由中(zhōng)央网络安(ān)全和信息化委员会办(bàn)公(gōng)室、中(zhōng)央机构编制委员会办(bàn)公(gōng)室、工(gōng)业和信息化部、公(gōng)安(ān)部制定的《互联网政務(wù)应用(yòng)安(ān)全管理(lǐ)规定》(以下简称《规定》)近日印发,其应用(yòng)范围是机关事业单位和党政机关,自2024年7月1日起施行。
為(wèi)帮助企业进一步了解《规定》,小(xiǎo)编特邀请拥有(yǒu)近20年行业经验的爱加密网络安(ān)全专家韩云,对文(wén)件进行解读。
《规定》共8章44条,包括总则、开办(bàn)和建设、信息安(ān)全、网络和数据安(ān)全、電(diàn)子邮件安(ān)全、监测预警和应急处置、监督管理(lǐ)以及附则。
《规定》明确了互联网政務(wù)应用(yòng)的定义,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公(gōng)共服務(wù)的移动应用(yòng)程序(含小(xiǎo)程序)、公(gōng)众账号等,以及互联网電(diàn)子邮件系统。互联网政務(wù)应用(yòng)不仅包含了一般应用(yòng)系统,也把移动应用(yòng)的相关形态包含其中(zhōng),监管机构在文(wén)中(zhōng)采用(yòng)了高度概括性的“等”,H5页(yè)面等各类一切移动端表现形式、互动形式均在监管部门的潜在执法范畴内。
《规定》第三条强调了三大重点防范风险,即内容篡改、攻击致瘫、数据窃取风险。单位需提高应用(yòng)加固强度,重视应用(yòng)风险。
《规定》要求,在审核和备案的基础上,一个党政机关最多(duō)开设一个门户网站(中(zhōng)文(wén)和英文(wén)),同时给出建议互联网政務(wù)应用(yòng)的名(míng)称优先使用(yòng)实體(tǐ)机构名(míng)称、规范简称,使用(yòng)其他(tā)名(míng)称的,原则上采取區(qū)域名(míng)加职责名(míng)的命名(míng)方式,并在显著位置标明实體(tǐ)机构名(míng)称。党政机关网站域名(míng)应当以“.gov.cn”或“.政務(wù)”為(wèi)后缀。事业单位网站的域名(míng)应当以“.cn”或“.公(gōng)益”為(wèi)后缀。应用(yòng)的命名(míng)不应出现生僻或较怪异名(míng)称,给使用(yòng)和浏览者造成误解和质(zhì)疑。
《规定》要求,通过机构编制管理(lǐ)部门制发专属電(diàn)子证书或纸质(zhì)证书的方式对机关事业单位进行身份核验;开办(bàn)微博、公(gōng)众号、视频号、直播号等公(gōng)众账号,应当向平台运营者提供電(diàn)子证书或纸质(zhì)证书用(yòng)于身份核验。平台运营者通过对证书的管控,合理(lǐ)合法的规范相关公(gōng)众号,引导和宣传正能(néng)量信息。
《规定》要求,建设互联网政務(wù)应用(yòng)应当落实网络安(ān)全等级保护制度和國(guó)家密码应用(yòng)管理(lǐ)要求,承载重要业務(wù)应用(yòng)的机关事业单位网站、互联网電(diàn)子邮件系统等,应当符合网络安(ān)全等级保护第三级安(ān)全保护要求。按照有(yǒu)关标准规范开展定级备案、等级测评工(gōng)作(zuò),在三同步原则的基础上,落实安(ān)全建设整改加固措施,防范网络和数据安(ān)全风险。
《规定》要求,机关事业单位应当采取安(ān)全保密防控措施,严禁发布國(guó)家秘密、工(gōng)作(zuò)秘密,防范互联网政務(wù)应用(yòng)数据汇聚、关联引发的泄密风险。强调了数据传输过程端到端的安(ān)全,以及后续的安(ān)全要求,如存储、处理(lǐ)。
《规定》指出,网信办(bàn)负责统筹协调互联网政務(wù)应用(yòng)安(ān)全管理(lǐ)工(gōng)作(zuò)。编管部门负责互联网政務(wù)应用(yòng)开办(bàn)主體(tǐ)身份核验、名(míng)称管理(lǐ)和标识管理(lǐ)工(gōng)作(zuò)。工(gōng)信主管部门负责互联网政務(wù)应用(yòng)域名(míng)监督管理(lǐ)和互联网信息服務(wù)(ICP)备案工(gōng)作(zuò)。公(gōng)安(ān)部门负责监督检查指导互联网政務(wù)应用(yòng)网络安(ān)全等级保护和相关安(ān)全管理(lǐ)工(gōng)作(zuò)。明确了各个部门职责的同时,对互联网政務(wù)应用(yòng)的身份、名(míng)称和标识进行明细化规定,并且要求等级保护的合规化。
《规定》要求,机关事业单位必须基于商(shāng)用(yòng)密码技(jì )术对電(diàn)子邮件数据的存储进行安(ān)全保护,原文(wén)首次对邮件安(ān)全做了规定,虽然用(yòng)了鼓励,其实很(hěn)多(duō)侧面體(tǐ)现了國(guó)家对规定的一定期限的宽容性。并且机关事业单位应当建立完善互联网政務(wù)应用(yòng)安(ān)全监测能(néng)力,实时监测互联网政務(wù)应用(yòng)运行状态和网络安(ān)全事件情况。
《规定》第六条 机关事业单位移动应用(yòng)程序应当在已备案的应用(yòng)程序分(fēn)发平台或机关事业单位网站分(fēn)发。备案是為(wèi)了确定程序分(fēn)发平台或者网站的合法性,可(kě)以包含等级保护的备案或者相关机构的备案证明材料。机关事业单位需保持对旗下移动应用(yòng)程序上架渠道的关注度,监测各大应用(yòng)渠道,避免未备案渠道私自上架移动应用(yòng)程序,牵连机关单位。
《规定》第十八条 机关事业单位应当自行或者委托具(jù)有(yǒu)相应资质(zhì)的第三方网络安(ān)全服務(wù)机构,对互联网政務(wù)应用(yòng)网络和数据安(ān)全每年至少进行一次安(ān)全检测评估。《规定》明确要求做安(ān)全检测评估,需要有(yǒu)资质(zhì),目前CCRC的风险评估是行业内公(gōng)认的比较权威的资质(zhì)。
《规定》 第四十条 中(zhōng)央机构编制管理(lǐ)部门,是指中(zhōng)央机构编制委员会(简称中(zhōng)央编委)是在中(zhōng)共中(zhōng)央、國(guó)務(wù)院领导下的负责中(zhōng)华人民(mín)共和國(guó)全國(guó)行政管理(lǐ)體(tǐ)制和机构改革以及机构编制管理(lǐ)工(gōng)作(zuò)的常设议事协调机构。中(zhōng)央编委统一管理(lǐ)全國(guó)党政机关,人大、政协、法院、检察院机关,各民(mín)主党派、人民(mín)团體(tǐ)机关及事业单位的机构编制工(gōng)作(zuò)。
爱加密应用(yòng)安(ān)全风险监测平台、爱加密移动应用(yòng)安(ān)全检测平台可(kě)协助机关单位践行《规定》第六条、第十八条要求,并拥有(yǒu)CCRC风险评估服務(wù)资质(zhì)。掌握移动应用(yòng)分(fēn)发渠道及盗版情况,检测Android应用(yòng)、鸿蒙应用(yòng)、iOS应用(yòng)、Android SDK、微信公(gōng)众号、微信小(xiǎo)程序、IoT固件存在的安(ān)全风险、漏洞,对发现的安(ān)全问题给出解决建议,并且提供准确、完整的安(ān)全检测报告。
爱加密移动应用(yòng)安(ān)全检测平台可(kě)通过静态及动态检测技(jì )术帮助机关单位了解并提高应用(yòng)的安(ān)全性。涵盖基本信息检测、源文(wén)件安(ān)全、数据存储风险、内部数据交互风险、通信传输风险、身份认证风险、组件风险、HTML5风险、安(ān)全防护能(néng)力、第三方SDK风险、服務(wù)端数据泄露风险、通用(yòng)WEB风险、内容风险、优化建议等方面。
静态检测通过静态反编译技(jì )术对应用(yòng)进行反编译,通过词法分(fēn)析、语法分(fēn)析、控制流、数据流分(fēn)析等技(jì )术对移动应用(yòng)程序代码和配置文(wén)件进行扫描,验证移动应用(yòng)是否满足规范性、安(ān)全性、可(kě)靠性、可(kě)维护性等指标,将具(jù)有(yǒu)安(ān)全隐患的代码进行摘录并存入到检测平台后台,為(wèi)后续的安(ān)全检测报告提供数据依据。
动态检测通过沙箱模型、云手机等方式对移动应用(yòng)的安(ān)装(zhuāng)、运行过程中(zhōng)的行為(wèi)进行监测分(fēn)析,验证应用(yòng)是否存在安(ān)全性问题。
作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng),爱加密时刻关注我國(guó)的移动应用(yòng)安(ān)全发展状况,長(cháng)期跟进解读相关文(wén)件,从行业实践角度着手大力推动我國(guó)移动应用(yòng)生态的良好发展。
欢迎给我们留言或评论~
我们将持续发布技(jì )术解读、解决方案、行业报告
点击关注,不错过下次精(jīng)彩内容
京公(gōng)网安(ān)备
11010802025310号