【導讀】螆艿蒂裊肄蒅莈裊膇羋蚆襖袆肀螞袃聿芆薈袂膁腿蒄袁袁莄莀袀羃膇蠆袀肅莂薅罿膈膅蒁羈袇莁莇羇羀膄螅羆膂荿蟻羅芄節(jié)薇羄羄蕆蒃薁肆芀荿薀膈蒆蚈蠆袈羋薄蚈羀蒄蒀蚇肅芇莆蚇芅肀螅蚆羅蒞蟻蚅肇膈薇蚄腿莃蒃蚃衿膆荿螂羈莂蚇螁肄膄薃螁膆莀蕿螀羆膃蒅蝿肈蒈莁螈膀芁蝕螇袀蕆薆螆艿蒂裊肄蒅莈裊膇羋蚆襖袆肀螞袃聿芆薈袂膁腿蒄袁袁莄莀袀羃膇蠆袀肅莂薅罿膈膅蒁羈袇莁莇羇羀膄螅羆膂荿蟻羅芄節(jié)薇羄羄蕆蒃薁肆芀荿薀膈蒆蚈蠆袈羋薄蚈羀蒄蒀蚇肅芇莆蚇芅肀螅蚆羅蒞蟻蚅肇膈薇蚄腿莃蒃蚃衿膆荿螂羈莂蚇螁肄膄薃螁膆莀蕿螀羆膃蒅蝿肈蒈莁螈膀芁蝕螇袀蕆薆螆艿蒂裊肄蒅莈裊膇羋蚆襖袆肀螞袃聿芆薈袂膁腿蒄袁袁莄莀袀羃

　　

【正文】 知等信息。 五、特定模塊 （在區(qū)政府公眾信息門戶網(wǎng)站上開設(shè)） 在線訪談 通過在線訪談系統(tǒng)，可以實現(xiàn)政府與市民之間的實時交互功能，從而使該系統(tǒng)成為政府宣傳工作的一個重要窗口，密切經(jīng)濟發(fā)展關(guān)系的重要橋梁。訪問者可以查看到訪談內(nèi)容，訪談圖片，也可以在注冊后提交自己的問題。 網(wǎng)上調(diào)查 網(wǎng)上調(diào)查系統(tǒng)為訪問者提供交互式、個性化的問卷調(diào)查服務(wù)，可以就一些老百姓關(guān)心的交通問題進行網(wǎng)上投票調(diào) 查。 互動交流 提供網(wǎng)上公眾交流的平臺，包括市民熱線、監(jiān)督投訴、建言獻策、網(wǎng)上聽證、網(wǎng)上議政等模塊，在網(wǎng)上受理公眾提交的各類投訴、建議和咨詢信息。對于用戶提交的信息，能夠統(tǒng)一匯總到網(wǎng)站互動總平臺，在政府外網(wǎng)后臺進行統(tǒng)一處理后反饋到互聯(lián)網(wǎng)門戶網(wǎng)站發(fā)布，形成政府統(tǒng)一的互動交流體系。方便的實現(xiàn)了用戶和網(wǎng)站的交流，意見建議信息的反饋與處理，增加互動性。 六、安全設(shè)計 操作系統(tǒng)安全 操作系統(tǒng)是應(yīng)用軟件和服務(wù)運行的公共平臺，操作系統(tǒng)安全漏洞是網(wǎng)絡(luò)入侵的重要因素。因此，首先必須選擇安全的操作系統(tǒng)平臺。 25 一個安全 的操作系統(tǒng)應(yīng)該提供用戶身份認證、訪問控制功能，對用戶的所有操作和網(wǎng)絡(luò)服務(wù)進程具有完備的審計機制。具備如下特征： （ 1）用戶識別和認證 系統(tǒng)通過用戶名識別用戶，至少提供基本的用戶名口令認證機制。 （ 2）自主型訪問控制 系統(tǒng)可以根據(jù)用戶的注冊名決定用戶的訪問控制權(quán)限，用戶可以自己決定所擁有的資源的授權(quán)。 （ 3）審核機制 系統(tǒng)可以對系統(tǒng)中發(fā)生的安全相關(guān)事件進行審核和記錄。 對于重要的服務(wù)器系統(tǒng)，應(yīng)該選擇安全級別更高的操作系統(tǒng)，或者通過改造操作系統(tǒng)達到 B1 級以上，即實現(xiàn)強制型訪問功能；系統(tǒng)具備強制用戶認證機制（比如 一次性口令或基于公鑰的證書認證），不在網(wǎng)絡(luò)中明碼傳輸口令或密鑰。 特別值得注意的是，操作系統(tǒng)設(shè)計上的安全級別并不能保證系統(tǒng)在實現(xiàn)和配置上的沒有安全漏洞，因此，操作系統(tǒng)的安全必須和下文中介紹的系統(tǒng)安全管理手段相結(jié)合。 另外還需說明的是，除了系統(tǒng)管理員以外，絕大多數(shù)用戶是通過運行在服務(wù)器操作系統(tǒng)之上的應(yīng)用系統(tǒng)來訪問信息的，因此，操作系統(tǒng)安全設(shè)計的主要目標在于防止黑客入侵系統(tǒng)和非授權(quán)的訪問，業(yè)務(wù)信息的保密應(yīng)該主要由應(yīng)用系統(tǒng)完成。 數(shù)據(jù)庫的安全 數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務(wù)。可將 數(shù)據(jù)庫系統(tǒng)分成兩個部分：一部分是數(shù)據(jù)庫，它按照一定的方式 26 存取各業(yè)務(wù)數(shù)據(jù)；另一部分是數(shù)據(jù)庫管理系統(tǒng)（ DBMS），它為用戶及應(yīng)用程序提供數(shù)據(jù)訪問，同時對數(shù)據(jù)庫進行管理，維護等多種功能。 （ 1） 保障業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)的保密性： 數(shù)據(jù)庫系統(tǒng)的用戶身份識別：保證每個用戶是合法的，且是可以識別的； 數(shù)據(jù)庫系統(tǒng)的訪問控制：控制主體對客體的訪問，拒絕非授權(quán)訪問，防止信息泄露； 統(tǒng)計數(shù)據(jù)庫對推理攻擊的防范：數(shù)據(jù)庫中存放的數(shù)據(jù)往往具有統(tǒng)計意義，入侵者往往利用已經(jīng)公開的，安全級別相對低的數(shù)據(jù)來推斷出安全級別高的機密信息； 數(shù)據(jù)庫系 統(tǒng)的可審計性：即對非法用戶的入侵行為及信息的泄露與破壞的情況能夠跟蹤審計；防止數(shù)據(jù)庫系統(tǒng)中隱蔽信道的攻擊。 （ 2）保障業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)的完整性： 數(shù)據(jù)庫系統(tǒng)的物理完整性：保障數(shù)據(jù)庫物理存儲介質(zhì)以及物理運行環(huán)境的正確與不受到侵害； 數(shù)據(jù)庫系統(tǒng)的邏輯完整性：包括數(shù)據(jù)庫邏輯結(jié)構(gòu)完整性和數(shù)據(jù)庫主碼完整性兩個方面； 數(shù)據(jù)庫系統(tǒng)的元素完整性：保障客體數(shù)據(jù)元素的合法性，有效性，正確性，一致性，可維護性，以及防止非授權(quán)修改與破壞； （ 3）保障業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)的可用性：它需要保障數(shù)據(jù)庫系統(tǒng)資源可以存儲，易于使用，方便操作，界面友 好等。 （ 4）建立一整套的數(shù)據(jù)庫安全框架： 用戶分類：不同類型的用戶應(yīng)該授予不同的數(shù)據(jù)庫訪問和管理權(quán)限。 27 比如：數(shù)據(jù)庫系統(tǒng)登陸權(quán)限，資源管理權(quán)限，數(shù)據(jù)庫管理員權(quán)限，遠程訪問權(quán)限等。 數(shù)據(jù)分類：每類用戶能夠使用的數(shù)據(jù)庫是不同的，需要進行數(shù)據(jù)庫分類，使不同的用戶訪問不同的數(shù)據(jù)庫系統(tǒng)。 審核功能：數(shù)據(jù)庫管理系統(tǒng)（ DBMS）提供審核功能，它對維護數(shù)據(jù)庫的安全十分重要，它用來監(jiān)視各用戶對數(shù)據(jù)庫施加的動作?？梢酝ㄟ^用戶審核和系統(tǒng)審核兩種方式來發(fā)現(xiàn)數(shù)據(jù)庫使用過程中出現(xiàn)的問題，從而找到安全隱患。 數(shù)據(jù)庫掃描：利用數(shù)據(jù)庫安全掃 描軟件可以對數(shù)據(jù)庫的安全狀況進行完整的分析，并給出修補漏洞，增強安全性的建議。周期性的對數(shù)據(jù)庫進行這種掃描可以降低人為造成的（有意或無意的）數(shù)據(jù)庫的安全風險。 （ 5）數(shù)據(jù)庫備份與恢復(fù)：因為數(shù)據(jù)在存儲，傳輸過程中可能出現(xiàn)故障，同時計算機系統(tǒng)本身也可能發(fā)生一些意料之外的事情，如果沒有事先采取數(shù)據(jù)備份措施，將會導致慘重的損失。因此數(shù)據(jù)庫的備份與恢復(fù)也是數(shù)據(jù)庫的一個安全功能，它必須提供。數(shù)據(jù)庫系統(tǒng)的備份可以采取多種方式進行。 身份認證 網(wǎng)站提供對三種不同管理權(quán)限的后臺角色，嚴格進行身份認證和權(quán)限設(shè)置。 WWW Server及網(wǎng)頁防篡改 WWW服務(wù)器（包括 Websphere應(yīng)用服務(wù)器）的自身安全、參數(shù)配置、權(quán)限配置。 WWW 服務(wù)器參數(shù)配置：根據(jù)全網(wǎng)安全策略和用戶訪問情況，調(diào)整 Web 28 服務(wù)器參數(shù)，以解決 Web 服務(wù)器性能，特別是抵御 DDoS進攻的能力。 WWW 服務(wù)器權(quán)限配置：從操作系統(tǒng)角度配置 WWW 服務(wù)器運行環(huán)境，從WWW服務(wù)器運行權(quán)限、用戶訪問角度作相關(guān)安全配置，杜絕由于 HTTPD 運行環(huán)境造成的安全漏洞。 WWW服務(wù)器配置安全：針對容易造成安全隱患的服務(wù)器配置，修改相關(guān)不當配置，諸如： WWW 文件權(quán)限設(shè)置問題 、動態(tài)文件源代碼泄漏問題、用戶惡意調(diào)用 CGI、 Java程序。 網(wǎng)絡(luò)信息加密配置：針對 WWW 服務(wù)器應(yīng)用特點，提供對網(wǎng)絡(luò)信息的加密設(shè)置，如使用 SSL，避免信息的明文傳輸。 WWW應(yīng)用代碼審計：針對易出現(xiàn)應(yīng)用漏洞，利用黑盒法進行代碼審計，修補存在的安全隱患。 而 Web 網(wǎng)頁如被非授權(quán)地篡改則會大大損害這一形象，國內(nèi)外發(fā)生的一些重大案例都表明著對 Web 網(wǎng)頁進行監(jiān)控并在必要時提供恢復(fù)措施是非常必要的。 ，開發(fā)商須向用戶提供以下資料： 系統(tǒng)軟件操作 使用說明書 ； 系統(tǒng)軟件 設(shè)計 詳細 方案； 系統(tǒng)軟件接口參數(shù)詳細說明書； 系統(tǒng)軟件源代碼文檔； 系統(tǒng)軟件詳細 測試大綱； 系統(tǒng)軟件 測試報告； 培訓教材及相關(guān)演示文本。 以上資料須提供一套書面材料和一套電子文檔光盤。 ： 本項目實施計劃分三個階段進行，請投標單位根據(jù)階段劃分進一步 29 細化成工作計劃，投標人必須按照下列要求列出詳細的工程進度安排表。 第一階段：自招標公告日起 10 日內(nèi)，投標人須進一步向用戶了解需求，優(yōu)化細化系統(tǒng)設(shè)計方案。 第二階段：自簽定《中標合同》日起 30 日 內(nèi)，完成系統(tǒng)軟件開發(fā)和 10個子站建設(shè)，并完成安裝調(diào)試投入試運行（試運行期為 10 個工作日），同時，完成 測試大綱的 編寫工作。 測試大綱 內(nèi)容包括： 測試目的，測試環(huán)境和測試所需設(shè)備，測試過程的描述，測試結(jié)果及分析。 第三階段：試運行期滿后投入正式運行，正式運行 1 個月后方可進行正式驗收。 ： 針對系統(tǒng)軟件的不同使用層面，進行有針對性的培訓。對內(nèi)江市電子政務(wù)中心技術(shù)人員進行系統(tǒng)軟件安裝、調(diào)試、管理、維護、子站生成及必要的二次開發(fā)培訓。對信息采編、審核、發(fā)布人員進行信息采編、審核、發(fā)布和版面的簡單定制培訓。 : 系統(tǒng)質(zhì)保期為三年。自竣工驗收合格之日起計算。質(zhì)保期內(nèi)提供免費維護和升級服務(wù)。質(zhì)保期滿后，提供系統(tǒng)的維護和升級只收取維護和升級的成本。 系統(tǒng)試運行期間，投標人必須派駐 12名技術(shù)人員現(xiàn)場維護；質(zhì)保期