為了加強(qiáng)本市政府網(wǎng)站的安全建設(shè), 確保政府網(wǎng)站的整體安全, 根據(jù)《全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》等法律法規(guī)的規(guī)定,現(xiàn)提出如下試行意見(jiàn)： 

　　一、安全建設(shè)的管理體制

　　本市政府網(wǎng)站由"中國(guó)上海"政府門(mén)戶網(wǎng)站（以下簡(jiǎn)稱門(mén)戶網(wǎng)站）和市政府各部門(mén)網(wǎng)站、各區(qū)縣政府網(wǎng)站（以下統(tǒng)稱部門(mén)網(wǎng)站）組成。

　?。ㄒ唬┥虾Ｊ袊?guó)民經(jīng)濟(jì)和社會(huì)信息化領(lǐng)導(dǎo)小組負(fù)責(zé)統(tǒng)一部署全市信息安全工作。上海市信息網(wǎng)絡(luò)安全協(xié)調(diào)辦公室（以下簡(jiǎn)稱市網(wǎng)安辦）負(fù)責(zé)本市政府網(wǎng)站安全建設(shè)和運(yùn)行管理的具體組織協(xié)調(diào)和指導(dǎo)監(jiān)督工作。

　　市公安局、市國(guó)家安全局、市國(guó)家保密局、市委機(jī)要局、市政府新聞辦、市通信管理局等部門(mén)按照國(guó)家和本市有關(guān)規(guī)定, 在各自職責(zé)范圍內(nèi)做好政府網(wǎng)站安全建設(shè)的管理工作。

　?。ǘ╅T(mén)戶網(wǎng)站運(yùn)行管理單位是門(mén)戶網(wǎng)站安全建設(shè)工作的責(zé)任單位, 負(fù)責(zé)門(mén)戶網(wǎng)站主網(wǎng)范圍內(nèi)的安全系統(tǒng)建設(shè)和運(yùn)行管理, 以及對(duì)部門(mén)網(wǎng)站信息安全工作的聯(lián)絡(luò)、指導(dǎo)和協(xié)調(diào)工作。部門(mén)網(wǎng)站運(yùn)行管理單位是部門(mén)網(wǎng)站安全建設(shè)工作的責(zé)任單位, 負(fù)責(zé)部門(mén)網(wǎng)站的安全系統(tǒng)建設(shè)和運(yùn)行管理, 并確保與門(mén)戶網(wǎng)站交互的信息的安全性。

　?。ㄈ╅T(mén)戶網(wǎng)站和部門(mén)網(wǎng)站的運(yùn)行管理單位應(yīng)當(dāng)明確相應(yīng)的信息安全責(zé)任人。部門(mén)網(wǎng)站信息安全責(zé)任人以《上海市信息化辦公室、上海市信息網(wǎng)絡(luò)安全協(xié)調(diào)辦公室關(guān)于印發(fā)〈上海市重點(diǎn)部門(mén)／單位信息安全工作責(zé)任人名單〉的通知》（滬信息辦安[2001]118號(hào)）中確定的人員為基礎(chǔ)。

　　二、安全建設(shè)的技術(shù)要求

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站的基本運(yùn)行環(huán)境、信息發(fā)布系統(tǒng)和通用應(yīng)用系統(tǒng)的安全建設(shè)應(yīng)當(dāng)符合下列技術(shù)要求：

　?。ㄒ唬C(jī)房建設(shè)

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)安排專用機(jī)房（自建或者托管）, 安置關(guān)鍵設(shè)備及電源系統(tǒng)。機(jī)房建設(shè)的技術(shù)要求可參照《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》（GB/T 2887-2000）和《計(jì)算機(jī)場(chǎng)地安全要求》（GB/T 9361-1988） 

　?。ǘ┚W(wǎng)絡(luò)安全發(fā)布系統(tǒng)

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)安全發(fā)布系統(tǒng), 以防止網(wǎng)絡(luò)黑客對(duì)頁(yè)面的非法篡改, 并使網(wǎng)站具備應(yīng)急恢復(fù)的能力。網(wǎng)絡(luò)安全發(fā)布系統(tǒng)占用系統(tǒng)資源百分比的均值不得超過(guò)5%, 峰值不得超過(guò)15%。

　?。ㄈ╇娮庸娣?wù)內(nèi)容過(guò)濾系統(tǒng)

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)建設(shè)電子公告服務(wù)內(nèi)容過(guò)濾系統(tǒng), 對(duì)電子公告服務(wù)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)管, 重點(diǎn)加強(qiáng)對(duì)電子公告板和聊天室的內(nèi)容過(guò)濾, 對(duì)黃色、反動(dòng)、暴力等不良信息及其發(fā)布者及時(shí)進(jìn)行處理, 以維護(hù)網(wǎng)站的內(nèi)容健康。

　?。ㄋ模┓阑饓ο到y(tǒng)

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)建設(shè)防火墻系統(tǒng), 采用IP包過(guò)濾、應(yīng)用代理、地址轉(zhuǎn)換、訪問(wèn)控制等手段提高防御網(wǎng)絡(luò)黑客攻擊的能力。防火墻系統(tǒng)的網(wǎng)絡(luò)吞吐量應(yīng)當(dāng)高于10兆比特/秒, 且應(yīng)當(dāng)具備完善的日志記錄和分析功能。

　　（五）病毒防治系統(tǒng)

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)建設(shè)計(jì)算機(jī)病毒防治系統(tǒng), 通過(guò)控制信息的出入口, 防止病毒入侵并對(duì)已經(jīng)入侵的病毒及時(shí)進(jìn)行檢測(cè)和清除。病毒防治系統(tǒng)應(yīng)當(dāng)具備定期掃描功能和實(shí)時(shí)檢測(cè)功能。應(yīng)當(dāng)優(yōu)先選用能夠自動(dòng)網(wǎng)上升級(jí)的病毒防治系統(tǒng), 無(wú)法實(shí)現(xiàn)自動(dòng)網(wǎng)上升級(jí)的, 必須由人工及時(shí)做好病毒樣本庫(kù)和病毒防治系統(tǒng)的升級(jí)工作。門(mén)戶網(wǎng)站和有條件的部門(mén)網(wǎng)站應(yīng)當(dāng)以一套病毒防治系統(tǒng)為主覆蓋所有的主機(jī), 輔以一至兩套不同廠商的產(chǎn)品進(jìn)行單點(diǎn)定期掃描。

　?。┼]件過(guò)濾系統(tǒng)

　　門(mén)戶網(wǎng)站和有條件的部門(mén)網(wǎng)站應(yīng)當(dāng)建設(shè)郵件過(guò)濾系統(tǒng), 對(duì)郵件的標(biāo)題、正文和文本附件的內(nèi)容進(jìn)行檢查和過(guò)濾, 對(duì)不同性質(zhì)的非法郵件和可疑郵件作相應(yīng)的處理, 封堵垃圾郵件和郵件炸彈, 確保網(wǎng)上的郵件系統(tǒng)用于正常的公務(wù)活動(dòng), 防止惡意使用者利用服務(wù)器大量轉(zhuǎn)發(fā)不良郵件。

　?。ㄆ撸┚W(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

　　門(mén)戶網(wǎng)站和有條件的部門(mén)應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng), 主動(dòng)監(jiān)視和審計(jì)網(wǎng)絡(luò)異常情況, 并對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的入侵模式規(guī)則庫(kù)進(jìn)行及時(shí)更新或者升級(jí)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)本身應(yīng)當(dāng)具有的抗攻擊能力。 

　?。ò耍┚W(wǎng)絡(luò)設(shè)備及主機(jī)漏洞掃描系統(tǒng)

　　門(mén)戶網(wǎng)站和有條件的部門(mén)網(wǎng)站應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)設(shè)備及主機(jī)漏洞掃描系統(tǒng), 通過(guò)定期掃描主要網(wǎng)絡(luò)設(shè)備和主機(jī)增強(qiáng)安全管理能力, 并對(duì)掃描系統(tǒng)的漏洞及弱點(diǎn)規(guī)則庫(kù)進(jìn)行及時(shí)更新或者升級(jí)。掃描系統(tǒng)除具有檢測(cè)功能外, 還應(yīng)當(dāng)能提供盡量詳盡的解決措施或者建議。

　　三、安全建設(shè)的工作制度

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站的安全建設(shè)應(yīng)當(dāng)建立下列工作制度： 

　?。ㄒ唬┒ㄆ趥浞葜贫?/p>

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)對(duì)重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份, 以便應(yīng)急恢復(fù)。特別重要的部門(mén)還應(yīng)當(dāng)對(duì)重要文件和數(shù)據(jù)進(jìn)行異地備份。

　?。ǘ┛诹罟芾碇贫?/p>

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)為重要設(shè)備和系統(tǒng)設(shè)置口令?？诹畹奈粩?shù)不應(yīng)少于8位, 且不應(yīng)與管理者個(gè)人信息、單位信息、設(shè)備（系統(tǒng)）信息等相關(guān)聯(lián)。對(duì)設(shè)置的口令應(yīng)當(dāng)有嚴(yán)格的管理制度以防止泄露。

　?。ㄈC(jī)房管理制度

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站機(jī)房應(yīng)當(dāng)建立嚴(yán)格的門(mén)禁制度和日常管理制度, 機(jī)房及機(jī)房?jī)?nèi)所有設(shè)備都應(yīng)當(dāng)由專人負(fù)責(zé)管理, 每日應(yīng)有機(jī)房值班記錄、出入人員記錄和各主要設(shè)備運(yùn)行情況的記錄。外來(lái)的系統(tǒng)維護(hù)人員進(jìn)入機(jī)房, 應(yīng)當(dāng)由值班人員陪同并對(duì)其工作內(nèi)容做詳細(xì)記錄。

　　（四）系統(tǒng)投入運(yùn)行前的安全測(cè)評(píng)制度

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)由上海市信息安全測(cè)評(píng)認(rèn)證中心按照《計(jì)算機(jī)信息系統(tǒng)安全測(cè)評(píng)通用技術(shù)規(guī)范》的要求, 對(duì)其系統(tǒng)安全性進(jìn)行測(cè)評(píng)。新建網(wǎng)站需經(jīng)測(cè)評(píng)合格后, 方可正式投入運(yùn)行。已建成投入使用的網(wǎng)站, 應(yīng)當(dāng)按照上述要求予以補(bǔ)測(cè)。

　?。ㄎ澹┫到y(tǒng)運(yùn)行期間的定期檢測(cè)和升級(jí)制度

　　鑒于網(wǎng)絡(luò)安全建設(shè)動(dòng)態(tài)發(fā)展和不斷更新的特點(diǎn), 門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)對(duì)系統(tǒng)漏洞和弱點(diǎn)進(jìn)行定期檢測(cè), 并根據(jù)檢測(cè)的結(jié)果采取相應(yīng)的措施。要及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級(jí)或者版本升級(jí), 以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。

　?。?yīng)急響應(yīng)制度

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)充分估計(jì)各種突發(fā)事件的可能性, 做好應(yīng)急響應(yīng)方案, 進(jìn)行定期演練。同時(shí), 要與崗位責(zé)任制度相結(jié)合, 保證應(yīng)急響應(yīng)方案的及時(shí)實(shí)施, 將損失降到最低程度。

　　（七）安全事件報(bào)告及處理制度

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站在發(fā)生安全突發(fā)事件后, 除在第一時(shí)間組織人員進(jìn)行解決外, 應(yīng)當(dāng)及時(shí)向市網(wǎng)安辦報(bào)告。市網(wǎng)安辦應(yīng)當(dāng)給予及時(shí)的指導(dǎo)和必要的技術(shù)支持, 同時(shí)將部門(mén)網(wǎng)站報(bào)告的情況反饋給門(mén)戶網(wǎng)站, 并視安全突發(fā)事件的嚴(yán)重程度, 及時(shí)協(xié)調(diào)公安、電信等部門(mén)進(jìn)行處理。電信等部門(mén)和單位應(yīng)當(dāng)按照政府網(wǎng)站安全優(yōu)先的原則, 采取增加臨時(shí)通信帶寬和封堵非法IP訪問(wèn)地址等方面的措施。

　　（八）人員管理制度

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站應(yīng)當(dāng)制定詳細(xì)的工作人員管理制度, 明確工作人員的職責(zé)和權(quán)限。要通過(guò)定期開(kāi)展業(yè)務(wù)培訓(xùn), 提高人員素質(zhì), 重點(diǎn)加強(qiáng)負(fù)責(zé)系統(tǒng)操作和維護(hù)工作的人員的培訓(xùn)考核工作, 實(shí)行考核上崗制度。同時(shí), 規(guī)范人員調(diào)離制度, 做好保密義務(wù)承諾、資料退還、系統(tǒng)口令更換等必要的安全保密工作。

　　四、其它事項(xiàng)

　　門(mén)戶網(wǎng)站和部門(mén)網(wǎng)站建設(shè)中所選用的安全產(chǎn)品應(yīng)當(dāng)同時(shí)具備公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷(xiāo)售許可證》（產(chǎn)品目錄參考網(wǎng)址：www.mctc.gov.cn）和中國(guó)國(guó)家安全測(cè)評(píng)認(rèn)證中心頒發(fā)的《國(guó)家信息安全認(rèn)證產(chǎn)品型號(hào)證書(shū)》（產(chǎn)品目錄參考網(wǎng)址：www.itsec.gov.cn） , 以確保系統(tǒng)的先進(jìn)性、穩(wěn)定性和可靠性。

　　實(shí)行服務(wù)器托管的部門(mén)網(wǎng)站, 應(yīng)當(dāng)了解托管服務(wù)提供商在安全防護(hù)方面采取的具體措施和手段, 確保達(dá)到上述技術(shù)要求。