web系统安全管理规范_030328_v3.docVIP

中国石油信息安全标准 编号： 中国石油天然气股份有限公司 Web系统安全管理规范 （审阅稿） 版本号：V3 审阅人：王巍 中国石油天然股份有限公司 目 录 第 1 章 概述 3 1.1 概述 3 1.2 目标 3 1.3 范围 3 1.4 规范引用的文件或标准 4 1.5 术语和定义 4 第 2 章 Web服务器操作系统的安全 7 2.1 Web服务器操作系统的安装和配置安全规范 7 2.2 操作系统的安全测试 12 2.3 操作系统安全检查表 13 第 3 章 Web应用系统安全 15 3.1 Web应用系统安装的安全 15 3.2 Web应用系统的访问控制 16 3.3 Web应用系统的文件完整性检查 19 3.4 Web应用系统安装和配置的安全检查表 20 第 4 章 Web内容安全 22 4.1 中国石油外部Web站点信息发布的安全规范 22 4.2 内容和动态内容生成的安全管理规范 24 4.3 Web内容的安全检查表 26 第 5 章 Web网络安全 28 5.1 物理安全 28 5.2 Web服务器的网络位置 29 5.3 网络组件的安全规则配置 32 第 6 章 Web服务器系统运行管理安全 35 6.1 系统的更新和修补流程 35 6.2 系统日志 35 6.3 系统备份 37 6.4 系统恢复 39 6.5 Web服务器定期安全测试 40 6.6