国务院关于大力推进信息化发展和切实保障信息安全的若干意见
当前位置： >> >> >>
中央政府门户网站　www.gov.cn　　 日 10时44分　　 来源：国务院办公厅
国务院关于大力推进信息化发展和
切实保障信息安全的若干意见
国发〔2012〕23号
各省、自治区、直辖市人民政府，国务院各部委、各直属机构：
　　大力推进信息化发展和切实保障信息安全，对调整经济结构、转变发展方式、保障和改善民生、维护国家安全具有重大意义。近年来，各地区、各部门认真贯彻落实党中央、国务院决策部署，加快推进信息化建设，建立健全信息安全保障体系，有力地促进了经济社会发展。当前，世界各国信息化快速发展，信息技术的应用促进了全球资源的优化配置和发展模式创新，互联网对政治、经济、社会和文化的影响更加深刻，围绕信息获取、利用和控制的国际竞争日趋激烈，保障信息安全成为各国重要议题。但是，我国信息化建设和信息安全保障仍存在一些亟待解决的问题，宽带信息基础设施发展水平与发达国家的差距有所拉大，政务信息共享和业务协同水平不高，核心技术受制于人；信息安全工作的战略统筹和综合协调不够，重要信息系统和基础信息网络防护能力不强，移动互联网等技术应用给信息安全带来严峻挑战。必须进一步增强紧迫感，采取更加有力的政策措施，大力推进信息化发展，切实保障信息安全。为此，提出以下意见。
　　一、指导思想和主要目标
　　（一）指导思想。
　　以邓小平理论和“三个代表”重要思想为指导，深入贯彻落实科学发展观，以促进资源优化配置为着力点，加快建设下一代信息基础设施，推动信息化和工业化深度融合，构建现代信息技术产业体系，全面提高经济社会信息化发展水平。坚持积极利用、科学发展、依法管理、确保安全，加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐稳定。
　　（二）主要目标。
　　重点领域信息化水平明显提高。信息化和工业化融合不断深入，农业农村信息化有力支撑现代农业发展，文化、教育、医疗卫生、社会保障等重点领域信息化水平明显提高；电子政务和电子商务快速发展，到“十二五”末，国家电子政务网络基本建成，信息共享和业务协同框架基本建立；全国电子商务交易额超过18万亿元，网络零售额占社会消费品零售总额的比重超过9%。
　　下一代信息基础设施初步建成。到“十二五”末，全国固定宽带接入用户超过2.5亿户，互联网国际出口带宽达到每秒6500吉比特（Gbit），第三代移动通信技术（3G）网络覆盖城乡，国际互联网协议第6版（IPv6）实现规模商用。
　　信息产业转型升级取得突破。集成电路、系统软件、关键元器件等领域取得一批重大创新成果，软件业占信息产业收入比重进一步提高。
　　国家信息安全保障体系基本形成。重要信息系统和基础信息网络安全防护能力明显增强，信息化装备的安全可控水平明显提高，信息安全等级保护等基础性工作明显加强。
　　二、实施“宽带中国”工程，构建下一代信息基础设施
　　（一）加快发展宽带网络。实施“宽带中国”工程，以光纤宽带和宽带无线移动通信为重点，加快信息网络宽带化升级。推进城镇光纤到户和行政村宽带普遍服务，提高接入带宽、网络速率和宽带普及率。加强3G网络纵深覆盖，支持具有自主知识产权的3G技术TD-SCDMA及其后续演进技术TD-LTE产业链发展，科学统筹3G及其长期演进技术协调发展。加快下一代广播电视网络建设，推进广播电视网络数字化、双向化和互联互通改造。
　　（二）推进下一代互联网规模商用和前沿性布局。加快部署下一代互联网，抓紧开展IPv6商用试点，适时推动IPv6大规模部署和商用，推进国际互联网协议第4版（IPv4）向IPv6的网络演进、业务迁移与商业运营。完善互联网国家顶层网络架构，升级骨干网络，实现高速度高质量互联互通。重点研发下一代互联网关键芯片、设备、软件和系统，推动产业化步伐。加快未来网络体系架构关键理论和核心技术的研发，加强战略布局，建设面向未来互联网创新发展的示范平台。
　　（三）加快推进三网融合。总结试点经验，在确保信息和文化安全的前提下，大力推进三网融合，推动广电、电信业务双向进入，加快网络升级改造和资源共享，加强资源开发、信息技术和业务创新，大力发展融合型业务，培育壮大三网融合相关产业和市场。加快相关法律法规和标准体系建设，健全适应三网融合的体制机制，完善可管、可控的网络信息和文化安全保障体系。
　　三、推动信息化和工业化深度融合，提高经济发展信息化水平
　　（一）全面提高企业信息化水平。推广使用数字化研发设计工具，加快重点行业生产装备数字化和生产过程智能化进程，全面普及企业资源计划、供应链、客户关系等管理信息系统。实施重大信息化示范项目，引导企业业务应用向综合集成和产业链协同创新转变。继续实施中小企业信息化推进工程和制造业信息化科技工程，提高中小企业和制造业企业信息化水平。完善企业信息化和工业化融合水平评估认定体系，支持面向具体行业的信息化公共服务平台发展。
　　（二）推广节能减排信息技术。推动工业、建筑、交通运输等领域节能减排信息技术的普及和深入应用，加大主要耗能、耗材设备和工艺流程的信息化改造。建立健全资源能源综合利用效率监测和评价体系，提升资源能源供需双向调节水平。建立健全主要污染物排放监测和固体废弃物综合利用信息管理系统，完善污染治理监督管理体系。
　　（三）增强信息产业核心竞争力。加大国家科技重大专项对信息产业核心基础产品、网络共性关键技术开发的支持力度，加快推动新一代移动通信、基础软件、嵌入式软件以及制造执行系统、工业控制系统、大型管理软件等技术的研发和应用。加强统筹规划，积极有序促进物联网、云计算的研发和应用。实施工业电子产品提升工程，推进信息技术与工业技术融合创新，提高汽车、船舶、机械等产品智能化水平。推动电子信息产品制造企业由单纯提供产品向提供综合解决方案和信息服务转变。
　　（四）引导电子商务健康发展。健全安全、信用、金融、物流和标准等支撑体系，探索有效监管模式，建立规范有序的电子商务市场秩序。引导电子商务平台向提供涵盖信息流、物流、资金流的全流程服务发展。鼓励大中型企业开展网络采购和销售，加强供应链协同运作，重点推动小型微型企业普及电子商务应用。实施移动电子商务试点示范工程，创建电子商务试点示范城市，创新电子商务发展模式，改善电子商务发展环境。
　　（五）推进服务业信息化进程。推动银行业、证券业和保险业信息共享，支持金融产品和服务创新，促进消费金融发展，提高面向小型微型企业和农业农村的金融服务水平。加快推进交通、旅游、休闲娱乐等服务业信息化。培育和发展地理信息产业，大力发展信息系统集成、互联网增值业务和信息安全服务。提高工业设计信息化水平。
　　四、加快社会领域信息化，推进先进网络文化建设
　　（一）提升电子政务服务能力。围绕提升服务和监管能力，促进政府管理创新，加强电子政务顶层设计。以互联互通为重点，形成统一的国家电子政务网络，完善项目建设管理、绩效评估和运行维护机制。扎实推进药品、食品、住房、能源、金融、价格等重要监管信息系统建设。推动重点领域信息共享和业务协同，加快电子政务服务向街道、社区和农村延伸，支持基层政府和社区开展管理和服务模式创新试点示范。加强地理空间和自然资源、人口、法人、金融、税收、统计等基础信息资源的开发利用，促进共享。全面提升电子政务技术服务能力，鼓励业务应用向云计算模式迁移。加强电子文件管理与应用。
　　（二）提高社会管理和城市运行信息化水平。建立全面覆盖的社会管理综合信息系统。完善人口信息共享机制，实现实有人口动态管理，提高人口信息动态监测和分析预测能力。建设公众诉求信息管理平台，改进信访工作方式。加强网络舆情分析，健全网上舆论动态引导管理机制。推动城市管理信息共享，推广网格化管理模式，加快实施智能电网、智能交通等试点示范，引导智慧城市建设健康发展。
　　（三）加快推进民生领域信息化。加快学校宽带网络建设，推动优质数字教育资源开发和共享，完善教育管理信息系统，构建面向全民的终身学习网络和服务平台，大力发展远程教育，形成教育综合信息服务体系。完善医疗服务与管理信息系统，加快建立居民电子健康档案和电子病历，加强国家和区域医药卫生信息共享，夯实远程医疗发展的基础。构建覆盖城乡居民的劳动就业和社会保障信息服务体系，全面推行社会保障卡应用，推动就业信息共享。推进减灾救灾、社会救助、社会福利和慈善事业等社会服务信息化。提高面向残疾人等特殊人群的信息服务能力。
　　（四）发展先进网络文化。鼓励开发具有中国特色和自主知识产权的数字文化产品，加强知识产权保护，壮大数字内容产业，培育数字内容与网络文化产业骨干企业，扩展数字内容产业链。加强重点新闻网站建设，规范管理综合性商业网站，构建积极健康的网络传播新秩序和网络氛围。积极推进数字图书馆等公益性文化信息基础设施建设，开发精品网络科普资源，完善公共文化信息服务体系。
　　五、推进农业农村信息化，实现信息强农惠农
　　（一）提高农业生产经营信息化水平。推动农业适用信息技术的研发应用，加快推进农业生产基础设施、装备与信息技术的融合。提高种植业、养殖业生产信息化和农村专业合作社、农产品批发市场经营信息化水平。加强农业生产环境监控、生产过程监测、行业发展监管，建立和完善农产品质量安全追溯体系。积极培育、示范、推广适用的农业信息化应用模式。
　　（二）完善农业农村综合信息服务体系。规范各类农业信息服务系统，建立全国农业综合信息服务平台，鼓励发展专业信息服务，加快推进涉农信息资源开发、整合和综合利用。继续推进农村基层信息服务站和信息员队伍建设，形成村为节点、县为基础、省为平台、全国统筹的农村综合信息服务体系。
　　六、健全安全防护和管理，保障重点领域信息安全
　　（一）确保重要信息系统和基础信息网络安全。能源、交通、金融等领域涉及国计民生的重要信息系统和电信网、广播电视网、互联网等基础信息网络，要同步规划、同步建设、同步运行安全防护设施，强化技术防范，严格安全管理，切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力。加大无线电安全管理和重要信息系统无线电频率保障力度。加强互联网网站、地址、域名和接入服务单位的管理，完善信息共享机制，规范互联网服务市场秩序。
　　（二）加强政府和涉密信息系统安全管理。严格政府信息技术服务外包的安全管理，为政府机关提供服务的数据中心、云计算服务平台等要设在境内，禁止办公用计算机安装使用与工作无关的软件。建立政府网站开办审核、统一标识、监测和举报制度。减少政府机关的互联网连接点数量，加强安全和保密防护监测。落实涉密信息系统分级保护制度，强化涉密信息系统审查机制。
　　（三）保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，以及物联网应用、数字城市建设中的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。
　　（四）强化信息资源和个人信息保护。加强地理、人口、法人、统计等基础信息资源的保护和管理，保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求，强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任，严格规范企业、机构在我国境内收集数据的行为。在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点，加强个人信息保护工作。
　　七、加快能力建设，提升网络与信息安全保障水平
　　（一）夯实网络与信息安全基础。研究制定国家信息安全战略和规划，强化顶层设计。落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查。强化网络与信息安全应急处置工作，完善应急预案，加强对网络与信息安全灾备设施建设的指导和协调。完善信息安全认证认可体系，加强信息安全产品认证工作，减少重复检测和重复收费。
　　（二）加强网络信任体系建设和密码保障。健全电子认证服务体系，推动电子签名在金融等重点领域和电子商务中的应用。制定电子商务信用评价规范，建立互联网网站、电子商务交易平台诚信评价机制，支持符合条件的第三方机构开展信用评价服务。大力推动密码技术在涉密信息系统和重要信息系统保护中的应用，强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用。
　　（三）提升网络与信息安全监管能力。完善国家网络与信息安全基础设施，加强网络与信息安全专业骨干队伍和应急技术支撑队伍建设，提高风险隐患发现、监测预警和突发事件处置能力。加强信息共享和交流平台建设，健全网络与信息安全信息通报机制。加大对网络违法犯罪活动的打击力度。进一步完善监管体制，充实监管力量，加强对基础信息网络安全工作的指导和监督管理。倡导行业自律，发挥社会组织和广大网民的监督作用。
　　（四）加快技术攻关和产业发展。统筹规划，整合力量，进一步加大网络与信息安全技术研发力度，加强对云计算、物联网、移动互联网、下一代互联网等方面的信息安全技术研究。继续组织实施信息安全产业化专项，完善有关信息安全政府采购政策措施和管理制度，支持信息安全产业发展。
　　八、完善政策措施
　　（一）加强组织领导。在国家信息化领导小组和国家网络与信息安全协调小组的领导下，各有关部门要按照职责分工，认真落实各项工作任务，加强协调配合，形成合力，共同推进信息化发展和网络信息安全保障工作。各地区要将保障网络与信息安全列入重要议事日程，逐级建立并认真落实网络与信息安全责任制，明确主管领导，确定工作机构，负责督促落实网络与信息安全规章制度，组织制定应急预案，处理重大网络与信息安全事件等，并根据本地实际情况，建立省（区、市）、地（市）两级网络与信息安全协调机制。
　　（二）加强财税政策扶持。发挥财税政策的杠杆作用，加大对信息化和工业化深度融合关键共性技术研发与推广、公共服务平台、重大示范工程建设等的支持力度。完善农村通信普遍服务补偿机制，优先支持农村、欠发达地区综合信息基础设施建设和改造。整合利用现有资金渠道，中央财政加大投入，重点支持信息安全重要基础性工作。各地区、各部门要将基础性公益性网络与信息安全设施运行维护、安全服务和检查等费用纳入财政预算。
　　（三）加快法规制度和标准建设。完善信息化发展和网络与信息安全法律法规，研究制定政府信息安全管理、个人信息保护等管理办法。健全相关法规制度，明确并落实企事业单位和社会组织维护信息安全的责任。制定完善新一代信息技术在重点领域的应用标准，注重发挥标准对产业发展的技术支撑作用。培育国家信息安全标准化专业力量，加快制定三网融合、云计算、物联网等领域安全标准。积极参与制定信息安全国际行为准则、互联网治理等国际规则和标准。
　　（四）加强宣传教育和人才培养。开展面向全社会的信息化应用和信息安全宣传教育培训。支持信息安全与保密学科师资队伍、专业院系、学科体系、重点实验室建设。加强大中小学信息技术、信息安全和网络道德教育，在政府机关和涉密单位定期开展信息安全教育培训。各级财政要加大对信息安全宣传教育和培训等公益性活动的支持。加快培养创新型、应用型信息化人才。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　国务院
　　　　　　　　　　　　　　　　　　　　　　　　　二〇一二年六月二十八日
【E-mail推荐 上传我的文档
 上传文档
 下载
 收藏
粉丝量：148
该文档贡献者很忙，什么也没留下。
 下载此文档
浅谈政府部门应如何加强个人信息安全的保护
下载积分：590
内容提示：浅谈政府部门应如何加强个人信息安全的保护
文档格式：PDF|
浏览次数：59|
上传日期： 19:42:30|
文档星级：
全文阅读已结束，如果下载本文需要使用
 590 积分
下载此文档
该用户还上传了这些文档
浅谈政府部门应如何加强个人信息安全的保护
关注微信公众号比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
政府网站如何保障信息安全
　　据统计，2007全年，政府网站累计被篡改数高达数千个，面对这一“险恶江湖”，政府中门户网站的安全项目招标比例逐年增加，招标前还应从需求出发设计强有力的安全防护架构。
　　在“5?12”汶川大地震期间，多个地方地震局网站遭受攻击，有的甚至多次被黑，并发布虚假消息，给社会带来了恶劣的影响。根据中国互联网络信息中心(CNNIC)2008年1月第21次《中国互联网络发展状况统计报告》，我国网站的安全问题十分严峻，大量网站被和篡改，甚至被植入攻击程序，成为黑客的得力工具。在这些安全事件中，涉及国内政府机构和重要信息系统部门的网页篡改类事件的数量最多。某些地方政府网站被篡改后长期无人过问，有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。
　　目前，政府网站系统在安全策略的配置、补丁的及时更新、网络安全产品的部署、防软件的升级方面还存在一些问题，加上政府网站数据备份意识薄弱，必然给网站运行带来很大的安全隐患。基于互联网架构的政府网站，安全防护体系的建立引起国家安全部门和有关安全专家格外关注，解决政府网站的安全运营已经刻不容缓。但是，政府网站在纷纷寻找保护自己的“软卫甲”时，容易操之过急，还没有做系统的设计规划就匆忙动手，结果必然达不到理想效果。政府采购中门户网站的安全项目招标比例逐年增加，在招标前一定要从现状出发，制定出一套好的策略规划。
　　政府网站 6大安全隐患
　　目前我国政府网站的拥有率已经达到较高的水平，其中国家部委单位政府网站的拥有率为96.1%，省级、地市级、县级三级政府网站拥有率分别为90.3%、94.9%和77.7%。由于某些部门对政府网站安全缺乏足够认识，许多地方政府网站的安全防护体系建设都十分脆弱，其应急响应能力也很薄弱。面对漏洞信息的分析和处理缺乏必要的认识和判别，这无异于将重要信息暴露于外。正如很多业内专家所指出的那样: 网页频遭篡改暴露出了政府网站重形式、轻安全的问题。
　　我国90%以上的政府网站存在各种各样的安全漏洞，很多网站都曾受到过黑客的攻击和计算机病毒的侵害，给国家造成了较大的损失。政府网站安全主要存在以下几方面问题:
　　1. 政府网站的网络与防护能力仍处于“初级阶段”，尚未形成科学、完整、高效、统一的网站安全保障体系。目前，许多网站的政务信息应用系统处于“不设防”状态。
　　2. 目前政府网站的安全防护要么完全没有部署安全产品，要么几个安全设备来“维持”安全，没有形成多个安全产品兼容、联动、动态的防护体系。
　　3. 目前政府网站的安全是只重视“局部”，轻视“全局”防护，没有从网站的物理安全、网络安全、系统安全、应用安全、病毒防治、冗余备份等安全防护体系来整体规划部署。
　　4. 大多数政府网站缺少安全管理体系，安全意识薄弱，职责不到位，没有安全应急流程和预案，导致发现安全问题时不能及时、有效地解决。
　　5. 大多数政府网站没有通过实施“电子政务信息安全等级保护”来综合考虑网站的安全防护体系，缺乏网站的安全风险与评估体系。
　　6. 目前大多数政府网站缺乏自主创新的国产核心安全产品和安全防护体系解决。
　　防止“病从口入”
　　政务信息防护体系包含安全性防护、保密性防护、完整性防护、可信性防护和健康性防护等方面。
　　政府网站是各级人民政府在国际互联网上发布政府信息和提供在线服务的综合平台，不仅体现了各级人民政府为人民服务的宗旨，更代表着政府的形象。政府网站的安全防护体系与其他信息安全防护相比，有其自身的特点。
　　1. 网站的信息加载和发布安全防护。
　　网站信息需要不时更新，由于信息加载人员是基于互联网上网，因此采用接入、CA证书以及权限限制等安全技术，保证信息加载过程中信息的完整性。信息加载人员还应严格按照网站信息采集、编校、审核和报送工作流程，执行国家有关计算机网络运行安全、保密规定，严禁涉密信息、上网，按照“先审查，后发布; 谁发布，谁负责”的原则，确保发布信息的真实性和合法性。
　　2. 网站的安全防护。
　　网站的前台发布需要通过安全技术手段实现同后台的逻辑隔离; 发布服务器可以采用多台硬件服务器，实现负载均衡和相互备份的功能。发布服务器的安全等级高低依次为、和Windows，采用安全的Web服务器(Apache、Tomcat、等)进行网站信息发布，还应在服务器上安装网页防篡改系统等安全产品，确保网站正常、安全、稳定地运行。
　　3. 网站的应用系统安全防护。
　　网站的应用包括邮件、视频、信息报送、在线访谈、信息公开、网上申报审批等，应用系统的安全防护也是比较重要的。应用软件的安全性要保证运行稳定可靠，有较好的容错性，应用软件应该经过充分测试，不会由于误操作而出现系统崩溃的现象。还要注意加强应用系统产品化的采购和使用，这样可以确保网站应用的安全可靠。
　　4. 网站的运行维护管理安全防护。
　　当网站的安全技术手段和措施到位后，网站的管理就显得特别重要。要保障网站的日常运维，充分发挥安全技术人员的主观能动性，定期检查安全技术和措施有没有发挥作用，存在哪些安全漏洞和隐患，以及如何解决等一系列问题。政府部门应定期进行网站安全的风险评估，加强应急预案的演练，防患于未然。
　　P2DR 动态防护模型
　　政府网站系统应在最危险的地方设防，并时刻采取相应的检测机制，及时修补和加固安全漏洞。这种安全防护思想就是“动态安全防护体系”，由此提出了P2DR模型: Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)。
　　P2DR模型由防护、检测和响应组成一个完整、动态的安全循环，在安全策略的指导下保证网站信息系统的安全，P2DR安全模型的特点就是动态性和基于时间的特性。
　　Policy: “安全策略”是P2DR安全模型的核心，所有的防护、检测、响应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略体系的建立包括安全策略的制订、评估、执行，制定可行的安全策略取决于对网络信息系统的了解程度。
　　Protection: 防护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有、加密、认证等方法。
　　Detection: 在P2DR模型中，“检测”是非常重要的一个环节，“检测”是动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和网站系统，来发现新的威胁和弱点，并通过循环反馈来及时做出有效的响应。网站的安全风险是实时存在的，所以我们检测的对象应该主要针对构成安全风险的两个部分: 系统自身的脆弱性及外部威胁。
　　Response: “紧急响应”在网站安全系统中占有最重要的地位，是解决潜在安全问题最有效的办法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题，就要制定好紧急响应的方案，做好紧急响应方案中的一切准备工作。
　　安全防护体系 策略规划
　　根据网站群系统安全防护需要，应从物理安全、系统平台、系统安全、应用安全和内容安全等方面进行相关安全策略的规划。
　　● 物理安全防护
　　这里主要是指放置政府网站各种设备和线路的环境要求，它是建立体系的基础。机房的空调、、监控系统、线路、系统等基础设施都必须符合国家有关标准和安全要求，政府网站的安全防护体系才会有很好的“安全根基”。选购网络设备、安全设备以及服务器和各类终端时，建议要尽量选用国产化技术和国内公司的产品，特别是具有自主知识产权的安全产品。
　　● 系统平台安全防护
　　政府网站群平台系统采用三层结构技术体系设计，三层结构技术将整体应用划分成表现层、业务逻辑层、数据层。每一层相对独立，能够有效地实现安全性、可移植性、扩展性。通过采用三层结构有效地保证各个应用层面的可伸缩性。政府网站系统平台要求较高的安全性设计，要从数据传输层安全、数据安全、联机事务处理安全、网络结构安全等方面进行通盘考虑。使用传输层加密协议、CA认证管理、联机事务处理布局、多层防火墙结构联合部署的方式来最大程度地保证“政府网站群平台系统”的安全性防护。
　　● 系统安全防护
　　系统的安全性防护包括操作系统安全性、数据库系统的安全性、服务器的安全性、应用软件的安全性等，应采用主流、安全、标准、可靠的网络操作系统，从而全面、稳妥管理和保护操作系统安全。充分利用大型数据库的安全管理保护机制，实现数据库系统安全; 还应定期升级操作系统和数据库系统的安全补丁。
　　● 应用安全防护
　　政府网站群是在统一的应用平台进行信息发布，对于器，应采用集群(Cluster)、高可用(HA)系统和负载均衡等措施，提高整体性能和可靠性，在Web层、应用层、数据层消除单点故障。可通过应用层系统管理员的用户管理、权限分配、口令管理、临时赋权实现各类各级用户安全访问体系。管理员通过应用系统日志管理实现安全调查、追踪和安全评估，以此增强网站应用安全性，确保安全的信息访问和提升网站效率，保障Web服务应用、邮件、视频、信息报送、在线访谈等政府网站应用系统的安全运行。
　　● 内容安全防护
　　信息内容安全性防护通常包括访问控制、身份认证系统、数据备份、网页防篡改等。合理授权是政府网站群管理的核心，政府机关需要对不同的权属人员采取不同的授权。 政府网站需建立统一规范的信息采集、审核和发布程序，未经审核的信息不得上网发布，加强对网上互动栏目的安全监管和维护，确保政府网站安全稳定地运行。
　　常用技术选择
　　在政府网站的安全防护技术手段中，通常会采用网络防火墙、入侵检测()、防病毒系统和杀毒、漏洞扫描、、网页防篡改系统、CA认证等系统。
　　双机热备的防火墙系统 采用IP包过滤、应用代理、地址转换、访问控制等手段提高防御网络黑客攻击的能力，防火墙系统应当具备完善的日志记录和分析功能。
　　网络入侵检测系统 主动监视和审计网络异常情况，并对网络入侵检测系统的入侵模式规则库进行及时更新或者升级，网络入侵检测系统和防火墙系统要能产生联动效应。
　　计算机病毒防治系统和杀毒网关 通过控制信息的出入口，防止病毒入侵并对已经入侵的病毒及时进行检测和清除，病毒防治系统应当具备定期扫描功能和实时检测功能。
　　网络设备及主机漏洞 通过定期扫描主要网络设备和主机增强安全管理能力，并对扫描系统的漏洞及弱点规则库进行及时更新或者升级。
　　邮件过滤系统 对不同性质的非法邮件和可疑邮件做相应的处理，封堵和邮件炸弹，防止恶意使用者利用服务器大量转发不良邮件。
　　网站安全发布系统 防止网络黑客对页面的非法篡改，并使网站具备应急恢复的能力。
　　CA数字认证系统 加强发布信息的安全治理，分层规定网站工作人员的信息维护权限等。
　　链接一 多层面的政府网站安全防护体系
　　政府网站应当从管理、制度、技术等多层面建立严密可靠的网站安全防护体系。
　　(1) 建立信息发布安全管理责任制，即上网信息的采集、发布和更新，严格执行保密规定，妥善处理公开与保密的关系，做到“上网不涉密，涉密不上网”。
　　(2) 完善各种规章制度，制定病毒检查网络、安全漏洞监测制度、信息发布审核登记制度、信息监视、账号使用登记和操作权限管理制度等各项制度，达到消除安全隐患的目的。
　　(3)定期对网站进行风险评估，制定科学的事故应急预案、从而尽可能地缩短紧急事故的恢复时间，减少损失和影响; 同时需建立和完善网站安全运维的应急。
　　(4)在政府网站安全建设资金有保障的情况下，要尽可能采用先进的技术、产品和安全策略以及“立体”的网站安全解决方案。
　　(5)从技术层面防范病毒侵扰和黑客攻击，增强服务器安全管理员和网站安全员的责任意识和技术能力，坚持7 (天)×24(小时)专职值班，对网站定期检查，及时发现安全隐患、及时上报和处理，保证网站的安全运行。建立网站数据备份系统，定期备份网站重要数据，从而进一步保障政府网站的信息安全。
　　链接二 政府网站安全防护体系建设原则
　　● 连续性防护原则
　　安全防护应考虑安全的动态特性，应提供定期的连续性，以保障网站应用系统的长期安全。
　　● 规范性防护原则
　　安全防护的实施必须由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，提供完整的服务报告，提供安全应急预案。
　　● 保密性防护原则
　　对安全防护过程中获知的网站政务系统信息均属秘密信息，不得泄露给第三方单位或个人，不得利用这些信息进行任何侵害政府网站的行为。
　　● 完整性防护原则
　　完整性防护主要是政府网站信息被篡改、丢失等风险，要保证网站重要数据库系统的安全，实现数据的保密性、完整性和有效性; 确保政府网站数据安全的完整性备份。
　　● 可信性防护原则
　　可信性防护是针对政府网站使用不同的终端类型和平台形式制定出一系列完整规范，例如个人电脑(包括台式和移动)、服务器、网站的网络与应用软件等，使政府网站运行在“可信网络架构”中。
　　● 最小影响原则
　　网站安全防护应尽可能小地影响系统和网络的正常运行，不能对现有网站的运行和业务系统产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)。
[ 责任编辑：常疆 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte