2011年网站安全漏洞整治方案
为贯彻落实全市政府网站安全漏洞专项整治会议精神,做好区网站安全漏洞检查整治工作,特制定方案如下:
一、工作目标和原则
通过政府网站安全漏洞专项整治行动,堵塞安全漏洞,消除安全隐患,落实管理责任,加强安全管理,提高信息安全保障能力和水平。专项整治行动要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,各部门各单位负责本部门的政府网站及下属网站自查并接受市、区检查。
二、组织领导及分工
为保障本次专项整治行动扎实推行,成立政府网站安全漏洞专项整治行动领导小组,组长由副区长谷云彪同志担任,成员由区科技和信息化委员会、公安分局、区保密局分管领导组成。领导小组下设办公室,办公室设在区科技和信息化委员会。各有关部门要明确分管领导和具体人员,按照全区部署做好专项整治。具体分工:
专项整治行动由区科信委牵头,公安分局、区保密局、区政府各部门共同承担。
(一)区科信委:负责本次专项整治行动的总体组织、协调工作。负责检查网站信息安全管理情况,组织检查网站的软硬件环境及风险漏洞等。
(二)公安分局:负责检查网站中被敌对势力攻击的情况,包括被敌对势力攻击、窃取信息等,并进行相应处理。
(三)区保密局:负责检查网站信息内容的安全保密情况,并进行相应处置。
(四)各部门各单位:负责检查本单位所属门户网站、业务网站及下属单位网站的安全情况,并接受市、区检查。
三、检查范围及重点
本次检查范围主要是接入互联网的政府网站,包括区政府门户网站、业务网站及各单位门户网站。检查的重点内容:
(一)网站安全漏洞排查
重点进行网页脚本检测、网站挂马情况检测、网站架构安全检测、服务器主机检测、网络边界设备检测。
(二)安全防护措施落实情况
信息安全员是否到位,是否经过相关专业培训,是否具有合格的信息安全防护技能,是否熟练掌握已有信息安全防护设备的使用方法和配置调试。
网站安全防护设备包括网页防篡改、防病毒、防攻击等是否安装到位,账户和口令的管理措施,操作系统、应用软件、病毒防护软件的补丁升级,网站域名安全管理措施等是否严格执行。
(三)信息安全管理制度落实情况
网站信息安全管理制度包括网站安全管理制度、网站信息安全通报制度、信息发布审核登记制度、网站服务器机房管理制度、网站值班制度、安全责任追究制度等的建立和落实情况。
(四)应急响应机制建设情况
网站信息安全突发事件应急预案制定、演练、落实情况,应急技术支援队伍建设情况,重大信息安全事故处置情况,网站重要数据和系统的灾难备份情况等。
(五)网站安全漏洞整治情况
对网站设备设施、防范措施、安全制度等方面存在的漏洞和薄弱环节的分析排查情况,研究和制定整改措施等情况。
四、工作任务和时间安排
(一)各部门自查阶段:今年3月中旬。
各部门针对全区检查出来的问题进行研究分析,拿出解决办法,于3月15日反馈科信委。同时对本部门下属单位网站安全情况进行检查梳理,对发现的问题及时进行整改。
(二)全区整改阶段:今年3月下旬。
由区科信委会同有关单位针对检查结果,采取架设软硬件设备、修改开发系统、实行全区集中管理等办法,配合各部门对网站漏洞进行整改,同时指导各单位建立管理制度。
(三)迎接全市检查阶段:今年4月
保障本单位网站安全稳定运行,迎接市有关单位组织的安全检查工作。
五、要求
(一)各单位要充分认识开展政府网站安全漏洞专项整治工作的极端必要性,切实加强组织领导。各负其责,把本次专项整治工作抓出成效。http://nayishi.com
(二)各单位要制定完备的网站信息安全管理制度和应急响应机制,落实安全人员和责任。对检查中发现的管理和技术漏洞,要积极采取措施,进行配置和升级、加装网站保护设备、及时堵塞漏洞,消除安全隐患。从长远考虑,有条件的单位招聘选拔具有专业知识的工作人员管理网站。
(三)各单位要切实做好信息安全和保密工作,与专业技术企业合作的,应签署安全保密协议,明确安全和保密责任。
(四)各单位要认真做好此项专项整治工作。对于没有认真落实安全检查的单位,要对本单位网站安全负全责,对因网站安全问题造成严重后果的要追究单位主要负责人的责任。
六、专项整治行动领导小组办公室联系方式