湖南省政府發展研究中心解讀《湖南省電子政務外網安全管理暫行辦法》

湖南省人民政府門戶網站 www.hunan.gov.cn 發布時間: 2020-09-01 15:51 【字體:

  一、出臺背景

  當前,電子政務外網安全現狀不容樂觀,隨時面臨著黑客入侵、非法訪問、病毒植入、惡意破壞等各種安全威脅,一旦發生問題,后果將不堪設想。為進一步明確各單位各部門的職責分工、運維管理、安全管理邊界等內容,努力確保我省電子政務外網安全穩定運行,我們編制了《湖南省電子政務外網安全管理暫行辦法》(以下簡稱《辦法》),主要基于以下三點考慮:一是國家層面有要求。習近平總書記多次強調,要高度重視網絡安全,防范網絡風險,增強網絡安全防護能力,對我們提出了工作要求。國家電子政務外網管理中心也發布了《國家電子政務外網網絡與信息安全管理暫行辦法》,要求各級政務外網管理部門加強安全管理。二是省級層面有部署。省委副書記、省長許達哲在多個場合指出,“網絡安全事關國家安全和高質量發展”,要緊緊圍繞新常態下信息化建設的要求,提升網絡安全保障能力”,這為我們抓好外網安全管理指明了方向。去年3月,省委常委、常務副省長謝建輝也對我中心提出了“要加強政務外網的管理,并編制政務外網安全管理辦法”的具體要求。我們根據兩位領導的指示,及時啟動了編制外網安全管理辦法的工作。三是落實層面有需要。近年來,我省政務外網建設發展迅速,到今年6月底,已經覆蓋全省所有行政村以上區域。使用廣度和頻次達到歷史新高,對政務外網的安全管理提出了更高要求。同時,我省的政務外網時刻面臨著安全威脅,我們統計過,2019年全年電子政務外網統一云平臺遭受到2880萬余次的安全攻擊,這是十分危險的,迫切需要制定安全管理辦法,加強管理應對突發情況,保證政務外網安全穩定運行。

  二、主要內容

  《辦法》分為總則、總體要求、職責分工、運維管理、接入管理、安全管理邊界、附則共計七大方面37個條款。

  (一)總則

  第一條提出編制《辦法》的依據。根據《中華人民共和國網絡安全法》等有關法律、法規,以及國家電子政務外網的各項標準規范,制定本辦法。

  第二條明確了省政務外網的組成。省政務外網是國家電子政務外網的組成部分,由省、市(州)、縣(市、區)、鄉(鎮、街道)、行政村(社區)五級政務外網組成,上聯國家,橫向連接各級黨委、人大、政府、政協、法院、檢察院及其所直屬各部門(單位),縱向覆蓋省、市(州)、縣(市、區)、鄉(鎮、街道)、行政村(社區)。

  第三條明確了《辦法》的適用范圍。本辦法適用本省政務外網建設運維安全管理單位,依托政務外網開展信息化系統建設的各級政務部門,以及接入各級政務外網的各單位。

  (二)總體要求

  第四條明確了各級政務外網建設運維安全管理單位(以下簡稱政務外網管理單位)的責任和義務。各級政務外網管理單位要嚴格落實網絡安全工作責任制,履行關鍵信息基礎設施的相關安全保護義務,做好采購產品和服務的安全評估工作,采取措施嚴格保護政務外網安全。

  第五、第六條明確了省、市政務外網的接入標準和要求。省級和市(州)級政務外網應達到等級保護2.0三級標準,縣級政務外網應達到等級保護2.0二級標準;接入政務外網的信息化系統正式對外提供服務之前,應當按照國家網絡安全等級保護制度要求,落實網絡安全主體責任和安全技術措施,完成等級保護測評備案、整改加固,通過驗收后方可正式上線提供服務。接入政務外網的信息化系統,應當使用由具備資格的機構檢測認證合格的商用密碼產品,進行加密保護和安全認證。

  (三)職責分工

  第七條明確省政務外網的建設和管理職能。省政務外網按照“誰管理誰負責、誰建設誰負責、誰使用誰負責、誰發布誰負責”的原則,分級建設、分級管理、各負其責。明確了省政府發展研究中心、省公安廳、省互聯網信息辦公室、各市(州)人民政府、縣(市、區)人民政府、接入省政務外網的單位的職能。接入政務外網的單位負責本單位局域網和接入政務外網的信息系統安全,負責本單位發布內容安全?! 「骷壵胀饩W使用單位應當確定至少兩名本單位工作人員作為政務外網安全聯系人,并且將聯系人名單提交給本級政務外網管理單位。

  第八條明確了安全責任。各級政務外網管理單位是本級政務外網的安全責任主體,各政務外網接入單位是本單位的安全責任主體。政務外網安全工作實行領導負責制,各級政務外網管理單位主要領導是本級政務外網安全第一責任人,分管政務外網的領導是直接責任人,各接入單位的主要領導是本單位外網安全的第一責任人。各運營商、承建商、運維公司、外包服務公司等按合同規定承擔相應的安全責任。

  第九條明確了制定安全管理制度的要求。各級政務外網管理單位應參照本辦法制定本級政務外網安全管理制度,并將制度報上一級政務外網管理單位進行備案。各政務外網接入單位應制定本單位的信息安全管理制度,并報本級政務外網管理單位備案。

  (四)運維管理

  第十條明確了政務外網的建設、運維和管理經費。各級政務外網管理單位應做好安全保障系統的規劃、設計和建設工作,落實好運行維護管理中的安全檢查、等級保護測評和風險評估等工作責任。各級財政應切實保障本級政務外網的建設、運維和安全管理經費。

  第十一條明確了網絡安全監控工作。各級政務外網管理單位要開展網絡安全監控工作,及時發現、定位、分析、處置安全事件,每6個月向上一級政務外網管理單位匯報網絡安全狀況。發生重大網絡安全事件的,應立即報告公安、網信、國安等信息安全主管職能部門。

  第十二、第十三條明確了應急和審計工作。各級政務外網管理單位都應組織制定本級政務外網網絡與信息安全應急預案,并定期開展應急演練。同時還要加強安全審計工作,審計記錄的保存時間不少于6個月。

  第十四條明確了安全檢查和風險評估。各級政務外網管理單位應當按照國家政務外網安全檢查和風險評估統一要求,定期組織開展網絡與信息安全自查與風險評估,并配合做好信息安全主管職能部門和上級政務外網管理單位要求的本級政務外網信息安全檢查和風險評估工作。各級政務外網管理單位應將本級政務外網自查結果及時報上一級政務外網管理單位。在自查中發現接入單位存在問題的,應責成存在問題的單位進行整改。對問題較嚴重的單位,原則上應立即斷開其政務外網連接,待整改完成后再重新接入。

  第十五條明確了信息安全通報制度。各級政務外網管理單位要建立信息安全定期通報制度,每3個月向上一級政務外網管理單位通報本級政務外網出現的信息安全事件。

  第十六、第十七、第十八條明確了管理人員的教育和管理原則。加強各級政務外網管理單位人員的信息安全教育,增強信息安全意識。各級政務外網管理單位每年至少對本級從事信息安全工作人員開展一次安全培訓,提高信息安全技能。對從事政務外網信息安全管理的人員按照“分工負責、職責明確、最小授權和任期有限”的原則進行管理。各級政務外網管理單位應設置系統管理、安全管理和安全審計崗位,負責網絡運行、安全和審計工作。系統管理員、安全管理員和安全審計員的權限設置應相互獨立、相互制約。

  第十九條明確了管理、使用政務外網的各級單位的保密工作要求。管理、使用政務外網的各級單位應當同運維機構簽訂保密協議,并且約定運維機構同運維人員個人簽訂保密協議。運維機構簽署的所有的保密協議都應當提交到政務外網的管理、使用單位備案。

  第二十條明確提出了政務外網管理單位應當對運維機構、人員進行安全審查,對人員準入進行規范。

  (五)接入管理

  第二十一、第二十二條明確了對接入政務外網的單位的要求。接入政務外網的單位,應統一使用政務外網的互聯網出口。如果單位確實需要獨立的互聯網出口,應報本級政務外網管理單位備案。各級政務外網管理單位部署在各接入單位的設備,由政務外網管理單位管理運維,各接入單位無權登錄,不得擅自關閉設備、修改配置。未經政務外網管理單位許可,各接入單位不得改變政務外網接口的網絡設備、結構和配置,不得在政務外網上搭接無線網絡設備。

  第二十三條明確了對接入政務外網的單位局域網或業務系統的要求。通過專線方式接入政務外網的單位局域網或業務系統,接入單位要保障本單位網絡系統的安全,應參照所接入政務外網的等級保護級別標準(二級或三級),按照國家等級保護工作要求,開展測評整改,明確接入網絡安全責任人,達到所接入政務外網的安全標準后,方能接入政務外網。專線接入政務外網的單位應防止本單位局域網內的設備對政務外網進行攻擊,如果出現這種情況,應立即與本級政務外網管理單位取得聯系,根據攻擊情況和應用系統影響范圍斷開政務外網連接,并進行溯源、查殺等安全處置。

  第二十四條、第二十五條明確了對單機接入政務外網和通過撥號或VPN方式接入政務外網的單位的要求。單機接入政務外網的,應明確安全責任人,保證接入政務外網的單機安全,避免中病毒木馬,避免成為攻擊外網的跳板,在發現接入外網的單機有異常情況時,應首先斷開與外網的連接,后立即對事故進行處置,并將異常情況及處置結果及時報送至本級政務外網管理單位。通過撥號或VPN方式接入政務外網的單位,應明確安全責任人,要保障接入賬號及接入終端的安全,避免非授權用戶獲取到賬號和密碼信息接入政務外網,避免含有惡意軟件的終端接入政務外網,接入政務外網后不得有危害政務外網安全的行為,在發現接入政務外網的終端有異常情況時,應首先斷開與政務外網的連接,防止危險擴散,然后立即對事故進行處置,并將異常情況及處置結果及時報送至本級外網管理單位。

  第二十六條明確了所有依托于政務外網運行的應用系統開放端口的要求。所有依托于政務外網運行的應用系統,所開放的端口應由使用單位提出要求并對每個端口的用途做出說明,經本級政務外網管理單位核準后開放。

  第二十七條明確了各單位獨立的業務專網如需與政務外網進行數據交換或遷入政務外網的要求。各單位如果有獨立的業務專網,并且業務專網需要與政務外網進行數據交換,使用單位應當自行在業務專網和政務外網之間部署隔離設備,并由各單位自行負責數據擺渡。

  將現有業務專網遷入政務外網內運行的單位,遷移方案須經過省政府發展研究中心同意。

  第二十八條明確了對各單位依托于政務外網新建業務專網的要求。各單位依托于省政務外網新建業務專網,應首先與本級政務外網管理單位進行溝通,建設方案須經過本級政務外網管理單位同意,并報省政府發展研究中心備案。

  第二十九條明確了對依托省政務外網運行的業務專網的要求。依托于省政務外網運行的業務專網,應當與政務外網內的其他專網互相隔離。

  (六)安全管理邊界

  第三十條明確了各級政務外網管理單位的責任。各級政務外網管理單位應防止本級政務外網內的設備攻擊本級以外政務外網,如果出現這種情況,故障設備所屬政務外網管理單位應負責進行溯源、查殺等安全處置。

  第三十一條明確了接入政務外網的單位的責任。所有接入政務外網的單位需保障本單位內部的服務器、虛擬機和終端的安全,避免引入病毒或木馬,需保障本單位所轄的賬戶的安全,避免賬戶信息泄漏,對所轄賬戶的所有操作負責。接入政務外網的單位應防止本單位局域網設備攻擊本級政務外網或本級以外政務外網,如果出現這種情況,該接入單位應負責進行溯源、查殺等安全處置。

  第三十二條明確了使用和應用規定。使用省級政務外網網絡、云平臺、大數據平臺及其他基礎設施的單位,應嚴格控制所申請資源的使用范圍,不得利用省級政務外網的網絡、算力、存儲、數據、基礎設施等資源開展批準范圍之外的應用。

  第三十三條明確了省直單位的責任。使用省級政務外網統一云平臺部署應用系統的省直單位,負責虛擬主機的操作系統、中間件及應用系統的安全和數據安全,并應對該系統的訪問控制進行優化,提出最小化開放策略。

  第三十四、第三十五、三十六條明確了利用政務外網的單位的責任。設備托管在政務外網機房的單位,要保障托管設備及其系統層、應用層的安全和數據安全。利用政務外網的機房、設備搭建業務專網的單位,要保障該專網的安全。利用省級政務外網短信網關、網站集約化平臺、郵件系統等基礎設施平臺發布信息的單位,對本單位發布的信息內容負責。

  三、主要特點

  一是起草依據充足。根據《中華人民共和國網絡安全法》等有關法律、法規、政策、標準,以及國家電子政務外網的各項標準規范,來編制本《辦法》。

  二是職責分工明確。確立了政務外網的建設和管理原則,明確了省政府發展研究中心、省公安廳、省互聯網信息辦公室、各市(州)人民政府、縣(市、區)人民政府、接入省政務外網的單位的職責,強化了安全責任主體。

  三是安全管理邊界劃分到位。對各級政務外網管理單位、接入政務外網的單位、利用政務外網資源的單位的安全管理邊界提出了明確的要求,邊界劃分細致、周全到位。

  四是安全措施有力?!掇k法》中總體要求具體,明確了各級外網管理單位的責任和義務以及省、市政務外網的接入標準和要求,細化了運維管理、接入管理的安全保護措施,明確了安全責任人,有力地保障了安全責任扎扎實實的落實。

信息來源: 湖南省政府發展研究中心     責任編輯: 宛俊余
打印 收藏
相關閱讀