為了加強本市政府網(wǎng)站的安全建設(shè), 確保政府網(wǎng)站的整體安全, 根據(jù)《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等法律法規(guī)的規(guī)定,現(xiàn)提出如下試行意見:
一、安全建設(shè)的管理體制
本市政府網(wǎng)站由"中國上海"政府門戶網(wǎng)站(以下簡稱門戶網(wǎng)站)和市政府各部門網(wǎng)站、各區(qū)縣政府網(wǎng)站(以下統(tǒng)稱部門網(wǎng)站)組成。
?。ㄒ唬┥虾J袊窠?jīng)濟和社會信息化領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)一部署全市信息安全工作。上海市信息網(wǎng)絡(luò)安全協(xié)調(diào)辦公室(以下簡稱市網(wǎng)安辦)負(fù)責(zé)本市政府網(wǎng)站安全建設(shè)和運行管理的具體組織協(xié)調(diào)和指導(dǎo)監(jiān)督工作。
市公安局、市國家安全局、市國家保密局、市委機要局、市政府新聞辦、市通信管理局等部門按照國家和本市有關(guān)規(guī)定, 在各自職責(zé)范圍內(nèi)做好政府網(wǎng)站安全建設(shè)的管理工作。
(二)門戶網(wǎng)站運行管理單位是門戶網(wǎng)站安全建設(shè)工作的責(zé)任單位, 負(fù)責(zé)門戶網(wǎng)站主網(wǎng)范圍內(nèi)的安全系統(tǒng)建設(shè)和運行管理, 以及對部門網(wǎng)站信息安全工作的聯(lián)絡(luò)、指導(dǎo)和協(xié)調(diào)工作。部門網(wǎng)站運行管理單位是部門網(wǎng)站安全建設(shè)工作的責(zé)任單位, 負(fù)責(zé)部門網(wǎng)站的安全系統(tǒng)建設(shè)和運行管理, 并確保與門戶網(wǎng)站交互的信息的安全性。
(三)門戶網(wǎng)站和部門網(wǎng)站的運行管理單位應(yīng)當(dāng)明確相應(yīng)的信息安全責(zé)任人。部門網(wǎng)站信息安全責(zé)任人以《上海市信息化辦公室、上海市信息網(wǎng)絡(luò)安全協(xié)調(diào)辦公室關(guān)于印發(fā)〈上海市重點部門/單位信息安全工作責(zé)任人名單〉的通知》(滬信息辦安[2001]118號)中確定的人員為基礎(chǔ)。
二、安全建設(shè)的技術(shù)要求
門戶網(wǎng)站和部門網(wǎng)站的基本運行環(huán)境、信息發(fā)布系統(tǒng)和通用應(yīng)用系統(tǒng)的安全建設(shè)應(yīng)當(dāng)符合下列技術(shù)要求:
(一)機房建設(shè)
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)安排專用機房(自建或者托管), 安置關(guān)鍵設(shè)備及電源系統(tǒng)。機房建設(shè)的技術(shù)要求可參照《電子計算機場地通用規(guī)范》(GB/T 2887-2000)和《計算機場地安全要求》(GB/T 9361-1988)
?。ǘ┚W(wǎng)絡(luò)安全發(fā)布系統(tǒng)
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)安全發(fā)布系統(tǒng), 以防止網(wǎng)絡(luò)黑客對頁面的非法篡改, 并使網(wǎng)站具備應(yīng)急恢復(fù)的能力。網(wǎng)絡(luò)安全發(fā)布系統(tǒng)占用系統(tǒng)資源百分比的均值不得超過5%, 峰值不得超過15%。
?。ㄈ╇娮庸娣?wù)內(nèi)容過濾系統(tǒng)
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)建設(shè)電子公告服務(wù)內(nèi)容過濾系統(tǒng), 對電子公告服務(wù)活動進行實時監(jiān)管, 重點加強對電子公告板和聊天室的內(nèi)容過濾, 對黃色、反動、暴力等不良信息及其發(fā)布者及時進行處理, 以維護網(wǎng)站的內(nèi)容健康。
(四)防火墻系統(tǒng)
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)建設(shè)防火墻系統(tǒng), 采用IP包過濾、應(yīng)用代理、地址轉(zhuǎn)換、訪問控制等手段提高防御網(wǎng)絡(luò)黑客攻擊的能力。防火墻系統(tǒng)的網(wǎng)絡(luò)吞吐量應(yīng)當(dāng)高于10兆比特/秒, 且應(yīng)當(dāng)具備完善的日志記錄和分析功能。
(五)病毒防治系統(tǒng)
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)建設(shè)計算機病毒防治系統(tǒng), 通過控制信息的出入口, 防止病毒入侵并對已經(jīng)入侵的病毒及時進行檢測和清除。病毒防治系統(tǒng)應(yīng)當(dāng)具備定期掃描功能和實時檢測功能。應(yīng)當(dāng)優(yōu)先選用能夠自動網(wǎng)上升級的病毒防治系統(tǒng), 無法實現(xiàn)自動網(wǎng)上升級的, 必須由人工及時做好病毒樣本庫和病毒防治系統(tǒng)的升級工作。門戶網(wǎng)站和有條件的部門網(wǎng)站應(yīng)當(dāng)以一套病毒防治系統(tǒng)為主覆蓋所有的主機, 輔以一至兩套不同廠商的產(chǎn)品進行單點定期掃描。
?。┼]件過濾系統(tǒng)
門戶網(wǎng)站和有條件的部門網(wǎng)站應(yīng)當(dāng)建設(shè)郵件過濾系統(tǒng), 對郵件的標(biāo)題、正文和文本附件的內(nèi)容進行檢查和過濾, 對不同性質(zhì)的非法郵件和可疑郵件作相應(yīng)的處理, 封堵垃圾郵件和郵件炸彈, 確保網(wǎng)上的郵件系統(tǒng)用于正常的公務(wù)活動, 防止惡意使用者利用服務(wù)器大量轉(zhuǎn)發(fā)不良郵件。
?。ㄆ撸┚W(wǎng)絡(luò)入侵檢測系統(tǒng)
門戶網(wǎng)站和有條件的部門應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)入侵檢測系統(tǒng), 主動監(jiān)視和審計網(wǎng)絡(luò)異常情況, 并對網(wǎng)絡(luò)入侵檢測系統(tǒng)的入侵模式規(guī)則庫進行及時更新或者升級。網(wǎng)絡(luò)入侵檢測系統(tǒng)本身應(yīng)當(dāng)具有的抗攻擊能力。
?。ò耍┚W(wǎng)絡(luò)設(shè)備及主機漏洞掃描系統(tǒng)
門戶網(wǎng)站和有條件的部門網(wǎng)站應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)設(shè)備及主機漏洞掃描系統(tǒng), 通過定期掃描主要網(wǎng)絡(luò)設(shè)備和主機增強安全管理能力, 并對掃描系統(tǒng)的漏洞及弱點規(guī)則庫進行及時更新或者升級。掃描系統(tǒng)除具有檢測功能外, 還應(yīng)當(dāng)能提供盡量詳盡的解決措施或者建議。
三、安全建設(shè)的工作制度
門戶網(wǎng)站和部門網(wǎng)站的安全建設(shè)應(yīng)當(dāng)建立下列工作制度:
(一)定期備份制度
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)對重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份, 以便應(yīng)急恢復(fù)。特別重要的部門還應(yīng)當(dāng)對重要文件和數(shù)據(jù)進行異地備份。
?。ǘ┛诹罟芾碇贫?/p>
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)為重要設(shè)備和系統(tǒng)設(shè)置口令。口令的位數(shù)不應(yīng)少于8位, 且不應(yīng)與管理者個人信息、單位信息、設(shè)備(系統(tǒng))信息等相關(guān)聯(lián)。對設(shè)置的口令應(yīng)當(dāng)有嚴(yán)格的管理制度以防止泄露。
?。ㄈC房管理制度
門戶網(wǎng)站和部門網(wǎng)站機房應(yīng)當(dāng)建立嚴(yán)格的門禁制度和日常管理制度, 機房及機房內(nèi)所有設(shè)備都應(yīng)當(dāng)由專人負(fù)責(zé)管理, 每日應(yīng)有機房值班記錄、出入人員記錄和各主要設(shè)備運行情況的記錄。外來的系統(tǒng)維護人員進入機房, 應(yīng)當(dāng)由值班人員陪同并對其工作內(nèi)容做詳細(xì)記錄。
(四)系統(tǒng)投入運行前的安全測評制度
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)由上海市信息安全測評認(rèn)證中心按照《計算機信息系統(tǒng)安全測評通用技術(shù)規(guī)范》的要求, 對其系統(tǒng)安全性進行測評。新建網(wǎng)站需經(jīng)測評合格后, 方可正式投入運行。已建成投入使用的網(wǎng)站, 應(yīng)當(dāng)按照上述要求予以補測。
?。ㄎ澹┫到y(tǒng)運行期間的定期檢測和升級制度
鑒于網(wǎng)絡(luò)安全建設(shè)動態(tài)發(fā)展和不斷更新的特點, 門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)對系統(tǒng)漏洞和弱點進行定期檢測, 并根據(jù)檢測的結(jié)果采取相應(yīng)的措施。要及時對操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件進行補丁包升級或者版本升級, 以防黑客利用系統(tǒng)漏洞和弱點非法入侵。
?。?yīng)急響應(yīng)制度
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)充分估計各種突發(fā)事件的可能性, 做好應(yīng)急響應(yīng)方案, 進行定期演練。同時, 要與崗位責(zé)任制度相結(jié)合, 保證應(yīng)急響應(yīng)方案的及時實施, 將損失降到最低程度。
?。ㄆ撸┌踩录蟾婕疤幚碇贫?/p>
門戶網(wǎng)站和部門網(wǎng)站在發(fā)生安全突發(fā)事件后, 除在第一時間組織人員進行解決外, 應(yīng)當(dāng)及時向市網(wǎng)安辦報告。市網(wǎng)安辦應(yīng)當(dāng)給予及時的指導(dǎo)和必要的技術(shù)支持, 同時將部門網(wǎng)站報告的情況反饋給門戶網(wǎng)站, 并視安全突發(fā)事件的嚴(yán)重程度, 及時協(xié)調(diào)公安、電信等部門進行處理。電信等部門和單位應(yīng)當(dāng)按照政府網(wǎng)站安全優(yōu)先的原則, 采取增加臨時通信帶寬和封堵非法IP訪問地址等方面的措施。
(八)人員管理制度
門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)制定詳細(xì)的工作人員管理制度, 明確工作人員的職責(zé)和權(quán)限。要通過定期開展業(yè)務(wù)培訓(xùn), 提高人員素質(zhì), 重點加強負(fù)責(zé)系統(tǒng)操作和維護工作的人員的培訓(xùn)考核工作, 實行考核上崗制度。同時, 規(guī)范人員調(diào)離制度, 做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。
四、其它事項
門戶網(wǎng)站和部門網(wǎng)站建設(shè)中所選用的安全產(chǎn)品應(yīng)當(dāng)同時具備公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》(產(chǎn)品目錄參考網(wǎng)址:www.mctc.gov.cn)和中國國家安全測評認(rèn)證中心頒發(fā)的《國家信息安全認(rèn)證產(chǎn)品型號證書》(產(chǎn)品目錄參考網(wǎng)址:www.itsec.gov.cn) , 以確保系統(tǒng)的先進性、穩(wěn)定性和可靠性。
實行服務(wù)器托管的部門網(wǎng)站, 應(yīng)當(dāng)了解托管服務(wù)提供商在安全防護方面采取的具體措施和手段, 確保達到上述技術(shù)要求。