(系统安全开发与改造规.docVIP

胜利石油管理局企业标准 Q/SL TEC-d－2002 WEB系统安全开发和改造规范 1规范解释权 胜利油田信息中心网络标准和规范小组 2范围 本标准规定了局胜利石油管理局WEB系统的开发与改造规范。 本标准适用于胜利油田（企业内部）WEB开发与改造的全过程。 如果没有特别说明，这里所说的安全措施将适用于胜利油田所有（两种）安全级别的要求。 3引用标准 下列标准包含的条文，通过本标准中引用而构成本标准的条文。所有标准都会被修订。使用本标准的各方应探讨使用本标准最新版本的可能性。 4术语定义 4.1 Web安全风险分类： 一般可以分为三类： 对Web服务器及其相连LAN的威胁 对服务器和客户机之间的通信信道的威胁 对Web客户机的威胁 但我们这里所指的安全,主要讨论前两部分，对客户机的威胁，我们这里不做论述。 在此基础上，我们对胜利油田相应的WEB服务器端安全做出分类级别，如下： 保密级别 在这种WEB服务器中，其内容涉及胜利油田的一些重要机密，或者其内容一旦外泄，可能对胜利油田造成重大损失，还有一些可能在政策上不应让外人知道的内容。主要包括了党政办工中有重要信息不能外泄的WEB服务。还包括一些单位的电子商务应用。 非保密级别 其中的内容没有上面所说的任何方面，或者其外泄或损坏不会造成人力、物力或财力等方面的重大损失的应用。在我们的规范中，对相应的级别做了以下分类，具体应