interprétation du « règlement sur la gestion de la sécurité des applications gouvernementales internet »
2024-09-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
le 15 mai 2024, quatre départements, dont l'administration chinoise du cyberespace, le bureau central provisoire, le ministère de l'industrie et des technologies de l'information et le ministère de la sécurité publique, ont annoncé conjointement le « règlement sur la gestion de la sécurité des applications gouvernementales internet » (ci-après dénommé le « règlement »). à compter de juillet 2024 en vigueur à compter du 1er. l'objectif de la promulgation du « règlement » est d'améliorer le niveau de protection de la sécurité des applications gouvernementales internet et d'assurer et de promouvoir le fonctionnement sûr et stable des applications gouvernementales internet.
1. quel est le champ d’application du règlement ?
les agences du parti, les agences gouvernementales et les institutions publiques à tous les niveaux (appelées agences et institutions publiques) doivent respecter ces réglementations lors de la création et de l'exploitation d'applications gouvernementales sur internet.
les organes dans ce « règlement » font référence aux organes du parti, aux organes du congrès du peuple, aux organes administratifs, aux organes de la ccppc, aux organes de surveillance, aux organes judiciaires, aux organes du parquet et à certaines organisations de masse. dans le présent règlement, les institutions publiques font référence aux organisations de services sociaux qui sont organisées par des agences d'état ou d'autres organisations utilisant des actifs appartenant à l'état à des fins de protection sociale et qui s'engagent dans l'éducation, la science et la technologie, la culture, la santé et d'autres activités.
le terme « applications internet des affaires gouvernementales », tel que mentionné dans le présent règlement, fait référence aux portails établis par les agences et institutions gouvernementales sur internet, aux applications mobiles (y compris les mini-programmes), aux comptes publics, etc. qui fournissent des services publics via internet, ainsi qu'aux systèmes de messagerie internet.
la gestion de la sécurité des portails internet, des applications mobiles, des comptes publics et des systèmes de messagerie inclus dans l'infrastructure d'information critique doit être mise en œuvre en référence au contenu pertinent de ces réglementations.
2. pourquoi un parti et une agence gouvernementale peuvent-ils ouvrir au plus un portail ? en principe, un site web de parti et d'agence gouvernementale ne peut enregistrer qu'un seul nom de domaine chinois et un seul nom de domaine anglais ?
l'« avis du bureau général du conseil d'état sur la publication de lignes directrices pour le développement de sites web gouvernementaux » (guobanfa [2017] n° 47) exige qu'en principe, les gouvernements populaires au niveau des comtés et au-dessus et leurs départements puissent ouvrir à plus d'un site web par unité. l'« avis du bureau général du conseil d'état sur le renforcement de la gestion des noms de domaine des sites web gouvernementaux » (lettre du conseil d'état [2018] n° 55) exige qu'en principe, un site web gouvernemental ne puisse enregistrer qu'un seul nom de domaine chinois et un nom de domaine anglais. nom de domaine. s'il existe plusieurs noms de domaine qui répondent aux exigences, le nom de domaine principal doit être clairement défini.
3. quelles sont les considérations liées à la distribution d'applications mobiles d'agences et d'institutions gouvernementales sur des plateformes de distribution d'applications enregistrées ou sur des sites web d'agences et d'institutions gouvernementales ?
les applications mobiles des agences et institutions gouvernementales sont des fenêtres importantes pour les services publics. elles reçoivent un grand nombre de visites d'internautes, ont une grande influence sociale et ont une grande crédibilité. une fois contrefaites, elles deviennent facilement des cibles clés. ils auront des effets néfastes sur la société et produiront des conséquences encore plus graves. les applications mobiles distribuées sur des plateformes de distribution d'applications enregistrées ou sur des sites web d'agences et d'institutions gouvernementales ont fait l'objet d'un examen strict pour garantir que la source est crédible et que la contrefaçon des applications mobiles des agences et institutions gouvernementales peut être empêchée à partir de la source.
les agences gouvernementales et les institutions publiques doivent, conformément au « règlement sur la gestion des services d'information sur les applications internet mobiles », distribuer les applications mobiles sur la plate-forme de distribution d'applications enregistrée annoncée par l'administration du cyberespace de chine, ou distribuer des applications mobiles sur les sites web des agences gouvernementales et publiques. institutionnels. à ce jour, deux lots de listes de 49 plateformes de distribution d'applications ayant finalisé leur enregistrement ont été annoncées le 27 septembre 2023 et le 8 avril 2024.
4. qu'est-ce que le certificat électronique des agences et institutions gouvernementales ? comment utiliser un certificat électronique pour vérifier l'identité ?
les certificats électroniques des organismes gouvernementaux et des établissements publics visés dans le présent règlement font référence aux certificats électroniques du code unifié du crédit social délivrés par le service de gestion des établissements institutionnels pour les organismes gouvernementaux, ainsi qu'aux certificats électroniques des établissements publics et des personnes morales délivrés au public. institutions, comme leurs certificats d’identité faisant autorité dans le cyberespace. le certificat d'identité en ligne des organismes gouvernementaux et des établissements publics est utilisé parallèlement au certificat du code gouvernemental unifié du crédit social et au certificat de personne morale des établissements publics et a le même effet.
selon l'article 7 du « règlement », lorsque les agences et institutions gouvernementales distribuent des applications mobiles via des plateformes de distribution d'applications, elles doivent fournir des certificats électroniques ou des certificats papier aux opérateurs de plateforme pour la vérification de l'identité ; les comptes publics tels que les comptes publics doivent fournir des certificats électroniques ou des certificats papier à l'opérateur de la plateforme pour la vérification de l'identité. les agences et institutions gouvernementales qui utilisent des certificats électroniques pour la vérification de l'identité ne fourniront plus d'informations sur le compte bancaire, de lettres officielles de l'agence, d'informations sur l'identité du représentant légal et d'autres documents justificatifs aux opérateurs de plateformes internet. afin de soutenir l'utilisation de certificats électroniques pour la vérification de l'identité, le service de gestion des établissements institutionnels fournira des services publics de vérification de l'identité en ligne des agences et institutions gouvernementales. les opérateurs de plateforme sont autorisés à utiliser ce service pour vérifier l'identité des agences et institutions gouvernementales.
à l'heure actuelle, le bureau central d'organisation se prépare activement à mener des travaux pilotes visant à standardiser la gestion de l'identité en ligne des agences et institutions gouvernementales, à l'organiser et à la promouvoir point par point. une fois les « règlements » mis en œuvre, les agences gouvernementales et les institutions des zones pilotes pourront d'abord utiliser des certificats électroniques pour la vérification de l'identité. une fois le projet pilote terminé et entièrement déployé, la construction et l'exploitation d'applications gouvernementales internet dans les agences et institutions gouvernementales permettront principalement de vérifier l'identité au moyen de certificats électroniques.
5. quel est le nom en ligne des agences et institutions gouvernementales ? quelles sont les règles de dénomination ?
les noms en ligne mentionnés dans le présent règlement font référence aux noms utilisés par les agences et institutions gouvernementales dans diverses applications gouvernementales sur internet, y compris, mais sans s'y limiter, les noms de sites web, les noms de domaines de sites web en chinois et en anglais, les noms d'applications mobiles (y compris les mini-programmes) et les noms de domaines publics. noms de compte. et nom de domaine du système de messagerie, etc.
les noms en ligne sont un type de nom pour les agences gouvernementales et les institutions publiques. ils doivent refléter les caractéristiques des agences gouvernementales et des institutions publiques et faciliter l'identification du public. étant donné que les règles actuelles de gestion des noms en ligne des agences et institutions gouvernementales ne sont pas suffisamment solides, certaines applications gouvernementales sur internet sont nommées de manière aléatoire, ce qui rend difficile leur identification par le public et ouvre la voie à divers comportements de contrefaçon. noms en ligne d’agences et d’institutions gouvernementales.
le principe de dénomination des applications internet des affaires gouvernementales est reflété dans l'article 8 du « règlement », c'est-à-dire que le nom des applications internet des affaires gouvernementales est prioritaire pour utiliser le nom de l'entité et l'abréviation standardisée si d'autres noms sont utilisés. , en principe, la méthode de dénomination du nom régional plus le nom de la responsabilité est adoptée et le nom est utilisé bien en évidence. l'emplacement indique le nom de l'entité. le comité central du parti communiste chinois publiera des mesures détaillées pour normaliser les noms des applications internet des affaires gouvernementales.
à l'heure actuelle, le bureau central de l'organisation se prépare activement à lancer un projet pilote visant à normaliser la gestion de l'identité en ligne des agences et institutions gouvernementales participant au projet pilote qui demandent et utilisent des noms en ligne conformément aux règles de dénomination en ligne. noms en ligne qui ont été utilisés, ils feront rapport au service de gestion de l'établissement de l'établissement de même niveau. demander l'approbation. une fois le projet pilote terminé et entièrement déployé, les règles de dénomination en ligne couvriront progressivement toutes les applications gouvernementales internet des agences et institutions gouvernementales.
6. quel est le logo en ligne des agences et institutions gouvernementales ? comment ajouter un logo en ligne ?
le terme « logo en ligne » tel que mentionné dans le présent « règlement » désigne le logo électronique émis de manière uniforme après approbation par le service de gestion de l'établissement organisationnel pour indiquer la catégorie d'une agence ou d'un établissement public dans le cyberespace.
afin de permettre au public d'identifier de manière précise et intuitive les agences et institutions gouvernementales et de prévenir la contrefaçon des applications gouvernementales sur internet, il est nécessaire de créer des logos en ligne exclusifs pour les applications gouvernementales sur internet. selon l'article 9 du « règlement », les agences et institutions gouvernementales doivent ajouter un logo en ligne au milieu, en bas de la page d'accueil de leur site web. l'administration du cyberespace de chine, en collaboration avec le bureau central de l'organisation, coordonne la plate-forme de distribution d'applications et la plate-forme de services d'information sur les comptes publics, et ajoute des logos en ligne à des endroits bien en vue sur les pages de téléchargement d'applications mobiles et les comptes publics.
à l'heure actuelle, le bureau central de l'organisation se prépare activement à mener des travaux pilotes visant à normaliser la gestion de l'identité en ligne des agences et institutions gouvernementales. afin de garantir l'efficacité et la sécurité de l'identification en ligne, pendant les travaux pilotes, le champ d'utilisation de l'identification en ligne est limité aux applications gouvernementales internet dans les zones pilotes. une fois le projet pilote terminé et déployé auprès du grand public, le champ d'utilisation des logos en ligne couvrira progressivement les applications gouvernementales internet à travers le pays.
7. quelles sont les principales considérations à prendre en compte pour créer les sites web des partis et des agences gouvernementales selon un modèle intensif ?
la construction intensive est un moyen efficace d'améliorer le niveau de gestion professionnelle de l'exploitation et de la maintenance et de la protection de la sécurité, de mettre en évidence les points clés de la protection et de résoudre le manque de ressources techniques et humaines. elle peut également aider à économiser les fonds de construction et à résoudre des problèmes tels que ". îlots d'information » et « cheminées de données ». l'« avis du bureau général du conseil d'état sur la publication de lignes directrices pour le développement de sites web gouvernementaux » (bureau de développement d'état [2017] n° 47) exige que le développement de sites web gouvernementaux suive le principe de conservation intensive, renforce globalement planification et conception de haut niveau, et optimiser l'allocation de la technologie, des fonds, du personnel et d'autres éléments, éviter la duplication de la construction, créer un cluster de sites web gouvernementaux coordonné, standardisé et efficace, parvenir à une gestion et une protection unifiées du site web et améliorer le capacités de protection complètes du site web.
les départements des partis et des agences gouvernementales au niveau des comtés et les partis des cantons et les agences gouvernementales présentent généralement des lacunes en termes de capacités techniques, de capacités de protection de la sécurité, de fonds de construction et de maintenance des systèmes, d'équipes professionnelles, etc., ce qui rend difficile la garantie du fonctionnement sûr et continu des sites web. par conséquent, tous les départements du parti au niveau du comté et les agences gouvernementales sont tenus de en principe, les partis des cantons et les agences gouvernementales ne créent pas de sites web séparés. ils peuvent utiliser la plate-forme web du parti de niveau supérieur et des agences gouvernementales pour ouvrir des pages web et des colonnes. , et publier des informations.
8. pourquoi les applications gouvernementales sur internet ne devraient-elles pas être liées à une seule plateforme internet ?
les applications internet des affaires gouvernementales permettent aux agences et institutions gouvernementales de fournir des services publics via internet. elles doivent garantir l'égalisation, le bénéfice universel et la commodité des services, et garantir que tous les citoyens ont un accès équitable et accessible aux services. lier les applications internet des affaires gouvernementales à une seule plate-forme internet peut empêcher certains utilisateurs d'accéder aux services publics concernés parce qu'ils n'utilisent pas la plate-forme, provoquant ainsi une inégalité dans l'utilisation des services et créant un écart d'utilisation.
9. quelles sont les exigences de sécurité pour les liens vers les applications internet gouvernementales ? comment configurer des invites de saut de lien pour les sites web des portails des partis et des agences gouvernementales ?
actuellement, l'utilisation de liens externes pour mener des activités malveillantes est devenue une méthode d'attaque courante pour les criminels. les criminels peuvent réenregistrer le nom de domaine d'un site web qui n'a pas été annulé à temps et pointer le lien vers des applications illégales telles que la pornographie et le web. jouer ou falsifier le nom de domaine légitime. l'adresse du lien est remplacée par une adresse d'application illégale. compte tenu de cela, les agences et institutions gouvernementales devraient renforcer les inspections de sécurité des liens externes.l'un estconfirmez le contenu du lien. le contenu pointé par les liens dans les applications internet des affaires gouvernementales doit être sérieux, lié aux affaires gouvernementales et à d'autres activités qui remplissent des fonctions, ou relever de services pratiques (tels que la fourniture de prévisions météorologiques et d'informations sur les embouteillages).la seconde estvérifiez régulièrement. les agences et institutions gouvernementales doivent établir une liste de liens vers les applications gouvernementales internet, les maintenir conformément à la liste, vérifier régulièrement la validité et l'applicabilité des liens et traiter les liens anormaux en temps opportun.
dans le même temps, lorsque le site web du portail d'un parti et d'un organisme gouvernemental accède au site web d'un organisme non-parti et gouvernemental, une fenêtre d'invite claire doit apparaître lorsque l'utilisateur clique sur le lien, telle que l'invite « la page web est accéder au site web d'une agence gouvernementale et non-partie. chaque parti et agence gouvernementale devrait établir des réglementations plus strictes basées sur ses propres conditions réelles et exigences de gestion. par exemple, lorsqu'un lien quitte le site web du parti et de l'agence gouvernementale, une invite et une clause de non-responsabilité unifiées doivent être émises.
10. quelles applications gouvernementales internet doivent répondre aux exigences de protection de sécurité de troisième niveau du niveau de protection du réseau ?
les portails des agences centrales et d'état, des partis locaux et des agences gouvernementales au niveau préfectoral ou supérieur, ainsi que les sites web des agences et institutions gouvernementales qui proposent des applications commerciales importantes, des systèmes de messagerie internet, etc., une fois que le contenu du site web est falsifié. ou des informations sensibles sont volées, cela entraînera de graves conséquences sociales. en cas d'impact négatif ou de confusion, conformément aux exigences des directives actuelles de protection du niveau de sécurité du réseau, le niveau de protection de la sécurité du réseau doit être défini sur le niveau 3 et correspondant. des niveaux de protection de sécurité doivent être mis en œuvre.
11. est-il nécessaire de définir des politiques de contrôle d'accès pour les applications internet gouvernementales ? comment définir les fonctions de l'application gouvernementale internet destinée à être utilisée par le personnel des agences et institutions gouvernementales et les droits d'accès au système de messagerie internet ?
le contrôle d'accès est une mesure fondamentale et importante pour protéger la sécurité du réseau. il détermine quels utilisateurs ou appareils peuvent accéder à quelles ressources et comment. les applications gouvernementales sur internet stockent une grande quantité de données de grande valeur et les autorisations d'exploitation des fonctions associées sont également très sensibles, il est donc nécessaire de mettre en œuvre un contrôle d'accès.
les applications gouvernementales sur internet sont destinées aux fonctions utilisées par le personnel des agences et institutions gouvernementales et aux systèmes de messagerie internet. étant donné que leurs utilisateurs sont relativement fixes, la définition de politiques de contrôle d'accès et la mise en œuvre de restrictions d'accès sur les segments d'adresses ip ou les appareils consultés peuvent empêcher efficacement les intrusions externes. dans le même temps, compte tenu du fait que lorsque le personnel d'agences et d'institutions gouvernementales utilise des applications gouvernementales internet à l'étranger, ses comptes et mots de passe sont faciles à voler et à utiliser de manière malveillante, les « règlements » exigent que ceux qui ont réellement besoin d'un accès à l'étranger doivent ouvrir des périodes spécifiques, des appareils ou des comptes spécifiques conformément à la méthode de la liste blanche.
12. comment renforcer la gestion de la sécurité des unités et du personnel d'externalisation des applications gouvernementales internet ?
lorsque des agences gouvernementales et des institutions publiques confient à des unités d'externalisation le développement, l'exploitation et la maintenance d'applications gouvernementales internet, elles doivent renforcer la gestion de la sécurité des unités et du personnel d'externalisation des applications gouvernementales internet.l'un estlorsque vous choisissez une unité d'externalisation, vous devez choisir une unité dotée d'une certaine solidité technique et de certaines capacités d'assurance de la sécurité.la seconde estutiliser des contrats et d'autres moyens pour clarifier les responsabilités en matière de sécurité des réseaux et des données que les unités d'externalisation doivent assumer, telles que la protection de la sécurité du réseau, la réponse et le traitement en temps opportun des incidents de sécurité, les évaluations et audits de sécurité réguliers, et renforcer la responsabilité quotidienne en matière de supervision, de gestion et d'évaluation.le troisième estsuperviser les unités d'externalisation pour qu'elles utilisent, stockent et traitent les données en stricte conformité avec l'accord afin de garantir la sécurité et l'intégrité des données.le quatrième estsans le consentement des agences et institutions gouvernementales compétentes, les unités d'externalisation ne peuvent pas sous-traiter ou sous-traiter des tâches, et ne peuvent pas accéder, modifier, divulguer, utiliser, transférer ou détruire des données.
dans le même temps, lorsque le développement, l'exploitation et la maintenance des applications gouvernementales sur internet sont externalisés, le personnel de service externalisé de l'unité confiée bénéficiera de commodités physiques (telles que des services sur site) ou de certains droits d'accès au système pour accéder au gouvernement internet. candidatures. à cette fin, un mécanisme d’accès autorisé strict devrait être établi pour contrôler et gérer efficacement l’accès aux données sensibles et aux activités clés afin d’empêcher toute utilisation non autorisée, fuite, falsification ou destruction. l'autorité administrative la plus élevée du système d'exploitation, de la base de données, de la salle informatique, etc. doit être gérée par le personnel dédié de l'unité, et le personnel de l'unité d'externalisation ne doit pas être chargé de le gérer et de l'utiliser sans l'autorisation du personnel de l'unité d'externalisation ; être autorisée de manière raffinée conformément au principe de nécessité minimale et être rapidement retirée après l'expiration de la période d'autorisation.
13. est-il nécessaire de renforcer la gestion de la sécurité du développement d'applications gouvernementales sur internet ?
les risques de sécurité générés pendant la phase de développement sont persistants et cachés, et peuvent laisser des risques de sécurité tout au long du cycle de vie du logiciel, mettant gravement en danger le fonctionnement sûr des applications gouvernementales sur internet. par conséquent, la gestion de la sécurité du développement des applications gouvernementales internet devrait être renforcée et des mesures de détection et de protection de la sécurité devraient être prises à toutes les étapes du développement logiciel, telles que l'analyse de la demande, la conception, le codage, les tests, le déploiement et la maintenance. en particulier, compte tenu des risques de sécurité pouvant découler de l'utilisation intensive de codes externes tels que le code open source, des inspections de sécurité du code devraient être organisées pour découvrir rapidement les failles de sécurité dans le code et les réparer en temps utile, de manière à améliorer la sécurité des applications gouvernementales sur internet depuis la source.
14. quelles mesures d'authentification d'identité peuvent être prises pour les applications gouvernementales sur internet et les systèmes de messagerie électroniques liées à la sécurité des personnes et des biens, aux intérêts sociaux et publics, etc. ?
les « règlements » exigent que des mesures d'authentification d'identité soient prises pour les applications gouvernementales sur internet et les systèmes de courrier électronique liés à la sécurité des personnes et des biens, aux intérêts sociaux et publics, etc.l'un estidentification multifactorielle. les utilisateurs sont tenus de fournir au moins deux facteurs de vérification (tels qu'un mot de passe, une empreinte digitale, un code de vérification du téléphone portable, etc.) lors de la connexion pour prouver leur identité. même si l’un des facteurs est piraté, les autres facteurs peuvent toujours empêcher tout accès illégal, offrant ainsi une sécurité accrue.la seconde estle système expire et se ferme. une fois que l'utilisateur est inactif pendant un certain temps, la session se termine automatiquement et le compte utilisateur est obligé de se déconnecter pour empêcher d'autres personnes d'utiliser le statut de connexion de l'utilisateur pour effectuer des opérations illégales.le troisième estlimitez le nombre de tentatives de connexion infructueuses. lorsqu'un utilisateur saisit des informations d'authentification incorrectes plusieurs fois de suite, le système verrouille temporairement le compte ou prend d'autres mesures pour empêcher les attaques telles que le piratage par force brute ou la tentative de deviner un mot de passe.le quatrième estle compte est lié au terminal. liez le compte à un appareil ou un terminal spécifique afin que le compte ne puisse être connecté que sur l'appareil ou le terminal désigné afin d'empêcher les opérations illégales sur d'autres appareils après le vol du compte. parallèlement, le « règlement » propose également des mesures visant à encourager le recours à des mesures d'authentification d'identité telles que les certificats électroniques.
15. quels sont les avantages de désactiver le transfert automatique des e-mails et le téléchargement automatique des pièces jointes ?
la désactivation de la fonction de transfert automatique de courrier du système de messagerie internet des agences et institutions gouvernementales peut empêcher que des informations sensibles contenues dans la boîte aux lettres soient transmises à des destinataires non autorisés à l'insu de l'utilisateur, provoquant ainsi une fuite d'informations. la désactivation de la fonction de téléchargement automatique des pièces jointes empêche l'appareil de télécharger et d'exécuter des pièces jointes malveillantes sans confirmation de l'utilisateur, réduisant ainsi le risque d'infection par des virus, chevaux de troie ou autres logiciels malveillants. dans le même temps, la désactivation du transfert automatique des e-mails et du téléchargement automatique des pièces jointes permettra également de suivre plus efficacement le flux des e-mails et le traitement des pièces jointes.
16. comment lutter contre la contrefaçon et les applications gouvernementales internet contrefaites ?
le département de gestion des établissements organisationnels, le département d'information sur les réseaux, le département des télécommunications et l'agence de sécurité publique sévissent conjointement contre les applications gouvernementales internet contrefaites et contrefaites.l'un estle service de gestion des établissements institutionnels, en collaboration avec le service de cybersécurité et d'informatisation, effectue l'analyse et la surveillance des applications gouvernementales internet contrefaites et accepte les plaintes et rapports pertinents.la seconde esten cas de suspicion de contrefaçon, le service de gestion de l'établissement organisationnel est chargé de confirmer si le développeur d'applications gouvernementales internet concerné est une agence ou une institution.le troisième ests'il s'agit effectivement d'une contrefaçon, le service d'information sur les réseaux, en collaboration avec les autorités des télécommunications, prendra des mesures telles que l'arrêt de la résolution des noms de domaine, le blocage des connexions internet et le traitement hors ligne conformément à la loi. les personnes soupçonnées de violations des lois et de crimes seront traitées par les organes de sécurité publique conformément à la loi.
17. les applications gouvernementales internet nouvelles et existantes mettent-elles en œuvre les exigences du « règlement » ?
le « règlement » entrera officiellement en vigueur le 1er juillet 2024. pour les applications internet d'affaires gouvernementales récemment lancées, les agences et institutions à tous les niveaux doivent suivre strictement les exigences du « règlement ». pour les applications gouvernementales internet utilisées, les agences et institutions à tous les niveaux doivent procéder à des auto-examens par rapport aux exigences du « règlement » et achever la rectification du problème avant la fin de 2024. l'administration chinoise du cyberespace, le bureau central provisoire, le ministère de l'industrie et des technologies de l'information et le ministère de la sécurité publique effectueront en temps opportun des supervisions et des inspections sur la mise en œuvre du « règlement ».
veuillez indiquer la source lors de la réimpression : compte officiel wechat "network china"
