2012年南阳市政府网站安全检查实施方案

1南阳市政府网站安全检查实施方案为规范和加强政府网站安全检查工作，提高全市政府网站安全保障能力，根据《国务院办公厅关于进一步加强政府网站管理工作的通知》（国办函〔2011〕40号）和宛政办明电【2012】236号精神要求，特制定本方案。一、检查范围各县市区政府网站，市政府各部门及其事业单位由市政府统一建设管理的子网站、自行维护管理以及委托其他机构维护管理的门户网站等。二、检查原则按照国家相关法律、法规，坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”属地化管理的原则，统筹安排、突出重点、明确责任、注重实效、保证质量。安全检查以各县市区、各单位自查与市统一组织现场检查相结合。三、检查目的通过开展此次安全检查，及时掌握全市政府门户网站安全状况，发现存在的主要问题和薄弱环节，堵塞安全漏洞，落实和完善安全措施，建立健全信息安全保障机制，减少安全风险，提高应急处置能力，确保各级政府网站持续安全稳定运行。四、检查内容（一）网站安全责任制度的落实情况。重点对各县市区政府、市直各部门网站安全保障工作责任制建设情况进行检查。包括是否明确一名主管领导负责本单位网站安全保障工作，协调处理本单位重大网站安全事件；是否指定一个工作机构负责网站安全保2障管理工作，组织强化本单位网站安全防护设施建设，开展网站安全教育和监督检查等；是否确定一名责任心强，熟悉业务的人员担任专职或兼职网站安全员，负责网站安全监控、安全检查工作。（二）网站安全管理制度的落实情况。重点检查各县市区政府、市直各部门网站管理单位和承办机构的网站安全管理制度建设和落实情况。包括网站信息安全责任制和保密管理、密码管理、等级保护、重要部门（部位）人员管理、网站值班、电子文档安全保护等制度的建立和落实情况，网站的信息处理、发布审核、链接审核和保密审查制度是否健全和落实；信息安全经费保障情况等。（三）网站安全防护设施的落实情况。重点检查各县市区政府、市直各部门网站安全防护设施建设和落实情况。包括网站身份认证、访问控制、数据加密、安全审计、责任认定和防篡改、防病毒、防攻击、防瘫痪、防泄密等技术措施的有效性；网站数据安全防护强度、用户密码管理措施和日志留存情况；网站互动栏目内容监控情况，核心设备和系统安全设施按规定组织日常检查、维护和定期进行检测检验情况;按照有关政策采购安全产品和选用国产信息技术产品情况。（四）网站应急响应机制的建设情况。重点检查各县市区政府、市直各部门应对网站突发安全事件的能力。包括实战演练、预案制（修）订和应急队伍建设以及重要数据和系统的备份情况。（五）安全教育培训情况。重点检查工作人员参加信息安全教育培训、掌握信息安全常识和技能、重点岗位持证上岗等情况。（六）物理环境情况。检查网站设备的物理环境设施情况，3包括位置选择、物理访问控制、防火、防潮、防盗窃、防雷击、防静电、温湿度控制、电力供应、电磁防护等方面情况。（七）安全隐患排查及整改情况。重点检查对安全制度、防范措施、设备设施等方面存在的漏洞和薄弱环节的排查情况，以及分析产生问题和隐患的原因，研究制定和落实整改措施等情况。五、检查方式本次政府网站检查采取自查与抽查相结合的方式。（一）自查（10月8日—10月12日）。各县市区政府、市直各单位要按照检查要求对网站安全管理和防护情况进行逐项自查，写出自查报告，并填写《2012年度政府网站安全检查情况报告表》、《南阳市市直单位电子政务环境调查表》（市直单位报），包括纸质文档和光盘（电子文档）。于10月12日前报市政府电子政务办公室。电子邮箱：nydzzw@126.com联系人：白学兰联系电话：63181826（二）抽查（10月15日至11月10日）。市政府办公室将根据各县市区政府和市直各部门自查情况，会同保密、机要、公安等部门和信息安全领域的专家联合成立南阳市政府网站安全检查组，对各级、各部门进行现场检查，听取被检查单位网站安全有关情况汇报，对机房、安全防护设施等重要部位进行实地检查，对网站进行必要的安全测试，针对存在问题提出整改要求。对安全检查中发现的问题，被抽查单位要及时采取临时性控制措施，确保网站安全稳定运行，并认真研究落实整改建议，在1周内向市政府电子政务办公室报告整改情况。（被抽查的单位和具体时间另行通知）4（三）总结。各检查组将检查结果以书面形式报市政府办公室，市政府办公室汇总整理后对全市政府网站检查情况进行通报。六、检查要求（一）切实加强领导。各县市区政府、市直各部门要高度重视政府网站的安全检查，从维护全市信息安全、讲政治、讲大局的高度，充分认识其重要性，切实加强组织领导，完善检查工作机制，明确检查责任，按照本方案的要求，认真组织和完成政府网站安全检查工作。（二）明确责任分工。市政府办公室负责政府网站安全检查的协调、指导、监督工作，政府网站安全检查组负责组织现场检查，并将结果向市政府办公室汇报。各检查组要认真负责，注重实效，强化安全检查过程的安全保密和风险控制，周密制定检查工作应急预案，确保被检查网站的安全正常运行。（三）严肃工作纪律。实施安全检查的单位和人员要严格遵守检查工作纪律，检查结果除按规定报送外，不得提供给其他单位和个人。对违反信息安全和保密管理规定造成泄密事件和信息安全事故的，要依法追究当事人和有关负责人的责任。附件：1、2012年度南阳市政府网站安全检查报告表2、2012年度南阳市市直单位电子政务环境调查表二〇一二年十月六日5附表一：南阳市政府网站安全检查报告表1、网站基本情况单位名称（公章）单位地址网站系统管理负责人职务电话Email网站系统维护负责人职务电话Email网站安全等级保护级别○四级○三级○二级○一级○未定级网站域名(几个网站就填几个域名)网站名称网站IP检查门户网站个其中服务器台检查网络设备台检查安全设备台/套网站服务器是否托管（托管单位名称）是否经过专业机构开展了网站安全风险评估或等级测评涉密计算机（含笔记本电脑）台涉密移动存储介质（包括U盘、移动硬盘等存储介质）个网站提供的服务□信息发布□业务办理□论坛□邮件服务网络总带宽○10M○50M○100M○其它_____2、网站安全责任制度和管理制度的建设、落实情况是否设立信息系统和网站安全管理工作机构○是○否是否有分管网站安全的主管领导○是○否是否根据工作需要设置信息系统及网站维护和安全管理岗位○是○否信息系统和网站安全管理工作机构工作制度是否健全○是○否分管网站安全的主管领导是否清楚有关信息安全管理工作的法律、法规和要求；对本单位信息安全管理是否提出明确的工作要求○是○否网站安全管理是否有工作记录和档案○是○否信息安全管理部门（人员）是否定期派人监督检查信息系统及网站防范措施的实施情况○是○否信息安全管理部门（人员）是否定期派人对系统及网站进行安全漏洞扫描○是○否6并及时指导打补丁工作网站信息发布是否先审后发○是○否信息系统和网站安全管理制度是否得到落实○是○否是否将信息系统和网站安全建设和运行维护的费用列入经费预算○是○否信息安全管理工作人员是否有明确的分工，是否能够认真履行安全管理工作职责○是○否每年是否对信息系统、网站管理人员、技术人员进行安全宣传、教育及技术培训○是○否3、网站安全防护设施的建设情况接入互联网采取的主要安全防护措施①互联网接入口安装了防火墙○全部安装○部分安装○没有②防火墙名称：③互联网接入口安装了入侵检测设备○全部安装○部分安装○没有④入侵检测设备名称：⑤对IP、MAC地址进行绑定○全部○部分○没有运维管理情况□根据相关的制度运行、维护系统□部署了系统性能监控措施□对系统异常情况能够进行报警是否进行了下列安全检查□SQL注入攻击隐患□跨站脚本攻击隐患□弱口令□操作系统补丁安全情况□网站服务系统及其他应用系统补丁安装情况□防病毒软件升级情况□源码漏洞隐患□网站是否已被“挂马”□敏感信息泄露□入侵检测系统升级情况□网站栏目内容更新□漏洞扫描系统升级情况□网站功能及提供的服务□安全隐患扫描情况网站采取了哪些防范措施□防止信息泄漏□防止SQL注入□防止跨站脚本攻击□定期进行弱口令检查□定期进行网站挂马检查□定期进行漏洞扫描□定期对网站发布系统进行升级□关闭了不必要的端口□关闭或删除了不必要的链接□关停了不必要的账户□关闭了不必要的服务或应用□其它：_____________________________是否有网页防篡改措施○安装了防篡改系统防篡改系统名称○人工监看○无防篡改措施7是否具有抗拒绝服务攻击措施○是○否是否保留了系统安全日志○是○否系统安全日志查看的周期是多少○每月○每周○每天○偶尔查看或从不查看是否有独立的安全审计系统○是○否安全审计系统的名称：网站服务器和同一网段内其他服务器之间是否有访问控制措施○是○否访问控制措施：是否有在公务外网和互联网上处理内部敏感信息○是○否在访问计算机、重要资源或信息时，是否所有用户都需要进行身份鉴别（认证）○是○没有鉴别○只有部分用户进行了鉴别是否有内部用户非法外联的监控措施和管理措施○是；其中采取的措施_____________________________○否4、网站应急响应机制建设情况网站重大信息安全事件处置情况信息安全事件本年度发生特别重大事件（Ⅰ级）次数：_______本年度发生重大事件（Ⅱ级）次数：_______本年度发生较大事件（Ⅲ级）次数：_______本年度发生一般事件（Ⅳ级）次数：_______本年度涉密信息系统和非涉密信息系统间混用移动存储介质的事件数：___本年度涉密信息系统和非涉密信息系统间混用计算机的事件数：___本年度用非密信息系统处理涉密信息的事件数：___8本年度检查中发现高风险漏洞的服务器台数：_______本年度检查中发现木马的服务器台数：________本年度网站网页被篡改（含挂马）的次数：________应急管理①信息安全应急预案：○有○无②应急技术支援队伍：□内部□外部□无发生安全事件类型□感染病毒、木马程序□拒绝服务攻击□端口扫描攻击□数据窃取□破坏数据或网络□篡改网页□垃圾邮件□内部人员有意破坏□内部人员滥用网络端口和系统资源□网络诈骗和盗窃□被利用发送和传播有害信息□源码泄露□其他：______________导致发生安全事件的原因□未修补系统或软件漏洞□网络、系统或软件配置错误□源码存在安全隐患□登录密码过于简单或未修改原始密码□缺少访问控制□攻击者使用拒绝服务攻击□攻击者利用软件默认设置□利用内部用户安全管理漏洞或内部人员作案□内部网络违规外联□攻击者使用欺诈方法□缺少身份认证措施□不知原因□网站存在错链或断链□其他：发现安全事件后采取的措施□向相关部门报案□向上级业务主管部门报告□请安全服务单位协助解决□请开发维护单位协助解决□请安全事件应急响应组织解决□自行解决□未采取任何措施□其他：重要服务器、网站备份情况○重要服务器、网站均进行了备份○部分备份○未备份本地备份频率○实时○天○星期○月有无异地容灾备份需求○有；如有，是否已实现异地容灾备份○是○否○无9网站应急预案制定落实情况应急响应组织机构情况（成立时间、负责人等）应急预案制定情况（覆盖范围、预案名称等）应急演练情况(时间、内容和次数等)应急支援机构填表人：_____________单位：_______________电话：_______________填表说明：1、各单位按照安全检查内容和相关要求完成自查后，如实填写，没有可不填。填写内容不实等情况引起后果由填表人承担，本表须盖单位公章后有效。本表填写完成后，由各部门根据国家规定确定密级。2、表中各选项前为“○”标记表示为单选项；“□”标记为可多选项。凡有“其他”项的，在后面注明具体内容。10附件二南阳市市直单位电子政务环境调查表单位名称:____________________基础部分主管机构机构名称：_______________工作人员人主管领导：职务：电话：联系人：职务：电话：职责:联系人：职务：电话：职责：联系人：职务：电话：职责：是否有信息中心□有□无信息中心工作人员人信息中心隶属单位______________办公电脑单位人数：人