更新;二是网站发布信息是否及时、准确、完整。信息发布审核和保密审查机制是否健全;三是网站运行是否正常,页面和各栏目能否正常访问,网站链接是否经过管理单位审核把关,是否存在错链和断链;四是网站是否按照要求及时公开政务信息,交流互动类栏目是否及时、准确回应。网站提供的各项服务和互动功能是否正常;五是安全防范工作是否到位;六是网站管理单
位和运行维护单位职责是否明确。
(二)健全制度,提升政府网站工作水平。我局目前上述外网能够正常访问,各栏目及其子栏目内容已及时更新;信息发布审核和保密审查机制健全,网站的运行和维护责任到岗。
但还存在两方面的问题:一是网站管理有待完善加强。主要反映在政府信息的内容单一化,主要以各类政策、文件为主,缺少贴近人民大众的信息板块,政府信息网站的版面布局过于单调和枯燥;二是对政府网站的日常检查不够,内容更新频率和内容量够不。
二、网站整改情况
(一)完善网站管理规章制度。为维护网站的安全正常运行,我局及时完善了网站管理的相关制度,成立了网站管理机构。分管局长为组长,办公室工作人员为成员,做到分管领导负责管,办公室人员具体抓,负责网站日常管理和维护。
(二)修订完善了网站管理内容保障机制、加强信息发布审核和保密工作。完善对政府网站的监控与管理,上网信息严格按程序审批,重要数据资料进行备份,采取严格的防范措施,确保政府网络安全运行。
(三)及时更正网站错误内容。我局组织专人对信息内容进行逐篇检查,不放过任何一个小差错。同时,明确要求
网站后台管理人员加强网站管理平台的口令管理,增加口令强度,专人负责并定期更换。
(四)检查部分内容无法显示的链接。我局办公室广泛搜集出现问题相关信息,并组织专人对链接进行检查,逐一修复,保证链接畅通。同时建立问题即时报告制,全局科室(中心)如发现有错链或断链的情况,及时报告,及时修复。
三、下一步工作措施
政府网站作为政府工作的一面旗帜,是政府工作的最前沿,也是与群众直接接触、接受群众监督的最前沿,要充分发挥好宣传窗口的作用。在今后的工作中,我局将加强改进,好的方面努力做得更好,不足的方面加强整改,确保做好政府网站的管理工作。
一是明确责任人进行政府网站的日常维护工作。做到一天一更新,加强对国家大事,惠民政策等的宣传,与群众做好互动,倾听群众的心声,鼓励建言献策,发挥好政府网站“便民服务”作用。
二是要切实加强信息主动公开工作。及时准确在政府网站发布涉及群众切身利益、需要社会公众广泛知晓或者参与的政府信息,尤其要做好公共资源配置、重大建设项目、社会公益事业等领域政府信息的发布工作。对公众关注的社会热点问题,要主动在政府网站予以回应,发布权威信息,讲清事实真相、有关政策措施以及处理结果等。三是规范管理,不断提升政府网站工作水平。政府网站管理要建立链接审批制度,严格审核把关,日常运行维护时要定期检查链接的有效性,发现链接错误,要及时查明原因,加以更正。
四是做好政府网站的安全保密工作。确保上网信息准确、真实,不发生失泄密问题,确保公众能够及时获取政府信息、获得便利的在线服务,确保链接正确有效、网站安全平稳运行。
五是要对政府网站管理工作开展经常性的督促检查。使之制度化、常态化,及时发现并妥善解决存在的问题。
南雄县国土资源局
2015年6月8日篇五:网站自查报告
网站自查整改情况报告
根据《xx人民政府办公室关于开展全区政府网站普查工作的紧急通知》文件精神,xx高度重视,由分管领导牵头,迅即组织有关人员对政府网站开展检查,针对发现的问题切实整改,确保此次网站自查工作取得实效。现将具体情况报告如下:
一、全面检查,切实找准政府网站管理中的突出问题 在收到区人民政府办公室关于开展政府网站普查工作的通知后,镇领导高度重视,由镇分管领导、党政办、网站维护人员对镇政府网站进行了全面的检查。重点检查了以下四个方面的内容:一是网站页面能否正常访问,各栏目内容是否及时准确更新;二是信息发布审核机制是否健全,发布的政务信息是否准确真实;三是网站各个板块的内容是否实用,提供的各项便民服务和互动功能是否正常;四是网站日常管理职责是否明确,维护是否到位。
二、强化管理,不断提升政府网站便民服务水平xx网站于2014年注册建立,本着信息公开、互动交流、便民服务的原则,不断加强日常维护管理,努力提升政府网站的便民服务水平。一是由专人负责网站管理的日常性工作,主要负责政务信息的上传、检查网站运行和页面显示是否正
常,并做好日常检查和监测,发现问题或出现突出突发情况及时妥善处理。二是网站设置了党建工作、依法治理、集镇建设、产业发展等栏目,版块齐全,内容丰富,公开信息较为及时,努力达到政务公开、便捷于民的目的。三是为了确保政府信息公开的准确性和严肃性,凡是上网公开的信息一律经分管领导审核批准。
三、健全机制,充分发挥政府网站信息公开作用
一是严格把好责任关,网站管理和运行维护建立专人负责制度。安排专人每日登陆网站上传政务信息、检查网站页面和各个栏目是否运行正常,信息是否及时更新,杜绝出现“死链”、“错链”。二是严格把好审核关,建立政务信息上传审批制度。所有上网公开的信息都必须经过分管领导审查和主要领导签字确认,确保信息的内容翔实、用词准确、表意清楚。三是严格把好维护关,建立定期检查和进行日常运行维护制度。定期检查链接的有效性,发现链接错误,及时查明原因,加以更正。
四、切实整改,致力打造政府信息公开的一道风景线 我们高度重视政府网站的日常管理和运行维护,通过此次自查发现,我镇政府网站还存在三个方面的问题:一是网站管理人员仍达不到专业技术要求,需要进一步加强学习;二是网站部分栏目更新不够及时,部分文章稿件形式较为单一,内容、质量还有待提高。三是政府网站的版面布局整体
较为单调和呆板,没有展示出xx蓬勃发展的活力和政府工作人员积极向上的朝气和良好的精神面貌。
网站安全隐患整改报告 篇5
XXX市公安局XXX分局:
自2015年6月11日接到XXX市公安局XXX分局下发的《政府网站安全隐患告知书》后,我公司技术部组织人力,针对检查后发现的问题,迅速修补安全漏洞,并对所属网站进行彻底检查,进一步完善安全防范措施,提高网络安全防范意识,有效增强了XXXXXX网站对有害信息的防范能力和防泄密水平。现将整改情况告知如下:
一、完成问题整改
针对通知附件的检测结果,我公司网站在防sql注入等方面存在一些问题。针对以上问题,我公司技术部组织大量技术人员,检测了整个网站的防注入隐患,制订了新的地址过滤算法,完成了完成了网页地址过滤等工作。
二、进一步提高网络与信息安全工作水平
一是加强理论知识学习。建立学习制度,每半个月组织部门工作人员及专业技术人员,学习网络安全知识及网络信息保密的相关法律法规。通过学习,全面提高工作人员网络安全知识水平,尤其是在网络新病毒、网站新漏洞等网络安全技术方面,做到及时沟通、信息共享。
二是加强网络与信息安全管理。通过“责任落实到人,工作落实到纸”的方法,全面加强网络与信息安全管理工作。我们设立了网站服务器安全员、机房管理员、网站检测员、网站后台技术员等,把责任具体到人,同时要求,各责任岗位要随时做好工作记录,各项工作最终落实到纸面。通过以上工作,我公司网站网络信息安全管理水平得到整体提高。
三是建立健全信息网络安全制度。在工作中,进一步细化工作程序,建立各项工作制度。完善了服务器数据定期备份制度、网络信息发布签审制度等。通过完善各类制度,使网络安全信息工作有章可循,为做好XXXXXX网站信息网络安全工作,奠定了坚实的基础。
在今后的工作中,我们将进一步加强学习,严格管理,完善制度,努力提升XXXXXX网站信息网络安全工作水平。
告知书网站漏洞危害及整改建议 篇6
1.网站木马 1.1 危害
利用IE浏览器漏洞,让IE在后台自动下载黑客放置在网站上的木马并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者电脑或安装恶意软件的目的。
1.2 利用方式
表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。可被木马植入的网页也意味着能被篡改页面内容。
1.3 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法检测到,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署网站防篡改设备。2.网站暗链
2.1 危害
网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。
2.2 利用方式
“暗链”就是看不见的网站链接,“暗链”在网站中的链接做的非常隐蔽,可能访问者并不能一眼就能识别出被挂的隐藏链接。它和友情链接有相似之处,可以有效地提高PR值,所以往往被恶意攻击者利用。
2.3 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法到检测深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署网站防篡改设备。3.页面篡改
3.1 危害
政府门户网站一旦被篡改将造成多种严重的后果,主要表现在以下一些方面:
1)政府形象受损; 2)影响信息发布和传播;
3)恶意发布有害违法信息及言论;
4)木马病毒传播,引发系统崩溃、数据损坏等;
5)造成泄密事件。
3.2 利用方式
恶意攻击者得到网站权限篡改网站页面内容,一般多为网站首页,或者得到域名控制权限后通过修改域名A记录,域名劫持也可达到页面篡改的目的。
3.3 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署网站防篡改设备。4.SQL注入 4.1 危害
这些危害包括但不局限于:
1)数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;
2)网页篡改:通过操作数据库对特定网页进行篡改; 3)网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;
4)数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被篡改;
5)服务器被远程控制安装后门,经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统;
6)破坏硬盘数据,瘫痪全系统;
一些类型的数据库系统能够让SQL指令操作文件系统,这使得SQL注入的危害被进一步放大。
4.2 利用方式
由于程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得某些攻击者想得知的数据,甚至获得管理权限。
4.3 整改建议
1)修改网站源代码,对用户交互页面提交数据进行过滤,防止SQL注入漏洞产生;
2)对网站代码进行一次全面检测,查看是否有恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署WEB应用防火墙等相关设备。5.后台管理 5.1 危害
站点信息的更新通常通过后台管理来实现,web应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理,比如admin、manager等。攻击者可能通过使用上述常用地址尝试访问目标站点,获取站点的后台管理地址,从而可以达到暴力破解后台登录用户口令的目的。攻击者进入后台管理系统后可以直接对网站内容进行增加、篡改或删除。
5.2 利用方式
通过使用常用的管理后台地址尝试访问目标站点,获取站点的后台管理地址,使用字典暴力猜解网站后台地址。如后台管理的口令较弱则可能被猜解而进入管理界面,如管理登入存在注入漏洞则可能验证被绕过而直接进入管理界面。
5.3 整改建议
1)为后台管理系统设置复杂访问路径,防止被攻击者轻易找到;
2)增加验证码后台登录身份验证措施,防止攻击者对后台登录系统实施自动暴力攻击;
3)修改网站源代码,对用户提交数据进行格式进行限制,防止因注入漏洞等问题导致后台验证绕过问题;
4)加强口令管理,从管理和技术上限定口令复杂度及长度。.攻击痕迹
6.1 危害
网站常见的攻击痕迹:恶意脚本痕迹、异常文件提交痕迹、异常账号建立痕迹、异常网络连接等,一旦发现网站存在攻击痕迹,说明网站已经或曾经被入侵过。
6.2 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,及时发现网站代码中存在的问题,查看是否有恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入。
7.跨站脚本
7.1 危害
1)钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。
2)网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
3)身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发严重危害。
4)盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。5)垃圾信息发送:如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
6)劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。
7)XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。
7.2 利用方式
XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站产生较严重的危害。
7.3 整改建议
1)修改网站源代码,对用户交互页面提交数据进行过滤,防止SQL注入漏洞产生;
2)对网站代码进行一次全面检测,查看是否有恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署WEB应用防火墙等相关设备。8.文件包含
8.1 危害 由于开发人员编写源码,开发者将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句,并交由服务器端解释执行。
8.2 利用方式
文件包含漏洞,如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。
8.3 整改建议
修改程序源代码,禁止服务器端通过动态包含文件方式的文件链接。
9.目录遍历 9.1 危害
程序中如果不能正确地过滤客户端提交的../和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。
9.2 利用方式
提交../和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。
9.3 整改建议
加强网站访问权限控制,禁止网站目录的用户浏览权限。
10.危险端口
10.1 危害
开放危险端口(数据库、远程桌面、telnet等),可被攻击者尝试弱口令登录或暴力猜解登录口令,或利用开放的端口进行DDOS拒绝服务攻击。
10.2 利用方式
弱口令尝试和暴力猜解。10.3 整改建议
加强网站服务器的端口访问控制,禁止非必要端口对外开放。例如数据库连接端口1433、1521、3306等;谨慎开放远程管理端口3389、23、22、21等,如有远程管理需要,建议对端口进行更改或者管理IP进行限制。
11.信息泄露 11.1 危害
目标网站WEB程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。
11.2 利用方式
信息泄漏的利用方式包括但不限于以下攻击方式: 1)phpinfo信息泄漏; 2)测试页面泄漏在外网; 3)备份文件泄漏在外网; 4)版本管理工具文件信息泄漏; 5)HTTP认证泄漏;
6)泄漏员工电子邮箱漏洞以及分机号码;
7)错误详情泄漏;
8)网站真实存放路径泄漏。11.3 整改建议
1)加强网站服务器配置,对默认错误信息进行修改,避免因客户端提交的非法请求导致服务器返回敏感信息。
2)尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。
12.中间件
12.1 危害
WEB应用程序的搭建环境会利用到中间件,如:IIS、apache、weblogic等,而这些中间件软件都存在一些漏洞,如:拒绝服务漏洞,代码执行漏洞、跨站脚本漏洞等。恶意攻击者利用中间件的漏洞可快速成功攻击目标网站。
12.2 利用方式
判断中间件版本,利用已公布的漏洞exp进行攻击,或挖掘识别出的版本所存在的安全漏洞。
12.3 整改建议
加强网站web服务器、中间件配置,及时更新中间件安全补丁,尤其注意中间件管理平台的口令强度。
13.第三方插件 13.1 危害
WEB应用程序很多依靠其他第三方插件搭配,如编辑器、网站框架,这些第三方插件也会存在一些漏洞,若未做安全配置,使用默认安装也会产生一些安全隐患,导致攻击者可以任意新增、读取、修改或删除应用程序中的资料,最坏的情况是造成攻击者能够完全获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息,甚至以网站为跳板,获取整个内网服务器控制权限。
13.2 利用方式
识别当前网站程序所涉及的第三方插件,针对第三方插件进行漏洞攻击
13.3 整改建议
一些不安全的第三方插件,可能存在众多已知或未知漏洞,攻击者利用这些第三方插件漏洞,可能获取网站文件、控制服务器。如果网站需要引入第三方插件,建议上线前进行安全检测或加固,尽量不要采用一些存在问题较多的中间件,例如fckeditor等。
14.文件上传 14.1 危害
由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意后缀文件,并能将这些文件传递给脚本解释器,就可以在远程服务器上执行任意脚本或恶意代码。
14.2 利用方式
直接上传可被执行的脚本文件,绕过文件限制上传可被执行的脚本文件。
14.3 整改建议
对网站所有上传接口在服务器端进行严格的类型、大小
等控制,防止攻击者利用上传接口上传恶意程序。
15.配置文件 15.1 危害
未做严格的权限控制,恶意攻击者可直接访问配置文件,将会泄漏配置文件内的敏感信息。
15.2 利用方式
尝试访问常见配置文件路径,查看是否泄漏敏感信息。15.3 整改建议
加强对网站常见默认配置文件比如数据库连接文件、备份数据库等文件的管理,避免使用默认配置路径及默认格式存放,防止攻击者针对网站类型直接获取默认配置文件。
16.冗余文件 16.1 危害
未做严格的权限控制,如备份信息或临时文件等冗余文件将会泄漏敏感信息。
16.2 利用方式
利用字典尝试冗余文件是否存在,并且判断是否存在可利用的敏感信息。
16.3 整改建议
1)注意对网站所有目录中文件进行监控,避免将网站打包备份文件、数据库备份文件等直接存放在网站目录下;
2)定期对网站目录中文件进行比对,及时发现并清除被插入页面或上传的恶意程序。
17.系统漏洞
17.1 危害
系统漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来。如果系统中存在安全漏洞没有及时修复,并且计算机内没有防病毒软件等安全防护措施,很有可能会被病毒、木马所利用,轻则使计算机操作系统某些功能不能正常使用,重则会使用户账号密码丢失、系统破坏等。
17.2 利用方式
通过漏洞扫描软件获取当前系统存在的漏洞信息,进行利用。
17.3 整改建议
1)及时更新网站服务器、中间件、网站应用程序等发布的安全漏洞补丁或安全增强措施;
2)如果因特殊情况不宜升级补丁,则应该根据漏洞情况使用一些第三方的安全防护措施防止漏洞被利用;
网站安全隐患及实施策略研究 篇7
网站的信息安全目标主要有:保密性、安全性、完整性安全、可用性安全和认证安全。Web网站是个复杂的系统, 包含了操作系统、Web服务器、应用程序和数据库等多个方面, 安全隐患存在于各个环节中。同时, Web网站又联入到互联网中, 有的甚至同其他的服务器进行了集群管理, 对Web网站的威胁可能来自网络协议的各个层次。网站的安全存在以下主要隐患:
1.1 服务器系统
任何操作系统和Web服务器都存在这样那样的漏洞, 尤其是系统默认设置存在很多潜在的威胁。一些黑客和病毒木马就是利用了这些漏洞来破坏系统。另外, 一个服务器上安装过多服务会消耗系统过多资源同时也会降低系统的安全性。服务器系统的漏洞主要通过打补丁和系统安全配置来解决。
1.2 网络体系
来自Internet的DDoS (分布式拒绝服务) 攻击是网站经常遭遇的攻击之一。当然, 从现有技术的角度来说, 还没有一种有效的方法来对付DDoS攻击, 但是通过在加强网络体系的安全策略, 实时检测网络设备和及时追踪处理DDos、都是防止DDoS的积极手段。
1.3 服务器用户
服务器系统上的各种用户是构成服务器安全的一大隐患。比如用户的口令强度较差导致密码被破解、特殊用户 (如guest) 的潜在威胁、用户权限设置不当等。通过分组管理系统用户和审核用户的行为可以有效防止这类威胁。
1.4 脚本程序和数据库
Web网站脚本程序和数据库存在两方面的安全问题, 一是解释执行脚本的系统和数据库本身的漏洞, 比如源代码泄漏和SQL语句的客户资料认证漏洞等;二是程序设计逻辑上存在漏洞, 比如身份认证逻辑不严密、重要文件和数据没有加密等。通过为系统打补丁和优化安全认证程序能有效降低这类漏洞的危害。
1.5 安全意识和管理制度
许多网站安全事故表明, 安全意识的缺乏、管理制度和法规的不健全往往是威胁Web网站安全的重要因素。比如服务器供电没有UPS保护、机房无防盗措施、空闲机器的安全隐患、工作垃圾中安全信息的泄漏、合法用户的误操作、没有做数据备份和系统恢复措施等。
2 网站安全的设计原则
2.1 网站安全的“木桶原则”
木桶原则指出:木桶的最大容积取决于最短的一块木板。如前面所述, 对网站的安全威胁是多方面和多层次的, 其安全性同样取决于系统中最薄弱环节的安全性, 所以必须对每个环节的安全性都有足够的认识和考虑, 清楚意识到网站的安全不能简单地靠某个环节的安全性的增加而得到提高。
2.2 网站安全的整体性原则
依据PDRR网络安全模型, 网站的安全系统应该包括4种机制:防护 (Protection) 、检测 (Detention) 、响应 (Response) 和恢复 (Recovery) 。安全防护机制是根据系统存在的各种安全漏洞和安全威胁采取相应防护措施;安全检测机制是监测系统的运行情况, 及时发现和制止对系统的各种攻击;响应和应急恢复机制是在安全防护失效的情况下, 进行应急处理, 尽量及时地恢复信息, 减少攻击的破坏程度。
2.3 网站安全的有效性与实用性原则
信息利用与安全是一对矛盾, 越安全就意味着使用越不方便。网站安全应以不能影响系统的正常运行和合法用户的操作活动为前提。因此, 要在确保安全性的基础上, 把安全处理的运算量减少或分摊, 减少用户的记忆和存储工作量。
2.4 网站安全的等级原则
根据网站上的目录和信息的保密程度级别不同, 可以划分出安全等级, 针对不同级别的安全对象, 提供全面、可选的安全设计, 以满足不同层次的需求。
2.5 网站安全的有价原则
现实中, 网站的安全设计是受各种条件限制的, 尤其是经费, 在有限的代价下寻求一种合适的安全方案是网站安全设计的一个重要原则。
3 网站安全的实施策略
3.1 网站操作系统的安全防护
安全的操作系统是开发安全网站和系统的基础, 数据库和其他应用程序的安全都是建立在操作系统安全之上的, 只有建立了安全的服务器操作系统, 才能保障网站的安全。操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台, 它为文件、目录、网络和群体系统等提供底层的安全保障平台, 所以操作系统中的安全缺陷和安全漏洞, 往往会造成严重的后果。
Windows Server 2003操作系统利用Windows 2000 Server技术中的精华, 并且使其更加易于部署、管理和使用, 实现了一个非常高效的基础架构。在安全性方面, 该系统通过将Intranet、Extranet和Internet站点结合起来, 超越了传统方式的局域网 (LAN) 。因此, 系统安全问题比以往任何时候都更为严峻。Windows Server 2003提供许多重要的、新的安全特性和改进的功能, 该软件引擎是Windows Server 2003的关键部分, 它提高了可靠性并有助于保证计算环境的安全。它降低了缺陷数量, 并减少了由常见的编程错误引起的安全漏洞。因此, 攻击者能够利用的弱点就更少了。公共语言运行时还验证应用程序是否可以无错误运行, 并检查适当的安全性权限, 以确保代码只执行适当的操作。
虽然Windows Server 2003在安全性方面得到了很大的提升, 但目前和以后该系统也会存在一些漏洞和其他安全薄弱环节。如果疏忽了操作系统的安全控制, 将会导致网站不可估量的损失。针对操作系统安全主要考虑以下几个方面:
(1) 用比较安全的文件系统, 使用NTFS格式的文件系统, 这种格式比FAT格式的文件系统要更安全。将磁盘安装为只读模式, 少数目录设置为读写状态。
(2) 废除系统默认的账号和密码, 同时删除系统Guest账号, 将系统管理员的帐号和密码定时更改, 限制用户尝试登录到系统的次数。给系统管理员设置强密码, 为达到最大限度的保护, 管理员帐户密码最好混合数字和非打印ASCII字符。禁止在多台服务器上使用相同的管理员帐户密码。对于服务器上的应用程序应该使用不同的密码, 以提高系统帐户安全级别。
(3) 及时备份日志文件, 包括远程备份和客户端管理计算机备份。防止非法用户进入系统后清除其活动痕迹, 有利于系统管理员查看和跟踪。
(4) 关掉不必要的TCP/IP端口, 如提供WWW服务, 只打开80端口, 降低他人通过其它端口攻击系统的危险。
(5) 对系统及时更新, 打上最新的补丁, 以提高系统的安全性。
3.2 Web服务器IIS的安全配置
采用Windows Server 2003中的IIS 6.0作为网站的Web服务器, 该服务配合Windows Server 2003提供了可靠、高效、连接通畅以及集成度较高的Web服务器解决方案, 该方案具有容错性、请求队列、应用程序状态监控、自动应用程序循环、高速缓存以及其他更多功能。对于IIS的正确配置是保护网站资源和网站正常运行的重要举措, 具体操作如下:
(1) 单独设置IIS服务器。如果可能, IIS应该安装在一个单独的服务器上。也就是说, 这个服务器不是任何域中的成员, 不必与域控制器建立Netlogon信道, 从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。
(2) 合理设置Web根文件夹。将Web根文件夹设置在操作系统分区以外的地方或者其他的物理磁盘驱动器上。当设置Web站点的虚拟目录或重定向文件夹时, 也要保证这些目录不会被重定向到操作系统的启动分区。
(3) 在安装IIS时尽量不要选择不必要的组件, 这些多余的组件可能对网站安全造成威胁。
(4) 为IIS中的文件分类设置权限。除了在操作系统级别为IIS的文件设置必要的权限外, 还要在IIS管理器中为它们设置权限。一般而言, 对一个文件夹永远也不应同时设置写和执行权限, 以防止攻击者向站点上传并执行恶意代码。禁止目录浏览功能, 预防攻击者把站点上的文件夹遍历找到攻击漏洞, 一个好的设置策略就是把Web站点上不同类型的文件都建立目录, 然后给它们分配适当权限。
3.3 SQL Server 2000的安全配置
(1) 免安装远程数据库管理:
SQL Server 2000支持从远程进行数据库的维护, 在安装时不选择。软件安装完成以后, 可以通过“SQL Server Network Utility”来删除远程管理。如果要使用远程管理功能, 使用TCP/IP并将缺省的端口1433改变为其他的数值。
(2) 改变sa的密码。
缺省安装时, SQL Server的sa账号没有密码, 必须设置密码。
(3) 进入SQL Server提示输入用户名和密码设置:
在Enterprise Server中编辑SQL Server属性, 在弹出的对话框中选择:Always prompt logins password。
上述几个方面的设置在一定程度上增强了网站的安全性, 但在实际应用中还要根据具体情况进行具体处理。网络环境的复杂性、多变性, 以及信息系统的脆弱性, 决定了网络安全威胁的客观存在, 若能将环境配置与程序代码相结合来保证网站的安全效果会更好。另外, 在当今信息安全防御体系仍处于弱势的情况下, 还需要强化管理体制来提高网络安全的整体水平。
摘要:Web网站是Internet/Intranet主要组成部分, 在黑客猖獗、病毒肆意的网络中, 如何保障Web网站信息的有效性和安全性是网站建设中的重要课题。认真分析来自各方面的安全威胁和各个层次存在的安全隐患, 明确安全设计的原则是网站安全设计的第一步。保证Web站点的安全是一个关键而又复杂的问题, 安全的系统设计与管理需要仔细规划。
关键词:网站安全,互联网,服务器,操作系统
参考文献
[1]王春英.浅谈我国的网络信息安全立法[J].大众科技, 2007, (9) :105-106.
[2]潘瑞芳, 朱永玲.主流数据库性能及安全策略的比较[J].南方冶金学院学报, 2004, 25:36-40.
[3]潘瑞芳.主流数据库性能比较及数据库构架分析[J].浙江传媒学院学报, 2005, (01) :62-64.
[4]王明.基于ASP.NET、SQLSERVER技术建设的网站安全问题及解决方案[J].计算机安全, 2007, (05) :77-78.
网站整改实施方案 篇8
大汉科技金震宇
国务院办公厅3月24日发布了2015年15号文《关于开展第一次全国政府网站普查的通知》,剑锋直指政府网站“不及时、不准确、不回应、不实用”的“四不”问题。部分政府网站不同程度存在办事指南流程不对,办事地点与实际不符,互动栏目造假装样,领导信箱总是踢皮球,信息发布重复拷贝凑数等等。从2003年政府上网工程算来政府门户网站建设已超过十个年头,针对网上流传的“一张老脸,三年不洗;内容陈旧,文件过时;看过后悔,信则误事。”政府网站之怪现象,我们是不是有很多值得思考和反思的地方。而国办为什么发文要从网站普查入手来抓政府门户网站工作?
首先,我们关注到国办15号文是国办2014年57号文《国务院办公厅关于加强政府网站信息内容建设的意见》后针对完善政府网站建设的又一举措。57号文确立了政府网站的管理机制、建设模式、内容支撑和组织保障体系,在战略的高度为政府门户网站今后的发展指明了方向。而15号文则是这一战略的重要抓手,表面上看是一次对政府网站摸底,其实质是通过摸底、核查、评分、整改、监督等有效手段对政府网站的服务水平和服务质量进行长效的管理。
其次,我们要关注到15号文的标题中有个关键词叫做“第一次”,这也就是说,网站的普查是一个长期的过程。对政府网站的整改和管理工作也不是一步能够到位的,需要有个过程。
第三,我们还要看到单靠普查工作,仍然会演变成上有政策下有对策,只做表面文章,搞突击式大扫除,甚至为面子找关系、走过场。因此在普查执行过程中,公正性、独立性、科学性、完备性就变得非常重要了。
在电子政务发展了十年后,每年网站都有评测评比,为什么一些政府网站还出现如此之乱象,其问题的本质和根源到底是什么? 1)充分利用互联网开展政府工作的意识不够。部分政府对有效利用网站手段进行政务公开、亲民亲商和服务民生的不够重视。
2)没有将网站提升到“网上政府”的高度。把网站仅仅作为有了就行的面子工程,没有充分研究政府工作如何有效地利用互联网、移动互联网等手段,也没有把政府网站提到“网上政府”的足够高度。
3)网站缺乏统一的主管部门和编制。有的政府网站在政府办信息中心管理、有的在发改委管理、有的在经信委管理、政务微博在宣传部管理、政务微信则又在其他的部门。管理责任不清、缺乏规范和统一的管理思路。
4)没有顶层设计、统筹渐进的思维。政府门户网站的定位究竟是什么?为公众服务?为部门业务服务?为宣传和舆论导向服务?还是为政府工作服务?如何进行定位,整体的渐进完善的步骤是什么?可能很多政府网站在没有完全搞清楚这些问题之前就开始了整体的建设,于是,我们发现,政府网站多年来一直在改版,而这一改版往往是推到式地重来,没有前瞻性的思路,更谈不上统筹渐进。
5)多年网站评测之殇。网站评测无疑对政府网站的发展起到了一定的推动作用。但是随着近年来政务网站评测的商业化,乱收费、乱发奖、指标僵化固化、给钱发奖等等,商业逐利的贪婪使得这一领域怪像丛生。政府网站为应付评测指标制作规划了大量无效栏目,以至更新不及时,也无力更新。网站为应对评测甚至功能造假,反正外行只能看看表面。
6)没有统一的标准规范指引。网站的建设缺乏统一标准,各地各部门按照各自的理解,在展现重点、展现方式、管理模式上各自为政,形成更多的信息孤岛。
7)网站重建设,轻运维。政府网站长期以来缺乏运维的概念和科学的方法。很多政府部门对运维缺乏重视度,也没有专门的运维团队和运维工作规范。造成网站建完,对后期的内容维护、安全保障、效能评估缺乏有效的手段。8)没有持续投入和足够经费保证。网站的建设不是单一的软件开发而是长期运维,这在淘宝、京东等电子商务服务类网站可以看到。优秀的服务类网站必须有持续迭代,不断完善的过程。很多地方部门的网站重硬件设施建设,轻软件应用投入,软件的开发不能持续投入,后期运维也通过压低服务投入或者甚至让开发公司承诺免费5年服务的方式进行。
通过以上分析,我们不难想象政府网站建设者的窘境,也不难理解“四不现象”产生的根源。自然也能理解国办为什么要以“普查”作为规范政府网站的突破口。
日前,北京市、浙江省、江苏省、广东省、四川省、山东省等各级政府已经陆续发布了关于地方政府网站普查的通知文件,并对地方相关工作做了安排和部署。各省地区政府网站将以国办要求的15项基本普查指标为核心,采取“自查+抽查”的方式,对普查不合格的网站予以“通报”、“整改”或“关停”处理,并建立普查邮箱,面向全社会公开。
“站点无法访问”、“网站不更新”、“栏目不更新”、“严重错误”、“互动回应差”等5项为单项否决指标,只要出现网站就会被判定不合格。其余10项指标扣分不设上限,各指标累计扣分超过40分,同样会被判定为不合格。另外,监测时间点前1年内,对“公众信件、留言及时答复处理”等的政务互动类栏目中存在超过3个月未回应的,也将单项否决。
整个普查工作将在2015年3月至12月展开,那么各级地方政府如何在这一阶段做好网站的“自查、抽检和整改”工作,作为基层网站工作者又将如何有效应对全国性普查,在短期内提高网站的质量和管理水平呢。大汉科技结合15年政府网站建设经验,作为经验丰富的政务网站建设实践者,将协助您做好以下三个方面的工作。
建立自查体系有问题提前预知。1)对现有网站先做一次全面体检,明确现有存在的问题,并制定针对性的解决方案。
2)订好规范,定期提前做好网站的可用性扫描和自检工作,对于无效栏目和无效功能进行彻底清理和整改。
提升网站架构合理性,防止被监测系统误判和错判。
1)改造和规范网站的技术架构,提升网站的健康度,使得网站不出现死链、错链。
2)网站考虑热备和运维热切换预案,避免因网络架构或系统架构缺陷,造成检测扫描系统的误判。
3)通过错别字监测和数据更新扫描,及时对网站内容正确性以及栏目更新状态进行预警。
4)通过“技术+人工”方式对附件下载、视频播放、办事指南、互动栏目回复频度和质量进行监测检查。
建立网站长效的安全运维机制,保障网站内容品质、服务质量和安全加固。1)建立网站体系的“心跳线”机制,在出现网站宕机、页面访问出错、数据库访问不正常、网站并发量超限、系统CPU占用过高及内存溢出等异常情况时自动预警。
2)通过安全加固服务,对网站进行全面的安全扫描。防止网站漏洞不补、遭受恶意攻击和挂码、系统运行安全状态监测等保证网站的健康度。
【网站整改实施方案】推荐阅读:
网站系统安全整改方案08-12
网站系统信息安全等级保护建设整改方案09-09
网站整改报告11-15
政务网站整改报告08-27
公司网站整改报告12-27
政府网站整改报告12-13
网站检查和整改工作情况汇报01-01
网站方案07-06
装修网站方案08-27
网站营销方案10-13