国务院办公厅关于印发政府网站发展指引的通知(11)
七、安全防护
政府网站要根据网络安全法等要求,贯彻落实网络安全等级保护制度,采取必要措施,对攻击、侵入和破坏政府网站的行为以及影响政府网站正常运行的意外事故进行防范,确保网站稳定、可靠、安全运行。在网信、公安等部门的指导下,加强网络安全监测预警技术能力建设。网站安全与网站开设要同步规划、同步建设、同步实施。
(一)技术防护。
1.政府网站服务器不得放在境外,禁止使用境外机构提供的物理服务器和虚拟主机。优先采购通过安全审查的网络产品和服务。使用的关键设备和安全专用产品要通过安全认证和安全检测。被列为关键信息基础设施的政府网站要在严格执行等级保护制度的基础上,实行重点保护,不得使用未通过安全审查的网络产品和服务。按照要求定期对政府网站开展安全检测评估。
2.部署必要的安全防护设备,应对病毒感染、恶意攻击、网页篡改和漏洞利用等风险,保障网站安全运行。操作系统、数据库和中间件等软件要遵循最小安装原则,仅安装应用必需的服务和组件,并及时安装安全补丁程序。部署的设备和软件要具备与网站访问需求相匹配的性能。划分网络安全区域,严格设置访问控制策略,建立安全访问路径。
3.前台发布页面和后台管理系统应分别部署在不同的主机环境中,并设置严格的访问控制策略,防止后台管理系统暴露在互联网中。要对应用软件的代码进行安全分析和测试,识别并及时处理可能存在的恶意代码。对重要数据、敏感数据进行分类管理,做好加密存储和传输。加强后台发布终端的安全管理,定期开展安全检查,防止终端成为后台管理系统的风险入口。
4.加强用户管理,根据用户类别设置不同安全强度的鉴别机制。禁止使用系统默认或匿名账户,根据实际需要创建必须的管理用户。要采用两种或两种以上组合的鉴别技术,确定管理用户身份。严格设定访问和操作权限,实现系统管理、内容编辑、内容审核等用户的权限分离。要对管理用户的操作行为进行记录。加强网站平台的用户数据安全防护工作。
5.使用符合国家密码管理政策和标准规范的密码算法和产品,逐步建立基于密码的网络信任、安全支撑和运行监管机制。
6.在网站建设中,应采用可信计算、云计算、大数据等技术,利用集约化手段,开展网站群建设,减少互联网出口,实现网站的统一管理、统一防护,提高网站综合防护能力。
(二)监测预警与应急处置。
1.建立安全监测预警机制,实时监测网站的硬件环境、软件环境、应用系统、网站数据等运行状态以及网站挂马、内容篡改等攻击情况,并对异常情况进行报警和处置。定期对网站应用程序、操作系统及数据库、管理终端进行全面扫描,发现潜在安全风险并及时处置。留存网站运行日志不少于六个月。密切关注网信、电信主管等部门发布的系统漏洞、计算机病毒、网络攻击、网络侵入等预警和通报信息,并及时响应。
总共19页
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 11
[12] [13] [14] [15] [16] [17] [18] [19] 上一页 下一页