解读《互联网政务应用安全管理规定》网络和数据安全中的身份认证和审计合规建设

为保障互联网政务应用安全,由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》近日印发,自2024年7月1日起施行。


规定共8章,包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理以及附则。其中,第三章“信息安全”要求互联网政务应用在发布、转载信息时应建立健全审核制度,确保信息的权威性、真实性、准确性、及时性和严肃性,并且要合规。第五章“电子邮件安全”要求邮箱从建立到账号的流转、邮件内容和访问、存储都应遵守安全、合规、保密等规定。第六章“监测预警和应急处置”则要求党政机关事业单位建立健全行政手段,开展安全监测和应急处置。


本篇文章主要解读第四章“网络和数据安全”中的身份认证和审计合规内容,以期为机关事业单位提供解决方案参考。


第十七条

“建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。

中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。”


宁盾解读:三级等保是网络安全等级保护制度中的最高等级,主要应用于国家重要信息系统、关键基础设施信息系统、重要行业信息系统等,包括政府、金融、电力、通信、交通等行业。此条要求党政机关门户网站、承载重要业务应用的机关事业单位网站、互联网电子邮件系统等要满足等保三级要求,并进行定级备案、等级测评。


在三级等保要求中,应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。也即互联网政务应用须使用商用密码技术来加强身份鉴别。对党政机关内部工作人员登录门户网站、电子邮件系统时进行二次身份验证,以防止账号被盗用。


解决方案:在互联网政务应用、电子邮件系统及重要信息系统上增加有商密资质的多因素认证(RADIUS)模块,如宁盾统一身份认证平台的MFA多因素认证能力,来满足等保三级要求。


第十九条

“互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的IP地址段或设备实施访问限制,确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。”


宁盾解读:应用的安全访问是数据安全的重要组成部分,可从两点来进行管控:访问应用的人员身份安全可信与设备的身份安全可信。人员的身份即账号,要确保账号的访问权限准确,也应确保访问应用的设备所在的网段、MAC地址、地理位置等符合安全规范。


解决方案:面向机关事业单位工作人员访问政务应用和电子邮箱系统时,可借助终端网络准入方案管控工作人员使用的计算机设备,如限制某IP地址段、某些操作系统或不符合机关事业单位安全策略的设备访问应用。也可结合统一身份认证平台或IAM平台做好账号权限管控,实现人和设备的联合信任。


第二十条

“机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志,以及应用系统的访问日志、数据库的操作日志,留存时间不少于1年,并定期对日志进行备份,确保日志的完整性、可用性。”

第二十五条

“机关事业单位应当建立严格的授权访问机制,操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。”


宁盾解读:这两条针对的是数据中心(运维)场景,网络设备、服务器、数据库的运行/操作/登录日志留存审计合规,并且要对运维人员进行细粒度授权,做到事前有防护、事中有记录、事后可追溯。


解决方案:在数据中心/运维场景,可借助堡垒机或AAA统一认证授权和审计方案。需注意的是,应按照最小权限原则对在编人员、外包人员进行细粒度授权,且产品应具有高度兼容性,以无缝对接国内外主流厂商品牌为佳。同时,还应考虑在运维人员访问入口启用多因素认证来增强身份鉴别,防止账号被盗用风险。


第三十条

“对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取多因素鉴别提高安全性,采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险,鼓励采用电子证书等身份认证措施。”


宁盾解读:对于互联网政务应用和电子邮件系统,应采取多因素身份认证鉴别技术提高账号安全性。鼓励采用电子证书认证,非强制性要求。


解决方案:与十七条规定相同,可借助具备商密资质的多因素认证方案来增强身份鉴别,并通过灵活的自定义策略如登录失败次数、绑定终端设备MAC地址等方式来确保人与终端的联合信任,以防止账号被盗。


《互联网政务应用安全管理规定》涉及信息安全、网络和数据安全、电子邮件安全等领域,因此不是某一个单一的产品或方案就可以完全搞定。在选择解决方案时,除满足规定的要求,机关事业单位还需考虑到方案的一体化、兼容性、运维、经济性等因素,综合调研、选型,以最合适的方案保障互联网政务应用安全稳定运行和数据安全。


下一篇将解读第五章“电子邮件安全”的安全整改方案,敬请期待~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/18997.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

端到端目标检测 |从DETR 到 GroundingDINO

文章目录 一,DETR1. 简介2. 亮点3. 细节4. 总结一下 二,GroundingDINOGrounding DINO的整体流程Grounding DINO的目标函数 一,DETR 之前的目标检测框架,需要很多的人工干预,很多的先验知识,而且可能还需要…

Pandas格式化DataFrame的浮点数列

在呈现数据的同时,以所需的格式显示数据也是一个重要而关键的部分。有时,值太大了,我们只想显示其中所需的部分,或者我们可以说以某种所需的格式。 让我们看看在Pandas中格式化DataFrame的数值列的不同方法。 例1:将…

❤【纯干货】Matplotlib总结,任何项目都用得到呦❤

Matplotlib 在很多人眼里是无敌的存在,而且可以说是无敌的存在。 走过数据科学的路,路上必然有Matplotlib 的风景在你周围。 如果同一个项目,你的用了matplotlib 不仅有基本图形、定制化图形、多个坐标轴、3D绘图,还有动态交互绘…

DNSlog环境搭建

阿里云域名公网VPS地址 购买阿里云域名后设置“自定义DNSHOST” DNS服务器填写ns1和ns2 如:ns1.aaa.com IP地址填写你的VPS地址 如:1.1.1.1 填写解析记录,一个A记录、一个NS记录 NS记录就是*.域名指向记录值ns1.域名 如:*.aaa…

服务器的远程桌面无法连接,服务器远程桌面无法连接问题处理教程

服务器的远程桌面无法连接,服务器远程桌面无法连接问题处理教程。 一、问题概述 服务器远程桌面无法连接是日常运维中常见的问题之一。它可能由多种原因造成,如网络问题、服务器配置错误、远程桌面服务未启动等。本教程将指导您逐步排查并解决这些问题。…

计算机算法中的数字表示法——原码、反码、补码

目录 1.前言2.研究数字表示法的意义3.数字表示法3.1 无符号整数3.2 有符号数值3.3 二进制补码(Twos Complement, 2C)3.4 二进制反码(也称作 1 的补码, Ones Complement, 1C)3.5 减 1 表示法(Diminished one System, D1)3.6 原码、反码、补码总结 1.前言 昨天有粉丝让我讲解下定…

手推车式电缆故障定位系统

武汉凯迪正大一体化电缆故障高压发生器用于测试各种型号的380V,600V,10kV,35kV,110kV,220kV,380kV电压等级的铜铝芯电力电缆、同轴通信电缆和市话电缆的各类故障,如电缆全长、开路、短路、断线、低阻故障、高阻故障、高阻泄露、高低阻抗接地、接地故障、铠装接地故障…

工控一体机7寸显示器电容触摸屏(YR07JK)产品规格说明书

如果您对工控一体机有任何疑问或需求,或者对如何集成工控一体机到您的业务感兴趣,可移步控芯捷科技。 一、硬件功能介绍 1.1 YR07JK介绍 YR07JK工控机是我公司推出的一款新型 Cortex-A17 架构,主频达1.8GHz、具有高性能低能耗的工业控制板卡…

甩掉接口文档烦恼!Spring Boot 集成 Knife4j,轻松玩转 API 可视化

一、引言:跟接口文档说拜拜 👋 作为一名 Java 开发者,你是否还在为编写繁琐的 API 文档而头疼?传统的手动编写方式不仅耗时费力,而且容易出错,难以维护。今天,我们就来介绍一款神器 Knife4j&am…

win10双网卡如何同时上内网和外网?

win10双网卡如何同时上内网和外网? Chapter1 win10双网卡如何同时上内网和外网?Chapter2 网络基础--win10双网卡设置成访问不同的网络 Chapter1 win10双网卡如何同时上内网和外网? 原文链接:https://www.jb51.net/os/win10/806585.html 场景:很多办…

【计算机毕业设计】388微信小程序足球赛事及队伍管理系统

🙊作者简介:拥有多年开发工作经验,分享技术代码帮助学生学习,独立完成自己的项目或者毕业设计。 代码可以私聊博主获取。🌹赠送计算机毕业设计600个选题excel文件,帮助大学选题。赠送开题报告模板&#xff…

QT7_视频知识点笔记_67_项目练习(页面以及对话框的切换,自定义数据类型,DB数据库类的自定义及使用)

视频项目:7----汽车销售管理系统(登录,品牌车管理,新车入库,销售统计图表)-----项目视频没有,代码也不全,更改项目练习:学生信息管理系统。 学生信息管理系统&#xff1…

大模型助力企业提效,九章云极DataCanvas公司联合腾讯搜狗输入法发布私有化解决方案

近日,九章云极DataCanvas公司与腾讯搜狗输入法的合作再次升级。在搜狗输入法开发者中心正式推出之际,九章云极DataCanvas公司作为搜狗输入法的首批开发合作伙伴,双方联合发布“企业知识管理助手”私有化解决方案。 “企业知识管理助手”整体私…

Facebook的魅力:数字时代的社交热点

在当今数字化时代,社交媒体已经成为人们日常生活中不可或缺的一部分,而Facebook作为其中的巨头,一直以其独特的魅力吸引着全球数十亿用户。本文将深入探讨Facebook的魅力所在,以及它在数字时代的社交热点。 1. 社交网络的霸主&…

最新微信小程序面试题集结

1、微信小程序与H5的区别? 第一条是运行环境的不同 传统的HTML5的运行环境是浏览器,包括webview,而微信小程序的运行环境并非完整的浏览器,是微信开发团队基于浏览器内核完全重构的一个内置解析器,针对小程序专门做了优化&…

对于高速信号完整性,一块聊聊啊(17)

再来对前仿和后仿的仿真内容回顾一下: 从概念上有个根本的理解 前仿真又可以分为布局前仿真和布局后仿真。前者是在设计的最初阶段,建立和验证详细的电气拓扑结构并以此制定出详细的约束规则。后者是在布局完成的状态下,在布线过程中遇到的…

随机生成序列的某一排列

随机生成1~n的某一排列&#xff0c;要求生成每种可能的排列的概率相同 。 算法描述&#xff1a; 给定数值分别为1~n的序列a&#xff0c; 循环变量i从1到n&#xff0c;每次循环将a[i]与a[i]~a[n]中的随机某元素交换&#xff0c;最后a数组即为随机生成的某一排列。 #include <…

【2024】C/C++框架和库超全总结

本文分为2部分&#xff0c;第一部分&#xff1a;值得学习的C/C语言开源项目&#xff1b;第二部分是开源框架和库 粉丝福利&#xff0c; 免费领取C/C 开发学习资料包、技术视频/项目代码&#xff0c;1000道大厂面试题&#xff0c;内容包括&#xff08;C基础&#xff0c;网络编程…

MATLAB分类与判别模型算法:基于LVQ神经网络的乳腺肿瘤诊断分类程序【含Matlab源码 MX_003期】

说明 实现基于LVQ&#xff08;Learning Vector Quantization&#xff0c;学习向量量化&#xff09;神经网络的乳腺肿瘤诊断分类任务。LVQ是一种监督学习算法&#xff0c;通常用于模式识别和分类任务。 算法思路介绍&#xff1a; 导入数据&#xff1a; 加载名为"data.mat&…

2024下半年软考报名人数较去年减少,仅52.77万

2024下半年软考报名人数 2024年上半年软考考试共计报考52.77万人&#xff0c;其中&#xff0c;初级资格5.12万人、中级资格24.37万人、高级资格23.28万人。 根据往年报名人数&#xff0c;本次考试人数是减少了的&#xff0c;原因分析如下&#xff1a; 1、原来报名热门专业系…