南软旅游租车电商平台建设解决方案.doc

《南软旅游租车电商平台建设解决方案.doc》由会员分享，可在线阅读，更多相关《南软旅游租车电商平台建设解决方案.doc（48页珍藏版）》请在咨信网上搜索。

昆明南众软件旅游租车 电商平台建设解决方案 初 稿 文档编号： NR- 文档名称： 昆明南众软件旅游租车 电商平台建设解决方案 编 撰： 陈 枫 编撰日期： 2023年12月16日 说明：本方案中所包含的信息仅代表昆明昆明南众软件开发有限公司（以下简称：昆明南软）观点。昆明南软保证提供的任何信息的准确性及可实行性。作为未实行前之技术文案，昆明南软拥有其所有版权。且需方不得用作商业之领域，并予以散播流转。昆明南软将保存追索之权利。 目 录 1、项目概述 5 1.1 方案概述 5 1.2 设计原则 6 1.3 项目设计开发和实行规范 6 2、功能概要 7 2.1 功能拓扑图 8 2.2 网站前台 9 2.2.1 租车服务 9 2.2.2 租车车型 9 2.2.3 最新优惠 9 2.2.4 帮助中心 10 2.2.5 关于我们 10 2.2.6 联系我们 10 2.2.7 租车论坛（可选） 11 2.2.8 下载中心（可选） 11 2.2.9 新闻动态信息（可选） 11 2.3 会员管理 11 2.3.1 会员注册、登录 11 2.3.2 基本信息 11 2.3.3 订单管理 11 2.3.4 交易管理 12 2.3.5 服务中心 12 2.4 后台管理系统 12 2.4.1 前台栏目管理 12 2.4.2 会员管理 12 2.4.3 预定管理 13 2.4.4 车辆管理 13 2.4.5 呼喊中心 13 2.4.6 记录查询 14 2.4.7 分析图表 14 2.4.8 流量分析记录 14 2.4.9 移动终端 14 2.4.10 浏览器 14 2.5 系统管理 14 2.5.1 参数设立 14 2.5.2 机构管理 15 2.5.3 用户管理 15 2.5.4 角色管理 15 2.5.5 权限管理 15 2.5.6 数据管理 16 2.5.7 口令管理 16 2.5.8 操作日记 16 3、技术架构 17 3.1 开发技术及运营环境 17 3.2 技术实现方案 17 3.3 数据中心及网络架构 17 3.4 信息安全保障体系建设 18 4、系统安全机制 19 4.1 安全定义 19 4.2 各部分安全措施 19 4.3 常见的安全问题 20 4.4 安全防范 21 4.4.1 系统维护 21 4.4.2 权限分派 22 4.4.3 加密机制 22 4.4.4 密码策略 22 4.4.5 入侵检测 23 4.4.6 程序应用 23 4.4.7 防火墙 23 4.4.8 防止病毒 24 4.4.9 劫难恢复 24 4.5 系统平台的安全 25 4.5.1 WEB 服务器安全 25 4.5.2 防止管理员管理过程中的信息泄密 25 4.5.3 大数据包加系统站承担、破坏型黑客袭击 25 4.5.4 数据库安全措施 25 5 系统技术服务及售后服务内容及措施 27 5.1 部署建设服务 27 5.1.1 部署规定 27 5.1.2 系统实行建设服务 27 5.1.3 系统测试 28 5.1.4 系统试运营 28 5.1.5 系统检查与验收 29 5.2 售后技术质保服务 29 5.2.1 技术支持 29 5.2.2 售后服务 30 5.3 技术服务方式 31 5.3.1 远程支持 31 5.3.2 技术服务热线 31 5.3.3 远程在线诊断和故障排除 31 5.3.4 现场支持 32 5.4 培训服务 32 5.4.1 培训目的 32 5.4.2 培训方式 32 5.4.3 培训对象 33 5.4.4 培训教材 33 5.4.5 培训内容及计划 34 5.4.5 现场培训 34 5.4.6 集中培训 34 6、方案优势 37 6.1 开发技术先进 37 6.2 公司技术实力雄厚，项目经营丰富 37 6.3 安全级别较高，系统稳定高效 38 6.4 本地化的开发团队，提供高品质的本地化服务 38 7系统开发周期 39 1、项目概述 我国汽车租赁业从1989年第一家租赁公司——福斯特汽车租赁公司成立开始，到现在有十几年时间，这个行业从无到有，发展很迅速。汽车租赁补充城市交通的局限性，为商务、旅游、自驾游的团队、个人用车提供了方便条件。汽车租赁行业发展的潜在市场也很大，可以说是一个朝阳行业。 假日经济效应为汽车租赁业开拓了一个重要市场。近几年，节假日和自驾游、自助游的增长，带动了旅游和其他消费领域的市场，汽车租赁在这个领域会有很大潜力可挖。 由于互联网上租车服务的信息全面，且获取方式简便，人们纷纷转向从网上获取旅游租车信息、开展网上租车服务等。这使得国内旅游租车网站在近几年有了爆炸式的增长，几乎所有租车都有了自己的网站。但另一个角度看，目前国内除了神州租车、至尊租车、一嗨租车外大多数租车公司发布的网站还处在比较初级阶段。设计制作粗糙、管理维护简朴、更新不及时，无法向客人提供真正意义的网上租车服务，更谈不上通过互联网预订租车业务。 1.1 方案概述 本方案将满足昆明南软旅游租车的实际业务需求，结合旅游租车行业特点，我们认为，南软旅游租车电商平台网的定位应当是以介绍租车信息、租车指南为主，以租车预订为核心，以快捷、安全、便利为附加值。为租车族提供更便捷、直观的租车服务。一切为营销服务，这才是南软旅游租车电商平台网真正的价值所在。 南软旅游租车电商平台我公司采用J2EE分布式技术标准进行开发，安全可靠，性能优越，可以但承载庞大的业务解决流程，系统采用B/S模式进行部署构建，因此，操作终端直接通过浏览器进行操作，无需安装任何软件，极大地减少了系统维护工作和维护难度，只需要管理好服务器即可，系统升级或者功能拓展也将直接在服务器上完毕，无需对客户端进行干预。 1.2 设计原则 l 安全性：应有完善的权限控制，防止泄密及不可抵赖性；鉴于南软旅游租车电商平台的特点，我们将采用银行级的系统安全机制及机密技术，本公司将对本系统采用的安全标准为：虚拟保险箱安全级别。 l 开放性和标准化：广泛采用遵循国际标准的网络产品，以便于网络的互联和扩展，同时易于向此后的先进技术实现迁移，充足保护南软集团旅游租车电商平台现有投资。 l 稳定性：系统要可以满足大用户量的应用需求,具有长时间正常工作的能力； l 先进性：所用技术是目前国际上所广泛采用主流技术； l 完整性：必须满足相关各操作单元的基本功能需求； l 标准性：与各应用系统互联、数据互换等应遵守国际上成熟的XML标准与规范； l 可扩充性：满足南软集团旅游租车电商平台管理中，随着管理的发展变化而不断进一步的规定，具有良好的可扩充性、可升级性，具有与其它系统互联的良好接口； l 灵活性：系统须能适应运在具体操作中，因业务流程不断变动的而产生的需求； l 易用性：保证系统易用性，可操作性，方便性，实现信息资源的有限共享；方便性：应有简捷的操作、维护界面，提高工作效率； 1.3 项目设计开发和实行规范 在开发、测试、部署实行过程中我公司开发严格遵照以下的标准和规范实行。 ①　 《信息技术——软件产品评价——质量特性及使用指南》（GB/T16260）； ②　 《信息技术——软件包——质量规定和验收》（GB/T17544）； ③　 《计算机软件产品开发文献编制指南》（GB/T8567）； ④　 《计算机软件需求说明编制指南》（GB/T9385）； ⑤　 《计算机软件质量保证计划规范》（GB/T12504）； ⑥　 《计算机软件质量保证计划规范》（GB/T12504）； ⑦　 《计算机软件配置管理计划规范》（GB/T12505）； ⑧　 《信息技术软件包 质量规定和测试》（B/T 17544-1998）； ⑨　 《国家行政机关公文格式》（GB/T 9704-1999）； ⑩　 《档案分类标引规则》（GB/T 15418-1994）； ⑪　 《文书档案案卷格式》（GB 9705-88）； ⑫　 《信息解决数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文献编制符号及约定》（GB/T 1526-1989）； ⑬　 《信息技术 软件生存期过程》（GB/T 8566-1995）； ⑭　 《计算机软件产品开发文献编制指南》（GB/T 8567-1988）； ⑮　 《计算机软件需求编制指南》（GB/T 9385-1988）； ⑯　 《计算机软件测试文献编制规范》（GB/T 9386-1988）； ⑰　 《软件工程术语》（GB/T 11457-1995）；\ ⑱　 《计算机软件质量保证计划规范》（GB/T 12504-1990） ⑲　 《软件维护指南》（GB/T 14079-1993）； ⑳　 《信息解决系记录算机系统配置图符号及约定》（GB/T 14085-1993）； 21　 《计算机软件可靠性及可维护性管理》（GB/T 14394-1993）； 22　 《软件支持环境》（GB/T 15853-1995）； 23　 《信息技术 软件产品评价 质量特性及其使用指南》（GB/T 16260-1996）； 24　 其它相关的有关规程规范及国际标准。 2、功能概要 南软旅游租车电商平台系统涉及：网站展示系统、选车对比系统、会员管理系统、在线租车预订系统、车辆管理系统、呼喊中心系统、短信平台、论坛系统、在线征询系统等。 短租自驾 短租服务 2.1 功能拓扑图 网站前台展示 联系我们 关于我们 帮助中心 最新优惠 租车车型 租车服务 在线预定 联系我们 门店查询 人才招聘 合作伙伴 公司文化 发展历程 公司简介 在线投诉 在线征询 常见问题 流程演示 新手上路 积分兑换 旅游行程 租车套餐 车型对比 车型排档 车型类型 车型价格 车型品牌 接机送机 公司服务 长租服务 短租代驾 2.2 网站前台 网站前台是整个系统对外展示的形象窗口，必需简洁大气，突出人性化体验感。 2.2.1 租车服务 Ø 短期租车：分为短期自驾租车和短期代驾租车，可以按日、准时，按周租的。 Ø 长租服务：提供7天以上或是30天以上的租车服务，具体时间由管理自定义设立。 Ø 公司租车：协议公司客户可以凭签定的协议长期租用车型。 Ø 接机送机：客户可以预定接机送机的时间、车型等。 2.2.2 租车车型 Ø 车型品牌：展示公司所有的租车品牌供客户查询预定。 Ø 车型价格：展示公司所有的租车价格供客户查询预定可以设立从高到低，从低到高的排序供客户预定。 Ø 车型类型：紧凑型、经济型、商务型、SUV、客车，座位数等排序分类供客户查询预定。 Ø 车型排档：提供车型档位数、自动、手动等排档供客户查询预定。 Ø 车型对比：提供车型选择对比系统，可以根据客户选择的不同车型做，价格、车况、座位数、排档、参数等对比，能更好的让客户选择适合自己的车型预定。 以上信息选型后的具体车，可以按图片文字、视频等介绍车况、价位、参数等不用信息。 2.2.3 最新优惠 Ø 租车套餐：公司定期可以推出些租车套餐，如周套餐，节假日套餐等给客户选择。 Ø 旅游行程：可以按旅游行程，路况的好坏推出专业旅游、自驾游的租车套餐。 Ø 积分兑换：公司长期的会员可以按积分形式消费，当达成一定积分时可以做折扣或是附加服务也可以直接抵扣租车费用等。 2.2.4 帮助中心 Ø 新手上路：写些平台说明帮助文档如：租车条件、预订方式 、自驾产品说明、订单修改/取消、取/还车流程、收费项目说明、租/还车授权额度等。 Ø 流程演示：做个电脑机器人模拟租车的操作流程或是以视频形式等演示。 Ø 常见问题：整理发布些租车常识、事故解决问题，租、还车问题等。 Ø 在线征询：做个网站商务通，可以让客户时时在线与平台客服人员交流征询。 Ø 在线投诉：客户、会员可以在线投诉以电话、邮件、留言的形式投诉。 2.2.5 关于我们 Ø 公司简介：以图文、视频等交互式设计展示公司简介。 Ø 发展历程：以图文、视频等交互式设计展示发展历程。 Ø 公司文化：以图文、视频等交互式设计展示公司文化。 Ø 合作伙伴：以图文、等交互式设计展示合作伙伴。 Ø 人才招聘：以图文、等交互式设计展示公司人才理念，招聘职位、福利待遇等、同时提供在线简历填写、简历上传等。 2.2.6 联系我们 Ø 联系我们：发布公司联系方式、地理位置（以地图形式展式）。 Ø 门店查询：以图文、等交互式设计发而公司的门店简介、地理位置（以地图形式展式）。 2.2.7 租车论坛（可选） 可以根据情况可以选开通，分图片版块，旅游租车等讨论，涉及调查表等 2.2.8 下载中心（可选） 可以让会员下载协议，协议，客户端软件等，支持文档、压缩文献，视频等主流格式。 2.2.9 新闻动态信息（可选） 以图文、视频、FALSH等发布公司、行业新闻动态，媒体报道等。 2.3 会员管理 2.3.1 会员注册、登录 Ø 会员注册：A在网站顶部展示会员注册B选择好预定的车型后注册。C在手机端同样方式注册。 会员只要输入手机号或是邮箱名和密码后选已阅读《服务条款》就可以注册，具体信息可以登录后填写。 Ø 会员登录：A在网站顶部展示会员登录B选择好预定的车型后登录。C在手机端同样方式登录。 2.3.2 基本信息 Ø 用户信息：初次登录用户后必需填写完善个人的信息如：身份证号、驾照以照片形式上传，所在地，联系方式、地址等。 Ø 发票管理：发票的昂首名，邮寄地址等。 Ø 修改密码：可以在后台定期修改密码。 2.3.3 订单管理 Ø 预约订单：显示已经下了预约订单的订单。 Ø 成功订单：已经租、退了的订单。 2.3.4 交易管理 Ø 消费记录：每次消费的明细表、总帐报表，以金额、车型、行程等展示。 Ø 我和物品：积分、小礼品等，公司可以根据消费的金额给预不同的积分，同时老客户（会员）过年过节可以送一定的小礼品。 Ø 我的违章：系统记录每次租车的违章记录。 2.3.5 服务中心 Ø 我的投诉：记录我的投诉信息，电话、邮件、在线投诉等。 Ø 短消息：系统提醒我的短消息等。 2.4 后台管理系统 该系统重要用于网站前台栏目管理，车型管理，预定管理、呼喊中心、租车定位、会员管理，下载管理等。 2.4.1 前台栏目管理 Ø 租车服务管理：自定义设定租车的类型、如长短期租车的时限。 Ø 租车车型：自定义无限级设立车型品牌、价格、排档、图片、参数、视频等。 Ø 最新优惠：自定义设定优惠套餐、旅游线路等。 Ø 帮助中心：根据前台分类分别发布相应的信息内容。 Ø 关系我们：根据前台分类分别发布相应的信息内容。 Ø 联系我们：根据前台分类分别发布相应的信息内容。 Ø 论坛系统：分模块自定义展示。 Ø 新闻系统：按标题、发布人，点击量、来源、内容（图文、视频、FLASH） 2.4.2 会员管理 Ø 会员分类：会员可以分为个人、公司会员，根据前台注册时选择不用的来分类，个人、公司填写的字段自定义设定。 Ø 会员积分管理：会员积分规则设定，积分查询。 Ø 会员短消息：发布会员告知信息，如预定成功，节假日问侯等。 Ø 会员基本信息管理：可以更改初始化会员密码等 2.4.3 预定管理 Ø 定单管理：查询、审核定单、派工单等管理。 Ø 消费管理：查询、消费清单。 Ø 在线支付管理：查询管理收款帐号，出入帐管理。第三方接口管理。 Ø 报表中心：月报表、日报表、季报表、总帐报表等。 2.4.4 车辆管理 Ø 进销存管理：查询、记录公司车辆的进销存管理。 Ø 车辆信息维护：可以打印派车单，审核车辆使用情况，录入本次车辆使用的公里数、费用等各种数据，可以取消用车。 Ø 车辆费用管理：车辆管理员除了在“使用记录”列表中可以录入每次出车的费用之外，在“车辆费用”中，也可以录入费用，涉及油费、维修/保养费用、其他费用等三类费用。 Ø 车辆定位服务：可以装GPS定位服务，时时查看车辆的运营轨迹（可选）。 2.4.5 呼喊中心 Ø 来电弹屏：A注册会员来电时自动弹出客户的基本信息，使用车辆情况，消费记录，行程等会员在平台里的所有信息提取，B 新来电客户，显示来电信息，客户人员并填写相应的客户来电征询内容记录。 Ø 录音功能：对于客户来电的通话过程，投诉、征询等信息都做录音。 Ø 派工单：当客户电来后提出的不同问题可以自动分派到不同的部门，如保险问题，自动转派到保险专员的座席，车辆故障问题自动转派到技术部门座席等 2.4.6 记录查询 可以按照多种条件，对各模块的数据进行记录查询，并生成各类记录报表，具体报表样式和需求需进一步与中心沟通后拟定。 2.4.7 分析图表 可以将按照多种条件进行数据查询并自动生成记录分析图表，如直方图、柱状图、饼形图、曲线图等，方便对各环节进行图形化的分析与考评，具体图表内容需与中心进一步交流拟定。 2.4.8 流量分析记录 网站记录器，分析网站的来源、访问IP、地区等综合记录器。 2.4.9 移动终端 平台支持IOS、Android手机系统及平板。 2.4.10 浏览器 平台支持，IE6以上，360、谷歌、火狐，QQ等主流的浏览器。 2.5 系统管理 系统管理将实现整套系统的运营参数的设立和对操作用户的管理与操作权限的配置，以及数据备份与数据恢复等操作。系统管理包含以下功能模块： 2.5.1 参数设立 我们在本软件系统的开发中，将会把一些也许存在变化、或者处在对系统的整体优化和效能考虑而需要进行调整的东西，以及处在对提高系统灵活性而考虑的一些因素以系统参数的形式呈现，方便根据需要或者实际情况进行调整配置。 2.5.2 机构管理 机构管理重要完毕对使用本系统的各类组织机构的添加、修改、暂停、删除等操作，支持组织机构的多级从属关系，也支持多个机构并行机制。 2.5.3 用户管理 实现对使用本系统的操作用户的添加、修改、暂停、删除等操作，从而实现根据实际需要灵活开设和变更本系统的操作用户。并可对任何用户进行密码重置。 2.5.4 角色管理 对于使用系统的每个用户，都也许有不同的操作权限，假如直接对用户进行权限配置，在用户数量众多的情况下，是相称繁琐的一个事情，并且很容易出现错误，为了实现对用户权限配置的便捷性和规范性，我们讲通过用户角色机制，按工作岗位和工作角色将用户划提成不同的角色类型，从而实现对角色的权限配置而达成对属于该角色的同类用户批量权限配置的功能，提高用户权限设立工作效率，避免错乱，使得用户与权限管理根据清楚可靠。 2.5.5 权限管理 权限管理就是对每个子系统、每个功能模块的增、删、写、改、查看、打印、数据导出等权限的控制，我们采用权限与角色相分离的机制，实现对操作用户的权限的灵活配置，从而大大提高系统的灵活性，当管辖的各机构工作流程、岗位职责发生变化时，可以通过对用户的权限调整而满足新的需要。 为了增长系统的灵活性，我们将权限分解为两种属性，一种是模块权限配置：就是为每个角色配置软件各功能模块的操作权限，可以自由控制不同角色对不同模块的录入、修改、查询、打印、数据导出等权限；此外一种是管辖范围权限，就是控制每个角色对所配置模块的数据使用范围，并与其所在的组织机构进行挂钩匹配，按本部门、下属部门、全体部门、指定部门四种模式来进行使用范围授权，从而大大提高软件的灵活性和适应性。 2.5.6 数据管理 系统的数据将自动实现同步备份，但为了更加安全可靠和便捷，我们还将对直接数据手动备份和恢复功能，让管理员可以根据需要，随时将数据进行备份，转存到光盘、u盘、移动硬盘或者其它存储介质上，实现脱离系统整体运营环境的独立保存，为杜绝认为泄密，我们将对备份数据实行自定义加密，让所备份的数据脱离运营环境后就无法打开。 2.5.7 口令管理 为每个操作用户提供可以随时修改自己的口令密码的功能。 2.5.8 操作日记 为了加强对各类操作用户的管理和监督，系统将自动生成每个操作用户对系统的基本操作日记，实现对用户操作行为的追溯查询，明确责任。 3、技术架构 3.1 开发技术及运营环境 开发技术：EJB，JSP，JAVASERVLET，JDBC，XML，HTML，JAVASCRIPT，DHTML，SQL； 开发环境：Eclipse+MyEclipse+Urltredit； 操作系统：Red Hat Linux或unix 、Windows2023-2023 Web服务器：IBM Websphere、BEA WEBlogic或JBOSS 数据库服务器：PG 、Oracle、 DB2或Enterprisedb公司级，为节约费用，建议优先采用免费数据库PG。 3.2 技术实现方案 l 采用JAVA体系下的J2EE公司级应用解决方案构建B/S的应用系统。 l 表现层采用自主知识产权开发平台结构使得系统结构更清楚化，代码复用性强，易维护。 l 业务逻辑解决采用session bean，它封装了对事务的解决，可以使程序运营更安全，可以方便的分布式部署，使系统能承受很大的压力。 l 持久对方面采用.java，使得系统数据库无关性，可适应主流关系型数据库，编写程序时按照面向对象的方式写程序，可维护性高。 l 跨平台性，可任意移植到多种平台下，保护用户的投资。 技术平台具有广泛的支持力，J2EE技术规范得到了无论是国际性大公司还是自由开发者的广泛的支持，具有很好的发展前景 3.3 数据中心及网络架构 本项目的部署实行不再单独构建信息中心机房，不再单独进行网络基础设施和中心机房安全设施建设，而是充足运用社保机房和机房内的通信、网络、供电、安全等设施，将数据中心服务器直接放置在社保机房内；不增长用户使用终端电脑，而是运用各级部门现有的电脑进行终端操作，并运用现有的专线专网设施实现终端与数据中心主服务器的连接。 3.4 信息安全保障体系建设 我们从技术角度出发，按系统安全、应用安全、信息安全和安全管理四个方面，分析信息安全的需求。 1) 系统安全需求：需要解决的问题涉及身份冒充、非法访问、配置缺陷、系统缺陷、病毒等。 2) 应用安全需求：需求解决的重要问题是全网统一的CA身份认证。 3) 信息安全需求：需要解决的重要问题是数据加密、数据的完整性、数据的访问控制等。 4) 安全管理：需要考虑管理权限和级别划分等问题。 4、系统安全机制 4.1 安全定义 在通常意义上，网络安全的内容至少应涉及两个方面： 物理安全：指系统设备及相关设施受到物理保护，免于破坏、丢失等。对物 理安全的保障涉及建筑保障、电力保障、空调系统、消防系统、安全（门禁）系 统等等。 逻辑安全：涉及信息完整性、保密性和可用性。保密性指高级别信息仅在授权情况下流向低档别的客体与主体；完整性指信息不会被非授权修改并且信息保持一致性等；可用性指合法用户的正常请求能及时、对的、安全地得到服务或回应。以下的叙述将围绕逻辑安全展开； 4.2 各部分安全措施 数据安全 –数据存储安全采用PG数据库提供的安全策略； –敏感数据采用Cipher工具来完毕数据加密/解密； –采用DES加密算法来实现对数据进行安全加密； •应用安全 –直接在数据中心进行操作者身份验证、用户授权和密码管理，避免权限下放后出现的管理漏洞给系统安全导致威胁。 •网络安全 –本项目的网络环境所有采用现有设备体系，其网络安全已经做过部署，本次建设不再需要考虑。 数据加密采用DES加密算法实现； –ESB与外围系统之间的加密和解密采用加密机进行实现； •主机安全 –系统在硬件上采用网络冗余、物理分布集群(主从模式)备份方案，保证主机设备的可用和网络资源可用。 •信息安全 –建立规范的操作用户信息安全管理机制 –操作员签署安全操作保密协议，不讲职责范围内的信息向外泄露，并定期进行系统安全检查审计。 4.3 常见的安全问题 在网络应用中，常见的安全问题涉及： 系统漏洞：通过操作系统和服务器软件等漏洞非法获取信息或进行其他非法 操作。 后门/陷阱：通过编程人员留下来的后门或者设立陷阱程序非法获取信息或进 行其他非法操作。 拒绝服务袭击（D.o.S 袭击）：使得服务器消耗大量资源或者大量占用服务器带宽而导致服务器处在瘫痪状态不能正常工作。 病毒：由于无意或者恶意的感染病毒文献导致其发作而使得服务器工作异常 或瘫痪。 身份冒认：冒充别人进行越权操作，涉及 IP 冒充等。 密码破解和泄漏：用于身份确认的密码信息被破解或者泄漏。 信息泄密：保密信息被越权获得或者非法传送给未被授权者。 信息窃听和篡改：保密信息在传输过程中被非法截取和篡改。 越权存取和拒绝管理：非法使用未被授权资源。 4.4 安全防范 逻辑安全的防范涉及到网络结构设计、操作系统防护、数据库保护、程序应 用、防火墙防护等多个层面，与具体的硬件设备、系统类型、软件类型甚至版本 都有密不可分的关系，而网络自身的基础协议——TCP/IP、HTTP、SMTP/POP等都有漏洞，所以不也许存在一个万无一失的放之四海而皆准的防护办法——除非完全不连上网。而由于软硬件的不断升级、新的漏洞发现和相应补丁的发布等等，还需要不断的采用新的措施。因此，安全防护不是一劳永逸的法宝，而是一个不断发展不断适应的过程。同时，安全通常是以性能为代价的，更高的安全性 意味着也许会牺牲一些服务器性能和操作方便性。所以好的安全策略并不一定是 最安全的，而是最适合当前的安全需求的。 当系统被攻破所需要的花费接近甚至超过了系统安全面的花费时系统受袭击的也许性是极低的，这样的安全策略就可以认为是足够安全的了。 4.4.1 系统维护 没有任何操作系统是绝对安全的。维护操作系统的安全必须不断的留意相关 网站，及时的为系统安装升级包或者打上补丁。 服务器配置自身就是安全防护的重要环节。有不少黑客案例是运用了没有正 确配置的服务器而产生的漏洞。 操作系统自身已经提供了复杂的安全策略措施。充足运用这些安全策略，可 以大大减少系统被袭击的也许性和伤害限度。 4.4.2 权限分派 配置权限分派是很复杂的事情，但是对安全性却大有帮助。调查指出大量的 安全问题来自内部，内部用户运用不完善的权限分派掌握了不应当掌握的机密信 息从而导致了大量问题的产生。 即使可以保证内部用户的忠诚度，大量的用户管理很难保证其中部分用户的 密码信息不会被泄漏或者破解。而一旦黑客得到这些信息而权限分派又不完善， 无疑是给了黑客一个意想不到的惊喜。 权限分派也应遵守最小化的原则。任何用户只应获得被许可的最小的操作权 限。 4.4.3 加密机制 系统里的关键数据，例如用户的密码等等，采用了严格的加密算法。即使被 人截留了数据也难以破解出内容。加密算法采用了第三方提供的成熟产品，核心 为 128 位的非对称加密算法，直接破译是基本上不也许的。配合相应的密码策略来防止穷举法解密，可以实现高度的保密。 4.4.4 密码策略 密码（或者也可称为口令）是用户身份认证的重要工具，假如不使用智能卡 或者其他高级手段，密码验证基本上就成了重要的甚至是唯一的认证工具。密码 设定应当遵循以下原则（实际合用情况根据安全性的规定决定，规定越高，越应 该严格遵守）： v 通常情况下密码不应当少于 8 位; v 尽量避免使用用户名、生日、英文单词等作为密码，最佳使用大小写、数 字、特殊字符组合的密码; v 不要在多个地方使用同一密码; v 不要把密码誊录于容易丢失的纸片、电脑文献等地方; v 不要在公共场合（例如网吧）进入安全区域; 4.4.5 入侵检测 防备袭击并不只是做一些防御性的设立以及在被袭击后进行恢复和追查。袭击者的袭击过程事实上是一个相称复杂的过程，除非是真正的高手，否则都会留下一些蛛丝马迹。通过安全日记的纪录和解读、系统状态的监视、关键文献的使用情况（例如 Cmd.exe、System32 目录）等等往往可以提前发现一些入侵的尝试从而相应的制定因变策略。 对系统的状态检测尚有助于发现病毒、陷阱程序和木马程序，防止信息泄漏和系统损坏。 日记文献能提供极其丰富的信息，在服务器上所进行的任何活动或交易信息都能被记录下来。运用这些记录下来的日记信息，可以快速查到入侵者的资料。 4.4.6 程序应用 应用程序开发中，也许会由于不注意安全性而留下了被袭击的缺陷。例如最典型的例子之一是在 ASP 程序开发时数据库连接存放在 Globla.asa 里面。而很多黑客就是通过这个文献得到了数据库访问的数据源、用户名及其密码。我们本次所采用的将是基于J2EE的最高安全技术标准来进行应用系统的开发，有效杜绝出现漏洞和数据存储漏洞。 4.4.7 防火墙 防火墙的基本功能是在内部网和外部网之间建起一道屏障，并决定哪些内部 资源可以被外界访问，哪些外部服务可以被内部人员访问，内部网和外部网之间 传输的所有信息都要通过防火墙的检查，只有授权的数据才干通过。根据对数据 解决方法的不同，防火墙大体可分为两大体系：包过滤防火墙和代理防火墙（应 用层网关防火墙）。 防火墙尽管不能保证万无一失的防止非法侵入，但是大大减少了被袭击导致 损坏的也许性，因此是安全防护的重要元素之一。 4.4.8 防止病毒 通常情况下应当严禁在服务器上安装其它软件、接受邮件、放置来历不明的文献等等。必须安装的软件应当由系统管理员安装并在此之前进行严格的病毒测试。使用防病毒软件进行实时的病毒监控是有效的防毒措施之一。 4.4.9 劫难恢复 劫难恢复基于未雨绸缪的准备，对不可预知的错误应当有充足的防止，在出现系统问题时应当及时发现和解决，系统瘫痪无法恢复时也可以迅速重新架设，把损失减到最小。 必须制定严格的备份策略，根据数据的重要限度、更新频度等定期进行备份。 至少应当有一个存放于不同介质的完全备份（备份频率可略低）和一个频率较高 的增补备份。 对业务系统的应用状态监测也是必不可少的。应当可以在故障出现后 一个小时内发现并保证有一支可以及时查看问题并加以解决的快速反映队伍和 制度。 本方案建议的备份策略如下： 1.建立监控机制，配置操作系统的监控策略，出现错误时将错误信息以电 子邮件方式告知管理员；对系统瘫痪等严重问题规定有专门人员在一小 时内响应。 v 2.在服务器上安装磁盘阵列，使用单独的硬盘作为备份盘，配置数据库的 备份策略，天天进行一次增补备份；同样，配置操作系统的备份策略， 对其他数据文献天天进行一次增补备份； v 3.系统软件及说明书、相关文档电子版刻为光盘，一式两份，别作为平时安装和备份保存使用。 4.5 系统平台的安全 4.5.1 WEB 服务器安全 为减少WEB/应用服务器的漏洞，WEB服务器将只开通HTTP协议和HTTPS 协议的服务，关闭其他服务。这样可以大大减少服务器的承担，且屏蔽了大部分 被袭击的风险。WEB/应用服务器应有专人管理，相关的程序应有备份，在尽量 短的时间内恢复系统。对在 WEB/应用服务器上加装的任何软件都要进行分析其 必要性和安全性。 4.5.2 防止管理员管理过程中的信息泄密 系统开发人员应对系统的内核以及关键保密技术以及源程序严格保密。管理 系统的人员应对本系统的各种访问口令保密并经常进行更换。对口令文献的内容 以及位置保密。 要保证系统的安全性，一方面必须尽量从内部杜绝安全隐患，比如将系统服务 器置于具有门禁的严格安全控制的机房内，并由专人管理；制订明确的机房安全 管理制度并定期检查等。 4.5.3 大数据包加系统站承担、破坏型黑客袭击 日记系统可以跟踪所有的 WEB 资源访问，涉及安全与非安全端口的信息。 在后台安全警告服务例程中将对相同来源的短时间大量无目的资源访问做出警 告。需要系统安全管理员及时进行分析，并将解决意见上发。 目前在网络安全面，专业供应商提供基于底层协议的入侵检测监控系统， 能有效地发现并制止各类黑客袭击。某金融认证交易所在成立开通后曾被各类黑 客连续袭击数小时，他们采用了此类系统，保护核心数据始终安全。建议在构建 网络平台时考虑此类入侵检测系统。 4.5.4 数据库安全措施 要保证数据的真实性、完整性、一致性，如何防止数据被恶意篡改以及数据破坏后的恢复是至关重要的。选择一个好的数据库系统（DBMS），有条件的情况下尽量采用双机热备份机制，指定专人对数据库进行维护，可以很好地维 护电子商务的交易数据。 u 增长、减少或合并时，可通过修改数据互换交易所配置完毕变更，无需为 每个节点单独开发互换连接应用。 u 通过数据集成组建连接各应用系统，当应用系统或数据库间数据互换规 则、互换方向发生变化时，只需修改互换平台配置，无需源代码开发，便于实行和操作。 5 系统技术服务及售后服务内容及措施 5.1 部署建设服务 5.1.1 部署规定 1、部署开发实行对软件的技术性能指标进行单机调试，并提交安装调试具体计划。 2、部署实行根据相应标准和规范进行安全特性测试，并提有关交测试报告。 3、部署实行系统集成时，保证做好本项目有关的其他系统联调。 4、部署实行完毕，提交相应记录和安装调试结果报告书。 5.1.2 系统实行建设服务 1.系统分析 对中心现有的软硬件环境进行调查和分析，拟定系统的实行方案；对管辖区内各级部门及相关岗位进行进一步调研，进行具体的需求分析；对能提供数据导出或者提供数据接口的相关单位的系统和技术环境进行细致的需求调研，拟定安全可靠的数据导入或数据接口方案。 2. 安装调试 u 我公司将派出专业的项目开发和项目实行小组，负责系统开发、安装、调试，培训，并解决此过程中出现的所有问题，并负责解答贵中心提出的有关技术问题。 我公司在系统安装调试前，须检查所有的计算机、网络通信设备和其它构件能否满足系统需要，并作好模拟现场检测和联调等工作。 ü 准备工作 安装调试前我公司会将涉及下列内容的具体安装调试计划提交南软集团旅游租车电商平台征求意见： 安装调试的时间计划； 安装调试的方法； 调试环节； 双方参与人员等 ü 安装调试 我公司在系统安装前，将对系统列出的技术性能指标进行单机调试，提交软件的安装、调试具体计划。 我公司在系统整体安装调试前将根据相应的