第一篇：網(wǎng)站整改建議

格蘭西點網(wǎng)站整改建議

網(wǎng)站整體風(fēng)格不夠大氣，落后主流風(fēng)格許多。內(nèi)容過少，沒有訪問價值。各處細節(jié)顯得業(yè)余，許多欄目形同虛設(shè)。

1、內(nèi)容整改建議

a)首頁LOGO下方有模板未處理的痕跡，影響網(wǎng)站專業(yè)性。

b)右側(cè)“格蘭西點，格蘭咖啡，格蘭小屋”按鈕，基本無用，可以去掉。c)格蘭報形同虛設(shè)，可以去掉。

d)格蘭美食需要增加更多的菜肴圖片和文字簡介，讓訪問網(wǎng)站的顧客直觀了解格蘭的主打菜。

e)經(jīng)營合作、招賢納士、留言板和聯(lián)系我們。全都沒有內(nèi)容。建議增加經(jīng)營合作的內(nèi)容，合并招聘信息，去掉留言板這一不實用功能。整改聯(lián)系我們，讓訪問這一欄目的顧客能順利方便的聯(lián)系到我們。

f)格蘭報如果有專人負責(zé)，定期更新內(nèi)容，可以保留。如無，可去掉。g)關(guān)于格蘭欄目下需要完善內(nèi)容保留并完善有必要的，去掉沒有價值的。

h)左側(cè)“加盟格蘭西點和格蘭西點留言”，可以根據(jù)上邊的內(nèi)容整改過后做出調(diào)整。

2、風(fēng)格整改建議

a)風(fēng)格過于小氣，并且不夠精致。建議內(nèi)容顯示區(qū)再寬一倍，高也增加到不顯示最下方的白色為止。

b)各處細節(jié)優(yōu)化，logo下的無用文字，關(guān)于格蘭下的“上一頁，下一頁” , 首頁的滾動圖片等等。

3、SEO優(yōu)化建議

在百度搜索“格蘭西點”，首頁沒有找到我們的網(wǎng)站。這對一個想了解我們的人來說，網(wǎng)站等于沒有。絕大部分的訪問者都是通過各個搜索引擎找到網(wǎng)站的。在增加網(wǎng)站內(nèi)容，處理好細節(jié)以后，有必要做一些專業(yè)的SEO優(yōu)化。讓網(wǎng)站的價值真正體現(xiàn)出來。

個人建議，拋棄原版，整體重新制作。

第二篇：網(wǎng)站改版建議整改方案1101

網(wǎng)站改版建議整改方案

一、概述

借助互聯(lián)網(wǎng)的快速發(fā)展以及公司宣傳發(fā)展的必要性，網(wǎng)站的管理建設(shè)需要進一步的加強升級和完善。目前幾乎所有的公司和個人都在利用網(wǎng)絡(luò)傳遞商業(yè)信息，進行商業(yè)活動，我們的企業(yè)也不例外，從企業(yè)的宣傳、發(fā)布廣告、招聘雇員、拓展市場等等，方方面面都是離不開網(wǎng)絡(luò)。如今互聯(lián)網(wǎng)已經(jīng)成為企業(yè)競爭的戰(zhàn)略手段，企業(yè)經(jīng)營需要多元化拓展，進一步擴大，對于企業(yè)管理、業(yè)務(wù)擴展、品牌形象等都提供了更高的要求。但是，面對我們當(dāng)前公司的規(guī)模發(fā)展，網(wǎng)站建設(shè)使用已經(jīng)不能更好的滿足公司自身的需求，為了能更好的實現(xiàn)網(wǎng)站與實體公司的經(jīng)營運作高效有機的結(jié)合，有利于公司產(chǎn)品銷售渠道的業(yè)務(wù)拓展，宣傳和打造公司的企業(yè)形象，針對現(xiàn)有網(wǎng)站建設(shè)提出以下建議。

二、網(wǎng)站存在問題及建議： 1.首頁

①主頁面只有兩部分，過于單

一。

②版面設(shè)置模塊，彰顯力度不足。

③主題圖片更新頻率太快。④導(dǎo)航設(shè)置缺乏特色。

⑤首頁內(nèi)容固定模式，信息更新狀態(tài)不明顯。

建議：

?調(diào)整結(jié)構(gòu)布局，增添新的模塊內(nèi)容，解決單一的上下兩結(jié)構(gòu)，將結(jié)構(gòu)內(nèi)容系統(tǒng)化； ?版面內(nèi)容突出核心，根據(jù)內(nèi)容模塊的設(shè)置，豐富信息內(nèi)容； ?頂部主題圖文調(diào)整顯示頻率，內(nèi)容顯示要適時；

④導(dǎo)航設(shè)置打破常態(tài)化公司主體介紹，以產(chǎn)品介紹為重點，突出公司發(fā)展定位及核心發(fā)展理念；

⑤取消首頁固定不變的信息展示窗口，加強模塊中信息內(nèi)容的更新頻率和顯示效果； 2.導(dǎo)航

①導(dǎo)航過于通俗，核心重點不明朗。②分類不夠清晰。

建議：

?一級導(dǎo)航以技術(shù)開發(fā)、產(chǎn)品服務(wù)為重點，重點定位核心理念； ?明確產(chǎn)品分工、技術(shù)支持、應(yīng)用范圍。3.一級頁面

①豎版頁面，缺乏視覺沖擊力

②頁面內(nèi)導(dǎo)航太突兀。

建議：

?將豎版導(dǎo)航改為橫版顯示，消除下拉菜單；

?將導(dǎo)航內(nèi)容列表式調(diào)整為組塊顯示； 4.版面設(shè)計

①版面顯示單調(diào)，不夠突出。

②產(chǎn)品介紹不夠直觀大氣。

建議：

?消除大段的列表目錄，采取橫向?qū)Ш椒纸M分類；

?將列表顯示內(nèi)容全部設(shè)置橫屏寬屏顯示，根據(jù)不同的內(nèi)容設(shè)置瀏覽節(jié)點點擊跳躍； 5.網(wǎng)站低端

①低端設(shè)置單一沒有更好的充分利用。

②缺乏前后交互設(shè)置。

建議：

?底部增設(shè)合作伙伴、導(dǎo)航列表明細，預(yù)留微信、微博公眾賬號掃碼端口；

?首尾前后強化交互鏈接，提升用戶瀏覽便捷高效； 6.內(nèi)容編輯

①字體偏小，顏色偏淺。②提高瀏覽器之間兼容性。

建議：

?增設(shè)調(diào)整字體端口設(shè)置，自動適配文字標準適當(dāng)進行修改；

?加強與瀏覽器編輯的適配性，便于瀏覽器顯示同步性；

三、建議總結(jié)：

1.豐富主題內(nèi)容，圖文展示頻率延緩，調(diào)整圖文適配，明顯主題效果。2.增添結(jié)構(gòu)框架，提高框架自身活躍性。3.豐富編輯模塊內(nèi)容，加強推廣宣傳效能。4.調(diào)整導(dǎo)航菜單進行精簡設(shè)計，突出導(dǎo)航重點。5.加強瀏覽器編輯適配性。

6.添加系統(tǒng)的串聯(lián)合作展示，增強合作伙伴的合作效能。

四、網(wǎng)站整體結(jié)構(gòu)

網(wǎng)站的升級，結(jié)構(gòu)大致分為三個部分。前期，實現(xiàn)網(wǎng)站改版升級效果界面預(yù)審；中期，完善界面預(yù)設(shè)，實現(xiàn)頁面制作；后期，測試網(wǎng)站服務(wù)效能終審。

前期：架構(gòu)優(yōu)化、UI界面布局設(shè)計。一級導(dǎo)航→

首頁、產(chǎn)品與服務(wù)、解決方案、業(yè)界動態(tài)、關(guān)于我們 二級導(dǎo)航→解決方案→、首頁→（作為跳轉(zhuǎn)引導(dǎo)頁 起到固定首頁設(shè)置）產(chǎn)品與服務(wù)→

企業(yè)安全產(chǎn)品、守密者系列、其他業(yè)務(wù)、合作業(yè)務(wù) 解決方案→

內(nèi)網(wǎng)安全、移動互聯(lián)網(wǎng)、組網(wǎng)安全、安全傳輸 業(yè)界動態(tài)→

新聞中心、（公司動態(tài)、行業(yè)資訊、每日安全咨詢、媒體報道）政策法規(guī)、關(guān)于我們→

關(guān)于連山、核心團隊、榮譽資質(zhì)、大事記、合作伙伴、客戶案例、加入我們、聯(lián)系我們

中期：二級界面欄目的梳理，優(yōu)化站內(nèi)交互鏈接。

后期：搭建自己的產(chǎn)品推廣服務(wù)平臺，提供有效的數(shù)據(jù)分析。

四、功能效果

改版升級后整個網(wǎng)站設(shè)計將第一時間展示公司產(chǎn)品、新聞動態(tài)，并且在交互界面與公司文化理念有了密切銜接，使得文化理念跟公司運營推廣第一時間得以呈現(xiàn)。擺脫了原有網(wǎng)站的單一結(jié)構(gòu)，使得網(wǎng)站內(nèi)容更加豐富，產(chǎn)品更新更加及時，滿足客戶的需要，提升用戶體驗。

五、費用預(yù)算（根據(jù)確定的相應(yīng)整改內(nèi)容后則進行具體的推演預(yù)算）

六、補充：所有的頁面底部實現(xiàn)在線分享功能（微信、微博）

第三篇：告知書網(wǎng)站漏洞危害及整改建議

附件2: 網(wǎng)站漏洞危害及整改建議

1.網(wǎng)站木馬 1.1 危害

利用IE瀏覽器漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)站上的木馬并運行（安裝）這個木馬，即這個網(wǎng)頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和運行（安裝）過程就自動開始，從而實現(xiàn)控制訪問者電腦或安裝惡意軟件的目的。

1.2 利用方式

表面上偽裝成普通的網(wǎng)頁文件或是將惡意的代碼直接插入到正常的網(wǎng)頁文件中，當(dāng)有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務(wù)端下載到訪問者的電腦上來自動執(zhí)行?？杀荒抉R植入的網(wǎng)頁也意味著能被篡改頁面內(nèi)容。

1.3 整改建議

1)加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞； 2)對網(wǎng)站代碼進行一次全面檢測，查看是否有其余惡意程序存在；

3)建議重新安裝服務(wù)器及程序源碼，防止有深度隱藏的惡意程序無法檢測到，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進入；

4)如有條件，建議部署網(wǎng)站防篡改設(shè)備。2.網(wǎng)站暗鏈

2.1 危害

網(wǎng)站被惡意攻擊者插入大量暗鏈，將會被搜索引擎懲罰，降低權(quán)重值；被插入大量惡意鏈接將會對網(wǎng)站訪問者造成不良影響；將會協(xié)助惡意網(wǎng)站（可能為釣魚網(wǎng)站、反動網(wǎng)站、賭博網(wǎng)站等）提高搜索引擎網(wǎng)站排名?？杀徊迦氚垫湹木W(wǎng)頁也意味著能被篡改頁面內(nèi)容。

2.2 利用方式

“暗鏈”就是看不見的網(wǎng)站鏈接，“暗鏈”在網(wǎng)站中的鏈接做的非常隱蔽，可能訪問者并不能一眼就能識別出被掛的隱藏鏈接。它和友情鏈接有相似之處，可以有效地提高PR值，所以往往被惡意攻擊者利用。

2.3 整改建議

1)加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞； 2)對網(wǎng)站代碼進行一次全面檢測，查看是否有其余惡意程序存在；

3)建議重新安裝服務(wù)器及程序源碼，防止無法到檢測深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進入；

4)如有條件，建議部署網(wǎng)站防篡改設(shè)備。3.頁面篡改

3.1 危害

政府門戶網(wǎng)站一旦被篡改將造成多種嚴重的后果，主要表現(xiàn)在以下一些方面：

1)政府形象受損； 2)影響信息發(fā)布和傳播；

3)惡意發(fā)布有害違法信息及言論；

4)木馬病毒傳播，引發(fā)系統(tǒng)崩潰、數(shù)據(jù)損壞等；

5)造成泄密事件。

3.2 利用方式

惡意攻擊者得到網(wǎng)站權(quán)限篡改網(wǎng)站頁面內(nèi)容，一般多為網(wǎng)站首頁，或者得到域名控制權(quán)限后通過修改域名A記錄，域名劫持也可達到頁面篡改的目的。

3.3 整改建議

1)加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞； 2)對網(wǎng)站代碼進行一次全面檢測，查看是否有其余惡意程序存在；

3)建議重新安裝服務(wù)器及程序源碼，防止無法檢測到深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進入；

4)如有條件，建議部署網(wǎng)站防篡改設(shè)備。4．SQL注入 4.1 危害

這些危害包括但不局限于：

1)數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息的泄露；

2)網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改； 3)網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊；

4)數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改；

5)服務(wù)器被遠程控制安裝后門，經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)；

6)破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)；

一些類型的數(shù)據(jù)庫系統(tǒng)能夠讓SQL指令操作文件系統(tǒng)，這使得SQL注入的危害被進一步放大。

4.2 利用方式

由于程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。攻擊者可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些攻擊者想得知的數(shù)據(jù)，甚至獲得管理權(quán)限。

4.3 整改建議

1)修改網(wǎng)站源代碼，對用戶交互頁面提交數(shù)據(jù)進行過濾，防止SQL注入漏洞產(chǎn)生；

2)對網(wǎng)站代碼進行一次全面檢測，查看是否有惡意程序存在；

3)建議重新安裝服務(wù)器及程序源碼，防止無法檢測到深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進入；

4)如有條件，建議部署WEB應(yīng)用防火墻等相關(guān)設(shè)備。5.后臺管理 5.1 危害

站點信息的更新通常通過后臺管理來實現(xiàn)，web應(yīng)用程序開發(fā)者或者站點維護者可能使用常用的后臺地址名稱來管理，比如admin、manager等。攻擊者可能通過使用上述常用地址嘗試訪問目標站點，獲取站點的后臺管理地址，從而可以達到暴力破解后臺登錄用戶口令的目的。攻擊者進入后臺管理系統(tǒng)后可以直接對網(wǎng)站內(nèi)容進行增加、篡改或刪除。

5.2 利用方式

通過使用常用的管理后臺地址嘗試訪問目標站點，獲取站點的后臺管理地址，使用字典暴力猜解網(wǎng)站后臺地址。如后臺管理的口令較弱則可能被猜解而進入管理界面，如管理登入存在注入漏洞則可能驗證被繞過而直接進入管理界面。

5.3 整改建議

1)為后臺管理系統(tǒng)設(shè)置復(fù)雜訪問路徑，防止被攻擊者輕易找到；

2)增加驗證碼后臺登錄身份驗證措施，防止攻擊者對后臺登錄系統(tǒng)實施自動暴力攻擊；

3)修改網(wǎng)站源代碼，對用戶提交數(shù)據(jù)進行格式進行限制，防止因注入漏洞等問題導(dǎo)致后臺驗證繞過問題；

4)加強口令管理，從管理和技術(shù)上限定口令復(fù)雜度及長度。.攻擊痕跡

6.1 危害

網(wǎng)站常見的攻擊痕跡：惡意腳本痕跡、異常文件提交痕跡、異常賬號建立痕跡、異常網(wǎng)絡(luò)連接等，一旦發(fā)現(xiàn)網(wǎng)站存在攻擊痕跡，說明網(wǎng)站已經(jīng)或曾經(jīng)被入侵過。

6.2 整改建議

1)加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞； 2)對網(wǎng)站代碼進行一次全面檢測，及時發(fā)現(xiàn)網(wǎng)站代碼中存在的問題，查看是否有惡意程序存在；

3)建議重新安裝服務(wù)器及程序源碼，防止無法檢測到深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進入。

7.跨站腳本

7.1 危害

1)釣魚欺騙：最典型的就是利用目標網(wǎng)站的反射型跨站腳本漏洞將目標網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚JavaScript以監(jiān)控目標網(wǎng)站的表單輸入，甚至發(fā)起基于DHTML更高級的釣魚攻擊方式。

2)網(wǎng)站掛馬：跨站時利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口等方式都可以進行掛馬攻擊。

3)身份盜用：Cookie是用戶對于特定網(wǎng)站的身份驗證標志，XSS可以盜取到用戶的Cookie，從而利用該Cookie盜取用戶對該網(wǎng)站的操作權(quán)限。如果一個網(wǎng)站管理員用戶Cookie被竊取，將會對網(wǎng)站引發(fā)嚴重危害。

4)盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份使，攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。5)垃圾信息發(fā)送：如在SNS社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標群。

6)劫持用戶Web行為：一些高級的XSS攻擊甚至可以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收的數(shù)據(jù)等等。

7)XSS蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實施DDoS攻擊等。

7.2 利用方式

XSS攻擊使用到的技術(shù)主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對WEB服務(wù)器雖無直接危害，但是它借助網(wǎng)站進行傳播，使網(wǎng)站的使用用戶受到攻擊，導(dǎo)致網(wǎng)站用戶帳號被竊取，從而對網(wǎng)站產(chǎn)生較嚴重的危害。

7.3 整改建議

1)修改網(wǎng)站源代碼，對用戶交互頁面提交數(shù)據(jù)進行過濾，防止SQL注入漏洞產(chǎn)生；

2)對網(wǎng)站代碼進行一次全面檢測，查看是否有惡意程序存在；

3)建議重新安裝服務(wù)器及程序源碼，防止無法檢測到深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進入；

4)如有條件，建議部署WEB應(yīng)用防火墻等相關(guān)設(shè)備。8.文件包含

8.1 危害 由于開發(fā)人員編寫源碼，開發(fā)者將可重復(fù)使用的代碼插入到單個的文件中，并在需要的時候?qū)⑺鼈儼谔厥獾墓δ艽a文件中，然后包含文件中的代碼會被解釋執(zhí)行。由于并沒有針對代碼中存在文件包含的函數(shù)入口做過濾，導(dǎo)致客戶端可以提交惡意構(gòu)造語句，并交由服務(wù)器端解釋執(zhí)行。

8.2 利用方式

文件包含漏洞，如果允許客戶端用戶輸入控制動態(tài)包含在服務(wù)器端的文件，會導(dǎo)致惡意代碼的執(zhí)行及敏感信息泄露，主要包括本地文件包含和遠程文件包含兩種形式。

8.3 整改建議

修改程序源代碼，禁止服務(wù)器端通過動態(tài)包含文件方式的文件鏈接。

9.目錄遍歷 9.1 危害

程序中如果不能正確地過濾客戶端提交的../和./之類的目錄跳轉(zhuǎn)符，惡意者就可以通過上述符號跳轉(zhuǎn)來訪問服務(wù)器上的特定的目錄或文件。

9.2 利用方式

提交../和./之類的目錄跳轉(zhuǎn)符，惡意者就可以通過上述符號跳轉(zhuǎn)來訪問服務(wù)器上的特定的目錄或文件。

9.3 整改建議

加強網(wǎng)站訪問權(quán)限控制，禁止網(wǎng)站目錄的用戶瀏覽權(quán)限。

10.危險端口

10.1 危害

開放危險端口（數(shù)據(jù)庫、遠程桌面、telnet等），可被攻擊者嘗試弱口令登錄或暴力猜解登錄口令，或利用開放的端口進行DDOS拒絕服務(wù)攻擊。

10.2 利用方式

弱口令嘗試和暴力猜解。10.3 整改建議

加強網(wǎng)站服務(wù)器的端口訪問控制，禁止非必要端口對外開放。例如數(shù)據(jù)庫連接端口1433、1521、3306等；謹慎開放遠程管理端口3389、23、22、21等，如有遠程管理需要，建議對端口進行更改或者管理IP進行限制。

11.信息泄露 11.1 危害

目標網(wǎng)站W(wǎng)EB程序和服務(wù)器未屏蔽錯誤信息，未做有效權(quán)限控制，可能導(dǎo)致泄漏敏感信息，惡意攻擊者利用這些信息進行進一步滲透測試。

11.2 利用方式

信息泄漏的利用方式包括但不限于以下攻擊方式： 1)phpinfo信息泄漏； 2)測試頁面泄漏在外網(wǎng)； 3)備份文件泄漏在外網(wǎng)； 4)版本管理工具文件信息泄漏； 5)HTTP認證泄漏；

6)泄漏員工電子郵箱漏洞以及分機號碼；

7)錯誤詳情泄漏；

8)網(wǎng)站真實存放路徑泄漏。11.3 整改建議

1)加強網(wǎng)站服務(wù)器配置，對默認錯誤信息進行修改，避免因客戶端提交的非法請求導(dǎo)致服務(wù)器返回敏感信息。

2)盡量不在網(wǎng)站目錄下存放備份、測試等可能泄露網(wǎng)站內(nèi)容的文件。

12.中間件

12.1 危害

WEB應(yīng)用程序的搭建環(huán)境會利用到中間件，如：IIS、apache、weblogic等，而這些中間件軟件都存在一些漏洞，如：拒絕服務(wù)漏洞，代碼執(zhí)行漏洞、跨站腳本漏洞等。惡意攻擊者利用中間件的漏洞可快速成功攻擊目標網(wǎng)站。

12.2 利用方式

判斷中間件版本，利用已公布的漏洞exp進行攻擊，或挖掘識別出的版本所存在的安全漏洞。

12.3 整改建議

加強網(wǎng)站web服務(wù)器、中間件配置，及時更新中間件安全補丁，尤其注意中間件管理平臺的口令強度。

13.第三方插件 13.1 危害

WEB應(yīng)用程序很多依靠其他第三方插件搭配，如編輯器、網(wǎng)站框架，這些第三方插件也會存在一些漏洞，若未做安全配置，使用默認安裝也會產(chǎn)生一些安全隱患，導(dǎo)致攻擊者可以任意新增、讀取、修改或刪除應(yīng)用程序中的資料，最壞的情況是造成攻擊者能夠完全獲取整個網(wǎng)站和數(shù)據(jù)庫的控制權(quán)限，包括修改刪除網(wǎng)站頁面、竊取數(shù)據(jù)庫敏感信息，甚至以網(wǎng)站為跳板，獲取整個內(nèi)網(wǎng)服務(wù)器控制權(quán)限。

13.2 利用方式

識別當(dāng)前網(wǎng)站程序所涉及的第三方插件，針對第三方插件進行漏洞攻擊

13.3 整改建議

一些不安全的第三方插件，可能存在眾多已知或未知漏洞，攻擊者利用這些第三方插件漏洞，可能獲取網(wǎng)站文件、控制服務(wù)器。如果網(wǎng)站需要引入第三方插件，建議上線前進行安全檢測或加固，盡量不要采用一些存在問題較多的中間件，例如fckeditor等。

14.文件上傳 14.1 危害

由于文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，導(dǎo)致允許攻擊者向某個可通過 Web 訪問的目錄上傳任意后綴文件，并能將這些文件傳遞給腳本解釋器，就可以在遠程服務(wù)器上執(zhí)行任意腳本或惡意代碼。

14.2 利用方式

直接上傳可被執(zhí)行的腳本文件，繞過文件限制上傳可被執(zhí)行的腳本文件。

14.3 整改建議

對網(wǎng)站所有上傳接口在服務(wù)器端進行嚴格的類型、大小

等控制，防止攻擊者利用上傳接口上傳惡意程序。

15.配置文件 15.1 危害

未做嚴格的權(quán)限控制，惡意攻擊者可直接訪問配置文件，將會泄漏配置文件內(nèi)的敏感信息。

15.2 利用方式

嘗試訪問常見配置文件路徑，查看是否泄漏敏感信息。15.3 整改建議

加強對網(wǎng)站常見默認配置文件比如數(shù)據(jù)庫連接文件、備份數(shù)據(jù)庫等文件的管理，避免使用默認配置路徑及默認格式存放，防止攻擊者針對網(wǎng)站類型直接獲取默認配置文件。

16.冗余文件 16.1 危害

未做嚴格的權(quán)限控制，如備份信息或臨時文件等冗余文件將會泄漏敏感信息。

16.2 利用方式

利用字典嘗試冗余文件是否存在，并且判斷是否存在可利用的敏感信息。

16.3 整改建議

1)注意對網(wǎng)站所有目錄中文件進行監(jiān)控，避免將網(wǎng)站打包備份文件、數(shù)據(jù)庫備份文件等直接存放在網(wǎng)站目錄下；

2)定期對網(wǎng)站目錄中文件進行比對，及時發(fā)現(xiàn)并清除被插入頁面或上傳的惡意程序。

17.系統(tǒng)漏洞

17.1 危害

系統(tǒng)漏洞問題是與時間緊密相關(guān)的。一個系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來。如果系統(tǒng)中存在安全漏洞沒有及時修復(fù),并且計算機內(nèi)沒有防病毒軟件等安全防護措施，很有可能會被病毒、木馬所利用，輕則使計算機操作系統(tǒng)某些功能不能正常使用，重則會使用戶賬號密碼丟失、系統(tǒng)破壞等。

17.2 利用方式

通過漏洞掃描軟件獲取當(dāng)前系統(tǒng)存在的漏洞信息，進行利用。

17.3 整改建議

1)及時更新網(wǎng)站服務(wù)器、中間件、網(wǎng)站應(yīng)用程序等發(fā)布的安全漏洞補丁或安全增強措施；

2)如果因特殊情況不宜升級補丁，則應(yīng)該根據(jù)漏洞情況使用一些第三方的安全防護措施防止漏洞被利用；

3)如有條件，建議經(jīng)常對網(wǎng)站進行系統(tǒng)層漏洞檢測。

第四篇：整改建議

整改建議

為了提高我們公司制度，積極性及以后公司的發(fā)展，我認為公司必須進行整改。

我的建議是：

一、倉庫整頓

1、增加倉庫展廳主管（管理倉庫與展廳），且配置人員兩人，并且兩個員工進行培訓(xùn)增加倉庫的重要性，人員不得隨便調(diào)動；設(shè)備配上辦公桌一張，椅子1把，休息椅子一把，文件夾3個，筆記本2本，小推車2輛，梯子1把，掃把1把，拖把，垃圾桶一個，電話一個，擦家具毛巾，碧麗珠，貨架1組。辦公室設(shè)在樓梯處

2、劃分區(qū)域，按照單子的大小劃分，大單子大區(qū)域，小單子小區(qū)域，但是還要劃分出處理件與投標失敗樣品的存放區(qū)和客戶產(chǎn)品存放區(qū)，每個區(qū)域之間留出1米大小，中間過道

1.5，并且在區(qū)域上掛上牌子，且寫上單子的出自哪個單位、供應(yīng)商、出貨時間。如果客戶存放的，另外寫上原因，出貨時間。

3、到貨后，倉管員趕緊通知業(yè)務(wù)員送貨時間到了，為下一個單子騰出空間，不得延誤。

4、做到每天打掃，一星期盤貨

5、處理陳舊的展品，陳舊的貨品、增加處理貨品的收入

二、展廳整頓

1、展廳按家具性質(zhì)劃分區(qū)域，劃分班臺區(qū)、椅子區(qū)、沙發(fā)區(qū)、屏風(fēng)區(qū)等

2、展廳每天保持干凈

3、展廳產(chǎn)品不得隨意賣掉

4、超過半年的展品必須更換，更換后留下的空位必須補上

5、展廳產(chǎn)品寫上名稱、型號、材質(zhì)

6、展廳產(chǎn)品兩星期一次盤貨

7、展廳人員不得在客戶面前瞎報價格

三、辦公室、車間人員建議

1、增加白板，以便增加各個工作人員的意識，免得漏掉產(chǎn)品、漏掉時間、漏掉各個重要的環(huán)節(jié)

2、人員不得隨意調(diào)動，調(diào)動人員必須由李經(jīng)理或者老楊安排，任何人必須聽之，例如業(yè)務(wù)員及別的部門經(jīng)理都無效，倉庫除外（由于倉庫是隨時發(fā)貨，接貨區(qū)域，展廳接待區(qū)域）

3、任何工作位不得吸煙，例如辦公室各個辦公桌（文件紙質(zhì)比較多），車間設(shè)備區(qū)，板

材區(qū)，不管任何員工職位大小，想抽煙必須出去或者吸煙區(qū)

4、在職人員必須在崗，任何職位員工必須遵守，不管職位大小，老板老板娘不例外，有事打招呼，必須有個正當(dāng)理由，須向老楊或者李經(jīng)理、梁總請假

5、職位固定，不得隨意更改，職位之間有個級別，不得越級操管，例如人員不得越級隨意安排

6、會議室綜合使用，例如說，培訓(xùn)，開會，放電影等活動，會議室保持整潔干凈，椅子凳子會議桌不得亂放

7、投標小樣工作室閑人不得進入，不得使用其工具，且工作室只放與小樣或者投標有關(guān)的東西，凡事借小樣工作室工具必須由夏偉兵同意，凡事弄丟者一律照賠

8、采購人員注意產(chǎn)品質(zhì)量，且寫上出自何處供應(yīng)商，到貨時間一式三份，辦公室文員一份，自己一份，倉管員一份

9、辦公室文件柜沒用的書籍全部扔掉，且辦公室門口及接待臺不得放任何雜物保持整潔

10、職工聯(lián)系單制作一份，方便聯(lián)系

11、車間生產(chǎn)工具設(shè)備實名

12、拉三號橋的貨車不得占用拉工程貨車的車子，只能隨帶，除非拉完后再拉三號橋的貨

13、財務(wù)注意投標的事項，必須誰負責(zé)投標的誰推保證金，誰收到款的必須記上誰的名字，打出去的款寫上單位名字，和數(shù)額，簽字狀況

14、采購的人員注意采購質(zhì)量，必須和圖片一模一樣，不一樣或者沒有必須和客戶溝通

15、業(yè)務(wù)員注意及時收款，配合財務(wù)（財務(wù)必須半天檢查銀行賬戶，有沒有到賬）

四、增加設(shè)備

1、增加資料室，內(nèi)部培養(yǎng)員工，留住員工。資料室必須配備木工技術(shù)、油漆技術(shù)、管理技術(shù)、設(shè)計技術(shù)等圖書，進一步培養(yǎng)公司自己的員工?；蛘唛_展晚上培訓(xùn)員工的活動。

2、設(shè)計研發(fā)部與銷售部一起研發(fā)最新產(chǎn)品，保持產(chǎn)品的創(chuàng)新性，先進性；多去市場拍照增加產(chǎn)品新穎程度

3、更新小面包（五菱之光）車輛，由于投標、安裝需求，AP476跟不上需求使用，且運輸車輛經(jīng)常拿到銷售投標使用，影響送貨進程

4、車子出車前必須登記，誰開車誰加油

五、任務(wù)責(zé)任負責(zé)

1、凡事自己的單子自己負責(zé)到底，不得托管給任何人，除非自己本身很忙，經(jīng)由李經(jīng)理同意且安排人員

2、車間任務(wù)一律等同第一條

六、安全

1、外出安裝注意各個方面安全，出門注意交通安全，安裝注意客戶設(shè)施的安全

2、運輸搬運注意產(chǎn)品安全和人身安全

3、車間禁止吸煙，生產(chǎn)注意生產(chǎn)安全

4、工作結(jié)束，關(guān)閉電源，不準隨意拉電源

5、生產(chǎn)場地、辦公室不得隨意打鬧打架

七、平時細節(jié)

1、車間工作服每個人必須穿好，不得轉(zhuǎn)借，不得亂涂鴉，不得損壞，離職的話必須歸還，滿一年工作服不用付工作付錢，老員工免掉

2、辦公室、車間不得亂闖、全體主管必須配備筆記本，辦公室和財務(wù)每人配一本，做好自己該做的事情，免得忘掉

3制定公司規(guī)章制度，并完善

第五篇：整改建議

約旦項目DCP裝置整改方案的考慮

針對DCP裝置現(xiàn)有存在的問題，作出了第三次整改方案。通過自己對DCP現(xiàn)裝置的了解和掌握，對整改方案陳述一些個人觀點。

1． 酸解反應(yīng)與過濾 1.1酸解反應(yīng)及過濾的現(xiàn)狀。

依據(jù)已有的開車情況評定，現(xiàn)有的酸解槽構(gòu)成能滿足裝置運行的需要。原料能實現(xiàn)比較穩(wěn)定均衡的加入，而且能實現(xiàn)礦漿和鹽酸的DCS自動調(diào)節(jié)。對于礦漿流量的衰減，只是在小流量的情況下會發(fā)生，一旦按裝置能力的投礦，基本可以避免這個問題。利用尾氣洗滌液混合消泡劑來噴淋消泡的效果，可以控制反應(yīng)料漿起泡的問題，但前提是要保證酸解料液的連續(xù)進出平衡。連續(xù)出料，也能避免酸解液下料管道的堵塞。對于加入磷石膏料漿助濾的方式，現(xiàn)將磷石膏配漿和加入混合槽的操作及過濾效果，已經(jīng)積累了一定的操作控制。對于酸渣過濾，根據(jù)現(xiàn)有積累的操作數(shù)據(jù)，只要過濾機能滿足酸渣的過濾能力，這一環(huán)節(jié)沒有大的問題。

1.2對于整改方案的考慮。

A．在礦漿泵出口新增一臺流量計的意義不大?，F(xiàn)礦漿管線已有一臺電磁流量計，能比較準確的指示礦漿的流量情況。實施雙流量指示后，由于管線的結(jié)構(gòu)不一，而造成流量指示不統(tǒng)一的情況，控制和操作將失去依據(jù)。另外，按現(xiàn)有的管道規(guī)格，流量計肯定要縮徑，勢必在泵的出口端就會形成一處擁塞點。

B．磷石膏的加入形式改變后，雖然粉料的加入可以起到不稀釋母液濃度的作用，但對于粉料的混料操作、酸解料液的輸送、及指標控制都有比較大的難度。而且加入了過多的操作節(jié)點和控制指標，很容易造成流程中斷。

C．設(shè)置沉渣地槽來處理酸渣帶濾機的濾布沖洗水，這個設(shè)置可以實現(xiàn)廢水的渣液的分離，但地槽的清淤工作量將是相當(dāng)?shù)姆敝亍?/p>

D．對于酸解液下料管改為斜管布置，只要保證酸解連續(xù)運行，是可以避免管道堵塞的。而且現(xiàn)有酸解管設(shè)置的排堵沖洗水點，是可以有效的清通管道的。

2． 一段中和與過濾 2.1一段中和及過濾的現(xiàn)狀。

現(xiàn)裝置的一段中和，拋開人員操作的原因，僅從裝置構(gòu)成的表現(xiàn)來看，主要表現(xiàn)為指標控制不力及指標波動。在5m3的投礦量，酸解濾液流量在～18m3的加入量下，要想控制一段中和的PH值比較難。而在滿足一段中和裝置能力的情況下，將會有25～28m3的酸解濾液流量，而相應(yīng)匹配量的鈣漿加入，會造成料液反應(yīng)劇烈溢槽的情況。另外，為了保證鈣漿加入形成包裹，可以設(shè)置多點加入鈣漿，并設(shè)置撒灰器。所以，有必要增加一臺一段中和槽，以滿足一段中和的控制要求。

2.2對于整改方案的考慮。

A．新增一臺30m2的帶濾機來過濾白肥，從現(xiàn)有廠房解構(gòu)情況來看，要與現(xiàn)裝置并和上下工序間有效的結(jié)合，設(shè)備布置的難度很大。

B．一段濾液不經(jīng)沉降，而直接輸送至二段中和槽進行二段中和，會對成品的F含量指標造成影響。在氫鈣生產(chǎn)裝置中，過濾的懸浮物必須進行沉降處理后，才能保證成品F含量的指標要求。

3． 二段中和與過濾 3.1二段中和及過濾的現(xiàn)狀。

現(xiàn)裝置的二段中和，主要問題還是鈣漿的包裹和停留時間不夠，容易造成鈣過量。表現(xiàn)出二段料漿反應(yīng)不完全的情況，或者二段中和的氫鈣結(jié)晶不穩(wěn)定，對于二段過濾和成品指標的影響很大?？梢园匆欢沃泻偷脑O(shè)置，多點加入鈣漿，并設(shè)置撒灰器。并增加一臺一段中和槽，以滿足二段中和的控制要求。

3.2對于整改方案的考慮。

A．二段沉降緩沖槽上設(shè)置低速塑料立式泵。這種泵型的選型比較困難，實際的運用情況如何，還需與生產(chǎn)廠家仔細交流確認。另外比較而言，臥式泵更有利于料漿的輸送和操作。

4． 三段中和及其它裝置部份

4.1二段中和及三段中和用的灰乳，將濃度由5％稀釋至1％，稀釋所需的鈣水量大。4.2整改中設(shè)置了多處粉體設(shè)備，而且是應(yīng)用于不同物料介質(zhì)。因為粉體機械這一塊，沒有固定的工藝參數(shù)可用，而是針對不同物料特性，根據(jù)試驗數(shù)據(jù)來設(shè)計和選型。為保證能良好的運行，不論是成套購買或是非標自制，都需要進行仔細的斟酌和設(shè)計。

4.3設(shè)置一臺鈣水暫存槽，將里面的鈣水做為相關(guān)配料及沖洗水用，相當(dāng)有必要。因為僅依靠現(xiàn)有的二段沉降槽的鈣水溢流，不能滿足系統(tǒng)用鈣水需要。

5． 結(jié)合開車情況，對于整改方案的個人考慮

歷經(jīng)了兩個月的開車，雖然總體效果不甚理想。但對于裝置的情況也有了更深的認識。裝置在低負荷下，是可以實現(xiàn)連續(xù)平穩(wěn)的運行的。曾經(jīng)在3m3/h的投礦量下，連續(xù)生產(chǎn)了72h。最后是由于JAFCCO方的配合問題，才將裝置停下。由此可以看出，裝置是可以實現(xiàn)連續(xù)操作的。同時，一旦裝置連續(xù)開起來，從操作強度上來看也是比較輕松的，不會有高強度的現(xiàn)場操作去完成。而且在生產(chǎn)安排合理，設(shè)備無故障和意外的情況下，流程運行順暢。

下面就裝置暴露出的主要問題，制約裝置良好穩(wěn)定運行的因素進行簡述：

1，酸渣過濾能力不足，雖經(jīng)歷第二次整改，依然沒有解決問題，制約了裝置能力的發(fā)揮。

2，一段中和的中和劑加入量問題，不能有效的控制一段中和的PH值，這一步嚴重關(guān)系著氫鈣成品的F含量指標和二段中和的操控。現(xiàn)在看來，按現(xiàn)裝置的構(gòu)成情況是不容易將PH值調(diào)高的。另外，約旦礦的一段中和PH值在很小一個調(diào)節(jié)范圍內(nèi)。偏低，影響脫氟和二段中和度；偏高，飼鈣的產(chǎn)量低而且過濾困難。

3，二段中和料液的停留時間問題，由于停留時間不夠以及鈣漿的包裹問題，導(dǎo)致成品中鈣含量過量，并過濾困難。

4，一段、二段過濾，拋開中和指標的影響因素外，不管是從沉降槽直接放料進行過濾，還是通過緩沖槽中轉(zhuǎn)來過濾，都存在過濾效果不好的情況。個人分析這個跟一、二段沉降槽的結(jié)構(gòu)和耙機出料有關(guān)。

5，各工序控制指標節(jié)點多，指標不易穩(wěn)定，需現(xiàn)場人工精心操作，而不可能完全放手于DCS操控，一旦有疏忽就會造成流程紊亂和產(chǎn)品質(zhì)量不合格。

6，現(xiàn)場須人工操作、監(jiān)控、巡視、處理的工藝點較多，即使是中方的開車人員，也不可能完全顧及和處理到位。如是由約旦方來操控，估計裝置將會是更糟糕的運行情況。

因此，對于整改的方向，我想還是在于解決裝置存在的主要問題，對于重要指標存在影響的裝置部份，須進行改造。而有些次要方面，則要靠加強現(xiàn)場精心操作，完善、優(yōu)化控制指標來實現(xiàn)。不必面面俱到，無謂的添加一些設(shè)備來實現(xiàn)裝置的全運行。表面上看是一種裝置完善，其實則是過多的增加一些裝置節(jié)點，讓DCP裝置變得拖沓和臃腫，不僅增大了操作難度，也讓操作指標更繁瑣、更不易控制。同時，也可能滿足不了消耗指標的考核要求。最后，個人覺得在現(xiàn)有這套裝置基礎(chǔ)上制定的整改方案，施工建設(shè)的難度大，裝置改造完成后，拋開人員因素，僅從硬件方面來預(yù)測，要達到合同要求的產(chǎn)量、質(zhì)量、消耗等指標的程度很難。

以上針對DCP裝置的相關(guān)考慮，為個人見解。當(dāng)否？還敬請考量。

川化院 李勁偉

2011-10-10