关于进一步加强本钢集团相关网站安全管理工作的意见

-1-本钢发信息字〔2012〕247号关于进一步加强本钢集团相关网站安全管理工作的意见集团公司各单位：为进一步加强本钢集团相关网站安全管理工作，根据中共辽宁省委办公厅辽宁省人民政府办公厅《关于进一步加强全省各级党政机关网站安全管理工作的意见》（厅秘发〔2012〕16号）及中共本溪市委办公厅本溪市人民政府办公厅《关于进一步加强全市各级党政机关网站安全管理工作的意见》（厅秘发〔2012〕14号）文件精神，结合本钢集团网站管理工作的实际，现提出如下意见：一、高度重视，充分认识加强网站安全管理工作的重要意义随着互联网的广泛应用和网络间数据传输量的急剧增长，网络黑客、敌对势力攻击网站及各类信息系统的事件时有发生，网络安全的重要性日渐突显。为了保证本钢集团相关网站运行-2-安全，更好地防范网上攻击，建设健康、高效、可管理的网站，集团企业文化部要切实加强对网络舆情的管控，信息化部要加强对网络安全工作的管理。要求各相关单位进一步增强政治意识、责任意识、大局意识，充分认识加强本钢集团各相关网站安全管理工作的重要性和紧迫性，坚决防止网络黑客对网络信息系统进行攻击破坏，防范敌对势力利用网络信息系统制造混乱，干扰集团发展，进一步维护本钢和谐稳定的良好氛围。二、坚持原则，不断提升网站安全管理工作水平坚持以预防为主的方针，按照“谁主办谁负责、谁主管谁负责、谁接入谁负责”的原则，以建立长效网络安全应急反应和处置机制为目的，严格落实本钢集团各相关网站安全责任制，加强网站安全防护体系建设，完善各类应急预案，提高网络技术支持和保障能力，降低重要网络信息系统面临的风险和可能造成的损失，提升本钢集团各相关网站安全保障和应对突发事件的水平。三、规范管理，强化网站安全管理措施本钢集团各相关单位要立即安排部署，强化措施，消除不安全隐患。通过建立组织管理、预案制定、制度规范、操作流程等综合措施及与之相匹配的应急规程，确保及时发现、跟踪、分析和确认有重大危害的本钢集团各相关网站信息安全事件，加强和改善本钢应对网站安全突发事件的能力。(一）落实网站安全责任制。要高度重视网站安全防护工作，-3-进一步明确责任，完善管理措施，健全网站安全工作机制，确保网站安全各项工作落实到位。各单位主要负责人为网站安全第一责任人，技术负责人为直接责任人。严格执行网站安全责任追究制度，对发生重大网站安全责任事故的，要追究相关人员责任。(二）做好网站安全应急预案。要针对突发大流量访问冲击、网页篡改或者挂马、分布式拒绝服务攻击、域名劫持、信息泄漏等网站安全威胁，制定周全的应对措施和应急预案，明确事件的级别和启动条件，做好网站安全应急演练并及时修订完善应急预案。(三）保证网站信息内容安全。要加强网站管理，确保网站所提供和链接的公共信息内容安全。(四）建立信息共享机制。要协调行动，资源共享，共同加强安全防范，及时获取和通报相关信息，形成多部门协同、信息共享的应急防范体系。(五）加强对上网信息的保密审查。要建立健全上网信息保密审查责任制，明确具体部门和相关责任人，严格落实审查责任，确保涉及国家秘密和工作秘密的信息不上网。加强对网上登截信息的保密检查，及时发现并删除违规登载的涉密信息，追究相关人员责任，确保涉密信息安全。(六）及时消除安全隐患。组建网络与信息安全协调小组，每年对重要系统进行安全测试，开展以重要网站和重要信息系-4-统为重点的专项安全检查，提高安全防范能力。对检查中发现的问题要迅速组织力量予以整改；对暂时无法整改的必须落实有效监管措施，坚决遏制重大网络信息安全事件的发生。(七）加强相关人员的安全意识教育。要对网站安全管理相关工作人员进行信息安全教育和培训，保证其具备必要的网站安全保障意识和技能，掌握网站安全相关法律法规和管理制度，时刻保持高度警惕，有效封堵网站入侵渠道。四、加大投入，落实必要的技术防护手段集团信息化部作为管理部门，要进一步加大技术防护投入力度，合理调配本钢集团相关网站与信息安全资源，落实各项网络安全技术保障措施。一是建立安全的网站架构体系，操作系统和网站系统平台部署应遵循最小安装原则，禁用不必要的服务组件、应用插件、注册表项等，保证网站相关系统补丁的及时更新。针对网站应用程序的漏洞，应优先考虑修改源代码。二是加强对病毒、木马、网页内嵌恶意代码等入侵行为以及恶意代码的防护、检测和报警。配备网页防篡改软件或者设备，对网站所有静态、动态页面进行监控和保护。网络边界应部署防火墙，可进一步选用入侵防护网关、入侵检测网关、恶意木马监测网关、防病毒网关等安全设备。服务器应部署防病毒、木马等软件，并设置系统安全策略。三是针对拒绝服务攻击，可调整系统配置，配备防拒绝服-5-务攻击安全设备，通过基础电信运营商的服务等进行流量清洗。网站应保证足够的带宽，采用出口链路冗余技术。四是建立服务器操作系统、网站系统平台、网站管理平台各个层面的身份鉴别机制。修改操作系统默认管理员账户名和口令，及时删除多余和过期的账户。建立操作员、管理员、审计员3类网站管理角色。在远程维护管理时，应使用具有加密协议的登录控制模块，并及时删除多余和过期的远程维护账户。五是对网络设备、安全设备、服务器操作系统、网站访问日志、网站系统管理操作行为安全审计，选用安全审计相关设备。每月对审计记录进行统计、分析，并对审计记录进行保存防护。通过对网站访问日志中攻击事件的审计分析，确认攻击危害性并做出相应的控制措施。六是每周至少对网站数据库进行1次全备份，每天进行1次差异备份。网站数据库备份应每年至少进行1次恢复测试，确保备份数据库文件的可用性。合理设置日志文件的存放空间和存放期限，确保日志备份的连续完整。七是每月进行1次网站安全扫描，至少包含网站服务器操作系统、网站系统平台、网站页面漏洞等方面的扫描；应每年至少进行1次网站渗透性测试。在扫描和测试前，应对数据库和源代码进行备份；在扫描和测试后，应及时进行安全加固，对漏洞可能已造成的入侵进行确认和修复。八是建立网站内容发布管理制度，确定负责内容编辑、内-6-容审核、内容发布的人员，明确审核程序，保存审核记录。应每月进行1次离线扫描和人工检查错链，确保链接的有效性和适用性。二〇一二年十一月一日主题词：经济管理信息网站安全意见本钢集团有限公司办公室2012年11月1日印发