XX网站备案资料（模板）.doc

XX网站备案资料（模板） 网站名称： 建设单位： 申请时间：  目 录 XX网站技术资料…………………………………………………XX XX网站安全测试报告……………………………………………XX XX网站管理办法…………………………………………………XX XX网站应急预案…………………………………………………XX （其它资料和附件）……………………………………………XX XX网站技术资料（参考模板） 一、网站开发技术 1、网站开发使用的技术包括：（列出开发平台、开发工具、数据库类型等）。 2、网站开发基于XX平台，使用了XX组建（列出具体的平台、组件名称、版本，包括开源、免费或商业产品）。 3、前台栏目包括：XX，后台主要功能包括：XX（列出网站站前后台主要结构、组成，可根据需要配图）。 4、网站的主要功能，（明确列出各类功能，如用户注册、留言、论坛、邮件等）。 5、其它需要说明的技术特性。 二、网站安全防护技术 1、网站使用的防攻击、防入侵、防注入的技术有：（列出具体使用的方法、技术、防护软件等）。 3、网站后台管理系统采用的安全措施有：（请列出是否使用SSL、用户认证与管理、内容管理、内容审核措施和技术等）。 4、数据库系统采用的安全防护技术有：（列出底层数据是否加密存储、数据库用户权限设定等）。 5、其它需要说明的安全特性或安全需求有：（请具体列出）。 三、网站安装配置 1、运行环境需求： 操作系统：（列出类型、版本） Web服务器：（列出类型、版本） 中间件：（列出类型、版本） 数据库系统：（列出类型、版本） 2、运行环境设置说明（即运行环境默认设置之外需要专门的设置）： 操作系统需要开启的特殊服务：（请具体列出）。 需要添加的用户帐号：（请具体列出）。 网站目录或文件需要特别赋予的权限：（请具体列出）。 Web服务器需要的特殊设置：（例如启用某种脚本支持、启用父目录支持、添加特殊的MIME编码等）。 3、网站安装的简要步骤： （请说明安装步骤和方法） 4、其它需要说明的技术特性：（请具体列出）。 四、网站开发单位和人员信息 1、网站开发单位简要信息： 开发单位：（请具体列出）。 项目负责人：（请具体列出）。 联系方式：（请具体列出）。 XX网站安全测试报告（参考模板） 一、测试方案 （详细说明测试环境、测试内容、测试工具和测试过程。测试内容至少应包括以下项目： 序号 测试项目 项目内容 1 信息泄露 通过网站浏览、有哪些信誉好的足球投注网站引擎等公开信息获取途径，是否能够获得包括操作系统类型、应用类型、用户帐号、系统配置等信息，并直接发现漏洞。 2 端口扫描 是否能够通过端口扫描，获得开放的服务数量和类型信息，为攻击提供依据。 3 溢出测试 是否能够通过系统溢出攻击直接获得系统控制权限。注意溢出测试可能导致系统死机，应谨慎进行。 4 SQL注入 是否具备防止SQL注入的过滤、屏蔽措施，防止通过SQL注入获取、篡改、控制网站数据库中的信息。 5 跨站脚本 通过Web扫描软件检查是否存在跨站脚本（XSS）漏洞，使攻击者可以借助网站来攻击访问网站的用户。 6 Web访问控制漏洞 针对Web及数据库服务器进行检查，包括： ①应用系统架构是否能够防止用户绕过系统直接修改数据库。 ②身份认证模块是否能够防止非法用户绕过身份认证。 ③数据库接口模块是否能够防止用户获取系统权限。 ④文件接口模块是否能够防止用户获取系统文件。 ⑤是否存在其它访问控制安全漏洞。 7 代码检查 是否存在会导致安全问题的不安全编码技术和漏洞，包括：跨站脚本漏洞，SQL注入漏洞，缓冲区溢出，其它编程错误和漏洞。 8 辅助软件漏洞 除操作系统、服务软件和数据库以外，系统中安装使用的辅助软件，是否存在安全漏洞或错误设置。 9 Cookie处理 是否存在不安全的Cookie使用处理，如使用Cookie保存密码等敏感信息，使入侵者可能通过篡改Cookie内容，获取用户帐号。 10 后门程序检查 是否存在遗留的后门和调试选项，导致被入侵者利用，实施攻击。 11 密码破解 通过字典方式或者通过穷举法破解用户密码，检查是否存在可以快速破解的弱密码。 12 敏感信息保护 检查分析是否存在通过网络进行密码或敏感信息的明文传输。 ） 二、测试结果 （详细说明是否发现安全漏洞，如果发现安全漏洞应说明漏洞位置、类型） 三、存在问题和解决方法 （针对测试中发现问题，进行了什么处理，以及处理结果） 四、测试结论 测 试 时 间： 测试单位（盖章）： 负 责 人（签名）：