重庆市人民政府办公厅关于加强北京奥运会期间政府网站安全防护工作的通知
(渝办发〔2008〕225号)
各区县(自治县)人民政府,市政府各部门,有关单位:
随着北京奥运会的日益临近,据市公安局网监总队提供的数据,我市政府网站仍然存在着不少安全隐患。今年1-6月,全市共发生9起政府网站被攻击案件,其中4起已移交公安部处理。在这些案件中,有的网站主页或页面被篡改;有的网站被“黑客”利用,建立后门,业务数据被下载;有的网站被上传含有病毒、木马等恶意代码的文件,导致网站无法正常运行。更为严重的是,个别部门在网站受到攻击后,不重视,不认真整改,导致发生网站再次被攻击的恶性事件。为做好北京奥运会期间我市政府网站的安全防护工作,根据《国务院办公厅关于加强北京奥运会期间网络信息安全工作的紧急通知》(国办发电〔2008〕8号)、《中共重庆市委办公厅重庆市人民政府办公厅关于加强北京奥运会期间全市网络信息安全工作的紧急通知》(渝委办〔2008〕99号)精神,现就有关事项通知如下:
一、落实工作责任。政府网站是政府面向社会公众提供网络服务的工作平台,各区县(自治县)人民政府办公室是当地政府网站管理的责任者,市政府各部门是本系统政府网站管理的责任者。各区县(自治县)、市政府各部门、有关单位要清理责任范围内的带“GOV”域名的网站,特别要加强对二级网站的管理,分别落实政府网站安全保护的工作责任,落实具体的管理措施。
二、清理检查内容。对运行政府网站的服务器和程序系统进行清理和检查,防止攻击者利用网站程序漏洞上传木马、病毒,篡改数据库,下载业务数据,控制服务器。删除网站不需要的程序模块,如不用的可执行文件,打包压缩文件;扫描排除SQL注入漏洞;严禁接受上传可执行文件,如程序文件、带宏的文件;如网站采用了ACCESS数据库,要修改后缀名,防止数据库文件被下载;网站中严禁使用免费的开放源代码软件。
三、完善安全防护措施。部署防火墙等安全设备,配置完善的安全策略,对网站服务器的访问仅开放Web服务、邮件服务等必要的端口,其他端口一律关闭。同时,开启服务器系统安全日志,扩大日志留存空间,删除不必要的账户,及时安装系统补丁。
