由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》(以下简称《规定》)近日印发,其应用范围是机关事业单位和党政机关,自2024年7月1日起施行。
为帮助企业进一步了解《规定》,小编特邀请拥有近20年行业经验的爱加密网络安全专家韩云,对文件进行解读。
《规定》共8章44条,包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理以及附则。
《规定》明确了互联网政务应用的定义,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。互联网政务应用不仅包含了一般应用系统,也把移动应用的相关形态包含其中,监管机构在文中采用了高度概括性的“等”,H5页面等各类一切移动端表现形式、互动形式均在监管部门的潜在执法范畴内。
《规定》第三条强调了三大重点防范风险,即内容篡改、攻击致瘫、数据窃取风险。单位需提高应用加固强度,重视应用风险。
《规定》要求,在审核和备案的基础上,一个党政机关最多开设一个门户网站(中文和英文),同时给出建议互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。党政机关网站域名应当以“.gov.cn”或“.政务”为后缀。事业单位网站的域名应当以“.cn”或“.公益”为后缀。应用的命名不应出现生僻或较怪异名称,给使用和浏览者造成误解和质疑。
《规定》要求,通过机构编制管理部门制发专属电子证书或纸质证书的方式对机关事业单位进行身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。平台运营者通过对证书的管控,合理合法的规范相关公众号,引导和宣传正能量信息。
《规定》要求,建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。按照有关标准规范开展定级备案、等级测评工作,在三同步原则的基础上,落实安全建设整改加固措施,防范网络和数据安全风险。
《规定》要求,机关事业单位应当采取安全保密防控措施,严禁发布国家秘密、工作秘密,防范互联网政务应用数据汇聚、关联引发的泄密风险。强调了数据传输过程端到端的安全,以及后续的安全要求,如存储、处理。
《规定》指出,网信办负责统筹协调互联网政务应用安全管理工作。编管部门负责互联网政务应用开办主体身份核验、名称管理和标识管理工作。工信主管部门负责互联网政务应用域名监督管理和互联网信息服务(ICP)备案工作。公安部门负责监督检查指导互联网政务应用网络安全等级保护和相关安全管理工作。明确了各个部门职责的同时,对互联网政务应用的身份、名称和标识进行明细化规定,并且要求等级保护的合规化。
《规定》要求,机关事业单位必须基于商用密码技术对电子邮件数据的存储进行安全保护,原文首次对邮件安全做了规定,虽然用了鼓励,其实很多侧面体现了国家对规定的一定期限的宽容性。并且机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。
《规定》第六条 机关事业单位移动应用程序应当在已备案的应用程序分发平台或机关事业单位网站分发。备案是为了确定程序分发平台或者网站的合法性,可以包含等级保护的备案或者相关机构的备案证明材料。机关事业单位需保持对旗下移动应用程序上架渠道的关注度,监测各大应用渠道,避免未备案渠道私自上架移动应用程序,牵连机关单位。
《规定》第十八条 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。《规定》明确要求做安全检测评估,需要有资质,目前CCRC的风险评估是行业内公认的比较权威的资质。
《规定》 第四十条 中央机构编制管理部门,是指中央机构编制委员会(简称中央编委)是在中共中央、国务院领导下的负责中华人民共和国全国行政管理体制和机构改革以及机构编制管理工作的常设议事协调机构。中央编委统一管理全国党政机关,人大、政协、法院、检察院机关,各民主党派、人民团体机关及事业单位的机构编制工作。
爱加密应用安全风险监测平台、爱加密移动应用安全检测平台可协助机关单位践行《规定》第六条、第十八条要求,并拥有CCRC风险评估服务资质。掌握移动应用分发渠道及盗版情况,检测Android应用、鸿蒙应用、iOS应用、Android SDK、微信公众号、微信小程序、IoT固件存在的安全风险、漏洞,对发现的安全问题给出解决建议,并且提供准确、完整的安全检测报告。
爱加密移动应用安全检测平台可通过静态及动态检测技术帮助机关单位了解并提高应用的安全性。涵盖基本信息检测、源文件安全、数据存储风险、内部数据交互风险、通信传输风险、身份认证风险、组件风险、HTML5风险、安全防护能力、第三方SDK风险、服务端数据泄露风险、通用WEB风险、内容风险、优化建议等方面。
静态检测通过静态反编译技术对应用进行反编译,通过词法分析、语法分析、控制流、数据流分析等技术对移动应用程序代码和配置文件进行扫描,验证移动应用是否满足规范性、安全性、可靠性、可维护性等指标,将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据。
动态检测通过沙箱模型、云手机等方式对移动应用的安装、运行过程中的行为进行监测分析,验证应用是否存在安全性问题。
作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,长期跟进解读相关文件,从行业实践角度着手大力推动我国移动应用生态的良好发展。
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
点击关注,不错过下次精彩内容