首页
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
更多
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
《互联网政务应用安全管理规定》解读
政务
2024-11-12 22:09
甘肃
2024年5月15日,中央网信办、中央编办、工业和信息化部、公安部等四部门联合公布《互联网政务应用安全管理规定》(以下称《规定》),自2024年7月1日起施行。出台《规定》旨在提高互联网政务应用安全防护水平,保障和促进互联网政务应用安全稳定运行。
一、《规定》的适用范围?
各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。
本《规定》中的机关,是指党的机关、人大机关、行政机关、政协机关、监察机关、审判机关、检察机关、部分群团机关。本《规定》中的事业单位,是指国家为了社会公益目的,由国家机关举办或者其他组织利用国有资产举办的,从事教育、科技、文化、卫生等活动的社会服务组织。
本《规定》所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。
二、为什么一个党政机关最多开设一个门户网站?一个党政机关网站原则上只注册一个中文域名和一个英文域名?
《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)要求,县级以上各级人民政府及其部门原则上一个单位最多开设一个网站。《国务院办公厅关于加强政府网站域名管理的通知》(国办函〔2018〕55号)要求,一个政府网站原则上只注册一个中文域名和一个英文域名,如已有多个符合要求的域名,应明确主域名。
三、机关事业单位移动应用程序在已备案的应用程序分发平台或机关事业单位网站上分发的考虑?
机关事业单位移动应用程序是面向公众服务的重要窗口,网民访问量大、社会影响大、公信力高,易成为假冒仿冒行为的重点对象,一旦其被假冒仿冒,将在社会上造成不良影响,产生较大危害。在已备案的应用程序分发平台或机关事业单位网站分发移动应用程序,经过了严格的审核,确保来源可信,可从源头上防范假冒仿冒机关事业单位移动应用程序。
机关事业单位应当依据《移动互联网应用程序信息服务管理规定》,在国家互联网信息办公室公布的已备案的应用程序分发平台分发移动应用程序,或在机关事业单位网站分发移动应用程序。截至目前,已于2023年9月27日、2024年4月8日公布两批共计49家完成备案的应用程序分发平台名单。
四、什么是机关事业单位电子证书?如何使用电子证书核验身份?
本《规定》所称机关事业单位电子证书,是指机构编制管理部门为机关颁发的统一社会信用代码电子证书,以及为事业单位颁发的事业单位法人电子证书,作为其在网络空间的权威身份凭证。机关事业单位网络身份凭证与机关统一社会信用代码证书、事业单位法人证书并行使用,具有同等效力。
根据《规定》第七条,机关事业单位通过应用程序分发平台分发移动应用程序时,应当向平台运营者提供电子证书或纸质证书用于身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。机关事业单位使用电子证书进行身份核验的,不再向互联网平台运营者等提供银行账户信息、机构公函、法定代表人身份信息等证明材料。为支持使用电子证书进行身份核验,机构编制管理部门将提供机关事业单位网络身份公共验证服务。平台运营者经授权可使用该服务核验机关事业单位身份。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作,以点带面组织推进。《规定》实施后,试点地区机关事业单位可先行使用电子证书进行身份核验。试点结束、全面推开后,机关事业单位建设运行互联网政务应用将主要通过电子证书核验身份。
五、什么是机关事业单位网上名称?命名规则是什么?
本《规定》所称网上名称,是指机关事业单位在各类互联网政务应用中使用的名称,包括但不限于网站名称、网站中英文域名、移动应用程序(含小程序)名称、公众账号名称以及电子邮件系统域名等。
网上名称是机关事业单位名称的一种,应体现机关事业单位特质,便于公众识别。由于目前机关事业单位网上名称管理规则不够健全,一些互联网政务应用命名较为随意,导致公众难以识别,也给各种假冒仿冒行为提供可乘之机,有必要对机关事业单位网上名称加以规范。
互联网政务应用命名原则体现在《规定》第八条中,即互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。
中央编办将出台详细办法规范互联网政务应用名称。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作,参与试点的机关事业单位按照网上名称命名规则申请和使用网上名称,对已使用的网上名称,向同级机构编制管理部门申请核准。
试点结束、全面推开后,网上名称命名规则将逐步覆盖所有机关事业单位互联网政务应用。
六、什么是机关事业单位网上标识?怎么加注网上标识?
本《规定》所称网上标识,是指经机构编制管理部门核准后统一颁发的、在网络空间表明机关事业单位机构类别的电子标识。
为便于公众准确、直观识别机关事业单位,同时防范假冒仿冒互联网政务应用行为,有必要为互联网政务应用设置专属网上标识。
按照《规定》第九条,机关事业单位应当在网站首页底部中间位置加注网上标识。
中央网信办会同中央编办协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作。
为了确保网上标识的有效性、安全性,试点工作期间,网上标识使用范围限定为试点地区的互联网政务应用。
试点结束、面上推开后,网上标识使用范围将逐步覆盖全国互联网政务应用。
七、以集约化模式建设党政机关网站的主要考虑?
集约化建设是提高专业化运维管理和安全防护水平、突出防护重点、解决技术和人力资源不足的有效手段,也有助于节约建设资金、破解“信息孤岛”“数据烟囱”等难题。
《国务院办公厅关于印发政府网站发展指引的通知》(国发办〔2017〕47号)要求,政府网站发展要遵循集约节约原则,加强统筹规划和顶层设计,优化技术、资金、人员等要素配置,避免重复建设,打造协同联动、规范高效的政府网站集群,实现网站的统一管理、统一防护,提高网站综合防护能力。
县级党政机关各部门以及乡镇党政机关通常在技术能力、安全防护能力、系统建设维护经费、专业人员队伍等方面存在不足,难以保障网站持续安全运行,因此要求县级党政机关各部门以及乡镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。
八、互联网政务应用不得绑定单一互联网平台的原因?
互联网政务应用是机关事业单位通过互联网提供公共服务的载体,应当保证服务的均等化、普惠化、便捷化,确保全体公民公平可及地获得服务。
互联网政务应用绑定单一互联网平台,可能导致某些用户因为不使用该平台而无法访问相关公共服务,从而造成使用服务的不平等,形成使用鸿沟。
九、互联网政务应用链接有哪些安全要求?如何设置党政机关门户网站链接跳转提示?
当前,利用外部链接进行恶意活动已经成为犯罪分子惯用的攻击方法,犯罪分子可将过期未及时注销的网站域名进行重新注册,并将该网站链接指向色情、赌博等非法应用,或者通过篡改将合法链接地址替换为非法应用地址。
鉴此,机关事业单位应当加强对外部链接的安全检查。
一是
确认链接的内容。
互联网政务应用中链接指向的内容应当具有严肃性,要与政务等履行职能的活动相关,或属于便民服务的范围(如提供天气预报、交通拥堵状况信息)。
二是
定期检查。
机关事业单位应当建立互联网政务应用链接清单,根据清单进行维护,定期检查链接的有效性和适用性,及时处置异常链接。
同时,党政机关门户网站跳转到非党政机关网站时,应当在用户点击链接时弹出明确提示窗口,如提示“网页正在跳转至非党政机关网站”。
各党政机关应当根据自身实际和管理要求,设置更严格的规定,如在链接离开本党政机关网站时,统一作出提示和免责声明。
十、哪些互联网政务应用应当符合网络安全等级保护第三级安全保护要求?
中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,一旦网站内容被篡改或敏感信息被窃取,将会造成严重的社会不良影响或混乱,按照现行网络安全等级保护指南要求,应当将网络安全防护等级定为第三级,并且开展相应级别的安全防护。
十一、互联网政务应用设置访问控制策略的必要性?如何设置互联网政务应用面向机关事业单位工作人员使用的功能和互联网电子邮箱系统的访问权限?
访问控制是保护网络安全的一项基础和重要措施,决定了哪些用户或设备可以访问哪些资源,以及以何种方式访问。
互联网政务应用存储大量高价值数据,相关功能的操作权限也很敏感,故实施访问控制十分必要。
互联网政务应用面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,由于其使用人员相对固定,设置访问控制策略,对接入的IP地址段或设备实施访问限制,可有效防范外部入侵。
同时,鉴于机关事业单位工作人员在境外使用互联网政务应用时,账号和密码容易被窃取、被恶意利用,《规定》要求确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
十二、如何加强互联网政务应用外包单位和人员的安全管理?
机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当加强对互联网政务应用外包单位和人员的安全管理。
一是
在选择外包单位时,应当选择具备一定技术实力和安全保障能力的单位。
二是
以合同等手段明确外包单位应当履行的网络安全防护、及时响应和处理安全事件、定期安全评估和审计等网络和数据安全责任,并加强日常监督管理和考核问责。
三是
督促外包单位严格按照约定使用、存储、处理数据,确保数据安全性和完整性。
四是
未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
同时,将互联网政务应用开发和运维进行外包时,受委托单位的外包服务人员将获得访问互联网政务应用的物理便利条件(如驻场服务)或一定的系统访问权限。
为此,应当建立严格的授权访问机制,有效控制和管理对敏感数据和关键业务的访问,防止未授权的使用、泄露、篡改或破坏。
操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;
应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
十三、加强互联网政务应用开发安全管理的必要性?
开发阶段产生的安全风险具有持续性和隐蔽性,有可能在软件的全生命周期中留下安全隐患,严重危害互联网政务应用的安全运行。
因此,应当加强互联网政务应用的开发安全管理,在软件开发的需求分析、设计、编码、测试、部署和维护等各个阶段,均采取安全检测和防护措施。
特别是针对大量使用开源代码等外部代码可能带来的安全风险,应当组织开展代码安全检测,及时发现代码中存在的安全漏洞并及时修复,从源头上提升互联网政务应用的安全性。
十四、对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统可以采取哪些身份认证措施?
《规定》要求,对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取身份认证措施。
一是
多因素鉴别。
要求用户在登录时提供两种或两种以上的验证因素(如口令、指纹、手机验证码等),以证明其身份。
即使其中一个因素被破解,其他因素仍然可以阻止非法访问,具有更高的安全性。
二是
系统超时退出。
在用户一段时间不活跃后,自动结束会话并强制用户账号为退出状态,以防止其他人利用用户的已登录状态进行非法操作。
三是
限制登录失败次数。
在用户连续多次输入错误的身份验证信息后,系统暂时锁定该账号或采取其他措施,以防止暴力破解或猜测口令等攻击手段。
四是
账号与终端绑定。
将账号与特定的设备或终端进行绑定,使得该账号只能在指定的设备或终端上登录,以防止账号被盗用后在其他设备上进行非法操作。
同时,《规定》还提出了鼓励采用电子证书等身份认证措施。
十五、关闭邮件自动转发、自动下载附件功能有什么好处?
关闭机关事业单位互联网电子邮件系统的邮件自动转发功能,可以防止出现邮箱里的敏感信息在使用人不知情的情况下,被转发给未经授权的接收者,造成信息泄露的情况发生。
关闭自动下载附件功能,可以防止设备在不经过用户确认的情况下下载并执行恶意附件,降低病毒、木马或其他恶意软件感染的风险。
同时,关闭邮件自动转发、自动下载附件功能还有助于更有效追踪邮件的流转轨迹和附件的处理情况。
十六、如何整治假冒仿冒互联网政务应用?
机构编制管理部门、网信部门、电信主管部门和公安机关联合整治假冒仿冒互联网政务应用。
一是
机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。
二是
对疑似假冒仿冒线索,机构编制管理部门负责确认相关互联网政务应用开办主体是否为机关事业单位。
三是
确属假冒仿冒的,由网信部门会同电信主管部门依法采取停止域名解析、阻断互联网连接和下线处理等措施。
涉嫌违法犯罪的,由公安机关依法处置。
十七、新开办和在用互联网政务应用落实《规定》的要求?
《规定》将于2024年7月1日起正式施行。
对于新开办互联网政务应用,各级机关事业单位应当严格按照《规定》要求执行。
对于在用互联网政务应用,各级机关事业单位应当对照《规定》各项要求进行自查,于2024年年底前完成问题整改。
中央网信办、中央编办、工业和信息化部、公安部将适时开展《规定》落实情况的督促检查。
长按图片关注
庄浪党建发布
来源 |网信中国
编辑 | 刘静
投稿邮箱丨plzlzzb@163.com
点分享
点收藏
点在看
点点赞
http://mp.weixin.qq.com/s?__biz=MzI1OTYzOTU1NQ==&mid=2247557006&idx=3&sn=9743ebc7ae85b1614c700b3907d9a3b9
庄浪党建发布
发布党建动态、组织管理等信息,引导网络舆论、树立庄浪党建工作良好公众形象。
最新文章
全省干部监督工作会议召开
组工言论|读懂“荆楚之行”,践行为民初心
暖心驿站|注意!这些食品,抽检不合格
习近平出席二十国集团领导人第十九次峰会并发表重要讲话
经验做法|庄浪县:多举措壮大村党组织书记后备力量
组工课堂|领导干部有这7种情形,不得列为考察对象
习近平:以人口高质量发展支撑中国式现代化
组工言论|奏响文化遗产“三部曲” 谱写文保“新乐章”
要闻关注|庄浪县:流动党员联络站让流动党员心有归处
中央组织部、中央党校(国家行政学院)联合举办2024年全国新录用公务员初任培训班
中办印发《关于进一步加强和改进流动党员管理工作的意见》
经验做法|庄浪县:“三个结合”促进干部履职能力提升
《互联网政务应用安全管理规定》解读
组工言论|永葆攻坚克难、迎难而上的政治勇气
城乡基层这三件事,总书记格外关注
习近平对社会工作作出重要指示
关于庄浪县2024年引进急需紧缺人才拟引进人员公示的公告
习近平在湖北考察调研
习近平:第一个吃螃蟹的人也是有贡献的
经验做法|庄浪县:“三训”机制全面提升干部培训质效
《求是》杂志发表习近平总书记重要文章《促进高质量充分就业》
庄浪县蔬菜专家工作站挂牌仪式举行
习近平在省部级主要领导干部学习贯彻党的二十届三中全会精神专题研讨班开班式上发表重要讲话
经验做法|庄浪县:“四聚焦”推动干部教育高质量发展
习近平在中共中央政治局第十七次集体学习时强调 锚定建成文化强国战略目标 不断发展新时代中国特色社会主义文化
组工言论|答好新时代“民政答卷”
组工课堂|一图学习总书记强调锚定建成文化强国战略目标 不断发展新时代中国特色社会主义文化
中共中央政治局召开会议 审议《关于二十届中央第三轮巡视情况的综合报告》 中共中央总书记习近平主持会议
《习近平关于健康中国论述摘编》出版发行
组工言论|从“东山之行”悟“为官之道”
习近平的“舟”之喻
经验做法|庄浪县:加强新录用公务员培养管理
组工言论|提升社区治理能力 为强国建设民族复兴伟业凝聚磅礴力量
经验做法|庄浪县:抓实档案管理赋能干部队伍建设
中共中央 国务院关于深化产业工人队伍建设改革的意见
组工言论|政绩考核要始终坚持“问题导向”
经验做法|庄浪县:做实做细公务员年度考核
习近平在福建漳州市考察调研
经验做法|庄浪县:“五个并重”深入推进“五大工程”
努力铸就新时代文艺高峰——以习近平同志为核心的党中央引领新时代文艺繁荣发展纪实
经验做法|庄浪县:“三举措”建强村党组织书记队伍
组工言论|为基层减负要戒断形式主义顽瘴痼疾
要闻关注|全县第一书记专题培训班开班
组工课堂|@党员干部 如何全面提高现代化建设能力?
庄浪县举办“我们的节日·重阳”健康讲座暨文艺演出活动
经验做法|庄浪县:“三式联动”强化流动党员管理
习近平致信中国红十字会第十二次全国会员代表大会
《习近平关于治水论述摘编》出版发行
全省群众身边不正之风和腐败问题集中整治工作推进会议召开 胡昌升出席并讲话
经验做法|庄浪县:锻造敢担当善作为的干部队伍
分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
原创标签
时事
社会
财经
军事
教育
体育
科技
汽车
科学
房产
搞笑
综艺
明星
音乐
动漫
游戏
时尚
健康
旅游
美食
生活
摄影
宠物
职场
育儿
情感
小说
曲艺
文化
历史
三农
文学
娱乐
电影
视频
图片
新闻
宗教
电视剧
纪录片
广告创意
壁纸头像
心灵鸡汤
星座命理
教育培训
艺术文化
金融财经
健康医疗
美妆时尚
餐饮美食
母婴育儿
社会新闻
工业农业
时事政治
星座占卜
幽默笑话
独立短篇
连载作品
文化历史
科技互联网
发布位置
广东
北京
山东
江苏
河南
浙江
山西
福建
河北
上海
四川
陕西
湖南
安徽
湖北
内蒙古
江西
云南
广西
甘肃
辽宁
黑龙江
贵州
新疆
重庆
吉林
天津
海南
青海
宁夏
西藏
香港
澳门
台湾
美国
加拿大
澳大利亚
日本
新加坡
英国
西班牙
新西兰
韩国
泰国
法国
德国
意大利
缅甸
菲律宾
马来西亚
越南
荷兰
柬埔寨
俄罗斯
巴西
智利
卢森堡
芬兰
瑞典
比利时
瑞士
土耳其
斐济
挪威
朝鲜
尼日利亚
阿根廷
匈牙利
爱尔兰
印度
老挝
葡萄牙
乌克兰
印度尼西亚
哈萨克斯坦
塔吉克斯坦
希腊
南非
蒙古
奥地利
肯尼亚
加纳
丹麦
津巴布韦
埃及
坦桑尼亚
捷克
阿联酋
安哥拉