黨政機關網站安全管理規范化建設探究

在經濟全球化和全球信息化加速發展的大背景下，信息安全問題已經影響到經濟發展、政治活動、社會管理、思想輿論和民眾生活等諸多領域。進一步辦好黨政機關網站，有利于促進各級黨委、政府及其部門依法行政，提高社會管理和公共服務水平，保障公眾知情權、參與權和監督權，對加強黨委、政府自身建設，推進行政體制改革和政府職能轉變，建設服務型政府具有重要意義。為此，中共揚州市委辦公室、市政府辦公室決定，在全市開展“黨政機關網站整治、安全接入互聯網”專項行動，通過啟動“中國揚州”門戶網站群和黨政機關網站信息安全監測平臺建設、開展重點單位信息系統定級備案與等級測評和風險評估等工作，認真貫徹國家、省和揚州市關于電子政務建設、信息安全保障工作的一系列決策部署，牢固樹立以社會和公眾為中心的理念，堅持統籌規劃、協同建設、分級管理，努力把黨政機關網站辦成網絡可信、安全可控、信息公開的重要窗口和建設服務政府、效能政府的重要平臺。

一、黨政機關網站現狀

揚州市政府門戶網站及部門網站規模化建設始于2002年實施的“國家信息化首批試點城市‘數字揚州’電子政務‘三大工程’”，市政府組成部門、黨群部門、人大、政協和省管單位以及公共事業服務單位共建有網站170多個；“中國揚州”門戶網站十年間歷經多次改版，伴隨兩輪黨政機構改革，目前建有鏈接關系的黨政機關、社會事業和公共服務各類網站93個。

截至2011年初，揚州市政府組成部門和黨群部門網站建有率近100％，其中由市政府信息中心統一運行維護的不到16％，委托電信公司和IT服務企業運行維護的分別為38.7％和17.2％，自建自管的達25.6％；網站建設投入根據規模和功能等因素從幾千元到幾十萬元、上百萬元不等，多頭接入互聯網導致直接、間接的運行維護費用居高不下，衍生出的安全防護設備投入嚴重不足，寬帶網絡綜合復用效能低下。各類政務網站建設、應用與管理水平總體上仍處于初級發展階段，尤其是信息安全意識和防護保障能力嚴重匱乏，主要表現在：

1、縣(區)、鄉級黨政機關網站管理不規范。一是域名注冊亂，有的單位不按照規定使用一級域名cn，二級域名gov；不按照行政職能，隨意使用gov和CON類域名；已經停止使用的網站域名不按照規定辦理注銷手續，仍在外包IT企業服務器上運行；機構改革后，部分機關網站未及時辦理網站主管變更和域名重新注冊登記；二是集中水平低，市、縣兩級黨政機關網站集中管理程度不高，服務器分散、利用率不高、安全防護能力薄弱，接入互聯網的出口通道眾多且網絡運營商不一，造成嚴重的重復投資與運維風險，尤其是鄉鎮一級，直接將服務器委托給社會上的IT服務企業管理，隱患相當大；三是管理措施弱，部門工作人員的信息安全意識和管理舉措有待進一步加強，筆記本電腦、移動U盤不經檢查隨意接入單位內網和社會公網，造成病毒交叉感染，甚至導致網站被攻擊、網頁被篡改。

2、網站信息內容管理不規范。一是信息公開滯后，該公開的政策文件不及時公開，該調整的重要信息不及時調整，該變更的欄目專項不及時變更：二是信息更新太慢，有的部門網站內容尤其是新聞動態整月、整季都不更新；三是架構設置陳舊，未按照政務網站測評標準及時改版。

3、網站安全防護管理不規范。有的部門重網站建設，輕網站管理，尤其是在信息安全意識強化、信息安全設備投入和信息系統定級評估方面，口頭上重視，行動上忽視，以種種理由借故推諉，信息安全工作落實不到位，絕大多數政務網站(系統)至今仍未實施計算機信息系統等級保護和風險評估，甚至極少數部門至今未辦理非經營性網站ICP備案手續，網站開辦的合法性、合理性存在相當嚴重的問題。

今年工信部在全國工業和信息化工作會議上要求“加強改進互聯網行業管理，維護網絡與信息安全”、“組織開展黨政機關網站專項整治，深化政府信息安全檢查，推進政府部門互聯網安全接入”。我市結合創建全國文明城市工作，以“黨政機關網站整治、安全接入互聯網”為切入點，全面推進網絡與信息安全保障各項工作的落實。

二、整改方案總體思路

在集約建設和充分利用現有電子政務資源的基礎上，強化管理、優化系統，形成網絡架構、技術防范、終端管理、監測預警和互聯網接入“五個統一”的一體化建設管理與安全保障體系，用二到三年的時間，使全市黨政機關網站建設做到“網站域名、網絡接入、網絡終端、網站運維、網絡安全”五個方面的規范化，使全市電子政務健康有序發展。

1、網站域名規范化。嚴格按照《中國互聯網絡域名管理辦法》、《信息產業部關于調整中國互聯網域名體系的公告》和《中央編辦關于進一步加強黨政群機關和事業單位網上名稱管理工作的通知》等規定，對網站域名注冊登記情況進行自查和整改，機構改革后的部門應及時向域名主管機構申請辦理域名管理注冊登記、變更、注銷等相關手續。黨政機關網站一級域名為“cn”，二、三級域名要按規定報經市信息化主管部門審核批準。規范使用“gov”、“org”等英文域名和“政務”、“公益”中文域名，不得使用“com”、“net”等一級域名。各地有條件的街道(社區)、鄉鎮(村)可申請獨立域名，也可在當地政府門戶網站域名下衍生次級域名。

2、網絡接入規范化。按照國家相關規定要求，全市黨政機關網站統一出口接入互聯網。市直機關黨政部門網站經由“中國揚州”門戶網站統一出口接入互聯網，2011年集中管理率達80％，2012年完成全覆蓋；各縣(市、區)黨政機關部門網站均由各地門戶網站統一出口接入互聯網，2011年起3年內完成全覆蓋；黨政機關各部門、街道、鄉鎮以及社區、村不獨立設置服務器，由各地門戶網站集中管理。各地、各部門黨政機關網站要和上下級黨委、政府部門網站之間做好鏈接，逐步實現資源共享、協同共建和整體聯動，并嚴格控制與其他非業務工作需要網站的鏈接，避免網絡遭受牽連性攻擊與危害。

3、網絡終端規范化。切實加強部門接入互聯網的網絡建設管理，進一步提高信息安全保障意識，進一步明確部門信息系統建設管理和個人終端接入使用的安全責任。部門涉密內網嚴格與互聯網物理隔斷，公務非涉密辦公網與互聯網邏輯隔離。本單位工作人員個人使用的電腦、移動終端按照規定的配備地址接入網絡，非本單位工作人員使用的電腦、移動終端確需接入網絡，須經單位網絡安全管理員檢查審核批準后方可接入。各地、各部門要嚴格按照國家、省和我市關于黨政信息公開保密審查的有關規定，實行黨政領導總負責、分管領導組織協調、責任部門和專門審查人員具體實施、保密工作部門指導監督的管理體制，切實做到涉密信息不上網，上網信息不涉密，確保網站全天候工作、信息頁面正常瀏覽、辦事和互動平臺暢通有效。

4、網站運維規范化。堅持發展與安全并重、管理與技術并重、應急處置與長效機制并重，進一步建立健全信息安全運行維護體系，提升各地門戶網站群技術支撐服務能力。各地黨政機關網站原則上由各地政府信息中心(電子政務中心)負責統籌建設和運維管理，未經各地信息化主管部門批準，各地黨政機關各部門不得將單位網站和非涉密網絡、信息系統外包給市場化經營性IT服務機構托管；各地、各部門要按照“中國揚州”門戶網站管理辦法規定，從規章制度、人員配備、軟件系統、設備配置等方面做好部門網站和非涉密網絡、信息系統的運行維護工作，確保全市電子政務工作高效安全開展。

5、網絡安全規范化。依據《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》和《江蘇省信息安全風險評估管理辦法》(試行)等規范要求，定期開展等級保護測評和風險評估工作。通過實施信息安全等級保護、政務系統風險評估、統一互聯網接入和主動開展日常信息安全巡檢、定期監測預警與應急處置等工作，切實增強黨政機關網站、網絡和信息系統防病毒、防攻擊、防泄密和反竊密能力，從整體上提高信息安全防護水平。

三、工作計劃目標要求

按照“統一規劃、協同建設、分級管理”的原則，通過有力整合和開發利用分布于各部門的各類公共服務資源，面向不同類型的用戶需求，發揮資源整合優勢，強化部門間的業務協同與共享，提升公共服務能力，帶動市縣兩級的聯動與互通，打造陽光政府、效能政府和服務型政府，全面推進全市電子政府、電子黨務建設及應用水平的深化，提升服務社會、服務民生的能力。

2011年：完成“中國揚州”門戶網站群主站和60個部門及下屬單位子站的建設和資源整合共享；年內，新建的市政府信息資源數據中心和黨政機關網站、重要系統信息安全監測平臺投入使用。

2012年：完成其余30多個部門(單位)網站的整合工作。

1、以《政府信息公開條例》和黨務公開的要求為依據，運用信息化技術手段，搭建統一規范的信息公開平臺，實現全市信息公開的統一性、完整性和規范性；

2、以用戶為中心，依托我市行政權力網上公開透明運行系統，通過數據交換等方式，深入推進行政權力事項網上申請、網上辦理、網上反饋，切實為企業、市民以及其他用戶提供方便快捷的網上辦事通道；

3、以互動交流為紐帶，通過市委書記信箱、寄語市長、在線訪談、意見征集等欄目及功能建設，不斷暢通市委、市政府與社會公眾的溝通交流渠道，協助解決社會公眾所關心的熱點、難點問題；

4、以提供服務為宗旨，通過個性化定制、智能終端訪問、網站無障礙等建設，充分發揮網絡資源優勢，滿足不同類型公眾的差異化、個性化需求，為公眾提供實實在在的特色服務；

5、以黨政機關網站和重要系統信息安全監測平臺為載體，開展事前、事中與事后全方位的監測預警和應急處置；通過統一接入互聯網，既可以盤活存量資源、發揮最大效用，又可以減少重復建設、提升安全防御能力。

結束語：

加強黨政機關網站規范化建設，提升政務信息系統安全管理，還要進一步完善黨政機關網站安全管理保障機制：

建立健全黨政機關網站信息安全員制度。各部門應明確一名負責人為分管領導，并確定一名政治素質較高、有一定網絡與計算機應用能力并受過網絡信息安全保密培訓的專職或兼職人員為網站信息安全員，健全工作網絡，明確工作職責，形成工作合力，建立并完善市縣一體、部門聯動的黨政機關網站和非涉密網絡、信息系統安全防護與保障體系。

建立信息安全突發事件報告與應急處置通報制度。按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”和屬地化管理的原則，遇有突發網絡信息安全事件，各地、各部門應在事件發現后的1小時內向市網絡與信息安全協調小組辦公室報告；根據信息安全事件性質與危害程度，由市網絡與信息安全協調小組辦公室啟動相應應急預案予以分級處置。各地、各部門應在信息安全事件得到妥善處理后的1日內向市網絡與信息安全協調小組辦公室報備處理結果。

加強對黨政網站建設管理的考核與監督。科學制定黨政機關網站考評內容和指標體系，充分發揮績效評估的導向和激勵作用，逐步建立電子政務網站績效評估機制。加強統籌協調和監督考核，定期對運行不穩定、內容更新不及時、服務質量低、應用效果差的網站予以通報，檢查結果作為年終綜合考評依據；發生重大信息安全事件的，將實行責任追究和一票否決制。