《互联网政务应用安全管理规定》分析解读
一、引言
2024年5月15日,由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合制定的《互联网政务应用安全管理规定》(以下简称《规定》)正式发布。
《规定》将于2024年7月1日起正式施行。
发布背景
1
**1)互联网政务应用的重要性:**近年来,互联网政务应用在便利群众办事、提升行政效率方面发挥了重要作用。然而,随着使用者越来越多,互联网政务应用信息安全的重要性也愈发凸显。
**2)安全保障的缺失:**现实中,有些地方政府部门或疏于管理,或缺乏相应能力,对政务应用的安全保障并不到位。此前,在个别地方就出现了用户无需登录政务服务网,就能访问后台等高风险事件。
**3)技术发展的挑战:**随着人工智能、云计算等技术飞速发展,当前网络攻击手段日益多样化,这对互联网政务应用的安全提出了更高要求。
发布意义
2
1)提升政务应用安全性:《规定》要求建设运行互联网政务应用应当依照有关法律法规及国家标准的强制性要求,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险。这有助于提升政务应用的安全性,保护政务数据安全。
2)规范政务应用管理:《规定》对互联网政务应用的信息安全、网络和数据安全等方面作出了详细规范,如明确机关事业单位应当建立严格的授权访问机制等。这些规定有助于实现全链条全流程的政务应用安全管理,推动政务数据开放利用。
**3)优化政务服务环境:**通过加强政务应用的安全管理,可以进一步优化政务网络环境和办事流程,提高政务服务效率和质量,让群众上网办事更顺心。
**4)保障国家安全:**政务数据安全是国家安全的重要组成部分。加强互联网政务应用的安全管理,有助于维护国家安全和稳定。
二、《规定》概述
《规定》整体共八章四十四条,概括整理如下图所示:
适用范围
1
凡是建设运行互联网政务应用的各级党政机关和事业单位(简称机关事业单位)均应当遵守本规定。
应用说明
2
本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
安全维度
3
规定从信息安全、网络和数据安全、电子邮件安全以及监测预警和应急处置等多个维度出发,全面加强了互联网政务应用的安全管理。
要求和目标
4
要求建设和运行单位落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
三、重点条款解读及落实指南
《规定》的第三章至第六章深入阐述了互联网政务应用安全的详细要求,具体涵盖信息安全、网络和数据安全、电子邮件安全以及监测预警和应急处置这四个核心维度。接下来,我们将对这些章节中的关键条款进行详尽解读,并针对这些要求提出相应的安全建设策略,以确保政务应用系统的全面安全防护。
信息安全
1
该章节主要关注机关事业单位在使用互联网政务应用时如何确保信息安全、内容真实性和权威性。主要是为了确保机关事业单位在使用互联网政务应用时,能够做到信息安全、内容真实、权威,并严格防止任何形式的泄密。以下是对重点内容的详细解读:
【关键点解读】
**定期检查链接的有效性和适用性:**定期检查应用链接的有效性和适用性是一个不可或缺的环节,它有助于确保用户体验的连贯性、信息的准确性和网站或应用的整体性能。
**异常链接的处置:**一旦发现链接出现异常,如链接失效、指向错误的内容或存在安全风险等,机关事业单位应及时处理。这可能包括修复链接、替换为新的有效链接,或者直接移除有问题的链接,以确保用户不会因点击链接而遇到问题。
**党政机关门户网站的安全技术措施:**对于党政机关门户网站,在技术上需要采取一些特殊措施。当用户从门户网站点击链接,并且该链接将跳转到非党政机关的网站时,门户网站应该给出一个明确的提示。这样做的目的是为了提醒用户他们即将离开党政机关的网站,并进入到另一个可能由不同机构运营的网站。这种提示可以增加用户的警觉性,防止因误操作而泄露个人信息或遭遇网络安全风险。
**存储、处理、传输工作秘密的保密:**工作秘密可能涉及国家安全、社会稳定、经济发展等重要领域,一旦泄露,可能会对国家和社会造成重大损失。因此,加强保密管理是保护这些敏感信息的必要手段。政府信息是公众了解政府工作、参与社会治理的重要途径。如果政府信息被泄露或滥用,将严重损害政府的公信力和形象。通过加强保密管理,可以确保政府信息的准确性和权威性,从而维护政府的公信力。在互联网政务应用中,往往涉及到公民的个人信息和隐私数据。如果这些信息被泄露或滥用,将对公民的合法权益造成严重侵害。加强保密管理,可以有效保护公民的个人隐私和数据安全。
【实施措施与建议】
针对要求中的链接有效性和实用性检查以及异常链接的处置,可以通过部署威努特WEB应用防火墙定期检查所有政务应用内的链接有效性和适用性,对失效,指向错误或内容存在风险的链接可以实现实时检测与阻断。针对党政机关门户网站也建议通过威努特WEB应用防火墙来对Web应用系统的攻击进行防御;相较于传统的防火墙和入侵防御系统,WEB应用防火墙更专注于Web应用自身的漏洞,并提供了SSL加速、抗DDoS、应用负载均衡等Web应用安全模块,是一款多安全引擎、高性价比的Web应用安全产品。
针对互联网政务应用存储、处理、传输工作秘密的保密管理,可以建立严格的信息保密制度,明确工作秘密的范围、密级和管理责任。采用威努特数据安全系列产品(数据安全统一管理平台、终端数据防泄漏系统、网络数据防泄漏系统、数据库防火墙、数据库审计系统等)对存储、处理和传输的工作秘密进行保护。
网络和数据安全
2
该章节主要围绕互联网政务应用的网络和数据安全进行了一系列规定,以确保政务数据的安全、完整和可用性,同时保护个人隐私和商业秘密。以下是对各条款的详细解读:
【关键点解读】
**开展定级备案与等级测评,落实安全建设整改加固措施:**政务应用需要按照相关标准规范进行定级备案,即确定应用的安全保护等级,并上报备案。同时,还需定期进行等级测评,由专业机构对应用的安全性进行评估,确保应用达到备案的安全等级要求。根据等级测评的结果,如果发现安全问题或隐患,应采取相应的整改和加固措施,以提升应用的安全性。
**定期安全检测评估:**机关事业单位需要确保它们的互联网政务应用在网络和数据安全方面得到充分的检测评估。这可以通过两种方式实现:一是单位自行进行安全检测评估,这需要单位内部有足够的技术力量和专业知识;二是委托具有相应资质的第三方网络安全服务机构来进行。这种检测评估的频率应至少每年一次,以确保应用的安全性得到持续的监控和提升。
**系统变更前的安全检测评估:**当互联网政务应用系统计划进行升级、新增功能或引入新技术新应用时,必须在这些变更上线之前进行安全检测评估。这是为了防止新的功能或技术引入未知的安全风险。通过在变更前进行安全检测,可以及时发现并修复潜在的安全问题,确保系统的稳定性和安全性。
**访问控制策略的设置:**互联网政务应用必须实施严格的访问控制策略。这意味着不是所有人都可以无限制地访问政务应用的所有功能和数据。通过设置访问控制,可以确保只有具有适当权限的用户才能访问他们所需的信息或执行特定的操作。
**对机关事业单位工作人员的访问限制:**对于那些专门为机关事业单位工作人员设计的功能和互联网电子邮箱系统,应实施额外的访问限制。这通常涉及到对接入的IP地址段或特定设备进行限制。例如,可以只允许来自单位内部网络的IP地址访问这些系统,从而增加了一层安全保障。
**境外访问的特殊处理:**在某些情况下,机关事业单位的工作人员可能需要从境外访问这些系统。为了满足这种需求,同时保持系统的安全性,应按照白名单方式开通特定时段、特定设备或账号的访问权限。白名单是一种安全机制,只允许列表中的实体(如IP地址、设备或用户账号)进行访问,从而大大降低了未授权访问的风险。
【实施措施与建议】
针对等保测评过程中发现的安全问题和隐患,威努特可以协助制定详细的整改计划,并提供等保所需的全系列安全产品,确保安全问题得到及时有效的解决。同时,威努特作为专业的安全公司,可以针对互联网政务应用在网络和数据安全方面进行充分的检测评估,针对检测评估中发现的安全问题,制定整改措施并跟踪落实,确保问题得到及时解决。
针对互联网政务应用严格的访问控制要求,建议采用威努特零信任安全访问控制系统进行人与资源的统一安全管理,零信任安全访问控制系统秉承零信任的“先认证后连接”机制,通过将传统以网络区域边界的安全防护模式,转变为经过可信身份验证后才建立访问连接的防护模式,并结合零信任SPA单包授权、多源身份认证、终端状态持续感知、数据级访问控制等多种安全技术,实现了用户在任意地点、任意时间对互联网政务应用资源和数据的安全、稳定、高效访问。
【关键点解读】
**留存时间与备份要求:**机关事业单位需要留存相关日志不少于1年(高于网络安全法6个月的要求)。这一要求有助于在必要时进行长期的安全分析和审计。同时,为了防止日志丢失或损坏,应定期对日志进行备份。备份不仅保障了日志数据的安全性,还能在原始日志数据发生问题时提供恢复手段。
**日志的完整性和可用性:**完整性指的是日志应记录所有关键事件,没有被篡改或删除。这要求日志系统具备防篡改功能,确保日志的真实性和可信度。可用性则强调日志应易于访问和使用。在需要分析日志时,应能够快速检索和查询所需信息,以便及时响应安全事件或进行性能分析。
**数据分类分级管理:**机关事业单位需要按照国家和行业领域的相关要求,对互联网政务应用中的数据进行细致的分类和分级。这种管理方式有助于更好地识别和保护敏感和重要的数据。
**重点保护对象:**条款中明确指出了需要重点保护的数据类型,包括重要数据、个人信息和商业秘密。这些数据由于其敏感性和价值,一旦泄露或被滥用,可能会对个人隐私、企业利益甚至国家安全造成严重影响。
**云计算服务平台的选择:**党政机关在建设互联网政务应用时,如果需要采购云计算服务,应当选择已经通过国家云计算服务安全评估的云平台。这一要求确保了所选云平台的安全性和可靠性,降低了政务数据泄露或被非法利用的风险。
**使用管理:**除了选择合适的云平台外,党政机关还需要加强对所采购云计算服务的使用管理。这包括但不限于对数据的访问控制、安全更新和补丁的管理、定期的安全审计等。通过严格的使用管理,可以确保云计算服务在实际运用中的安全性和效率。
【实施措施与建议】
针对更高的日志留存与备份要求,建议采用威努特日志审计与分析系统+威努特数据备份与恢复系统的组合方案,集中采集互联网政务应用相关日志,定期自动全量备份至灾备系统,以满足长期安全分析和审计的需要。
针对数据分类分解管理和重点数据保护,建议采用威努特数据安全统一管理平台内置1000+敏感数据分类模型,对海量数据中的敏感数据进行快速识别,辅助对组织内敏感数据资产进行深度发现和分类分级,对敏感数据运行轨迹、版本以及形态变化进行全流程跟踪,全面评估网络、业务系统、API接口、服务器主机以及计算终端中的数据安全风险态势,针对不同数据分类以及不同数据安全风险等级,实现可视化的自适应细粒度访问控制。结合威努特终端数据防泄漏系统和网络数据防泄漏系统从不同维度来避免重要敏感数据泄露事件的发生。
针对互联网政务应用的安全稳定运行,威努特提供从超融合、私有云到行业公有云多种颗粒度的云基础设施解决方案,并帮助用户的完成所建云基础设施通过国家云计算服务安全评估。
【关键点解读】
**严格的授权访问机制:**机关事业单位需要建立严格的授权访问机制,确保只有经过授权的人员才能访问敏感数据和系统。特别是操作系统、数据库、机房等的最高管理员权限,必须由机关事业单位的在编人员专人负责,不能擅自委托给外包单位人员管理。
**精细化授权与权限回收:**对外包单位人员的授权应该遵循“最小必要原则”,即只授予他们完成任务所需的最小权限。同时,在授权期满后,这些权限应及时收回,以防止权限滥用或数据泄露。
**容灾备份的重要性:**机关事业单位需要对其互联网政务应用中的重要数据和信息系统进行容灾备份。这是为了防止数据丢失、损坏或系统崩溃等意外情况发生,确保政务服务的连续性和稳定性。
**数据和信息系统的保护:**容灾备份不仅涉及数据的备份,还包括对整个信息系统的保护。在灾难发生时,能够迅速恢复系统运行,减少政务服务中断的时间。
**加强互联网政务应用开发安全管理:**机关事业单位应当加强互联网政务应用开发的安全管理,确保在开发过程中遵循最佳安全实践。这包括但不限于对开发环境的保护、对开发人员的安全培训,以及定期的安全审查和测试。
**外部代码的安全检测:**当机关事业单位在互联网政务应用开发中使用外部代码时,这些代码必须经过严格的安全检测。安全检测的目的是识别并修复可能存在的安全漏洞和隐患,防止恶意代码或后门的植入。检测过程应当包括代码审查、漏洞扫描、恶意代码检测等步骤,确保外部代码的安全性。
【实施措施与建议】
针对敏感数据和系统的高权限人员的权限管理,建议部署威努特安全运维管理系统,对访问行为进行账号统一管理、资源和权限统一分配、操作全程审计,产品集用户管理、授权管理、认证管理和综合审计于一体,通过严格的权限控制和操作行为审计,实现对高权限人员的行为管理,从而达到消隐患、避风险的目的。
针对互联网政务应用中的重要数据和信息系统容灾备份,建议部署威努特数据备份与恢复系统对互联网政务应用服务器配置每周一次定时整机备份策略,对业务系统配置每日一次 CDP 文件定时备份策略、实时数据库复制策略,确保数据的完整性、可用性,对数据进行留档,以应对各种可能的数据丢失风险。同时对关键业务定期开展恢复演练,提高应急响应能力。
针对互联网政务应用开发和外部代码安全管理,建议部署威努特漏洞扫描系统定期对应用进行漏洞扫描,发现潜在的安全风险。在开发过程中进行定期的安全审查和测试,确保应用程序的安全性,防止恶意代码的植入和执行。
【关键点解读】
**安全连接方式:**互联网政务应用应当使用安全的连接方式进行访问。这通常指的是使用加密技术(如SSL/TLS)来确保数据传输的安全性,防止数据在传输过程中被截获或篡改。
**多因素鉴别与防护措施:**对于与人身财产安全、社会公共利益密切相关的政务应用,应采取多因素鉴别(如密码+指纹、密码+动态验证码等)来提高安全性。同时,为了防止账号被盗用,还应采取超时退出、限制登录失败次数、账号与终端绑定等技术手段。
【实施措施与建议】
建议为互联网政务应用部署有效的SSL/TLS证书,启用HTTPS协议,确保所有通过互联网传输的数据都经过加密处理,并部署威努特WEB应用防火墙针对互联网政务应用配置安全策略,使其强制使用HTTPS进行连接,拒绝所有非加密的HTTP连接请求。在用户长时间未操作或离开应用时,自动使用户会话超时并退出系统,防止无人使用的活跃会话被恶意利用。设置登录失败次数的限制,如连续多次登录失败后锁定账户一段时间,防止暴力破解密码。对于关键账户,实施账号与特定终端设备的绑定策略,增加非法访问的难度。
电子邮件安全
3
该章节主要围绕机关事业单位互联网电子邮件系统的建设和使用安全进行了规范。以下是对各条款的详细解读:
【关键点解读】
**恶意邮件检测拦截:**互联网电子邮件系统应当具备检测和拦截恶意邮件的功能,这包括对本单位内部发送的邮件进行检测。这有助于提高系统的安全性和防止恶意软件的传播。
**钓鱼邮件防护:**系统应支持钓鱼邮件威胁情报的共享,并能根据相关部门下发的钓鱼邮件威胁情报配置相应的防护策略来预置拦截钓鱼邮件。这是为了防止钓鱼攻击,保护用户的信息安全。
**数据存储安全保护:**鼓励机关事业单位使用商用密码技术对电子邮件数据进行安全保护。这可以确保数据的机密性、完整性和真实性,防止数据被非法获取或篡改。
【实施措施与建议】
针对恶意邮件检测拦截和钓鱼邮件防护,可以通过在互联网电子邮件系统入口和出口处部署威努特入侵防御系统,根据最新的恶意邮件特征和威胁情报对进出邮件进行实时检测,识别和拦截恶意邮件和钓鱼邮件。
针对数据存储安全保护,建议使用商用密码技术对电子邮件数据进行加密保护,确保数据的机密性、完整性和真实性。并通过威努特数据备份与恢复系统定期对电子邮件数据进行备份,确保数据在遭受攻击或损坏时能够及时恢复。
监测预警和应急处置
4
该章节主要聚焦于对互联网政务应用的安全监测、预警和应急处置机制。以下是对各条款的详细解读:
【关键点解读】
**地方和行业的日常监测:**各地区和各部门有责任对本地区和本行业的机关事业单位互联网政务应用进行日常监测和安全检查。这是一种常态化的安全管理措施,旨在及时发现并处理潜在的安全风险。
**机关事业单位的自我监测能力:**机关事业单位需要建立和完善自己的互联网政务应用安全监测能力,实时监测应用的运行状态和网络安全事件。这要求每个单位都要有自我防范和自我监测的意识,提高应对网络安全事件的能力。
**假冒仿冒应用的监测与处理:**机构编制管理部门和网信部门将联合开展对假冒仿冒互联网政务应用的扫描监测,并受理相关投诉举报。一旦发现此类应用,网信部门和电信主管部门将及时采取措施,如停止域名解析、阻断互联网连接和下线处理等,以防止公众受到误导和损失。同时,公安部门将负责打击与此相关的违法犯罪活动,维护网络安全和公众利益。
【实施措施与建议】
建议依托威努特态势分析与安全运营管理平台建立机关事业单位自己的安全监测中心。实时监测互联网政务应用的运行状态和网络安全事件,通过可视化场景,综合安全态势、资产态势、运行态势、脆弱性态势、网络攻击态势、横向威胁态势、安全事件态势等,实现安全风险可视化,形成一体化安全运营分析中心。定期开展网络安全演练,检验自我监测和响应机制的有效性。
四、结语
《规定》的实施对政府、企业和公众都产生了深远的影响,并在推动互联网政务应用安全发展方面具有重大意义。
对政府的影响
1
**提升政务应用安全性:**规定要求政府加强互联网政务应用的安全管理,包括开办、建设、信息安全、网络和数据安全等多个方面。这将显著提升政府网站和移动应用的安全性,减少被黑客攻击或数据泄露的风险。
**增强政府公信力:**通过加强安全管理,政府能够更好地保护公民个人信息和企业数据,从而增强公众对政府的信任。这种信任是政府有效治理和提供公共服务的基础。
**促进电子政务服务发展:**安全稳定的互联网政务应用环境将推动电子政务服务的进一步发展,提高政府服务效率和透明度。
对企业的影响
2
**明确合规要求:**规定为企业提供了明确的合规指南,帮助企业在与政府合作时避免触碰红线,确保业务合规性。
**保障企业数据安全:**加强与政府合作的数据安全保护,可以减少企业数据泄露的风险,维护企业的商业利益。
**促进政企合作:**安全的政务应用环境将吸引更多企业参与政府项目,推动政企之间的深度合作。
对公众的影响
3
**保护个人隐私:**规定加强了个人信息保护,减少了因政府网站或应用被攻击而导致个人信息泄露的风险。
**提升公众服务体验:**安全的互联网政务应用将提供更稳定、更可靠的服务,提升公众在使用政府服务时的体验。
**增强公众信任:**公众对政府的信任将因政务应用安全性的提升而得到增强,这有助于构建和谐的社会关系。
该规定的实施为整个互联网行业树立了安全管理的标杆,推动了行业安全标准的提升。为了满足规定中的安全要求,企业和政府机构将不断推动技术创新,开发更安全、更高效的互联网政务应用技术。安全的互联网政务应用环境有助于构建和谐社会,减少因网络安全问题引发的社会矛盾。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
