解读《互联网政务应用安全管理规定》网络和数据安全中的身份认证和审计合规建设

为保障互联网政务应用安全，由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》近日印发，自2024年7月1日起施行。

规定共8章，包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理以及附则。其中，第三章“信息安全”要求互联网政务应用在发布、转载信息时应建立健全审核制度，确保信息的权威性、真实性、准确性、及时性和严肃性，并且要合规。第五章“电子邮件安全”要求邮箱从建立到账号的流转、邮件内容和访问、存储都应遵守安全、合规、保密等规定。第六章“监测预警和应急处置”则要求党政机关事业单位建立健全行政手段，开展安全监测和应急处置。

本篇文章主要解读第四章“网络和数据安全”中的身份认证和审计合规内容，以期为机关事业单位提供解决方案参考。

第十七条

“建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求，按照有关标准规范开展定级备案、等级测评工作，落实安全建设整改加固措施，防范网络和数据安全风险。

中央和国家机关、地市级以上地方党政机关门户网站，以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等，应当符合网络安全等级保护第三级安全保护要求。”

宁盾解读：三级等保是网络安全等级保护制度中的最高等级，主要应用于国家重要信息系统、关键基础设施信息系统、重要行业信息系统等，包括政府、金融、电力、通信、交通等行业。此条要求党政机关门户网站、承载重要业务应用的机关事业单位网站、互联网电子邮件系统等要满足等保三级要求，并进行定级备案、等级测评。

在三级等保要求中，应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。也即互联网政务应用须使用商用密码技术来加强身份鉴别。对党政机关内部工作人员登录门户网站、电子邮件系统时进行二次身份验证，以防止账号被盗用。

解决方案：在互联网政务应用、电子邮件系统及重要信息系统上增加有商密资质的多因素认证（RADIUS）模块，如宁盾统一身份认证平台的MFA多因素认证能力，来满足等保三级要求。

第十九条

“互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统，应当对接入的IP地址段或设备实施访问限制，确需境外访问的，按照白名单方式开通特定时段、特定设备或账号的访问权限。”

宁盾解读：应用的安全访问是数据安全的重要组成部分，可从两点来进行管控：访问应用的人员身份安全可信与设备的身份安全可信。人员的身份即账号，要确保账号的访问权限准确，也应确保访问应用的设备所在的网段、MAC地址、地理位置等符合安全规范。

解决方案：面向机关事业单位工作人员访问政务应用和电子邮箱系统时，可借助终端网络准入方案管控工作人员使用的计算机设备，如限制某IP地址段、某些操作系统或不符合机关事业单位安全策略的设备访问应用。也可结合统一身份认证平台或IAM平台做好账号权限管控，实现人和设备的联合信任。

第二十条

“机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志，以及应用系统的访问日志、数据库的操作日志，留存时间不少于1年，并定期对日志进行备份，确保日志的完整性、可用性。”

第二十五条

“机关事业单位应当建立严格的授权访问机制，操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责，不得擅自委托外包单位人员管理使用；应当按照最小必要原则对外包单位人员进行精细化授权，在授权期满后及时收回权限。”

宁盾解读：这两条针对的是数据中心（运维）场景，网络设备、服务器、数据库的运行/操作/登录日志留存审计合规，并且要对运维人员进行细粒度授权，做到事前有防护、事中有记录、事后可追溯。

解决方案：在数据中心/运维场景，可借助堡垒机或AAA统一认证授权和审计方案。需注意的是，应按照最小权限原则对在编人员、外包人员进行细粒度授权，且产品应具有高度兼容性，以无缝对接国内外主流厂商品牌为佳。同时，还应考虑在运维人员访问入口启用多因素认证来增强身份鉴别，防止账号被盗用风险。

第三十条

“对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统，应当采取多因素鉴别提高安全性，采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险，鼓励采用电子证书等身份认证措施。”

宁盾解读：对于互联网政务应用和电子邮件系统，应采取多因素身份认证鉴别技术提高账号安全性。鼓励采用电子证书认证，非强制性要求。

解决方案：与十七条规定相同，可借助具备商密资质的多因素认证方案来增强身份鉴别，并通过灵活的自定义策略如登录失败次数、绑定终端设备MAC地址等方式来确保人与终端的联合信任，以防止账号被盗。

《互联网政务应用安全管理规定》涉及信息安全、网络和数据安全、电子邮件安全等领域，因此不是某一个单一的产品或方案就可以完全搞定。在选择解决方案时，除满足规定的要求，机关事业单位还需考虑到方案的一体化、兼容性、运维、经济性等因素，综合调研、选型，以最合适的方案保障互联网政务应用安全稳定运行和数据安全。

下一篇将解读第五章“电子邮件安全”的安全整改方案，敬请期待~