為保障互聯網政務應用安全，由中央網絡安全和信息化委員會辦公室、中央機構編制委員會辦公室、工業和信息化部、公安部制定的《互聯網政務應用安全管理規定》近日印發，自2024年7月1日起施行。

規定共8章，包括總則、開辦和建設、信息安全、網絡和數據安全、電子郵件安全、監測預警和應急處置、監督管理以及附則。其中，第三章“信息安全”要求互聯網政務應用在發布、轉載信息時應建立健全審核制度，確保信息的權威性、真實性、準確性、及時性和嚴肅性，并且要合規。第五章“電子郵件安全”要求郵箱從建立到賬號的流轉、郵件內容和訪問、存儲都應遵守安全、合規、保密等規定。第六章“監測預警和應急處置”則要求黨政機關事業單位建立健全行政手段，開展安全監測和應急處置。

本篇文章主要解讀第四章“網絡和數據安全”中的身份認證和審計合規內容，以期為機關事業單位提供解決方案參考。

第十七條

“建設互聯網政務應用應當落實網絡安全等級保護制度和國家密碼應用管理要求，按照有關標準規范開展定級備案、等級測評工作，落實安全建設整改加固措施，防范網絡和數據安全風險。

中央和國家機關、地市級以上地方黨政機關門戶網站，以及承載重要業務應用的機關事業單位網站、互聯網電子郵件系統等，應當符合網絡安全等級保護第三級安全保護要求。”

寧盾解讀：三級等保是網絡安全等級保護制度中的最高等級，主要應用于國家重要信息系統、關鍵基礎設施信息系統、重要行業信息系統等，包括政府、金融、電力、通信、交通等行業。此條要求黨政機關門戶網站、承載重要業務應用的機關事業單位網站、互聯網電子郵件系統等要滿足等保三級要求，并進行定級備案、等級測評。

在三級等保要求中，應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。也即互聯網政務應用須使用商用密碼技術來加強身份鑒別。對黨政機關內部工作人員登錄門戶網站、電子郵件系統時進行二次身份驗證，以防止賬號被盜用。

解決方案：在互聯網政務應用、電子郵件系統及重要信息系統上增加有商密資質的多因素認證（RADIUS）模塊，如寧盾統一身份認證平臺的MFA多因素認證能力，來滿足等保三級要求。

第十九條

“互聯網政務應用應當設置訪問控制策略。對于面向機關事業單位工作人員使用的功能和互聯網電子郵箱系統，應當對接入的IP地址段或設備實施訪問限制，確需境外訪問的，按照白名單方式開通特定時段、特定設備或賬號的訪問權限。”

寧盾解讀：應用的安全訪問是數據安全的重要組成部分，可從兩點來進行管控：訪問應用的人員身份安全可信與設備的身份安全可信。人員的身份即賬號，要確保賬號的訪問權限準確，也應確保訪問應用的設備所在的網段、MAC地址、地理位置等符合安全規范。

解決方案：面向機關事業單位工作人員訪問政務應用和電子郵箱系統時，可借助終端網絡準入方案管控工作人員使用的計算機設備，如限制某IP地址段、某些操作系統或不符合機關事業單位安全策略的設備訪問應用。也可結合統一身份認證平臺或IAM平臺做好賬號權限管控，實現人和設備的聯合信任。

第二十條

“機關事業單位應當留存互聯網政務應用相關的防火墻、主機等設備的運行日志，以及應用系統的訪問日志、數據庫的操作日志，留存時間不少于1年，并定期對日志進行備份，確保日志的完整性、可用性。”

第二十五條

“機關事業單位應當建立嚴格的授權訪問機制，操作系統、數據庫、機房等最高管理員權限必須由本單位在編人員專人負責，不得擅自委托外包單位人員管理使用；應當按照最小必要原則對外包單位人員進行精細化授權，在授權期滿后及時收回權限。”

寧盾解讀：這兩條針對的是數據中心（運維）場景，網絡設備、服務器、數據庫的運行/操作/登錄日志留存審計合規，并且要對運維人員進行細粒度授權，做到事前有防護、事中有記錄、事后可追溯。

解決方案：在數據中心/運維場景，可借助堡壘機或AAA統一認證授權和審計方案。需注意的是，應按照最小權限原則對在編人員、外包人員進行細粒度授權，且產品應具有高度兼容性，以無縫對接國內外主流廠商品牌為佳。同時，還應考慮在運維人員訪問入口啟用多因素認證來增強身份鑒別，防止賬號被盜用風險。

第三十條

“對與人身財產安全、社會公共利益等相關的互聯網政務應用和電子郵件系統，應當采取多因素鑒別提高安全性，采取超時退出、限制登錄失敗次數、賬號與終端綁定等技術手段防范賬號被盜用風險，鼓勵采用電子證書等身份認證措施。”

寧盾解讀：對于互聯網政務應用和電子郵件系統，應采取多因素身份認證鑒別技術提高賬號安全性。鼓勵采用電子證書認證，非強制性要求。

解決方案：與十七條規定相同，可借助具備商密資質的多因素認證方案來增強身份鑒別，并通過靈活的自定義策略如登錄失敗次數、綁定終端設備MAC地址等方式來確保人與終端的聯合信任，以防止賬號被盜。

《互聯網政務應用安全管理規定》涉及信息安全、網絡和數據安全、電子郵件安全等領域，因此不是某一個單一的產品或方案就可以完全搞定。在選擇解決方案時，除滿足規定的要求，機關事業單位還需考慮到方案的一體化、兼容性、運維、經濟性等因素，綜合調研、選型，以最合適的方案保障互聯網政務應用安全穩定運行和數據安全。

下一篇將解讀第五章“電子郵件安全”的安全整改方案，敬請期待~