интерпретация «правил управления безопасностью государственных интернет-приложений»
2024-09-12
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
15 мая 2024 года четыре департамента, включая администрацию киберпространства китая, центральное временное управление, министерство промышленности и информационных технологий и министерство общественной безопасности, совместно объявили «положение об управлении безопасностью государственных интернет-приложений» (далее именуемые «регламент»). начиная с июля 2024 г. вступает в силу с 1 числа. целью опубликования «регламента» является повышение уровня защиты правительственных интернет-приложений, а также обеспечение и содействие безопасной и стабильной работе правительственных интернет-приложений.
1. какова сфера применения правил?
партийные и правительственные учреждения, а также государственные учреждения всех уровней (именуемые агентствами и государственными учреждениями) должны соблюдать эти правила при создании и эксплуатации правительственных интернет-приложений.
под органами в настоящем «положении» понимаются партийные органы, органы народного собрания, административные органы, органы нпкск, надзорные органы, судебные органы, органы прокуратуры и некоторые массовые организации. под публичными учреждениями в настоящем положении понимаются организации социального обслуживания, которые создаются государственными органами или иными организациями с использованием государственного имущества в целях социального обеспечения и занимаются образованием, наукой и техникой, культурой, здравоохранением и другой деятельностью.
термин «интернет-приложения для государственных дел», упомянутый в настоящих положениях, относится к порталам, созданным государственными органами и учреждениями в интернете, мобильным приложениям (в том числе мини-программам), публичным аккаунтам и т. д., которые предоставляют государственные услуги через интернет, а также системы электронной почты в интернете.
управление безопасностью интернет-порталов, мобильных приложений, публичных учетных записей и систем электронной почты, включенных в критически важную информационную инфраструктуру, должно осуществляться со ссылкой на соответствующее содержание настоящих правил.
2. почему партия и государственный орган могут открыть не более одного портала? в принципе, веб-сайт партийного и государственного учреждения может зарегистрировать только одно китайское доменное имя и одно английское доменное имя?
«уведомление главного управления государственного совета о выпуске руководящих указаний по разработке правительственных веб-сайтов» (гуобанфа [2017] № 47) требует, чтобы в принципе народные правительства на уровне уезда и выше, а также их департаменты могли открываться на максимум один веб-сайт на единицу. «уведомление главного управления государственного совета об усилении управления доменными именами правительственных веб-сайтов» (письмо государственного совета [2018] № 55) требует, чтобы в принципе правительственный веб-сайт мог зарегистрировать только одно китайское доменное имя и одно английское. имя домена если существует несколько доменных имен, соответствующих требованиям, необходимо четко определить основное доменное имя.
3. каковы особенности распространения мобильных приложений государственных органов и учреждений на зарегистрированных платформах распространения приложений или веб-сайтах государственных органов и учреждений?
мобильные приложения государственных учреждений и учреждений являются важными окнами для предоставления государственных услуг. они имеют большое количество посещений со стороны пользователей сети, имеют большое социальное влияние и высокий уровень доверия. они окажут неблагоприятное воздействие на общество и принесут еще больший вред. мобильные приложения, распространяемые на зарегистрированных платформах распространения приложений или веб-сайтах государственных органов и учреждений, прошли строгую проверку, чтобы гарантировать надежность источника и предотвратить подделку мобильных приложений государственных органов и учреждений из источника.
государственные учреждения и учреждения должны в соответствии с «правилами управления информационными услугами мобильных интернет-приложений» распространять мобильные приложения на зарегистрированной платформе распространения приложений, объявленной администрацией киберпространства китая, или распространять мобильные приложения на веб-сайтах агентств и учреждений. на данный момент объявлено два пакета списков из 49 платформ распространения приложений, завершивших регистрацию: 27 сентября 2023 года и 8 апреля 2024 года.
4. что такое электронная справка государственных органов и учреждений? как использовать электронный сертификат для подтверждения личности?
к электронным сертификатам государственных органов и государственных учреждений, упомянутым в настоящих правилах, относятся электронные сертификаты единого кода социального кредита, выдаваемые отделом управления институциональными учреждениями для государственных органов, а также электронные сертификаты государственных учреждений и юридических лиц, выдаваемые населению. учреждения, как их авторитетные удостоверения личности в киберпространстве. онлайн-сертификат личности государственных учреждений и государственных учреждений используется параллельно с государственным сертификатом единого кода социального кредита и сертификатом юридического лица государственных учреждений и имеет одинаковую юридическую силу.
согласно статье 7 «правила», когда государственные органы и учреждения распространяют мобильные приложения через платформы распространения приложений, они обязаны предоставлять электронные сертификаты или бумажные сертификаты операторам платформы для проверки личности в открытых weibo, публичных аккаунтах, видеоаккаунтах, прямых трансляциях; публичные учетные записи, такие как общедоступные учетные записи, должны предоставлять электронные сертификаты или бумажные сертификаты оператору платформы для проверки личности. государственные органы и учреждения, использующие электронные сертификаты для проверки личности, больше не будут предоставлять операторам интернет-платформ информацию о банковском счете, официальные письма от ведомства, информацию о личности законных представителей и другие вспомогательные материалы. чтобы поддержать использование электронных сертификатов для проверки личности, отдел управления учреждениями будет предоставлять услуги публичной проверки онлайн-личностей государственных учреждений и учреждений. операторы платформы имеют право использовать этот сервис для проверки личности государственных органов и учреждений.
в настоящее время центральный организационный офис активно готовится к проведению пилотной работы по стандартизации онлайн-управления идентификацией государственных органов и учреждений, а также ее поэтапной организации и продвижению. после реализации «правила» государственные органы и учреждения в пилотных регионах смогут сначала использовать электронные сертификаты для проверки личности. после завершения и полного развертывания пилотного проекта создание и эксплуатация правительственных интернет-приложений в правительственных учреждениях и учреждениях будет в основном проверять личность с помощью электронных сертификатов.
5. как в интернете называются правительственные учреждения и учреждения? каковы правила именования?
интернет-имена, упомянутые в настоящих правилах, относятся к именам, используемым государственными учреждениями и учреждениями в различных государственных интернет-приложениях, включая, помимо прочего, имена веб-сайтов, имена доменов веб-сайтов на китайском и английском языках, имена мобильных приложений (включая мини-программы) и общедоступные имена. имена учетных записей, доменное имя системы электронной почты и т. д.
интернет-имена — это своего рода наименования государственных учреждений и государственных учреждений. они должны отражать характеристики государственных учреждений и государственных учреждений и облегчать публичную идентификацию. поскольку текущие правила управления онлайн-названиями государственных учреждений и учреждений недостаточно надежны, некоторые правительственные интернет-приложения называются случайным образом, что затрудняет их идентификацию для общественности и открывает возможности для различных видов контрафактной деятельности. необходимо регулировать эту деятельность. онлайн-названия государственных учреждений и учреждений.
принцип наименования интернет-приложений для государственных дел отражен в статье 8 «положения», то есть в названии интернет-приложений для государственных дел приоритет отдается использованию названия организации-субъекта и стандартизированной аббревиатуры, если используются другие названия. в принципе, используется метод именования, состоящий из регионального названия и названия ответственности, и этот метод именования используется заметным образом. местоположение указывает на название объекта. центральный комитет коммунистической партии китая примет подробные меры по стандартизации названий правительственных интернет-приложений.
в настоящее время центральный организационный офис активно готовится к запуску пилотного проекта по стандартизации онлайн-управления идентификацией государственных учреждений и учреждений. государственные учреждения и учреждения, участвующие в пилотном проекте, подают заявки и используют онлайн-имена в соответствии с правилами присвоения имён в интернете. онлайн-имена, которые были использованы, они сообщат в отдел управления учреждением того же уровня. подайте заявку на одобрение. после завершения и полного развертывания пилотного проекта правила онлайн-именования постепенно будут распространяться на все правительственные интернет-приложения правительственных агентств и учреждений.
6. что такое онлайн-логотипы государственных учреждений и учреждений? как добавить онлайн-логотип?
термин «онлайн-логотип», упомянутый в настоящих «правилах», относится к электронному логотипу, выпускаемому единообразно после утверждения отделом управления организационным учреждением для обозначения категории агентства или государственного учреждения в киберпространстве.
чтобы помочь общественности точно и интуитивно идентифицировать правительственные учреждения и учреждения, а также предотвратить подделку правительственных интернет-приложений, необходимо создать эксклюзивные онлайн-логотипы для правительственных интернет-приложений. согласно статье 9 «положения», государственные органы и учреждения должны разместить онлайн-логотип посередине нижней части главной страницы своего сайта. администрация киберпространства китая совместно с центральным организационным офисом координирует платформу распространения приложений и платформу информационных услуг общедоступных учетных записей, а также размещает онлайн-логотипы на видных местах на страницах загрузки мобильных приложений и в общедоступных учетных записях.
в настоящее время центральный организационный офис активно готовится к проведению пилотной работы по стандартизации онлайн-управления идентификацией государственных органов и учреждений. в целях обеспечения эффективности и безопасности онлайн-идентификации в ходе пилотной работы сфера использования онлайн-идентификации ограничивается правительственными интернет-приложениями на пилотных территориях. после завершения пилотного проекта и его распространения среди широкой публики сфера использования онлайн-логотипов постепенно будет охватывать правительственные интернет-приложения по всей стране.
7. каковы основные соображения при создании сайтов партийных и государственных органов в интенсивной модели?
интенсивное строительство является эффективным средством повышения уровня профессионального управления эксплуатацией и техническим обслуживанием, а также защиты безопасности, выделения ключевых точек защиты и решения проблемы нехватки технических и человеческих ресурсов. оно также может помочь сэкономить средства на строительство и решить такие проблемы, как «. информационные острова» и «дымоходы данных». «уведомление главного управления государственного совета о выпуске руководящих указаний по разработке правительственных веб-сайтов» (государственное управление развития [2017] № 47) требует, чтобы разработка правительственных веб-сайтов следовала принципу интенсивного сохранения, укрепления в целом планирование и проектирование на высшем уровне, а также оптимизировать распределение технологий, средств, персонала и других элементов, избегать дублирования строительства, создавать скоординированный, стандартизированный и эффективный кластер правительственных веб-сайтов, достигать единого управления и единой защиты веб-сайта, а также улучшать комплексные возможности защиты сайта.
отделения уездных партийных и правительственных учреждений, а также поселковые партийные и правительственные учреждения обычно имеют недостатки в технических возможностях, возможностях защиты, средствах для строительства и обслуживания систем, профессиональных командах и т. д., что затрудняет обеспечение непрерывной безопасной работы веб-сайтов. таким образом, все отделы партийных и правительственных учреждений уездного уровня обязаны. в принципе, партийные и правительственные учреждения поселков не создают отдельные веб-сайты. они могут использовать платформу веб-сайтов партийных и государственных учреждений более высокого уровня для открытия веб-страниц и колонок. и опубликовать информацию.
8. почему правительственные интернет-приложения не должны быть привязаны к одной интернет-платформе?
интернет-приложения для государственных дел являются средством предоставления государственных услуг через интернет правительственными учреждениями и учреждениями. они должны обеспечивать равенство, всеобщую выгоду и удобство услуг, а также обеспечивать всем гражданам справедливый и доступный доступ к услугам. привязка интернет-приложений для государственных дел к единой интернет-платформе может привести к тому, что некоторые пользователи не смогут получить доступ к соответствующим государственным услугам, поскольку они не используют платформу, что приведет к неравенству в использовании услуг и образованию разрыва в использовании.
9. каковы требования безопасности для ссылок на правительственные приложения в интернете? как настроить подсказки для перехода по ссылкам на сайтах порталов партий и государственных учреждений?
в настоящее время использование внешних ссылок для осуществления вредоносных действий стало распространенным методом атаки для преступников. преступники могут перерегистрировать доменное имя веб-сайта, который не был отменен вовремя, и указать ссылку на веб-сайт на незаконные приложения, такие как порнография и т. д. азартные игры или вмешательство в законное доменное имя. адрес ссылки заменяется незаконным адресом приложения. ввиду этого правительственные учреждения и учреждения должны усилить проверки безопасности внешних ссылок.один из нихподтвердите содержание ссылки. контент, на который указывают ссылки в интернет-приложениях по делам правительства, должен быть серьезным, связанным с государственными делами и другой деятельностью, выполняющей функции, или входить в сферу удобных сервисов (например, предоставление прогнозов погоды и информации о пробках на дорогах).второйрегулярно проверяйте. правительственным органам и учреждениям следует составить список ссылок на правительственные интернет-приложения, поддерживать их в соответствии со списком, регулярно проверять достоверность и применимость ссылок и своевременно устранять аномальные ссылки.
в то же время, когда веб-сайт портала партийного и государственного органа переходит на веб-сайт беспартийного и государственного учреждения, при нажатии пользователем ссылки должно появиться четкое окно с подсказкой, например, подсказка «веб-страница перехожу на сайт беспартийного и государственного учреждения». каждая партия и государственный орган должны установить более строгие правила, основанные на собственных фактических условиях и требованиях управления. например, когда ссылка покидает веб-сайт партии и государственного органа, необходимо выдать единое уведомление и отказ от ответственности.
10. какие интернет-правительственные приложения должны соответствовать требованиям третьего уровня защиты уровня сетевой безопасности?
порталы центральных и государственных учреждений, местных партийных и правительственных учреждений на уровне префектуры или выше, а также веб-сайты правительственных учреждений и учреждений, на которых размещены важные бизнес-приложения, системы электронной почты в интернете и т. д., если содержимое веб-сайта подделано. или конфиденциальная информация будет украдена, это приведет к серьезным социальным последствиям. в случае каких-либо неблагоприятных последствий или путаницы в соответствии с требованиями действующих руководящих принципов защиты уровня сетевой безопасности уровень защиты сетевой безопасности должен быть установлен на уровень 3 и соответствующий уровень. должны быть обеспечены уровни безопасности.
11. необходимо ли устанавливать политику контроля доступа для правительственных интернет-приложений? как настроить функции приложения «интернет-правительство» для использования сотрудниками государственных органов и учреждений и права доступа к системе электронной почты интернета?
контроль доступа — это основная и важная мера защиты сетевой безопасности. он определяет, какие пользователи или устройства могут получить доступ к каким ресурсам и каким образом. правительственные интернет-приложения хранят большой объем ценных данных, а разрешения на работу связанных функций также очень чувствительны, поэтому необходимо реализовать контроль доступа.
правительственные интернет-приложения предназначены для функций, используемых сотрудниками государственных учреждений и учреждений, а также для систем электронной почты в интернете. поскольку их пользователи относительно фиксированы, установка политик контроля доступа и внедрение ограничений доступа к сегментам ip-адресов или устройствам, к которым осуществляется доступ, могут эффективно предотвратить внешние вторжения. в то же время, учитывая тот факт, что при использовании сотрудниками государственных органов и учреждений интернет-приложений за границей их учетные записи и пароли легко украсть и использовать злонамеренно, «регламент» требует, чтобы те, кому действительно нужен доступ за границу, должны были открывать определенные периоды времени, определенные устройства или учетные записи в соответствии с методом белого списка прав доступа.
12. как усилить управление безопасностью подразделений и персонала аутсорсинговых интернет-приложений правительства?
когда правительственные учреждения и государственные учреждения поручают аутсорсинговым подразделениям разработку, эксплуатацию и обслуживание правительственных интернет-приложений, они должны усилить управление безопасностью аутсорсинговых подразделений и персонала правительственных интернет-приложений.один из нихпри выборе аутсорсингового подразделения вам следует выбрать подразделение с определенной технической мощью и возможностями обеспечения безопасности.второйиспользуйте контракты и другие средства для уточнения обязанностей по обеспечению безопасности сети и данных, которые должны выполнять аутсорсинговые подразделения, такие как защита сетевой безопасности, своевременное реагирование и обработка инцидентов безопасности, регулярные оценки и аудиты безопасности, а также усиление ежедневного надзора, управления и подотчетности при оценке.третийконтролировать использование, хранение и обработку данных аутсорсинговыми подразделениями в строгом соответствии с соглашением для обеспечения безопасности и целостности данных.четвертыйбез согласия доверенных государственных органов и учреждений аутсорсинговые подразделения не могут заключать субподрядные или субподрядные задачи, а также не могут получать доступ, изменять, раскрывать, использовать, передавать или уничтожать данные.
в то же время, когда разработка, эксплуатация и обслуживание правительственных интернет-приложений передаются на аутсорсинг, аутсорсинговому обслуживающему персоналу вверенного подразделения будут предоставлены физические удобства (например, услуги на месте) или определенные права доступа к системе для доступа к интернет-правительству. приложения. с этой целью необходимо создать строгий механизм санкционированного доступа для эффективного контроля и управления доступом к конфиденциальным данным и ключевым предприятиям для предотвращения несанкционированного использования, утечки, фальсификации или уничтожения. высший администратор операционных систем, баз данных, компьютерных залов и т. д. должен отвечать за выделенный персонал подразделения и не должен быть передан аутсорсинговому персоналу подразделения для управления и использования без разрешения. персонал аутсорсингового подразделения должен быть уполномочен в уточнении; порядке в соответствии с принципом минимальной необходимости и должны быть незамедлительно отозваны после истечения срока действия разрешения.
13. необходимо ли усиливать управление безопасностью разработки государственных интернет-приложений?
риски безопасности, возникающие на этапе разработки, являются постоянными и скрытыми и могут оставлять риски безопасности на протяжении всего жизненного цикла программного обеспечения, серьезно ставя под угрозу безопасную работу правительственных интернет-приложений. таким образом, необходимо усилить управление безопасностью разработки государственных интернет-приложений, а также принять меры по обнаружению и защите безопасности на всех этапах разработки программного обеспечения, таких как анализ спроса, проектирование, кодирование, тестирование, развертывание и обслуживание. в частности, ввиду рисков безопасности, которые могут возникнуть в результате широкого использования внешних кодов, таких как код с открытым исходным кодом, следует организовать проверки безопасности кода для быстрого обнаружения уязвимостей безопасности в коде и своевременного их устранения, чтобы повысить безопасность правительственных интернет-приложений из источника.
14. какие меры аутентификации личности могут быть приняты для государственных интернет-приложений и систем электронной почты, связанных с безопасностью личности и имущества, социальными и общественными интересами и т. д.?
«правила» требуют, чтобы меры аутентификации личности были приняты для государственных интернет-приложений и систем электронной почты, связанных с личной и имущественной безопасностью, социальными и общественными интересами и т. д.один из нихмногофакторная идентификация. пользователи должны предоставить два или более факторов проверки (например, пароль, отпечаток пальца, код подтверждения мобильного телефона и т. д.) при входе в систему, чтобы подтвердить свою личность. даже если один из факторов взломан, другие факторы все равно могут предотвратить незаконный доступ, обеспечивая более высокий уровень безопасности.второйсистема истекает по тайм-ауту и завершает работу. после того, как пользователь неактивен в течение определенного периода времени, сеанс автоматически завершается, и учетная запись пользователя принудительно выходит из системы, чтобы другие не могли использовать статус входа пользователя для выполнения незаконных операций.третийограничьте количество неудачных попыток входа в систему. после того, как пользователь вводит неверную аутентификационную информацию несколько раз подряд, система временно блокирует учетную запись или принимает другие меры для предотвращения атак, таких как подбор грубой силы или подбор пароля.четвертыйаккаунт привязан к терминалу. привяжите учетную запись к определенному устройству или терминалу, чтобы в учетную запись можно было войти только на указанном устройстве или терминале, чтобы предотвратить незаконные операции на других устройствах после кражи учетной записи. в то же время «положение» также предлагает меры по поощрению использования электронных сертификатов и других мер аутентификации личности.
15. каковы преимущества отключения автоматической пересылки электронной почты и автоматической загрузки вложений?
отключение функции автоматической пересылки почты в системе электронной почты в интернете государственных органов и учреждений может предотвратить пересылку конфиденциальной информации в почтовом ящике неавторизованным получателям без ведома пользователя, что приведет к утечке информации. отключение функции автоматической загрузки вложений предотвращает загрузку и выполнение вредоносных вложений устройством без подтверждения пользователя, что снижает риск заражения вирусами, троянами или другими вредоносными программами. в то же время отключение автоматической пересылки электронных писем и автоматической загрузки вложений также поможет более эффективно отслеживать поток электронных писем и обработку вложений.
16. как бороться с контрафактом и поддельными правительственными интернет-приложениями?
отдел управления организационными структурами, отдел сетевой информации, отдел телекоммуникаций и агентство общественной безопасности совместно борются с поддельными и поддельными правительственными интернет-приложениями.один из нихдепартамент управления учреждениями совместно с отделом кибербезопасности и информатизации проводит сканирование и мониторинг поддельных государственных интернет-приложений и принимает соответствующие жалобы и отчеты.второйв случае подозрений на подделку отдел управления учреждениями организации несет ответственность за подтверждение того, является ли соответствующий разработчик правительственного интернет-приложения агентством или учреждением.третийесли это действительно подделка, отдел сетевой информации совместно с телекоммуникационными органами примет такие меры, как прекращение разрешения доменных имен, блокирование подключений к интернету и перевод обработки в офлайн-режиме в соответствии с законом. с лицами, подозреваемыми в нарушении законов и преступлениях, будут обращаться органы общественной безопасности в соответствии с законом.
17. соответствуют ли новые и существующие правительственные интернет-приложения требованиям «регламента»?
«положение» будет официально введено в действие 1 июля 2024 года. для вновь запускаемых интернет-приложений по государственным делам агентства и учреждения всех уровней должны строго следовать требованиям «регламента». в отношении используемых правительственных интернет-приложений агентства и учреждения всех уровней должны провести самопроверку на соответствие требованиям «правила» и завершить устранение проблем до конца 2024 года. администрация киберпространства китая, центральное временное управление, министерство промышленности и информационных технологий и министерство общественной безопасности будут своевременно проводить надзор и проверки выполнения «правил».
при перепечатке укажите источник: официальный аккаунт wechat «network china».
