中国石油信息安全标准
编号：
中国石油天然气股份公司Web系统安全管理规范
（审阅稿）
版本号：V3
审阅人：王巍
中国石油天然股份有限公司
目录
第1章 概述 3
1.1 概述 3
1.2 目标 3
1.3 范围 3
1.4 规范引用的文件或标准 4
1.5 术语和定义 4
第2章 WEB服务器操作系统的安全 7
2.1 Web服务器操作系统的安装和配置安全规范 7
2.2 操作系统的安全测试 12
2.3 操作系统安全检查表 13
第3章 WEB应用系统安全 15
3.1 Web应用系统安装的安全 15
3.2 Web应用系统的访问控制 16
3.3 Web应用系统的文件完整性检查 19
3.4 Web应用系统安装和配置的安全检查表 20
第4章 WEB内容安全 22
4.1 中国石油外部Web站点信息发布的安全规范 22
4.2 内容和动态内容生成的安全管理规范 24
4.3 Web内容的安全检查表 26
第5章 WEB网络安全 28
5.1 物理安全 28
5.2 Web服务器的网络位置 29
5.3 网络组件的安全规则配置 32
第6章 WEB服务器系统运行管理安全 35
6.1 系统的更新和修补流程 35
6.2 系统日志 35
6.3 系统备份 37
6.4 系统恢复 39
6.5 Web服务器定期安全测试 40
6.6 Web系统的远程管理 42
6.7 Web服务器安全管理检查表 43
第7章 员工使用WEB的安全规范 45
7.1 员工使用Web的规范 45
7.2 用户浏览Web站点时应遵守的规范 46
附录1 中国石油内部网站信息发布审批表 48
附录2 参考欧亿·体育（中国）有限公司 49
附录3 本规范用词说明 50
概述
概述
Web系统是互联网上信息交换的平台，是中国石油对内、对外交流的窗口，是企业员工获取信息的重要渠道。Web服务器也是企业信息系统中最容易遭受攻击的目标之一。为保护中国石油企业信息资产和信息系统安全，保障Web系统的保密性、可用性、完整性和可管理性特制定本规范。本规范从Web的技术、管理和人员使用三方面提出安全规定，包括Web服务器安全、Web服务器操作系统安全、Web内容安全、Web服务器网络安全和用户使用安全。
目标
保障中国石油企业信息资产安全，保护Web系统的可用性、完整性和保密性，规范用户安全使用Web。
范围
本标准规定了中国石油Web系统的技术、管理和使用的安全。
本标准适用于中国石油Web系统安全的维护和管理、内容发布。