《互聯網政務(wù)應用(yòng)安(ān)全管理(lǐ)規定》解讀
2024年5月15日,中(zhōng)央網信辦(bàn)、中(zhōng)央編辦(bàn)、工(gōng)業和信息化部、公(gōng)安(ān)部等四部門聯合公(gōng)布《互聯網政務(wù)應用(yòng)安(ān)全管理(lǐ)規定》(以下稱《規定》),自2024年7月1日起施行。出台《規定》旨在提高互聯網政務(wù)應用(yòng)安(ān)全防護水平,保障和促進互聯網政務(wù)應用(yòng)安(ān)全穩定運行。
一、《規定》的适用(yòng)範圍?
各級黨政機關和事業單位(簡稱機關事業單位)建設運行互聯網政務(wù)應用(yòng),應當遵守本規定。
本《規定》中(zhōng)的機關,是指黨的機關、人大機關、行政機關、政協機關、監察機關、審判機關、檢察機關、部分(fēn)群團機關。本《規定》中(zhōng)的事業單位,是指國(guó)家為(wèi)了社會公(gōng)益目的,由國(guó)家機關舉辦(bàn)或者其他(tā)組織利用(yòng)國(guó)有(yǒu)資産(chǎn)舉辦(bàn)的,從事教育、科(kē)技(jì )、文(wén)化、衛生等活動的社會服務(wù)組織。
本《規定》所稱互聯網政務(wù)應用(yòng),是指機關事業單位在互聯網上設立的門戶網站,通過互聯網提供公(gōng)共服務(wù)的移動應用(yòng)程序(含小(xiǎo)程序)、公(gōng)衆賬号等,以及互聯網電(diàn)子郵件系統。
列入關鍵信息基礎設施的互聯網門戶網站、移動應用(yòng)程序、公(gōng)衆賬号,以及電(diàn)子郵件系統的安(ān)全管理(lǐ)工(gōng)作(zuò),參照本規定有(yǒu)關内容執行。
二、為(wèi)什麽一個黨政機關最多(duō)開設一個門戶網站?一個黨政機關網站原則上隻注冊一個中(zhōng)文(wén)域名(míng)和一個英文(wén)域名(míng)?
《國(guó)務(wù)院辦(bàn)公(gōng)廳關于印發政府網站發展指引的通知》(國(guó)辦(bàn)發〔2017〕47号)要求,縣級以上各級人民(mín)政府及其部門原則上一個單位最多(duō)開設一個網站。《國(guó)務(wù)院辦(bàn)公(gōng)廳關于加強政府網站域名(míng)管理(lǐ)的通知》(國(guó)辦(bàn)函〔2018〕55号)要求,一個政府網站原則上隻注冊一個中(zhōng)文(wén)域名(míng)和一個英文(wén)域名(míng),如已有(yǒu)多(duō)個符合要求的域名(míng),應明确主域名(míng)。
三、機關事業單位移動應用(yòng)程序在已備案的應用(yòng)程序分(fēn)發平台或機關事業單位網站上分(fēn)發的考慮?
機關事業單位移動應用(yòng)程序是面向公(gōng)衆服務(wù)的重要窗口,網民(mín)訪問量大、社會影響大、公(gōng)信力高,易成為(wèi)假冒仿冒行為(wèi)的重點對象,一旦其被假冒仿冒,将在社會上造成不良影響,産(chǎn)生較大危害。在已備案的應用(yòng)程序分(fēn)發平台或機關事業單位網站分(fēn)發移動應用(yòng)程序,經過了嚴格的審核,确保來源可(kě)信,可(kě)從源頭上防範假冒仿冒機關事業單位移動應用(yòng)程序。
機關事業單位應當依據《移動互聯網應用(yòng)程序信息服務(wù)管理(lǐ)規定》,在國(guó)家互聯網信息辦(bàn)公(gōng)室公(gōng)布的已備案的應用(yòng)程序分(fēn)發平台分(fēn)發移動應用(yòng)程序,或在機關事業單位網站分(fēn)發移動應用(yòng)程序。截至目前,已于2023年9月27日、2024年4月8日公(gōng)布兩批共計49家完成備案的應用(yòng)程序分(fēn)發平台名(míng)單。
四、什麽是機關事業單位電(diàn)子證書?如何使用(yòng)電(diàn)子證書核驗身份?
本《規定》所稱機關事業單位電(diàn)子證書,是指機構編制管理(lǐ)部門為(wèi)機關頒發的統一社會信用(yòng)代碼電(diàn)子證書,以及為(wèi)事業單位頒發的事業單位法人電(diàn)子證書,作(zuò)為(wèi)其在網絡空間的權威身份憑證。機關事業單位網絡身份憑證與機關統一社會信用(yòng)代碼證書、事業單位法人證書并行使用(yòng),具(jù)有(yǒu)同等效力。
根據《規定》第七條,機關事業單位通過應用(yòng)程序分(fēn)發平台分(fēn)發移動應用(yòng)程序時,應當向平台運營者提供電(diàn)子證書或紙質(zhì)證書用(yòng)于身份核驗;開辦(bàn)微博、公(gōng)衆号、視頻号、直播号等公(gōng)衆賬号,應當向平台運營者提供電(diàn)子證書或紙質(zhì)證書用(yòng)于身份核驗。機關事業單位使用(yòng)電(diàn)子證書進行身份核驗的,不再向互聯網平台運營者等提供銀行賬戶信息、機構公(gōng)函、法定代表人身份信息等證明材料。為(wèi)支持使用(yòng)電(diàn)子證書進行身份核驗,機構編制管理(lǐ)部門将提供機關事業單位網絡身份公(gōng)共驗證服務(wù)。平台運營者經授權可(kě)使用(yòng)該服務(wù)核驗機關事業單位身份。
目前,中(zhōng)央編辦(bàn)正積極準備開展規範機關事業單位網絡身份管理(lǐ)試點工(gōng)作(zuò),以點帶面組織推進。《規定》實施後,試點地區(qū)機關事業單位可(kě)先行使用(yòng)電(diàn)子證書進行身份核驗。試點結束、全面推開後,機關事業單位建設運行互聯網政務(wù)應用(yòng)将主要通過電(diàn)子證書核驗身份。
五、什麽是機關事業單位網上名(míng)稱?命名(míng)規則是什麽?
本《規定》所稱網上名(míng)稱,是指機關事業單位在各類互聯網政務(wù)應用(yòng)中(zhōng)使用(yòng)的名(míng)稱,包括但不限于網站名(míng)稱、網站中(zhōng)英文(wén)域名(míng)、移動應用(yòng)程序(含小(xiǎo)程序)名(míng)稱、公(gōng)衆賬号名(míng)稱以及電(diàn)子郵件系統域名(míng)等。
網上名(míng)稱是機關事業單位名(míng)稱的一種,應體(tǐ)現機關事業單位特質(zhì),便于公(gōng)衆識别。由于目前機關事業單位網上名(míng)稱管理(lǐ)規則不夠健全,一些互聯網政務(wù)應用(yòng)命名(míng)較為(wèi)随意,導緻公(gōng)衆難以識别,也給各種假冒仿冒行為(wèi)提供可(kě)乘之機,有(yǒu)必要對機關事業單位網上名(míng)稱加以規範。
互聯網政務(wù)應用(yòng)命名(míng)原則體(tǐ)現在《規定》第八條中(zhōng),即互聯網政務(wù)應用(yòng)的名(míng)稱優先使用(yòng)實體(tǐ)機構名(míng)稱、規範簡稱,使用(yòng)其他(tā)名(míng)稱的,原則上采取區(qū)域名(míng)加職責名(míng)的命名(míng)方式,并在顯著位置标明實體(tǐ)機構名(míng)稱。中(zhōng)央編辦(bàn)将出台詳細辦(bàn)法規範互聯網政務(wù)應用(yòng)名(míng)稱。
目前,中(zhōng)央編辦(bàn)正積極準備開展規範機關事業單位網絡身份管理(lǐ)試點工(gōng)作(zuò),參與試點的機關事業單位按照網上名(míng)稱命名(míng)規則申請和使用(yòng)網上名(míng)稱,對已使用(yòng)的網上名(míng)稱,向同級機構編制管理(lǐ)部門申請核準。試點結束、全面推開後,網上名(míng)稱命名(míng)規則将逐步覆蓋所有(yǒu)機關事業單位互聯網政務(wù)應用(yòng)。
六、什麽是機關事業單位網上标識?怎麽加注網上标識?
本《規定》所稱網上标識,是指經機構編制管理(lǐ)部門核準後統一頒發的、在網絡空間表明機關事業單位機構類别的電(diàn)子标識。
為(wèi)便于公(gōng)衆準确、直觀識别機關事業單位,同時防範假冒仿冒互聯網政務(wù)應用(yòng)行為(wèi),有(yǒu)必要為(wèi)互聯網政務(wù)應用(yòng)設置專屬網上标識。按照《規定》第九條,機關事業單位應當在網站首頁(yè)底部中(zhōng)間位置加注網上标識。中(zhōng)央網信辦(bàn)會同中(zhōng)央編辦(bàn)協調應用(yòng)程序分(fēn)發平台以及公(gōng)衆賬号信息服務(wù)平台,在移動應用(yòng)程序下載頁(yè)面、公(gōng)衆賬号顯著位置加注網上标識。
目前,中(zhōng)央編辦(bàn)正積極準備開展規範機關事業單位網絡身份管理(lǐ)試點工(gōng)作(zuò)。為(wèi)了确保網上标識的有(yǒu)效性、安(ān)全性,試點工(gōng)作(zuò)期間,網上标識使用(yòng)範圍限定為(wèi)試點地區(qū)的互聯網政務(wù)應用(yòng)。試點結束、面上推開後,網上标識使用(yòng)範圍将逐步覆蓋全國(guó)互聯網政務(wù)應用(yòng)。
七、以集約化模式建設黨政機關網站的主要考慮?
集約化建設是提高專業化運維管理(lǐ)和安(ān)全防護水平、突出防護重點、解決技(jì )術和人力資源不足的有(yǒu)效手段,也有(yǒu)助于節約建設資金、破解“信息孤島”“數據煙囪”等難題。《國(guó)務(wù)院辦(bàn)公(gōng)廳關于印發政府網站發展指引的通知》(國(guó)發辦(bàn)〔2017〕47号)要求,政府網站發展要遵循集約節約原則,加強統籌規劃和頂層設計,優化技(jì )術、資金、人員等要素配置,避免重複建設,打造協同聯動、規範高效的政府網站集群,實現網站的統一管理(lǐ)、統一防護,提高網站綜合防護能(néng)力。
縣級黨政機關各部門以及鄉鎮黨政機關通常在技(jì )術能(néng)力、安(ān)全防護能(néng)力、系統建設維護經費、專業人員隊伍等方面存在不足,難以保障網站持續安(ān)全運行,因此要求縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站,可(kě)利用(yòng)上級黨政機關網站平台開設網頁(yè)、欄目、發布信息。
八、互聯網政務(wù)應用(yòng)不得綁定單一互聯網平台的原因?
互聯網政務(wù)應用(yòng)是機關事業單位通過互聯網提供公(gōng)共服務(wù)的載體(tǐ),應當保證服務(wù)的均等化、普惠化、便捷化,确保全體(tǐ)公(gōng)民(mín)公(gōng)平可(kě)及地獲得服務(wù)。互聯網政務(wù)應用(yòng)綁定單一互聯網平台,可(kě)能(néng)導緻某些用(yòng)戶因為(wèi)不使用(yòng)該平台而無法訪問相關公(gōng)共服務(wù),從而造成使用(yòng)服務(wù)的不平等,形成使用(yòng)鴻溝。
九、互聯網政務(wù)應用(yòng)鏈接有(yǒu)哪些安(ān)全要求?如何設置黨政機關門戶網站鏈接跳轉提示?
當前,利用(yòng)外部鏈接進行惡意活動已經成為(wèi)犯罪分(fēn)子慣用(yòng)的攻擊方法,犯罪分(fēn)子可(kě)将過期未及時注銷的網站域名(míng)進行重新(xīn)注冊,并将該網站鏈接指向色情、賭博等非法應用(yòng),或者通過篡改将合法鏈接地址替換為(wèi)非法應用(yòng)地址。鑒此,機關事業單位應當加強對外部鏈接的安(ān)全檢查。一是确認鏈接的内容。互聯網政務(wù)應用(yòng)中(zhōng)鏈接指向的内容應當具(jù)有(yǒu)嚴肅性,要與政務(wù)等履行職能(néng)的活動相關,或屬于便民(mín)服務(wù)的範圍(如提供天氣預報、交通擁堵狀況信息)。二是定期檢查。機關事業單位應當建立互聯網政務(wù)應用(yòng)鏈接清單,根據清單進行維護,定期檢查鏈接的有(yǒu)效性和适用(yòng)性,及時處置異常鏈接。
同時,黨政機關門戶網站跳轉到非黨政機關網站時,應當在用(yòng)戶點擊鏈接時彈出明确提示窗口,如提示“網頁(yè)正在跳轉至非黨政機關網站”。各黨政機關應當根據自身實際和管理(lǐ)要求,設置更嚴格的規定,如在鏈接離開本黨政機關網站時,統一作(zuò)出提示和免責聲明。
十、哪些互聯網政務(wù)應用(yòng)應當符合網絡安(ān)全等級保護第三級安(ān)全保護要求?
中(zhōng)央和國(guó)家機關、地市級以上地方黨政機關門戶網站,以及承載重要業務(wù)應用(yòng)的機關事業單位網站、互聯網電(diàn)子郵件系統等,一旦網站内容被篡改或敏感信息被竊取,将會造成嚴重的社會不良影響或混亂,按照現行網絡安(ān)全等級保護指南要求,應當将網絡安(ān)全防護等級定為(wèi)第三級,并且開展相應級别的安(ān)全防護。
十一、互聯網政務(wù)應用(yòng)設置訪問控制策略的必要性?如何設置互聯網政務(wù)應用(yòng)面向機關事業單位工(gōng)作(zuò)人員使用(yòng)的功能(néng)和互聯網電(diàn)子郵箱系統的訪問權限?
訪問控制是保護網絡安(ān)全的一項基礎和重要措施,決定了哪些用(yòng)戶或設備可(kě)以訪問哪些資源,以及以何種方式訪問。互聯網政務(wù)應用(yòng)存儲大量高價值數據,相關功能(néng)的操作(zuò)權限也很(hěn)敏感,故實施訪問控制十分(fēn)必要。
互聯網政務(wù)應用(yòng)面向機關事業單位工(gōng)作(zuò)人員使用(yòng)的功能(néng)和互聯網電(diàn)子郵箱系統,由于其使用(yòng)人員相對固定,設置訪問控制策略,對接入的IP地址段或設備實施訪問限制,可(kě)有(yǒu)效防範外部入侵。同時,鑒于機關事業單位工(gōng)作(zuò)人員在境外使用(yòng)互聯網政務(wù)應用(yòng)時,賬号和密碼容易被竊取、被惡意利用(yòng),《規定》要求确需境外訪問的,按照白名(míng)單方式開通特定時段、特定設備或賬号的訪問權限。
十二、如何加強互聯網政務(wù)應用(yòng)外包單位和人員的安(ān)全管理(lǐ)?
機關事業單位委托外包單位開展互聯網政務(wù)應用(yòng)開發和運維時,應當加強對互聯網政務(wù)應用(yòng)外包單位和人員的安(ān)全管理(lǐ)。一是在選擇外包單位時,應當選擇具(jù)備一定技(jì )術實力和安(ān)全保障能(néng)力的單位。二是以合同等手段明确外包單位應當履行的網絡安(ān)全防護、及時響應和處理(lǐ)安(ān)全事件、定期安(ān)全評估和審計等網絡和數據安(ān)全責任,并加強日常監督管理(lǐ)和考核問責。三是督促外包單位嚴格按照約定使用(yòng)、存儲、處理(lǐ)數據,确保數據安(ān)全性和完整性。四是未經委托的機關事業單位同意,外包單位不得轉包、分(fēn)包合同任務(wù),不得訪問、修改、披露、利用(yòng)、轉讓、銷毀數據。
同時,将互聯網政務(wù)應用(yòng)開發和運維進行外包時,受委托單位的外包服務(wù)人員将獲得訪問互聯網政務(wù)應用(yòng)的物(wù)理(lǐ)便利條件(如駐場服務(wù))或一定的系統訪問權限。為(wèi)此,應當建立嚴格的授權訪問機制,有(yǒu)效控制和管理(lǐ)對敏感數據和關鍵業務(wù)的訪問,防止未授權的使用(yòng)、洩露、篡改或破壞。操作(zuò)系統、數據庫、機房等最高管理(lǐ)員權限必須由本單位在編人員專人負責,不得擅自委托外包單位人員管理(lǐ)使用(yòng);應當按照最小(xiǎo)必要原則對外包單位人員進行精(jīng)細化授權,在授權期滿後及時收回權限。
十三、加強互聯網政務(wù)應用(yòng)開發安(ān)全管理(lǐ)的必要性?
開發階段産(chǎn)生的安(ān)全風險具(jù)有(yǒu)持續性和隐蔽性,有(yǒu)可(kě)能(néng)在軟件的全生命周期中(zhōng)留下安(ān)全隐患,嚴重危害互聯網政務(wù)應用(yòng)的安(ān)全運行。因此,應當加強互聯網政務(wù)應用(yòng)的開發安(ān)全管理(lǐ),在軟件開發的需求分(fēn)析、設計、編碼、測試、部署和維護等各個階段,均采取安(ān)全檢測和防護措施。特别是針對大量使用(yòng)開源代碼等外部代碼可(kě)能(néng)帶來的安(ān)全風險,應當組織開展代碼安(ān)全檢測,及時發現代碼中(zhōng)存在的安(ān)全漏洞并及時修複,從源頭上提升互聯網政務(wù)應用(yòng)的安(ān)全性。
十四、對與人身财産(chǎn)安(ān)全、社會公(gōng)共利益等相關的互聯網政務(wù)應用(yòng)和電(diàn)子郵件系統可(kě)以采取哪些身份認證措施?
《規定》要求,對與人身财産(chǎn)安(ān)全、社會公(gōng)共利益等相關的互聯網政務(wù)應用(yòng)和電(diàn)子郵件系統,應當采取身份認證措施。一是多(duō)因素鑒别。要求用(yòng)戶在登錄時提供兩種或兩種以上的驗證因素(如口令、指紋、手機驗證碼等),以證明其身份。即使其中(zhōng)一個因素被破解,其他(tā)因素仍然可(kě)以阻止非法訪問,具(jù)有(yǒu)更高的安(ān)全性。二是系統超時退出。在用(yòng)戶一段時間不活躍後,自動結束會話并強制用(yòng)戶賬号為(wèi)退出狀态,以防止其他(tā)人利用(yòng)用(yòng)戶的已登錄狀态進行非法操作(zuò)。三是限制登錄失敗次數。在用(yòng)戶連續多(duō)次輸入錯誤的身份驗證信息後,系統暫時鎖定該賬号或采取其他(tā)措施,以防止暴力破解或猜測口令等攻擊手段。四是賬号與終端綁定。将賬号與特定的設備或終端進行綁定,使得該賬号隻能(néng)在指定的設備或終端上登錄,以防止賬号被盜用(yòng)後在其他(tā)設備上進行非法操作(zuò)。同時,《規定》還提出了鼓勵采用(yòng)電(diàn)子證書等身份認證措施。
十五、關閉郵件自動轉發、自動下載附件功能(néng)有(yǒu)什麽好處?
關閉機關事業單位互聯網電(diàn)子郵件系統的郵件自動轉發功能(néng),可(kě)以防止出現郵箱裏的敏感信息在使用(yòng)人不知情的情況下,被轉發給未經授權的接收者,造成信息洩露的情況發生。關閉自動下載附件功能(néng),可(kě)以防止設備在不經過用(yòng)戶确認的情況下下載并執行惡意附件,降低病毒、木(mù)馬或其他(tā)惡意軟件感染的風險。同時,關閉郵件自動轉發、自動下載附件功能(néng)還有(yǒu)助于更有(yǒu)效追蹤郵件的流轉軌迹和附件的處理(lǐ)情況。
十六、如何整治假冒仿冒互聯網政務(wù)應用(yòng)?
機構編制管理(lǐ)部門、網信部門、電(diàn)信主管部門和公(gōng)安(ān)機關聯合整治假冒仿冒互聯網政務(wù)應用(yòng)。一是機構編制管理(lǐ)部門會同網信部門開展針對假冒仿冒互聯網政務(wù)應用(yòng)的掃描監測,受理(lǐ)相關投訴舉報。二是對疑似假冒仿冒線(xiàn)索,機構編制管理(lǐ)部門負責确認相關互聯網政務(wù)應用(yòng)開辦(bàn)主體(tǐ)是否為(wèi)機關事業單位。三是确屬假冒仿冒的,由網信部門會同電(diàn)信主管部門依法采取停止域名(míng)解析、阻斷互聯網連接和下線(xiàn)處理(lǐ)等措施。涉嫌違法犯罪的,由公(gōng)安(ān)機關依法處置。
十七、新(xīn)開辦(bàn)和在用(yòng)互聯網政務(wù)應用(yòng)落實《規定》的要求?
《規定》将于2024年7月1日起正式施行。對于新(xīn)開辦(bàn)互聯網政務(wù)應用(yòng),各級機關事業單位應當嚴格按照《規定》要求執行。對于在用(yòng)互聯網政務(wù)應用(yòng),各級機關事業單位應當對照《規定》各項要求進行自查,于2024年年底前完成問題整改。中(zhōng)央網信辦(bàn)、中(zhōng)央編辦(bàn)、工(gōng)業和信息化部、公(gōng)安(ān)部将适時開展《規定》落實情況的督促檢查。
(來源:中(zhōng)國(guó)網信網)
