Web系统安全管理规范1doc.docx

1、Web系统安全管理规范1docWeb系统安全管理规范1编号：中国XX股份有限公司Web系统安全管理规范（审阅稿）第 1 章概述 (3)1.1 概述 (3)1.2 目标 (3)1.3 范围 (3)1.4 规范引用的文件或标准 (3)1.5 术语和定义 (4)第 2 章WEB服务器操作系统的安全 (7)2.1 Web服务器操作系统的安装和配置安全规范 (7)2.2 操作系统的安全测试 (11)2.3 操作系统安全检查表 (11)第 3 章WEB应用系统安全 (14)3.1 Web应用系统安装的安全 (14)3.2 Web应用系统的访问控制 (14)3.3 Web应用系统的文件完整性检查 (16)3

2、.4 Web应用系统安装和配置的安全检查表 (17)第 4 章WEB内容安全 (19)4.1 中国XX外部Web站点信息发布的安全规范 (19)4.2 内容和动态内容生成的安全管理规范 (20)4.3 Web内容的安全检查表 (22)第 5 章WEB网络安全 (25)5.1 物理安全 (25)5.2 Web服务器的网络位置 (25)5.3 网络组件的安全规则配置 (29)第 6 章WEB服务器系统运行管理安全 (32)6.1 系统的更新和修补流程 (32)6.2 系统日志 (32)6.3 系统备份 (34)6.4 系统恢复 (35)6.5 Web服务器定期安全测试 (36)6.6 Web系统的

3、远程管理 (37)6.7 Web服务器安全管理检查表 (38)第 7 章员工使用WEB的安全规范 (40)7.1 员工使用Web的规范 (40)7.2 用户浏览Web站点时应遵守的规范 (40)附录 1中国XX内部网站信息发布审批表 (42)附录 2参考资料 (43)附录 3本规范用词说明 (45)第1章概述1.1概述Web系统是互联网上信息交换的平台，是中国XX对内、对外交流的窗口，是企业员工获取信息的重要渠道。Web服务器也是企业信息系统中最容易遭受攻击的目标之一。为保护中国XX企业信息资产和信息系统安全，保障Web系统的保密性、可用性、完整性和可管理性特制定本规范。本规范从Web的技术、

4、管理和人员使用三方面提出安全规定，包括Web服务器安全、Web服务器操作系统安全、Web内容安全、Web服务器网络安全和用户使用安全。1.2目标保障中国XX企业信息资产安全，保护Web系统的可用性、完整性和保密性，规范用户安全使用Web。1.3范围本标准规定了中国XXWeb系统的技术、管理和使用的安全。本标准适用于中国XXWeb系统安全的维护和管理、内容发布。1.4规范引用的文件或标准下列文件中所包含的条款，通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。1.GB17859-1999 计算机信息系统安全保

5、护等级划分准则2.GB/T 9387.2-1995 信息处理系统开放系统互连基本参考模型第二部分安全体系结构（ISO7498.2 :1989）3.GA/T 387-2002 计算机信息系统安全等级保护网络技术要求4.计算机信息网络国际联网安全保护管理办法5.中华人民共和国计算机信息系统安全保护条例6.计算机信息网络国际联网保密管理规定7.中华人民共和国计算机信息网络国际联网管理暂行规定8.维护互联网安全的决定9.ISO/IEC TR 13355 信息技术安全管理指南ISO/IEC TR 13355 信息技术安全管理指南Web 应用开发大赛信息管理系统软件测试分析报告1Web应用开发大赛信息管理

6、系统测试分析报告学校名称：德州学院团队名称：大展宏图组长：王洪涛组员：朱文魁、张军伟、张庆杰、刘永辉指导老师：于学斗、任传成完成日期： 2009年8月文档修改历史记录序号修改人修改时间备注1 刘永辉2009-04-18 初稿2 刘永辉2009-04-25 完善中3 刘永辉2009-05-16 完善中4 刘永辉2009-05-18 完善中5 刘永辉2009-06-14 完善中6 刘永辉2009-06-20 完善中7 刘永辉2009-07-10 完善中8 刘永辉2009-07-13 完善中9 刘永辉2009-08-16 完善中10 刘永辉2009-08-19 完善中11 刘永辉2009-08-24

7、 完善中12 刘永辉2009-08-28 完善中13 王洪涛2009-08-30 完善中14 王洪涛2009-09-1 完善中15 刘永辉2009-09-5 完善中16 王洪涛2009-09-8 完善中17 刘永辉2009-09-10 完善中18 刘永辉2009-09-14 完善中19 王洪涛2009-09-15 成品一引言 (1)1编写目的 (1)2项目背景 (3)3定义 (3)4参考资料 (3)二测试计划执行情况程 (3)1测试项目 (4)2测试机构和人员 (4)3测试结果 (4)三软件需求测试结论 (4)1. 可行性测试 (4)2. 前台用户功能测试 (4)3. 管理员测试 (4)四评价

8、 (5)1软件能力 (5)2缺陷和限制 (5)3建议 (5)4测试结论 (5)一引言1编写目的本测试报告为Web应用开发大赛信息管理系统项目的测试分析报告，目的在于总结测试阶段的测试以及分析测试结果，描述系统是否符合大赛及项目策划书的预期需求。预期参考人员包括用户、测试人员、开发人员、项目管理者、及其他质量管理人员。2项目背景项目名称：Web应用开发大赛信息管理系统项目委托单位：山东省大学生软件设计及计算机专业外语大赛组委会项目开发单位：德州学院计算机系07，08级学生“大展宏图”软件开发小组项目简介：本系统主要实现齐鲁大学生软件设计及外语大赛的信息管理工作。其主要工作包括：各种用户（命题老师

9、、比赛指导教师、参赛选手、评审专家、系统管理员、大赛负责人、编辑、就业服务人员）及单位（大学生计算机协会、大赛赞助单位、参赛单位）的信息的后台管理工作，以及其他与大赛有关的信息管理工作；建立大赛官网，不同身份的用户有不同的权限功能；建立大赛动态信息的及时发布及更新机制；建立在线沟通、交流、发表评论的及时通讯工具。3定义JSP：Java Server Pages4参考资料1周桓,王殊宇. JSP项目开发全程实录M.清华大学出版社. 2008年6月.2李建刚. JSP.网络编程技术与实践M.清华大学出版社.2008年6月.3薛军超.MySQL网络数据库开发M.人民邮电出版社.2001年4月.4户菊

10、平,郭江杰.JSP+XML+CSS网络开发混合编程M.电子工业出版社.2006年5月.5谭贞军,刘斌.Dreamweaver+Flash+Photoshop网页制作M.清华大学出版社.2008年9月.二测试计划执行情况程1测试项目Web应用开发大赛信息管理系统2测试机构和人员“大展宏图”软件开发小组成员3测试结果测试成功，各项功能都顺利通过测试三软件需求测试结论1.可行性测试(1)证实的软件能力可以在tomcat服务器上正常运行。(2)局限性必须安装MySQL和tomcat软件。2.前台用户功能测试(1)证实的软件能力用户能正常注册、登入、查看与修改个人信息。(2)局限性缴费功能没能和银行连接。3.管理员测试(1)证实的软件能力管理员能正常登入、查看与修改个人信息、灵活的分组权限管理能力。