为加强我市机关事业单位和国有企业互联网网站(统称为政府网站)的安全管理和防护水平,保障网站安全稳定运行,有效应对境内外各种网络安全威胁,市政府决定自即日起至9月上旬在全市范围内开展政府网站安全防范专项建设工作。现制定实施方案如下:
一、 指导思想和建设目标
以习近平总书记等中央领导同志关于网络安全工作的重要指示精神为指导,通过开展上线前安全检测、推行网站群建设、落实信息安全等级保护测评整改和安全监测预警建设等综合防护措施,及时发现和消除网站安全隐患,按要求落实信息安全等级保护措施,提高网站的安全防护能力,切实加强网络安全保障工作,确保G20国际峰会期间我市政府网站不发生网络攻击和重大舆情事件,确保全年不发生《浙江省网络与信息安全应急预案》所列的Ⅱ至Ⅳ级事件,切实维护国家政治安全、公共安全、信息基础设施安全和网络数据安全。
二、主要工作措施和任务
根据当前我市政府网站分布特点和安全现状,按照“统一管理、实时监测、集中防护、分级建设”的原则,在全市集中开展政府网站安全防范专项建设,通过四个月的努力,全面落实信息安全等级保护、政府网站群建设及安全监测预警建设等措施。重点是:
(一)集中开展政府网站群建设。各地公安机关、网信部门、经信部门、信息技术中心要指导、督促各政府网站单位、主管部门组织开展网站群建设。根据我市实际,市级政府网站在政务云和工业云分别建设网站群。市信息技术中心要抓紧制定市本级机关事业单位网站群建设技术方案,明确网站迁移方式、安全措施及相关责任。机关事业单位要全面梳理本部门、本行业互联网网站底数,制定本部门、本行业网站迁移方案,并于6月10日前将迁移方案、联络员名单报市信息技术中心和市公安局,确保8月中旬前市级机关事业单位的互联网网站全部迁移到市政府政务云平台。市财政局、市经信委要组织开展好全市国有企业互联网网站群建设,确保8月中旬前全市各国有企业互联网网站全部迁移到市工业云平台。各县(区)可以参照市级做法,做好本区域内政府网站群建设。
(二)开展政府网站信息安全等级保护工作。各地公安机关、经信部门要依据职责,监督、检查、指导同级政府网站开展信息安全等级保护工作。要按照“谁建设、谁负责,谁运营、谁负责”的原则,开展网站集群化信息安全等级保护测评。市公安局、市经信委要尽快组织开展市级机关事业单位和国有企业互联网网站的等级测评整改工作。按照“边测边建、边测边移”的原则,在迁移进入政务云和工业云平台前,均完成等级测评中的漏洞扫描,并在8月中旬前完成整改。对8月底还不能整改的要暂停运行;市财政局、市经信委、市信息技术中心要在8月中旬前完成政府网站群相关的物理资源层和虚拟资源层等级测评工作。各县(区)要参照市级做法,开展政府网站信息安全等级保护工作。
(三)开展政府网站安全整改加固工作。各级公安机关要督促、指导政府网站做好安全整改、加固工作。各政府网站单位要边迁边查、边查边改,严格落实网站安全防御措施。机关事业单位的互联网网站群和全市国有企业网站群要在8月中旬前完成网站防火墙(WAF)、网站云防御系统或网站防篡改系统等必要的安全防御设备的安装。政府网站单位要根据等级测评检测出的漏洞,完善网站源代码安全,无法修补的,要进行全面改版升级,力争8月底前完成整改。同时,各政府网站要根据等级测评报告,制定整改方案,落实整改措施,并在规定时间内完成整改加固工作。
(四)开展政府网站技术检测、安全监测和通报预警建设。各地公安机关要充分利用技术手段和社会资源,加强政府网站技术检测、安全监测和通报预警工作,建立政府网站安全监测和预警通报工作机制。尤其是G20峰会期间,要以“政府购买服务”的方式向有资质的专业公司购买网站漏洞扫描或7*24小时不间断监测服务,对政府网站的安全及漏洞进行实时常态性监测,尽早发现网站安全漏洞隐患,及时通报预警。各网站单位接到安全预警通报后,要迅速落实漏洞隐患整改措施,堵塞网站安全漏洞,清除预埋的后门木马,降低网站被攻击篡改的风险,提升网站安全防护能力和应急处置能力。安全预警处置情况要及时向公安机关通报中心报告。
(五)开展政府网站安全防范检查和应急机制建设。7月初起,各地公安机关和网信、信息技术、财政、经信等部门要对政府网站的开办资格、网站群建设、网站安全防护状况以及网站信息安全等级保护工作落实等情况进行联合检查,发现问题及时督促整改。各网站单位要制定完善网站安全应急处置预案并定期开展应急演练。网站遭攻击篡改的,要第一时间向行业主管部门报告并启动应急预案,同时向受理备案的公安机关报案,重大事件及时报同级网信部门。公安机关接到报案后,要第一时间赶赴现场,查封相关设备,固定证据,立案侦查,并按照程序进行责任倒查。
三、职责分工
根据省公安厅、省网信办等四部门《关于党政机关、事业单位和国有企业互联网网站安全专项整治行动工作方案》部署,确定相关部门的职责分工如下:
市公安局:负责统筹组织、协调各单位开展政府网站安全防范工作;督促指导机关事业单位和国有企业做好网站群建设;推进机关事业单位和国有企业互联网网站信息安全等级保护工作;开展网站安全监测、通报预警和应急处置支持等。
市网信办:指导机关事业单位和国有企业开展网站群建设;监督、检查、指导机关事业单位和国有企业互联网网站安全保护工作,督促网站开办单位加强网站安全监测。
市经信委:组织机关事业单位和国有企业开展网站群建设;配合市网信办监督、检查、指导机关事业单位和国有企业的互联网网站安全保护工作;加强机关事业单位和国有企业互联网网站信息安全等级保护专家评审工作。
市财政局:负责政府网站安全防范建设经费保障工作;做好政府网站群建设、信息安全等级测评、整改和政府网站安全监测的经费预算和保障;牵头组织国有企业开展互联网网站群及安全防范建设工作。
市信息技术中心:牵头开展政府网站群建设;加强网站群安全防范建设。
市级其它政府网站单位:负责本单位、本系统、本行业互联网网站安全防范建设工作;开展网站群建设、信息安全等级测评整改和网站安全监测预警建设。
各县(区)政府和功能区管委会:参照市级做法,负责本区域内机关事业单位和国有企业互联网网站安全防范专项建设。
四、工作要求
(一)提高认识,加强领导。网络空间作为继陆、海、空、天之后的的“第五疆域”,已成为当前国际战略争夺的焦点。习近平总书记指出:“没有网络安全,就没有国家安全”,就是对此深刻的诠释。各地、各单位要充分认清当前网络安全面临的严峻形势,从维护国家安全和社会稳定的高度,充分认识开展政府网站安全防范建设的重要性和紧迫性。要加强对此项工作的组织领导,市政府成立由分管副秘书长任组长,市府办、市公安局、市网信办、市编委办、市财政局、市经信委等部门相关负责人任副组长的政府网站安全防范建设工作领导小组(详见附件),负责组织协调推进工作,办公室设在市公安局网安支队。各县(区)也要成立相应的领导机构,组成专门班子,开展具体工作。各政府网站单位内部要确立网站安全防范建设工作的分管领导和责任部门、具体责任人,切实做到领导亲自部署、亲自过问,责任部门具体负责。要明确工作职责,制定建设方案,形成一级抓一级、层层抓落实的工作格局。
(二)密切配合,建立长效。网络的影响不分地域。G20国际峰会临近,专项建设工作时间紧、任务重、涉及面广,各有关职能部门、政府网站单位、主管部门要各司其职、各负其责,分工协作、密切配合,齐抓共管、形成合力。要以此次安全防范建设为契机,加强情况通报、沟通交流和协作配合,建立政府网站安全防范长效工作机制。各地公安机关、网信办、经信部门、财政局、信息技术中心要及时研究具体建设事项,尽快落实网站群建设、网站等级保护和整改加固等举措。各政府网站单位要主动对接公安、信息技术中心等职能部门,加快推进网站安全防范建设。今后新建政府网站原则上不再单独建设,必须建于政府网站群,满足基本安全保护要求后,方可上线运行。
(三)加强宣传,强化督导。各地要充分利用广播电视、报刊杂志、互联网等媒体,加大对网络安全保护的宣传力度,及时宣传网站安全防范专项建设工作,剖析典型案例,营造社会舆论声势,提高全社会对网络安全工作的重视程度。公安、网信办、经信、财政等部门要按照工作任务中的时间节点,有针对性的开展检查。对网站迁移不到位、等级保护测评未落实、整改加固未采取,敷衍了事的,一经发现,政府网站单位相关负责同志要当面向市领导小组作出解释,问题严重的,要在全市通报批评,并责令限期整改到位。