XX網(wǎng)站備案資料模板

1、XX 網(wǎng)站備案資料（模板）網(wǎng)站名稱：建設(shè)單位：申請時間：目錄XX網(wǎng)站技術(shù)資料XXXX網(wǎng)站安全測試報告XXXX網(wǎng)站管理辦法XXXX網(wǎng)站應(yīng)急預(yù)案XX（其它資料和附件）XXXX 網(wǎng)站技術(shù)資料（參考模板）一、網(wǎng)站開發(fā)技術(shù)1、網(wǎng)站開發(fā)使用的技術(shù)包括：（列出開發(fā)平臺、開發(fā)工具、數(shù)據(jù)庫類型等）。2、網(wǎng)站開發(fā)基于XX 平臺，使用了 XX 組建（列出具體的平臺、組件名稱、版本，包括開源、免費或商業(yè)產(chǎn)品）。3、前臺欄目包括： XX，后臺主要功能包括： XX（列出網(wǎng)站站前后臺主要結(jié)構(gòu)、組成，可根據(jù)需要配圖）。4、網(wǎng)站的主要功能，（明確列出各類功能，如用戶注冊、留言、論壇、郵件等）。5、其它需要說明的技術(shù)特性。二、網(wǎng)

2、站安全防護技術(shù)1、網(wǎng)站使用的防攻擊、防入侵、防注入的技術(shù)有：（列出具體使用的方法、技術(shù)、防護軟件等） 。3、網(wǎng)站后臺管理系統(tǒng)采用的安全措施有：（請列出是否使用SSL 、用戶認證與管理、內(nèi)容管理、內(nèi)容審核措施和技術(shù)等）。4、數(shù)據(jù)庫系統(tǒng)采用的安全防護技術(shù)有： （列出底層數(shù)據(jù)是否加密存儲、數(shù)據(jù)庫用戶權(quán)限設(shè)定等） 。5、其它需要說明的安全特性或安全需求有：（請具體列出）。三、網(wǎng)站安裝配置1、運行環(huán)境需求：操作系統(tǒng)：（列出類型、版本）Web 服務(wù)器：（列出類型、版本）中間件：（列出類型、版本）數(shù)據(jù)庫系統(tǒng)：（列出類型、版本）2、運行環(huán)境設(shè)置說明（即運行環(huán)境默認設(shè)置之外需要專門的設(shè)置）：操作系統(tǒng)需要開啟的特

3、殊服務(wù)： （請具體列出）。需要添加的用戶帳號：（請具體列出）。網(wǎng)站目錄或文件需要特別賦予的權(quán)限： （請具體列出）。Web 服務(wù)器需要的特殊設(shè)置：（例如啟用某種腳本支持、啟用父目錄支持、添加特殊的 MIME 編碼等）。3、網(wǎng)站安裝的簡要步驟：（請說明安裝步驟和方法）4、其它需要說明的技術(shù)特性： （請具體列出）。四、網(wǎng)站開發(fā)單位和人員信息1、網(wǎng)站開發(fā)單位簡要信息：開發(fā)單位：（請具體列出）。項目負責人：（請具體列出）。聯(lián)系方式：（請具體列出）。XX 網(wǎng)站安全測試報告（參考模板）一、測試方案（詳細說明測試環(huán)境、測試內(nèi)容、測試工具和測試過程。測試內(nèi)容至少應(yīng)包括以下項目：序號測試項目項目內(nèi)容通過網(wǎng)站瀏覽、

4、搜索引擎等公開信息獲取途徑，是否能夠獲得包1信息泄露括操作系統(tǒng)類型、應(yīng)用類型、用戶帳號、系統(tǒng)配置等信息，并直接發(fā)現(xiàn)漏洞。2端口掃描是否能夠通過端口掃描，獲得開放的服務(wù)數(shù)量和類型信息，為攻擊提供依據(jù)。3溢出測試是否能夠通過系統(tǒng)溢出攻擊直接獲得系統(tǒng)控制權(quán)限。注意溢出測試可能導(dǎo)致系統(tǒng)死機，應(yīng)謹慎進行。4SQL注入是否具備防止 SQL注入的過濾、屏蔽措施，防止通過SQL注入獲取、篡改、控制網(wǎng)站數(shù)據(jù)庫中的信息。5跨站腳本通過 Web 掃描軟件檢查是否存在跨站腳本（XSS）漏洞，使攻擊者可以借助網(wǎng)站來攻擊訪問網(wǎng)站的用戶。針對 Web及數(shù)據(jù)庫服務(wù)器進行檢查，包括：應(yīng)用系統(tǒng)架構(gòu)是否能夠防止用戶繞過系統(tǒng)直接修改

5、數(shù)據(jù)庫。6Web訪問控制漏身份認證模塊是否能夠防止非法用戶繞過身份認證。洞數(shù)據(jù)庫接口模塊是否能夠防止用戶獲取系統(tǒng)權(quán)限。文件接口模塊是否能夠防止用戶獲取系統(tǒng)文件。是否存在其它訪問控制安全漏洞。7代碼檢查是否存在會導(dǎo)致安全問題的不安全編碼技術(shù)和漏洞，包括：跨站腳本漏洞， SQL注入漏洞，緩沖區(qū)溢出，其它編程錯誤和漏洞。8輔助軟件漏洞除操作系統(tǒng)、服務(wù)軟件和數(shù)據(jù)庫以外，系統(tǒng)中安裝使用的輔助軟件，是否存在安全漏洞或錯誤設(shè)置。9Cookie 處理是否存在不安全的 Cookie 使用處理，如使用Cookie保存密碼等敏感信息，使入侵者可能通過篡改Cookie 內(nèi)容，獲取用戶帳號。10后門程序檢查是否存在遺留

6、的后門和調(diào)試選項，導(dǎo)致被入侵者利用， 實施攻擊。通過字典方式或者通過窮舉法破解用戶密碼，檢查是否存在可以11 密碼破解快速破解的弱密碼。12敏感信息保護檢查分析是否存在通過網(wǎng)絡(luò)進行密碼或敏感信息的明文傳輸。）二、測試結(jié)果（詳細說明是否發(fā)現(xiàn)安全漏洞， 如果發(fā)現(xiàn)安全漏洞應(yīng)說明漏洞位置、類型）三、存在問題和解決方法（針對測試中發(fā)現(xiàn)問題，進行了什么處理，以及處理結(jié)果）四、測試結(jié)論測試時間：測試單位（蓋章）：負 責 人（簽名）：XX 網(wǎng)站管理辦法（參考模板）（各單位根據(jù)實際情況補充完善）XX 網(wǎng)站是我單位在網(wǎng)絡(luò)上的形象工程和對外交流的有效渠道，為了提高網(wǎng)站管理質(zhì)量， 根據(jù)軍內(nèi)有關(guān)法規(guī)標準和 第四軍醫(yī)大學(xué)

7、網(wǎng)站建設(shè)管理規(guī)定，制定本辦法。第一條 網(wǎng)站管理工作由網(wǎng)站負責領(lǐng)導(dǎo)統(tǒng)籌安排， 網(wǎng)絡(luò)管理員具體實施。第二條 新建、改建、停用網(wǎng)站需經(jīng)過上級領(lǐng)導(dǎo)、學(xué)校技檢辦和學(xué)校保密辦審核批準，并報學(xué)校網(wǎng)絡(luò)中心備案。第三條 當單位新增重要業(yè)務(wù)時， 網(wǎng)站欄目應(yīng)隨之增加； 當單位停止某項業(yè)務(wù)時， 網(wǎng)站相關(guān)欄目應(yīng)及時刪除。 增刪欄目均需經(jīng)過網(wǎng)站負責領(lǐng)導(dǎo)批準。第四條 所屬人員應(yīng)將負責的重要業(yè)務(wù)動態(tài)信息及時上報網(wǎng)站管理員，由管理員交相關(guān)領(lǐng)導(dǎo)審核后，及時發(fā)布，最遲不超過一周。第五條 運行在校園網(wǎng)（互聯(lián)網(wǎng)）上的單位網(wǎng)站不能含有任何涉密信息，運行在園區(qū)網(wǎng)（軍網(wǎng)）上的單位網(wǎng)站不能含有秘密級以上的信息。第六條 在單位網(wǎng)站上發(fā)布信息必須

8、經(jīng)過網(wǎng)站負責領(lǐng)導(dǎo)審核， 并做好發(fā)布記錄，具體發(fā)布和備案工作有網(wǎng)站管理員完成。第七條 單位網(wǎng)站應(yīng)及時更新，動態(tài)信息應(yīng)至少每周更新一次，靜態(tài)信息應(yīng)至少每月檢查更新一次。第八條單位網(wǎng)站至少每周備份一次， 重要操作后隨時備份， 備份數(shù)據(jù)保留期限不少于一個月。第九條 單位網(wǎng)站至少每月安全檢查一次，及時安裝漏洞補丁，并升級操作系統(tǒng)、 防病毒防火墻軟件和數(shù)據(jù)庫軟件。 單位網(wǎng)站管理維護用機也應(yīng)做好全面安全防護。第十條 網(wǎng)站管理員應(yīng)擔負網(wǎng)站的值勤工作，確保工作日按時在崗，節(jié)假日 24 小時通訊暢通。第十一條 網(wǎng)站負責領(lǐng)導(dǎo)應(yīng)確保有兩名人員能夠獨立完成網(wǎng)站核心管理工作，一旦發(fā)生關(guān)鍵人員不在崗的緊急情況， 可由備用人

9、員接替管理。第十二條 因網(wǎng)站管理不善發(fā)生失泄密事件，依據(jù)中國人民解放軍紀律條令和有關(guān)法律法規(guī)，對信息提供者、網(wǎng)站管理員和網(wǎng)站負責領(lǐng)導(dǎo)給予處罰；構(gòu)成犯罪的，移交司法機關(guān)依法追究其刑事責任。XX 網(wǎng)站應(yīng)急預(yù)案（參考模板）（各單位根據(jù)實際情況補充完善）一、網(wǎng)站上出現(xiàn)非法、不良言論1、網(wǎng)站管理員應(yīng)進行技術(shù)檢查，判斷非法言論提交的途徑，確認網(wǎng)站是否受到攻擊；2、如果確認非法言論是由留言板或者BBS 提交，網(wǎng)站運行正常，則登陸網(wǎng)站管理后臺刪除或隱藏信息即可；否則按網(wǎng)頁被篡改處理，（請建設(shè)單位明確具體操作流程與方法）。3、如網(wǎng)站管理員無法刪除非法言論或確定網(wǎng)站可能被篡改或受到攻擊，應(yīng)立即向網(wǎng)站負責領(lǐng)導(dǎo)匯報，

10、同時聯(lián)系網(wǎng)絡(luò)中心，由網(wǎng)絡(luò)中心暫停網(wǎng)站運行。4、網(wǎng)站管理員應(yīng)立即對整個網(wǎng)站數(shù)據(jù)進行備份（包括非法言論）以便進一步處理。5、估計可能造成的影響，確定是否向上級領(lǐng)導(dǎo)和學(xué)校相關(guān)單位匯報。二、網(wǎng)頁被篡改1、網(wǎng)站管理員應(yīng)立即聯(lián)系網(wǎng)絡(luò)中心，由網(wǎng)絡(luò)中心暫停網(wǎng)站運行或進行技術(shù)處理。網(wǎng)站管理員應(yīng)保護被篡改網(wǎng)頁，以便追查。2、網(wǎng)站管理員及時向負責領(lǐng)導(dǎo)匯報，根據(jù)可能造成的影響，確定是否向上級領(lǐng)導(dǎo)和學(xué)校相關(guān)單位匯報。3、網(wǎng)站管理員應(yīng)立即對整個網(wǎng)站數(shù)據(jù)進行備份（包括被篡改網(wǎng)頁）。4、排查并修復(fù)技術(shù)漏洞，進行被篡改網(wǎng)站的恢復(fù)與重建工作，如遇無法解決的問題，應(yīng)立即向網(wǎng)站制作公司或網(wǎng)站作者請求幫助。（請建設(shè)單位具體明確操作流程與方法）三、網(wǎng)站上存在異常文件（木馬、病毒等）1、當發(fā)現(xiàn)網(wǎng)站感染有病毒或木馬文件后， 應(yīng)立即聯(lián)系網(wǎng)絡(luò)中心，報告異常文件的存放的路徑， 由網(wǎng)絡(luò)中心暫停網(wǎng)站運行或進行技術(shù)