关于组织开展2019年行业迎国庆70周年网络
安全保卫工作的通知
各有关单位:
根据交通部、市交通委有关组织开展2019年行业迎国庆70周年网络安保工作的要求,在今年国庆节期间将启动网络安全保卫工作。现将有关要求事项通知如下:
一、深刻认识国庆70周年网络安保工作重要性
隆重庆祝中华人民共和国成立70周年,是全面贯彻落实习近平新时代中国特色社会主义思想和党的十九大精神的重要举措,是党和国家政治生活中的一件大事,党中央决定,届时将在首都北京举办一系列庆祝活动。确保大庆活动期间网络安全对于庆祝活动顺利举行至关重要,各单位要深刻认识国庆70周年网络安保工作的重要性,牢固树立“四个意识”,坚定“四个自信”,坚决做到“两个维护”,以强烈的政治责任感、主动作为的担当精神、严谨务实的工作作风、守土有责的行动自觉,最高标准、最严要求,全力以赴做好行业网络安保各项工作,坚决防范网络安全重大风险,坚决守住不发生重大网络安全事件的底线。
二、工作原则和主要目标
坚持“谁主管谁负责、谁运行谁负责”和“属地化管理”原则,通过严格落实党委(党组)或管理层网络安全责任制,全面深入开展安全检查,加强威胁应对和应急处置能力建设,实现以下安保目标:安全意识切实增强,安全责任清晰明确,风险隐患管控有力,检查整改及时到位,应急处置高效有序,形成上下齐心、协同联动的工作格局,确保行业重要网络信息系统(1.涉及国庆70周年重点保卫目标的系统2.关键信息基础设施3.城市运行和公众服务的支持系统4.含有重要数据、公民个人信息的系统5.公共信息发布系统,包括门户网站、APP、交通场站及道路沿线情报板、运输工具电子显示屏及移动电视播放系统等6.等保3级及以上系统)安全,坚决打赢国庆70周年网络安全攻坚战,为大庆活动营造清朗干净的交通运输网络空间。
三、全面深入开展2019年行业网络安全检查
(一)扎实开展行业网络安全自查。各单位要充分结合运维巡检、风险评估、等保测评等工作,对本单位主管和运行的重要网络信息系统全面深入开展一次网络安全自查自测自评。各单位要认真自查运维管理情况,筑牢安全工作底线。要坚决避免运维管理低级错误,杜绝弱口令、默认口令、通用口令、长期不变口令,杜绝“僵尸”系统和主机、已知漏洞不修复、非必要端口及服务长期开启、软件长期不更新、非必要远程运维操作等情况。要加强网络接入管理,缩减互联网出入口,严控无线局域网络建设。要按照“最小权限、最小安装”原则,关闭或删除不必要的应用、服务、端口和链接。要通过白名单、按需审批开放等方式,严格对后台系统、内容管理系统访问控制。要加强系统用户账号管理,通过设置登录次数限制等方式,防范暴力破解。
各单位要高度关注有关部门发布的漏洞和风险预警,及时开展核查整改。要坚持对风险隐患“零容忍”,第一时间实现整改清零。要及时组织技术力量开展复查,确保整改到位。对确实无法整改的隐患,及时制定可行预案,避免被攻击利用引发安全事件。
四、切实提高网络安全风险防范和威胁应对能力
各单位要加强对典型安全风险和攻击威胁的分析研判,采取有效措施,有针对性部署防范各类典型攻击威胁。
(一)要有效防范邮件攻击。要全面加强邮件安全意识教育,提高对钓鱼邮件、仿冒邮件的辨识能力。要及时加固邮件服务器,根据需要配备或升级防病毒网关。要规范邮箱使用,确保用户定期更换密码,及时删除离职人员账户。要严格邮件访问行为审计,有效核查异常地址、异常时段登录和批量下载邮件等情况。要关闭党政机关邮件系统自动转发功能。
(二)要有效防范勒索病毒入侵。要严格执行专网、办公局域网、单位内网等设备及系统的补丁升级和漏洞修复措施,关闭主机和终端上不必要的端口、共享访问以及远程桌面连接,安装并及时升级杀毒软件。定期对重要数据进行备份,防止勒索病毒破坏。采用双活备份方式的系统,如有条件应增加静态数据备份。
(三)要有效防范数据被窃取。要采取数据分类、备份、加密等措施,加强对个人信息和重要数据的保护。采用的密码技术应符合国家有关规定。严格数据范围授权,存储重要数据和大量个人信息的数据库接入互联网应采取严格安全防范措施。加强数据访问日志记录和日常审计,及时发现处置非授权访问、大流量数据异常外传等情况。
(四)要有效防范网站攻击篡改。要监测网站访问情况,定时扫描页面、文件、链接,及时发现和处置页面被篡改、域名被劫持、被插入暗链和跳转代码等安全事件。加强与CDN服务提供商、基础电信运营企业的协调联动,及时调整回源策略,有效抵御大规模拒绝服务攻击,保证网站稳定运行。
(五)要有效防范供应链安全风险。要加强对新安装软件,特别是在服务器、系统管理终端上新安装软件来源的审核验证。避免从非官方渠道获取安装程序或更新程序。强化对第三方服务机构和人员的管理要求,防止其将系统架构、开发代码、内部数据上传至吉哈(Github)以及类似代码托管平台,或在互联网上私自存储或缓存数据。
(六)要有效防范LED屏幕内容篡改。对公共区域的LED屏幕,要实行专人负责。避免使用远程和无线方式管理,确需使用的要修改默认口令,使用高强度口令,有条件的应配备播放内容监控设备,坚决屏蔽非法内容。
五、扎实做好网络安全事件应急准备
各单位要积极加强监测预警能力建设,对重要网络信息系统开展全天候、不间断监测,及时发现并处置风险。
各单位要制定完善网络安全事件应急预案,明确应急工作机构、指挥机制、响应流程、临机处置权限。要有针对性地开展应急演练,加强攻击性测试手段运用,积极开展实战化攻防对抗演练,切实提高演练效果,发现整改深层次问题隐患,强化合成作战、协调配合能力,以战促改、以战促防。
要加快健全应急工作机制,加强与相关单位、资源的协调,组建满足网络安保高标准严要求的技术支撑队伍,确保一旦发生事件能够第一时间响应和处置。对涉及反动言论、煽动性言论、谣言等意识形态类事件,要严格落实“一分钟处置”要求,快速处理,尽最大努力降低影响。发生重大安全事件时,按程序及时报告有关情况,并加强舆情应对。关键信息基础设施运营单位要加强灾难恢复能力建设,确保关键业务连续稳定运行。要严控系统间关联风险,严防发生连锁连片式网络安全事件。
自9月21日至10月7日,含有重要网络信息系统的单位要严格落实领导带班制和一线7×24小时值班信守制度,选派素质最强的技术人员参与一线值守,并做好人员调度及值班保障工作,有条件的要积极协调专业安全机构人员参与值守,确保应急力量充足。
六、有效开展行业网络安全专项信息通报
自9月21日至10月7日,启动行业网络安全专项信息通报工作,对含有重要网络信息系统的单位严格执行每日“零事件”报告制度。各单位可通过微信等通讯方式于每日13时前向我局报送前一天13时至当日13时安全状况,未发生安全事件的报平安,发生的报情况。发生安全事件时,应立即采取措施,并以书面形式报告我局值班室,传真:62591160。对瞒报、漏报网络安全事件的,将依照有关管理规定,予以通报批评。造成不良影响或重大损失的,将严肃追责。
七、有关工作要求
(一)加强组织领导。各单位要严格落实网络安全工作责任制,明确工作责任分工,建立安保工作组织机构,加强法规政策宣贯,提早研究部署,解决各项困难问题,将安全责任落实到岗到人,依法依规、对标对表,确保领导到位、人员到位、责任到位、措施到位。
(二)严肃工作纪律。要严格人员和环节管理,加强任务落实情况督查调度,加强值班情况检查。要完善事件应急处置责任认定工作机制,按照“失职必问责、问责必从严”的原则,做到“事件原因未查清不放过,风险隐患未排查整改不放过,相关责任人未受批评教育不放过”。
(三)及时报送信息。含有重要网络信息系统的单位,在网络安全专项信息通报工作期间(9月21日至10月7日),请严格执行信息每日报告制度,发生安全事件的,请按照《重要网络信息系统安全事件情况报告表》逐一报告具体事项。
上海市道路运输管理局
2019年9月17日