转发区发改委拟定的宝坻区政府网站

安全漏洞专项整治行动方案的通知

各乡镇人民政府、街道办事处，区政府各部门：

区发展和改革委员会拟定的《宝坻区政府网站安全漏洞专项整治行动方案》已经区政府领导同志同意，现转发给你们，望认真遵照执行。

二○一○年二月八日

宝坻区政府网站安全漏洞专项整治行动方案

为堵塞政府网站安全漏洞，消除安全隐患，全面提高政府网站信息安全保障能力和水平，根据天津市统一安排，制定我区政府网站安全漏洞专项整治行动方案如下：

一、工作目标

通过专项整治，堵塞网站安全漏洞，消除安全隐患，落实管理责任，加强安全管理，全面提高信息安全保障能力和水平，力争将存在安全漏洞网站比例控制在10%以下。

二、工作原则

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理、分级负责的原则，政府部门对本部门网站负责，乡镇政府对本行政区域所属政府网站负责，以各部门、各单位自查为主，与统一组织的安全检查相结合。

三、组织领导

成立政府网站安全漏洞专项整治行动领导小组，组长由常务副区长李连元担任，副组长由区政府办公室主任张守利、区发改委主任康德元担任，成员由区政府办、发改委、公安分局、联通公司分管领导组成。领导小组下设办公室，办公室设在区发改委，由区政府办公室信息科、区信息网络中心、公安分局通信科、联通公司有关人员组成。各有关部门要落实人员，集中力量，精心组织，采取有力措施切实开展好此项工作。

四、工作分工

本次专项整治行动由区发改委牵头，公安分局、联通公司共同承担。

（一）发改委：负责专项整治行动的总体组织、协调工作。负责检查网站信息安全管理情况，组织技术队伍检查网站的风险和漏洞等。

（二）公安分局、联通公司：负责用于网站检查的IP地址的备案和管理，按照等级保护要求指导被检网站进行整改。

（三）各乡镇街、各部门的信息化主管科室：负责检查本单位或本区域所属门户网站、业务网站及下属单位网站。

五、检查内容

本次检查范围主要是各级政府、政府各部门接入互联网的网站，包括门户网站、业务网站及其下属单位网站。主要内容：

（一）网站安全漏洞排查

各单位可由本单位技术人员或委托第三方信息安全服务机构对本单位网站的安全漏洞进行排查，重点进行网页脚本检测、网站挂马情况检测、网站架构安全检测、服务器主机检测、网络边界设备检测。

（二）安全防护措施落实情况

专职信息安全员是否到位，是否经过相关专业培训，是否具有合格的信息安全防护技能，是否熟练掌握已有信息安全防护设备的使用方法和配置调试。

网站信息安全防护设备包括网页防篡改、防病毒、防攻击等是否安装到位，账户和口令的管理措施，操作系统、应用软件、病毒防护软件等的补丁升级，网站域名安全管理措施等是否严格执行。

（三）信息安全管理制度落实情况

网站信息安全管理制度包括网站安全管理制度、网站信息安全通报制度、信息发布审核登记制度、网站服务器机房管理制度、网站值班制度、安全责任追究制度等的建立和落实情况。

（四）应急响应机制建设情况

网站信息安全突发事件应急预案制定、演练、落实情况，应急技术支援队伍建设情况，重大信息安全事故处置情况，网站重要数据和系统灾难备份情况等。

（五）网站安全漏洞整治情况

对网站设备设施、防范措施、安全制度等方面存在的漏洞和薄弱环节的分析排查情况，研究和制定整改措施等情况。

六、工作任务和时间安排

（一）自查

1．时间安排：2010年2月。

2．工作要求：各单位按照工作分工和检查内容，严格进行自查，对发现的问题立即进行整改，并于2010年3月1日前将自查情况和整改报告报至区发改委。

3．自查整改报告

自查整改报告主要包括自查范围（本单位网站及下属单位网站名称、域名、IP地址、服务器所在地址、网站备案登记号、所属部门、联系人、主管领导、联系电话。上述内容要制成表格。）、组织实施情况、网站安全漏洞检测情况、网站安全漏洞整改情况，安全管理制度建立和执行情况，对本次专项整治工作的建议等内容。自查整改报告要求详实、准确，能够真实反映网站的信息安全状况。

自查报告以单位名义报送，包括纸质文件（盖章）和电子文档。

（二）检查

1．时间安排：2010年3月。

2．工作安排：

由区发改委会同公安分局、联通公司组织技术力量对全区政府网站进行检查，以远程扫描、渗透为主。检查工作结束后，对仍存在比较严重安全漏洞的单位向全区通报，并将检查结果上报区政府。

七、工作要求

（一）各单位要充分认识开展政府网站安全漏洞专项整治工作的极端必要性，切实加强组织领导，确保取得实效。

（二）对自查发现的管理和技术漏洞，要积极采取有力措施，对网站和安全设备的配置进行修改和升级、加装相关网站保护设备、删除不必要用户和端口，及时堵塞漏洞，消除安全隐患，确保网站正常安全运行。

（三）切实做好检查过程中的信息安全和保密工作，确保被检查网站安全正常运行。委托专业机构参与检测评估时，应对专业机构及检测人员进行审查，签订安全保密协议，明确安全和保密责任，并将参与检查的专业机构及检测人员情况作为整改报告的内容报区发改委。

（四）各单位要建立情况通报制度，在专项整治工作期间，做好信息上传下达工作，及时通报工作进展、反映问题，做好沟通工作；专项整治工作后期，各单位要认真进行整改，并为今后政府网站安全管理工作积累经验。

（五）做好新建和在建网站的管理工作，形成专项行动的长效机制。新建或在建的政府门户网站或业务网站，应到区信息化办公室申请备案。对于不备案登记的政府网站，由区信息化办公室责令其停止整顿，造成不良影响的在全区通报。

八、专项整治行动领导小组办公室联系方式

区发改委  信息网络中心    张喆    29243766

九、信息安全服务机构及联系方式

1．国家计算机病毒应急处理中心

联系人：苏圣魁    电话：66211487、13516125881

2．市政府办公厅信息技术服务中心

联系人：金志宏    电话：23329890、13502091820

刘  杰    电话：23329100-818、13902153106

3．天津市国瑞数码信息安全技术有限公司

联系人：李忠献    电话：13501262862

4．北方计算机中心

联系人：王学政    电话：13602123122

5．天津市软件评测中心

联系人：曹静      电话：85689300-806、13502060513

6．其他具有信息安全检测能力的公司