首页
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
更多
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
《互联网政务应用安全管理规定》解读
政务
2024-11-05 14:26
四川
2024年5月15日,中央网信办、中央编办、工业和信息化部、公安部等四部门联合公布《互联网政务应用安全管理规定》(以下称《规定》),自2024年7月1日起施行。出台《规定》旨在提高互联网政务应用安全防护水平,保障和促进互联网政务应用安全稳定运行。
一、《规定》的适用范围?
各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。
本《规定》中的机关,是指党的机关、人大机关、行政机关、政协机关、监察机关、审判机关、检察机关、部分群团机关。本《规定》中的事业单位,是指国家为了社会公益目的,由国家机关举办或者其他组织利用国有资产举办的,从事教育、科技、文化、卫生等活动的社会服务组织。
本《规定》所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。
二、为什么一个党政机关最多开设一个门户网站?一个党政机关网站原则上只注册一个中文域名和一个英文域名?
《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)要求,县级以上各级人民政府及其部门原则上一个单位最多开设一个网站。《国务院办公厅关于加强政府网站域名管理的通知》(国办函〔2018〕55号)要求,一个政府网站原则上只注册一个中文域名和一个英文域名,如已有多个符合要求的域名,应明确主域名。
三、机关事业单位移动应用程序在已备案的应用程序分发平台或机关事业单位网站上分发的考虑?
机关事业单位移动应用程序是面向公众服务的重要窗口,网民访问量大、社会影响大、公信力高,易成为假冒仿冒行为的重点对象,一旦其被假冒仿冒,将在社会上造成不良影响,产生较大危害。在已备案的应用程序分发平台或机关事业单位网站分发移动应用程序,经过了严格的审核,确保来源可信,可从源头上防范假冒仿冒机关事业单位移动应用程序。
机关事业单位应当依据《移动互联网应用程序信息服务管理规定》,在国家互联网信息办公室公布的已备案的应用程序分发平台分发移动应用程序,或在机关事业单位网站分发移动应用程序。截至目前,已于2023年9月27日、2024年4月8日公布两批共计49家完成备案的应用程序分发平台名单。
四、什么是机关事业单位电子证书?如何使用电子证书核验身份?
本《规定》所称机关事业单位电子证书,是指机构编制管理部门为机关颁发的统一社会信用代码电子证书,以及为事业单位颁发的事业单位法人电子证书,作为其在网络空间的权威身份凭证。机关事业单位网络身份凭证与机关统一社会信用代码证书、事业单位法人证书并行使用,具有同等效力。
根据《规定》第七条,机关事业单位通过应用程序分发平台分发移动应用程序时,应当向平台运营者提供电子证书或纸质证书用于身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。机关事业单位使用电子证书进行身份核验的,不再向互联网平台运营者等提供银行账户信息、机构公函、法定代表人身份信息等证明材料。为支持使用电子证书进行身份核验,机构编制管理部门将提供机关事业单位网络身份公共验证服务。平台运营者经授权可使用该服务核验机关事业单位身份。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作,以点带面组织推进。《规定》实施后,试点地区机关事业单位可先行使用电子证书进行身份核验。试点结束、全面推开后,机关事业单位建设运行互联网政务应用将主要通过电子证书核验身份。
五、什么是机关事业单位网上名称?命名规则是什么?
本《规定》所称网上名称,是指机关事业单位在各类互联网政务应用中使用的名称,包括但不限于网站名称、网站中英文域名、移动应用程序(含小程序)名称、公众账号名称以及电子邮件系统域名等。
网上名称是机关事业单位名称的一种,应体现机关事业单位特质,便于公众识别。由于目前机关事业单位网上名称管理规则不够健全,一些互联网政务应用命名较为随意,导致公众难以识别,也给各种假冒仿冒行为提供可乘之机,有必要对机关事业单位网上名称加以规范。
互联网政务应用命名原则体现在《规定》第八条中,即互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。
中央编办将出台详细办法规范互联网政务应用名称。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作,参与试点的机关事业单位按照网上名称命名规则申请和使用网上名称,对已使用的网上名称,向同级机构编制管理部门申请核准。
试点结束、全面推开后,网上名称命名规则将逐步覆盖所有机关事业单位互联网政务应用。
六、什么是机关事业单位网上标识?怎么加注网上标识?
本《规定》所称网上标识,是指经机构编制管理部门核准后统一颁发的、在网络空间表明机关事业单位机构类别的电子标识。
为便于公众准确、直观识别机关事业单位,同时防范假冒仿冒互联网政务应用行为,有必要为互联网政务应用设置专属网上标识。
按照《规定》第九条,机关事业单位应当在网站首页底部中间位置加注网上标识。
中央网信办会同中央编办协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。
目前,中央编办正积极准备开展规范机关事业单位网络身份管理试点工作。
为了确保网上标识的有效性、安全性,试点工作期间,网上标识使用范围限定为试点地区的互联网政务应用。
试点结束、面上推开后,网上标识使用范围将逐步覆盖全国互联网政务应用。
七、以集约化模式建设党政机关网站的主要考虑?
集约化建设是提高专业化运维管理和安全防护水平、突出防护重点、解决技术和人力资源不足的有效手段,也有助于节约建设资金、破解“信息孤岛”“数据烟囱”等难题。
《国务院办公厅关于印发政府网站发展指引的通知》(国发办〔2017〕47号)要求,政府网站发展要遵循集约节约原则,加强统筹规划和顶层设计,优化技术、资金、人员等要素配置,避免重复建设,打造协同联动、规范高效的政府网站集群,实现网站的统一管理、统一防护,提高网站综合防护能力。
县级党政机关各部门以及乡镇党政机关通常在技术能力、安全防护能力、系统建设维护经费、专业人员队伍等方面存在不足,难以保障网站持续安全运行,因此要求县级党政机关各部门以及乡镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。
八、互联网政务应用不得绑定单一互联网平台的原因?
互联网政务应用是机关事业单位通过互联网提供公共服务的载体,应当保证服务的均等化、普惠化、便捷化,确保全体公民公平可及地获得服务。
互联网政务应用绑定单一互联网平台,可能导致某些用户因为不使用该平台而无法访问相关公共服务,从而造成使用服务的不平等,形成使用鸿沟。
九、互联网政务应用链接有哪些安全要求?如何设置党政机关门户网站链接跳转提示?
当前,利用外部链接进行恶意活动已经成为犯罪分子惯用的攻击方法,犯罪分子可将过期未及时注销的网站域名进行重新注册,并将该网站链接指向色情、赌博等非法应用,或者通过篡改将合法链接地址替换为非法应用地址。
鉴此,机关事业单位应当加强对外部链接的安全检查。
一是
确认链接的内容。
互联网政务应用中链接指向的内容应当具有严肃性,要与政务等履行职能的活动相关,或属于便民服务的范围(如提供天气预报、交通拥堵状况信息)。
二是
定期检查。
机关事业单位应当建立互联网政务应用链接清单,根据清单进行维护,定期检查链接的有效性和适用性,及时处置异常链接。
同时,党政机关门户网站跳转到非党政机关网站时,应当在用户点击链接时弹出明确提示窗口,如提示“网页正在跳转至非党政机关网站”。
各党政机关应当根据自身实际和管理要求,设置更严格的规定,如在链接离开本党政机关网站时,统一作出提示和免责声明。
十、哪些互联网政务应用应当符合网络安全等级保护第三级安全保护要求?
中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,一旦网站内容被篡改或敏感信息被窃取,将会造成严重的社会不良影响或混乱,按照现行网络安全等级保护指南要求,应当将网络安全防护等级定为第三级,并且开展相应级别的安全防护。
十一、互联网政务应用设置访问控制策略的必要性?如何设置互联网政务应用面向机关事业单位工作人员使用的功能和互联网电子邮箱系统的访问权限?
访问控制是保护网络安全的一项基础和重要措施,决定了哪些用户或设备可以访问哪些资源,以及以何种方式访问。
互联网政务应用存储大量高价值数据,相关功能的操作权限也很敏感,故实施访问控制十分必要。
互联网政务应用面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,由于其使用人员相对固定,设置访问控制策略,对接入的IP地址段或设备实施访问限制,可有效防范外部入侵。
同时,鉴于机关事业单位工作人员在境外使用互联网政务应用时,账号和密码容易被窃取、被恶意利用,《规定》要求确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
十二、如何加强互联网政务应用外包单位和人员的安全管理?
机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当加强对互联网政务应用外包单位和人员的安全管理。
一是
在选择外包单位时,应当选择具备一定技术实力和安全保障能力的单位。
二是
以合同等手段明确外包单位应当履行的网络安全防护、及时响应和处理安全事件、定期安全评估和审计等网络和数据安全责任,并加强日常监督管理和考核问责。
三是
督促外包单位严格按照约定使用、存储、处理数据,确保数据安全性和完整性。
四是
未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
同时,将互联网政务应用开发和运维进行外包时,受委托单位的外包服务人员将获得访问互联网政务应用的物理便利条件(如驻场服务)或一定的系统访问权限。
为此,应当建立严格的授权访问机制,有效控制和管理对敏感数据和关键业务的访问,防止未授权的使用、泄露、篡改或破坏。
操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;
应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
十三、加强互联网政务应用开发安全管理的必要性?
开发阶段产生的安全风险具有持续性和隐蔽性,有可能在软件的全生命周期中留下安全隐患,严重危害互联网政务应用的安全运行。
因此,应当加强互联网政务应用的开发安全管理,在软件开发的需求分析、设计、编码、测试、部署和维护等各个阶段,均采取安全检测和防护措施。
特别是针对大量使用开源代码等外部代码可能带来的安全风险,应当组织开展代码安全检测,及时发现代码中存在的安全漏洞并及时修复,从源头上提升互联网政务应用的安全性。
十四、对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统可以采取哪些身份认证措施?
《规定》要求,对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取身份认证措施。
一是
多因素鉴别。
要求用户在登录时提供两种或两种以上的验证因素(如口令、指纹、手机验证码等),以证明其身份。
即使其中一个因素被破解,其他因素仍然可以阻止非法访问,具有更高的安全性。
二是
系统超时退出。
在用户一段时间不活跃后,自动结束会话并强制用户账号为退出状态,以防止其他人利用用户的已登录状态进行非法操作。
三是
限制登录失败次数。
在用户连续多次输入错误的身份验证信息后,系统暂时锁定该账号或采取其他措施,以防止暴力破解或猜测口令等攻击手段。
四是
账号与终端绑定。
将账号与特定的设备或终端进行绑定,使得该账号只能在指定的设备或终端上登录,以防止账号被盗用后在其他设备上进行非法操作。
同时,《规定》还提出了鼓励采用电子证书等身份认证措施。
十五、关闭邮件自动转发、自动下载附件功能有什么好处?
关闭机关事业单位互联网电子邮件系统的邮件自动转发功能,可以防止出现邮箱里的敏感信息在使用人不知情的情况下,被转发给未经授权的接收者,造成信息泄露的情况发生。
关闭自动下载附件功能,可以防止设备在不经过用户确认的情况下下载并执行恶意附件,降低病毒、木马或其他恶意软件感染的风险。
同时,关闭邮件自动转发、自动下载附件功能还有助于更有效追踪邮件的流转轨迹和附件的处理情况。
十六、如何整治假冒仿冒互联网政务应用?
机构编制管理部门、网信部门、电信主管部门和公安机关联合整治假冒仿冒互联网政务应用。
一是
机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。
二是
对疑似假冒仿冒线索,机构编制管理部门负责确认相关互联网政务应用开办主体是否为机关事业单位。
三是
确属假冒仿冒的,由网信部门会同电信主管部门依法采取停止域名解析、阻断互联网连接和下线处理等措施。
涉嫌违法犯罪的,由公安机关依法处置。
十七、新开办和在用互联网政务应用落实《规定》的要求?
《规定》将于2024年7月1日起正式施行。
对于新开办互联网政务应用,各级机关事业单位应当严格按照《规定》要求执行。
对于在用互联网政务应用,各级机关事业单位应当对照《规定》各项要求进行自查,于2024年年底前完成问题整改。
中央网信办、中央编办、工业和信息化部、公安部将适时开展《规定》落实情况的督促检查。
(来源:网信中国微信公众号)
END
推 荐 阅 读
中共中央政治局召开会议 审议《关于二十届中央第三轮巡视情况的综合报告》 中共中央总书记习近平主持会议
中共四川省委关于深入贯彻党的二十届三中全会精神 进一步全面深化改革奋力谱写中国式现代化四川新篇章的决定
四川省民营经济人士践行“两个健康”倡导清单
http://mp.weixin.qq.com/s?__biz=MzIxNDAwOTMwNQ==&mid=2247662981&idx=2&sn=b2ef78edc945b1aca711a941d933f444
同心四川
但凭时闻典论,浅述同心要义; 立足四川实际,传递统战声音。
最新文章
多地新任命副省(市)长
“新时代统一战线论坛·2024”在京召开
第十二届全国少数民族传统体育运动会上,四川表演项目舞出民族“范”炫出七彩色
中国统一战线理论研究会年会暨“中国新型政党制度理论体系”理论研讨会在京召开
民族大联欢活动 尽显海南特色风情
赵俊民在省委党校“蜀光讲坛”作专题报告
2024全球熊猫伙伴大会在蓉开幕 王晓晖出席 傅华施小琳关志鸥致辞
团结奋斗、扬帆征程 | 全国少数民族传统体育运动会开赛两天 四川代表团表现出色
新闻早资讯丨习近平会见新加坡国务资政李显龙
王晓晖主持召开省委理论学习中心组专题学习(扩大)会强调:更好统筹高质量发展和高水平安全,努力为四川现代化建设提供有力安全保障
四川省人民政府省长、副省长、秘书长最新分工
新闻早资讯丨 出游注意!四川多个景区发布最新公告→
省委统战部理论学习中心组举行2024年第十一次(扩大)集中学习
四川发布一批人事任免
新闻早资讯丨坐动车去黄龙九寨!这些方向加开列车→
践行双碳战略 服务绿色发展—四川省欧美同学会智汇川南助力高质量发展
川南片区联盟海外华校结对工作现场会在乐山召开
民盟中央副主席谢经荣率队来川调研社会服务工作
2024(第五届)未来大会在德阳举行,“未来之星TOP20”榜单出炉
第十二届全国少数民族传统体育运动会开幕 王沪宁出席
王晓晖主持召开省委全面深化改革委员会第八次会议强调:以钉钉子精神抓好改革落实,努力取得更加扎实更为明显的改革成效
施小琳在自贡调研时强调 着力推动新兴产业集群成势能级提升 加快塑造高质量发展新动能新优势
王晓晖在南充市达州市调研时强调:坚持以改革为动力推动高质量发展,努力为四川现代化建设大局多作贡献
省委统战部牵头召开2024年度定点帮扶康定市第二次联席会议
四川最新放假通知!
施小琳在绵阳调研时强调 加快培育和发展新质生产力 推动高质量发展取得更大成效
我省举办彝历新年茶话会
第四届四川省中华职业教育创新创业大赛在泸州闭幕
四川民盟省级组织成立80周年庆祝活动隆重举行
新闻早资讯丨 免票!四川多个景区官宣→
王晓晖在全省教育大会上强调:坚持教育优先发展加快推进教育强省建设,为谱写中国式现代化四川新篇章提供有力支撑
新闻早资讯丨 习近平出席二十国集团领导人第十九次峰会并发表重要讲话
2024民盟法治论坛在四川南充举行
施小琳会见出席2024第七届中国国际光伏与储能产业大会的部分嘉宾
新闻早资讯丨最新版中国医院排行榜发布,四川这些医院上榜→
四川发布一批干部任前公示,涉多个正厅级领导职务
石泰峰安徽调研:抓好统战工作领域重要改革举措落地落实 更好发挥统一战线凝聚人心汇聚力量政治作用
2024年觉姆美好生活行动计划培训班结业仪式圆满举行
2024年第7次四川省委统战部部长与统战代表人士沟通协商“面对面+键对键”活动在成都举行
港澳台代表齐聚广安 共话广安发展新机遇
王晓晖:以更坚决态度更有力举措抓好问题整改,不断提升我省生态环境治理现代化水平
四川省隆重庆祝光彩事业发起实施30周年
中共四川省委统战部关于集中宣传推介光彩事业发起实施30周年先进典型的通报
熠熠光彩谱华章——四川庆祝光彩事业发起实施30周年
四川最新人事任免
赵俊民会见战略六幺三总裁、泰国开泰银行总裁中国事务顾问常念周一行
施小琳会见出席2024四川国际友城合作与发展大会的部分嘉宾
2024四川国际友城合作与发展大会在蓉开幕 王晓晖作主旨讲话 施小琳田向利出席 马辉鄢东致辞
重磅!住房交易税收新政来了
四川发布一批人事任免,涉多个厅级领导职务
分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
原创标签
时事
社会
财经
军事
教育
体育
科技
汽车
科学
房产
搞笑
综艺
明星
音乐
动漫
游戏
时尚
健康
旅游
美食
生活
摄影
宠物
职场
育儿
情感
小说
曲艺
文化
历史
三农
文学
娱乐
电影
视频
图片
新闻
宗教
电视剧
纪录片
广告创意
壁纸头像
心灵鸡汤
星座命理
教育培训
艺术文化
金融财经
健康医疗
美妆时尚
餐饮美食
母婴育儿
社会新闻
工业农业
时事政治
星座占卜
幽默笑话
独立短篇
连载作品
文化历史
科技互联网
发布位置
广东
北京
山东
江苏
河南
浙江
山西
福建
河北
上海
四川
陕西
湖南
安徽
湖北
内蒙古
江西
云南
广西
甘肃
辽宁
黑龙江
贵州
新疆
重庆
吉林
天津
海南
青海
宁夏
西藏
香港
澳门
台湾
美国
加拿大
澳大利亚
日本
新加坡
英国
西班牙
新西兰
韩国
泰国
法国
德国
意大利
缅甸
菲律宾
马来西亚
越南
荷兰
柬埔寨
俄罗斯
巴西
智利
卢森堡
芬兰
瑞典
比利时
瑞士
土耳其
斐济
挪威
朝鲜
尼日利亚
阿根廷
匈牙利
爱尔兰
印度
老挝
葡萄牙
乌克兰
印度尼西亚
哈萨克斯坦
塔吉克斯坦
希腊
南非
蒙古
奥地利
肯尼亚
加纳
丹麦
津巴布韦
埃及
坦桑尼亚
捷克
阿联酋
安哥拉