第一篇:强化政府网站安全的对策研究
强化政府网站安全的对策研究
【摘要】近年来,网络信息技术不断发展进步,并逐渐被广泛应用于人类的生产活动、生活活动中,为人们带来了很多便利。在此基础上,各种类型的网站被不断建立,为人们管理、应用丰富的信息资源提供了诸多方便,然而强化网站安全也成为人们在网络时代面临的一个巨大挑战。本文介绍了存在于当前政府网站安全防御措施中的不足,并结合实际问题提出了强化政府网站安全的对策。
【关键词】 政府网站 安全防御 对策
随着网络信息技术的不断发展,网络病毒的类型越来越多,对各个网站的安全构成了严重的威胁。政府网站是政府为群众服务的窗口,是政府信息发布的平台,是社会公众与政府部门交流对话的重要渠道,具有一定的特殊性,因而其安全维护工作更为重要。在实际操作过程中,要积极采取有效保护措施,变被动为主动,加强政府网站的安全防御系统,保障政府网站安全、高效运行。
一、当前政府网站安全防御措施的不足
就我国政府网站目前的安全建设情况来看,安全防御措施中尚存在着很多不足。主要从以下三个角度展开具体分析:(1)对政府网站安全的重视程度不够。很大一部分工作人员只注重建设健全网站的应用功能,忽视了政府网站安全方面的建设工作,日常维护力度不够,进而导致政府网站的安全性能较差。(2)在网站的传统安全管理模式中,大多是利用网站应用中自带的安全扫描工具对网站进行周期性的安全扫描和评估,并结合评估结果进行安全管理。这种方式虽然能检查出网站中存在的安全性问题,然而无法对其展开实时监护,具有一定的被动性和滞后性。(3)对政府网站进行安全管理工作时,由于其数量较多、类型复杂,所以很难对网站进行全面、系统地监管,并且当前管理模式落后、被动,对政府网站的安全性建设极为不利。
二、强化政府网站安全的对策
(1)建立安全监管模式。目前,政府网站的维护者、管理者很难在第一时间发现网站运行过程中出现的安全漏洞或者网站被恶意攻击者挂马等问题,因此,应在基本维护工作的基础上,结合网站维护人员的监管要求,在网站安全防御体系中加入检测性能以及相关管理机制,以改变传统的静态检测办法,形成动态检测办法,建立一个全面的监管模式。利用这种安全监管模式,可以对政府网站中存在的安全隐患进行实时检测,一旦发现问题便会立即采取应对措施。此外,该模式还可以远程监控、检查各级政府网站,发现安全隐患后立即发出警报。(2)采取风险防护办法。建立了高效的监管模式并不能充分保障政府网站的安全性,全方位的安全监管只是加强政府网站安全防御的基础性环节。建立完善的监管模式后,应针对存在于政府网站中的问题采取相应的防护办法。目前我国政府网站运行中出现的主要问题是对网站应用的恶意攻击,利用的主要方式是跨站脚本、SQL注入。针对这一问题,可采取的措施是检测、验证各个客户端在网站应用程序中的请求,主动诊断网站挂马,实时监测网页篡改,采取有效应对措施应对SQL、跨站及其变形攻击。(3)提高应急恢复能力。为实现对政府网站进行安全防御,加强其对抗风险能力的同时,也要注重提高应急恢复的能力。我国的政府网站中经常会出现门户网站被篡改的现象,对政府形象甚至国家形象带来一定的不利影响,并且恶意攻击者可能会利用政府网站发布一些不良信息。所以,当政府网站被恶意篡改时,应在最短时间内对其进行恢复,降低危害程度。目前,实时监护、自动恢复等技术在我国网站中得到了广泛地应用,对网站遭到破坏之后迅速自动恢复具有很大的帮助。(4)检查网站日常运行。为提高政府网站的安全防御能力,还应对网站的日常运行进行定期检查。可以应用网站中的自动检测工具对网站的安全性进行检测、评估,并针对网络病毒的变化情况,及时对扫描工具、插件进行更新,以确认系统可能存在的未知安全漏洞。同时,还要检查网站中的相关配置,确保各项配置都处于正常状态。此外,应充分应用网站的应用程序,定期对网站进行现场检查或者远程调查,及时修正错误参数。
三、总结
政府网站是政府服务群众的重要窗口,是社会公众获知政府信息的主要渠道,强化政府网站安全意义重大。加强对政府网站的安全保护工作应以预防安全事故为主,加强对网站安全措施的监管力度,周期性地更新防篡改软件,提高工作人员的应变能力,积极进行风险防护,并建立健全异地备份机制。
参 考 文 献
[1] 袁中,姜辉.加强政府网站安全的对策与建议[J].中国信息安全,2012(2)
[2] 周承兵,张伟,夏国光.信息系统安全等级保护整改建设研究[J].计算机安全,2012(1)
[3] 赖建华,林宁思,赵涛.政府网站群等级保护安全体系研究[J].海峡科学,2013(10)
[4] 陈烨,廖志峰,高盛华.基于等级保护基本要求构建安全可靠政府网站[J].信息网络安全,2013(10)
第二篇:政府网站安全责任书
政府网站安全责任书
根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号)和《信息安全等级保护管理办法》(公通字[2007]43号)等规定,为加强政府网站的网络安全保护工作,由公安机关与政府网站安全责任单位共同签订责任书,明确和落实网站开办单位的安全管理责任及公安机关的安全监管责任。具体内容如下:
一、网站开办单位要高度重视网站安全保护工作,按照“谁主管、谁负责,谁运营、谁负责”的原则,明确责任,落实网站各项安全保护措施,保障网站的安全稳定运行。
二、政府网站建设和应用要与网络安全同步规划、同步建设、同步实施,开展信息安全等级保护定级备案、安全测评、安全建设整改和安全自查等工作。
三、网站开办单位要制定完善网站安全应急预案,定期开展应急演练。建设安全监测手段,开展实时监测。对重要数据和系统,建设相应的备份措施。做好技术力量、资源的储备,应对重大突发事件的发生。
四、网站开办单位应配合公安机关开展安全检查,与公安机关建立重大网络安全事件(事故)发现、报告、应急处置等工作机制。
五、公安机关应加强对网站开办单位网络安全工作的指导,定期进行现场安全检查和远程技术检测,对网站存在的安全漏洞和隐患及时通报预警,对发生的案事件及时进行调查侦查,打击攻击政府网站的违法犯罪活动。
六、对网站安全责任和工作要求不落实的,或网站被不法分子攻击、篡改及传播、链接有害信息的,公安机关应督促网站开办单位及时整改,情节严重的,依法追究相关单位及责任人的法律责任,并进行通报。
七、本“责任书”一式四份,网站开办单位、公安机关和双方监察部门各存一份。
网站安全责任单位领导(签字): 公安机关分管领导(签字):
网站单位(盖章)公安机关(盖章)
第三篇:政府网站管理办法
政府网站管理办法
第一章 总则
第二章 第一条(目的和宗旨)
为了加强和规范政府公众网站建设,促进电子政务的发展,根 据国家有关法律法规,结合上海实际,制定本办法。构成)
第二条(构成)
政府公众网站是政府机关在互联网上办理行政事务、提供公共 服务、公开政务信息、发布政务新闻和接受公众监督的平台。
本市政府公众网站主要由“中国上海”政府门户网站(以下简 称门户网站)和市级行政机关、区县政府在互联网上建立的公众网 站(以下简称部门网站)构成。
第三条(适用范围)
本市市级行政机关、区县政府(以下简称政府机关)的政府公 众网站的建设、运行和管理,适用本办法。
本市其它国家机关、中央在沪行政机关、区县街道办事处、乡 镇政府、以及其他具有行政管理职能、提供公共服务的组织的公众 网站,可以参照适用本办法。
第四条(原则)政府公众网站的建设、运行和管理应当遵循公开、便民、效率 和安全的原则。政府公众网站的内容应当真实、准确、及时。
第五条(管理部门)
上海市人民政府办公厅(以下简称市政府办公厅)是本市政府 公众网站的主管部门,负责全市政府公众网站的建设,并组织、协 调、监督有关部门实施本办法。上海市信息化委员会(以下简称市信息委)负责全市政府公众 网站建设的总体规划,并会同上海市技术监督局研究和推广政府公 众网站的技术标准。上海市信息网络安全协调办公室(以下简称市网安办)负责本 市政府公众网站安全建设和运行管理的组织协调、指导监督工作。市公安、国家安全、国家保密、新闻、通信管理局等部门依法履行 各自职责。门户网站由市政府办公厅主管,门户网站编辑部具体负责门户 网站的日常信息发布和运行管理工作,并负责部门网站的具体业务 指导和组织协调工作。市级行政机关和区县政府负责本部门和本级 政府网站的建立、运行和日常管理工作。
第二章 政府公众网站的内容
第六条(名称)门户网站的名称为:中国上海。部门网站名称为:
(一)上海市政府所属的委办局和有关部门的名称为“上海+ 各部门的缩写名称”。
(二)上海市政府下辖的区县政府的名称为“上海+各区县名 称”。
(三)各区县政府所属政府机关网站的名称为“各区县名称+ 各部门的缩写名称”。
第七条(域名)门户网站的主域名为:www.xiexiebang.com、www.xiexiebang.com和
www.xiexiebang.com。市级行政机关部门网站的域名为www.xiexiebang.com,其中 xxx 为各机构简化名称首字拼音缩写。区县政府公众网站的域名为www.xiexiebang.com,其中 xx 为各区 县简化名称首字拼音缩写。基本内容和功能)
第八条(基本内容和功能)政府公众网站应当具有以下基本内容和功能:
(一)网上政务,必须向社会公众提供本部门所有行政审批事 项服务,实现网上受理、办理状态查询和结果反馈功能,努力在网 上实现“一办到底” ;必须在网上提供所有有效的办事表格,网上 下载的办事表格具有同等办事效力。
(二)网上服务,提供与公众生活和工作密切相关的便民、利 民服务项目,提供有关本部门承担的政府工作职能的网上咨询服 务。
(三)政务公开,依据《上海市信息公开条例》和本办法第九 条和第十条的规定,公开政务信息。
(四)政策法规,包括与本行政机关管理职责相关的法律、法-3-规、规章和其他具有普遍约束力的决定、命令,以及公开征求意见 的政策法规草案。
(五)监督投诉,必须设立能受理社会公众建议、意见、投诉 的服务渠道并及时响应回复。
(六)帮助导航,包括网站地图,建议使用的技术要求等。
(七)搜索引擎,提供本站点以及相关的信息搜索和查询。除了前款规定以外,政府机关可以结合自身职责的需要合理增 加其他内容和功能。公开的政务信息)第九条(公开的政务信息)政务信息公开应当便民、利民、无偿。下列信息应当予以公开:
(一)本市的政治、经济、文化、历史、自然风貌与人文景观、社会发展介绍。
(二)本市各级政府机关主要领导人介绍及其联系方式。
(三)本市各级政府机关的机构设置和职能分工。
(四)本市各级政府机关办理的行政许可、登记事项、行政给 付事项、行政检查事项、行政强制事项、行政处罚事项、投诉和救 济事项等内容。
(五)办理事项所依据的法律、法规、规章以及上海市各政府 机关颁布的具有普遍约束力的决定、命令。
(六)办事对象应具备的条件或资格、权利和义务。
(七)办理机构具体办理事项的地址、时间、联系方式、收费 情况。
(八)本市各级政府机关的具体办事依据、办事程序。-4-
(九)本市各级政府机关公开招聘的启事。
(十)本市各级政府机关可以对外的重大政务信息,如重大决 策、重大活动或会议、领导人变动、统计数据、财政收支状况、举 办听证会。
(十一)《上海市政府信息公开规定》应当公开的政务信息。
(十二)其他应当公开的政务信息。内容的保密)第十条(内容的保密)政府机关应当对上网信息进行严格审查。下列信息不得上网发 布:
(一)涉及国家秘密的信息。
(二)政治、外事活动方面的敏感信息。
(三)不宜公开的经济、科技、社会等信息。
(四)未经议决的行政管理事项,公开征集意见的除外。
(五)涉及个人隐私和商业秘密的信息。
(六)其他法律、法规规定不宜公开的信息。第十一条(无偿查询)无偿查询)自然人、法人或其它组织查询政府公众网站公开的信息应当是 无偿的(不包括获取途径)。电子信箱)第十二条(电子信箱)门户网站为全市政府机关有关工作人员开设统一规范的电子 信箱。电子信箱的开设、维护和撤销由门户网站另行制订统一的管理 规范,各部门实行分级管理,确保电子信箱的安全、可靠运行。-5-页面形式)第十三条(页面形式)政府公众网站的页面形式应当统一,具体要求包括:
(一)在网站首页的正上方标明本市市徽和网站名称。
(二)每个主要页面上应标注“更新日期”的信息。
(三)标注版权和最佳浏览方式。部门网站页面形式还应当做到:
(一)统一标识,在部门网站首页左上角统一放置 “中国上海” 门户网站标志,并在其下方标明门户网站的域名。
(二)在首页右上角,标明网站主办单位,在其下方标明部门 网站域名。链接)第十四条(链接)门户网站应当与部门网站建立链接,部门网站应当在主页“中 国上海”门户网站标识处建立与门户网站的链接。政府公众网站应当提供和本部门业务相关的政府公众网站、社 会公益事业网站和商业网站的链接。政府公众网站链接到其它网站的,应当定期进行测试,避免出 现不能链接或者错误链接的现象。语言)第十五条(语言)政府公众网站语言应当简明扼要,通俗易懂。政府公众网站应 当提供中文简体和繁体版本,并根据自身网站用户群的需要,提供 一种以上国外语种的版本。特殊群体利益保护)第十六条(特殊群体利益保护)政府公众网站应当通过社区便民服务点提供各类服务,尽可能-6-在技术和功能上照顾到特殊弱势群体的要求。第三章 运行管理 建立)第十七条(建立)市级政府机关和区县政府应当建立本部门和本级政府公众网 站,并明确具体的责任部门和责任人,指定一名分管领导主管网站 建设工作。任何非政府机关和个人,均不得建立政府公众网站。运行和维护)第十八条(运行和维护)各政府机关负责本级政府公众网站的运行和维护。各政府机关应当定期对本级政府公众网站的运行质量进行分 析,对用户数据和网络资源、数据库进行统一管理,定期进行软件 更新、版本升级。委托)第十九条(委托)经专家评议,政府公众网站的建立、运行和维护工作可以委托 给具有一定资质和良好社会信誉的单位承担。委托其他单位建立、运行和维护政府公众网站的,政府机关应 当与受托方签订委托协议。委托机关应当对受托方所建立、运行和 维护的政府公众网站进行监控和检查,并对其信息的及时性、真实 性和合法性负责。第二十条 工作制度要求)第二十条(工作制度要求)市级政府机关和区县政府应当建立本部门和本级政府公众网-7-站建设、运行和维护的内部管理制度、安全保密制度和信息审核规 则,并明确管理责任人。政府部门应当对其政府网站提供的信息以及服务建立承诺制 度,保证网上服务的质量。第二十一条 报送)第二十一条(报送)市级政府机关和区县政府应当及时、准确地向本部门网站和门 户网站报送本系统、本地区网上办理行政事务、提供公共服务、政 务公开、政务新闻等内容。下列政务信息应当向政府网站直接报送:
(一)属于市政府对外公开的政务信息,市政府新闻办应当及 时通知门户网站及时予以发布。
(二)属于向门户网站或部门网站报送的政务信息,政府部门 在报送有关新闻单位的同时应当报送门户网站或部门网站。第二十二 信息发布备案制度)第二十二条(信息发布备案制度)对于市级政府机关和区县政府向本部门网站和门户网站报送 的内容,部门网站应当建立完善的信息发布备案制度。第二十三条 更新)第二十三条(更新)政府机关应当及时更新其政府公众网站的内容,每周不得少于 两次。政府机关应当及时更新与本行政机关管理职责相关的法律、法 规、规章和其他具有普遍约束力的决定、命令,自其正式实施前完 成。第二十四条 反馈)第二十四条(反馈)-8-具有行政事务办理功能的政府公众网站应当提供办理状态查 询功能,并且能够充分反映某项事务真实的办理情况。为市民提供咨询服务的便民项目,或者市民通过电子邮件就有 关行政管理、公共服务的内容反映问题、提出建议的,应当按照有 关法规和政府公众网站的承诺期限办理。没有具体承诺期限的,应 当在 3 个工作日内,予以回复。情况复杂的,经主管领导同意,应 当在 15 个工作日内,予以回复。市民通过政府公众网站行使复议、申诉等权利的,按法律、法 规规定的程序和期限办理。第二十五条 费用安排)第二十五条(费用安排)政府公众网站的建设、运行、维护资金由同级财政列支。第四章 安全防范 第二十六条 安全责任单位)第二十六条(安全责任单位)政府机关对其建立的政府公众网站的安全负责。第二十七条 系统的安全)第二十七条(系统的安全)政府公众网站安全系统的建设应当包括:机房建设、Web 安全 发布系统、电子公告服务内容过滤系统、防火墙系统、病毒防治系 统、邮件过滤系统、入侵检测和审计系统、网络及主机漏洞扫描系 统等。政府公众网站安全系统的具体标准由市网安办负责组织制定。第二十八条 安全产品的要求)第二十八条(安全产品的要求)-9-政府公众网站的安全产品应当具备公安部颁发的 《计算机信息 系统安全专用产品销售许可证》 和中国国家安全测评认证中心颁发 的《国家信息安全认证产品型号证书》,确保系统的先进、稳定和 可靠。第二十九条 安全工作制度)第二十九条(安全工作制度)政府机关应当建立如下政府公众网站的安全工作制度:
(一)对政府公众网站的数据应当作定期备份。
(二)为重要设备和系统设立密码并定期更新。
(三)建立严格的机房管理制度。
(四)定期委托具有资质的第三方安全测评机构进行系统安全 测评,及时对病毒防治系统、操作系统、数据库等系统软件进行升 级。
(五)建立预警机制,制订应急方案;进行定期演练,并报市 网安办备案。
(六)在发生安全突发事故后,应当及时向市网安办报告。第三十条(托管服务商的安全要求)第三十条 托管服务商的安全要求)政府公众网站采用托管方式的,应当向托管服务商提出相应的 安全防护要求。第五章 考核与监督 第三十 考核和奖惩)第三十一条(考核和奖惩)政府机关应当重视和加快政府公众网站的建设。市政府办公厅依据《上海市政府部门网站评议考核试行办法》对市级政府机关和 区县政府推进政府公众网站工作进行考核,市级政府机关和区县政 府对本部门、本系统的政府公众网站的工作进行考核并予以奖惩。对成绩显著的市级政府机关、区县政府和负责人予以表彰、奖 励。对迟报、漏报、误报、虚报网站内容,以及网上办事无理由未 履行承诺或者拖延履行造成不良影响或严重后果的,应当对有关政 府机关和区县政府以及负责人进行批评教育,直至行政处分。第三十二条 监督评议)第三十二条(监督评议)政府机关应当对其政府公众网站提供的网上办事、公共服务、政务信息公开内容建立承诺制度,确保网上服务的真实有效。政府机关应当组织对其建立的政府公众网站进行网上评议。门户网站可以定期组织对部门网站进行专项或者综合评估,并 及时公布评估结果。第六章 第六章 附则 第三十三 解释单位)第三十三条(解释单位)本办法由市政府办公厅会同市信息委负责具体应用解释。施行日期)第三十一条(施行日期)本办法自 年 月 日起施行
第四篇:服务型政府网站
服务型政府网站是政府凭借其自身特有的信息资源优势,通过网站的形式整合其所有资源,以用户为中心,以服务为导向,以信息公开为基础,以在线办事和互动交流为主要业务,为民众提供及时、便捷、高效、易用的信息服务平台。简言之服务型政府网站是在政府信息公开、在线办事和公众参与三大基础功能上设立服务专栏,强化服务资源整合,为解决社会公众关心的热点、难点问题创造条件,使政府网站从内容导向型转向服务导向型。
2010年中国政府网站绩效评估指标体系,是针对各地方门户政府网站(包括省级政府门户网站、地市级政府门户网站和区县政府门户网站)设计。指标体系采用了对重点领域服务能力评估的思路,设置了教育、社保、就业、医疗、住房、交通、证件办理、企业开办服务、资质认定、政府信息公开等10个领域的评估指标,引导政府网站强化服务百姓民生需求和企业开办、资质维护等办事能力。依据陕西省办公厅对此指标体系的分解方案(陕政办发号),按照郭县长的批示精神,县政府督查室联合县信息办对县政府门户网站和相关部门网站进行了走访调研。现就调研结果汇报如下:
1、依指标体系的相关解释,县政府门户网站和相关部门网站仍处于以内容为导向的阶段。
2、依指标体系的评估内容,县政府门户网站除政府信息公开外,其余9个服务领域的评估指标涉及很少,基本不具备上述服务领域的服务办事能力。
3、依指标体系的评估内容,相关政府部门网站,10个服务领域的相关评估指标涉及都很少,基本不具备上述服务领域的服务办事能力。
存在问题的原因:
第五篇:政府网站解决方案
【政府网站解决方案】
方案概述:
政府网站解决方案为信息资源开发共享提供了有效的工具,突破了传统地理的局限。且不同管理信息系统的数据可以在统一的平台下共享。该解决方案内容设计主要包括Internet网络应用平台、公文运转系统,信息发布系统,宏观经济管理,事业财务系统,固定资产项目管理,计划规划管理系统、网络安全运营管理、中文全文检索系统等。整个站点具有良好的完整性,是集网络平台、应用开发工具、应用实例、应用模板于一体的整体解决方案。
政府网站的作用:
1、要有利于向公众介绍政府部门的的机构职能等基本信息,公开政府的政策法规、办事程序,提高办事效率和透明度,保障信息发布的权威性;
2、通过网站接受公众的反馈信息,开辟了政府部门与企业、社会各界交流的渠道,开辟了便捷的为民服务窗口;
3、有效地为经济发展服务。可以把自身的信息资源发布在网站上,为当地企业参与竞争提供先进、及时的渠道;
4、提高部门与部门之间、与其他地区的政府机构、社会团体的密切联系,加强信息交流;提高政府部门在行政、服务和管理方面的效率,促进办公自动化应用。网站将是一个文件资料电子化中心,日常办公、办文、公文等业务基本实现无纸化传真,降低办公费用,各项工作将逐步向规范化方向发展。
三、网站框架(根据具体情况和要求调整):
☆政府电子邮局
政府信箱:通过反馈加强政府与公众的交流
通讯黄页:公布政府部门可以公开的联系方法
快讯订阅:浏览者通过Email可以订阅政府网站的新闻、信息等
☆信息发布系统
信息发布:旨在实现公告栏、政府新闻等动态信息的采编、审核、发布、检索等功能全文检索:对政策法规、制度、办事程序等文档进行方便的检索
网上调查:获得公众意见作为政务工作的参考数据
☆网站管理系统
信息发布管理:对所有发布的动态信息进行确认和审核
邮局管理:对政府邮局中提供的各项服务进行管理
网站安全管理:对访问网站的用户进行授权,对系统各个模块的访问用统一的用户权限加以保护。监测网站运行状态,通过对各种数据指标的统计分析,在网站遭受到非法攻击的第一时间迅速恢复备份的页面,保证网站的正常运行。