2024年5月15日,中央網信辦、中央編辦、工業和信息化部、公安部等四部門聯合公布《互聯網政務應用安全管理規定》(以下稱《規定》),自2024年7月1日起施行。出臺《規定》旨在提高互聯網政務應用安全防護水平,保障和促進互聯網政務應用安全穩定運行。
一、《規定》的適用范圍?
各級黨政機關和事業單位(簡稱機關事業單位)建設運行互聯網政務應用,應當遵守本規定。
本《規定》中的機關,是指黨的機關、人大機關、行政機關、政協機關、監察機關、審判機關、檢察機關、部分群團機關。本《規定》中的事業單位,是指國家為了社會公益目的,由國家機關舉辦或者其他組織利用國有資產舉辦的,從事教育、科技、文化、衛生等活動的社會服務組織。
本《規定》所稱互聯網政務應用,是指機關事業單位在互聯網上設立的門戶網站,通過互聯網提供公共服務的移動應用程序(含小程序)、公眾賬號等,以及互聯網電子郵件系統。
列入關鍵信息基礎設施的互聯網門戶網站、移動應用程序、公眾賬號,以及電子郵件系統的安全管理工作,參照本規定有關內容執行。
二、為什么一個黨政機關最多開設一個門戶網站?一個黨政機關網站原則上只注冊一個中文域名和一個英文域名?
《國務院辦公廳關于印發政府網站發展指引的通知》(國辦發〔2017〕47號)要求,縣級以上各級人民政府及其部門原則上一個單位最多開設一個網站。《國務院辦公廳關于加強政府網站域名管理的通知》(國辦函〔2018〕55號)要求,一個政府網站原則上只注冊一個中文域名和一個英文域名,如已有多個符合要求的域名,應明確主域名。
三、機關事業單位移動應用程序在已備案的應用程序分發平臺或機關事業單位網站上分發的考慮?
機關事業單位移動應用程序是面向公眾服務的重要窗口,網民訪問量大、社會影響大、公信力高,易成為假冒仿冒行為的重點對象,一旦其被假冒仿冒,將在社會上造成不良影響,產生較大危害。在已備案的應用程序分發平臺或機關事業單位網站分發移動應用程序,經過了嚴格的審核,確保來源可信,可從源頭上防范假冒仿冒機關事業單位移動應用程序。
機關事業單位應當依據《移動互聯網應用程序信息服務管理規定》,在國家互聯網信息辦公室公布的已備案的應用程序分發平臺分發移動應用程序,或在機關事業單位網站分發移動應用程序。截至目前,已于2023年9月27日、2024年4月8日公布兩批共計49家完成備案的應用程序分發平臺名單。
四、什么是機關事業單位電子證書?如何使用電子證書核驗身份?
本《規定》所稱機關事業單位電子證書,是指機構編制管理部門為機關頒發的統一社會信用代碼電子證書,以及為事業單位頒發的事業單位法人電子證書,作為其在網絡空間的權威身份憑證。機關事業單位網絡身份憑證與機關統一社會信用代碼證書、事業單位法人證書并行使用,具有同等效力。
根據《規定》第七條,機關事業單位通過應用程序分發平臺分發移動應用程序時,應當向平臺運營者提供電子證書或紙質證書用于身份核驗;開辦微博、公眾號、視頻號、直播號等公眾賬號,應當向平臺運營者提供電子證書或紙質證書用于身份核驗。機關事業單位使用電子證書進行身份核驗的,不再向互聯網平臺運營者等提供銀行賬戶信息、機構公函、法定代表人身份信息等證明材料。為支持使用電子證書進行身份核驗,機構編制管理部門將提供機關事業單位網絡身份公共驗證服務。平臺運營者經授權可使用該服務核驗機關事業單位身份。
目前,中央編辦正積極準備開展規范機關事業單位網絡身份管理試點工作,以點帶面組織推進。《規定》實施后,試點地區機關事業單位可先行使用電子證書進行身份核驗。試點結束、全面推開后,機關事業單位建設運行互聯網政務應用將主要通過電子證書核驗身份。
五、什么是機關事業單位網上名稱?命名規則是什么?
本《規定》所稱網上名稱,是指機關事業單位在各類互聯網政務應用中使用的名稱,包括但不限于網站名稱、網站中英文域名、移動應用程序(含小程序)名稱、公眾賬號名稱以及電子郵件系統域名等。
網上名稱是機關事業單位名稱的一種,應體現機關事業單位特質,便于公眾識別。由于目前機關事業單位網上名稱管理規則不夠健全,一些互聯網政務應用命名較為隨意,導致公眾難以識別,也給各種假冒仿冒行為提供可乘之機,有必要對機關事業單位網上名稱加以規范。
互聯網政務應用命名原則體現在《規定》第八條中,即互聯網政務應用的名稱優先使用實體機構名稱、規范簡稱,使用其他名稱的,原則上采取區域名加職責名的命名方式,并在顯著位置標明實體機構名稱。中央編辦將出臺詳細辦法規范互聯網政務應用名稱。
目前,中央編辦正積極準備開展規范機關事業單位網絡身份管理試點工作,參與試點的機關事業單位按照網上名稱命名規則申請和使用網上名稱,對已使用的網上名稱,向同級機構編制管理部門申請核準。試點結束、全面推開后,網上名稱命名規則將逐步覆蓋所有機關事業單位互聯網政務應用。
六、什么是機關事業單位網上標識?怎么加注網上標識?
本《規定》所稱網上標識,是指經機構編制管理部門核準后統一頒發的、在網絡空間表明機關事業單位機構類別的電子標識。
為便于公眾準確、直觀識別機關事業單位,同時防范假冒仿冒互聯網政務應用行為,有必要為互聯網政務應用設置專屬網上標識。按照《規定》第九條,機關事業單位應當在網站首頁底部中間位置加注網上標識。中央網信辦會同中央編辦協調應用程序分發平臺以及公眾賬號信息服務平臺,在移動應用程序下載頁面、公眾賬號顯著位置加注網上標識。
目前,中央編辦正積極準備開展規范機關事業單位網絡身份管理試點工作。為了確保網上標識的有效性、安全性,試點工作期間,網上標識使用范圍限定為試點地區的互聯網政務應用。試點結束、面上推開后,網上標識使用范圍將逐步覆蓋全國互聯網政務應用。
七、以集約化模式建設黨政機關網站的主要考慮?
集約化建設是提高專業化運維管理和安全防護水平、突出防護重點、解決技術和人力資源不足的有效手段,也有助于節約建設資金、破解“信息孤島”“數據煙囪”等難題。《國務院辦公廳關于印發政府網站發展指引的通知》(國發辦〔2017〕47號)要求,政府網站發展要遵循集約節約原則,加強統籌規劃和頂層設計,優化技術、資金、人員等要素配置,避免重復建設,打造協同聯動、規范高效的政府網站集群,實現網站的統一管理、統一防護,提高網站綜合防護能力。
縣級黨政機關各部門以及鄉鎮黨政機關通常在技術能力、安全防護能力、系統建設維護經費、專業人員隊伍等方面存在不足,難以保障網站持續安全運行,因此要求縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站,可利用上級黨政機關網站平臺開設網頁、欄目、發布信息。
八、互聯網政務應用不得綁定單一互聯網平臺的原因?
互聯網政務應用是機關事業單位通過互聯網提供公共服務的載體,應當保證服務的均等化、普惠化、便捷化,確保全體公民公平可及地獲得服務。互聯網政務應用綁定單一互聯網平臺,可能導致某些用戶因為不使用該平臺而無法訪問相關公共服務,從而造成使用服務的不平等,形成使用鴻溝。
九、互聯網政務應用鏈接有哪些安全要求?如何設置黨政機關門戶網站鏈接跳轉提示?
當前,利用外部鏈接進行惡意活動已經成為犯罪分子慣用的攻擊方法,犯罪分子可將過期未及時注銷的網站域名進行重新注冊,并將該網站鏈接指向色情、賭博等非法應用,或者通過篡改將合法鏈接地址替換為非法應用地址。鑒此,機關事業單位應當加強對外部鏈接的安全檢查。一是確認鏈接的內容。互聯網政務應用中鏈接指向的內容應當具有嚴肅性,要與政務等履行職能的活動相關,或屬于便民服務的范圍(如提供天氣預報、交通擁堵狀況信息)。二是定期檢查。機關事業單位應當建立互聯網政務應用鏈接清單,根據清單進行維護,定期檢查鏈接的有效性和適用性,及時處置異常鏈接。
同時,黨政機關門戶網站跳轉到非黨政機關網站時,應當在用戶點擊鏈接時彈出明確提示窗口,如提示“網頁正在跳轉至非黨政機關網站”。各黨政機關應當根據自身實際和管理要求,設置更嚴格的規定,如在鏈接離開本黨政機關網站時,統一作出提示和免責聲明。
十、哪些互聯網政務應用應當符合網絡安全等級保護第三級安全保護要求?
中央和國家機關、地市級以上地方黨政機關門戶網站,以及承載重要業務應用的機關事業單位網站、互聯網電子郵件系統等,一旦網站內容被篡改或敏感信息被竊取,將會造成嚴重的社會不良影響或混亂,按照現行網絡安全等級保護指南要求,應當將網絡安全防護等級定為第三級,并且開展相應級別的安全防護。
十一、互聯網政務應用設置訪問控制策略的必要性?如何設置互聯網政務應用面向機關事業單位工作人員使用的功能和互聯網電子郵箱系統的訪問權限?
訪問控制是保護網絡安全的一項基礎和重要措施,決定了哪些用戶或設備可以訪問哪些資源,以及以何種方式訪問。互聯網政務應用存儲大量高價值數據,相關功能的操作權限也很敏感,故實施訪問控制十分必要。
互聯網政務應用面向機關事業單位工作人員使用的功能和互聯網電子郵箱系統,由于其使用人員相對固定,設置訪問控制策略,對接入的IP地址段或設備實施訪問限制,可有效防范外部入侵。同時,鑒于機關事業單位工作人員在境外使用互聯網政務應用時,賬號和密碼容易被竊取、被惡意利用,《規定》要求確需境外訪問的,按照白名單方式開通特定時段、特定設備或賬號的訪問權限。
十二、如何加強互聯網政務應用外包單位和人員的安全管理?
機關事業單位委托外包單位開展互聯網政務應用開發和運維時,應當加強對互聯網政務應用外包單位和人員的安全管理。一是在選擇外包單位時,應當選擇具備一定技術實力和安全保障能力的單位。二是以合同等手段明確外包單位應當履行的網絡安全防護、及時響應和處理安全事件、定期安全評估和審計等網絡和數據安全責任,并加強日常監督管理和考核問責。三是督促外包單位嚴格按照約定使用、存儲、處理數據,確保數據安全性和完整性。四是未經委托的機關事業單位同意,外包單位不得轉包、分包合同任務,不得訪問、修改、披露、利用、轉讓、銷毀數據。
同時,將互聯網政務應用開發和運維進行外包時,受委托單位的外包服務人員將獲得訪問互聯網政務應用的物理便利條件(如駐場服務)或一定的系統訪問權限。為此,應當建立嚴格的授權訪問機制,有效控制和管理對敏感數據和關鍵業務的訪問,防止未授權的使用、泄露、篡改或破壞。操作系統、數據庫、機房等最高管理員權限必須由本單位在編人員專人負責,不得擅自委托外包單位人員管理使用;應當按照最小必要原則對外包單位人員進行精細化授權,在授權期滿后及時收回權限。
十三、加強互聯網政務應用開發安全管理的必要性?
開發階段產生的安全風險具有持續性和隱蔽性,有可能在軟件的全生命周期中留下安全隱患,嚴重危害互聯網政務應用的安全運行。因此,應當加強互聯網政務應用的開發安全管理,在軟件開發的需求分析、設計、編碼、測試、部署和維護等各個階段,均采取安全檢測和防護措施。特別是針對大量使用開源代碼等外部代碼可能帶來的安全風險,應當組織開展代碼安全檢測,及時發現代碼中存在的安全漏洞并及時修復,從源頭上提升互聯網政務應用的安全性。
十四、對與人身財產安全、社會公共利益等相關的互聯網政務應用和電子郵件系統可以采取哪些身份認證措施?
《規定》要求,對與人身財產安全、社會公共利益等相關的互聯網政務應用和電子郵件系統,應當采取身份認證措施。一是多因素鑒別。要求用戶在登錄時提供兩種或兩種以上的驗證因素(如口令、指紋、手機驗證碼等),以證明其身份。即使其中一個因素被破解,其他因素仍然可以阻止非法訪問,具有更高的安全性。二是系統超時退出。在用戶一段時間不活躍后,自動結束會話并強制用戶賬號為退出狀態,以防止其他人利用用戶的已登錄狀態進行非法操作。三是限制登錄失敗次數。在用戶連續多次輸入錯誤的身份驗證信息后,系統暫時鎖定該賬號或采取其他措施,以防止暴力破解或猜測口令等攻擊手段。四是賬號與終端綁定。將賬號與特定的設備或終端進行綁定,使得該賬號只能在指定的設備或終端上登錄,以防止賬號被盜用后在其他設備上進行非法操作。同時,《規定》還提出了鼓勵采用電子證書等身份認證措施。
十五、關閉郵件自動轉發、自動下載附件功能有什么好處?
關閉機關事業單位互聯網電子郵件系統的郵件自動轉發功能,可以防止出現郵箱里的敏感信息在使用人不知情的情況下,被轉發給未經授權的接收者,造成信息泄露的情況發生。關閉自動下載附件功能,可以防止設備在不經過用戶確認的情況下下載并執行惡意附件,降低病毒、木馬或其他惡意軟件感染的風險。同時,關閉郵件自動轉發、自動下載附件功能還有助于更有效追蹤郵件的流轉軌跡和附件的處理情況。
十六、如何整治假冒仿冒互聯網政務應用?
機構編制管理部門、網信部門、電信主管部門和公安機關聯合整治假冒仿冒互聯網政務應用。一是機構編制管理部門會同網信部門開展針對假冒仿冒互聯網政務應用的掃描監測,受理相關投訴舉報。二是對疑似假冒仿冒線索,機構編制管理部門負責確認相關互聯網政務應用開辦主體是否為機關事業單位。三是確屬假冒仿冒的,由網信部門會同電信主管部門依法采取停止域名解析、阻斷互聯網連接和下線處理等措施。涉嫌違法犯罪的,由公安機關依法處置。
十七、新開辦和在用互聯網政務應用落實《規定》的要求?
《規定》將于2024年7月1日起正式施行。對于新開辦互聯網政務應用,各級機關事業單位應當嚴格按照《規定》要求執行。對于在用互聯網政務應用,各級機關事業單位應當對照《規定》各項要求進行自查,于2024年年底前完成問題整改。中央網信辦、中央編辦、工業和信息化部、公安部將適時開展《規定》落實情況的督促檢查。