首页
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
更多
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
《互联网政务应用安全管理规定》解读
文摘
2024-11-12 10:57
甘肃
2024年5月15日,中央网信办、中央编办、工业和信息化部、公安部等四部门联合公布《互联网政务应用安全管理规定》(以下称《规定》),自2024年7月1日起施行。出台《规定》旨在提高互联网政务应用安全防护水平,保障和促进互联网政务应用安全稳定运行。
一、《规定》的适用范围?
各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。
本《规定》中的机关,是指党的机关、人大机关、行政机关、政协机关、监察机关、审判机关、检察机关、部分群团机关。本《规定》中的事业单位,是指国家为了社会公益目的,由国家机关举办或者其他组织利用国有资产举办的,从事教育、科技、文化、卫生等活动的社会服务组织。
本《规定》所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。
二、为什么一个党政机关最多开设一个门户网站?一个党政机关网站原则上只注册一个中文域名和一个英文域名?
《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)要求,县级以上各级人民政府及其部门原则上一个单位最多开设一个网站。《国务院办公厅关于加强政府网站域名管理的通知》(国办函〔2018〕55号)要求,一个政府网站原则上只注册一个中文域名和一个英文域名,如已有多个符合要求的域名,应明确主域名。
三、机关事业单位移动应用程序在已备案的应用程序分发平台或机关事业单位网站上分发的考虑?
机关事业单位移动应用程序是面向公众服务的重要窗口,网民访问量大、社会影响大、公信力高,易成为假冒仿冒行为的重点对象,一旦其被假冒仿冒,将在社会上造成不良影响,产生较大危害。在已备案的应用程序分发平台或机关事业单位网站分发移动应用程序,经过了严格的审核,确保来源可信,可从源头上防范假冒仿冒机关事业单位移动应用程序。
机关事业单位应当依据《移动互联网应用程序信息服务管理规定》,在国家互联网信息办公室公布的已备案的应用程序分发平台分发移动应用程序,或在机关事业单位网站分发移动应用程序。截至目前,已于2023年9月27日、2024年4月8日公布两批共计49家完成备案的应用程序分发平台名单。
四、什么是机关事业单位电子证书?如何使用电子证书核验身份?
本《规定》所称机关事业单位电子证书,是指机构编制管理部门为机关颁发的统一社会信用代码电子证书,以及为事业单位颁发的事业单位法人电子证书,作为其在网络空间的权威身份凭证。机关事业单位网络身份凭证与机关统一社会信用代码证书、事业单位法人证书并行使用,具有同等效力。
根据《规定》第七条,机关事业单位通过应用程序分发平台分发移动应用程序时,应当向平台运营者提供电子证书或纸质证书用于身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。机关事业单位使用电子证书进行身份核验的,不再向互联网平台运营者等提供银行账户信息、机构公函、法定代表人身份信息等证明材料。为支持使用电子证书进行身份核验,机构编制管理部门将提供机关事业单位网络身份公共验证服务。平台运营者经授权可使用该服务核验机关事业单位身份。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作,以点带面组织推进。《规定》实施后,试点地区机关事业单位可先行使用电子证书进行身份核验。试点结束、全面推开后,机关事业单位建设运行互联网政务应用将主要通过电子证书核验身份。
五、什么是机关事业单位网上名称?命名规则是什么?
本《规定》所称网上名称,是指机关事业单位在各类互联网政务应用中使用的名称,包括但不限于网站名称、网站中英文域名、移动应用程序(含小程序)名称、公众账号名称以及电子邮件系统域名等。
网上名称是机关事业单位名称的一种,应体现机关事业单位特质,便于公众识别。由于目前机关事业单位网上名称管理规则不够健全,一些互联网政务应用命名较为随意,导致公众难以识别,也给各种假冒仿冒行为提供可乘之机,有必要对机关事业单位网上名称加以规范。
互联网政务应用命名原则体现在《规定》第八条中,即互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。中央编办将出台详细办法规范互联网政务应用名称。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作,参与试点的机关事业单位按照网上名称命名规则申请和使用网上名称,对已使用的网上名称,向同级机构编制管理部门申请核准。试点结束、全面推开后,网上名称命名规则将逐步覆盖所有机关事业单位互联网政务应用。
六、什么是机关事业单位网上标识?怎么加注网上标识?
本《规定》所称网上标识,是指经机构编制管理部门核准后统一颁发的、在网络空间表明机关事业单位机构类别的电子标识。
为便于公众准确、直观识别机关事业单位,同时防范假冒仿冒互联网政务应用行为,有必要为互联网政务应用设置专属网上标识。按照《规定》第九条,机关事业单位应当在网站首页底部中间位置加注网上标识。中央网信办会同中央编办协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作。为了确保网上标识的有效性、安全性,试点工作期间,网上标识使用范围限定为试点地区的互联网政务应用。试点结束、面上推开后,网上标识使用范围将逐步覆盖全国互联网政务应用。
七、以集约化模式建设党政机关网站的主要考虑?
集约化建设是提高专业化运维管理和安全防护水平、突出防护重点、解决技术和人力资源不足的有效手段,也有助于节约建设资金、破解“信息孤岛”“数据烟囱”等难题。《国务院办公厅关于印发政府网站发展指引的通知》(国发办〔2017〕47号)要求,政府网站发展要遵循集约节约原则,加强统筹规划和顶层设计,优化技术、资金、人员等要素配置,避免重复建设,打造协同联动、规范高效的政府网站集群,实现网站的统一管理、统一防护,提高网站综合防护能力。
县级党政机关各部门以及乡镇党政机关通常在技术能力、安全防护能力、系统建设维护经费、专业人员队伍等方面存在不足,难以保障网站持续安全运行,因此要求县级党政机关各部门以及乡镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。
八、互联网政务应用不得绑定单一互联网平台的原因?
互联网政务应用是机关事业单位通过互联网提供公共服务的载体,应当保证服务的均等化、普惠化、便捷化,确保全体公民公平可及地获得服务。互联网政务应用绑定单一互联网平台,可能导致某些用户因为不使用该平台而无法访问相关公共服务,从而造成使用服务的不平等,形成使用鸿沟。
九、互联网政务应用链接有哪些安全要求?如何设置党政机关门户网站链接跳转提示?
当前,利用外部链接进行恶意活动已经成为犯罪分子惯用的攻击方法,犯罪分子可将过期未及时注销的网站域名进行重新注册,并将该网站链接指向色情、赌博等非法应用,或者通过篡改将合法链接地址替换为非法应用地址。鉴此,机关事业单位应当加强对外部链接的安全检查。
一是
确认链接的内容。互联网政务应用中链接指向的内容应当具有严肃性,要与政务等履行职能的活动相关,或属于便民服务的范围(如提供天气预报、交通拥堵状况信息)。
二是
定期检查。机关事业单位应当建立互联网政务应用链接清单,根据清单进行维护,定期检查链接的有效性和适用性,及时处置异常链接。
同时,党政机关门户网站跳转到非党政机关网站时,应当在用户点击链接时弹出明确提示窗口,如提示“网页正在跳转至非党政机关网站”。各党政机关应当根据自身实际和管理要求,设置更严格的规定,如在链接离开本党政机关网站时,统一作出提示和免责声明。
十、哪些互联网政务应用应当符合网络安全等级保护第三级安全保护要求?
中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,一旦网站内容被篡改或敏感信息被窃取,将会造成严重的社会不良影响或混乱,按照现行网络安全等级保护指南要求,应当将网络安全防护等级定为第三级,并且开展相应级别的安全防护。
十一、互联网政务应用设置访问控制策略的必要性?如何设置互联网政务应用面向机关事业单位工作人员使用的功能和互联网电子邮箱系统的访问权限?
访问控制是保护网络安全的一项基础和重要措施,决定了哪些用户或设备可以访问哪些资源,以及以何种方式访问。互联网政务应用存储大量高价值数据,相关功能的操作权限也很敏感,故实施访问控制十分必要。
互联网政务应用面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,由于其使用人员相对固定,设置访问控制策略,对接入的IP地址段或设备实施访问限制,可有效防范外部入侵。同时,鉴于机关事业单位工作人员在境外使用互联网政务应用时,账号和密码容易被窃取、被恶意利用,《规定》要求确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
十二、如何加强互联网政务应用外包单位和人员的安全管理?
机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当加强对互联网政务应用外包单位和人员的安全管理。
一是
在选择外包单位时,应当选择具备一定技术实力和安全保障能力的单位。
二是
以合同等手段明确外包单位应当履行的网络安全防护、及时响应和处理安全事件、定期安全评估和审计等网络和数据安全责任,并加强日常监督管理和考核问责。
三是
督促外包单位严格按照约定使用、存储、处理数据,确保数据安全性和完整性。
四是
未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
同时,将互联网政务应用开发和运维进行外包时,受委托单位的外包服务人员将获得访问互联网政务应用的物理便利条件(如驻场服务)或一定的系统访问权限。为此,应当建立严格的授权访问机制,有效控制和管理对敏感数据和关键业务的访问,防止未授权的使用、泄露、篡改或破坏。操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
十三、加强互联网政务应用开发安全管理的必要性?
开发阶段产生的安全风险具有持续性和隐蔽性,有可能在软件的全生命周期中留下安全隐患,严重危害互联网政务应用的安全运行。因此,应当加强互联网政务应用的开发安全管理,在软件开发的需求分析、设计、编码、测试、部署和维护等各个阶段,均采取安全检测和防护措施。特别是针对大量使用开源代码等外部代码可能带来的安全风险,应当组织开展代码安全检测,及时发现代码中存在的安全漏洞并及时修复,从源头上提升互联网政务应用的安全性。
十四、对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统可以采取哪些身份认证措施?
《规定》要求,对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取身份认证措施。
一是
多因素鉴别。要求用户在登录时提供两种或两种以上的验证因素(如口令、指纹、手机验证码等),以证明其身份。即使其中一个因素被破解,其他因素仍然可以阻止非法访问,具有更高的安全性。
二是
系统超时退出。在用户一段时间不活跃后,自动结束会话并强制用户账号为退出状态,以防止其他人利用用户的已登录状态进行非法操作。
三是
限制登录失败次数。在用户连续多次输入错误的身份验证信息后,系统暂时锁定该账号或采取其他措施,以防止暴力破解或猜测口令等攻击手段。
四是
账号与终端绑定。将账号与特定的设备或终端进行绑定,使得该账号只能在指定的设备或终端上登录,以防止账号被盗用后在其他设备上进行非法操作。同时,《规定》还提出了鼓励采用电子证书等身份认证措施。
十五、关闭邮件自动转发、自动下载附件功能有什么好处?
关闭机关事业单位互联网电子邮件系统的邮件自动转发功能,可以防止出现邮箱里的敏感信息在使用人不知情的情况下,被转发给未经授权的接收者,造成信息泄露的情况发生。关闭自动下载附件功能,可以防止设备在不经过用户确认的情况下下载并执行恶意附件,降低病毒、木马或其他恶意软件感染的风险。同时,关闭邮件自动转发、自动下载附件功能还有助于更有效追踪邮件的流转轨迹和附件的处理情况。
十六、如何整治假冒仿冒互联网政务应用?
机构编制管理部门、网信部门、电信主管部门和公安机关联合整治假冒仿冒互联网政务应用。
一是
机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。
二是
对疑似假冒仿冒线索,机构编制管理部门负责确认相关互联网政务应用开办主体是否为机关事业单位。
三是
确属假冒仿冒的,由网信部门会同电信主管部门依法采取停止域名解析、阻断互联网连接和下线处理等措施。涉嫌违法犯罪的,由公安机关依法处置。
十七、新开办和在用互联网政务应用落实《规定》的要求?
《规定》将于2024年7月1日起正式施行。对于新开办互联网政务应用,各级机关事业单位应当严格按照《规定》要求执行。对于在用互联网政务应用,各级机关事业单位应当对照《规定》各项要求进行自查,于2024年年底前完成问题整改。中央网信办、中央编办、工业和信息化部、公安部将适时开展《规定》落实情况的督促检查。
来源:中国网信网
http://mp.weixin.qq.com/s?__biz=MzA3Mzg2NDE4Ng==&mid=2653824131&idx=3&sn=08ec09b125fc612c51faff52ab36cb95
甘肃交通运输
宣传、解读交通运输领域政策和相关法律法规,为群众提供交通运输相关服务。
最新文章
省交通运输厅调度寒潮雨雪大风沙尘天气防范应对工作
雨雪天气来袭!酒泉、陇南公路部门迅速开展除雪保畅作业
李强主持召开国务院常务会议
五部门权威回应,速看→
甘肃交通运输新时代“八棵树精神”巡回宣讲报告会走进临夏
甘、青、内蒙古“三省七地”开启跨界公路应急保畅新模式
镜头下的高速“守护者”
基层动态
全省铁路沿线安全环境治理工作会议召开
我家门口那条路 | 陇原“四好农村路”建设之成效⑰——甘谷篇
喜报!我省一个执法站所,2名个人获全国通报表扬
看过来!甘肃第10座民航机场即将开建→
甘南公路事业发展中心积极应对入冬首场降雪天气
华亭公路段上线桥梁构件编号 “身份标识”
中川机场T3航站楼,又近了!
平凡的岗位,不凡的他们 | 漫长岁月里的坚守与奉献
扒一扒高速人不同岗位的“强迫症”
走进陇南两当“四好农村路”
公路水运工程试验检测职业资格考试成绩明天公布
甘肃省交通稳步“上分” 前三季度成绩亮眼
落雪有痕,坚守无声——致浴“雪”奋战的高速路政人
“定制客运+城际公交 ”融合发展模式,满足群众多元出行需求
甘肃交通运输新时代“八棵树精神”巡回宣讲报告会走进甘南
重点工程进展 | S44康县至略阳高速公路项目路面试验段底基层开始铺筑施工
【执法效能大提升三年行动】守交通动脉 铸执法铁军
再获全国荣誉!省交通运输厅代表队在全国交通运输行业公路养护工职业技能大赛全国总决赛上取得佳绩
【执法效能大提升三年行动】全省交通运输行政执法人员执法实务培训班开班
我家门口那条路 | 陇原“四好农村路”建设之成效⑯——兰州市城关区篇
洛克之路绕行提示!
我们又上榜啦!
道路运输转型发展 | 金川区“客货邮”融合发展为乡村振兴再添新动能
庆城收费所严把“四个关口”筑牢冬季安全生产防线
习近平出席二十国集团领导人第十九次峰会并发表重要讲话
这项活动,我们获得了好多奖奖奖......
除雪保畅中的每一次“遇见”
“小清单”发挥“大作用”
我家门口那条路 | 陇原“四好农村路”建设之成效⑮——成县篇
从幕后到台下,亲历“八棵树精神”的薪火传承
甘肃交通运输新时代“八棵树精神”巡回宣讲报告会走进陇南
最美的不只是初雪
习近平抵达巴西里约热内卢加里昂空军基地发表书面讲话
省交通运输厅召开党组会和厅务会,研究安排行业安全稳定等工作
我省6个服务区分布式光伏发电项目成功入选2024年全国交通与能源融合应用示范创新案例
大范围降雪来袭,公路养护部门全力除雪保畅
省交通运输厅调研组调研兰州市乡村振兴示范带“四好农村路”建设工作
甘肃省民航机场集团旅客吞吐量提前47天超去年全年水平
鸳鸯收费站“班长小课堂”开讲啦~
习近平在亚太经合组织第三十一次领导人非正式会议上的讲话(全文)
习近平同美国总统拜登在利马举行会晤
甘肃交通周播报(2024.11.10-11.17)
分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
原创标签
时事
社会
财经
军事
教育
体育
科技
汽车
科学
房产
搞笑
综艺
明星
音乐
动漫
游戏
时尚
健康
旅游
美食
生活
摄影
宠物
职场
育儿
情感
小说
曲艺
文化
历史
三农
文学
娱乐
电影
视频
图片
新闻
宗教
电视剧
纪录片
广告创意
壁纸头像
心灵鸡汤
星座命理
教育培训
艺术文化
金融财经
健康医疗
美妆时尚
餐饮美食
母婴育儿
社会新闻
工业农业
时事政治
星座占卜
幽默笑话
独立短篇
连载作品
文化历史
科技互联网
发布位置
广东
北京
山东
江苏
河南
浙江
山西
福建
河北
上海
四川
陕西
湖南
安徽
湖北
内蒙古
江西
云南
广西
甘肃
辽宁
黑龙江
贵州
新疆
重庆
吉林
天津
海南
青海
宁夏
西藏
香港
澳门
台湾
美国
加拿大
澳大利亚
日本
新加坡
英国
西班牙
新西兰
韩国
泰国
法国
德国
意大利
缅甸
菲律宾
马来西亚
越南
荷兰
柬埔寨
俄罗斯
巴西
智利
卢森堡
芬兰
瑞典
比利时
瑞士
土耳其
斐济
挪威
朝鲜
尼日利亚
阿根廷
匈牙利
爱尔兰
印度
老挝
葡萄牙
乌克兰
印度尼西亚
哈萨克斯坦
塔吉克斯坦
希腊
南非
蒙古
奥地利
肯尼亚
加纳
丹麦
津巴布韦
埃及
坦桑尼亚
捷克
阿联酋
安哥拉