安吉县人民政府

安吉县人民政府办公室关于印发安吉县电子政务网络与信息系统安全管理暂行办法的通知

  • 时间:2022-05-11

各乡镇人民政府(街道办),县政府各部门,县直各单位:

《安吉县电子政务网络与信息系统安全管理暂行办法》已经县政府同意,现印发给你们,请认真贯彻执行。

 

 

                             安吉县人民政府办公室

                               2022年5月10日

 

 

 

 

 

 

安吉县电子政务网络与信息系统安全管理

暂行办法

第一章 总 则

第一条  为贯彻落实数字化改革中网络安全相关要求,完善现行的网络安全组织机制,健全网络安全管理规范,提升网络安全技术水平,加快构建县级电子政务网络安全体系,确实保障政务云网和信息系统安全、稳定、有序、高效运行,依据中华人民共和国网络安全法《关键信息基础设施安全保护条例》《浙江省公共数据条例》等法律法规和文件,结合我县实际,制定本办法。

第二条  本办法所称电子政务网络与信息系统是指我县党政机关、事业单位、社会团体、国有企业等(以下简称各单位)使用的电子政务外网(以下简称政务外网)和依托政务外网和政务云建设的提供各项政务和公共服务的政务应用。

第三条  本办法所称的网络安全是指全县电子政务设施及应用的管理者、建设者、运维者和使用者采取策略和措施,防范其被攻击、侵入、干扰、破坏以及公共数据被泄露、窃取和篡改等非法使用的能力、状态和行为。

第四条  本县行政区域内基于政务外网的“云平台、网络、边界、终端、数据、应用”的管理、建设、运维和使用活动,适用本办法。

第五条  电子政务网络与信息系统安全管理工作统分结合,坚持管理、技术和运营并重,按照“谁主管谁负责、谁建设谁负责 、谁使用谁负责”的原则,分级分类管理、各负其责,加强协同,合力保障网络信息安全。

第六条  任何单位和个人不得利用政务外网从事危害国家安全、泄露国家秘密、传播非法信息等违法犯罪活动,不得在政务信息系统上传输、处理、储存涉及国家秘密、工作秘密的信息。

 

第二章 职责分工

第七条  成立县电子政务网络信息安全管理工作领导小组及其办公室,作为全县电子政务网络与信息系统安全的议事协调机构,负责统筹协调电子政务网络与信息系统安全的相关指导、监督工作,制订安全建设规划和工作规范,建立全县电子政务网络与信息系统安全风险评估、应急指挥、防护运营体系。

第八条  各单位负责本单位局域网和接入政务外网或在政务节点云上自建信息系统的安全管理,并根据首席网络安全官制度(安委网办〔2021〕16号文件)落实电子政务网络和信息系统安全主体责任。

 

第三章 网络安全管理

第九条  县大数据局统一规划、统筹建设政务外网的互联网出口,政务外网各接入单位原则上通过政务外网统一出口访问互联网,因业务需要确需自建互联网出口的,需报县大数据局审批同意,同时接受其指导、监督和检查。

第十条  各接入单位在接入政务外网前,应进行安全评估,并参照所接入政务外网的等级保护级别标准,开展测评整改,达到所接入政务外网的安全标准后,方可接入政务外网。

第十一条  各接入单位不得处置政务外网接口的网络设备或改变设备配置,如确需网络接入变更,由业务需求单位提出申请,经县大数据局审核同意后方可办理。

第十二条  如有独立的业务专网与政务外网进行数据交换,业务需求单位应当自行在业务专网和政务外网之间部署隔离设备,并由业务需求单位自行负责数据摆渡。

第十三条  各接入单位应当加强政务外网终端安全管理,对接入的所有终端,安装防病毒软件并进行资产登记,定期进行杀毒并及时更新补丁、实行统一管理。

第十四条  业务应用信息系统需开放政务外网或互联网地址端口访问,应当由业务需求单位提出要求并对每个端口的用途作出说明,经县大数据局核准备案后开放。

 

第四章 信息系统安全管理

第十五条  各单位业务信息系统正式对外提供服务前,应按照国家网络安全等级保护制度要求,完成等级保护测评备案、整改加固,需上政务节点云的应通过上云检测流程方可正式上线提供服务,其信息安全管理由该系统所属单位负责。

第十六条  各单位需保障本单位内部的服务器或使用政务节点云虚拟机的安全,定期进行信息系统部署环境安全检查,对系统日志进行备份和分析,及时升级系统版本或修复常用软件漏洞,进行病毒木马查杀,保留安全检查日志。

第十七条  各单位使用政务节点云资源,应当遵守云安全管理规范,严格控制所申请资源的使用范围,按照云服务方提供的硬件、网络、操作系统、数据库进行应用软件的安装和配置,禁止安装非认可软件,不得利用政务节点云算力、存储、数据等资源开展批准范围之外的应用。

第十八条  各单位负责所使用虚拟主机的中间件及应用信息系统的安全,按照《安吉县人民政府办公室关于贯彻执行<湖州市公共数据安全管理暂行办法>的通知》要求落实数据安全管理职责,并对所属信息系统的访问控制进行优化,提出最小化开放策略,健全用户访问机制和用户口令机制。

 

第五章 人员管理

第十九条  各单位应在内设数字管理机构中设立网络信息安全管理岗位,制定岗位人员的工作职责和安全管控措施,要与相关人员签订保密协议,明确其对数据和业务信息系统的安全保密义务。

第二十条  各单位应当遵循公共数据安全管理办法,对网络信息安全管理离岗人员应落实账号清理、权限回收、敏感信息、数据和设备的移交等措施。

第二十一条  各单位如需委托第三方机构开展安全服务,需作为信息化项目报县大数据局审核,要严格按照《浙江省信息技术服务外包网络安全管理办法》落实主体责任并规范对服务外包承包机构、人员、服务行为的监管。

第二十二条  各单位需加强网络信息安全教育,应进行必要的安全意识、安全管理规范和安全技能等方面的培训,每年应制订具体的年度培训计划。

 

第六章 安全运维管理

第二十三条  成立电子政务网络县域一体化安全运营中心,仅对政务外网范围内各单位提供安全服务和能力输出。统筹全县电子政务建设中的云安全、网络安全、边界安全、终端安全、数据安全和应用安全,构建管理、技术、运营三大安全体系,形成一体化安全运营、综合协调指挥、全流程风险防控能力。

第二十四条  电子政务网络县域一体化安全运营中心应定期采用技术和人工检测相结合的方式,检测政务外网信息安全异常情况。建立健全网络安全预警与监测体系,及时发现、定位、分析、处置网络安全事件。

第二十五条  各单位应遵循安吉县电子政务网络与信息系统运行管理要求对网络和信息系统运行、维护过程进行安全管理。信息系统管理员及运行维护人员上岗前必须进行安全培训;定期评估信息系统运行状况,优化系统性能;对信息系统的变更和其他重大操作,应制定应急措施和回退方案;突发事件发生时,应按政务外网应急管理有关规定和要求进行处理。

 

第七章 信息安全检查与通报

第二十六条  县电子政务网络信息安全管理工作领导小组及其办公室要对全县电子政务网络和信息系统建设、运营、使用单位履行网络与信息安全保护职责的情况进行监督检查,对未达到安全保护要求的,应当书面通知其限期整改。

第二十七条  建立网络信息安全定期通报制度,定期通报政务外网和信息系统重大信息安全事件,对造成严重网络信息安全事件的责任人,由相关职能部门依照法律法规予以处理。

 

第八章 附  则

第二十八条  本办法自2022年6月12日起施行。

 

 

附件:1.安吉县电子政务网络信息安全管理工作领导小组成员名单;

2.安吉县电子政务网络县域一体化安全运营中心建设方案;

3.安吉县电子政务网络信息安全管理规范汇编

 

 

 

 

 

 

附件1

安吉县电子政务网络信息安全管理工作

领导小组成员名单

 

一、领导小组组成人员

组  长:宁  云

副组长:沈霞俊、黄  枫、陈  悦、程文伟

成  员:顾建强(县委办)     楼  军(人大办)

马洪亮(县政府办)   吴榨胜(政协办)

尹碧锃(县纪委监委) 金黎明(巡察办)

董  良(组织部)     王伟静(宣传部)

吴国兴(统战部)     王国明(政法委)

高  峰(信访局)     余  卫(党  校)

任爱军(档案馆)     孟黎明(法  院)

胡秀义(检察院)     朱车生(总工会)

管田甜(团县委)     朱海燕(妇  联)

朱昌发(科  协)     潘安国(残  联)

傅爱国(工商联)     赵德忠(红十字会)

沈  强(发改局)     傅海飞(经信局)

周  斌(教育局)     朱家胜(科技局)

孙  晟(公安局)     姜  平(民政局)

王  峰(司法局)     陈志文(财政局)

王红缨(人力社保局) 章  毅(资源规划局)

李  明(住建局)       盛  强(林业局)

赵双勤(交通局)       刘  斌(农业农村局)

柳初晓(水利局)       胡可立(商务局)

彭忠心(文体旅游局)   凌逸刚(卫健局)

张  军(退役军人局)   樊锡宏(应急管理局)

沈卫江(审计局)       王有富(市场监管局)

尚亿勇(统计局)       徐启龙(医保局)

章熙翔(综合执法局)   施月素(大数据局)

郑时骏(政务办)       李敏芳(机管中心)

沈高飞(投资促进中心) 曹宏华(金融发展服务中心)

祝  青(融媒体中心)   章安民(供销联社)     

张  杰(税务局)       戴  军(邮管局)       

叶戴麟(气象局)       朱红星(生态环境局

王永洪(公积金中心)     (两山国控集团)

陈  卫(城投集团)     戎露波(产投集团) 

屠继忠(交投集团)     蒋晓燕(建控集团)

陈显永(农高新集团)     (移动公司)

王理平(电信公司)     周  超(联通公司)

黄金胜(人民银行)     李  翔(银保监组)

许  杰(开发区)       明瑞成(递铺街道)

周方平(昌硕街道)     张天滨(灵峰街道)

程卫军(孝源街道)     朱越峰(梅溪镇)

金  鸣(天子湖镇)     邵炜钦(溪龙乡)

梅本炜(鄣吴镇)         干雪峰(杭垓镇)        

王  凯(孝丰镇)         叶  飞(报福镇)        

董建波(章村镇)         应建坤(上墅乡)        

许进京(天荒坪镇)       王孟天(山川乡)

领导小组下设办公室,负责统筹协调日常工作。办公室设在县大数据局,施月素兼任办公室主任,牵头单位(县政府办、县委宣传部、县公安局、县大数据局)分管领导任办公室副主任,领导小组成员单位的首席网络安全官任办公室成员

二、领导小组主要职责

指导全县电子政务网络和信息系统安全管理工作,制订全县电子政务网络与信息系统安全建设规划和工作规范,建立全县电子政务网络与信息系统安全风险评估体系,组织开展政务外网网络与信息系统安全等级保护工作、信息安全自查和风险评估,对全网安全运行状况进行分析、研判和通报。指导建立安吉县电子政务网络县域一体化安全运营中心。制订全县政务外网网络与信息安全应急预案,组织开展应急演练;组织政务外网网络信息安全宣传、教育和培训等工作。

 

 

 

 

 

附件2

安吉县电子政务网络县域一体化安全运营中心建设方案

 

一、总体目标

为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《浙江省公共数据条例》等法律法规,依据省委省政府关于数字化改革安全的要求和我市《数字化改革网络安全工作实施方案》(湖委网办〔2021〕14号)、《湖州市政务网络市域安全一体化总体工作方案》(湖数〔2021〕12号)等文件要求,切实构建集指挥、制度、技术、运营、监管于一体的安吉县电子政务领域网络安全工作体系,提升一体化安全管理能力,坚持“以安全保发展、以发展促安全”的理念,秉持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,聚力机制创新、制度创新、治理创新、技术创新,由县大数据局牵头建设安吉县电子政务网络县域一体化安全运营中心,纵向与市级安全运营中心形成联动防御,横向为各单位提供安全服务。

二、基本原则

(一)联动协同,同步管理。

坚持“保障业务、服务大局,筑牢底线、依法合规,体系防护、开放兼容,统一监管、全面审计”的理念,在安吉县各单位的共同协作下,开展电子政务网络县域安全一体化保障能力建设

(二)强化管理,技术协同。

县域网络安全保障体系的建设不仅要重视安全技术体系的构建,更加要重视安全运营管理体系的构建。用先进的技术手段来保障安全能力,用先进的管理机制体制来保障安全效率。做到“安全能做到,安全能做好”。

(三)风险管控,事件共抓。

安吉县电子政务网络县域安全一体化建设既要重视监管监测体系的构建,也要重视保障体系的构建。实现防护与监管监测一体化,通过一体化的防护机制来保障系统对外部攻击的防御能力,一旦发生安全事件,能够有效控制影响范围,避免发生次生损失。

(四)开放创新,迭代完善。

打破传统被动防御的观念,主动出击、持续改进、开放生态、创新技术,通过泛在感知、大数据分析、一体化运营服务等多种手段感知、发现、应对潜在和已经发生的威胁,在破坏发生之前,主动完成系统加固整改,避免产生实际损失。

三、架构设计

安吉县电子政务网络县域安全一体化(以下简称县域安全一体化)涉及范围:安吉县电子政务外网网络以及基于政务外网、物联网、视联网运行的应用系统和产生的数据资源。

基于数字化改革网络安全保障体系的要求,按照“大安全、大运营、大协同”的建设思路,统筹安吉电子政务建设中的政务节点云安全、网络安全、边界安全、终端安全、应用安全和数据安全,以构建“实战有效、体系完善、常态保护、综合治理”的安全总目标,打造“1231”的县域安全一体化体系。即一个总体目标、两项理论支撑(顶层设计与标准体系)建设、构建三大安全体系(管理体系、技术体系、运营体系),通过从管理层面、技术层面、运营层面,打造一个基于云、网、端、数、用、边全链路的安全运营中心。

 

四、县域一体化安全运营中心的定位

县域一体化安全运营中心是联动市县网络安全工作的总枢纽。县域一体化安全运营中心按照“县域一体、上下贯通、协调联动、能力互补”的模式,为全县网络安全和数据安全提供技术保障服务和安全运营服务。

县域一体化安全运营中心是开展一体化网络安全保障工作的总抓手。是县域一体化安全保障技术工具、管理制度、运营服务输出的主要载体。是安全保障全县电子政务外网以及基于政务外网、物联网、视联网运行的系统和产生数据资源的网络安全咨询服务中心。是以“安全能力服务化,安全服务集约化”为设计原则,改变传统以特征和规则匹配为基础的产品支撑体系以及碎片化的安全服务机制的集约化安全能力输出中心。是以大数据加人工智能为驱动的智能化技术为支撑的运营管理与保障服务机制,通过汇聚相关安全数据进行协同分析,由点及面,发现安全风险的安全分析中心。是将原本零散的安全数据变成统一规范的安全数据资源为全县提供安全运营支撑能力的安全保障中心。

县域一体化安全运营中心是单位获取安全能力的总资源池。安全运营中心将整合现有安全技术保障能力、安全服务能力,让安全能力集约化、服务化、SaaS化,形成本地化安全资源目录,对全县单位进行开放,各单位可以自主化、定制化使用安全资源能力。一体化安全运营中心覆盖数字化改革基础设施安全、数据资源安全、应用支撑安全、场景应用安全建设各个维度。

县域一体化安全运营中心是政务网络安全运营的总工作站。在运营层面,安全运营中心将统一全县电子政务安全数据归集、统一全县电子政务安全资产管理、统一电子政务安全基础策略调度、统一安全运营流程。对全县各政务外网内单位的网络、平台、数据、应用、终端等进行整体监测监管。结合浙政钉通过自动化的运营流程将安全问题通报给相关单位,并在监管机制下监督相关单位完成任务闭环。同时为单位提供安全加固与整改所需的安全技术支撑工具、安全咨询能力、安全服务等。

 

(一)县域一体化安全运营中心建设框架

县电子政务网络信息安全管理工作领导小组及其办公室的统筹指导下,以浙江文澜信息发展有限公司(以下简称文澜公司)为主体,整合第三方安全厂商,整合县域安全数据资源、安全软硬件与产品服务能力,联合监管单位、业务建设单位、研究机构协同作战,组建安吉县电子政务网络县域一体化安全运营中心,形成本地安全运营团队与组织,形成一体化安全运营能力、综合协调指挥能力、全流程风险防控能力。办公场所设在文澜公司,办公设施由文澜公司提供。

一体化安全运营中心建设框架基于底层安全技术与工具建设,配套安全管理制度与流程,借助人员服务能力,建立IPDRO(识别-防护-监测-响应-运营)整体安全运营体系,并对外提供安全咨询服务。

技术与工具建设。通过各类基础设施安全防护建设构建安全能力系统,并将各种安全能力服务化,形成安全服务目录,对外提供基础安全保障能力。

机制与流程建设。通过完善安全管理组织建设、安全管理制度建设以及配套的安全管理流程建设,构建整体的安全管理体系,实现对全市安全风险的有效管理和监督。

服务与人员建设。构建安全运营团队,包括业务服务组、技术支撑组和监督保障组。落地不同小组的工作职责和范围,形成联动机制,主要职责如下:

(1)业务服务组。主要负责对安全运营中心所提供的能力与服务进行梳理,形成安全资源目录,编制安全资源申请及使用的流程机制。形成指导与服务流程文档沉淀,并对相关成果进行宣贯与培训。并负责各单位与安全运营中心对接及服务申请过程当中的答疑与前端服务支撑,帮助各单位更好更方便地使用安全运营中心的服务。同时利用安全监管平台的接单系统,接收到安全产品及服务的订单后,配合各单位开展安全技术产品及服务的上线、支撑与维护工作。

(2)技术支撑组。主要负责对安全运营中心技术支撑设施的安全运维工作,在接单后,为各单位相关业务系统提供渗透测试、风险评估、扫描与基线检查等安全服务,并形成相关的评估与报告,并协助相关单位进行整改。对县域范围内发现的安全问题提供安全答疑与协助加固工作。对县域范围内发现的重大风险隐患与安全事件进行分析与研判,对安全事件进行溯源分析与应急处置

(3)监督保障组。主要负责保障安全运营中心的日常管理工作,负责运营中心物理环境及人员的管理与考核工作,包括日常行政管理、人员工作考核、办公环境维护等。针对相关单位的安全隐患与风险情况进行通报,并对整改过程进行监督监管实现闭环

(二)安全运营中心技术支撑平台建设

构建全链路安全监管平台。由县大数据局牵头建立全链路安全监管平台,覆盖云、网、端、边界、数据、应用,结合我县电子政务现网安全数据,对现网当中各类设备所产生的安全日志进行标准化梳理与整合,形成覆盖“云、网、端、数、用、边”的安全态势。全链路安全监管平台与浙政钉体系打通,将安吉电子政务相关各单位的责任人、管理人员及相关角色进行有效划分,安全事件、情报、快速传达至相关单位处置。不断优化安全资源提供能力,协助各单位进行相关策略的调试与部署。将安全资源服务化,形成安全资源目录与工单系统,为各单位选择安全服务与能力资源提供支撑,通过资源门户按等级保护或自身需求购置安全组件。

(三)安全运营服务能力建设

安全咨询服务。借助安全运营团队对全县各单位提供各类安全咨询服务。

互联网应用安全服务。通过SaaS化应用安全监测与保障平台为各单位互联网应用提供安全防护、DDos安全防护、内容监测、可用性监测等能力。各单位需要配合安全运营中心接入相关互联网应用系统,加强应用安全基线保障能力。

渗透测试服务。通过真实模拟黑客使用的工具、分析方法来对业务系统进行模拟攻击,结合智能工具扫描结果和人工确认,进行深入的手工测试和分析,从而充分识别业务系统风险并要求进行整改。

风险评估服务。通过业务调研、网络分析、安全扫描、人工检查、渗透测试等一系列服务手段全面评估信息系统的安全状况,识别安全威胁与脆弱性,分析与监管要求的差距,并要求进行整改。

安全培训服务。邀请安全理论、技术专家,针对各单位数据安全业务人员和技术人员定期开展安全基础专项培训,提升相关人员安全意识,掌握数据安全发展趋势,了解新型风险和攻防新技术,规范安全管理制度,提高整体安全防护能力。建立学习激励政策,不同角度提升安全培训教育的成效,不断提升数字化改革的安全能力。相关单位应开展安全培训教育的交流和学习,分享实际工作中的安全经验,丰富安全防护的实战能力,保障数字化改革安全有效开展。

代码审计服务。通过安全服务厂商提供的代码审计工具+人工确认+人工抽取代码检查的方式,根据业务流信息检查目标系统的脆弱性缺陷以及结构上的问题,并要求进行整改。

驻场运维服务。安排专业人员提供现场支撑服务,对县大数据发展管理局网络安全相关的工作开展安全风险监测、策略调整和安全处置等,并定期汇报网络安全整体状况。

 

附件3

 

安吉县电子政务网络信息安全管理规范汇编

 

一、总则

(一)总体目标

为加强浙江省湖州市安吉县(以下简称“全县”)电子政务网络和信息系统的安全管理,促进数字化、智慧化建设工作健康有序开展,满足业务发展和监管机构对电子政务外网安全保障工作的要求,构建安全、稳定、持续运行的电子政务外网安全保障体系,有力支持全县数字化改革和绿色智慧城市建设战略和事业发展,根据国家有关法律、法规及规范性文件的要求,结合全县实际,制定安吉县电子政务网络信息安全管理规范汇编(以下简称“本规范汇编”)。

(二)适用范围

适用于全县党政机关、事业单位、社会团体、国有企业等(以下简称“各单位”)使用的电子政务外网(以下简称“政务外网”)及依托政务外网和政务节点云建设部署的提供各项政务和公共服务的政务应用。

(三)总体要求

防范政务网络信息安全风险发生,提高全县整体政务外网和信息系统安全防御能力、满足国家相关网络信息安全标准要求。安吉县电子政务网络信息系统安全领导小组办公室(以下简称“领导小组办公室”)与县域一体化安全运营中心(以下简称“安全运营中心”)将不定期对本规范汇编的执行情况进行评审,根据评审结果对本规范汇编进行必要的修订及更新工作。

二、政务云安全管理

(一)安吉县政务节点云信息系统上线安全检测规范

1.总则

(1)目的

为贯彻落实《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,进一步提升数字化改革进程中的网络安全保驾护航的能力,规范政务节点云信息系统上线流程,降低信息系统安全风险,明确信息系统在安吉县政务节点云上线前进行安全检测的申请、测评和通过后各阶段的工作流程和规范,为信息系统安全上云提供指导。

(2)范围

各单位部署在政务节点云上的信息系统。

2.安全要求

信息系统上线前应通过网络安全风险评估检测,需进行代码审计、渗透测试和漏洞扫描等检测。

代码审计是指通过对新上线系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析,从而发现系统源代码存在的安全缺陷,并采用安全测试等技术手段进行漏洞验证。

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

漏洞扫描是指通过自动化的设备进行漏洞发现的过程。

3.上线安全检查流程

安吉县政务节点云信息系统上线安全检测包括申请、检测复测上线4个流程

(1)安全检测申请

信息系统开发完毕,具备上线条件时,使用单位应向县大数据局申请上线安全检测,填写《安吉县政务节点云安全检测申请表》,详表见附件。安全检测主要是对上线信息系统进行资料收集,进行渗透检测工作等。主要内容包括:

使用单位基本信息,包括单位名称、联系人和第三方技术联系人;

申请安全检测信息系统基本信息,包括信息系统名称、系统功能模块简介、“浙政钉”“浙里办”功能模块、服务器名称、政务节点云IP地址及开通端口、公网地址及端口、中间件版本、数据库版本、用途和业务上线后域名地址;

政务节点云安全检测申请表承诺项,承诺在本次测试时所提供的系统与最终上线的系统在架构、功能、模块等所有方面保持一致,在系统上线后按照相关规定落实信息安全措施。

(2)安全检测

安全运营中心负责对申请上线信息系统实施安全检测,检测方式如下:

部署核实——安全检测工程师核实申请上线信息系统服务器上防病毒、虚拟IPS防护、防篡改等防护软件是否部署;

代码审计——使用单位提供信息系统源代码,安全检测工程师通过工具检查源代码中的缺陷和错误信息,提供代码修订措施和建议;

渗透测试——模拟黑客攻击,进行远程或本地测试,发现Web类信息系统实际存在的系统漏洞,提供修复建议;

漏洞扫描——通过专业漏洞扫描工具,对信息系统进行扫描,发现设备存在的系统漏洞,提供修复建议。

信息系统通过安全检测合格后,方可正式上线运行。否则,需要进行安全隐患整改和复测。

(3)安全检测复测

使用单位应配合安全运营中心对信息系统进行安全优化工作,对发现的安全隐患(如存在)进行整改,并对整改结果进行复核确认,直至风险消除。

(4)信息系统正式上线

信息系统通过安全检测复测合格后,安全运营中心将结果同步至政务节点云服务方,服务方与使用单位共同确认,开通上线。

安吉县政务节点云安全检测申请表

     

基 本 信 息



使用单位名称





使用单位联系人


联系电话



第三方技术联系人


联系电话



信息系统名称




系统功能模块简介

范例:OA日常办公,审批等。主要功能模块:公文管理,会议管理,审批管理,建议提案等。



“浙里办”功能模块

(如没有无需填写)

审批


“浙政钉”功能模块

(如没有无需填写)

审批


服务器名称

政务节点云IP地址及开通端口

公网地址及端口

中间件版本

数据库版本

用途


Test1

10.200.x.x    (8009)

111.1.30.x(8009)

Apache tomcat8.5

mysql5.7

OA办公


Test1

10.40.x.x(8237,8081)





业务上线后域名地址

(如没有无需填写)



承 诺

本单位在本次测试时所提供的系统与最终上线的系统在架构、功能、模块等所有方面保持一致,在系统上线后按照相关规定落实信息安全措施。


 

 

使用单位(盖章):             

 

     

                      年   月   日

 


备注:1.请列出系统所使用的所有端口,一年内不再受理对同一系统的测试申请;

2.此表一式三份(一份申请单位、一份大数据局、一份安全运营中心)。

(二)安吉县政务外网应急响应操作规范.

1.总则

(1)目的

根据《安吉县网络与信息安全应急预案》,提高我县政务外网与信息安全突发事件处置能力,形成科学有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地减少网络与信息安全突发事件造成的损害,制定本规范。

(2)范围

本规范适用于全县政务外网内网络安全事件的应急响应处置。

2.安全要求

(1)应急事件处置应严格按照《安全事件应急响应流程图》进行操作;

2)各单位应根据安全事件的类型和级别定义判断安全事件,及时处置安全事件并上报安全运营中心,相关安全事件级别参考《安吉县网络与信息安全应急预案》;

3)各单位应对信息安全事件的发生、处理办法进行填写《安全事件记录表》,详表见附件,并把安全事件记录表提交安全运营中心进行备案;

4)各单位应明确相关第三方服务机构的紧急联系人及联系方式,详情请参考《应急响应紧急联系人》;

5)各单位每年至少组织一次预案演练,模拟处置重大或较大网络与信息安全事件,提高实战能力,检验和完善预案。

3.应急响应流程

(1)处理流程说明

发现问题:单位自身发现问题或通过电话等方式接到公安、网信通知。

分析处置:由单位自身根据分析判断安全事件的影响程度,判断能否处理,如能处理,处理后将结果反馈安全运营中心,如不能处理向安全运营中心或其他机构申请协助处理。

恢复:由单位自身判断网络/系统是否恢复,若未恢复,则由安全运营中心判断事件影响程度,并是否继续上报。

总结:由有关单位进行组织总结。

(2)安全事件应急响应处置流程图

安全事件记录表

单位名称:XX                                 填报时间:    年   月   日

单位名称


报告人


联系电话


通讯地址


发生信息安全事件的网络与信息系统名称及用途


信息安全事件的

简要描述(如以前出现过类似情况也应加以说明)


初步判定的事故原因


当前采取的应对措施


本次信息安全事件的初步影响状况

事件后果

□业务中断 □系统破坏 □数据丢失   □其他

影响范围

□单台主机 □   台主机 □整个信息系统 □ 整个局域网 □

严重程度

□极严重 □很严重 □严重   □一般 □不严重 □

联系方式

值班电话:           传真:              邮件地址:

应急响应紧急联系人

序号

单位及部门

联系人

联系电话

备用电话

职位

应急职责

备注

1

集成商







2

设备厂商













3

安全厂商







4

服务单位







5

其他







 

三、网络安全管理

(一)安吉县政务外网网络互联安全管理规范

 

1.总则

(1)目标

为加强政务外网和其他网络互联的安全性,根据《安吉县电子政务网络与信息系统安全管理暂行办法》等相关规定,制定本规范。

(2)范围

本规范适用于政务外网与其他网络互联。

(3)定义

本规范所指“网络互联”仅限于两个需要建立长期连接的网络之间的互联。网络互联可分为两大类:

内部网络互联:指政务外网主干网与各单位局域网之间的互联

内部与外部网络互联:指政务外网与第三方网络之间的互联。

2.安全要求

(1)在政务外网发生网络互联或互联变更需求,例如互联目的、互联方式发生变化,或者不需要继续进行网络互联时,应及时向安全运营中心提出申请;

(2)各单位与政务外网互联的边界应部署安全设备,且禁止开启源地址转换功能,并对其访问进行最小化策略;

(3)所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全,避免引入病毒或木马;

(4)禁止内网计算机同时连接政务外网与其他第三方网络。

3.网络互联管理流程

(1)网络互联流程说明

①网络互联需求提出

互联需求单位应按照大数据局的要求,填写《网络互联开通申请表》,并提交安全运营中心进行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;对于需求不合理的申请,应予以拒绝,并说明理由;评估审核通过后,上报大数据局进行审批;

对互联相关文档进行备案,以备检索、审计。

②方案实施

网络互联实施人员在接到网络互联方案,组织制定具体的实施方案、实施过程应急预案。实施结束后通过安全运营中心进行备案、同时更新相关信息。

③网络互联变更

各单位网络需要搬迁时,应向安全运营中心和大数据局重新提交《网络互联开通申请表》;

各单位在本单位网络情况有变化时,应及时将网络情况更新并通知安全运营中心,便于网络日常维护及应急处理。

④网络互联终止

当相关单位不再需要与政务外网互联时,相关单位应告知大数据局和安全运营中心。

(2)网络互联流程图

4.审核监督

安全运营中心应定期审核网络互联设备的运行情况,及时发现违反网络互联安全和管理要求的问题,并通过安全监管平台下发整改通报。如发现存在严重违反相关要求的情况,应向大数据局汇报。

网络互联开通申请表

申请单位基本信息

单位名称


单位地址


电脑数量


用户类型

□政府机关     □事业单位     □企业    □金融     □其他

联系人

姓名


电话


传真


职务


手机


QQ


申请的业务内容


接入类型

□局域网    □单机

接入网络

□政务外网    □政务专网    □业务专网

需要IP


接入类型

□电信运营提供的传输线路         □双绞线       裸光纤

接入费用

   □财政统一支付                 □单位自行支付

接入目的


申请人单位领导意见及签章:

 

 

 

日期:         

审批意见

安全运营中心:

 

 

 

 

 

          日期:         

大数据局:

 

 

 

 

 

日期:         

IP地址信息

IP地址段


子网掩码


网关


DNS

















(二)安吉县政务外网资产管理及维护规范

 1.总则

(1)目标

为建立安吉县政务外网资产的安全管理规定,并以此规定为指导,审视安吉县政务外网内资产的安全性,有效降低网络设备与信息系统存在的安全风险,确保网络设备与信息系统安全可靠运行,制定本规范。

(2)范围

本规范适用于安吉县政务外网网络环境的资产。

(3)定义

资产主要包括如下几类:

网络设备:无线AP、二层交换机、三层交换机、负载均衡、光纤转换器、路由器、笔记本和PC等;

服务器:各类承载应用系统和软件的计算机系统及其操作系统,包括安装在服务器上各类应用系统以及构建系统的平台软件(数据库,中间件、群件系统、各商业软件平台等);

存储设备:磁盘阵列、光纤交换机等构成应用系统存储环境的设备;

安全设备:VPN网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关、加密机、安全网闸等。

2.安全要求

1)各单位应按照大数据局对资产管理的要求,参照《资产信息清单》进行填写,并提交至安全运营中心进行备案

2)网络设备与安全设备当配置发生变化时,需进行备份。且定期巡检及更新特征库

3)网络设备与服务器的拓扑结构、IP地址等信息在一定范围内保密

4)网络设备、服务器、安全设备的远程登录操作应限制在指定网段范围内。网络管理员不得私开用户权限给其他人员,并开启对管理员操作的记录和审计功能

5)用户口令(尤其是超级用户口令)必须足够复杂难以被破译。口令的设置至少应满足以下标准:

l  必须修改初始化密码

l  口令长度不得少于8位,必须同时包含字母、数字和特殊符号;

l  至少每季度要变更一次口令。

6)网络设备与服务器的安装、配置、变更、撤销等操作必须严格按照相应的流程,以使生产环境的网络设备随时处于可控状态;

7)安全设备具备入侵检测功能,必须开启该功能,并在发现网络入侵时发出告警。

XX单位信息资产清单

资产名称

资产类别

使用科室

IP地址/url地址

重要程度

使用人

用途


















































四、应用安全管理

(一)安吉县电子政务信息系统及数据库安全管理规范.

1.总则

(1)目的

为规范安吉县电子政务信息系统及数据库的安全管理,明晰运维人员在日常安全维护时的工作要求,促进安全维护规范化,制定本规范。

(2)范围

本规范适用于安吉县电子政务信息系统及数据库上线运行后的日常安全管理。

2.安全要求

(1)日常维护要求

禁止未经审批将政务外网信息系统及数据库直接映射至互联网;

接收安全运营中心的通知,及时了解重大的病毒发作情况和解决方法,并马上采取应对措施;

各单位应每月对于所属信息系统的服务器进行防病毒软件运行情况检查,并启动全盘杀毒功能,定期进行漏洞检查,并确定是否需要进行安全加固,并做好记录;

服务器只启用系统及业务所需服务,并开启其端口,关闭不需要的服务或端口;

禁止从互联网直接远程登录服务器,禁止安装向日葵、Teamviewer等远程控制软件;

服务器与数据库应启用日志审计功能,日志保存时间在六个月;

数据库系统的宿主操作系统除提供数据库服务外,不得提供其他网络服务,如:WWW、FTP、DNS等;

应对数据库系统安装目录及相应文件访问权限进行控制,如:禁止除专用账户外的其他账户修改、删除、创建子目录或文件;

应定期检查数据库系统完整性;

定期对数据库配置参数进行备份,数据库数据备份、恢复管理。

(2)系统补丁安全要求

安全补丁根据其对应漏洞的严重程度分为三个级别:紧急补丁、重要补丁和一般补丁;紧急补丁必须在15天内完成安装,重要补丁必须在一个月内完成安装,一般补丁要求六个月内完成安装。特殊情况另外处理。

系统升级或者补丁程序安装,应采用双人操作,并在升级(修补)前后完成相应的备份工作。

做好应用软件版本及安全补丁的归档管理,以备回滚或系统重装时使用,并建立相关的文档资料收集和整理工作。

(3)信息系统调整安全要求

当应用系统使用部门发生变更(新增业务等)时,应按照政务云安全管理要求向安全运营中心重新提交《安吉县政务节点云安全检测申请表》。

变更实施完成后,应由安吉安全运营中心通过测试后方可投入运行;不能通过测试,应回退至变更前的配置,不得影响系统正常运行。

 

    (二)安吉县政务外网信息技术服务外包安全管理规范.

1.总则

(1)目的

为保障电子政务领域关键信息基础设施安全稳定运行,切实加强对信息技术服务外包的安全管理,防止引入的服务外包承包机构给我县政务外网带来安全风险,根据《浙江省信息技术服务外包网络安全管理办法》等法规,制定本规范。

(2)范围

本规范适用于安吉县政务外网和信息系统在网络安全管理过程中对信息技术服务外包相关的行为管理。

2.定义

本规范所指信息技术服务外包包括服务外包发包机构、服务外包承包机构、服务外包人员:

(1)服务外包发包机构是指委托政务外网环境内信息技术服务的机构(即本规范汇编“总则”所述适用范围所指的各单位)。

(2)服务外包承包机构是指承担政务外网环境内信息技术服务外包的外部机构。

(3)服务外包人员是指为政务外网环境内的设备、产品提供开发、测试、运维等服务或参与合作运营系统管理的服务外包承包机构工作人员。

3.安全要求

(1)机构及人员管理

各单位作为信息技术服务外包发包机构,在发包采购过程中,需开展风险评估、承包机构准入审核等工作。

各单位在服务外包合同、安全保密协议中要依据网络安全法规、标准,制定网络、系统、数据等安全条款,明确安全目标、衡量标准、保障范围、职责边界、违约责任等。

各单位应会同服务外包承包机构加强服务外包人员管理,进行安全背景审查,建立违规惩戒机制,并与其签订保密等协议。

由服务外包承包机构参与开发并提供服务的业务系统或软件程序,如系统或程序能接触到依法享有的个人隐私权的所有信息,应要求将系统开发文档交予相关单位留档。

各单位应对服务外包承包机构其参与或独立开发的业务系统或软件程序源代码进行妥善保管,严格控制服务外包人员访问权限,避免代码泄漏。

服务外包人员进入安吉县政务外网核心区域或者登录安吉县政务外网内的信息系统操作时,应填写《服务外包人员接入访问申请表》及终端病毒防护要求。

禁止服务外包人员通过非VPN远程方式接入安吉县政务外网。

(2)服务外包人员权限管理

服务外包人员申请新增或变更账号时,必须符合专人专号原则、权限最小化原则。账号申请应经过相关单位审核并批准方可生效。

服务外包人员的账号口令不得以任何形式明文存放于可公共访问的设备或物理界面上,保证账号口令在传输和存储时的安全。

 

 

服务外包人员保密协议(样例)

甲方:

乙方:

为了保护甲乙双方在商业和技术合作中涉及的专有信息(如本协议第2条所定义的内容),经友好协商,甲乙双方签订如下协议:

一、签约责任人

双方就专有信息的传授和接受事宜而协调的首要责任人。

甲方责任人:

乙方责任人:

二、专有信息的定义

本协议所称的“专有信息”是指所有商业秘密、技术秘密、通信或与该产品相关的其他信息,无论是书面的、口头的、图形的、电磁的或其他任何形式的信息,包括(但不限于)数据、模型、样品、草案、技术、方法、仪器设备和其他信息,上述信息必须以如下形式确定:

(一)对于书面的或其他有形的信息,在交付接收方时必须标明专有或秘密。

(二)对于口头信息,在透露给接收方前必须声明是专有信息,进行书面记录。

三、保密义务:

(一)乙方同意严格控制和保护甲方所透露的专有信息。

(二)乙方保证采取一定的保护方法、措施和手段对甲方提供的专有信息进行保密,避免非授权透露、使用或复制甲方专有信息。

(三)乙方保证不向任何服务外包机构透露本协议的存在或本协议的任何内容。

四、使用方式和不使用的义务

(一)乙方同意如下内容:

1.乙方只能为下述目的而使用专有信息:

使用目的:除乙方的高级职员和直接参与本项工作的普通职员之外,不能将专有信息透露给其他任何人;

2.不能将此专有信息的全部或部分进行复制或仿造。

(二)乙方应当告知并以适当方式要求其参与本项工作之雇员遵守本协议规定,若参与本项工作之雇员违反本协议规定,乙方应承担连带责任。

五、例外情况

(一)乙方保密和不使用的义务不适用于下列专有信息:

1.有书面材料证明,甲方在未附加保密义务的情况下公开透露的信息;

2.有书面材料证明,在未进行任何透露之前,乙方在未受任何限制的情况下已经拥有的专有信息;

3.有书面材料证明,该专有信息已经被乙方之外的服务外包承包机构公开;

4.有书面材料证明,乙方通过合法手段从服务外包承包机构在未受到任何限制的情况下获得该专有信息。

(二)如果乙方的律师通过书面意见证明:乙方对专有信息的透露是由于法律、法规、判决、裁定(包括按照传票、法院或政府处理程序)的要求而发生的,乙方应当事先尽快通知甲方,同时,乙方应当尽最大的努力帮助甲方有效地防止或限制该专有信息的透露。

六、专有信息的交回

(一)当甲方以书面形式要求乙方交回专有信息时,乙方应当立即交回所有书面的或其他有形的专有信息以及所有描述和概括该专有信息的文件。

(二)没有甲方的书面许可,乙方不得丢弃和处理任何书面的或其他有形的专有信息。

七、否认许可

除非甲方明确地授权,乙方不能认为甲方授予其包含该专有信息的任何专利权、专利申请权、商标权、商业秘密或其他的知识产权。

八、救济方法

如果发生乙方违约,双方同意如下内容:

(一)乙方应当按照甲方的指示采取有效的方法对该专有信息进行保密,所需费用由乙方承担。

(二)乙方应当赔偿甲方因违约而造成的所有损失,包括(但不限于):法院诉讼费用、合理的律师酬金和费用、所有损失或损害等等。

九、适用法律

本协议受中华人民共和国法律管辖,并在所有方面依其进行解释。

十、争议的解决

由本协议产生的一切争议由双方友好协商解决。协商不成,双方约定本协议纠纷的管辖法院为甲方归属地人民法院。

十一、生效及其他事项

本协议一式两份,甲乙双方各执一份。

 

甲方:                        乙方:

签字:                        签字:

 

盖章:                        盖章:

日期:                        日期:

 

服务外包人员接入访问申请表

使用人


使用单位


单位科室


联系电话


申请类型

£ 仅访问机房 

£ 现场政务外网 

£ 远程访问政务外网

£ 信息系统具体权限

申请内容

(详述)


使用单位

领导意见

 

 

                                          年    月    日

访问时段

□长期  £临时(            )

申请人确认

如在网络内做违规操作,占用带宽、感染病毒并传播至业务服务器等影响业务运行或访问与工作无关网站,占用他人IP地址等违规操作,入网权限将被回收且对其通报,追究相关负责人责任。

 

 

 

 

            申请人签字:                   年    月    日

开通记录

 

新增IP:

操作内容:

 

 

 

负责人员:                    年    月    日

 

五、数据安全管理

安吉县公共数据安全管理技术规范:

1.总则

(1)目的

为规范与促进安吉县公共数据发展,统筹公共数据资源整合,促进公共数据资源共享和开放,提升政府信息化治理能力和公共服务水平,根据《中华人民共和国数据安全法》、《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号)、《浙江省公共数据条例》、《湖州市公共数据安全管理暂行办法》,结合安吉县实际,为公共数据安全管理提供指导。

(2)范围

安吉县行政区域内公共数据规划与建设、管理与应用、安全与保障等活动,适用本规范。

2.安全管理要求

各部门(单位)应依法依规保障公共数据安全,遵循谁主管谁负责、谁提供谁负责、谁使用谁负责、谁管理谁负责的原则,结合本县及部门(单位)实际,依托公共数据平台,构筑公共数据全生命周期安全保障体系,以制度规范为指引,以技术防护为抓手,以运行管理为保障,加强公共数据安全闭环管理,推动个人信息安全使用,确保数据安全。

(1)分类分级管理

规范公共数据分类分级原则、要求、维度和方法,建立公共数据分类分级操作指南和工作流程,明确公共数据类别和级别的变更场景、申请审批流程和工作要求等,为公共数据全生命周期差异化安全管理提供依据。

(2)访问权限管理

明确公共数据载体和公共数据权限管理系统的账号权限安全管理的职责分工和要求,明确公共数据访问账号权限分配、开通、使用、重置、锁定、注销等的申请审批流程等,明确具备超级管理员权限或数据批量复制、处理、导出和删除等高风险操作权限的账号的安全要求。

(3)共享和开放管理

根据公共数据分类分级结果,建立差异化的公共数据共享开放安全管理的技术要求、应用场景和工作流程等,明确公共数据共享开放申请审批环节。

(4)脱敏和销毁管理

按照公共数据分类分级结果,明确公共数据脱敏规则、管理要求、技术要求和工作流程等。制定公共数据安全销毁相关配套制度,明确公共数据销毁对象、销毁场景、销毁方式、销毁流程和销毁工作要求等。

(5)外包管理

制定外包安全管理相关配套制度,明确提供业务合作、技术支撑、数据服务等合作方及其人员的安全管理要求、 考核要求和处罚措施等。明确数据安全保密承诺书内容,规范合作方及其人员的保密要求。

(6)日志审计和监督管理

明确安全审计日志采集的内容、方式、标准化要求、日志存储要求和日志审计内容等,规范异常预警和处置工作流程。 制定公共数据安全监督检查相关配套制度,明确对公共数据安全管理现状的监督检查内容、方式和监督检查工作周 期、策略、流程等,促进公共数据安全工作持续优化。

(7)事件与应急响应管理

规范数据安全事件分类分级方法,建立公共数据安全事件发现、上报、处置、溯源、总结等工作流程,明确数据安全应急预案编制和应急演练工作要求等。

 

安吉县人民政府办公室                      2022年5月11日

您的位置: 首页 > 政府信息公开 > 政策法规 > 行政规范性文件
索引号: 330523/2022-00775 发文时间: 2022-05-11 16:50:46
公开方式: 主动公开 公开时限: 长期公开
文件编号: 安政办发〔2022〕31号 发布机构: 安吉县人民政府
统一编号: EAJD01-2022-0011 文件效力: 有效
安吉县人民政府办公室关于印发安吉县电子政务网络与信息系统安全管理暂行办法的通知
政策解读 >

各乡镇人民政府(街道办),县政府各部门,县直各单位:

《安吉县电子政务网络与信息系统安全管理暂行办法》已经县政府同意,现印发给你们,请认真贯彻执行。

 

 

                             安吉县人民政府办公室

                               2022年5月10日

 

 

 

 

 

 

安吉县电子政务网络与信息系统安全管理

暂行办法

第一章 总 则

第一条  为贯彻落实数字化改革中网络安全相关要求,完善现行的网络安全组织机制,健全网络安全管理规范,提升网络安全技术水平,加快构建县级电子政务网络安全体系,确实保障政务云网和信息系统安全、稳定、有序、高效运行,依据中华人民共和国网络安全法《关键信息基础设施安全保护条例》《浙江省公共数据条例》等法律法规和文件,结合我县实际,制定本办法。

第二条  本办法所称电子政务网络与信息系统是指我县党政机关、事业单位、社会团体、国有企业等(以下简称各单位)使用的电子政务外网(以下简称政务外网)和依托政务外网和政务云建设的提供各项政务和公共服务的政务应用。

第三条  本办法所称的网络安全是指全县电子政务设施及应用的管理者、建设者、运维者和使用者采取策略和措施,防范其被攻击、侵入、干扰、破坏以及公共数据被泄露、窃取和篡改等非法使用的能力、状态和行为。

第四条  本县行政区域内基于政务外网的“云平台、网络、边界、终端、数据、应用”的管理、建设、运维和使用活动,适用本办法。

第五条  电子政务网络与信息系统安全管理工作统分结合,坚持管理、技术和运营并重,按照“谁主管谁负责、谁建设谁负责 、谁使用谁负责”的原则,分级分类管理、各负其责,加强协同,合力保障网络信息安全。

第六条  任何单位和个人不得利用政务外网从事危害国家安全、泄露国家秘密、传播非法信息等违法犯罪活动,不得在政务信息系统上传输、处理、储存涉及国家秘密、工作秘密的信息。

 

第二章 职责分工

第七条  成立县电子政务网络信息安全管理工作领导小组及其办公室,作为全县电子政务网络与信息系统安全的议事协调机构,负责统筹协调电子政务网络与信息系统安全的相关指导、监督工作,制订安全建设规划和工作规范,建立全县电子政务网络与信息系统安全风险评估、应急指挥、防护运营体系。

第八条  各单位负责本单位局域网和接入政务外网或在政务节点云上自建信息系统的安全管理,并根据首席网络安全官制度(安委网办〔2021〕16号文件)落实电子政务网络和信息系统安全主体责任。

 

第三章 网络安全管理

第九条  县大数据局统一规划、统筹建设政务外网的互联网出口,政务外网各接入单位原则上通过政务外网统一出口访问互联网,因业务需要确需自建互联网出口的,需报县大数据局审批同意,同时接受其指导、监督和检查。

第十条  各接入单位在接入政务外网前,应进行安全评估,并参照所接入政务外网的等级保护级别标准,开展测评整改,达到所接入政务外网的安全标准后,方可接入政务外网。

第十一条  各接入单位不得处置政务外网接口的网络设备或改变设备配置,如确需网络接入变更,由业务需求单位提出申请,经县大数据局审核同意后方可办理。

第十二条  如有独立的业务专网与政务外网进行数据交换,业务需求单位应当自行在业务专网和政务外网之间部署隔离设备,并由业务需求单位自行负责数据摆渡。

第十三条  各接入单位应当加强政务外网终端安全管理,对接入的所有终端,安装防病毒软件并进行资产登记,定期进行杀毒并及时更新补丁、实行统一管理。

第十四条  业务应用信息系统需开放政务外网或互联网地址端口访问,应当由业务需求单位提出要求并对每个端口的用途作出说明,经县大数据局核准备案后开放。

 

第四章 信息系统安全管理

第十五条  各单位业务信息系统正式对外提供服务前,应按照国家网络安全等级保护制度要求,完成等级保护测评备案、整改加固,需上政务节点云的应通过上云检测流程方可正式上线提供服务,其信息安全管理由该系统所属单位负责。

第十六条  各单位需保障本单位内部的服务器或使用政务节点云虚拟机的安全,定期进行信息系统部署环境安全检查,对系统日志进行备份和分析,及时升级系统版本或修复常用软件漏洞,进行病毒木马查杀,保留安全检查日志。

第十七条  各单位使用政务节点云资源,应当遵守云安全管理规范,严格控制所申请资源的使用范围,按照云服务方提供的硬件、网络、操作系统、数据库进行应用软件的安装和配置,禁止安装非认可软件,不得利用政务节点云算力、存储、数据等资源开展批准范围之外的应用。

第十八条  各单位负责所使用虚拟主机的中间件及应用信息系统的安全,按照《安吉县人民政府办公室关于贯彻执行<湖州市公共数据安全管理暂行办法>的通知》要求落实数据安全管理职责,并对所属信息系统的访问控制进行优化,提出最小化开放策略,健全用户访问机制和用户口令机制。

 

第五章 人员管理

第十九条  各单位应在内设数字管理机构中设立网络信息安全管理岗位,制定岗位人员的工作职责和安全管控措施,要与相关人员签订保密协议,明确其对数据和业务信息系统的安全保密义务。

第二十条  各单位应当遵循公共数据安全管理办法,对网络信息安全管理离岗人员应落实账号清理、权限回收、敏感信息、数据和设备的移交等措施。

第二十一条  各单位如需委托第三方机构开展安全服务,需作为信息化项目报县大数据局审核,要严格按照《浙江省信息技术服务外包网络安全管理办法》落实主体责任并规范对服务外包承包机构、人员、服务行为的监管。

第二十二条  各单位需加强网络信息安全教育,应进行必要的安全意识、安全管理规范和安全技能等方面的培训,每年应制订具体的年度培训计划。

 

第六章 安全运维管理

第二十三条  成立电子政务网络县域一体化安全运营中心,仅对政务外网范围内各单位提供安全服务和能力输出。统筹全县电子政务建设中的云安全、网络安全、边界安全、终端安全、数据安全和应用安全,构建管理、技术、运营三大安全体系,形成一体化安全运营、综合协调指挥、全流程风险防控能力。

第二十四条  电子政务网络县域一体化安全运营中心应定期采用技术和人工检测相结合的方式,检测政务外网信息安全异常情况。建立健全网络安全预警与监测体系,及时发现、定位、分析、处置网络安全事件。

第二十五条  各单位应遵循安吉县电子政务网络与信息系统运行管理要求对网络和信息系统运行、维护过程进行安全管理。信息系统管理员及运行维护人员上岗前必须进行安全培训;定期评估信息系统运行状况,优化系统性能;对信息系统的变更和其他重大操作,应制定应急措施和回退方案;突发事件发生时,应按政务外网应急管理有关规定和要求进行处理。

 

第七章 信息安全检查与通报

第二十六条  县电子政务网络信息安全管理工作领导小组及其办公室要对全县电子政务网络和信息系统建设、运营、使用单位履行网络与信息安全保护职责的情况进行监督检查,对未达到安全保护要求的,应当书面通知其限期整改。

第二十七条  建立网络信息安全定期通报制度,定期通报政务外网和信息系统重大信息安全事件,对造成严重网络信息安全事件的责任人,由相关职能部门依照法律法规予以处理。

 

第八章 附  则

第二十八条  本办法自2022年6月12日起施行。

 

 

附件:1.安吉县电子政务网络信息安全管理工作领导小组成员名单;

2.安吉县电子政务网络县域一体化安全运营中心建设方案;

3.安吉县电子政务网络信息安全管理规范汇编

 

 

 

 

 

 

附件1

安吉县电子政务网络信息安全管理工作

领导小组成员名单

 

一、领导小组组成人员

组  长:宁  云

副组长:沈霞俊、黄  枫、陈  悦、程文伟

成  员:顾建强(县委办)     楼  军(人大办)

马洪亮(县政府办)   吴榨胜(政协办)

尹碧锃(县纪委监委) 金黎明(巡察办)

董  良(组织部)     王伟静(宣传部)

吴国兴(统战部)     王国明(政法委)

高  峰(信访局)     余  卫(党  校)

任爱军(档案馆)     孟黎明(法  院)

胡秀义(检察院)     朱车生(总工会)

管田甜(团县委)     朱海燕(妇  联)

朱昌发(科  协)     潘安国(残  联)

傅爱国(工商联)     赵德忠(红十字会)

沈  强(发改局)     傅海飞(经信局)

周  斌(教育局)     朱家胜(科技局)

孙  晟(公安局)     姜  平(民政局)

王  峰(司法局)     陈志文(财政局)

王红缨(人力社保局) 章  毅(资源规划局)

李  明(住建局)       盛  强(林业局)

赵双勤(交通局)       刘  斌(农业农村局)

柳初晓(水利局)       胡可立(商务局)

彭忠心(文体旅游局)   凌逸刚(卫健局)

张  军(退役军人局)   樊锡宏(应急管理局)

沈卫江(审计局)       王有富(市场监管局)

尚亿勇(统计局)       徐启龙(医保局)

章熙翔(综合执法局)   施月素(大数据局)

郑时骏(政务办)       李敏芳(机管中心)

沈高飞(投资促进中心) 曹宏华(金融发展服务中心)

祝  青(融媒体中心)   章安民(供销联社)     

张  杰(税务局)       戴  军(邮管局)       

叶戴麟(气象局)       朱红星(生态环境局

王永洪(公积金中心)     (两山国控集团)

陈  卫(城投集团)     戎露波(产投集团) 

屠继忠(交投集团)     蒋晓燕(建控集团)

陈显永(农高新集团)     (移动公司)

王理平(电信公司)     周  超(联通公司)

黄金胜(人民银行)     李  翔(银保监组)

许  杰(开发区)       明瑞成(递铺街道)

周方平(昌硕街道)     张天滨(灵峰街道)

程卫军(孝源街道)     朱越峰(梅溪镇)

金  鸣(天子湖镇)     邵炜钦(溪龙乡)

梅本炜(鄣吴镇)         干雪峰(杭垓镇)        

王  凯(孝丰镇)         叶  飞(报福镇)        

董建波(章村镇)         应建坤(上墅乡)        

许进京(天荒坪镇)       王孟天(山川乡)

领导小组下设办公室,负责统筹协调日常工作。办公室设在县大数据局,施月素兼任办公室主任,牵头单位(县政府办、县委宣传部、县公安局、县大数据局)分管领导任办公室副主任,领导小组成员单位的首席网络安全官任办公室成员

二、领导小组主要职责

指导全县电子政务网络和信息系统安全管理工作,制订全县电子政务网络与信息系统安全建设规划和工作规范,建立全县电子政务网络与信息系统安全风险评估体系,组织开展政务外网网络与信息系统安全等级保护工作、信息安全自查和风险评估,对全网安全运行状况进行分析、研判和通报。指导建立安吉县电子政务网络县域一体化安全运营中心。制订全县政务外网网络与信息安全应急预案,组织开展应急演练;组织政务外网网络信息安全宣传、教育和培训等工作。

 

 

 

 

 

附件2

安吉县电子政务网络县域一体化安全运营中心建设方案

 

一、总体目标

为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《浙江省公共数据条例》等法律法规,依据省委省政府关于数字化改革安全的要求和我市《数字化改革网络安全工作实施方案》(湖委网办〔2021〕14号)、《湖州市政务网络市域安全一体化总体工作方案》(湖数〔2021〕12号)等文件要求,切实构建集指挥、制度、技术、运营、监管于一体的安吉县电子政务领域网络安全工作体系,提升一体化安全管理能力,坚持“以安全保发展、以发展促安全”的理念,秉持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,聚力机制创新、制度创新、治理创新、技术创新,由县大数据局牵头建设安吉县电子政务网络县域一体化安全运营中心,纵向与市级安全运营中心形成联动防御,横向为各单位提供安全服务。

二、基本原则

(一)联动协同,同步管理。

坚持“保障业务、服务大局,筑牢底线、依法合规,体系防护、开放兼容,统一监管、全面审计”的理念,在安吉县各单位的共同协作下,开展电子政务网络县域安全一体化保障能力建设

(二)强化管理,技术协同。

县域网络安全保障体系的建设不仅要重视安全技术体系的构建,更加要重视安全运营管理体系的构建。用先进的技术手段来保障安全能力,用先进的管理机制体制来保障安全效率。做到“安全能做到,安全能做好”。

(三)风险管控,事件共抓。

安吉县电子政务网络县域安全一体化建设既要重视监管监测体系的构建,也要重视保障体系的构建。实现防护与监管监测一体化,通过一体化的防护机制来保障系统对外部攻击的防御能力,一旦发生安全事件,能够有效控制影响范围,避免发生次生损失。

(四)开放创新,迭代完善。

打破传统被动防御的观念,主动出击、持续改进、开放生态、创新技术,通过泛在感知、大数据分析、一体化运营服务等多种手段感知、发现、应对潜在和已经发生的威胁,在破坏发生之前,主动完成系统加固整改,避免产生实际损失。

三、架构设计

安吉县电子政务网络县域安全一体化(以下简称县域安全一体化)涉及范围:安吉县电子政务外网网络以及基于政务外网、物联网、视联网运行的应用系统和产生的数据资源。

基于数字化改革网络安全保障体系的要求,按照“大安全、大运营、大协同”的建设思路,统筹安吉电子政务建设中的政务节点云安全、网络安全、边界安全、终端安全、应用安全和数据安全,以构建“实战有效、体系完善、常态保护、综合治理”的安全总目标,打造“1231”的县域安全一体化体系。即一个总体目标、两项理论支撑(顶层设计与标准体系)建设、构建三大安全体系(管理体系、技术体系、运营体系),通过从管理层面、技术层面、运营层面,打造一个基于云、网、端、数、用、边全链路的安全运营中心。

 

四、县域一体化安全运营中心的定位

县域一体化安全运营中心是联动市县网络安全工作的总枢纽。县域一体化安全运营中心按照“县域一体、上下贯通、协调联动、能力互补”的模式,为全县网络安全和数据安全提供技术保障服务和安全运营服务。

县域一体化安全运营中心是开展一体化网络安全保障工作的总抓手。是县域一体化安全保障技术工具、管理制度、运营服务输出的主要载体。是安全保障全县电子政务外网以及基于政务外网、物联网、视联网运行的系统和产生数据资源的网络安全咨询服务中心。是以“安全能力服务化,安全服务集约化”为设计原则,改变传统以特征和规则匹配为基础的产品支撑体系以及碎片化的安全服务机制的集约化安全能力输出中心。是以大数据加人工智能为驱动的智能化技术为支撑的运营管理与保障服务机制,通过汇聚相关安全数据进行协同分析,由点及面,发现安全风险的安全分析中心。是将原本零散的安全数据变成统一规范的安全数据资源为全县提供安全运营支撑能力的安全保障中心。

县域一体化安全运营中心是单位获取安全能力的总资源池。安全运营中心将整合现有安全技术保障能力、安全服务能力,让安全能力集约化、服务化、SaaS化,形成本地化安全资源目录,对全县单位进行开放,各单位可以自主化、定制化使用安全资源能力。一体化安全运营中心覆盖数字化改革基础设施安全、数据资源安全、应用支撑安全、场景应用安全建设各个维度。

县域一体化安全运营中心是政务网络安全运营的总工作站。在运营层面,安全运营中心将统一全县电子政务安全数据归集、统一全县电子政务安全资产管理、统一电子政务安全基础策略调度、统一安全运营流程。对全县各政务外网内单位的网络、平台、数据、应用、终端等进行整体监测监管。结合浙政钉通过自动化的运营流程将安全问题通报给相关单位,并在监管机制下监督相关单位完成任务闭环。同时为单位提供安全加固与整改所需的安全技术支撑工具、安全咨询能力、安全服务等。

 

(一)县域一体化安全运营中心建设框架

县电子政务网络信息安全管理工作领导小组及其办公室的统筹指导下,以浙江文澜信息发展有限公司(以下简称文澜公司)为主体,整合第三方安全厂商,整合县域安全数据资源、安全软硬件与产品服务能力,联合监管单位、业务建设单位、研究机构协同作战,组建安吉县电子政务网络县域一体化安全运营中心,形成本地安全运营团队与组织,形成一体化安全运营能力、综合协调指挥能力、全流程风险防控能力。办公场所设在文澜公司,办公设施由文澜公司提供。

一体化安全运营中心建设框架基于底层安全技术与工具建设,配套安全管理制度与流程,借助人员服务能力,建立IPDRO(识别-防护-监测-响应-运营)整体安全运营体系,并对外提供安全咨询服务。

技术与工具建设。通过各类基础设施安全防护建设构建安全能力系统,并将各种安全能力服务化,形成安全服务目录,对外提供基础安全保障能力。

机制与流程建设。通过完善安全管理组织建设、安全管理制度建设以及配套的安全管理流程建设,构建整体的安全管理体系,实现对全市安全风险的有效管理和监督。

服务与人员建设。构建安全运营团队,包括业务服务组、技术支撑组和监督保障组。落地不同小组的工作职责和范围,形成联动机制,主要职责如下:

(1)业务服务组。主要负责对安全运营中心所提供的能力与服务进行梳理,形成安全资源目录,编制安全资源申请及使用的流程机制。形成指导与服务流程文档沉淀,并对相关成果进行宣贯与培训。并负责各单位与安全运营中心对接及服务申请过程当中的答疑与前端服务支撑,帮助各单位更好更方便地使用安全运营中心的服务。同时利用安全监管平台的接单系统,接收到安全产品及服务的订单后,配合各单位开展安全技术产品及服务的上线、支撑与维护工作。

(2)技术支撑组。主要负责对安全运营中心技术支撑设施的安全运维工作,在接单后,为各单位相关业务系统提供渗透测试、风险评估、扫描与基线检查等安全服务,并形成相关的评估与报告,并协助相关单位进行整改。对县域范围内发现的安全问题提供安全答疑与协助加固工作。对县域范围内发现的重大风险隐患与安全事件进行分析与研判,对安全事件进行溯源分析与应急处置

(3)监督保障组。主要负责保障安全运营中心的日常管理工作,负责运营中心物理环境及人员的管理与考核工作,包括日常行政管理、人员工作考核、办公环境维护等。针对相关单位的安全隐患与风险情况进行通报,并对整改过程进行监督监管实现闭环

(二)安全运营中心技术支撑平台建设

构建全链路安全监管平台。由县大数据局牵头建立全链路安全监管平台,覆盖云、网、端、边界、数据、应用,结合我县电子政务现网安全数据,对现网当中各类设备所产生的安全日志进行标准化梳理与整合,形成覆盖“云、网、端、数、用、边”的安全态势。全链路安全监管平台与浙政钉体系打通,将安吉电子政务相关各单位的责任人、管理人员及相关角色进行有效划分,安全事件、情报、快速传达至相关单位处置。不断优化安全资源提供能力,协助各单位进行相关策略的调试与部署。将安全资源服务化,形成安全资源目录与工单系统,为各单位选择安全服务与能力资源提供支撑,通过资源门户按等级保护或自身需求购置安全组件。

(三)安全运营服务能力建设

安全咨询服务。借助安全运营团队对全县各单位提供各类安全咨询服务。

互联网应用安全服务。通过SaaS化应用安全监测与保障平台为各单位互联网应用提供安全防护、DDos安全防护、内容监测、可用性监测等能力。各单位需要配合安全运营中心接入相关互联网应用系统,加强应用安全基线保障能力。

渗透测试服务。通过真实模拟黑客使用的工具、分析方法来对业务系统进行模拟攻击,结合智能工具扫描结果和人工确认,进行深入的手工测试和分析,从而充分识别业务系统风险并要求进行整改。

风险评估服务。通过业务调研、网络分析、安全扫描、人工检查、渗透测试等一系列服务手段全面评估信息系统的安全状况,识别安全威胁与脆弱性,分析与监管要求的差距,并要求进行整改。

安全培训服务。邀请安全理论、技术专家,针对各单位数据安全业务人员和技术人员定期开展安全基础专项培训,提升相关人员安全意识,掌握数据安全发展趋势,了解新型风险和攻防新技术,规范安全管理制度,提高整体安全防护能力。建立学习激励政策,不同角度提升安全培训教育的成效,不断提升数字化改革的安全能力。相关单位应开展安全培训教育的交流和学习,分享实际工作中的安全经验,丰富安全防护的实战能力,保障数字化改革安全有效开展。

代码审计服务。通过安全服务厂商提供的代码审计工具+人工确认+人工抽取代码检查的方式,根据业务流信息检查目标系统的脆弱性缺陷以及结构上的问题,并要求进行整改。

驻场运维服务。安排专业人员提供现场支撑服务,对县大数据发展管理局网络安全相关的工作开展安全风险监测、策略调整和安全处置等,并定期汇报网络安全整体状况。

 

附件3

 

安吉县电子政务网络信息安全管理规范汇编

 

一、总则

(一)总体目标

为加强浙江省湖州市安吉县(以下简称“全县”)电子政务网络和信息系统的安全管理,促进数字化、智慧化建设工作健康有序开展,满足业务发展和监管机构对电子政务外网安全保障工作的要求,构建安全、稳定、持续运行的电子政务外网安全保障体系,有力支持全县数字化改革和绿色智慧城市建设战略和事业发展,根据国家有关法律、法规及规范性文件的要求,结合全县实际,制定安吉县电子政务网络信息安全管理规范汇编(以下简称“本规范汇编”)。

(二)适用范围

适用于全县党政机关、事业单位、社会团体、国有企业等(以下简称“各单位”)使用的电子政务外网(以下简称“政务外网”)及依托政务外网和政务节点云建设部署的提供各项政务和公共服务的政务应用。

(三)总体要求

防范政务网络信息安全风险发生,提高全县整体政务外网和信息系统安全防御能力、满足国家相关网络信息安全标准要求。安吉县电子政务网络信息系统安全领导小组办公室(以下简称“领导小组办公室”)与县域一体化安全运营中心(以下简称“安全运营中心”)将不定期对本规范汇编的执行情况进行评审,根据评审结果对本规范汇编进行必要的修订及更新工作。

二、政务云安全管理

(一)安吉县政务节点云信息系统上线安全检测规范

1.总则

(1)目的

为贯彻落实《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,进一步提升数字化改革进程中的网络安全保驾护航的能力,规范政务节点云信息系统上线流程,降低信息系统安全风险,明确信息系统在安吉县政务节点云上线前进行安全检测的申请、测评和通过后各阶段的工作流程和规范,为信息系统安全上云提供指导。

(2)范围

各单位部署在政务节点云上的信息系统。

2.安全要求

信息系统上线前应通过网络安全风险评估检测,需进行代码审计、渗透测试和漏洞扫描等检测。

代码审计是指通过对新上线系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析,从而发现系统源代码存在的安全缺陷,并采用安全测试等技术手段进行漏洞验证。

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

漏洞扫描是指通过自动化的设备进行漏洞发现的过程。

3.上线安全检查流程

安吉县政务节点云信息系统上线安全检测包括申请、检测复测上线4个流程

(1)安全检测申请

信息系统开发完毕,具备上线条件时,使用单位应向县大数据局申请上线安全检测,填写《安吉县政务节点云安全检测申请表》,详表见附件。安全检测主要是对上线信息系统进行资料收集,进行渗透检测工作等。主要内容包括:

使用单位基本信息,包括单位名称、联系人和第三方技术联系人;

申请安全检测信息系统基本信息,包括信息系统名称、系统功能模块简介、“浙政钉”“浙里办”功能模块、服务器名称、政务节点云IP地址及开通端口、公网地址及端口、中间件版本、数据库版本、用途和业务上线后域名地址;

政务节点云安全检测申请表承诺项,承诺在本次测试时所提供的系统与最终上线的系统在架构、功能、模块等所有方面保持一致,在系统上线后按照相关规定落实信息安全措施。

(2)安全检测

安全运营中心负责对申请上线信息系统实施安全检测,检测方式如下:

部署核实——安全检测工程师核实申请上线信息系统服务器上防病毒、虚拟IPS防护、防篡改等防护软件是否部署;

代码审计——使用单位提供信息系统源代码,安全检测工程师通过工具检查源代码中的缺陷和错误信息,提供代码修订措施和建议;

渗透测试——模拟黑客攻击,进行远程或本地测试,发现Web类信息系统实际存在的系统漏洞,提供修复建议;

漏洞扫描——通过专业漏洞扫描工具,对信息系统进行扫描,发现设备存在的系统漏洞,提供修复建议。

信息系统通过安全检测合格后,方可正式上线运行。否则,需要进行安全隐患整改和复测。

(3)安全检测复测

使用单位应配合安全运营中心对信息系统进行安全优化工作,对发现的安全隐患(如存在)进行整改,并对整改结果进行复核确认,直至风险消除。

(4)信息系统正式上线

信息系统通过安全检测复测合格后,安全运营中心将结果同步至政务节点云服务方,服务方与使用单位共同确认,开通上线。

安吉县政务节点云安全检测申请表

     

基 本 信 息



使用单位名称





使用单位联系人


联系电话



第三方技术联系人


联系电话



信息系统名称




系统功能模块简介

范例:OA日常办公,审批等。主要功能模块:公文管理,会议管理,审批管理,建议提案等。



“浙里办”功能模块

(如没有无需填写)

审批


“浙政钉”功能模块

(如没有无需填写)

审批


服务器名称

政务节点云IP地址及开通端口

公网地址及端口

中间件版本

数据库版本

用途


Test1

10.200.x.x    (8009)

111.1.30.x(8009)

Apache tomcat8.5

mysql5.7

OA办公


Test1

10.40.x.x(8237,8081)





业务上线后域名地址

(如没有无需填写)



承 诺

本单位在本次测试时所提供的系统与最终上线的系统在架构、功能、模块等所有方面保持一致,在系统上线后按照相关规定落实信息安全措施。


 

 

使用单位(盖章):             

 

     

                      年   月   日

 


备注:1.请列出系统所使用的所有端口,一年内不再受理对同一系统的测试申请;

2.此表一式三份(一份申请单位、一份大数据局、一份安全运营中心)。

(二)安吉县政务外网应急响应操作规范.

1.总则

(1)目的

根据《安吉县网络与信息安全应急预案》,提高我县政务外网与信息安全突发事件处置能力,形成科学有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大程度地减少网络与信息安全突发事件造成的损害,制定本规范。

(2)范围

本规范适用于全县政务外网内网络安全事件的应急响应处置。

2.安全要求

(1)应急事件处置应严格按照《安全事件应急响应流程图》进行操作;

2)各单位应根据安全事件的类型和级别定义判断安全事件,及时处置安全事件并上报安全运营中心,相关安全事件级别参考《安吉县网络与信息安全应急预案》;

3)各单位应对信息安全事件的发生、处理办法进行填写《安全事件记录表》,详表见附件,并把安全事件记录表提交安全运营中心进行备案;

4)各单位应明确相关第三方服务机构的紧急联系人及联系方式,详情请参考《应急响应紧急联系人》;

5)各单位每年至少组织一次预案演练,模拟处置重大或较大网络与信息安全事件,提高实战能力,检验和完善预案。

3.应急响应流程

(1)处理流程说明

发现问题:单位自身发现问题或通过电话等方式接到公安、网信通知。

分析处置:由单位自身根据分析判断安全事件的影响程度,判断能否处理,如能处理,处理后将结果反馈安全运营中心,如不能处理向安全运营中心或其他机构申请协助处理。

恢复:由单位自身判断网络/系统是否恢复,若未恢复,则由安全运营中心判断事件影响程度,并是否继续上报。

总结:由有关单位进行组织总结。

(2)安全事件应急响应处置流程图

安全事件记录表

单位名称:XX                                 填报时间:    年   月   日

单位名称


报告人


联系电话


通讯地址


发生信息安全事件的网络与信息系统名称及用途


信息安全事件的

简要描述(如以前出现过类似情况也应加以说明)


初步判定的事故原因


当前采取的应对措施


本次信息安全事件的初步影响状况

事件后果

□业务中断 □系统破坏 □数据丢失   □其他

影响范围

□单台主机 □   台主机 □整个信息系统 □ 整个局域网 □

严重程度

□极严重 □很严重 □严重   □一般 □不严重 □

联系方式

值班电话:           传真:              邮件地址:

应急响应紧急联系人

序号

单位及部门

联系人

联系电话

备用电话

职位

应急职责

备注

1

集成商







2

设备厂商













3

安全厂商







4

服务单位







5

其他







 

三、网络安全管理

(一)安吉县政务外网网络互联安全管理规范

 

1.总则

(1)目标

为加强政务外网和其他网络互联的安全性,根据《安吉县电子政务网络与信息系统安全管理暂行办法》等相关规定,制定本规范。

(2)范围

本规范适用于政务外网与其他网络互联。

(3)定义

本规范所指“网络互联”仅限于两个需要建立长期连接的网络之间的互联。网络互联可分为两大类:

内部网络互联:指政务外网主干网与各单位局域网之间的互联

内部与外部网络互联:指政务外网与第三方网络之间的互联。

2.安全要求

(1)在政务外网发生网络互联或互联变更需求,例如互联目的、互联方式发生变化,或者不需要继续进行网络互联时,应及时向安全运营中心提出申请;

(2)各单位与政务外网互联的边界应部署安全设备,且禁止开启源地址转换功能,并对其访问进行最小化策略;

(3)所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全,避免引入病毒或木马;

(4)禁止内网计算机同时连接政务外网与其他第三方网络。

3.网络互联管理流程

(1)网络互联流程说明

①网络互联需求提出

互联需求单位应按照大数据局的要求,填写《网络互联开通申请表》,并提交安全运营中心进行评估审核,对于信息不全、描述不够清晰的申请,应要求提供者补充完善;对于需求不合理的申请,应予以拒绝,并说明理由;评估审核通过后,上报大数据局进行审批;

对互联相关文档进行备案,以备检索、审计。

②方案实施

网络互联实施人员在接到网络互联方案,组织制定具体的实施方案、实施过程应急预案。实施结束后通过安全运营中心进行备案、同时更新相关信息。

③网络互联变更

各单位网络需要搬迁时,应向安全运营中心和大数据局重新提交《网络互联开通申请表》;

各单位在本单位网络情况有变化时,应及时将网络情况更新并通知安全运营中心,便于网络日常维护及应急处理。

④网络互联终止

当相关单位不再需要与政务外网互联时,相关单位应告知大数据局和安全运营中心。

(2)网络互联流程图

4.审核监督

安全运营中心应定期审核网络互联设备的运行情况,及时发现违反网络互联安全和管理要求的问题,并通过安全监管平台下发整改通报。如发现存在严重违反相关要求的情况,应向大数据局汇报。

网络互联开通申请表

申请单位基本信息

单位名称


单位地址


电脑数量


用户类型

□政府机关     □事业单位     □企业    □金融     □其他

联系人

姓名


电话


传真


职务


手机


QQ


申请的业务内容


接入类型

□局域网    □单机

接入网络

□政务外网    □政务专网    □业务专网

需要IP


接入类型

□电信运营提供的传输线路         □双绞线       裸光纤

接入费用

   □财政统一支付                 □单位自行支付

接入目的


申请人单位领导意见及签章:

 

 

 

日期:         

审批意见

安全运营中心:

 

 

 

 

 

          日期:         

大数据局:

 

 

 

 

 

日期:         

IP地址信息

IP地址段


子网掩码


网关


DNS

















(二)安吉县政务外网资产管理及维护规范

 1.总则

(1)目标

为建立安吉县政务外网资产的安全管理规定,并以此规定为指导,审视安吉县政务外网内资产的安全性,有效降低网络设备与信息系统存在的安全风险,确保网络设备与信息系统安全可靠运行,制定本规范。

(2)范围

本规范适用于安吉县政务外网网络环境的资产。

(3)定义

资产主要包括如下几类:

网络设备:无线AP、二层交换机、三层交换机、负载均衡、光纤转换器、路由器、笔记本和PC等;

服务器:各类承载应用系统和软件的计算机系统及其操作系统,包括安装在服务器上各类应用系统以及构建系统的平台软件(数据库,中间件、群件系统、各商业软件平台等);

存储设备:磁盘阵列、光纤交换机等构成应用系统存储环境的设备;

安全设备:VPN网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关、加密机、安全网闸等。

2.安全要求

1)各单位应按照大数据局对资产管理的要求,参照《资产信息清单》进行填写,并提交至安全运营中心进行备案

2)网络设备与安全设备当配置发生变化时,需进行备份。且定期巡检及更新特征库

3)网络设备与服务器的拓扑结构、IP地址等信息在一定范围内保密

4)网络设备、服务器、安全设备的远程登录操作应限制在指定网段范围内。网络管理员不得私开用户权限给其他人员,并开启对管理员操作的记录和审计功能

5)用户口令(尤其是超级用户口令)必须足够复杂难以被破译。口令的设置至少应满足以下标准:

l  必须修改初始化密码

l  口令长度不得少于8位,必须同时包含字母、数字和特殊符号;

l  至少每季度要变更一次口令。

6)网络设备与服务器的安装、配置、变更、撤销等操作必须严格按照相应的流程,以使生产环境的网络设备随时处于可控状态;

7)安全设备具备入侵检测功能,必须开启该功能,并在发现网络入侵时发出告警。

XX单位信息资产清单

资产名称

资产类别

使用科室

IP地址/url地址

重要程度

使用人

用途


















































四、应用安全管理

(一)安吉县电子政务信息系统及数据库安全管理规范.

1.总则

(1)目的

为规范安吉县电子政务信息系统及数据库的安全管理,明晰运维人员在日常安全维护时的工作要求,促进安全维护规范化,制定本规范。

(2)范围

本规范适用于安吉县电子政务信息系统及数据库上线运行后的日常安全管理。

2.安全要求

(1)日常维护要求

禁止未经审批将政务外网信息系统及数据库直接映射至互联网;

接收安全运营中心的通知,及时了解重大的病毒发作情况和解决方法,并马上采取应对措施;

各单位应每月对于所属信息系统的服务器进行防病毒软件运行情况检查,并启动全盘杀毒功能,定期进行漏洞检查,并确定是否需要进行安全加固,并做好记录;

服务器只启用系统及业务所需服务,并开启其端口,关闭不需要的服务或端口;

禁止从互联网直接远程登录服务器,禁止安装向日葵、Teamviewer等远程控制软件;

服务器与数据库应启用日志审计功能,日志保存时间在六个月;

数据库系统的宿主操作系统除提供数据库服务外,不得提供其他网络服务,如:WWW、FTP、DNS等;

应对数据库系统安装目录及相应文件访问权限进行控制,如:禁止除专用账户外的其他账户修改、删除、创建子目录或文件;

应定期检查数据库系统完整性;

定期对数据库配置参数进行备份,数据库数据备份、恢复管理。

(2)系统补丁安全要求

安全补丁根据其对应漏洞的严重程度分为三个级别:紧急补丁、重要补丁和一般补丁;紧急补丁必须在15天内完成安装,重要补丁必须在一个月内完成安装,一般补丁要求六个月内完成安装。特殊情况另外处理。

系统升级或者补丁程序安装,应采用双人操作,并在升级(修补)前后完成相应的备份工作。

做好应用软件版本及安全补丁的归档管理,以备回滚或系统重装时使用,并建立相关的文档资料收集和整理工作。

(3)信息系统调整安全要求

当应用系统使用部门发生变更(新增业务等)时,应按照政务云安全管理要求向安全运营中心重新提交《安吉县政务节点云安全检测申请表》。

变更实施完成后,应由安吉安全运营中心通过测试后方可投入运行;不能通过测试,应回退至变更前的配置,不得影响系统正常运行。

 

    (二)安吉县政务外网信息技术服务外包安全管理规范.

1.总则

(1)目的

为保障电子政务领域关键信息基础设施安全稳定运行,切实加强对信息技术服务外包的安全管理,防止引入的服务外包承包机构给我县政务外网带来安全风险,根据《浙江省信息技术服务外包网络安全管理办法》等法规,制定本规范。

(2)范围

本规范适用于安吉县政务外网和信息系统在网络安全管理过程中对信息技术服务外包相关的行为管理。

2.定义

本规范所指信息技术服务外包包括服务外包发包机构、服务外包承包机构、服务外包人员:

(1)服务外包发包机构是指委托政务外网环境内信息技术服务的机构(即本规范汇编“总则”所述适用范围所指的各单位)。

(2)服务外包承包机构是指承担政务外网环境内信息技术服务外包的外部机构。

(3)服务外包人员是指为政务外网环境内的设备、产品提供开发、测试、运维等服务或参与合作运营系统管理的服务外包承包机构工作人员。

3.安全要求

(1)机构及人员管理

各单位作为信息技术服务外包发包机构,在发包采购过程中,需开展风险评估、承包机构准入审核等工作。

各单位在服务外包合同、安全保密协议中要依据网络安全法规、标准,制定网络、系统、数据等安全条款,明确安全目标、衡量标准、保障范围、职责边界、违约责任等。

各单位应会同服务外包承包机构加强服务外包人员管理,进行安全背景审查,建立违规惩戒机制,并与其签订保密等协议。

由服务外包承包机构参与开发并提供服务的业务系统或软件程序,如系统或程序能接触到依法享有的个人隐私权的所有信息,应要求将系统开发文档交予相关单位留档。

各单位应对服务外包承包机构其参与或独立开发的业务系统或软件程序源代码进行妥善保管,严格控制服务外包人员访问权限,避免代码泄漏。

服务外包人员进入安吉县政务外网核心区域或者登录安吉县政务外网内的信息系统操作时,应填写《服务外包人员接入访问申请表》及终端病毒防护要求。

禁止服务外包人员通过非VPN远程方式接入安吉县政务外网。

(2)服务外包人员权限管理

服务外包人员申请新增或变更账号时,必须符合专人专号原则、权限最小化原则。账号申请应经过相关单位审核并批准方可生效。

服务外包人员的账号口令不得以任何形式明文存放于可公共访问的设备或物理界面上,保证账号口令在传输和存储时的安全。

 

 

服务外包人员保密协议(样例)

甲方:

乙方:

为了保护甲乙双方在商业和技术合作中涉及的专有信息(如本协议第2条所定义的内容),经友好协商,甲乙双方签订如下协议:

一、签约责任人

双方就专有信息的传授和接受事宜而协调的首要责任人。

甲方责任人:

乙方责任人:

二、专有信息的定义

本协议所称的“专有信息”是指所有商业秘密、技术秘密、通信或与该产品相关的其他信息,无论是书面的、口头的、图形的、电磁的或其他任何形式的信息,包括(但不限于)数据、模型、样品、草案、技术、方法、仪器设备和其他信息,上述信息必须以如下形式确定:

(一)对于书面的或其他有形的信息,在交付接收方时必须标明专有或秘密。

(二)对于口头信息,在透露给接收方前必须声明是专有信息,进行书面记录。

三、保密义务:

(一)乙方同意严格控制和保护甲方所透露的专有信息。

(二)乙方保证采取一定的保护方法、措施和手段对甲方提供的专有信息进行保密,避免非授权透露、使用或复制甲方专有信息。

(三)乙方保证不向任何服务外包机构透露本协议的存在或本协议的任何内容。

四、使用方式和不使用的义务

(一)乙方同意如下内容:

1.乙方只能为下述目的而使用专有信息:

使用目的:除乙方的高级职员和直接参与本项工作的普通职员之外,不能将专有信息透露给其他任何人;

2.不能将此专有信息的全部或部分进行复制或仿造。

(二)乙方应当告知并以适当方式要求其参与本项工作之雇员遵守本协议规定,若参与本项工作之雇员违反本协议规定,乙方应承担连带责任。

五、例外情况

(一)乙方保密和不使用的义务不适用于下列专有信息:

1.有书面材料证明,甲方在未附加保密义务的情况下公开透露的信息;

2.有书面材料证明,在未进行任何透露之前,乙方在未受任何限制的情况下已经拥有的专有信息;

3.有书面材料证明,该专有信息已经被乙方之外的服务外包承包机构公开;

4.有书面材料证明,乙方通过合法手段从服务外包承包机构在未受到任何限制的情况下获得该专有信息。

(二)如果乙方的律师通过书面意见证明:乙方对专有信息的透露是由于法律、法规、判决、裁定(包括按照传票、法院或政府处理程序)的要求而发生的,乙方应当事先尽快通知甲方,同时,乙方应当尽最大的努力帮助甲方有效地防止或限制该专有信息的透露。

六、专有信息的交回

(一)当甲方以书面形式要求乙方交回专有信息时,乙方应当立即交回所有书面的或其他有形的专有信息以及所有描述和概括该专有信息的文件。

(二)没有甲方的书面许可,乙方不得丢弃和处理任何书面的或其他有形的专有信息。

七、否认许可

除非甲方明确地授权,乙方不能认为甲方授予其包含该专有信息的任何专利权、专利申请权、商标权、商业秘密或其他的知识产权。

八、救济方法

如果发生乙方违约,双方同意如下内容:

(一)乙方应当按照甲方的指示采取有效的方法对该专有信息进行保密,所需费用由乙方承担。

(二)乙方应当赔偿甲方因违约而造成的所有损失,包括(但不限于):法院诉讼费用、合理的律师酬金和费用、所有损失或损害等等。

九、适用法律

本协议受中华人民共和国法律管辖,并在所有方面依其进行解释。

十、争议的解决

由本协议产生的一切争议由双方友好协商解决。协商不成,双方约定本协议纠纷的管辖法院为甲方归属地人民法院。

十一、生效及其他事项

本协议一式两份,甲乙双方各执一份。

 

甲方:                        乙方:

签字:                        签字:

 

盖章:                        盖章:

日期:                        日期:

 

服务外包人员接入访问申请表

使用人


使用单位


单位科室


联系电话


申请类型

£ 仅访问机房 

£ 现场政务外网 

£ 远程访问政务外网

£ 信息系统具体权限

申请内容

(详述)


使用单位

领导意见

 

 

                                          年    月    日

访问时段

□长期  £临时(            )

申请人确认

如在网络内做违规操作,占用带宽、感染病毒并传播至业务服务器等影响业务运行或访问与工作无关网站,占用他人IP地址等违规操作,入网权限将被回收且对其通报,追究相关负责人责任。

 

 

 

 

            申请人签字:                   年    月    日

开通记录

 

新增IP:

操作内容:

 

 

 

负责人员:                    年    月    日

 

五、数据安全管理

安吉县公共数据安全管理技术规范:

1.总则

(1)目的

为规范与促进安吉县公共数据发展,统筹公共数据资源整合,促进公共数据资源共享和开放,提升政府信息化治理能力和公共服务水平,根据《中华人民共和国数据安全法》、《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号)、《浙江省公共数据条例》、《湖州市公共数据安全管理暂行办法》,结合安吉县实际,为公共数据安全管理提供指导。

(2)范围

安吉县行政区域内公共数据规划与建设、管理与应用、安全与保障等活动,适用本规范。

2.安全管理要求

各部门(单位)应依法依规保障公共数据安全,遵循谁主管谁负责、谁提供谁负责、谁使用谁负责、谁管理谁负责的原则,结合本县及部门(单位)实际,依托公共数据平台,构筑公共数据全生命周期安全保障体系,以制度规范为指引,以技术防护为抓手,以运行管理为保障,加强公共数据安全闭环管理,推动个人信息安全使用,确保数据安全。

(1)分类分级管理

规范公共数据分类分级原则、要求、维度和方法,建立公共数据分类分级操作指南和工作流程,明确公共数据类别和级别的变更场景、申请审批流程和工作要求等,为公共数据全生命周期差异化安全管理提供依据。

(2)访问权限管理

明确公共数据载体和公共数据权限管理系统的账号权限安全管理的职责分工和要求,明确公共数据访问账号权限分配、开通、使用、重置、锁定、注销等的申请审批流程等,明确具备超级管理员权限或数据批量复制、处理、导出和删除等高风险操作权限的账号的安全要求。

(3)共享和开放管理

根据公共数据分类分级结果,建立差异化的公共数据共享开放安全管理的技术要求、应用场景和工作流程等,明确公共数据共享开放申请审批环节。

(4)脱敏和销毁管理

按照公共数据分类分级结果,明确公共数据脱敏规则、管理要求、技术要求和工作流程等。制定公共数据安全销毁相关配套制度,明确公共数据销毁对象、销毁场景、销毁方式、销毁流程和销毁工作要求等。

(5)外包管理

制定外包安全管理相关配套制度,明确提供业务合作、技术支撑、数据服务等合作方及其人员的安全管理要求、 考核要求和处罚措施等。明确数据安全保密承诺书内容,规范合作方及其人员的保密要求。

(6)日志审计和监督管理

明确安全审计日志采集的内容、方式、标准化要求、日志存储要求和日志审计内容等,规范异常预警和处置工作流程。 制定公共数据安全监督检查相关配套制度,明确对公共数据安全管理现状的监督检查内容、方式和监督检查工作周 期、策略、流程等,促进公共数据安全工作持续优化。

(7)事件与应急响应管理

规范数据安全事件分类分级方法,建立公共数据安全事件发现、上报、处置、溯源、总结等工作流程,明确数据安全应急预案编制和应急演练工作要求等。

 

安吉县人民政府办公室                      2022年5月11日

【关闭窗口】 【返回顶部】 【打印文章】