| 《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》解讀 |
||
|
||
|
2024年5月15日,,中央網(wǎng)信辦、中央編辦,、工業(yè)和信息化部,、公安部等四部門聯(lián)合公布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》(以下稱《規(guī)定》),自2024年7月1日起施行,。出臺《規(guī)定》旨在提高互聯(lián)網(wǎng)政務(wù)應(yīng)用安全防護水平,,保障和促進互聯(lián)網(wǎng)政務(wù)應(yīng)用安全穩(wěn)定運行。 一、《規(guī)定》的適用范圍,? 各級黨政機關(guān)和事業(yè)單位(簡稱機關(guān)事業(yè)單位)建設(shè)運行互聯(lián)網(wǎng)政務(wù)應(yīng)用,,應(yīng)當遵守本規(guī)定。 本《規(guī)定》中的機關(guān),,是指黨的機關(guān),、人大機關(guān)、行政機關(guān),、政協(xié)機關(guān),、監(jiān)察機關(guān)、審判機關(guān),、檢察機關(guān),、部分群團機關(guān)。本《規(guī)定》中的事業(yè)單位,,是指國家為了社會公益目的,,由國家機關(guān)舉辦或者其他組織利用國有資產(chǎn)舉辦的,,從事教育,、科技、文化,、衛(wèi)生等活動的社會服務(wù)組織,。 本《規(guī)定》所稱互聯(lián)網(wǎng)政務(wù)應(yīng)用,是指機關(guān)事業(yè)單位在互聯(lián)網(wǎng)上設(shè)立的門戶網(wǎng)站,,通過互聯(lián)網(wǎng)提供公共服務(wù)的移動應(yīng)用程序(含小程序),、公眾賬號等,以及互聯(lián)網(wǎng)電子郵件系統(tǒng),。 列入關(guān)鍵信息基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)門戶網(wǎng)站,、移動應(yīng)用程序、公眾賬號,,以及電子郵件系統(tǒng)的安全管理工作,,參照本規(guī)定有關(guān)內(nèi)容執(zhí)行。 二,、為什么一個黨政機關(guān)最多開設(shè)一個門戶網(wǎng)站,?一個黨政機關(guān)網(wǎng)站原則上只注冊一個中文域名和一個英文域名? 《國務(wù)院辦公廳關(guān)于印發(fā)政府網(wǎng)站發(fā)展指引的通知》(國辦發(fā)〔2017〕47號)要求,,縣級以上各級人民政府及其部門原則上一個單位最多開設(shè)一個網(wǎng)站,。《國務(wù)院辦公廳關(guān)于加強政府網(wǎng)站域名管理的通知》(國辦函〔2018〕55號)要求,,一個政府網(wǎng)站原則上只注冊一個中文域名和一個英文域名,,如已有多個符合要求的域名,應(yīng)明確主域名。 三,、機關(guān)事業(yè)單位移動應(yīng)用程序在已備案的應(yīng)用程序分發(fā)平臺或機關(guān)事業(yè)單位網(wǎng)站上分發(fā)的考慮,? 機關(guān)事業(yè)單位移動應(yīng)用程序是面向公眾服務(wù)的重要窗口,網(wǎng)民訪問量大,、社會影響大,、公信力高,易成為假冒仿冒行為的重點對象,,一旦其被假冒仿冒,,將在社會上造成不良影響,產(chǎn)生較大危害,。在已備案的應(yīng)用程序分發(fā)平臺或機關(guān)事業(yè)單位網(wǎng)站分發(fā)移動應(yīng)用程序,,經(jīng)過了嚴格的審核,確保來源可信,,可從源頭上防范假冒仿冒機關(guān)事業(yè)單位移動應(yīng)用程序,。 機關(guān)事業(yè)單位應(yīng)當依據(jù)《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》,在國家互聯(lián)網(wǎng)信息辦公室公布的已備案的應(yīng)用程序分發(fā)平臺分發(fā)移動應(yīng)用程序,,或在機關(guān)事業(yè)單位網(wǎng)站分發(fā)移動應(yīng)用程序,。截至目前,已于2023年9月27日,、2024年4月8日公布兩批共計49家完成備案的應(yīng)用程序分發(fā)平臺名單,。 四、什么是機關(guān)事業(yè)單位電子證書,?如何使用電子證書核驗身份,? 本《規(guī)定》所稱機關(guān)事業(yè)單位電子證書,是指機構(gòu)編制管理部門為機關(guān)頒發(fā)的統(tǒng)一社會信用代碼電子證書,,以及為事業(yè)單位頒發(fā)的事業(yè)單位法人電子證書,,作為其在網(wǎng)絡(luò)空間的權(quán)威身份憑證。機關(guān)事業(yè)單位網(wǎng)絡(luò)身份憑證與機關(guān)統(tǒng)一社會信用代碼證書,、事業(yè)單位法人證書并行使用,,具有同等效力。 根據(jù)《規(guī)定》第七條,,機關(guān)事業(yè)單位通過應(yīng)用程序分發(fā)平臺分發(fā)移動應(yīng)用程序時,,應(yīng)當向平臺運營者提供電子證書或紙質(zhì)證書用于身份核驗;開辦微博,、公眾號,、視頻號、直播號等公眾賬號,,應(yīng)當向平臺運營者提供電子證書或紙質(zhì)證書用于身份核驗,。機關(guān)事業(yè)單位使用電子證書進行身份核驗的,,不再向互聯(lián)網(wǎng)平臺運營者等提供銀行賬戶信息、機構(gòu)公函,、法定代表人身份信息等證明材料,。為支持使用電子證書進行身份核驗,機構(gòu)編制管理部門將提供機關(guān)事業(yè)單位網(wǎng)絡(luò)身份公共驗證服務(wù),。平臺運營者經(jīng)授權(quán)可使用該服務(wù)核驗機關(guān)事業(yè)單位身份,。 目前,中央編辦正積極準備開展規(guī)范機關(guān)事業(yè)單位網(wǎng)絡(luò)身份管理試點工作,,以點帶面組織推進,。《規(guī)定》實施后,,試點地區(qū)機關(guān)事業(yè)單位可先行使用電子證書進行身份核驗,。試點結(jié)束、全面推開后,,機關(guān)事業(yè)單位建設(shè)運行互聯(lián)網(wǎng)政務(wù)應(yīng)用將主要通過電子證書核驗身份,。 五、什么是機關(guān)事業(yè)單位網(wǎng)上名稱,?命名規(guī)則是什么,? 本《規(guī)定》所稱網(wǎng)上名稱,是指機關(guān)事業(yè)單位在各類互聯(lián)網(wǎng)政務(wù)應(yīng)用中使用的名稱,,包括但不限于網(wǎng)站名稱,、網(wǎng)站中英文域名,、移動應(yīng)用程序(含小程序)名稱,、公眾賬號名稱以及電子郵件系統(tǒng)域名等。 網(wǎng)上名稱是機關(guān)事業(yè)單位名稱的一種,,應(yīng)體現(xiàn)機關(guān)事業(yè)單位特質(zhì),,便于公眾識別。由于目前機關(guān)事業(yè)單位網(wǎng)上名稱管理規(guī)則不夠健全,,一些互聯(lián)網(wǎng)政務(wù)應(yīng)用命名較為隨意,,導致公眾難以識別,也給各種假冒仿冒行為提供可乘之機,,有必要對機關(guān)事業(yè)單位網(wǎng)上名稱加以規(guī)范,。 互聯(lián)網(wǎng)政務(wù)應(yīng)用命名原則體現(xiàn)在《規(guī)定》第八條中,即互聯(lián)網(wǎng)政務(wù)應(yīng)用的名稱優(yōu)先使用實體機構(gòu)名稱,、規(guī)范簡稱,,使用其他名稱的,原則上采取區(qū)域名加職責名的命名方式,,并在顯著位置標明實體機構(gòu)名稱,。中央編辦將出臺詳細辦法規(guī)范互聯(lián)網(wǎng)政務(wù)應(yīng)用名稱,。 目前,中央編辦正積極準備開展規(guī)范機關(guān)事業(yè)單位網(wǎng)絡(luò)身份管理試點工作,,參與試點的機關(guān)事業(yè)單位按照網(wǎng)上名稱命名規(guī)則申請和使用網(wǎng)上名稱,,對已使用的網(wǎng)上名稱,向同級機構(gòu)編制管理部門申請核準,。試點結(jié)束,、全面推開后,網(wǎng)上名稱命名規(guī)則將逐步覆蓋所有機關(guān)事業(yè)單位互聯(lián)網(wǎng)政務(wù)應(yīng)用,。 六,、什么是機關(guān)事業(yè)單位網(wǎng)上標識?怎么加注網(wǎng)上標識,? 本《規(guī)定》所稱網(wǎng)上標識,,是指經(jīng)機構(gòu)編制管理部門核準后統(tǒng)一頒發(fā)的、在網(wǎng)絡(luò)空間表明機關(guān)事業(yè)單位機構(gòu)類別的電子標識,。 為便于公眾準確,、直觀識別機關(guān)事業(yè)單位,同時防范假冒仿冒互聯(lián)網(wǎng)政務(wù)應(yīng)用行為,,有必要為互聯(lián)網(wǎng)政務(wù)應(yīng)用設(shè)置專屬網(wǎng)上標識,。按照《規(guī)定》第九條,機關(guān)事業(yè)單位應(yīng)當在網(wǎng)站首頁底部中間位置加注網(wǎng)上標識,。中央網(wǎng)信辦會同中央編辦協(xié)調(diào)應(yīng)用程序分發(fā)平臺以及公眾賬號信息服務(wù)平臺,,在移動應(yīng)用程序下載頁面、公眾賬號顯著位置加注網(wǎng)上標識,。 目前,,中央編辦正積極準備開展規(guī)范機關(guān)事業(yè)單位網(wǎng)絡(luò)身份管理試點工作。為了確保網(wǎng)上標識的有效性,、安全性,,試點工作期間,網(wǎng)上標識使用范圍限定為試點地區(qū)的互聯(lián)網(wǎng)政務(wù)應(yīng)用,。試點結(jié)束,、面上推開后,網(wǎng)上標識使用范圍將逐步覆蓋全國互聯(lián)網(wǎng)政務(wù)應(yīng)用,。 七,、以集約化模式建設(shè)黨政機關(guān)網(wǎng)站的主要考慮? 集約化建設(shè)是提高專業(yè)化運維管理和安全防護水平,、突出防護重點,、解決技術(shù)和人力資源不足的有效手段,也有助于節(jié)約建設(shè)資金,、破解“信息孤島”“數(shù)據(jù)煙囪”等難題,?!秶鴦?wù)院辦公廳關(guān)于印發(fā)政府網(wǎng)站發(fā)展指引的通知》(國發(fā)辦〔2017〕47號)要求,政府網(wǎng)站發(fā)展要遵循集約節(jié)約原則,,加強統(tǒng)籌規(guī)劃和頂層設(shè)計,,優(yōu)化技術(shù)、資金,、人員等要素配置,,避免重復建設(shè),打造協(xié)同聯(lián)動,、規(guī)范高效的政府網(wǎng)站集群,,實現(xiàn)網(wǎng)站的統(tǒng)一管理、統(tǒng)一防護,,提高網(wǎng)站綜合防護能力,。 縣級黨政機關(guān)各部門以及鄉(xiāng)鎮(zhèn)黨政機關(guān)通常在技術(shù)能力、安全防護能力,、系統(tǒng)建設(shè)維護經(jīng)費,、專業(yè)人員隊伍等方面存在不足,難以保障網(wǎng)站持續(xù)安全運行,,因此要求縣級黨政機關(guān)各部門以及鄉(xiāng)鎮(zhèn)黨政機關(guān)原則上不單獨建設(shè)網(wǎng)站,,可利用上級黨政機關(guān)網(wǎng)站平臺開設(shè)網(wǎng)頁、欄目,、發(fā)布信息,。 八、互聯(lián)網(wǎng)政務(wù)應(yīng)用不得綁定單一互聯(lián)網(wǎng)平臺的原因,? 互聯(lián)網(wǎng)政務(wù)應(yīng)用是機關(guān)事業(yè)單位通過互聯(lián)網(wǎng)提供公共服務(wù)的載體,,應(yīng)當保證服務(wù)的均等化、普惠化,、便捷化,,確保全體公民公平可及地獲得服務(wù)?;ヂ?lián)網(wǎng)政務(wù)應(yīng)用綁定單一互聯(lián)網(wǎng)平臺,可能導致某些用戶因為不使用該平臺而無法訪問相關(guān)公共服務(wù),,從而造成使用服務(wù)的不平等,,形成使用鴻溝。 九,、互聯(lián)網(wǎng)政務(wù)應(yīng)用鏈接有哪些安全要求,?如何設(shè)置黨政機關(guān)門戶網(wǎng)站鏈接跳轉(zhuǎn)提示? 當前,,利用外部鏈接進行惡意活動已經(jīng)成為犯罪分子慣用的攻擊方法,,犯罪分子可將過期未及時注銷的網(wǎng)站域名進行重新注冊,,并將該網(wǎng)站鏈接指向色情、賭博等非法應(yīng)用,,或者通過篡改將合法鏈接地址替換為非法應(yīng)用地址,。鑒此,機關(guān)事業(yè)單位應(yīng)當加強對外部鏈接的安全檢查,。一是確認鏈接的內(nèi)容,。互聯(lián)網(wǎng)政務(wù)應(yīng)用中鏈接指向的內(nèi)容應(yīng)當具有嚴肅性,,要與政務(wù)等履行職能的活動相關(guān),,或?qū)儆诒忝穹?wù)的范圍(如提供天氣預報、交通擁堵狀況信息),。二是定期檢查,。機關(guān)事業(yè)單位應(yīng)當建立互聯(lián)網(wǎng)政務(wù)應(yīng)用鏈接清單,根據(jù)清單進行維護,,定期檢查鏈接的有效性和適用性,,及時處置異常鏈接。 同時,,黨政機關(guān)門戶網(wǎng)站跳轉(zhuǎn)到非黨政機關(guān)網(wǎng)站時,,應(yīng)當在用戶點擊鏈接時彈出明確提示窗口,如提示“網(wǎng)頁正在跳轉(zhuǎn)至非黨政機關(guān)網(wǎng)站”,。各黨政機關(guān)應(yīng)當根據(jù)自身實際和管理要求,,設(shè)置更嚴格的規(guī)定,如在鏈接離開本黨政機關(guān)網(wǎng)站時,,統(tǒng)一作出提示和免責聲明,。 十、哪些互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當符合網(wǎng)絡(luò)安全等級保護第三級安全保護要求,? 中央和國家機關(guān),、地市級以上地方黨政機關(guān)門戶網(wǎng)站,以及承載重要業(yè)務(wù)應(yīng)用的機關(guān)事業(yè)單位網(wǎng)站,、互聯(lián)網(wǎng)電子郵件系統(tǒng)等,,一旦網(wǎng)站內(nèi)容被篡改或敏感信息被竊取,將會造成嚴重的社會不良影響或混亂,,按照現(xiàn)行網(wǎng)絡(luò)安全等級保護指南要求,,應(yīng)當將網(wǎng)絡(luò)安全防護等級定為第三級,并且開展相應(yīng)級別的安全防護,。 十一,、互聯(lián)網(wǎng)政務(wù)應(yīng)用設(shè)置訪問控制策略的必要性?如何設(shè)置互聯(lián)網(wǎng)政務(wù)應(yīng)用面向機關(guān)事業(yè)單位工作人員使用的功能和互聯(lián)網(wǎng)電子郵箱系統(tǒng)的訪問權(quán)限,? 訪問控制是保護網(wǎng)絡(luò)安全的一項基礎(chǔ)和重要措施,,決定了哪些用戶或設(shè)備可以訪問哪些資源,,以及以何種方式訪問?;ヂ?lián)網(wǎng)政務(wù)應(yīng)用存儲大量高價值數(shù)據(jù),,相關(guān)功能的操作權(quán)限也很敏感,故實施訪問控制十分必要,。 互聯(lián)網(wǎng)政務(wù)應(yīng)用面向機關(guān)事業(yè)單位工作人員使用的功能和互聯(lián)網(wǎng)電子郵箱系統(tǒng),,由于其使用人員相對固定,設(shè)置訪問控制策略,,對接入的IP地址段或設(shè)備實施訪問限制,,可有效防范外部入侵。同時,,鑒于機關(guān)事業(yè)單位工作人員在境外使用互聯(lián)網(wǎng)政務(wù)應(yīng)用時,,賬號和密碼容易被竊取、被惡意利用,,《規(guī)定》要求確需境外訪問的,,按照白名單方式開通特定時段、特定設(shè)備或賬號的訪問權(quán)限,。 十二,、如何加強互聯(lián)網(wǎng)政務(wù)應(yīng)用外包單位和人員的安全管理? 機關(guān)事業(yè)單位委托外包單位開展互聯(lián)網(wǎng)政務(wù)應(yīng)用開發(fā)和運維時,,應(yīng)當加強對互聯(lián)網(wǎng)政務(wù)應(yīng)用外包單位和人員的安全管理,。一是在選擇外包單位時,應(yīng)當選擇具備一定技術(shù)實力和安全保障能力的單位,。二是以合同等手段明確外包單位應(yīng)當履行的網(wǎng)絡(luò)安全防護,、及時響應(yīng)和處理安全事件、定期安全評估和審計等網(wǎng)絡(luò)和數(shù)據(jù)安全責任,,并加強日常監(jiān)督管理和考核問責,。三是督促外包單位嚴格按照約定使用、存儲,、處理數(shù)據(jù),,確保數(shù)據(jù)安全性和完整性。四是未經(jīng)委托的機關(guān)事業(yè)單位同意,,外包單位不得轉(zhuǎn)包,、分包合同任務(wù),不得訪問,、修改、披露,、利用,、轉(zhuǎn)讓,、銷毀數(shù)據(jù)。 同時,,將互聯(lián)網(wǎng)政務(wù)應(yīng)用開發(fā)和運維進行外包時,,受委托單位的外包服務(wù)人員將獲得訪問互聯(lián)網(wǎng)政務(wù)應(yīng)用的物理便利條件(如駐場服務(wù))或一定的系統(tǒng)訪問權(quán)限。為此,,應(yīng)當建立嚴格的授權(quán)訪問機制,,有效控制和管理對敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)的訪問,防止未授權(quán)的使用,、泄露,、篡改或破壞。操作系統(tǒng),、數(shù)據(jù)庫,、機房等最高管理員權(quán)限必須由本單位在編人員專人負責,不得擅自委托外包單位人員管理使用,;應(yīng)當按照最小必要原則對外包單位人員進行精細化授權(quán),,在授權(quán)期滿后及時收回權(quán)限。 十三,、加強互聯(lián)網(wǎng)政務(wù)應(yīng)用開發(fā)安全管理的必要性,? 開發(fā)階段產(chǎn)生的安全風險具有持續(xù)性和隱蔽性,有可能在軟件的全生命周期中留下安全隱患,,嚴重危害互聯(lián)網(wǎng)政務(wù)應(yīng)用的安全運行,。因此,應(yīng)當加強互聯(lián)網(wǎng)政務(wù)應(yīng)用的開發(fā)安全管理,,在軟件開發(fā)的需求分析,、設(shè)計、編碼,、測試,、部署和維護等各個階段,均采取安全檢測和防護措施,。特別是針對大量使用開源代碼等外部代碼可能帶來的安全風險,,應(yīng)當組織開展代碼安全檢測,及時發(fā)現(xiàn)代碼中存在的安全漏洞并及時修復,,從源頭上提升互聯(lián)網(wǎng)政務(wù)應(yīng)用的安全性,。 十四、對與人身財產(chǎn)安全,、社會公共利益等相關(guān)的互聯(lián)網(wǎng)政務(wù)應(yīng)用和電子郵件系統(tǒng)可以采取哪些身份認證措施,? 《規(guī)定》要求,對與人身財產(chǎn)安全、社會公共利益等相關(guān)的互聯(lián)網(wǎng)政務(wù)應(yīng)用和電子郵件系統(tǒng),,應(yīng)當采取身份認證措施,。一是多因素鑒別。要求用戶在登錄時提供兩種或兩種以上的驗證因素(如口令,、指紋,、手機驗證碼等),以證明其身份,。即使其中一個因素被破解,,其他因素仍然可以阻止非法訪問,具有更高的安全性,。二是系統(tǒng)超時退出,。在用戶一段時間不活躍后,自動結(jié)束會話并強制用戶賬號為退出狀態(tài),,以防止其他人利用用戶的已登錄狀態(tài)進行非法操作,。三是限制登錄失敗次數(shù)。在用戶連續(xù)多次輸入錯誤的身份驗證信息后,,系統(tǒng)暫時鎖定該賬號或采取其他措施,,以防止暴力破解或猜測口令等攻擊手段。四是賬號與終端綁定,。將賬號與特定的設(shè)備或終端進行綁定,,使得該賬號只能在指定的設(shè)備或終端上登錄,以防止賬號被盜用后在其他設(shè)備上進行非法操作,。同時,,《規(guī)定》還提出了鼓勵采用電子證書等身份認證措施。 十五,、關(guān)閉郵件自動轉(zhuǎn)發(fā),、自動下載附件功能有什么好處? 關(guān)閉機關(guān)事業(yè)單位互聯(lián)網(wǎng)電子郵件系統(tǒng)的郵件自動轉(zhuǎn)發(fā)功能,,可以防止出現(xiàn)郵箱里的敏感信息在使用人不知情的情況下,,被轉(zhuǎn)發(fā)給未經(jīng)授權(quán)的接收者,造成信息泄露的情況發(fā)生,。關(guān)閉自動下載附件功能,,可以防止設(shè)備在不經(jīng)過用戶確認的情況下下載并執(zhí)行惡意附件,降低病毒,、木馬或其他惡意軟件感染的風險,。同時,關(guān)閉郵件自動轉(zhuǎn)發(fā),、自動下載附件功能還有助于更有效追蹤?quán)]件的流轉(zhuǎn)軌跡和附件的處理情況,。 十六,、如何整治假冒仿冒互聯(lián)網(wǎng)政務(wù)應(yīng)用? 機構(gòu)編制管理部門,、網(wǎng)信部門,、電信主管部門和公安機關(guān)聯(lián)合整治假冒仿冒互聯(lián)網(wǎng)政務(wù)應(yīng)用,。一是機構(gòu)編制管理部門會同網(wǎng)信部門開展針對假冒仿冒互聯(lián)網(wǎng)政務(wù)應(yīng)用的掃描監(jiān)測,,受理相關(guān)投訴舉報。二是對疑似假冒仿冒線索,,機構(gòu)編制管理部門負責確認相關(guān)互聯(lián)網(wǎng)政務(wù)應(yīng)用開辦主體是否為機關(guān)事業(yè)單位,。三是確屬假冒仿冒的,由網(wǎng)信部門會同電信主管部門依法采取停止域名解析,、阻斷互聯(lián)網(wǎng)連接和下線處理等措施,。涉嫌違法犯罪的,由公安機關(guān)依法處置,。 十七,、新開辦和在用互聯(lián)網(wǎng)政務(wù)應(yīng)用落實《規(guī)定》的要求? 《規(guī)定》將于2024年7月1日起正式施行,。對于新開辦互聯(lián)網(wǎng)政務(wù)應(yīng)用,,各級機關(guān)事業(yè)單位應(yīng)當嚴格按照《規(guī)定》要求執(zhí)行。對于在用互聯(lián)網(wǎng)政務(wù)應(yīng)用,,各級機關(guān)事業(yè)單位應(yīng)當對照《規(guī)定》各項要求進行自查,,于2024年年底前完成問題整改。中央網(wǎng)信辦,、中央編辦,、工業(yè)和信息化部、公安部將適時開展《規(guī)定》落實情況的督促檢查,。 |
||
| 【打印本頁】【關(guān)閉窗口】 |
||
| 上一篇: 下一篇: |
| 您當前的位置:首頁 |
|