為了加強本市政府網(wǎng)站的安全建設, 確保政府網(wǎng)站的整體安全, 根據(jù)《全國人大常委會關于維護互聯(lián)網(wǎng)安全的決定》、《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》等法律法規(guī)的規(guī)定,現(xiàn)提出如下試行意見: 

  一、安全建設的管理體制

  本市政府網(wǎng)站由"中國上海"政府門戶網(wǎng)站(以下簡稱門戶網(wǎng)站)和市政府各部門網(wǎng)站、各區(qū)縣政府網(wǎng)站(以下統(tǒng)稱部門網(wǎng)站)組成。

 ?。ㄒ唬┥虾J袊窠?jīng)濟和社會信息化領導小組負責統(tǒng)一部署全市信息安全工作。上海市信息網(wǎng)絡安全協(xié)調辦公室(以下簡稱市網(wǎng)安辦)負責本市政府網(wǎng)站安全建設和運行管理的具體組織協(xié)調和指導監(jiān)督工作。

  市公安局、市國家安全局、市國家保密局、市委機要局、市政府新聞辦、市通信管理局等部門按照國家和本市有關規(guī)定, 在各自職責范圍內做好政府網(wǎng)站安全建設的管理工作。

 ?。ǘ╅T戶網(wǎng)站運行管理單位是門戶網(wǎng)站安全建設工作的責任單位, 負責門戶網(wǎng)站主網(wǎng)范圍內的安全系統(tǒng)建設和運行管理, 以及對部門網(wǎng)站信息安全工作的聯(lián)絡、指導和協(xié)調工作。部門網(wǎng)站運行管理單位是部門網(wǎng)站安全建設工作的責任單位, 負責部門網(wǎng)站的安全系統(tǒng)建設和運行管理, 并確保與門戶網(wǎng)站交互的信息的安全性。

 ?。ㄈ╅T戶網(wǎng)站和部門網(wǎng)站的運行管理單位應當明確相應的信息安全責任人。部門網(wǎng)站信息安全責任人以《上海市信息化辦公室、上海市信息網(wǎng)絡安全協(xié)調辦公室關于印發(fā)〈上海市重點部門/單位信息安全工作責任人名單〉的通知》(滬信息辦安[2001]118號)中確定的人員為基礎。

  二、安全建設的技術要求

  門戶網(wǎng)站和部門網(wǎng)站的基本運行環(huán)境、信息發(fā)布系統(tǒng)和通用應用系統(tǒng)的安全建設應當符合下列技術要求:

 ?。ㄒ唬C房建設

  門戶網(wǎng)站和部門網(wǎng)站應當安排專用機房(自建或者托管), 安置關鍵設備及電源系統(tǒng)。機房建設的技術要求可參照《電子計算機場地通用規(guī)范》(GB/T 2887-2000)和《計算機場地安全要求》(GB/T 9361-1988) 

 ?。ǘ┚W(wǎng)絡安全發(fā)布系統(tǒng)

  門戶網(wǎng)站和部門網(wǎng)站應當建設網(wǎng)絡安全發(fā)布系統(tǒng), 以防止網(wǎng)絡黑客對頁面的非法篡改, 并使網(wǎng)站具備應急恢復的能力。網(wǎng)絡安全發(fā)布系統(tǒng)占用系統(tǒng)資源百分比的均值不得超過5%, 峰值不得超過15%。

 ?。ㄈ╇娮庸娣諆热葸^濾系統(tǒng)

  門戶網(wǎng)站和部門網(wǎng)站應當建設電子公告服務內容過濾系統(tǒng), 對電子公告服務活動進行實時監(jiān)管, 重點加強對電子公告板和聊天室的內容過濾, 對黃色、反動、暴力等不良信息及其發(fā)布者及時進行處理, 以維護網(wǎng)站的內容健康。

 ?。ㄋ模┓阑饓ο到y(tǒng)

  門戶網(wǎng)站和部門網(wǎng)站應當建設防火墻系統(tǒng), 采用IP包過濾、應用代理、地址轉換、訪問控制等手段提高防御網(wǎng)絡黑客攻擊的能力。防火墻系統(tǒng)的網(wǎng)絡吞吐量應當高于10兆比特/秒, 且應當具備完善的日志記錄和分析功能。

 ?。ㄎ澹┎《痉乐蜗到y(tǒng)

  門戶網(wǎng)站和部門網(wǎng)站應當建設計算機病毒防治系統(tǒng), 通過控制信息的出入口, 防止病毒入侵并對已經(jīng)入侵的病毒及時進行檢測和清除。病毒防治系統(tǒng)應當具備定期掃描功能和實時檢測功能。應當優(yōu)先選用能夠自動網(wǎng)上升級的病毒防治系統(tǒng), 無法實現(xiàn)自動網(wǎng)上升級的, 必須由人工及時做好病毒樣本庫和病毒防治系統(tǒng)的升級工作。門戶網(wǎng)站和有條件的部門網(wǎng)站應當以一套病毒防治系統(tǒng)為主覆蓋所有的主機, 輔以一至兩套不同廠商的產(chǎn)品進行單點定期掃描。

 ?。┼]件過濾系統(tǒng)

  門戶網(wǎng)站和有條件的部門網(wǎng)站應當建設郵件過濾系統(tǒng), 對郵件的標題、正文和文本附件的內容進行檢查和過濾, 對不同性質的非法郵件和可疑郵件作相應的處理, 封堵垃圾郵件和郵件炸彈, 確保網(wǎng)上的郵件系統(tǒng)用于正常的公務活動, 防止惡意使用者利用服務器大量轉發(fā)不良郵件。

 ?。ㄆ撸┚W(wǎng)絡入侵檢測系統(tǒng)

  門戶網(wǎng)站和有條件的部門應當建設網(wǎng)絡入侵檢測系統(tǒng), 主動監(jiān)視和審計網(wǎng)絡異常情況, 并對網(wǎng)絡入侵檢測系統(tǒng)的入侵模式規(guī)則庫進行及時更新或者升級。網(wǎng)絡入侵檢測系統(tǒng)本身應當具有的抗攻擊能力。 

 ?。ò耍┚W(wǎng)絡設備及主機漏洞掃描系統(tǒng)

  門戶網(wǎng)站和有條件的部門網(wǎng)站應當建設網(wǎng)絡設備及主機漏洞掃描系統(tǒng), 通過定期掃描主要網(wǎng)絡設備和主機增強安全管理能力, 并對掃描系統(tǒng)的漏洞及弱點規(guī)則庫進行及時更新或者升級。掃描系統(tǒng)除具有檢測功能外, 還應當能提供盡量詳盡的解決措施或者建議。

  三、安全建設的工作制度

  門戶網(wǎng)站和部門網(wǎng)站的安全建設應當建立下列工作制度: 

 ?。ㄒ唬┒ㄆ趥浞葜贫?/p>

  門戶網(wǎng)站和部門網(wǎng)站應當對重要文件、數(shù)據(jù)、操作系統(tǒng)及應用系統(tǒng)作定期備份, 以便應急恢復。特別重要的部門還應當對重要文件和數(shù)據(jù)進行異地備份。

 ?。ǘ┛诹罟芾碇贫?/p>

  門戶網(wǎng)站和部門網(wǎng)站應當為重要設備和系統(tǒng)設置口令??诹畹奈粩?shù)不應少于8位, 且不應與管理者個人信息、單位信息、設備(系統(tǒng))信息等相關聯(lián)。對設置的口令應當有嚴格的管理制度以防止泄露。

  (三)機房管理制度

  門戶網(wǎng)站和部門網(wǎng)站機房應當建立嚴格的門禁制度和日常管理制度, 機房及機房內所有設備都應當由專人負責管理, 每日應有機房值班記錄、出入人員記錄和各主要設備運行情況的記錄。外來的系統(tǒng)維護人員進入機房, 應當由值班人員陪同并對其工作內容做詳細記錄。

  (四)系統(tǒng)投入運行前的安全測評制度

  門戶網(wǎng)站和部門網(wǎng)站應當由上海市信息安全測評認證中心按照《計算機信息系統(tǒng)安全測評通用技術規(guī)范》的要求, 對其系統(tǒng)安全性進行測評。新建網(wǎng)站需經(jīng)測評合格后, 方可正式投入運行。已建成投入使用的網(wǎng)站, 應當按照上述要求予以補測。

 ?。ㄎ澹┫到y(tǒng)運行期間的定期檢測和升級制度

  鑒于網(wǎng)絡安全建設動態(tài)發(fā)展和不斷更新的特點, 門戶網(wǎng)站和部門網(wǎng)站應當對系統(tǒng)漏洞和弱點進行定期檢測, 并根據(jù)檢測的結果采取相應的措施。要及時對操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件進行補丁包升級或者版本升級, 以防黑客利用系統(tǒng)漏洞和弱點非法入侵。

 ?。表憫贫?/p>

  門戶網(wǎng)站和部門網(wǎng)站應當充分估計各種突發(fā)事件的可能性, 做好應急響應方案, 進行定期演練。同時, 要與崗位責任制度相結合, 保證應急響應方案的及時實施, 將損失降到最低程度。

 ?。ㄆ撸┌踩录蟾婕疤幚碇贫?/p>

  門戶網(wǎng)站和部門網(wǎng)站在發(fā)生安全突發(fā)事件后, 除在第一時間組織人員進行解決外, 應當及時向市網(wǎng)安辦報告。市網(wǎng)安辦應當給予及時的指導和必要的技術支持, 同時將部門網(wǎng)站報告的情況反饋給門戶網(wǎng)站, 并視安全突發(fā)事件的嚴重程度, 及時協(xié)調公安、電信等部門進行處理。電信等部門和單位應當按照政府網(wǎng)站安全優(yōu)先的原則, 采取增加臨時通信帶寬和封堵非法IP訪問地址等方面的措施。

 ?。ò耍┤藛T管理制度

  門戶網(wǎng)站和部門網(wǎng)站應當制定詳細的工作人員管理制度, 明確工作人員的職責和權限。要通過定期開展業(yè)務培訓, 提高人員素質, 重點加強負責系統(tǒng)操作和維護工作的人員的培訓考核工作, 實行考核上崗制度。同時, 規(guī)范人員調離制度, 做好保密義務承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。

  四、其它事項

  門戶網(wǎng)站和部門網(wǎng)站建設中所選用的安全產(chǎn)品應當同時具備公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》(產(chǎn)品目錄參考網(wǎng)址:www.mctc.gov.cn)和中國國家安全測評認證中心頒發(fā)的《國家信息安全認證產(chǎn)品型號證書》(產(chǎn)品目錄參考網(wǎng)址:www.itsec.gov.cn) , 以確保系統(tǒng)的先進性、穩(wěn)定性和可靠性。

  實行服務器托管的部門網(wǎng)站, 應當了解托管服務提供商在安全防護方面采取的具體措施和手段, 確保達到上述技術要求。

責任編輯:admin