水利建筑市场主体信用信息平台设计说明.docVIP

水利建筑市场主体信用信息平台 设计说明 XX省水利水电科学研究院 XXXX年四月 目 录 TOC \o 1-3 \h \z \u 1 系统建设目的 1 2 系统体系结构 1 2.1 系统功能结构 1 2.2 硬件结构图 2 2.3 技术路线 3 2.4 开发架构 3 3 系统安全防范 4 3.1 系统开发技术要求 4 3.2 安全防范措施 5 4 主要功能 6 4.1 信息上报模块 8 4.2 初审模块 9 4.3 终审模块 9 4.4 查询模块 9 4.5 系统模块 10 5 系统操作流程 11 6 用户权限 11 6.1 公众用户 11 6.2 企业用户 12 6.3 地级市水行政部门用户 12 6.4 水利厅用户 13 7 系统操作用例 13 7.1 施工企业申报 13 7.2 初审施工企业 18 7.3 终审施工企业 24 7.4 公众用户查询 25 7.5 系统管理 27 水利建筑市场主体信用信息平台设计说明 XX省水利水电科学研究院 PAGE 1 1 系统建设目的 按照建立社会主义市场经济体制总体要求，以培育良好的企业信用和个人信用为重点，通过政府推动，市场化运作和全社会广泛参与，建立客观公正的水利行业企业及相关执（从）业人员信用档案，为各级政府部门和社会公众监督提供依据，为社会各界查询有关信用信息提供服务，为社会公众对水利行业违法违规行为投诉提供途径。 在水利建筑市场对信用体系需求，作为省水利建设的主管部门，省水利厅领导高度重视该系统的建设工作，要求根据水利部的统一部署，结合我省的实际情况完成建设水利水电施工企业、监理企业、勘测设计企业、招标代理企业及相关执（从）业人员的信用档案信息网上发布，供公众及管理单位查询和报送。最终建成覆盖水利行业所有企业及相关执（从）业人员的信用档案系统，并通过建立支持网络实现各级水行政主管部门信用网站的互联互通，从而形成有水利行业特色的社会信用体系。 2 系统体系结构 2.1 系统功能结构 系统主要是根据我省的实际情况完成水利企业及相关执（从）业人员的信用档案信息网上发布，供查询和报送。系统完全基于Internet网络技术，各施工企业、监理单位通过远程登陆系统将本单位的信息上报到省建设主管部门，各级水行政主管部门通过网络查阅和审核信息。其网络结构如下图： 2.2 硬件结构图 2.3 技术路线 系统开发采用J2EE体系，开发环境为： 数据库：SQL Server 2000 Web服务器： Apache Tomcat 6.0 Java环境：JDK 1.6 开发工具：Eclipse 2.4 开发架构 页面显示层（Web） 页面显示层（Web） 业务逻辑层 数据访问层 数据层 系统实现典型的J2EE三层结构，分为表现层、中间层和数据服务层。三层体系将业务规则、数据访问及合法性校验等工作放在中间层处理。客户端不直接与数据库交互，而是通过组件与中间层建立连接，再由中间层与数据库交互。 3 系统安全防范 3.1 系统开发技术要求 （一）保证敏感信息的安全 （1）尽可能避免存储敏感信息。 （2）加密敏感信息。包括用户密码、企业信息中需要保密的信息和网站配置文件中的敏感信息等。对于仅需要验证，而不必显示的敏感信息，如用户密码，使用单向哈希来加密。 （3）借助数据库对信息进行权限控制。 （4）系统提供用户权限管理功能，为不同用户配置不用的权限。所有用户依据权限浏览敏感信息。 （二）防止恶意用户的输入 （1）对用户输入进行筛选，以查找 HTML 标记，过滤不合法脚本，防范跨站脚本攻击（CSS）。 （2）不回显未经筛选的用户输入。在显示不受信任的信息之前，对客户输入进行HTML编码将潜在有害的脚本转换为显示字符串。 （3）不将未经筛选的用户输入存储在数据库中。 （4）扫描URL、用户输入，防范SQL注入攻击。 （三）创建安全的错误消息 （1）避免编写包含可能对恶意用户有用信息（例如用户名）的错误消息。 （2）将应用程序配置为不向用户显示详细错误信息。 （3）对于容易发生错误的情况（如数据库访问）创建自定义错误处理方式。 （四）防止拒绝服务威胁 （1）关闭或释放使用的任何资源。例如，在使用完毕后，关闭数据连接和数据读取器。 （2）使用错误处理机制（例如，try/catch 块），以便万一失败就可以在其中释放资源。 （3）在使用或存储用户输入之前，测试它的大小限制。 （4）对数据库查询设置大小保护措施，防止大型查询耗尽系统资源。 （5）严格限制上传文件的文件大小。 3.2 安全防范