党政机关网站安全管理规范化建设探究
来源:中国信息界 更新时间:2012-04-14

    作者:王伟 戴国强

  在经济全球化和全球信息化加速发展的大背景下,信息安全问题已经影响到经济发展、政治活动、社会管理、思想舆论和民众生活等诸多领域。进一步办好党政机关网站,有利于促进各级党委、政府及其部门依法行政,提高社会管理和公共服务水平,保障公众知情权、参与权和监督权,对加强党委、政府自身建设,推进行政体制改革和政府职能转变,建设服务型政府具有重要意义。为此,中共扬州市委、市政府决定,在全市开展“党政机关网站整治、安全接入互联网”专项行动,通过启动“中国扬州”门户网站群和党政机关网站信息安全监测平台建设、开展重点单位信息系统定级备案与等级测评和风险评估等工作,认真贯彻国家、省和扬州市关于电子政务建设、信息安全保障工作的一系列决策部署,牢固树立以社会和公众为中心的理念,坚持统筹规划、协同建设、分级管理,努力把党政机关网站办成网络可信、安全可控、信息公开的重要窗口和建设服务政府、效能政府的重要平台。

  1 党政机关网站现状

  扬州市政府门户网站及部门网站规模化建设始于2002年实施的“国家信息化首批试点城市,“数字扬州”电子政务“三大工程”,市政府组成部门、党群部门、人大、政协和省管单位以及公共事业服务单位共建有网站170多个;“中国扬州”门户网站十年间历经多次改版,伴随两轮党政机构改革,目前建有链接关系的党政机关、社会事业和公共服务各类网站93个。

表1 扬州市党政机关网站建设情况

  截至2011年初,扬州市政府组成部门和党群部门网站建有率近100%,其中由市政府信息中心统一运行维护的不到16%,委托电信公司和IT服务企业运行维护的分别为38.7%和17.2%,自建自管的达25.6%;网站建设投入根据规模和功能等因素从几千元到几十万元、上百万元不等,多头接入互联网导致直接、间接的运行维护费用居高不下,衍生出的安全防护设备投入严重不足,宽带网络综合复用效能低下。各类政务网站建设、应用与管理水平总体上仍处于初级发展阶段,尤其是信息安全意识和防护保障能力严重匮乏,主要表现在:

  1.1县(区)、乡级党政机关网站管理不规范

  一是域名注册乱:有的单位不按照规定使用一级域名.cn,二级域名.gov;不按照行政职能,随意使用.gov和.com类域名;已经停止使用的网站域名不按照规定办理注销手续,仍在外包IT企业服务器上运行;机构改革后,部分机关网站未及时办理网站主管变更和域名重新注册登记;二是集中水平低:市、县两级党政机关网站集中管理程度不高,服务器分散、利用率不高、安全防护能力薄弱,接入互联网的出口通道众多且网络运营商不一,造成严重的重复投资与运维风险,尤其是乡镇一级,直接将服务器委托给社会上的IT服务企业管理,隐患相当大;三是管理措施弱:部门工作人员的信息安全意识和管理举措有待进一步加强,笔记本电脑、移动U盘不经检查随意接入单位内网和社会公网,造成病毒交叉感染,甚至导致网站被攻击、网页被篡改。


  1.2网站信息内容管理不规范

  一是信息公开滞后:该公开的政策文件不及时公开,该调整的重要信息不及时调整,该变更的栏目专项不及时变更;二是信息更新太慢:有的部门网站内容尤其是新闻动态整月、整季都不更新;三是架构设置陈旧:未按照政务网站测评标准及时改版。

  1.3网站安全防护管理不规范

  有的部门网站重建设、轻管理,尤其是在信息安全意识强化、信息安全设备投入和信息系统定级评估方面,口头上重视,行动上忽视,以种种理由借故推诿,信息安全工作落实不到位,绝大多数政务网站(系统)至今仍未实施计算机信息系统等级保护和风险评估,甚至极少数部门至今未办理非经营性网站ICP备案手续,网站开办的合法性、合理性存在相当严重的问题。

  今年工信部在全国工业和信息化工作会议上要求“加强改进互联网行业管理,维护网络与信息安全”、“组织开展党政机关网站专项整治,深化政府信息安全检查,推进政府部门互联网安全接入”。扬州市结合创建全国文明城市工作,以“党政机关网站整治、安全接入互联网”为切入点,全面推进网络与信息安全保障各项工作的落实。


  2 整改方案总体思路

  在集约建设和充分利用现有电子政务资源的基础上,强化管理、优化系统,形成网络架构、技术防范、终端管理、监测预警和互联网接入“五个统一”的一体化建设管理与安全保障体系,用两到三年的时间,使全市党政机关网站建设做到“网站域名、网络接入、网络终端、网站运维、网络安全”五个方面的规范化,使全市电子政务健康有序发展。

  2.1网站域名规范化

  严格按照《中国互联网络域名管理办法》、《信息产业部关于调整中国互联网域名体系的公告》和《中央编办关于进一步加强党政群机关和事业单位网上名称管理工作的通知》等规定,对网站域名注册登记情况进行自查和整改,机构改革后的部门应及时向域名主管机构申请办理域名管理注册登记、变更、注销等相关手续。党政机关网站一级域名为“.cn”,二、三级域名要按规定报经市信息化主管部门审核批准,规范使用“.gov”、“.org”等英文域名和“政务”、“公益”中文域名,不得使用“.com”、“.net”等一级域名。各地有条件的街道(社区)、乡镇(村)可申请独立域名,也可在当地政府门户网站域名下衍生次级域名。

  2.2网络接入规范化

  按照国家相关规定,全市党政机关网站统一出口接入互联网。市直机关党政部门网站经由“中国扬州”门户网站统一出口接入互联网,2011年集中管理率达80%,2012年完成全覆盖;各县(市、区)党政机关部门网站均由各地门户网站统一出口接入互联网,2011年起3年内完成全覆盖;党政机关各部门、街道、乡镇以及社区、村不独立设置服务器,由各地门户网站集中管理。各地、各部门党政机关网站要和上下级党委、政府部门网站之间做好链接,逐步实现资源共享、协同共建和整体联动,并严格控制与其他非业务工作需要网站的链接,避免网络遭受牵连性攻击与危害。

 2.3网络终端规范化

  切实加强部门接入互联网的网络建设管理,进一步提高信息安全保障意识,进一步明确部门信息系统建设管理和个人终端接入使用的安全责任。部门涉密内网严格与互联网物理隔断,公务非涉密办公网与互联网逻辑隔离。本单位工作人员个人使用的电脑、移动终端按照规定的配备地址接入网络,非本单位工作人员使用的电脑、移动终端确需接入网络,须经单位网络安全管理员检查审核批准后方可接入。各地、各部门要严格按照国家、省和市关于党政信息公开保密审查的有关规定,实行党政领导总负责、分管领导组织协调、责任部门和专门审查人员具体实施、保密工作部门指导监督的管理体制,切实做到涉密信息不上网,上网信息不涉密,确保网站全天候工作、信息页面正常浏览、办事和互动平台畅通有效。


  2.4网站运维规范化

  坚持发展与安全并重、管理与技术并重、应急处置与长效机制并重,进一步建立健全信息安全运行维护体系,提升各地门户网站群技术支撑服务能力。各地党政机关网站原则上由各地政府信息中心(电子政务中心)负责统筹建设和运维管理,未经各地信息化主管部门批准,各地党政机关各部门不得将单位网站和非涉密网络、信息系统外包给市场化经营性IT服务机构托管;各地、各部门要按照“中国扬州”门户网站管理办法规定,从规章制度、人员配备、软件系统、设备配置等方面做好部门网站和非涉密网络、信息系统的运行维护工作,确保全市电子政务工作高效安全开展。

  2.5网络安全规范化

  依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》和《江苏省信息安全风险评估管理办法(试行)》等规范要求,定期开展等级保护测评和风险评估工作。通过实施信息安全等级保护、政务系统风险评估、统一互联网接入和主动开展日常信息安全巡检、定期监测预警与应急处置等工作,切实增强党政机关网站、网络和信息系统防病毒、防攻击、防泄密和反窃密能力,从整体上提高信息安全防护水平。

  3 工作计划目标要求

  按照“统一规划、协同建设、分级管理”的原则,通过有力整合和开发利用分布于各部门的各类公共服务资源,面向不同类型的用户需求,发挥资源整合优势,强化部门间的业务协同与共享,提升公共服务能力,带动市县两级的联动与互通,打造阳光政府、效能政府和服务型政府,全面推进全市电子政府、电子党务建设及应用水平的深化,提升服务社会、服务民生的能力。

  2011年,计划完成“中国扬州”门户网站群主站和60个部门及下属单位子站的建设和资源整合共享;年内,新建的市政府信息资源数据中心和党政机关网站、重要系统信息安全监测平台投入使用。

  2012年,计划完成其余30多个部门(单位)网站的整合工作。

  (1)以《政府信息公开条例》和党务公开的要求为依据,运用信息化技术手段,搭建统一规范的信息公开平台,实现全市信息公开的统一性、完整性和规范性;

  (2)以用户为中心,依托扬州市行政权力网上公开透明运行系统,通过数据交换等方式,深入推进行政权力事项网上申请、网上办理、网上反馈,切实为企业、市民以及其他用户提供方便快捷的网上办事通道;


  (3)以互动交流为纽带,通过市委书记信箱、寄语市长、在线访谈、意见征集等栏目及功能建设,不断畅通市委、市政府与社会公众的沟通交流渠道,协助解决社会公众所关心的热点、难点问题;

  (4)以提供服务为宗旨,通过个性化定制、智能终端访问、网站无障碍等建设,充分发挥网络资源优势,满足不同类型公众的差异化、个性化需求,为公众提供实实在在的特色服务;

  (5)以党政机关网站和重要系统信息安全监测平台为载体,开展事前、事中与事后全方位的监测预警和应急处置;通过统一接入互联网,既可以盘活存量资源、发挥最大效用,又可以减少重复建设、提升安全防御能力。

  4 结束语

  加强党政机关网站规范化建设,提升政务信息系统安全管理,还要进一步完善党政机关网站安全管理保障机制:

  建立健全党政机关网站信息安全员制度。各部门应明确一名负责人为分管领导,并确定一名政治素质较高、有一定网络与计算机应用能力并受过网络信息安全保密培训的专职或兼职人员为网站信息安全员,健全工作网络,明确工作职责,形成工作合力,建立并完善市县一体、部门联动的党政机关网站和非涉密网络、信息系统安全防护与保障体系。

  建立信息安全突发事件报告与应急处置通报制度。按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”和属地化管理的原则,遇有突发网络信息安全事件,各地、各部门应在事件发现后的1小时内向市网络与信息安全协调小组办公室报告;根据信息安全事件性质与危害程度,由市网络与信息安全协调小组办公室启动相应应急预案予以分级处置。各地、各部门应在信息安全事件得到妥善处理后的1日内向市网络与信息安全协调小组办公室报备处理结果。

  加强对党政网站建设管理的考核与监督。科学制定党政机关网站考评内容和指标体系,充分发挥绩效评估的导向和激励作用,逐步建立电子政务网站绩效评估机制。加强统筹协调和监督考核,定期对运行不稳定、内容更新不及时、服务质量低、应用效果差的网站予以通报,检查结果作为年终综合考评依据;发生重大信息安全事件的,将实行责任追究和一票否决制。

  作者简介:

  王伟,扬州市经济和信息化委员会处长,高级工程师;

  戴国强,扬州市经济和信息化委员会副主任科员。