「インターネット政府アプリケーション安全管理規則」の解釈
2024-09-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
2024年5月15日、中国サイバースペース局、中央臨時弁公室、工業情報化部、公安部の4部門が共同で「インターネット政府アプリケーションの安全管理規定」(以下、「インターネット政府アプリケーションの安全管理に関する規定」)を発表した。 2024年7月から施行 1日より施行。 「規約」を公布する目的は、インターネット政府アプリケーションのセキュリティ保護レベルを向上させ、インターネット政府アプリケーションの安全かつ安定した運用を確保・促進することです。
1. 規則の適用範囲はどこまでですか?
あらゆるレベルの党、政府機関および公的機関 (機関および公的機関と呼ばれる) は、インターネット政府アプリケーションを構築および運用する際に、これらの規制に従わなければなりません。
この「条例」における機関とは、党機関、人民代表大会機関、行政機関、政協機関、監督機関、司法機関、検察機関および一部の大衆組織を指す。この規則における公的機関とは、社会福祉を目的として国有財産を使用して国の機関またはその他の組織によって組織され、教育、科学技術、文化、保健およびその他の活動に従事する社会奉仕団体を指します。
この規則において「インターネット政務アプリケーション」とは、政府機関や機関がインターネット上に開設するポータル、インターネットを介して公共サービスを提供するモバイルアプリケーション(ミニプログラムを含む)、公的アカウント等を指します。インターネット電子メール システム。
重要な情報インフラに含まれるインターネットポータル、モバイルアプリケーション、パブリックアカウント、電子メールシステムのセキュリティ管理は、本規定の関連内容を参照して実施されなければなりません。
2. 政党や政府機関が開設できるポータルはなぜ 1 つだけですか?原則として、政党および政府機関のウェブサイトは中国語ドメイン名と英語ドメイン名を 1 つずつしか登録できません。
「政府ウェブサイトの開発に関するガイドラインの発行に関する国務院総弁公室の通知」(国番発[2017]第 47 号)では、原則として県レベル以上の人民政府とその部門は、原則として次の時間に開設できると定めている。ほとんどの場合、ユニットごとに 1 つの web サイトが必要です。 「政府ウェブサイトのドメイン名管理の強化に関する国務院総弁公司の通知」(国務院書簡[2018]第55号)では、原則として政府ウェブサイトは中国語のドメイン名と英語のドメイン名を1つだけ登録できると定めている。要件を満たすドメイン名が複数ある場合は、プライマリ ドメイン名を明確に定義する必要があります。
3. 政府機関や機関の登録アプリケーション配布プラットフォームまたは web サイトで政府機関や機関のモバイル アプリケーションを配布する場合の考慮事項は何ですか?
政府機関や機関のモバイルアプリケーションは、ネットユーザーのアクセスが多く、社会的影響力も大きく、一度偽造されると主要なターゲットとなりやすい。それらは社会に悪影響を及ぼし、より大きな被害をもたらすでしょう。政府機関や機関の登録アプリケーション配布プラットフォームや web サイトで配布されるモバイル アプリケーションは、ソースが信頼できるものであることを確認するために厳格な審査を受けており、政府機関や機関のモバイル アプリケーションの偽造をソースから防ぐことができます。
政府機関および機関は、「モバイルインターネットアプリケーション情報サービス管理規定」に従い、中国サイバースペース局が発表する登録アプリケーション配布プラットフォーム上でモバイルアプリケーションを配布するか、政府機関および機関のウェブサイト上でモバイルアプリケーションを配布するものとします。現時点で、登録が完了したアプリケーション配信プラットフォーム49社のリストが2023年9月27日と2024年4月8日の2回に分けて公表されている。
4. 官公庁・団体の電子証明書とは何ですか?電子証明書を使用して本人確認を行うにはどうすればよいですか?
本規則でいう政府機関および公的機関の電子証明書とは、政府機関の機関施設管理部門が発行する統一社会信用コード電子証明書、および公的機関および法人が公的に発行する電子証明書を指します。サイバースペースにおける権威あるアイデンティティ証明書としての機関。政府機関および公的機関のオンライン id 証明書は、政府の統一社会信用コード証明書および公的機関の法人証明書と並行して使用され、同じ有効性を持ちます。
「規則」の第 7 条によると、政府機関および機関がアプリケーション配信プラットフォームを通じてモバイル アプリケーションを配信する場合、本人確認のためにプラットフォーム運営者に電子証明書または紙の証明書を提供しなければなりません。オープン weibo、公開アカウント、ビデオ アカウント、ライブ放送。パブリックアカウントなどの公的アカウントは、本人確認のために電子証明書または紙の証明書をプラットフォーム運営者に提供する必要があります。身元確認に電子証明書を使用する政府機関および機関は、銀行口座情報、政府機関からの公式書簡、法定代理人の身元情報、その他の裏付け資料をインターネット プラットフォーム オペレーターに提供しなくなります。本人確認のための電子証明書の使用をサポートするために、機関施設管理部門は政府機関や機関のオンライン id に対する公的認証サービスを提供します。プラットフォーム運営者は、政府機関や機関の身元を確認するためにこのサービスを使用することが許可されています。
現在、中央組織局は、政府機関や機関のオンラインアイデンティティ管理を標準化し、それをポイントごとに整理し、推進するためのパイロット作業を実施する準備を積極的に行っています。 「規制」の施行後、試験地域の政府機関や機関はまず電子証明書を本人確認に使用できるようになる。試験運用が完了し、本格的に展開されると、政府機関や機関におけるインターネット政府アプリケーションの構築と運用では、主に電子証明書を介して本人確認が行われることになります。
5. 政府機関や機関のオンライン名は何ですか?命名規則とは何ですか?
本規則で言及されているオンライン名は、ウェブサイト名、ウェブサイトの中国語および英語のドメイン名、モバイル アプリケーション (ミニプログラムを含む) 名、パブリック アプリケーション名などを含むがこれらに限定されない、さまざまなインターネット政府アプリケーションで政府機関や機関によって使用される名前を指します。アカウント名や電子メール システムのドメイン名など。
オンライン名は政府機関や公的機関の名前の一種であり、政府機関や公的機関の特性を反映し、公的識別を容易にする必要があります。現在の政府機関や機関のオンライン名の管理ルールが十分ではないため、一部のインターネット政府アプリケーションはランダムに名前が付けられており、一般の人々がそれらを特定することが困難であり、さまざまな偽造行為の機会を提供するものを規制する必要があります。政府機関や機関のオンライン名。
インターネット行政アプリケーションの命名原則は、「規則」第 8 条に反映されています。つまり、インターネット行政アプリケーションの名前には、実体組織の名前が優先され、他の名前が使用される場合には標準化された略称が使用されます。では、原則として地域名+責任名という命名方法を採用しており、所在地が主体の名称を目立つように表示しています。中国共産党中央委員会は、インターネット政務アプリケーションの名称を標準化するための詳細な措置を発表する。
現在、中央組織局は、政府機関および機関のオンライン id 管理を標準化するためのパイロット プロジェクトを開始する準備を積極的に行っています。パイロットに参加する政府機関および機関は、オンライン名命名規則に従ってオンライン名を申請および使用します。使用されたオンライン名については、同レベルの機関の設立管理部門に報告し、承認を申請します。パイロットが完了し、完全に展開されると、オンライン命名規則は政府機関や機関のすべてのインターネット政府アプリケーションを段階的にカバーすることになります。
6. 政府機関や機関のオンライン ロゴは何ですか?オンラインロゴを追加するにはどうすればよいですか?
この「規程」にいう「オンラインロゴ」とは、サイバー空間上で機関や公的機関のカテゴリーを示すために組織設立管理部門の承認を受けて統一的に発行される電子ロゴを指します。
国民が政府機関や機関を正確かつ直感的に識別できるようにし、インターネット政府アプリケーションの偽造を防止するには、インターネット政府アプリケーション専用のオンライン ロゴを設定する必要があります。 「規則」の第 9 条によると、政府機関および機関は、web サイトのトップページの下部中央にオンライン ロゴを追加する必要があります。中国サイバースペース局は、中央組織弁公室と連携して、アプリケーション配布プラットフォームとパブリックアカウント情報サービスプラットフォームを調整し、モバイルアプリケーションのダウンロードページとパブリックアカウントの目立つ場所にオンラインロゴを追加しています。
現在、中央組織局は、政府機関や機関のオンライン id 管理を標準化するためのパイロット作業を実施する準備を積極的に進めています。オンライン id の有効性とセキュリティを確保するため、パイロット作業中は、オンライン id の使用範囲は、パイロット エリア内のインターネット政府アプリケーションに限定されます。試験運用が完了し、一般公開された後、オンライン ロゴの使用範囲は、段階的に全国のインターネット政府アプリケーションをカバーする予定です。
7. 党および政府機関の web サイトを集中モデルで構築する際の主な考慮事項は何ですか?
集中工事は、専門的な運営・維持管理と安全保護のレベルを向上させ、保護の重要なポイントを強調し、技術的および人的資源の不足を解決する効果的な手段です。また、建設資金を節約し、「」などの問題を解決することもできます。 「情報の島」と「データの煙突」。 「政府ウェブサイトの開発に関するガイドラインの発行に関する国務院総弁公司の通知」(国家発展弁公室[2017]第 47 号)では、政府ウェブサイトの開発は集中的な保存の原則に従い、全体的に強化する必要があると求めています。計画とトップレベルの設計、および技術、資金、人員およびその他の要素の配置の最適化、構築の重複の回避、調整された標準化された効率的な政府ウェブサイトクラスターの作成、ウェブサイトの統一管理と統一保護の実現、およびウェブサイトの改善ウェブサイトの包括的な保護機能。
県級の党・政府機関、郷党・政府機関の部門は通常、技術能力、安全保護能力、システム構築・保守資金、専門チームなどに欠陥があり、ウェブサイトの継続的な安全な運営を確保することが困難となっている。したがって、県レベルの党および政府機関のすべての部門は、原則として、党および政府機関の上級ウェブサイトのプラットフォームを使用してウェブページ、コラムを開くことができません。 、情報を公開しています。
8. インターネット政府アプリケーションを単一のインターネット プラットフォームに束縛すべきではないのはなぜですか?
インターネット政府業務アプリケーションは、政府機関や機関がインターネットを通じて公共サービスを提供するための手段であり、サービスの平等化、普遍的な利益、利便性を確保し、すべての国民がサービスに公平かつアクセスできることを保証する必要があります。インターネット行政アプリケーションを単一のインターネット プラットフォームに束縛すると、一部のユーザーがそのプラットフォームを使用しないために関連する公共サービスにアクセスできなくなり、サービスの利用に不平等が生じ、利用格差が形成される可能性があります。
9. インターネット政府アプリケーション リンクのセキュリティ要件は何ですか?政党や政府機関のポータル web サイトにリンク ジャンプ プロンプトを設定するにはどうすればよいですか?
現在、外部リンクを使用して悪意のある活動を実行することは、犯罪者にとって一般的な攻撃方法となっており、期限内に削除されなかった web サイトのドメイン名を再登録し、その web サイトのリンクをポルノや違法なアプリケーションに誘導する可能性があります。ギャンブル、または正規のドメイン名を改ざんする場合、リンク アドレスが不正なアプリケーション アドレスに置き換えられます。これを考慮して、政府機関や機関は外部リンクのセキュリティ検査を強化する必要があります。1つはリンク先の内容をご確認ください。インターネット政府事務アプリケーションのリンクが指すコンテンツは、政府事務やその他の機能を実行する活動に関連する重大なものであるか、または便利なサービス (天気予報や渋滞情報の提供など) の範囲に含まれるものである必要があります。2つ目は定期的にチェックしてください。政府機関および機関は、インターネット政府アプリケーションリンクのリストを作成し、リストに従って維持し、リンクの有効性と適用性を定期的にチェックし、異常なリンクに適時に対処する必要があります。
同時に、党および政府機関のポータル web サイトから非党および政府機関の web サイトにジャンプする場合、ユーザーがリンクをクリックすると、「web ページは次のとおりです」というプロンプトのような明確なプロンプト ウィンドウがポップアップ表示される必要があります。非政党および政府機関の web サイトにジャンプします。」各政党および政府機関は、それぞれの実情と管理要件に基づいて、より厳格な規制を設定する必要があります。たとえば、リンクが党および政府機関の web サイトから離れる場合には、統一したプロンプトと免責事項を発行する必要があります。
10. ネットワーク セキュリティ レベル保護の第 3 レベルのセキュリティ保護要件を満たす必要があるインターネット政府アプリケーションはどれですか?
ウェブサイトのコンテンツが改ざんされた場合、中央および州の機関、地方党および都道府県レベル以上の政府機関のポータル、重要なビジネス アプリケーションやインターネット電子メール システムなどを扱う政府機関や機関のウェブサイト機密情報が盗まれたり、重大な社会的影響が生じたりする場合には、現在のネットワーク セキュリティ レベル保護ガイドラインの要件に従って、ネットワーク セキュリティ保護レベルをレベル 3 に設定する必要があります。レベルのセキュリティ保護を実行する必要があります。
11. インターネット政府アプリケーションにアクセス制御ポリシーを設定する必要がありますか?政府機関や機関の職員が使用するインターネット政府アプリケーションの機能と、インターネット電子メール システムへのアクセス権を設定するにはどうすればよいですか?
アクセス制御は、ネットワーク セキュリティを保護するための基本的かつ重要な手段であり、どのユーザーまたはデバイスがどのリソースにどのようにアクセスできるかを決定します。インターネット政府アプリケーションには大量の高価値データが保存されており、関連機能の操作権限も非常に機密であるため、アクセス制御を実装する必要があります。
インターネット政府アプリケーションは、政府機関や機関の職員が使用する機能、およびインターネット電子メール システムを対象としています。ユーザーが比較的固定されているため、アクセス制御ポリシーを設定し、アクセスされる ip アドレス セグメントまたはデバイスにアクセス制限を実装することで、外部からの侵入を効果的に防ぐことができます。同時に、政府機関や機関の職員が海外でインターネット政府アプリケーションを使用する場合、そのアカウントとパスワードが盗まれ、悪用されやすいという事実を考慮して、「規則」では、本当に海外でアクセスする必要がある者は、ホワイトリストのアクセス権に従って、特定の期間、特定のデバイスまたはアカウントを開きます。
12. インターネット政府アプリケーションのアウトソーシング部門と職員のセキュリティ管理を強化するにはどうすればよいですか?
政府機関及び公的機関がインターネット政府アプリケーションの開発及び運用保守をアウトソーシング部門に委託する場合、インターネット政府アプリケーションのアウトソーシング部門及び要員の安全管理を強化しなければならない。1つは委託先を選ぶ際には、確かな技術力と安全保証能力を備えた委託先を選ぶ必要があります。2つ目は契約やその他の手段を使用して、ネットワークセキュリティ保護、セキュリティインシデントのタイムリーな対応と処理、定期的なセキュリティ評価と監査など、アウトソーシング部門が果たすべきネットワークとデータのセキュリティ責任を明確にし、日常の監督、管理、評価の責任を強化します。3つ目はデータのセキュリティと整合性を確保するために、契約に厳密に従ってデータを使用、保存、処理するアウトソーシング部門を監督します。4つ目は委託された政府機関および機関の同意がない限り、アウトソーシング部門は業務を下請けまたは下請けすることはできず、データにアクセス、変更、開示、利用、転送、または破壊することはできません。
同時に、インターネット政府アプリケーションの開発および運用保守が外部委託される場合、委託部門の外部委託サービス担当者には、インターネット政府にアクセスするための物理的な便宜(オンサイトサービスなど)または特定のシステムアクセス権が提供されます。アプリケーション。この目的を達成するには、機密データや主要なビジネスへのアクセスを効果的に制御および管理し、不正使用、漏洩、改ざん、または破壊を防ぐための厳格な許可されたアクセス メカニズムを確立する必要があります。オペレーティング システム、データベース、コンピュータ ルームなどの最高管理者権限は、部門の専任担当者が担当する必要があり、外部委託部門の担当者に許可なく管理および使用を委託してはなりません。必要最小限の原則に従って許可を取り消し、許可期間が終了した後は速やかに許可を取り消すものとする。
13. インターネット政府アプリケーション開発のセキュリティ管理を強化する必要がありますか?
開発段階で生成されるセキュリティ リスクは持続的かつ隠蔽されており、ソフトウェアのライフサイクル全体を通じてセキュリティ リスクを残し、インターネット政府アプリケーションの安全な運用を重大に危険にさらす可能性があります。したがって、インターネット政府アプリケーションの開発セキュリティ管理を強化し、需要分析、設計、コーディング、テスト、展開、保守などのソフトウェア開発のすべての段階でセキュリティ検出と保護措置を講じる必要があります。特に、オープンソースコードなどの外部コードの広範な使用によって生じる可能性のあるセキュリティリスクを考慮して、コードセキュリティ検査を組織して、コード内のセキュリティ脆弱性を迅速に発見し、適時に修復する必要があります。インターネット政府アプリケーションのセキュリティをソースから向上させます。
14. 個人や財産の安全、社会や公共の利益などに関連するインターネット政府アプリケーションや電子メール システムには、どのような id 認証対策を講じることができますか?
「規則」では、個人や財産の安全、社会や公共の利益などに関わるインターネット政府アプリケーションや電子メールシステムに対して本人認証対策を講じることを義務付けている。1つは多要素の識別。ユーザーは、ログイン時に身元を証明するために 2 つ以上の認証要素 (パスワード、指紋、携帯電話認証コードなど) を提供する必要があります。たとえ1つの要素がクラックされたとしても、他の要素は不正アクセスを防ぐことができ、より高いセキュリティを提供します。2つ目はシステムがタイムアウトして終了します。ユーザーが一定期間非アクティブになると、セッションは自動的に終了し、ユーザー アカウントは強制的にログアウトされ、他のユーザーがユーザーのログイン状態を利用して不正な操作を実行するのを防ぎます。3つ目はログイン試行の失敗回数を制限します。ユーザーが間違った認証情報を連続して複数回入力すると、システムはアカウントを一時的にロックするか、ブルート フォース クラッキングやパスワード推測などの攻撃を防ぐためのその他の措置を講じます。4つ目はアカウントは端末にバインドされています。アカウントを特定のデバイスまたは端末にバインドし、指定されたデバイスまたは端末でのみログインできるようにすることで、アカウントが盗まれた後に他のデバイスで不正な操作が行われることを防ぎます。同時に、「規則」では、電子証明書やその他の本人認証手段の利用を促進するための措置も提案されています。
15. 電子メールの自動転送と添付ファイルの自動ダウンロードをオフにする利点は何ですか?
政府機関などのインターネットメールシステムのメール自動転送機能をオフにすることで、メールボックス内の機密情報が知らないうちに不正な受信者に転送され、情報漏洩が発生することを防ぐことができます。添付ファイルの自動ダウンロード機能をオフにすると、ユーザーの確認なしにデバイスが悪意のある添付ファイルをダウンロードして実行することがなくなり、ウイルス、トロイの木馬、その他のマルウェアに感染するリスクが軽減されます。同時に、電子メールの自動転送と添付ファイルの自動ダウンロードをオフにすると、電子メールのフローと添付ファイルの処理をより効果的に追跡するのにも役立ちます。
16. インターネット政府アプリケーションの偽造品と戦うにはどうすればよいですか?
組織設立管理部門、ネットワーク情報部門、電気通信部門、公安機関が共同で偽造および偽造インターネット政府アプリケーションを取り締まります。1つは機関施設管理部門は、サイバーセキュリティおよび情報化部門と協力して、偽造インターネット政府アプリケーションのスキャンと監視を実施し、関連する苦情や報告を受け付けます。2つ目は偽造の疑いのある手がかりについては、組織施設管理部門が、関連するインターネット政府アプリケーション開発者が政府機関または機関であるかどうかを確認する責任があります。3つ目は本当に偽造である場合、ネットワーク情報部門は電気通信当局と協力し、法律に従ってドメイン名解決の停止、インターネット接続の遮断、オフライン処理などの措置を講じる。法律違反や犯罪の疑いがある場合は、法律に基づき公安機関が対処します。
17. 新規および既存のインターネット政府アプリケーションは「規制」の要件を実装していますか?
この「規制」は2024年7月1日に正式に施行される予定です。新たに開始されたインターネット政府事務アプリケーションについては、あらゆるレベルの政府機関および機関が「規則」の要件に厳密に従う必要があります。使用されているインターネット政府アプリケーションについては、あらゆるレベルの政府機関および機関が「規制」の要件に照らして自己検査を実施し、2024 年末までに問題の修正を完了する必要があります。中国サイバースペース局、中央臨時弁公室、工業情報化部、公安部は適時に「規制」の実施について監督・検査を実施する。
転載の際は出典を明記してください:「ネットワークチャイナ」wechat公式アカウント
