11.3 政府和互聯網網站的安全監管工作

11.3 政府和互聯網網站的安全監管工作

11.3政府和互聯網網站的安全監管工作

截至2014年12月底,中國網站總量達到364.7萬餘個。網站主辦者近285萬個,其中網站主辦者為單位的約211.9萬個、網站主辦者為個人的73.1萬餘個。依據《公安機關政府網站安全監管工作規範》(公信安〔2014〕795號)第二條規定,政府網站是指黨政機關理論互聯網發佈信息、提供在線服務、開展互動交流等而建立的網站系統。隨着黨政機關網站承載的業務不斷增加,涉及政務信息、商業秘密和個人信息的內容越來越多,黨政機關網站及電子郵件系統日益成為不法分子和各種犯罪組織的重點攻擊對象,安全面臨大挑戰。

11.3.1網站安全管理的重要性和緊迫性

隨着信息技術的廣泛深入應用,特別是電子政務的不斷發展,黨政機關網站作用日益突出,已經成為宣傳黨的路線方針政策、公開政務信息的重要窗口,成為各級黨政機關履行社會管理和公共服務職能、為民辦事和了解掌握社情民意的重要平台。近年來,各地區各部門按照黨中央、國務院的要求,在推進黨政機關網站建設的同時,認真做好網站安全管理工作,保證了黨政機關網站作用的發揮。隨着黨政機關網站承載的業務不斷增加,涉及政務信息、商業秘密和個人信息的內容越來越多,黨政機關網站及電子郵件系統日益成為不法分子和各種犯罪組織的重點攻擊對象,安全管理面臨更大挑戰。

當前黨政機關網站安全管理工作中存在問題主要表現為:管理制度不健全,開辦審批不嚴格,一些不具備資格的機構註冊開辦黨政機關網站,還有一些不法分子仿冒黨政機關網站,嚴重影響黨和政府形象,侵害公眾利益;一些單位對網站安全管理重視不夠,安全投入相對不足,安全防護手段滯后,安全保障能力不強,網站被攻擊、內容被篡改以及重要敏感信息泄露等事件時有發生;一些網站信息發佈、轉載、連結管理制度不嚴格,信息內容缺乏嚴肅性,保密審查制度不落實;黨政機關電子郵件安全管理要求不明確,人員安全意識不強,郵件系統被攻擊利用、通過電子郵件傳輸國家秘密信息等問題比較嚴重,威脅國家網絡安全。

因此,加強網站的安全管理建設和監管勢在必行。

11.3.2網站安全現狀和常見威脅分析

1998年,我國建立了第一個政府網站——青島政務信息公眾網。1999年,40多家部委發起“政府上網工程”。2007年1月17日,國務院第165次常務會議通過的國務院第492號令《中華人民共和國政府信息公開條例》中第十五條規定:行政機關應當將主動公開的政府信息,通過政府公報、政府網站、新聞發佈會以及報刊、廣播、電視等便於公眾知曉的方式公開。

各級政府逐漸重視信息化建設,許多政府機構都建立了自己的網站。然而目前政府網站還缺乏足夠的重視和維護,已成為網絡安全中最薄弱的一環。2014年,我國境內被篡改的網站數量為36969個,政府網站被篡改數量為1763。從域名類型來看,2014年我國境內被篡改網站中,政府類(.gov)網站佔611.3%,教育類(.edu)網站佔30.8%,其他佔1.9%。被掛馬的政府網站(.gov.cn域名網站)數量為23618個,佔全部掛馬網站總數的9.69%。監測到40186個網站被植入後門,其中政府網站有1529個。共收集整理2394個高危漏洞,Web應用漏洞佔16.1%。

由於網站具有面向互聯網提供信息服務的特點,帶有各種動機的攻擊者可能會利用網站開放的服務端口和一定的訪問權限進一步探測其安全漏洞,以獲取未授權的信息訪問。黨政機關門戶網站更由於其代表政府的特殊屬性,備受公眾和攻擊者的關注。因此,針對黨政機關門戶網站的安全威脅,無論從威脅來源、威脅動機和威脅方式分析,具有以下特點。

①威脅來源:黨政機關門戶網站系統作為信息系統,與一般信息系統一樣其安全威脅會來自如自然環境、設備故障、內部人員惡意或無意的行為等,但最主要的安全威脅來源是來自互聯網的攻擊者。

②威脅動機:黨政機關門戶網站作為黨政機關的網絡形象和宣傳窗口,承載了信息發佈、形象展示、辦事指南、交流互動和信息收集等功能。攻擊者入侵網站的動機可能是竊取用戶私有信息、控制並佔用伺服器資源、破壞政府形象和干擾政府工作秩序等。

③威脅方式:針對黨政機關門戶網站的威脅方式主要為網絡攻擊、刪改或插入信息內容、中斷服務、越權訪問以及網站發佈管理不當等。

下面針對門戶網站系統,從攻擊導致信息泄露、頁面修改、系統被控制和系統被破壞等4類後果角度,對攻擊方式進行分類闡述如表11-1所示。

表11-1網站安全攻擊方式

11.3.3政府網站監管工作的法規依據

政府網站是我國各級人民政府及其部門履行職能、面向社會提供服務的重要手段和渠道,在提供行政效能、提升政府公信力等方面日益發揮着重要作用。但是由於政府網站的安全管理工作不規範、安全漏洞和隱患突出,近年來我國政府網站遭受網絡攻擊和篡改的案事件頻繁發生,嚴重影響和損害黨及政府形象,甚至危及國家安全和社會穩定。因此,加強政府網站監管,規範和約束政府網站運行維護單位工作,具有重大意義。

1.國務院辦公廳關於進一步加強政府網站管工作的通知

2011年4月21日,國務院辦公廳發佈《關於進一步加強政府網站管理工作的通知》(國辦函〔2011〕40號),通知指出:“政府網站運行維護單位要按照信息安全等級保護的要求,定期對網站進行安全檢查,及時消除隱患”。政府網站管理要按照誰主管誰負責、誰運行誰負責的原則,強化管理和責任,確保網站管理工作落實到人,做到不辦則已,辦則有人管、能管好。各地區、各部門要對政府網站管理工作開展經常性的督促檢查,並使之制度化、常態化,及時發現並妥善解決存在的問題。

2.關於加強黨政機關網站安全管的通知

2014年5月9日,中央網絡安全和信息化領導小組辦公室發佈《關於加強黨政機關網站安全管理的通知》(網辦發文〔2014〕1號),圍繞充分認識加強黨政機關網站安全管理的重要性和緊迫性、嚴格黨政機關網站的開辦審核、嚴格黨政機關網站信息發佈、轉載和連結管理、強化黨政機關網站應用安全管理、建立黨政機關網站標識制度、加強黨政機關電子郵件安全管理、加強黨政機關網站技術防護體系建設、加強對黨政機關網站安全管理工作的組織領導等八項工作給出指導。

在“加強黨政機關網站技術防護體系建設”中明確指出:“各地區各部門在規劃建設黨政機關網站時,應按照同步規劃、同步建設、同步運行的要求,參照國家有關標準規範,從業務需求出發,建立以網頁防篡改、域名防劫持、網站防攻擊以及密碼技術、身份認證、訪問控制、安全審計等為主要措施的網站安全防護體系。切實落實信息安全等級保護等制度要求,做好黨政機關網站定級、備案、建設、整改和管理工作。”

在“加強對黨政機關網站安全管理工作的組織領導”中指出:“各地區各部門要按照誰主管誰負責、誰運行誰負責的原則,切實承擔起本地區本部門黨政機關網站安全管理責任”,同時指出“中央和地方網絡安全和信息化領導小組辦事機構要做好黨政機關網站安全工作的協調、指導和督促檢查。中央和國家機關各部門網站和省市兩級黨政機關門戶網站、電子郵件系統等每半年進行一次全面的安全檢查和風險評估”。並進一步指出對違反制度規定、有章不循、有禁不止,造成泄密和安全事件的要依法依紀追究當事人和有關領導的責任。

3.國務院辦公廳關於加強政府網站信息內容建設的意見

2014年12月01日,國務院辦公廳關於加強政府網站信息內容建設的意見。意見指出:“建好管好政府網站是各級政府及其部門的重要職責”。指出政府網站主要工作核心是信息發佈更新、政策解讀、社會熱點回應、互動交流、引導輿論。將政府網站打造成更加及時、準確、有效的政府信息發佈、互動交流和公共服務平台。同時意見指出:“把政府網站建設管理作為主管主辦單位目標考核和績效考核的內容之一,建立政府網站信息內容建設年度考核評估和督查機制,分級分類進行考核評估,使之制度化、常態化”。

4.國務院辦公廳關於開展第一次全國政府網站普查的通知

2015年03月24日,國務院辦公廳為推進全國政府網站信息內容建設有關工作,提高政府網站信息發佈、互動交流、便民服務水平,全面提升各級政府網站的權威性和影響力,維護政府公信力,發佈《國務院辦公廳關於開展第一次全國政府網站普查的通知》,決定在全國第一次政府網站普查。通知指出:“對普查中發現存在問題的網站,督促其整改,問題嚴重的堅決予以關停”。普查範圍包括:地方各級人民政府網站,縣級以上(含縣級)地方人民政府各部門及下屬參照公務員法管理的事業單位網站;國務院各部門(含國務院部委管理的國家局,下同)及其內設機構網站,國務院各部門下屬參照公務員法管理的事業單位網站。同年2015年12月4日發佈《國務院辦公廳關於第一次全國政府網站普查情況的通報》,通報指出:“普查發現存在嚴重問題並關停上移的16049個政府網站”。全國政府網站普查工作今後會成為常態性工作。

5.關於加強政府網站安全監管工作的指導意見

為進一步履行公安機關的網絡安全監管職責,切實加強政務網站的安全監管工作,公安部於2014年3月8日發佈《關於加強政府網站安全監管工作的指導意見》(公信安〔2014〕353號,以下簡稱《指導意見》)文件。

《指導意見》提出“依法管網、以人管網和技術管網”的總體要求。明確政府網站實行“開辦有責,屬地管理”的原則。公安機關要嚴格履行監管職能,督促政府落實網站安全責任,開展網站安全監測、及時偵查打擊攻擊政府網站的違法活動。

《指導意見》明確指出:“各級公安網安部門要建立與本地政府的日常聯繫渠道,加強對本地政府網站的安全檢查。對於不重視政府網站安全保護或不落實整改要求的單位,公安機關要向當地黨委政府報告,並督促其落實各項要求,情節嚴重的,要依法給予處罰;對因落實相關保護措施,造成網站被攻擊篡改的,公安機關要依法予以處罰並通報有關部門追究責任。”

同時,《指導意見》對公安機關開展政府網站安全將工作給出具體指導,主要包括7方面的內容:①開展政府網站定級備案工作;②與政府網站備案單位簽訂安全責任書,明確政府網站安全責任;③加強監督指導,落實網站安全防護措施;④開展安全監測、及時發現安全隱患和攻擊行為;⑤建立有效機制,及時果斷處置網站安全事件;⑥加強情報偵探和監控,及時獲取行動性信息;⑦加強案件偵查,嚴厲打擊攻擊政府網站的行為。

6.關於開展國家級重要信息系統和重點網站安全執法檢查工作的通知

為進一步摸清國家級重要信息系統和重點網站網絡安全工作開展情況,進一步排查網絡安全風險和隱患,督促責任單位限期整改,堵塞網絡安全漏洞;監督、指導信息安全等級保護制度的貫徹落實,切實提高國家級重要信息系統和重點網站防入侵、防竊密、防篡改的綜合防護能力,堅決防止發生重大網絡安全事件(事故),切實維護國家安全、社會公共安全和關鍵信息基礎設施安全。公安部下發《關於開展國家級重要信息系統和重點網站安全執法檢查工作的通知》,就工作目標、檢查範圍、檢查內容、檢查安排、工作要求給出具體說明。

通知要求重點檢查各單位、各部門網絡安全工作的基本情況以及重要信息系統和重點網站的安全保護情況,查找問題、隱患並督促整改。內容包括檢查國家級重要信息系統行業主管部門、國家級重要信息系統運營使用單位、國家級重要信息系統、政府部門、企事業單位、非政府組織網站和大型互聯網網站。具體檢查範圍包括:

一是國家級重要信息系統。根據公安部、國家發改委、財政部《關於加強國家級重要信息系統安全保障工作有關事項的通知》(公信安〔2014〕2182號),主要涉及能源、金融、電信、交通、廣電、海關、稅務、人力資源社會保障、教育、衛生計生等行業主管部門和信息系統運營使用單位。

二是政府部門和企事業單位的網站。主要包括中央駐蚌單位、市、區縣黨委和政府各組成部門網站;教育、衛生計生、金融機構、中央企業和國有企業、科研機構等企事業單位網站;社會團體、基金會等非政府組織(NGO)網站。

三是省、市兩級大型互聯網綜合、搜索、新聞、電商、社交、IT、財經等門戶網站。

通知給出,公安機關要建立本地政府網站監測技術手段,及時發現網站遭攻擊篡改事件,組織力量第一時間趕赴現場,對網站採取停機整頓措施,查封相關設備,固定證據、立案偵查。要將網站遭攻擊篡改情況及時通報當地黨委政府、上級主管部門和紀檢監察部門,建議進行責任倒查,追究相關領導、人員的責任。

7.公安機關政府網站安全監管工作規範

為了配合《關於加強政府網站安全監管工作的指導意見》(公信安〔2014〕353號)的貫徹實施,嚴格規範公安機關開展政府網站安全監管工作,切實提高黨政機關政府網站安全防護能力和水平,公安部於2014年5月16日制定《公安機關政府網站安全監管工作規範》(公信安〔2014〕795號)並發佈。公安機關政府網站工作規範共計28條,包括總則、監督檢查、監測處置、工作保障和附則五章內容。

為明確和落實網站開辦單位的安全管理責任及公安機關的安全監管責任,該規範同時發佈《政府網站安全責任書》,責任書一式4份,由網站開辦單位、公安機關及其雙方監察部門各村一份。同時提供《政府網站安全檢查記錄》從網站安全責任制落實情況、網站安全管理措施落實情況、網站安全技術措施防護情況三大內容,覆蓋網站責任制落實情況、網站網絡安全工作保障情況、網站監測情況、網站管理情況、網站信息巡查情況、網站邊界防護情況、網站內容安全防護情況、網站應用安全防護措施、網站伺服器安全防護措施9方面,共計100項,全面細緻對政府網站安全進行檢查記錄。針對政府網站檢查出現的問題,給網站開辦單位發送《信息系統安全等級保護限期整改通知書》、《政府網站安全隱患告知書》,要求限期進行整改。

11.3.4公安機關的網站監管工作內容

1.指導思想和總體目標

《關於加強政府網站安全監管工作的指導意見》中明確給出“各地公安機關網安部門要以習近平總書記講話精神和黨的十八大、十八屆三中全會精神為指導,深入貫徹落實中央關於加強網絡安全工作的一系列重要,按照‘依法管網、以人管網和技術管網’的總體要求,檢查政府網站‘開辦有責,屬地管理’的原則,認真履行公安機關的監管職能,督促落實政府網站安全責任,強化網站安全監測,及時偵測打擊攻擊政府網站的違法犯罪活動,切實提高公安機關的網絡安全監管能力和水平”。提出針對政府網站監管是“依法管網、以人管網和技術管網”的總體要求,政府網站要遵從“開辦有責,屬地管理”的工作原則。

工作目標是採取有效措施,使政府網站安全責任基本落實,安全管理水平明顯提高,安全技術防範措施明顯增強,政府網站抵禦攻擊破壞的能力顯著提高,安全事件(事故)大幅下降,切實保障政府網站的安全穩定運行。具體來講,要求公安機關分2步走:首先全面摸清縣級以上政府網站底數,加強備案管理,做到“底數清、情況明”;落實網站安全監管責任,監督、檢查、指導政府網站責任部門健全網站安全管理制度和技術防範措施,開展安全測評和整改加固,全國提升政府網站的安全保護能力。其次建立部、省、市三級政府網站安全監測體系,健全完善政府網站安全監管、應急處置和案事件偵查調查等工作機制。

2.對公安機關的監督檢查要求和內容

公安機關網絡安全保衛部門全面負責我國互聯網網站的信息安全監管工作。《公安機關政府網站安全監管工作規範》第三條規定:“公安機關網絡安全保衛部門開展我國政府網站的信息網絡安全監管”。同時,第二十七條規定“網安部門對事業單位、國有企業及社會團隊開辦的互聯網網站應參照本規範要求加強監管”。網安部門自2014年6月1日起,全面負責我國互聯網網站的信息安全監管工作。

①落實政府網站開辦單位的安全責任。各級網安部門要與縣級以上政府網站開辦單位簽訂《政府網站安全責任書》,落實安全責任。按照“開辦有責”的原則,各級公安網安部門要與政府網站備案單位簽訂政府網站安全責任書,逐一落實政府網站安全的責任單位、監管單位及其具體負責人,明確各項工作要求,確保每個政府網站都有人建、有人管。對新建的政府網站,要先確定網站安全保護等級並及時到備案,並納入公安機關監管範圍。同時,要按照國家有關法律法規要求,建立本地政府網站開辦安全審核制度。

②依據《信息安全等級保護管理辦法》,開展政府網站定級備案工作。公安機關要督促政府部門及其所屬單位落實國家信息安全等級保護制度要求,按照《信息系統安全等級保護定級指南》及其行業主管部門有關指導意見,開展政府網站定級備案工作。按照“屬地管理“的原則,省、市、縣(區)三級公安機關網安部門分別受理同級政府部門及其所屬單位的政府網站備案。其中,黨中央國務院組成部門及其所屬單位的政府網站備案由北京市公安局網安部門開展。政府網站開辦單位在新建和改建政府網站時,首先確定網站安全保護等級,再開展建設。網站在正式投入使用前應當進行等級保護安全測評,如不符合國家信息安全等級保護管理規範和技術標準要求,應進行安全整改。

③定期現場檢查,加強監督指導,落實網站安全防護措施。公安機關要定期開展政府網站安全檢查,對縣級以上政府網站的現場檢查每年至少開展一次。按照“誰主管,誰負責”的原則,督促政府部門建立網站用戶註冊登記、信息巡查等安全管理制度,落實用戶日誌留存、違法有害信息屏蔽過濾等技術措施。督促網站開辦者按照國家信息安全等級保護制度要求,建立並落實安全管理制度和責任追究制度,建設安全防護措施,加強網站安全監測和測評,查找網站安全隱患並及時整改,組織開展應急演練,提高網站抵禦攻擊破壞的能力。

④定期遠程技術監測,開展整改工作,及時發現安全隱患和攻擊行為。網安部門對所有政府網站分級開展技術監測,技術發現網站安全漏洞、隱患和攻擊事件,及時進行通報預警。對縣級以上政府網站的遠程技術監測每半年至少開展一次。對發現存在安全隱患問題政府網站,給政府網站開辦單位發出《政府網站安全隱患告知書》和《信息系統安全等級保護限期整改通知書》,如果問題比較嚴重,則必須同時通報上級主管部門。根據檢查反饋意見,督促網站安全責任單位限期整改。對整改不合格的,要責令其停機整頓;對無法保證安全運行的,要通報其主管部門建議關閉。同時,要督促並指導政府網站安全責任單位充分發揮網站運行維護單位和技術支撐單位的作用,組織專門力量,利用技術掃描和人工監測相結合的方式,對本單位政府網站開展實時監測,及時發現問題,及時進行整改。

⑤採取多種有效機制,及時果斷處置網站安全事件。要求各級公安網安部門要與政府網站安全責任單位建立安全事件(事故)發現報告、聯合調查處置機制,要求網站安全責任單位一旦發現網站被攻擊篡改或停止服務等情況,必須第一時間向受理備案的公安機關報告,並啟動應急處置預案進行處置,建立處置工作枱賬。網安部門要與政府部門建立網絡安全監測預警通報機制,及時掌握網絡攻擊、病毒疫情和安全漏洞等情況,及時向政府部門通報和預警。網安部門要與政府網站開辦單位建立信息網絡安全事件應急處置機制,明確應急聯絡人、聯絡方式,制定應急處置預案,組建技術支撐隊伍,確保安全隱患或安全事件能夠快速處置,消除不利影響。網安部門要與政府網站開辦單位建立安全事件報告制度,及時向公安機關報告網站被攻擊、篡改等事件情況,同時啟動應急預案進行處置,處置工作中要注意保存相關原始數據,以備網安部門開展實踐調查和案件偵查使用。網安部門要建立安全管理和案件偵查部門聯合調查機制,對政府網站開辦單位報告或其他渠道通報疑似為網站被攻擊事件的,應當由重要信息系統安全監察、案件偵查等部門民警組成聯合調查組,立即啟動事件調查程序。在案事件調查處置后,應及時填寫《政府網站安全案事件調查處置情況記錄單》,並逐級上報至公安部網絡安全保衛局。

⑥加強情報偵探和監控,及時獲取行動性信息。加強對境外黑客組織的偵控,對黑客組織的網站、博客和推特賬號進行實時監控,技術發現政府網遭攻擊篡改情況,第一時間通報處置,及時消除影響。

⑦加強案件偵查,嚴厲打擊攻擊政府網站的行為。對攻擊政府網站的違法犯罪行為,各級公安網安部門要及時開展調查、搜索線索,固定證據,並開展案件線索串並工作,深挖幕後組織策劃者和實施者。針對仿冒政府網站或在政府網站掛馬、獲取非法經濟利益的違法犯罪行為,要予以堅決打擊。

⑧公安機關在開展政府網站安全現場檢查時,需要提前做好如下工作:

明確檢查對象、檢查內容,掌握被檢查單位的基本情況。

成立檢查組,明確檢查任務分工,對檢查組成員開展必要的培訓。

提前通知檢查對象,做好檢查準備工作。

開展現場檢查,做好檢查記錄。

現場通報並確認檢查結果,發現重大問題須立即整改的,現場責令整改。

及時梳理研究檢查結果,反饋檢查意見,對於存在問題的下發《信息系統安全等級保護限期整改通知書》,存在重大問題的,通報上級主管部門。

⑨對政府網站開展的遠程技術檢測不得影響網站正常運行。

⑩定期匯總分析本地發生的政府網站安全事件、事故、案件情況,從案事件類型、成因、影響等方面,分析特點、規律、趨勢等,提出對策建議、形成分析報告,並逐級上報至公安部網絡安全保衛局。對政府網站安全監管情況建立工作枱賬,每年對本地政府網站安全監管情況進行匯總分析,報告本地黨委政府和上級公安網安部門。

《公安機關政府網站安全監管工作規範》第四章,對網安部門開展政府網站監管給予工作保障方面的明確說明:

網安部門要配備政府網站安全監管的專門人員

落實檢查、應急處置、情報收集研判、宣傳培訓等方面年度業務經費。

裝備政府網站安全監測、遠程技術檢測等必要的工具平台。

選擇可信、可靠且具備技術實力的社會力量,作為開展政府網站技術檢測和應急處置的技術支持隊伍,並做好日常組織管理工作。

與黨政部門、技術支撐單位和網絡安全專家等,建立重大網絡安全事件事故應急處置機制,定期開展應急演練,提高應急處置能力。

定期對民警開展網絡安全監管業務培訓,定期對網站政府責任部門領導和相關人員開展安全培訓,提升網絡安全意識和防範能力。

3.對政府網站的監督檢查要求和內容

①各政府網站開辦單位應當確保政府網站的安全穩定運行,防止發生網站仿冒、內容篡改、服務中斷、信息失竊等情況,要積極配合政府網站的信息網絡安全監管工作,及時有效的能夠處置網站安全事件事故。

②各政府網站開辦單位開展定級備案、等級保護測評等工作。各政府網站開辦單位要根據國家有關法律法規規範和信息安全等級保護制度的要求,在政府網站建設和應用過程中落實信息網絡安全同步規劃、同步建設、同步實施的要求,制訂和完善安全管理制度,建立健全安全保護技術措施。按照“誰主管、誰負責,誰運營,誰負責”的原則,明確責任,落實網站各項安全保護措施,積極主動和屬地網安部門簽訂《政府網站安全責任書》,並依據《信息安全等級保護管理辦法》開展定級備案、等級保護測評等工作。

③定期開展安全自檢查工作。採取現場檢查、遠程技術檢測等方式,建議縣級以上政府網站開辦單位現場自檢查不低於1次,遠程技術自檢測每半年不低於1次。

④網站開辦單位要制定完善網站安全應急預案,定期開展應急演練。建設安全監測手段,開展實時監測。對重要數據和系統,建設相應的備份措施。做好技術力量、資源的儲備,應對重大突發事件的發生。

⑤配合公安機關完成如下10項內容的檢查工作,並提供相關證明材料。

網站安全責任部門、責任人及安全責任制落實情況。

網站定級備案、安全測評整改、安全自查工作情況。

網站安全事件報告處置、內容管理及信息發佈審核、用戶個人信息保護等安全管理制度的建立和落實情況。

網站防攻擊、防篡改、防失竊等安全技術措施建立完善情況。

網站實時安全檢測工作開展情況。

網站安全事件(事故)應急處置機制和保障情況。

網站註冊用戶實名登記、信息巡查等安全管理制度,以及用戶日誌留存、違法有害信息屏蔽過濾等技術措施落實情況。

聘請測評機構開展網站安全測評情況。

網站國產新型技術產品使用情況。

其他需要檢查的事項。

4.對政府網站工作不的處

《公安機關政府網站安全監管工作規範》第十條規定:“對限期整改不合格或多次出現網絡安全問題的,應當約談網站安全責任單位主要領導,並將有關情況通報其上級主管部門,要求加強管理,必要時網安部門依照國家有關法律法規給予處罰”。在安全責任書第六條明確說明:“對網站安全責任和工作要求不落實的,或網站被不法分子攻擊、篡改及傳播、連結有害信息的,公安機關應督促網站開辦單位及時整改,情節嚴重的,依法追究相關單位及負責人的法律責任,並進行通報”。

《關於加強黨政機關網站安全管理的通知》中規定:“加大黨政機關網站、電子郵件系統的安全檢查力度,中央和國家機關各部門網站和省市兩級黨政機關門戶網站、電子郵件系統等每半年進行一次全面的安全檢查和風險評估。各級保密行政管理部門要加強對黨政機關網站和電子郵件系統信息涉密情況的檢查監管。對違反制度規定、有章不循、有禁不止,造成泄密和安全事件的要依法依紀追究當事人和有關領導的責任。”

《國務院辦公廳關於加強政府網站信息內容建設的意見》中將網站管理作為政府考核內容,規定如下:“把政府網站建設管理作為主管主辦單位目標考核和績效考核的內容之一,建立政府網站信息內容建設年度考核評估和督查機制,分級分類進行考核評估,使之制度化、常態化。對考核評估合格且社會評價優秀的政府網站,給予相關單位和人員表揚,推廣先進經驗。對於不合格的,通報相關主管主辦部門和單位,要求限期整改,對分管負責人和工作人員進行問責和約談。”

上一章書籍頁下一章

網絡安全法和網絡安全等級保護2

···
加入書架
上一章
首頁 其他 網絡安全法和網絡安全等級保護2
上一章下一章

11.3 政府和互聯網網站的安全監管工作

%