interpretação dos "regulamentos de gerenciamento de segurança de aplicativos governamentais da internet"
2024-09-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
em 15 de maio de 2024, quatro departamentos, incluindo a administração do ciberespaço da china, o escritório central provisório, o ministério da indústria e tecnologia da informação e o ministério da segurança pública anunciaram conjuntamente os "regulamentos sobre o gerenciamento de segurança de aplicações governamentais da internet" (doravante denominados referido como "regulamento"). a partir de julho de 2024 em vigor a partir de 1º. o objetivo da promulgação dos "regulamentos" é melhorar o nível de proteção de segurança dos aplicativos governamentais da internet e garantir e promover a operação segura e estável dos aplicativos governamentais da internet.
1. qual o âmbito de aplicação do regulamento?
as agências governamentais e partidárias e as instituições públicas em todos os níveis (referidas como agências e instituições públicas) devem cumprir estes regulamentos ao criar e operar aplicações governamentais na internet.
os órgãos nestes "regulamentos" referem-se aos órgãos do partido, órgãos do congresso popular, órgãos administrativos, órgãos da ccppc, órgãos de supervisão, órgãos judiciais, órgãos de procuradoria e algumas organizações de massas. as instituições públicas nestes regulamentos referem-se a organizações de serviço social organizadas por agências estatais ou outras organizações que utilizam activos estatais para fins de bem-estar social e se dedicam à educação, ciência e tecnologia, cultura, saúde e outras actividades.
o termo "aplicativos de assuntos governamentais na internet", conforme mencionado neste regulamento, refere-se a portais estabelecidos por agências e instituições governamentais na internet, aplicativos móveis (incluindo miniprogramas), contas públicas, etc. que fornecem serviços públicos através da internet, bem como sistemas de e-mail da internet.
a gestão da segurança de portais de internet, aplicações móveis, contas públicas e sistemas de e-mail incluídos em infraestruturas críticas de informação será implementada com referência ao conteúdo relevante deste regulamento.
2. por que um partido e órgão governamental pode abrir no máximo um portal? em princípio, um site de partido e agência governamental só pode registrar um nome de domínio chinês e um nome de domínio em inglês?
o "aviso do gabinete geral do conselho de estado sobre a emissão de diretrizes para o desenvolvimento de sites governamentais" (guobanfa [2017] no. 47) exige que, em princípio, os governos populares no nível do condado e acima dele e seus departamentos possam abrir em no máximo um site por unidade. o "aviso do gabinete geral do conselho de estado sobre o fortalecimento da gestão de nomes de domínio de sites governamentais" (carta do conselho de estado [2018] no. 55) exige que, em princípio, um site governamental só possa registrar um nome de domínio chinês e um inglês. nome de domínio. se houver vários nomes de domínio que atendam aos requisitos, o nome de domínio primário deve ser claramente definido.
3. quais são as considerações para a distribuição de aplicações móveis de agências e instituições governamentais em plataformas de distribuição de aplicações registadas ou websites de agências e instituições governamentais?
os aplicativos móveis de agências e instituições governamentais são janelas importantes para os serviços públicos. eles recebem um grande número de visitas de internautas, têm grande influência social e têm alta credibilidade. terão efeitos adversos na sociedade e produzirão consequências ainda maiores. os aplicativos móveis distribuídos em plataformas de distribuição de aplicativos registradas ou sites de agências e instituições governamentais foram submetidos a uma revisão rigorosa para garantir que a fonte seja confiável e que a falsificação de aplicativos móveis de agências e instituições governamentais possa ser evitada a partir da fonte.
as agências governamentais e instituições públicas deverão, de acordo com os "regulamentos de gerenciamento de serviços de informações de aplicativos de internet móvel", distribuir aplicativos móveis na plataforma de distribuição de aplicativos registrada anunciada pela administração do ciberespaço da china, ou distribuir aplicativos móveis nos sites de agências governamentais e públicas instituições. a partir de agora, dois lotes de listas de 49 plataformas de distribuição de aplicativos que concluíram o registro foram anunciados em 27 de setembro de 2023 e 8 de abril de 2024.
4. o que é o certificado eletrônico de órgãos e instituições governamentais? como usar o certificado eletrônico para verificar a identidade?
os certificados eletrónicos de órgãos governamentais e instituições públicas referidos neste regulamento referem-se aos certificados eletrónicos do código de crédito social unificado emitidos pelo departamento de gestão de estabelecimentos institucionais para os órgãos governamentais, bem como aos certificados eletrónicos de instituições públicas e pessoas coletivas emitidos para entidades públicas instituições, como seus certificados de identidade oficiais no ciberespaço. o certificado de identidade online de agências governamentais e instituições públicas é usado em paralelo com o certificado do código de crédito social unificado do governo e o certificado de pessoa jurídica de instituições públicas e tem o mesmo efeito.
de acordo com o artigo 7 do “regulamento”, quando agências e instituições governamentais distribuem aplicativos móveis por meio de plataformas de distribuição de aplicativos, devem fornecer certificados eletrônicos ou certificados em papel aos operadores da plataforma para verificação de identidade aberta, contas públicas, contas de vídeo, transmissões ao vivo; contas públicas, como contas públicas, devem fornecer certificados eletrônicos ou certificados em papel ao operador da plataforma para verificação de identidade. agências e instituições governamentais que utilizam certificados eletrônicos para verificação de identidade não fornecerão mais informações de contas bancárias, cartas oficiais da agência, informações de identidade de representantes legais e outros materiais de apoio aos operadores de plataformas de internet. a fim de apoiar a utilização de certificados electrónicos para verificação de identidade, o departamento de gestão de estabelecimentos institucionais fornecerá serviços de verificação pública de identidades online de agências e instituições governamentais. os operadores da plataforma estão autorizados a utilizar este serviço para verificar a identidade de agências e instituições governamentais.
actualmente, o gabinete de organização central está a preparar-se activamente para realizar um trabalho piloto para padronizar a gestão de identidade online de agências e instituições governamentais, e organizá-la e promovê-la ponto a ponto. depois que os “regulamentos” forem implementados, as agências governamentais e instituições em áreas piloto poderão primeiro usar certificados eletrônicos para verificação de identidade. depois que o piloto for concluído e totalmente implementado, a construção e operação de aplicativos governamentais da internet em agências e instituições governamentais verificarão principalmente a identidade por meio de certificados eletrônicos.
5. qual é o nome online das agências e instituições governamentais? quais são as regras de nomenclatura?
os nomes on-line mencionados nestes regulamentos referem-se aos nomes usados por agências e instituições governamentais em diversas aplicações governamentais da internet, incluindo, entre outros, nomes de sites, nomes de domínio de sites em chinês e inglês, nomes de aplicativos móveis (incluindo miniprogramas) e nomes públicos. nomes de contas e nome de domínio do sistema de e-mail, etc.
os nomes online são um tipo de nome para agências governamentais e instituições públicas. devem refletir as características das agências governamentais e instituições públicas e facilitar a identificação pública. dado que as atuais regras de gestão dos nomes online de agências e instituições governamentais não são suficientemente sólidas, algumas aplicações governamentais da internet são nomeadas aleatoriamente, dificultando a sua identificação pelo público e proporcionando oportunidades para vários comportamentos de falsificação. nomes online de agências e instituições governamentais.
o princípio de nomenclatura dos aplicativos de assuntos governamentais da internet está refletido no artigo 8 do “regulamento”, ou seja, o nome dos aplicativos de assuntos governamentais da internet tem prioridade para usar o nome da entidade e a abreviatura padronizada se outros nomes forem usados. , em princípio, é adotado o método de nomenclatura de nome regional mais nome de responsabilidade, e o nome é usado com destaque. a localização indica o nome da entidade. o comitê central do partido comunista da china emitirá medidas detalhadas para padronizar os nomes dos aplicativos de assuntos governamentais da internet.
actualmente, o gabinete da organização central está a preparar-se activamente para lançar um projecto piloto para padronizar a gestão de identidade online de agências e instituições governamentais que participam no piloto para solicitar e utilizar nomes online de acordo com as regras de nomenclatura online. nomes on-line que foram usados, eles reportarão ao departamento de gerenciamento do estabelecimento da instituição do mesmo nível. depois que o piloto for concluído e totalmente implementado, as regras de nomenclatura on-line cobrirão gradualmente todas as aplicações governamentais de agências e instituições governamentais na internet.
6. qual é o logotipo online das agências e instituições governamentais? como adicionar um logotipo online?
o termo “logotipo online” mencionado neste “regulamento” refere-se ao logotipo eletrônico emitido uniformemente após aprovação pelo departamento de gestão do estabelecimento organizacional para indicar a categoria de agência ou instituição pública no ciberespaço.
a fim de facilitar ao público a identificação precisa e intuitiva de agências e instituições governamentais, e para evitar a falsificação de aplicações governamentais na internet, é necessário criar logotipos online exclusivos para aplicações governamentais na internet. de acordo com o artigo 9 do “regulamento”, as agências e instituições governamentais devem adicionar um logotipo online no meio da parte inferior da página inicial do seu site. a administração do ciberespaço da china, em conjunto com o escritório central da organização, coordena a plataforma de distribuição de aplicativos e a plataforma de serviços de informações de contas públicas e adiciona logotipos online em locais de destaque nas páginas de download de aplicativos móveis e nas contas públicas.
actualmente, o gabinete central da organização está a preparar-se activamente para realizar um trabalho piloto para padronizar a gestão de identidade online de agências e instituições governamentais. a fim de garantir a eficácia e segurança da identificação online, durante o trabalho piloto, o âmbito de utilização da identificação online é limitado a aplicações governamentais da internet nas áreas piloto. depois que o piloto for concluído e lançado ao público em geral, o escopo do uso de logotipos on-line cobrirá gradualmente as aplicações governamentais da internet em todo o país.
7. quais são as principais considerações para a construção dos sites dos partidos e das agências governamentais num modelo intensivo?
a construção intensiva é um meio eficaz para melhorar o nível de gestão profissional de operação e manutenção e proteção de segurança, destacar os pontos-chave de proteção e resolver a escassez de recursos técnicos e humanos. também pode ajudar a economizar fundos de construção e resolver problemas como ". ilhas de informação" e "chaminés de dados". o "aviso da secretaria geral do conselho de estado sobre a emissão das diretrizes para o desenvolvimento de sites governamentais" (gabinete de desenvolvimento do estado [2017] no. 47) exige que o desenvolvimento de sites governamentais siga o princípio da conservação intensiva, fortaleça globalmente planejamento e design de alto nível e otimizar a alocação de tecnologia, fundos, pessoal e outros elementos, evitar duplicação de construção, criar um cluster de sites governamentais coordenado, padronizado e eficiente, alcançar gerenciamento unificado e proteção unificada do site e melhorar o capacidades de proteção abrangentes do site.
departamentos de agências governamentais e partidárias em nível de condado e agências governamentais e partidárias municipais geralmente têm deficiências em capacidades técnicas, capacidades de proteção de segurança, fundos de construção e manutenção de sistemas e equipes profissionais, etc., tornando difícil garantir a operação segura contínua de sites portanto, todos os departamentos do partido e das agências governamentais em nível de condado são obrigados a. em princípio, o partido municipal e as agências governamentais não criam sites separados. eles podem usar a plataforma do site do partido e das agências governamentais de nível superior para abrir páginas da web e colunas. e publicar informações.
8. por que as aplicações governamentais da internet não deveriam estar vinculadas a uma única plataforma da internet?
as aplicações de assuntos governamentais na internet são o meio para que as agências e instituições governamentais forneçam serviços públicos através da internet. devem garantir a equalização, o benefício universal e a conveniência dos serviços, e garantir que todos os cidadãos tenham acesso justo e acessível aos serviços. vincular aplicações de assuntos governamentais da internet a uma única plataforma da internet pode fazer com que alguns utilizadores não consigam aceder a serviços públicos relevantes porque não utilizam a plataforma, causando assim desigualdade na utilização dos serviços e formando uma lacuna de utilização.
9. quais são os requisitos de segurança para links de aplicativos governamentais da internet? como configurar prompts de salto de link para sites de portais de agências governamentais e de partidos?
atualmente, o uso de links externos para realizar atividades maliciosas tornou-se um método de ataque comum para criminosos. os criminosos podem registrar novamente o nome de domínio de um site que não foi cancelado a tempo e apontar o link do site para aplicativos ilegais, como pornografia e. jogos de azar ou adulteração do nome de domínio legítimo. o endereço do link é substituído por um endereço de aplicativo ilegal. tendo isto em conta, as agências e instituições governamentais devem reforçar as inspeções de segurança das ligações externas.um éconfirme o conteúdo do link. o conteúdo apontado pelos links nas aplicações de assuntos governamentais da internet deve ser sério, relacionado a assuntos governamentais e outras atividades que desempenham funções, ou enquadrar-se no âmbito de serviços convenientes (como fornecer previsões meteorológicas e informações sobre congestionamentos de tráfego).o segundo éverifique regularmente. as agências e instituições governamentais devem estabelecer uma lista de links de aplicativos governamentais da internet, mantê-los de acordo com a lista, verificar regularmente a validade e aplicabilidade dos links e lidar com links anormais em tempo hábil.
ao mesmo tempo, quando o site do portal de um partido e agência governamental passa para um site de uma agência governamental e não partidária, uma janela de aviso clara deve aparecer quando o usuário clica no link, como o prompt "a página da web é acessando o site de uma agência governamental e não partidária." cada partido e agência governamental deve estabelecer regulamentos mais rigorosos com base nas suas próprias condições reais e requisitos de gestão. por exemplo, quando um link sai do website do partido e da agência governamental, deve ser emitida uma notificação e isenção de responsabilidade unificadas.
10. quais aplicativos governamentais da internet devem atender aos requisitos de proteção de segurança de terceiro nível do nível de proteção de rede?
os portais de agências centrais e estaduais, partidos locais e agências governamentais de nível municipal ou superior, bem como os sites de agências e instituições governamentais que carregam aplicativos de negócios importantes, sistemas de e-mail da internet, etc., uma vez que o conteúdo do site seja adulterado. ou informações confidenciais forem roubadas, isso causará graves consequências sociais. se houver qualquer impacto adverso ou confusão, de acordo com os requisitos das atuais diretrizes de proteção do nível de segurança da rede, o nível de proteção de segurança da rede deve ser definido como nível 3 e correspondente. níveis de proteção de segurança devem ser realizados.
11. é necessário definir políticas de controle de acesso para aplicações governamentais na internet? como definir as funções do aplicativo governamental da internet para uso de funcionários de agências e instituições governamentais e os direitos de acesso ao sistema de e-mail da internet?
o controle de acesso é uma medida básica e importante para proteger a segurança da rede. ele determina quais usuários ou dispositivos podem acessar quais recursos e como. os aplicativos governamentais da internet armazenam uma grande quantidade de dados de alto valor, e as permissões de operação das funções relacionadas também são muito sensíveis, por isso é necessário implementar o controle de acesso.
os aplicativos governamentais da internet destinam-se a funções utilizadas por funcionários de agências e instituições governamentais e sistemas de e-mail da internet. como seus usuários são relativamente fixos, a definição de políticas de controle de acesso e a implementação de restrições de acesso em segmentos ou dispositivos de endereços ip acessados podem prevenir eficazmente invasões externas. ao mesmo tempo, tendo em conta o facto de que quando funcionários de agências e instituições governamentais utilizam aplicações governamentais da internet no estrangeiro, as suas contas e palavras-passe são fáceis de serem roubadas e utilizadas maliciosamente, os "regulamentos" exigem que aqueles que realmente necessitam de acesso no estrangeiro devem abra períodos de tempo específicos, dispositivos ou contas específicas de acordo com o método de lista de permissões.
12. como fortalecer a gestão da segurança das unidades e do pessoal de terceirização de aplicativos governamentais da internet?
quando agências governamentais e instituições públicas confiam a unidades de terceirização para realizar o desenvolvimento, operação e manutenção de aplicativos governamentais da internet, elas devem fortalecer o gerenciamento de segurança das unidades e do pessoal de terceirização de aplicativos governamentais da internet.um éao escolher uma unidade terceirizada, você deve escolher uma unidade com certa resistência técnica e capacidade de garantia de segurança.o segundo éutilizar contratos e outros meios para clarificar as responsabilidades de segurança da rede e dos dados que as unidades terceirizadas devem desempenhar, tais como proteção da segurança da rede, resposta atempada e tratamento de incidentes de segurança, avaliações e auditorias regulares de segurança, e reforçar a supervisão diária, a gestão e a responsabilidade pela avaliação.o terceiro ésupervisionar unidades terceirizadas para usar, armazenar e processar dados em estrita conformidade com o contrato para garantir a segurança e integridade dos dados.o quarto ésem o consentimento das agências e instituições governamentais responsáveis, as unidades terceirizadas não podem subcontratar ou subcontratar tarefas e não podem acessar, modificar, divulgar, utilizar, transferir ou destruir dados.
ao mesmo tempo, quando o desenvolvimento, a operação e a manutenção de aplicativos governamentais da internet forem terceirizados, o pessoal de serviço terceirizado da unidade confiada receberá conveniências físicas (como serviços no local) ou certos direitos de acesso ao sistema para acessar o governo da internet. aplicações. para este efeito, deverá ser estabelecido um mecanismo estrito de acesso autorizado para controlar e gerir eficazmente o acesso a dados sensíveis e a empresas-chave, a fim de evitar a utilização não autorizada, fuga, adulteração ou destruição. a mais alta autoridade administrativa do sistema operacional, banco de dados, sala de informática, etc. deve ser administrada por pessoal dedicado da unidade, e o pessoal da unidade terceirizada não deve ser encarregado de gerenciá-lo e usá-lo sem autorização; ser autorizado de forma refinada, de acordo com o princípio da necessidade mínima, e ser prontamente retirado após o término do período de autorização.
13. é necessário fortalecer a gestão da segurança do desenvolvimento de aplicações governamentais na internet?
os riscos de segurança gerados durante a fase de desenvolvimento são persistentes e ocultos e podem deixar riscos de segurança durante todo o ciclo de vida do software, colocando seriamente em risco a operação segura das aplicações governamentais da internet. portanto, a gestão da segurança do desenvolvimento de aplicações governamentais da internet deve ser fortalecida, e a detecção de segurança e medidas de proteção devem ser tomadas em todas as fases do desenvolvimento de software, tais como análise de demanda, design, codificação, teste, implantação e manutenção. em particular, tendo em conta os riscos de segurança que podem surgir da utilização extensiva de códigos externos, como o código-fonte aberto, devem ser organizadas inspeções de segurança do código para descobrir prontamente vulnerabilidades de segurança no código e repará-las em tempo útil, de modo a melhorar a segurança dos aplicativos governamentais da internet desde a fonte.
14. que medidas de autenticação de identidade podem ser tomadas para aplicações governamentais da internet e sistemas de e-mail relacionados à segurança pessoal e patrimonial, aos interesses sociais e públicos, etc.?
os "regulamentos" exigem que sejam tomadas medidas de autenticação de identidade para aplicações governamentais da internet e sistemas de e-mail relacionados à segurança pessoal e patrimonial, interesses sociais e públicos, etc.um éidentificação multifatorial. os usuários são obrigados a fornecer dois ou mais fatores de verificação (como senha, impressão digital, código de verificação do telefone celular, etc.) ao fazer login para provar sua identidade. mesmo que um dos fatores seja quebrado, os outros fatores ainda podem impedir o acesso ilegal, proporcionando maior segurança.o segundo éo sistema atinge o tempo limite e sai. depois que o usuário fica inativo por um período de tempo, a sessão é encerrada automaticamente e a conta do usuário é forçada a sair para evitar que outras pessoas usem o status de login do usuário para realizar operações ilegais.o terceiro élimite o número de tentativas de login malsucedidas. depois que um usuário insere informações de autenticação incorretas várias vezes seguidas, o sistema bloqueia temporariamente a conta ou toma outras medidas para evitar ataques, como quebra de força bruta ou adivinhação de senha.o quarto éa conta está vinculada ao terminal. vincule a conta a um dispositivo ou terminal específico para que a conta só possa ser conectada no dispositivo ou terminal designado para evitar operações ilegais em outros dispositivos após o roubo da conta. ao mesmo tempo, os “regulamentos” também propõem medidas para incentivar a utilização de medidas de autenticação de identidade, como certificados eletrónicos.
15. quais são os benefícios de desativar o encaminhamento automático de e-mail e o download automático de anexos?
desativar a função de encaminhamento automático de correio do sistema de e-mail da internet de agências e instituições governamentais pode impedir que informações confidenciais na caixa de correio sejam encaminhadas para destinatários não autorizados sem o conhecimento do usuário, causando vazamento de informações. desativar a função de download automático de anexos evita que o dispositivo baixe e execute anexos maliciosos sem a confirmação do usuário, reduzindo o risco de infecção por vírus, cavalos de tróia ou outros malwares. ao mesmo tempo, desligar o encaminhamento automático de e-mails e o download automático de anexos também ajudará a rastrear de forma mais eficaz o fluxo de e-mails e o processamento de anexos.
16. como combater aplicativos governamentais falsificados e falsificados na internet?
o departamento de gerenciamento de estabelecimento organizacional, o departamento de informações de rede, o departamento de telecomunicações e a agência de segurança pública reprimem em conjunto os aplicativos governamentais de internet falsificados e falsificados.um éo departamento de gestão de estabelecimentos institucionais, em conjunto com o departamento de cibersegurança e informatização, realiza a digitalização e monitorização de aplicações governamentais falsificadas na internet e aceita reclamações e relatórios relevantes.o segundo épara pistas suspeitas de falsificação, o departamento de gestão do estabelecimento organizacional é responsável por confirmar se o desenvolvedor de aplicativos governamentais da internet relevante é uma agência ou instituição.o terceiro ése for de facto falsificação, o departamento de informação de rede, juntamente com as autoridades de telecomunicações, tomará medidas como interromper a resolução de nomes de domínio, bloquear ligações à internet e colocar o processamento offline de acordo com a lei. os suspeitos de violar leis e crimes serão atendidos pelos órgãos de segurança pública nos termos da lei.
17. as aplicações governamentais da internet, novas e existentes, implementam os requisitos dos "regulamentos"?
o “regulamento” será implementado oficialmente em 1º de julho de 2024. para aplicações de assuntos governamentais na internet recém-lançadas, as agências e instituições em todos os níveis devem seguir rigorosamente os requisitos dos "regulamentos". para as aplicações governamentais da internet em uso, as agências e instituições em todos os níveis devem realizar autoexames em relação aos requisitos dos "regulamentos" e concluir a retificação do problema antes do final de 2024. a administração do ciberespaço da china, o gabinete central provisório, o ministério da indústria e tecnologia da informação e o ministério da segurança pública conduzirão supervisão e inspeções sobre a implementação dos "regulamentos" em tempo hábil.
por favor, indique a fonte ao reimprimir: conta oficial do wechat "network china"
