4月25日,骆总工召集了我局有自建系统的科室、下属单位就网络安全工作开展部署。
会上,骆总工通报了我局现阶段网络安全所存在的一些问题,并对我局网络安全工作提出了9点要求:
一、 各科室单位负责人认真督促建设运维单位彻底排查弱口令问题,包括服务器、数据库、中间件、第三方组件、应用系统等,严禁使用密码强度不符合要求的口令;
二、各科室单位负责人认真督促建设运维单位排摸数据库端口等敏感端口号是否未做限制访问,直接暴露在网络中;
三、各科室单位负责人监督本科室内人员严格遵守我局上网行为规定,进一步提高网络与信息安全意识,不随意登录不明来源的网站、不点击不明来源的链接、不下载不明来源的文件,杜绝任何形式的违规外联,包括一机多网、私搭乱建Wi-Fi、穿透工具等,始终开启终端安全防护软件,实时监测终端安全,一经发现违规上网行为,信息中心即在全局进行通报;
四、请各系统责任科室在每个运维周期,及时与系统建设或运维单位签订保密协议,并开展运维人员背景审查,留存纸质文档,严禁数据不得离开本地可信环境,系统运维或建设公司未经授权不得进行数据查看、修改、删除、拷贝等操作,如发现建设、运维单位的可疑行为,责任科室应第一时间报告信息中心;
五、请各系统责任科室督促系统建设或运维单位遵守运维保密协议相关规定,统一通过堡垒机开展建设、运维工作,不随意关闭防火墙和杀毒软件,根据应用需求确定最小服务选项和应用选项,不开放高危端口,关闭不必要端口,端口的开放需向信息中心申请报备;
六、请信息中心每月开展一次系统漏洞扫描工作,系统扫描漏洞结果形成漏洞报告分发给个相关科室单位,各责任科室应第一时间督促技术公司完成漏洞整改并及时向信息中心反馈整改结果;
七、云服务器的管理应由信息中心统一管理,申请新服务器前应向信息中心申请报备,由信息中心统一保管服务器密码,严禁各科室单位随意申请服务器,严禁泄露服务器密码给建设和运维单位;
八、接到上级部门网络安全通报,各科室单位应第一时间开展整改,并在规定时限内将整改结果书面反馈给信息中心,整改超期将追究责任并在全局通报;
九、请下属两院认真梳理政务网和互联网系统资产,定期开展网络安全巡检和监测,加强网络安全管理和防护。
会末,骆总还强调网络安全问题不是一项阶段性的工作,也不存在一劳永逸的途径,各科室单位应高度重视网络安全工作,严格遵守我局各项网络安全管理制度,规范人员上网行为。有自建系统的科室单位应加强对运维单位的管理工作,监督运维单位积极履行网络安全职责,切实把网络安全防护落细落实。