中国信息安全研究院副院长 左晓栋

做好党政机关网站安全管理工作
——中央网信办1号文件解读

中国信息安全研究院副院长 左晓栋

2014年5月9日，经中央网络安全和信息化领导小组领导同意，中央网信办印发了成立以来的第1份正式文件《关于加强党政机关网站安全管理的通知》。

文件起草背景

2011年，原工业和信息化部信息安全协调司根据中央领导同志重要批示精神，经深入研究并多次征求意见，起草完成了加强政府网站安全管理工作的文件报批稿。中央网信办成立后，为落实中央领导同志有关重要批示，网信办网络安全协调局在原报批稿的基础上，适应新的情况，起草了《关于加强党政机关网站安全管理的通知》。

当前，党政机关网站已经成为宣传党的路线方针政策、公开政务信息的重要窗口，成为各级党政机关履行社会管理和公共服务职能、为民办事和了解掌握社情民意的重要平台。而在其作用日益突出的同时，网站安全管理工作也面临着越来越多的挑战与威胁。

十八届三中全会公报指出，全面深化改革的总目标是完善和发展中国特色社会主义制度，推进国家治理体系和治理能力现代化。国家行政学院《电子政务蓝皮书：中国电子政务发展报告（2014）》：大力推进国家电子政务，是国家信息化的重要任务，更是推进国家治理体系和治理能力现代化的重要组成部分。而党政机关网站建设，依然是电子政务建设的重要任务。

党政机关网站安全管理存在的主要问题

多年来，党政机关网站安全管理方面还存在较多问题，主要表现在以下几个方面：

一、缺乏规范。包括：管理监督不健全，开办审批不严格；政府机构使用非gov机构域名；不法分子仿冒党政机关网站。

二、党政机关网站安全投入相对不足，安全保障能力不强，容易成为国内外各类攻击者和敌对分子攻击的主要目标。

三、党政机关网站信息发布、转载、链接管理制度不严格，信息内容缺乏严肃性，保密审查制度不落实。例如有的党政机关网站上的链接地址已经失效了。党政机关网站的英文域名并没有统一的规矩，例如有的用中文汉语拼音首字母，还有用英文全名，还有用特定含义中文或英文字母简称，而从其含义上根本看不出是政府机构。对于新技术、新应用，党政机关网站也缺乏管理规定。例如，政府官员如何开办博客，在哪儿开办博客，博客是代表个人还是代表组织，博客应该放什么内容，也没有规矩。

四、政府邮件安全管理要求不明确。

五、政府网站汇集越来越多企业秘密商业信息，一些部门公务人员维护信息不强。

1号文提出的主要要求解读

6月16日，中央网信办组织中央国家机关网络安全培训，传达学习中央网络安全和信息化领导小组第一次会议精神，对《关于加强党政机关网站安全管理的通知》等文件进行解读。中央网信办主任鲁炜出席培训班并讲话，中央编办副主任王峰出席培训班并对加强党政机关网站安全管理工作进行部署，国家互联网信息办副主任王秀军作培训总结。

1号文主要对加强党政机关网站安全管理提出了以下要求：

1.严格党政机关网站的开办审核

各级党政机关以及人大、政协、法院、检察院等机关和部门，开办的党政机关网站主要是宣传党和国家方针政策、发布政务信息、开展网上办事；不具有行政管理职能的事业单位原则上不得开办党政机关网站；规范党政机关网站域名和网站名称；机构编制部门会同同级网信办负责党政机关网站开办审核工作；中编办电子政务中心、CNNIC配合做好工作，不受理未通过审核的域名注册申请，及时清理未通过复核的已注册党政机关网站域名。

2.严格党政机关网站信息发布、转载和链接管理

党政机关网站发布的信息主要是本地区本部门本系统的有关政策规定、政务信息、办事指南、便民服务信息等；各地区各部门要建立健全网站信息发布审核和保密审查制度，发布政务信息要严格执行有关规定，信息发布审核过程中，要充分考虑各种信息之间的关联性，防止由于数据汇聚泄露国家秘密或内部敏感信息；党政机关网站原则上不承担与本地区本部门本系统无关的新闻信息采集和发布义务，不得发布广告等经营性信息，严禁发布违反国家规定的信息以及低俗、庸俗、媚俗信息内容。

党政机关网站转载的信息应与政务等履行职能的活动相关，并评估内容的真实性和客观性，充分考虑知识产权等问题。

有关部门要加强网站链接管理，定期检查链接的有效性和适用性。需要链接非党政机关网站的，须经本单位分管网络安全工作的负责同志批准，链接的资源应与政务等履行职能的活动相关，或者属于便民服务的范围。采取技术措施，做到在用户点击链接离开党政机关网站时予以明确提示。

3.强化党政机关网站应用安全管理

积极利用新技术提升党政机关网站服务能力和水平，充分考虑可能带来的风险和隐患，有针对性地采取防范措施。网站开通前要进行安全测评，新增栏目、功能要进行安全评估。

有关部门要加强对网站系统软件、管理软件、应用软件的安全配置管理，做好安全防护工作，消除安全隐患；加强党政机关网站中留言评论等互动栏目管理；严格对博客、微博等服务的管理，博客、微博申请注册人员原则上应限于本单位工作人员，信息发布要署实名，内容应与所从事的工作相关。党政机关网站原则上不开办对社会开放的论坛等服务；加强党政机关网站中重要政务信息、商业秘密和个人信息的保护，防止未经授权使用、修改和泄露。

4.建立党政机关网站标识制度

中央编办会同有关部门抓紧设计党政机关网站统一标识，组织制定党政机关网站使用规范。党政机关网站标识应按要求放置，非党政机关网站不得使用。

加大对仿冒党政机关网站行为的监测力度。科技部、工信部组织研制专门技术工具，互联网信息办组织媒体加强宣传。违法和不良信息举报中心受理仿冒党政机关网站举报并组织处置。

5.加强党政机关电子邮件安全管理

严格党政机关专用电子邮件系统注册审批与登记，各单位网站邮箱原则上只限于本单位工作人员注册使用。

加强电子邮件安全防护，综合运用管理和技术措施保障邮件安全。

加大对仿冒党政机关网站行为的监测力度。科技部、工信部组织研制专门技术工具，互联网信息办组织媒体加强宣传。违法和不良信息举报中心受理仿冒党政机关网站举报并组织处置。

6.加强党政机关网站技术防护体系建设

各地区各部门在规划建设党政机关网站时，应参照有关标准规范，建立以网页防篡改、域名防劫持、网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系，并加强党政机关网站移动应用安全管理。

各地区各部门制定党政机关网站安全应急预案，做好党政机关网站灾备工作，采取有效措施提高党政机关网站域名解析安全保障能力，统筹组织专业技术力量对中央和国家机关网站开展日常安全监测。各地网信办组织开展对本地重点党政机关网站的安全监测。

工信部要指导电信运营企业为党政机关网站安全运行提供通信保障，公安机关要加大对攻击破坏党政机关网站等违法犯罪行为的依法打击力度。国家标准委要加快制定完善有关网站、电子邮件的国家信息安全技术和管理标准。

7.加强对党政机关网站安全管理工作的组织领导

中央和地方网信办要做好党政机关网站安全工作的协调、指导和督促检查。加大党政机关网站、电子邮件系统的安全检查力度。中央和国家机关各部门、省市两级党政机关网站、电子邮件系统每半年开展一次全面安全检查和风险评估。

责任编辑 朱 瑞