关于报送国家文物局重点网站安全执法检查自查报告的函

办秘函〔2015〕943号

公安部十一局：

按照公安部《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》（公传发〔2015〕253号）要求，国家文物局认真组织开展自查，现将《国家文物局重点网站安全执法检查自查报告》报上，请审阅。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　国家文物局

                            　　　　　　　　　　　　　　　　　　　2015年6月25日

国家文物局重点网站安全执法检查自查报告

国家文物局对网络安全和信息化工作一直十分重视，2014年重新调整组建了局信息化领导小组，由党组书记、局长励小捷任组长，顾玉才副局长任副组长，机关各司室和相关直属单位负责人担任成员。信息化领导小组负责信息化工作，领导小组办公室设在局办公室，直属单位中国文物信息咨询中心（以下简称“信息中心”）承担信息化日常工作。

按照《关于开展国家级重要信息系统和重点网络安全执法检查工作的通知》（公传发〔2015〕253号）要求，局办公室与信息中心成立了网络信息安全检查小组，负责本年度国家网络安全检查的具体工作。

本次检查范围涵盖国家文物局政府门户网站。

一、信息安全自查工作组织开展情况

信息安全检查小组根据《关于开展国家级重要信息系统和重点网络安全执法检查工作的通知》编制了《2015年国家文物局网络安全工作方案》。并于2015年6月完成国家文物局政府网站安全执法工作自查，2015年6月20日填报《国家级重要信息系统和重点网站安全执法检查自查表》、编写自查报告。

二、本年度信息安全主要工作情况

（一）国家文物局政府门户网站等级保护工作情况

1．等保三级工作进展情况与信息安全建设工作情况

国家文物局建立了信息化领导小组负责网络安全与等级保护工作。中国文物信息咨询中心主要负责具体工作，信息化领导小组负责总体规划工作。国家文物局政府门户网站已完成自主定级，现正在进行整改并准备进行三级等保测评。

每年都对等保工作进行考核，对直属单位的网络安全进行整体管理与定期检查。网络安全工作经费都纳入年度预算中，约占整体经费的百分之十。建立了相应的网络安全管理制度，对责任追究也有相应的条款，依据责任追究制度对发生的网络安全事故进行相应的追责。于2012年出台了信息安全整体策略、安全管理规定、信息系统建设安全管理办法等相应的管理规章制度。

计划于2015年完成信息安全三级建设工作，从物理、网络和系统层面达到相关技术要求，在2014年严格按照等保要求进行了升级改造，并通过了安全检查。数据资源存储情况属于人工定期进行手动备份，重要数据进行异地备份；数据灾备属于异地备份，分别在全国不同省市设立了4个备份点，每年异地灾备2次，数据资源存储和应用并未由社会第三方提供。

2．日常监控与应急管理情况

由中国文物信息咨询中心负责日常网络安全监测工作，监控政府网站的网络安全情况与应用情况。使用网络监测，信息平台监测，数据库监测，机房物理环境检测等技术手段监控政府网站运行与维护。有完善的预警与通报流程，如若遇到网络安全事故会及时通过系统提出预警，并告知有关部门与负责人进行解决，并做好相关记录与日志。根据《国家文物局信息系统应急预案管理》要求，建立应急管理文档与应急保证队伍，明确了网络安全事件发生、报告和处理流程。

每年应急保障队伍会进行一到两次的应急演习，记录演习情况形成文档，并根据文档对应急预案进行完善。2015年内未发生重大网络安全事故。

3．网络信息安全宣传与培训情况

国家文物局每年会定期开展网络安全培训，并在日常维护工作与网络信息安全检查过程中对用户进行网络信息安全的宣传与当场培训。每年组织各单位网络安全主管领导干部与业务骨干进行网络信息安全的管理与技术培训，网络安全员进行自主学习与外出培训。

（二）国家文物局政府门户网站情况

国家文物局政府网站完全按照等保三级要求，部署管理机制与网络安全管理机制，网站安全工作责任落实到个人，由中国文物信息咨询中心安排专人对政府门户网站进行维护与安全检测。每年按要求将网络安全工作执行情况纳入考核中，并将网络安全工作经费纳入年度预算中。

中国文物信息咨询中心负责网站的信息安全运维工作，中国文物报社负责网站建设与网站内容更新审查工作。对网站安全事件（事故）根据《国家文物局信息安全制度管理规定》与《国家文物局政府网站管理办法》的规定进行责任制追责，根据网站安全事件（事故）报告出示事故报告，并报送相关公安部门。对网站事件进行日志记录，并集中保留完整的日志文件。对网络安全管理员与内容管理员明确到个人，并签订保密协议。

国家文物局政府网站内容与交互式服务栏目由中国文物报社安排专人进行管理，签订保密协议对交互式服务栏目定期进行巡查，对网站内容编辑、审核及发布进行分离，对关键信息发布进行多级审核，并对网站发布内容进行过滤。

国家文物局机房，由中国文物信息咨询中心严格按照《国家文物局机房信息安全管理制度》对于机房人员出入和设备出入做好详细的登记记录，对机房的日常监控通过机房运维管理软件与各类防护设备进行监控工作，并做好监控记录。每个月对网站进行安全检查，对网站运行情况、恶意代码、入侵防护与挂马情况等方面进行检查并做好检查总结报告。网络部署了防火墙、防入侵防护、抗服务攻击等边界防护设备。网站实施了网站防篡改措施，并定期对网站内容进行巡查。对网络的系统层与应用层进行漏洞扫描，并进行修补。

国家文物局政府网站后台管理系统对端口进行隐藏，系统后台与前台进行了逻辑隔离，对后台登陆实施验证机制、登陆失败次数限制、强制限制登陆口令复杂度等安全手段，允许远程管理网站的应用，网络通道未加密，允许通过加密网络通道远程维护网站内容。政务网站服务器采用冷备方式进行备份。网站服务器操作系统及时更新修补补丁，操作系统与数据库登录密码禁止设置弱密码，并不定期更换密码，操作系统各个登录用户密码各不相同。网站服务器中间件禁止外部访问，登录密码禁止设置弱密码，登录用户密码各不相同。