Web系统安全管理规范1doc.docx
《Web系统安全管理规范1doc.docx》由会员分享,可在线阅读,更多相关《Web系统安全管理规范1doc.docx(8页珍藏版)》请在冰豆网上搜索。
Web系统安全管理规范1doc
Web系统安全管理规范1
编号:
中国XX股份有限公司
Web系统安全管理规范
(审阅稿)
第1章概述(3)
1.1概述(3)
1.2目标(3)
1.3范围(3)
1.4规范引用的文件或标准(3)
1.5术语和定义(4)
第2章WEB服务器操作系统的安全(7)
2.1Web服务器操作系统的安装和配置安全规范(7)
2.2操作系统的安全测试(11)
2.3操作系统安全检查表(11)
第3章WEB应用系统安全(14)
3.1Web应用系统安装的安全(14)
3.2Web应用系统的访问控制(14)
3.3Web应用系统的文件完整性检查(16)
3.4Web应用系统安装和配置的安全检查表(17)
第4章WEB内容安全(19)
4.1中国XX外部Web站点信息发布的安全规范(19)
4.2内容和动态内容生成的安全管理规范(20)
4.3Web内容的安全检查表(22)
第5章WEB网络安全(25)
5.1物理安全(25)
5.2Web服务器的网络位置(25)
5.3网络组件的安全规则配置(29)
第6章WEB服务器系统运行管理安全(32)
6.1系统的更新和修补流程(32)
6.2系统日志(32)
6.3系统备份(34)
6.4系统恢复(35)
6.5Web服务器定期安全测试(36)
6.6Web系统的远程管理(37)
6.7Web服务器安全管理检查表(38)
第7章员工使用WEB的安全规范(40)
7.1员工使用Web的规范(40)
7.2用户浏览Web站点时应遵守的规范(40)
附录1中国XX内部网站信息发布审批表(42)
附录2参考资料(43)
附录3本规范用词说明(45)
第1章概述
1.1概述
Web系统是互联网上信息交换的平台,是中国XX对内、对外交流的窗口,是企
业员工获取信息的重要渠道。
Web服务器也是企业信息系统中最容易遭受攻击的
目标之一。
为保护中国XX企业信息资产和信息系统安全,保障Web系统的保密
性、可用性、完整性和可管理性特制定本规范。
本规范从Web的技术、管理和人
员使用三方面提出安全规定,包括Web服务器安全、Web服务器操作系统安全、Web内容安全、Web服务器网络安全和用户使用安全。
1.2目标
保障中国XX企业信息资产安全,保护Web系统的可用性、完整性和保密性,规
范用户安全使用Web。
1.3范围
本标准规定了中国XXWeb系统的技术、管理和使用的安全。
本标准适用于中国XXWeb系统安全的维护和管理、内容发布。
1.4规范引用的文件或标准
下列文件中所包含的条款,通过本标准的引用而成为本标准的条款。
本标准出版
时,所示版均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列
标准最新版本的可能性。
1.GB17859-1999计算机信息系统安全保护等级划分准则
2.GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第二部分安全体
系结构(ISO7498.2:
1989)
3.GA/T387-2002计算机信息系统安全等级保护网络技术要求
4.《计算机信息网络国际联网安全保护管理办法》
5.《中华人民共和国计算机信息系统安全保护条例》
6.《计算机信息网络国际联网保密管理规定》
7.《中华人民共和国计算机信息网络国际联网管理暂行规定》
8.《维护互联网安全的决定》
9.ISO/IECTR13355信息技术安全管理指南ISO/IECTR13355信息技术安全管
理指南
Web应用开发——大赛信息管理系统软件测试分析报告1
Web应用开发——大赛信息管理系统
测试分析报告
学校名称:
德州学院
团队名称:
大展宏图
组长:
王洪涛
组员:
朱文魁、张军伟、张庆杰、刘永辉
指导老师:
于学斗、任传成
完成日期:
2009年8月
文档修改历史记录
序号修改人修改时间备注
1刘永辉2009-04-18初稿
2刘永辉2009-04-25完善中
3刘永辉2009-05-16完善中
4刘永辉2009-05-18完善中
5刘永辉2009-06-14完善中
6刘永辉2009-06-20完善中
7刘永辉2009-07-10完善中
8刘永辉2009-07-13完善中
9刘永辉2009-08-16完善中
10刘永辉2009-08-19完善中
11刘永辉2009-08-24完善中
12刘永辉2009-08-28完善中
13王洪涛2009-08-30完善中
14王洪涛2009-09-1完善中
15刘永辉2009-09-5完善中
16王洪涛2009-09-8完善中
17刘永辉2009-09-10完善中
18刘永辉2009-09-14完善中
19王洪涛2009-09-15成品
一.引言
(1)
1.编写目的
(1)
2.项目背景(3)
3.定义(3)
4.参考资料(3)
二.测试计划执行情况程(3)
1.测试项目(4)
2.测试机构和人员(4)
3.测试结果(4)
三.软件需求测试结论(4)
1.可行性测试(4)
2.前台用户功能测试(4)
3.管理员测试(4)
四.评价(5)
1.软件能力(5)
2.缺陷和限制(5)
3.建议(5)
4.测试结论(5)
一.引言
1.编写目的
本测试报告为《Web应用开发——大赛信息管理系统》项目的测试分析报告,目的在于总结测试阶段的测试以及分析测试结果,描述系统是否符合大赛及项目策划书的预期需求。
预期参考人员包括用户、测试人员、开发人员、项目管理者、及其他质量管理人员。
2.项目背景
项目名称:
Web应用开发——大赛信息管理系统
项目委托单位:
山东省大学生软件设计及计算机专业外语大赛组委会
项目开发单位:
德州学院计算机系07,08级学生
——“大展宏图”软件开发小组项目简介:
本系统主要实现齐鲁大学生软件设计及外语大赛的信息管理工作。
其主要工作包括:
●各种用户(命题老师、比赛指导教师、参赛选手、评审专家、系统管
理员、大赛负责人、编辑、就业服务人员)及单位(大学生计算机协
会、大赛赞助单位、参赛单位)的信息的后台管理工作,以及其他与
大赛有关的信息管理工作;
●建立大赛官网,不同身份的用户有不同的权限功能;
●建立大赛动态信息的及时发布及更新机制;
●建立在线沟通、交流、发表评论的及时通讯工具。
3.定义
JSP:
JavaServerPages
4.参考资料
[1]周桓,王殊宇.JSP项目开发全程实录[M].清华大学出版社.2008年6月.
[2]李建刚.JSP.网络编程技术与实践[M].清华大学出版社.2008年6月.
[3]薛军超.MySQL网络数据库开发[M].人民邮电出版社.2001年4月.
[4]户菊平,郭江杰.JSP+XML+CSS网络开发混合编程[M].电子工业出版
社.2006年5月.
[5]谭贞军,刘斌.Dreamweaver+Flash+Photoshop网页制作[M].清华大学出版社.2008年9月.
二.测试计划执行情况程
1.测试项目
Web应用开发——大赛信息管理系统
2.测试机构和人员
“大展宏图”软件开发小组成员
3.测试结果
测试成功,各项功能都顺利通过测试
三.软件需求测试结论
1.可行性测试
(1)证实的软件能力
可以在tomcat服务器上正常运行。
(2)局限性
必须安装MySQL和tomcat软件。
2.前台用户功能测试
(1)证实的软件能力
用户能正常注册、登入、查看与修改个人信息。
(2)局限性
缴费功能没能和银行连接。
3.管理员测试
(1)证实的软件能力
管理员能正常登入、查看与修改个人信息、灵活的分组权限管理能力。
升级会员 