上海市关于加强政府网站安全建设的试行
来源:中国上海 更新时间:2012-04-14

 
为了加强本市政府网站的安全建设, 确保政府网站的整体安全, 根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等法律法规的规定,现提出如下试行意见:
一、安全建设的管理体制
本市政府网站由"中国上海"政府门户网站(以下简称门户网站)和市政府各部门网站、各区县政府网站(以下统称部门网站)组成。
(一)上海市国民经济和社会信息化领导小组负责统一部署全市信息安全工作。上海市信息网络安全协调办公室(以下简称市网安办)负责本市政府网站安全建设和运行管理的具体组织协调和指导监督工作。
市公安局、市国家安全局、市国家保密局、市委机要局、市政府新闻办、市通信管理局等部门按照国家和本市有关规定, 在各自职责范围内做好政府网站安全建设的管理工作。
(二)门户网站运行管理单位是门户网站安全建设工作的责任单位, 负责门户网站主网范围内的安全系统建设和运行管理, 以及对部门网站信息安全工作的联络、指导和协调工作。部门网站运行管理单位是部门网站安全建设工作的责任单位, 负责部门网站的安全系统建设和运行管理, 并确保与门户网站交互的信息的安全性。
(三)门户网站和部门网站的运行管理单位应当明确相应的信息安全责任人。部门网站信息安全责任人以《上海市信息化办公室、上海市信息网络安全协调办公室关于印发〈上海市重点部门/单位信息安全工作责任人名单〉的通知》(沪信息办安[2001]118号)中确定的人员为基础。
二、安全建设的技术要求
门户网站和部门网站的基本运行环境、信息发布系统和通用应用系统的安全建设应当符合下列技术要求:
(一)机房建设
门户网站和部门网站应当安排专用机房(自建或者托管), 安置关键设备及电源系统。机房建设的技术要求可参照《电子计算机场地通用规范》(GB/T 2887-2000)和《计算机场地安全要求》(GB/T 9361-1988)
(二)网络安全发布系统
门户网站和部门网站应当建设网络安全发布系统, 以防止网络黑客对页面的非法篡改, 并使网站具备应急恢复的能力。网络安全发布系统占用系统资源百分比的均值不得超过5%, 峰值不得超过15%。
(三)电子公告服务内容过滤系统
门户网站和部门网站应当建设电子公告服务内容过滤系统, 对电子公告服务活动进行实时监管, 重点加强对电子公告板和聊天室的内容过滤, 对黄色、反动、暴力等不良信息及其发布者及时进行处理, 以维护网站的内容健康。
(四)防火墙系统
门户网站和部门网站应当建设防火墙系统, 采用IP包过滤、应用代理、地址转换、访问控制等手段提高防御网络黑客攻击的能力。防火墙系统的网络吞吐量应当高于10兆比特/秒, 且应当具备完善的日志记录和分析功能。
(五)病毒防治系统
门户网站和部门网站应当建设计算机病毒防治系统, 通过控制信息的出入口, 防止病毒入侵并对已经入侵的病毒及时进行检测和清除。病毒防治系统应当具备定期扫描功能和实时检测功能。应当优先选用能够自动网上升级的病毒防治系统, 无法实现自动网上升级的, 必须由人工及时做好病毒样本库和病毒防治系统的升级工作。门户网站和有条件的部门网站应当以一套病毒防治系统为主覆盖所有的主机, 辅以一至两套不同厂商的产品进行单点定期扫描。
(六)邮件过滤系统
门户网站和有条件的部门网站应当建设邮件过滤系统, 对邮件的标题、正文和文本附件的内容进行检查和过滤, 对不同性质的非法邮件和可疑邮件作相应的处理, 封堵垃圾邮件和邮件炸弹, 确保网上的邮件系统用于正常的公务活动, 防止恶意使用者利用服务器大量转发不良邮件。
(七)网络入侵检测系统
门户网站和有条件的部门应当建设网络入侵检测系统, 主动监视和审计网络异常情况, 并对网络入侵检测系统的入侵模式规则库进行及时更新或者升级。网络入侵检测系统本身应当具有的抗攻击能力。
(八)网络设备及主机漏洞扫描系统
门户网站和有条件的部门网站应当建设网络设备及主机漏洞扫描系统, 通过定期扫描主要网络设备和主机增强安全管理能力, 并对扫描系统的漏洞及弱点规则库进行及时更新或者升级。扫描系统除具有检测功能外, 还应当能提供尽量详尽的解决措施或者建议。
三、安全建设的工作制度
门户网站和部门网站的安全建设应当建立下列工作制度:
(一)定期备份制度
门户网站和部门网站应当对重要文件、数据、操作系统及应用系统作定期备份, 以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。
(二)口令管理制度
门户网站和部门网站应当为重要设备和系统设置口令。口令的位数不应少于8位, 且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。对设置的口令应当有严格的管理制度以防止泄露。
(三)机房管理制度
门户网站和部门网站机房应当建立严格的门禁制度和日常管理制度, 机房及机房内所有设备都应当由专人负责管理, 每日应有机房值班记录、出入人员记录和各主要设备运行情况的记录。外来的系统维护人员进入机房, 应当由值班人员陪同并对其工作内容做详细记录。
(四)系统投入运行前的安全测评制度
门户网站和部门网站应当由上海市信息安全测评认证中心按照《计算机信息系统安全测评通用技术规范》的要求, 对其系统安全性进行测评。新建网站需经测评合格后, 方可正式投入运行。已建成投入使用的网站, 应当按照上述要求予以补测。
(五)系统运行期间的定期检测和升级制度
鉴于网络安全建设动态发展和不断更新的特点, 门户网站和部门网站应当对系统漏洞和弱点进行定期检测, 并根据检测的结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级, 以防黑客利用系统漏洞和弱点非法入侵。
(六)应急响应制度
门户网站和部门网站应当充分估计各种突发事件的可能性, 做好应急响应方案, 进行定期演练。同时, 要与岗位责任制度相结合, 保证应急响应方案的及时实施, 将损失降到最低程度。
(七)安全事件报告及处理制度
门户网站和部门网站在发生安全突发事件后, 除在第一时间组织人员进行解决外, 应当及时向市网安办报告。市网安办应当给予及时的指导和必要的技术支持, 同时将部门网站报告的情况反馈给门户网站, 并视安全突发事件的严重程度, 及时协调公安、电信等部门进行处理。电信等部门和单位应当按照政府网站安全优先的原则, 采取增加临时通信带宽和封堵非法IP访问地址等方面的措施。
(八)人员管理制度
门户网站和部门网站应当制定详细的工作人员管理制度, 明确工作人员的职责和权限。要通过定期开展业务培训, 提高人员素质, 重点加强负责系统操作和维护工作的人员的培训考核工作, 实行考核上岗制度。同时, 规范人员调离制度, 做好保密义务承诺、资料退还、系统口令更换等必要的安全保密工作。
四、其它事项
门户网站和部门网站建设中所选用的安全产品应当同时具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(产品目录参考网址:www.mctc.gov.cn)和中国国家安全测评认证中心颁发的《国家信息安全认证产品型号证书》(产品目录参考网址:www.itsec.gov.cn) , 以确保系统的先进性、稳定性和可靠性。
实行服务器托管的部门网站, 应当了解托管服务提供商在安全防护方面采取的具体措施和手段, 确保达到上述技术要求。