嘉兴市人民政府办公室转发市公安局关于进一步加强我市政府网站安全保护工作意见的通知
(嘉政办发(2008)59号)
各县(市、区)人民政府,市政府各部门、直属各单位:
市公安局《关于进一步加强我市政府网站安全保护工作的意见》已经市政府同意,现转发给你们,请认真贯彻执行。
嘉兴市人民政府办公室
二○○八年五月七日
关于进一步加强我市政府网站安全保护工作的意见
(市公安局 二○○八年五月)
据统计,截至4月10日,我市已有35家市级部门(单位)网站(网页)和电子商务网站先后遭到了“黑客”的入侵和破坏。其中3月28日,嘉兴市纪委“南湖清风”网站遭到来自土耳其、美国等境外IP的攻击,网站主页的页面被篡改成含有一幅骷髅图片和部分英文字母的画面,导致原始网页无法正常运行;4月3日,嘉兴市城管执法局网站遭到不明“黑客”攻击,网站数据库内容被篡改,备份数据被全部删除,致使2007年以来的数据无法修复;4月10日,嘉兴市广播电视报社下属的“嘉兴人网站”、“嘉兴广电报网站”也遭到“黑客”入侵,网页被挂上“木马”程序,目前虽然 “木马”程序被删除、数据已修复,但给正常工作带来严重影响。
我市政府网站、电子商务网站之所以频频遭到攻击和破坏,固然有复杂的外部因素,也有网站自身防范薄弱、安全技术措施不到位、漏洞较多等原因,主要问题有以下三个方面:
一是网站自身存在严重的安全缺陷。上述网站的程序编写中,明显缺乏防攻击、防破坏的安全考虑,“代码”编写设计存在重应用、轻安全的缺陷。今年1月30日和2月27日,省公安厅先后两次通报我市15家政府网站(部门网站)和重要电子商务网站不同程度存在着严重SQL注入、被ARP挂马、目录遍历、上传漏洞等安全问题,存在信息泄露、数据损坏、主页遭篡改以及服务器被攻陷风险的情况。
二是安全技术措施不落实。检查发现,上述网站自身安全保护的软、硬件技术设施普遍不落实。有的网站服务器未配置“防火墙”;有的服务器和操作系统未落实安全检测功能;有的管理系统未安装查、杀毒软件;还有的系统口令和密码设置过于简单。
三是安全管理制度不健全、责任不明确。有的网站存在重日常运用、轻安全投入问题,自身安全意识不强;有的网站未配备专职安全管理和专业技术人员,日常维护缺乏安全技术力量的支撑;有的网站安全管理责任不明确、工作不到位,已配置的安全技术系统未能及时升级“补丁”。
为确保我市政府网站安全、有序运行,保障不被恶意攻击,现就进一步加强我市政府网站安全保护工作提出以下意见:
