信息索引号 | 002489452/2012-23838 | 公开形式 | 主动公开 |
文件编号 | 成文日期 | 2012-02-23 | |
发布机构 | 市经信局 | 信息分类 | 运行分析 |
点击率 |
杭州市信息安全工作取得明显成效
来源:杭州市工业经济信息网
发布时间:2012-02-23 08:28
浏览次数:
为维护全市政治、经济和社会的稳定,市网络与信息安全协调办公室(以下简称市网安办)采取有效措施,建立健全信息安全保障体系,加强重要信息系统安全检查,强化和落实信息安全责任。目前,我市各重要信息系统单位信息安全意识普遍提高,信息安全技术防范手段不断完善,人员安全保密措施不断规范,应急处置工作开展较为普及,全市信息安全工作上了一个新的台阶。
(一)精心谋划,分工协作
充分发挥市网络与信息安全协调办公室的职能,与全市各信息安全主管部门密切联系,协调推进,形成了分工明确,齐抓共管的良好局面。市经信委(市网安办)负责组织协调全市的信息安全保障工作,重点负责在杭各通信运营企业,切实加强通信网络系统的安全建设和运营工作,组织实施信息安全检查工作;市广电局负责广播电视传输网的安全管理和运营工作;市保密局会同有关部门做好网络信息内容的安全检查工作;市政府新闻办负责各网站登载新闻的管理工作;市公安局、市国安局负责查处和打击破坏基础信息网络和利用网络传播有害信息、危害公众利益和国家安全等的犯罪活动。此外,还协调推动各区县(市)政府按照省、市统一要求,明确了相应的牵头单位。
(二)加强宣传,自查自纠
在宣传、倡导“涉及基础信息网络和关系国家安全、经济命脉、社会稳定等的重要信息系统的安全和管理,按照‘谁主管谁负责,谁运营谁负责’的原则,由各主管部门和运营单位负责的同时,我们向市本级政府部门、13个区县(市)人民政府以及在杭的大专院校、金融机构、基础网络与通信运营企业等计100余个单位发出了《关于组织开展重要信息系统安全检查的通知》,组织各单位对照《网络与重要信息系统信息安全工作基本要求》和《信息安全工作检查自评估表》进行自查和自评估,填写《信息安全检查情况报告表》并提交自查报告,开展自查自纠。通过自查自纠,使各单位分管领导以及具体负责信息系统的同志在运用信息系统支撑各自业务的同时,进一步加强了信息安全防范意识,明确了信息安全的具体要求和应该采取的有效措施,清楚了各自信息系统的安全隐患和存在问题,以便于整改,提高信息系统的安全性。
(三)依据抽查,务求实效
为规范和加强信息安全工作,根据国务院、省信安办文件精神,结合我市实际,我们编制了《杭州市政府与重要信息系统单位安全检查实施办法》,作为统一的依据和准绳。在组织全市相关政府部门和重要信息系统单位开展自查自纠、分析自查报告、研究整改措施的基础上,由委领导毛国锋副主任和第三方专家带队,会同市公安局、国安局、保密局、密码局等网安办成员单位,对市建委、淳安县政府等20个市级政府部门、区县(市)政府和重要信息系统单位进行了为期一个多月的信息安全抽查。通过现场检查、当场讲评、一对一反馈、面上通报等形式,督查、反馈、整改、确认相结合,较好的促进、巩固和加强了我市的政府部门和重要信息系统单位的信息安全。
(四)攻防演练,强化责任
随着互联网及其应用的日益发展,政府门户网站日益成为一个信息安全的重点。为加强我市政府门户网站的信息安全工作,深刻认识当前门户网站所面临的风险,加以应对,我们组织市级二十多个部门开展了门户网站攻防演练,并召开现场会,研究解决问题。攻防演练主要以防攻击、防挂马、防篡改、防瘫痪、防泄密为目标,对门户网站安全防护情况进行深入检查。具体包括检查安全设备部署情况及其安全策略的有效性,确保设备性能满足要求;检查系统管理账户和口令,如无关账户、空口令、弱口令和默认口令等;检查服务器补丁更新情况;检查不必要的端口、服务、应用、链接和插件;检查网站目录结构;敏感信息泄露探测;检查网页挂马情况;排查安全隐患等。此外,还对网站的信息技术外包服务安全管理情况进行了检查。通过对全市所有政府门户网站的两次远程检查测试,现场讲评部分网站的薄弱环节,使得与会的相关部门负责人进一步认识了门户网站安全的重要性,加快和推进了网站信息安全整改的进程,对提升政府门户网站安全起到了积极的推动作用。在2011年度浙江省关于县级以上政府门户网站评估报告中显示,全省设区市综合排名杭州市名列第一,县、区级前10名中富阳、余杭、萧山、临安、滨江、淳安、江干区列前7位,桐庐县列第9位。
(五)与时俱进,建章立制
信息社会瞬息万变,随之而来的则是纷繁复杂的信息安全挑战。为应对挑战,我们及时制定并发布了信息安全检查实施办法和指南,明确检查范围、检查标准、评分依据,并根据国家、省市有关部署、历年检查所发现的薄弱环节、年度工作重点、第三方专家意见、当年信息安全问题趋势等研究提出检查内容,有重点地开展工作。从而将信息安全工作的重点逐步从信息安全制度的建设和完善扩展到了信息安全防护措施、门户网站安全管理、信息安全服务外包等方面,并根据我市实际,逐步推进了信息安全体系的建立健全。
为进一步推进我市信息安全工作,下一步我们计划着重从以下几个方面开展工作。一是全面开展信息安全等级评审和风险评估。根据《浙江省信息安全等级评审实施细则》,在开展信息安全等级保护定级工作的基础上,制定《杭州市信息安全等级评审实施细则》,开展信息系统评审,并加快实施信息系统风险评估;二是加快建立信息安全应急救援体系,促进信息安全救援工作的专业化和规范化;三是不断完善信息安全服务体系。鼓励信息安全服务外包、信息安全技术研发创新,倡导各类信息安全服务机构开展技术咨询与服务,努力构建政府主导、部门负责、社会参与的信息安全服务新体系;四是加强信息安全培训。利用各种渠道,开展不同形式的信息安全宣传教育和培训,使信息安全保护成为全社会的共识,成为广大公务员、市民的自觉行动。(杭州市经信委网络与信息资源管理处)
(一)精心谋划,分工协作
充分发挥市网络与信息安全协调办公室的职能,与全市各信息安全主管部门密切联系,协调推进,形成了分工明确,齐抓共管的良好局面。市经信委(市网安办)负责组织协调全市的信息安全保障工作,重点负责在杭各通信运营企业,切实加强通信网络系统的安全建设和运营工作,组织实施信息安全检查工作;市广电局负责广播电视传输网的安全管理和运营工作;市保密局会同有关部门做好网络信息内容的安全检查工作;市政府新闻办负责各网站登载新闻的管理工作;市公安局、市国安局负责查处和打击破坏基础信息网络和利用网络传播有害信息、危害公众利益和国家安全等的犯罪活动。此外,还协调推动各区县(市)政府按照省、市统一要求,明确了相应的牵头单位。
(二)加强宣传,自查自纠
在宣传、倡导“涉及基础信息网络和关系国家安全、经济命脉、社会稳定等的重要信息系统的安全和管理,按照‘谁主管谁负责,谁运营谁负责’的原则,由各主管部门和运营单位负责的同时,我们向市本级政府部门、13个区县(市)人民政府以及在杭的大专院校、金融机构、基础网络与通信运营企业等计100余个单位发出了《关于组织开展重要信息系统安全检查的通知》,组织各单位对照《网络与重要信息系统信息安全工作基本要求》和《信息安全工作检查自评估表》进行自查和自评估,填写《信息安全检查情况报告表》并提交自查报告,开展自查自纠。通过自查自纠,使各单位分管领导以及具体负责信息系统的同志在运用信息系统支撑各自业务的同时,进一步加强了信息安全防范意识,明确了信息安全的具体要求和应该采取的有效措施,清楚了各自信息系统的安全隐患和存在问题,以便于整改,提高信息系统的安全性。
(三)依据抽查,务求实效
为规范和加强信息安全工作,根据国务院、省信安办文件精神,结合我市实际,我们编制了《杭州市政府与重要信息系统单位安全检查实施办法》,作为统一的依据和准绳。在组织全市相关政府部门和重要信息系统单位开展自查自纠、分析自查报告、研究整改措施的基础上,由委领导毛国锋副主任和第三方专家带队,会同市公安局、国安局、保密局、密码局等网安办成员单位,对市建委、淳安县政府等20个市级政府部门、区县(市)政府和重要信息系统单位进行了为期一个多月的信息安全抽查。通过现场检查、当场讲评、一对一反馈、面上通报等形式,督查、反馈、整改、确认相结合,较好的促进、巩固和加强了我市的政府部门和重要信息系统单位的信息安全。
(四)攻防演练,强化责任
随着互联网及其应用的日益发展,政府门户网站日益成为一个信息安全的重点。为加强我市政府门户网站的信息安全工作,深刻认识当前门户网站所面临的风险,加以应对,我们组织市级二十多个部门开展了门户网站攻防演练,并召开现场会,研究解决问题。攻防演练主要以防攻击、防挂马、防篡改、防瘫痪、防泄密为目标,对门户网站安全防护情况进行深入检查。具体包括检查安全设备部署情况及其安全策略的有效性,确保设备性能满足要求;检查系统管理账户和口令,如无关账户、空口令、弱口令和默认口令等;检查服务器补丁更新情况;检查不必要的端口、服务、应用、链接和插件;检查网站目录结构;敏感信息泄露探测;检查网页挂马情况;排查安全隐患等。此外,还对网站的信息技术外包服务安全管理情况进行了检查。通过对全市所有政府门户网站的两次远程检查测试,现场讲评部分网站的薄弱环节,使得与会的相关部门负责人进一步认识了门户网站安全的重要性,加快和推进了网站信息安全整改的进程,对提升政府门户网站安全起到了积极的推动作用。在2011年度浙江省关于县级以上政府门户网站评估报告中显示,全省设区市综合排名杭州市名列第一,县、区级前10名中富阳、余杭、萧山、临安、滨江、淳安、江干区列前7位,桐庐县列第9位。
(五)与时俱进,建章立制
信息社会瞬息万变,随之而来的则是纷繁复杂的信息安全挑战。为应对挑战,我们及时制定并发布了信息安全检查实施办法和指南,明确检查范围、检查标准、评分依据,并根据国家、省市有关部署、历年检查所发现的薄弱环节、年度工作重点、第三方专家意见、当年信息安全问题趋势等研究提出检查内容,有重点地开展工作。从而将信息安全工作的重点逐步从信息安全制度的建设和完善扩展到了信息安全防护措施、门户网站安全管理、信息安全服务外包等方面,并根据我市实际,逐步推进了信息安全体系的建立健全。
为进一步推进我市信息安全工作,下一步我们计划着重从以下几个方面开展工作。一是全面开展信息安全等级评审和风险评估。根据《浙江省信息安全等级评审实施细则》,在开展信息安全等级保护定级工作的基础上,制定《杭州市信息安全等级评审实施细则》,开展信息系统评审,并加快实施信息系统风险评估;二是加快建立信息安全应急救援体系,促进信息安全救援工作的专业化和规范化;三是不断完善信息安全服务体系。鼓励信息安全服务外包、信息安全技术研发创新,倡导各类信息安全服务机构开展技术咨询与服务,努力构建政府主导、部门负责、社会参与的信息安全服务新体系;四是加强信息安全培训。利用各种渠道,开展不同形式的信息安全宣传教育和培训,使信息安全保护成为全社会的共识,成为广大公务员、市民的自觉行动。(杭州市经信委网络与信息资源管理处)