来宾市人民政府办公室关于印发2011年度来宾市政府信息系统安全检查工作实施方案的通知

来宾市人民政府办公室关于印发2011年度来宾市政府信息系统安全检查工作实施方案的通知

来宾市人民政府办公室关于印发2011年度来宾市政府信息系统安全检查工作实施方案的通知

各县（市、区）人民政府，来华投资区管委，市人民政府各工作部门、各直属机构：

《2011年度来宾市政府信息系统安全检查工作实施方案》已经市人民政府同意，现印发给你们，请认真组织实施。

二〇一一年八月五日

2011年度来宾市政府信息系统安全检查工作实施方案

为切实做好2011年度来宾市政府信息系统安全检查工作，根据《广西壮族自治区人民政府办公厅关于做好全区政府信息系统年度安全检查工作的通知》（桂政办发〔2010〕145号）和《关于印发<2011年政府信息系统安全检查指南>的通知》（工信部协〔2011〕214号）及《2011年广西壮族自治区政府信息系统安全检查工作实施方案》的要求，结合我市实际，特制定本方案。

一、检查目的

依据国家信息安全有关政策规定，对各级各部门信息安全工作进行全面检查，掌握信息安全总体状况，发现存在的主要问题和薄弱环节，进一步健全信息安全管理制度，完善信息安全技术措施，提高信息安全防护能力。

二、检查原则

坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，统筹安排、突出重点、明确责任、注重实效。

由来宾市政府信息系统安全检查工作领导小组办公室委托符合自治区工信委要求的检测机构——广西软件评测中心对各单位信息系统进行现场抽查和对门户网站进行外部扫描检测。

三、检查范围

来宾市人民政府及市直各部门的政府信息系统，各县（市、区）人民政府门户网站。

本方案所称政府信息系统安全检查，是指依据国家有关政策规定，参照国家信息安全技术标准规范，对政府信息系统安全保障工作进行检测评估、查找隐患、堵塞漏洞、规范管理、完善措施、落实整改、通报情况的过程，包括进行信息安全风险评估、安全检测、等级测评等。

政府信息系统安全检查的范围是为各部门履行职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等。各部门的门户网站、重要业务系统是检查重点。

涉及国家秘密的信息系统保密检查工作，按照国家保密管理规定执行。

四、检查依据

（一）《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)。

（二）《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔2009〕28号)。

（三）《广西壮族自治区人民政府办公厅关于做好全区政府信息系统年度安全检查工作的通知》(桂政办发〔2010〕145号)。

（四）工业和信息化部《关于印发<2011年度政府信息系统安全检查指南>的通知》（工信部协〔2011〕214号）。

五、检查内容

（一）信息安全组织机构

检查信息安全工作主管领导、信息安全管理机构、各内设机构信息安全员等设置和调整情况。按照《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》要求，各市县（市、区）、各市直部门应明确一名副职领导主管信息安全工作，应指定一个机构承担信息安全管理工作，各内设机构应指定一名专职或兼职信息安全员，并检查是否有相应文件明确机构、人员与责任等。

（二）日常信息安全管理

1．人员管理。查验相关文档、文件、记录等，检查信息安全和保密责任制建立及落实情况，人员离岗离职信息安全管理情况，外部人员访问机房等重要区域管理情况，违反制度规定造成信息安全事件的责任查处情况等。

2．资产管理。查验相关文档、台帐、记录等，检查资产管理制度建立及落实情况，办公软件、应用软件等安装与使用情况，计算机及相关设备维修维护管理、存储设备报废销毁管理情况等。

3．运维管理。查阅相关文档和记录，检查信息系统运营和使用权限管理、重要变更审批备案、日常运维操作管理、安全日志定期备份和分析等情况。对于委托外单位运行管理的，应查看服务合同和安全保密协议等。

（三）等级保护与风险评估

1．等级保护。检查信息安全等级保护有关文件要求的落实情况。通过查看等级保护定级备案、等级测评报告等相关文档，检查信息系统定级、测评、整改等情况。

2．风险评估。检查信息安全风险评估有关文件要求的落实情况，通过查看风险评估报告等，检查风险评估工作的开展情况。

（四）技术防护手段建设

1．网络边界安全防护。检查系统总体网络架构、子系统分布、终端节点、区域划分及边界防护、网络管理等情况；互联网接入情况；终端接入互联网时是否有安全信息提示措施等。

2．信息安全产品部署及使用。检查防火墙、入侵检测、安全审计、病毒防护等信息安全产品部署及使用情况，以及信息安全产品策略配置有效性等。

3．服务器安全防护。检查服务器上应用、服务、端口、链接以及系统补丁等情况，是否关闭了不必要的应用、服务、端口、链接；账号口令强度和更新情况；病毒木马防护措施，是否定期进行漏洞扫描、病毒木马检测等。

4．网络设备安全防护。检查安全配置有效性；账号口令强度和更新情况；是否定期进行漏洞扫描等。

5．终端计算机和移动存储设备安全防护。检查终端计算机是否采取集中安全管理措施；计算机账号口令强度和更新情况；终端计算机接入互联网安全控制措施(如实名接入、对计算机IP和MAC地址进行绑定、指定固定上网IP地址等)；是否安装病毒防护软件，定期进行漏洞扫描、病毒木马检测；是否在非涉密和涉密信息系统间混用了计算机和移动存储设备，是否使用了非涉密计算机处理涉密信息等。

6．门户网站安全防护。检查网站信息发布审批制度建立及落实情况；边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署情况，以及安全配置策略的有效性；是否定期进行漏洞扫描、木马检测等。

7．密码技术防护。检查采用密码技术对信息系统、终端计算机、电子文档等进行保护的情况，使用的密码技术产品及含有密码技术的信息技术产品是否符合国家密码管理规定。

8．网络信任措施。检查采用数字证书方式实现身份认证和授权管理的情况，使用的数字证书是否符合国家电子认证服务管理规定。

（五）应急管理工作开展

1．应急预案。检查《国家网络与信息安全事件应急预案》落实情况，是否制定了本县（市、区）、本部门信息安全应急预案，是否及时修订，是否组织开展了相应的宣贯培训。

2．应急演练。检查是否按照要求开展了信息安全应急演练。对于已开展演练的，应检查演练相关文档(包括演练组织单位、参与部门、演练责任人、演练时间、演练内容等)。

3．应急技术支援队伍。检查是否按照要求明确了应急技术支援队伍。对于已明确的，应检查签订的合同和安全保密协议，掌握应急技术支援队伍的基本情况以及开展的应急技术支援活动等。

4．灾难备份。检查是否根据实际需要对重要数据和信息系统进行了灾难备份。对于采用社会第三方灾难备份服务的，应检查签订的合同和安全保密协议以及灾难备份服务的运维情况等。

5．信息安全事件应急处置。检查本年度发生的信息安全事件及处置情况。对于发生重大信息安全事件的，应检查是否进行了及时处置，是否按照要求上报和通报等。(信息安全事件分级依据《国家网络与信息安全事件应急预案》)

（六）信息技术产品和信息安全产品使用

1．信息技术产品。检查服务器、网络设备、存储设备、终端计算机、字处理软件等使用本国产品的情况。使用捐赠的服务器、网络设备、存储阵列等产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

2．信息安全产品。检查防火墙、入侵检测设备、安全审计设备、VPN设备等信息安全产品使用本国产品的情况。使用捐赠的信息安全产品，应检查产品应用范围、签订的相关协议，以及使用前是否进行安全测评等。

根据工业和信息化部《2010年度政府信息系统安全检查指南》（工信部协〔2011〕214号），国产终端计算机、国产字处理软件、国产信息安全产品，暂按以下方法进行认定：(1)国产终端计算机应具有国内品牌，最终产品在中国境内生产，并符合法律法规和政策规定的其他条件；(2)国产字处理软件应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源代码，并符合法律法规和政策规定的其他条件；(3)国产信息安全产品应具有国内品牌，最终产品在中国境内生产，拥有核心模块的自主知识产权和源代码，通过国家认定的信息安全产品检测实验室的检测，并符合法律法规和政策规定的其他条件。

（七）信息安全服务

查看服务合同、安全保密协议等文件，检查信息安全服务机构的服务内容，是否有相应的服务记录，是否有远程在线服务，是否由外资机构提供服务等。

（八）信息安全教育培训

检查领导干部和机关工作人员参加信息安全教育培训、掌握信息安全常识和基本技能情况，信息安全管理和技术人员参加信息安全专业培训情况等。

（九）信息安全经费保障

检查信息安全防护设施建设、运行、维护、检查及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等，检查是否按照《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发〔2009〕28号)文要求落实了安全检查工作经费。

六、工作分工及时间安排

（一）工作分工

来宾市政府信息系统安全检查工作领导小组办公室负责组织与协调。广西软件评测中心负责具体的信息安全检查及信息安全技术检测工作。

（二）时间安排

1.信息安全自查

时间：2011年8月1日至2011年8月7日。

各单位要重点加强对门户网站的安全检查，排查安全漏洞和安全隐患，强化网站安全防护措施，按时完成本年度信息安全自查工作，并根据自查结果，填写《2011年信息安全检查情况报告表》（见附件1），同时，对安全检查工作进行认真总结、分析评估，按照2011年信息安全检查情况报告编写参考格式（见附件2）形成自查情况报告，以书面形式将检查情况报送来宾市政府信息系统安全检查工作领导小组办公室，同时报送电子文档（光盘)。电子文档使用国家统一配置的软件编制。

2.信息安全检查

时间：2011年8月7日至2011年8月15日。

来宾市政府信息系统安全检查工作领导小组办公室会同广西软件评测中心共同商定检查工作的内容和被检查单位、时间安排，并指定联系人。

3．检查实施阶段及技术检查手段

时间：2011年8月15日至2011年9月5日。

来宾市政府信息系统安全检查工作领导小组办公室会同广西软件评测中心按既定时间开展检查工作。检查式分为现场安全检查和内、外部安全检查。针对被抽查的单位进行全面检查。

(1)现场安全检查。主要检查信息安全有关管理制度、技术防护措施的落实情况等。

设备检测包括：

①信息系统安全漏洞扫描：通过专业检测设备和工具对内部办公网络及各终端计算机进行安全漏洞扫描和病毒检查。

②网络协议分析和透视及网络扫描：通过专业检测设备检测网络电缆的连通性，搜索网络中关键设备，分析网络的构成信息，诊断网络故障，查找网络问题。

③上网行为监测：通过专业检测设备监控内网用户的上网行为，如Web访问过滤、上网炒股控制、网络游戏控制、网络聊天监控、P2P下载控制、外发信息审计、带宽流量管理等，并对网络流量和网络活动进行监控。

(2)外部安全检查。对各单位门户网站进行外部安全检查，通过专业检测设备和工具对核心网站及二层机构门户网站的前端和后台服务器进行远程安全漏洞扫描，检测网站的跨站脚本、SQL注入、CGI缓冲区溢出，目录遍历等漏洞信息，并检测页面内容是否被挂接恶意代码或木马病毒，网站页面有无被篡改，敏感信息有无被泄漏等。信息系统安全漏洞扫描：通过专业检测设备和工具对内部办公网络及各终端计算机进行安全漏洞扫描和病毒检查。主要检测项包括：

①挂马检测：高效、准确识别网站页面中的恶意代码，第一时间掌握受检网站的安全状态，避免由于网站被挂马给访问者和网站带来的安全隐患。

②敏感内容提示：政府门户网站保存着大量敏感信息，实时监测目标站点是否出现一些对该单位不利的敏感关键字，如果发现敏感内容，会在第一时间反馈。检测人员也可以自定义所关心的敏感关键字。

③网页篡改检测：实时监测目标站点页面状况，发生页面被篡改情况，第一时间反应给检测人员，避免给政府部门带来的声誉和法律风险。

④政府信息系统入侵检测：对目前越来越严重的针对政府门户网站的各种蠕虫病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网游、视频等）等情况进行彻底检测。对缓冲区溢出、SQL注入、暴力猜测、D.o.S攻击、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击和恶意流量进行实时检测及报警，并通过与防火墙联动、TCPKiller、发送邮件、安全中心显示、日志数据库记录、运行用户自定义命令等方式进行动态防御。

⑤信息系统漏洞扫描：网站的风险漏洞是站点被攻击的根源，通过远程的网站应用层漏洞扫描服务，由我中心信息安全专家进行网站结构分析、漏洞分析，受检查单位无需任何Web应用扫描产品，即可获得网站的漏洞情况，以及修补建议。

4.检查工作汇总

时间：2011年8月15日至2011年9月15日。

由来宾市政府信息系统安全检查工作领导小组办公室相关人员与专业检测机构广西软件评测中心技术人员组成市政府信息系统安全检查工作组开展抽查工作。来宾市政府信息系统安全检查工作领导小组办公室委托广西软件评测中心作为本次抽查工作的专业检测机构。专业检测机构抽查完毕后，负责向我办和被查单位提交检测报告。

七、检查工作通报

由来宾市政府信息系统安全检查工作领导小组办公室形成检查工作报告报市政府和各单位。

八、检查经费安排

本次来宾市政府信息系统安全检查工作领导小组主导、委托广西壮族自治区软件评测中心进行现场抽查和对门户网站进行外部扫描检测。从组织、协调、检查、整改、出具检查报告、上报市政府整个过程将历时两个月，检查所需经费统一由本级财政安排专项资金予以保障。具体由来宾市政府信息系统安全检查工作领导小组办公室提出专项经费预算报市人民政府审批。

未尽事宜请与来宾市政府信息系统安全检查工作领导小组办公室联系。

联系人：文常春联系电话：4299767邮箱:[email protected]

附件：1.2011年信息安全检查情况报告表附件下载

2.2011年信息安全检查情况报告编写参考格式附件下载

延伸阅读

白银市人民政府关于大力发展奶牛产业的意见

关于进一步做好2008年节能工作的意见

市人民政府办公厅关于认真做好2015年市级重点建议提案办理工作的通知