上海市关于加强本市政府网站安全建设的试行意见

上海市关于加强本市政府网站安全建设的试行意见

为了加强本市政府网站的安全建设，确保政府网站的整体安全，根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等法律法规的规定，现提出如下试行意见：

一、安全建设的管理体制

本市政府网站由“中国上海”政府门户网站(以下简称门户网站)和市政府各部门网站、各区县政府网站(以下统称部门网站)组成。

(一)上海市国民经济和社会信息化领导小组负责统一部署全市信息安全工作。上海市信息网络安全协调办公室(以下简称市网安办)负责本市政府网站安全建设和运行管理的具体组织协调和指导监督工作。

市公安局、市国家安全局、市国家保密局、市委机要局、市政府新闻办、市通信管理局等部门按照国家和本市有关规定，在各自职责范围内做好政府网站安全建设的管理工作。

(二)门户网站运行管理单位是门户网站安全建设工作的责任单位，负责门户网站主网范围内的安全系统建设和运行管理，以及对部门网站信息安全工作的联络、指导和协调工作。部门网站运行管理单位是部门网站安全建设工作的责任单位，负责部门网站的安全系统建设和运行管理，并确保与门户网站交互的信息的安全性。

(三)门户网站和部门网站的运行管理单位应当明确相应的信息安全责任人。部门网站信息安全责任人以《上海市信息化办公室、上海市信息网络安全协调办公室关于印发上海市重点部门/单位信息安全工作责任人名单的通知》(沪信息办安[2001]118号)中确定的人员为基础。

二、安全建设的技术要求

门户网站和部门网站的基本运行环境、信息发布系统和通用应用系统的安全建设应当符合下列技术要求：

(一)机房建设

门户网站和部门网站应当安排专用机房(自建或者托管)，安置关键设备及电源系统。机房建设的技术要求可参照《电子计算机场地通用规范》(GB/T 2887-2000)和《计算机场地安全要求》(GB/T 9361-1988)。

(二)网络安全发布系统

门户网站和部门网站应当建设网络安全发布系统，以防止网络黑客对页面的非法篡改，并使网站具备应急恢复的能力。网络安全发布系统占用系统资源百分比的均值不得超过5%，峰值不得超过15%。

(三)电子公告服务内容过滤系统

门户网站和部门网站应当建设电子公告服务内容过滤系统，对电子公告服务活动进行实时监管，重点加强对电子公告板和聊天室的内容过滤，对黄色、反动、暴力等不良信息及其发布者及时进行处理，以维护网站的内容健康。

(四)防火墙系统

门户网站和部门网站应当建设防火墙系统，采用IP包过滤、应用代理、地址转换、访问控制等手段提高防御网络黑客攻击的能力。防火墙系统的网络吞吐量应当高于10兆比特/秒，且应当具备完善的日志记录和分析功能。

(五)病毒防治系统

门户网站和部门网站应当建设计算机病毒防治系统，通过控制信息的出入口，防止病毒入侵并对已经入侵的病毒及时进行检测和清除。病毒防治系统应当具备定期扫描功能和实时检测功能。应当优先选用能够自动网上升级的病毒防治系统，无法实现自动网上升级的，必须由人工及时做好病毒样本库和病毒防治系统的升级工作。门户网站和有条件的部门网站应当以一套病毒防治系统为主覆盖所有的主机，辅以一至两套不同厂商的产品进行单点定期扫描。

(六)邮件过滤系统

门户网站和有条件的部门网站应当建设邮件过滤系统，对邮件的标题、正文和文本附件的内容进行检查和过滤，对不同性质的非法邮件和可疑邮件作相应的处理，封堵垃圾邮件和邮件炸弹，确保网站的邮件系统用于正常的公务活动，防止恶意使用者利用服务器大量转发不良邮件。

(七)网络入侵检测系统

门户网站和有条件的部门网站应当建设网络入侵检测系统，主动监视和审计网络异常情况，并对网络入侵检测系统的入侵模式规则库进行及时更新或者升级。网络入侵检测系统本身应当具有较强的抗攻击能力。

(八)网络设备及主机漏洞扫描系统

门户网站和有条件的部门网站应当建设网络设备及主机漏洞扫描系统，通过定期扫描主要网络设备和主机增强安全管理能力，并对扫描系统的漏洞及弱点规则库进行及时更新或者升级。扫描系统除具有检测功能外，还应当能提供尽量详尽的解决措施或者建议。