政策中心 » 上海市 » 经济信息化委 » 正文

上海市网络与信息安全协调小组办公室关于2013年重点网站运行安全工作情况的通报

发布日期:2013-12-06    浏览次数:2

沪网安办〔2013〕9号

  各有关单位:

  为贯彻《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)和2013年上海市信息安全保障工作会议的要求,我办委托上海市网络与信息安全应急管理事务中心(以下简称市应急管理中心)对全市重点网站运行安全开展了监测预警及应急处置服务,以切实加强本市重点网站与网上办事系统信息安全保障工作,提高网站防篡改、防病毒、防攻击、防泄密和反窃密的能力。经过一年的运行实践,全市重点网站运行安全状况总体平稳,未发生严重的安全事件,各类潜在安全风险也处于可控范围内,现将有关情况通报如下。

  一、工作组织及开展情况

  在总结2010年上海世博会期间重点网站安全监测处置及2011年政府网站安全管理试点工作经验的基础上,2012年11月,我办组织全市信息安全重点单位部署开展网站与网上办事系统信息安全日常监测和应急处置工作,并着手开展以下工作:一是开展为期半年的试运行,探索形成完善的服务模式。市应急管理中心先期为189家重要网站提供安全监测服务,重点监测网站安全事件和潜在风险,形成了“实时监测安全事件、动态发现潜在风险、及时发布预警信息、全程跟踪整改效果”的网站运行安全服务模式。二是规范服务流程,完善工作网络。今年3月,我办发出了《关于加强本市重点网站运行安全保障工作的通知》(沪网安办〔2013〕3号),规范了服务流程和评估机制,确定了210个全市重点网站名单,并明确了每个网站的安全联络员,形成了一套快速响应的工作网络。三是组织业务培训和技术交流,促进相关工作的开展。今年4月,我办组织召开了全市重点网站运行安全技术培训会,解读相关文件和网站运行安全分析评估规则,并邀请相关专家就网站安全保障制度、安全防护及监测技术开展了交流和培训。

  今年全年(2012年四季度至2013年三季度),市应急管理中心已向发生安全事件或存在潜在风险的重点网站主管单位发布网络与信息安全风险预警提示342份,跟踪相关安全风险的整改工作,编制并发布《上海市重点网站运行安全分析报告》共3期,为全市重点网站的安全运行提供了坚实的技术保障。

  二、监测预警及整改情况

  (一)整体监测情况

  今年全年,市应急管理中心共监测到全市重点网站潜在风险681个,未发现网页篡改、信息泄露、网站挂马、域名劫持、断开链接等安全事件。其中,高危风险13种186个,中危风险7种193个,主要集中在“跨站点脚本编制”和“存储型跨站点脚本编制”两类风险上。综合对比各季度监测情况,全市重点网站的安全运行状况平稳,网站中存在的潜在风险数量趋于减少。

  (二)运行安全状况评估

  按照《上海市重点网站运行安全分析评估规则(试行)》要求,对全市重点网站运行安全状况按季度进行评估排名。数据显示,各季度运行安全状况好的I级网站数均超过70个,占重点网站总数的三分之一以上。其中,市政协办公厅、市发展改革委、浦东新区政府、申银万国证券股份有限公司等10家单位的网站安全防护和管理工作到位,今年全年未监测发现网站安全事件,也未发现潜在安全风险,全年网站运行安全评估等级均为I级,我办将对以上网站运行安全优秀工作单位予以通报表扬(具体名单见附件)。

  (三)风险整改情况

  全年市应急管理中心共发布风险预警提示342份,45个重点网站运营管理单位在接到风险预警提示后进行了及时沟通和反馈。其中,市人大办公厅、市卫生计生委、市商务委、市农委、市新闻出版局、市质量技监局、市旅游局、市气象局、宝山区政府、上海市民信箱信息服务有限公司等单位与市应急管理中心保持了密切联系,在对网站系统进行升级改造时也及时以邮件、电话等方式告知;在接到风险预警提示后及时采取干预措施,咨询相应的解决方案;在整改过程中采用最新的安全技术,重新开发和设计了网站架构,并主动要求进行验证性检测,确保消除安全风险,网站运行安全状况得到显著提升。

  三、存在的主要问题

  在重点网站运行安全保障工作中,大部分单位对网站信息安全问题比较重视,网站运行安全平稳,但在监测过程中也发现了以下安全问题:一是责任主体意识仍需加强,网站托管给第三方的单位,应加强主动联系处理安全问题的责任意识。二是信息安全观念仍需加强,部分单位仍存在重网站建设、轻日常管理的情况,在网站出现高危风险时,应积极采取措施解决问题。三是适岗人员存在不足,信息安全管理工作职能由网络管理员兼任的现象比较普遍,同时大多数网站人员仍缺乏相应的信息安全技能培训,尤其是网站安全防护技能的训练。四是网站技术防护能力仍有欠缺,随着Web应用的日益灵活,安全风险也更加复杂,仅采用防火墙等传统防护手段已难以适应目前Web应用的发展。

  四、下一步工作安排

  根据监测中发现的安全问题,以及各有关单位的需求,下一步我办将重点开展以下工作:一是重点跟踪安全问题整改情况,对存在安全问题、安全风险的重点网站进行重点监测与跟踪整改,切实降低安全问题、安全风险的发生率。二是梳理明确本市重点网站,根据本市信息安全保障工作的要求和各有关单位提出的监测需求,调整相应的重点网站和安全联络员。三是积极开展相应的业务培训和交流工作,组织相应的在岗人员参加信息安全技能培训,开展网站运行安全保障工作交流研讨,提高重点网站防护人员技术水平和应急处置能力。四是通过政府采购统一采购部分急需的网站安全防护产品,部署在信息安全需求较高的部分重点网站使用,以提高其信息安全技术防护水平。

上海市网络与信息安全协调小组办公室

2013年11月20日

  附件:2013年上海市重点网站运行安全优秀工作单位名单

  市政协办公厅

  市发展改革委

  市经济信息化委

  上海海关

  浦东新区政府

  上海市公积金管理中心

  上海市文化市场行政执法总队

  申银万国证券股份有限公司

  中国电信股份有限公司上海分公司

  上海汽车集团股份有限公司

  (以上单位排名不分先后)

分享到: 收藏本文