域名解析暂停还可以打开吗_《互联网政务应用安全管理规定》解读

2024年5月15日，国家网信办、中央公安委员会、公安部等四部门联合公布了《互联网政务应用安全管理规定》（以下简称《规定》）。 》），自2024年7月1日起施行。制定《规定》的目的是提高互联网政务应用安全保护水平，保障和促进互联网政务应用安全稳定运行。

一、《条例》的适用范围是什么？

各级党政机关和事业单位（统称机关事业单位）建设、运营互联网政务应用，必须遵守本规定。

本条例所称机关，是指党的机关、人大机关、行政机关、政协机关、监察机关、司法机关、检察机关和一些群众团体。本条例所称事业单位，是指国家机关或者其他组织利用国有资产以公益为目的举办的，从事教育、科技、文化、卫生等活动的社会服务组织。

本条例所称互联网政务应用，是指政府机关、事业单位在互联网上设立的门户网站、移动应用程序（含小程序）、公众号等通过互联网提供公共服务的门户网站、移动应用程序（含小程序）、公众号等。以及互联网电子邮件系统。

关键信息基础设施中的互联网门户、移动应用、公众账号、电子邮件系统的安全管理参照本规定相关内容执行。

2、为什么一个党政机关最多只能开设一个门户？一个党政机关网站原则上只能注册一个中文域名和一个英文域名？

《国务院办公厅关于印发政府网站发展指引的通知》（国办发[2017]47号）要求，县级以上人民政府及其部门原则上可以开放政府网站每个单位最多一个网站。 《国务院办公厅关于加强政府网站域名管理的通知》（国函[2018]55号）要求，政府网站原则上只能注册1个中文域名、1个英文域名域名。如果有多个符合要求的域名，应明确主域名。

3、在已注册的机关事业单位应用分发平台或网站上分发机关事业单位移动应用程序有哪些考虑因素？

机关事业单位移动应用是公共服务的重要窗口。他们的网民访问量大，社会影响力大，公信力高。很容易成为仿冒的重点目标。一旦被仿冒，就会对社会产生不良影响，产生后果。危害更大。在已注册的机关事业单位应用分发平台或网站上发布的移动应用均经过严格审核，确保来源可信，从源头杜绝假冒机关事业单位移动应用。

机关、事业单位应当按照《移动互联网应用信息服务管理规定》在国家互联网信息办公室公布的经注册的应用分发平台上分发移动应用程序，或者在机关、公众网站上分发移动应用程序。机构。截至目前，已完成注册的两批49家应用分发平台名单已于2023年9月27日和2024年4月8日公布。

4、什么是机关事业单位电子证书？如何使用电子证书验证身份？

本条例所称机关事业单位电子证书，是指机关事业单位颁发的统一社会信用代码电子证书和事业单位颁发的事业单位法人电子证书，作为其在网络空间的权威身份证明。机关事业单位网上身份证明与政府统一社会信用代码证书、事业单位法人证书并行使用，具有同等效力。

根据《条例》第七条，机关事业单位通过应用分发平台分发移动应用程序时，应当向平台运营者提供电子证书或者纸质证书进行身份验证；开通微博、公众号、视频号、直播公众号等公众账号必须向平台运营者提供电子证书或纸质证书进行身份验证。使用电子证书进行身份验证的机关事业单位不再向互联网平台经营者提供银行账户信息、机构公函、法定代表人身份信息等证明材料。支持使用电子证书进行身份验证，提供机关事业单位网络身份公开验证服务。平台运营者被授权使用该服务来验证政府机关和机构的身份。

目前，中组办正在积极筹备开展规范机关事业单位网上身份管理试点工作，并逐点组织推广。 《规定》实施后，试点地区政府机关、事业单位可优先使用电子证书进行身份验证。试点完成并全面推广后，机关事业单位互联网政务应用的建设和运营将主要通过电子证书进行身份验证。

5、政府机关、事业单位的网上名称是什么？命名规则是什么？

本条例所称网络名称，是指机关事业单位在各类互联网政务应用中使用的名称，包括但不限于网站名称、网站中英文域名、移动应用（含小程序）名称、公众号等。帐户名称。以及电子邮件系统域名等。

网名是政府机关、事业单位名称的一种。应体现机关、事业单位的特点，便于公众识别。由于目前机关事业单位网上名称管理规则不够健全，一些互联网政务应用名称随意，公众难以识别，为各种假冒行为提供了可乘之机。要规范机关事业单位网上名称。

互联网政务应用的命名原则体现在《条例》第八条中，即互联网政务应用名称优先使用单位组织名称和规范简称。若使用其他名称，原则上采用地域名称加职责名称的命名方式，并突出使用名称。位置指示实体的名称。中央临时办公室将出台规范互联网政务应用名称的详细办法。

目前，中央办公厅正在积极筹备开展规范机关事业单位网上身份管理试点工作。参与试点的政府机关和事业单位按照网络名称命名规则申请和使用网络名称，对已使用的网络名称报同级审批。试点完成并全面推广后，网上命名规则将逐步覆盖机关事业单位所有互联网政务应用。

6、政府机关、事业单位的网上标识是什么？如何添加在线徽标？

本条例所称网络标识，是指经批准统一发布的、在网络空间表明机关、事业单位类别的电子标识。

为方便公众准确直观地识别政府机关事业单位，防止互联网政务应用被假冒，有必要设立互联网政务应用专属网上标识。根据《条例》第九条规定，机关事业单位应当在其网站首页底部正中添加上网标识。国家网信办会同中组办协调应用分发平台和公众账号信息服务平台，在移动应用下载页面和公众账号显着位置添加网络标识。

目前，中组办正在积极筹备开展规范机关事业单位网上身份管理试点工作。为保证在线身份识别的有效性和安全性，试点工作期间，在线身份识别的使用范围仅限于试点地区的互联网政务应用。试点完成并向社会推广后，网络标识使用范围将逐步覆盖全国互联网政务应用。

七、集约化建设党政机关网站的主要考虑因素有哪些？

集约化建设是提高专业运维管理和安全防护水平、突出防护重点、解决技术和人力资源短缺的有效手段。它还可以帮助节省建设资金，解决“信息孤岛”和“数据烟囱”等问题。 《国务院办公厅关于印发政府网站发展指引的通知》（国发办[2017]47号）要求政府网站发展必须遵循集约节约的原则，加强整体建设规划和顶层设计，优化技术、资金、人员等要素配置，避免重复建设，打造协调、规范、高效的政府网站集群，实现网站统一管理、统一保护，提高政府网站服务质量。全面的网站防护能力。

县级党政机关、乡镇党政机关通常在技术能力、安全防护能力、系统建设和维护资金、专业队伍等方面存在不足，难以保障网站持续安全运行。因此，要求县级党政机关部门原则上乡镇党政机关不单独建设网站。可以利用上级党政机关网站平台开设网页、专栏、发布信息。

8、为什么互联网政务应用不应该绑定单一互联网平台？

互联网政务应用是政府机关、事业单位通过互联网提供公共服务的载体。实现服务均等化、普惠化、便利化，保障所有公民公平、便捷地获得服务。将互联网政务应用绑定到单一互联网平台，可能会导致部分用户因不使用该平台而无法获得相关公共服务，从而造成服务使用不平等，形成使用差距。

9、互联网政务应用链路的安全要求有哪些？党政机关门户网站如何设置链接跳转提示？

目前，利用外部链接进行恶意活动已成为不法分子常见的攻击手段。不法分子可以重新注册未及时注销的网站域名，并将网站链接指向色情、赌博等非法应用，或篡改合法域名。链接地址被非法应用地址替换。鉴于此，政府机关、事业单位应加强对外链接的安全检查。首先是确认链接的内容。互联网政务应用中链接指向的内容应当严肃，与政务及其他履行职能的活动相关，或者属于便民服务范围（如提供天气预报、交通拥堵信息）。二是定期检查。机关事业单位应当建立互联网政务应用链接清单，按照清单进行维护，定期检查链接的有效性和适用性，及时处理异常链接。

同时，当党政机关门户网站跳转到非党政机关网站时，用户点击链接时应弹出清晰的提示窗口，如提示“该网页正在访问”。跳转到非党政机构网站。”各党政机关要根据自身实际情况和管理要求，制定更加严格的规定。例如，链接离开党政机关网站时，应当发布统一提示和免责声明。

十、哪些互联网政务应用应当符合网络安全等级保护三级安全防护要求？

中央和国家机关、地级以上地方党政机关门户网站，以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等，一旦网站内容被篡改或者敏感信息被窃取，都会造成严重的社会后果。如有不良影响或混乱，按照现行网络安全等级保护指南的要求，应将网络安全保护等级设为三级，并进行相应等级的安全保护。

11、互联网政务应用是否需要设置访问控制策略？如何设置机关事业单位工作人员使用的互联网政务应用的功能和互联网电子邮件系统的访问权限？

访问控制是保护网络安全的一项基本而重要的措施。它决定哪些用户或设备可以访问哪些资源以及如何访问。互联网政务应用存储了大量的高价值数据，相关功能的操作权限也非常敏感，因此需要实施访问控制。

互联网政务应用程序旨在提供政府机关和机构工作人员以及互联网电子邮件系统的工作人员使用的功能。由于其用户相对固定，设置访问控制策略，对访问的IP地址段或设备实施访问限制，可以有效防止外部入侵。同时，鉴于机关事业单位工作人员在境外使用互联网政务应用时，账号、密码容易被窃取和恶意使用，《规定》要求，确需境外接入的，必须开通特定的境外访问权限。时间段、特定设备或账户按照白名单方式。访问权。

十二、如何加强互联网政务应用外包单位和人员的安全管理？

机关事业单位委托外包单位进行互联网政务应用开发和运维时，应当加强对互联网政务应用外包单位和人员的安全管理。首先，在选择外包单位时，应选择具有一定技术实力和安全保障能力的单位。二是通过合同等方式明确外包单位应履行的网络与数据安全责任，如网络安全防护、安全事件及时响应和处理、定期安全评估和审计等，加强日常监督管理和审计。评估责任。三是督促外包单位严格按照协议使用、存储、处理数据，确保数据安全、完整。四是未经受委托的政府机关、事业单位同意，外包单位不得转包、分包任务，不得查阅、修改、披露、利用、转移、销毁数据。

同时，在互联网政务应用的开发和运维外包时，受托单位的外包服务人员将获得访问互联网政务应用的物理便利（如现场服务）或一定的系统访问权限。为此，应建立严格的授权访问机制，对敏感数据和关键业务的访问进行有效控制和管理，防止未经授权的使用、泄露、篡改或破坏。操作系统、数据库、机房等最高管理权限必须由本单位专人负责，不得擅自委托外包单位人员管理和使用；外包单位人员按照最低必要性原则精细化授权，授权期限届满后及时退出。权限。

十三、是否需要加强互联网政务应用开发的安全管理？

开发阶段产生的安全风险具有持久性和隐蔽性，可能在软件的整个生命周期留下安全隐患，严重危害互联网政务应用的安全运行。因此，应加强互联网政务应用的开发安全管理，在软件开发的需求分析、设计、编码、测试、部署、维护等各个阶段做好安全检测和防护措施。特别是针对开源代码等外部代码的大量使用可能产生的安全风险，应组织代码安全检查，及时发现代码中的安全漏洞并及时修复，从而从源头上提高互联网政务应用的安全性。

14、涉及人身财产安全、社会公共利益等的互联网政务应用、电子邮件系统可以采取哪些身份认证措施？

《条例》要求，涉及人身财产安全、社会公共利益等的互联网政务应用、电子邮件系统应当采取身份认证措施。一是多因素身份认证。用户登录时需要提供两个或多个验证因素（如密码、指纹、手机验证码等）以证明自己的身份。即使其中一个因素被破解，其他因素仍然可以防止非法访问，提供更高的安全性。二是系统超时退出。用户闲置一段时间后，自动结束会话并强制用户账号退出，防止他人利用用户的登录状态进行非法操作。三是限制登录失败次数。当用户连续多次输入错误的认证信息后，系统会暂时锁定账户或采取其他措施，防止暴力破解、猜测密码等攻击。四、账户与终端绑定。将账号绑定到特定的设备或终端，使账号只能在指定的设备或终端上登录，防止账号被盗后在其他设备上进行非法操作。同时，《条例》还提出了鼓励使用电子证书等身份认证措施的措施。

15. 关闭自动邮件转发和自动附件下载有什么好处？

关闭机关事业单位互联网电子邮件系统的自动邮件转发功能，可以防止邮箱中的敏感信息在用户不知情的情况下转发给未经授权的收件人，造成信息泄露。关闭自动附件下载功能可以防止设备在未经用户确认的情况下下载并执行恶意附件，降低被病毒、木马或其他恶意软件感染的风险。同时，关闭电子邮件的自动转发和附件的自动下载也有助于更有效地跟踪电子邮件的流向和附件的处理情况。

16、如何整治假冒伪劣互联网政务应用？

、网信部门、公安机关联合打击假冒伪劣互联网政务应用。一是会同网信部门开展假冒互联网政务应用扫描监测，受理相关投诉举报。二是负责确认相关互联网政务应用开发商是否为涉嫌造假线索的政府机关和事业单位。三是如果确实是假冒的，网信部门将依法联合采取停止域名解析、阻断互联网连接、采取下线措施等措施。涉嫌违法犯罪的，由公安机关依法予以处理。

十七、新增和现有互联网政务应用是否落实《条例》要求？

《条例》将于2024年7月1日正式实施。对于新推出的互联网政务应用，各级机关事业单位应严格按照《条例》要求执行。对正在使用的互联网政务应用，各级机关事业单位要按照《条例》要求进行自查，2024年底前完成问题整改。国家网信办、中央临办、工信部公安部将及时对《条例》的实施情况进行监督检查。