全文
第一章 總則
第一條 為保障湖南省電子政務外網(以下簡稱省政務外網)的運行安全,落實政務外網相關部門的安全責任,根據《
中華人民共和國網路安全法》等有關
法律、
法規,以及國家電子政務外網的各項標準規範,結合我省實際,制定本辦法。
第二條 省政務外網是國家電子政務外網的組成部分,由省、市州、縣市區、鄉鎮(街道)、行政村(社區)五級政務外網組成,上聯國家,橫向連線各級黨委、人大、政府、政協、法院、檢察院及其所直屬各部門(單位),縱向覆蓋省、市州、縣市區、鄉鎮(街道)、行政村(社區)。政務外網是我省電子政務的公共基礎設施,承載全省政務部門非涉密信息化系統,實現基礎信息資源開放共享。
第三條 本辦法適用於本省政務外網各級建設運維安全管理單位,依託政務外網開展信息化系統建設的各級政務部門,以及接入政務外網的各單位。
第二章 總體要求
第四條 各級政務外網建設運維安全管理單位(以下簡稱政務外網管理單位)要嚴格落實網路安全工作責任制,履行關鍵信息基礎設施的相關安全保護義務,做好採購產品和服務的安全評估工作,採取措施保護政務外網安全。
第五條 省級和市級政務外網應達到等級保護2.0三級標準,縣級政務外網應達到等級保護2.0二級標準。
接入政務外網的信息化系統正式對外提供服務前,應當按照國家網路安全等級保護制度要求,落實網路安全主體責任和安全技術措施,完成等級保護測評備案、整改加固,通過驗收後方可正式上線提供服務。
第六條 接入政務外網的信息化系統,應當使用由具備資格的機構檢測認證合格的商用密碼產品,進行加密保護和安全認證。
第三章 職責分工
第七條 政務外網按照“誰管理誰負責、誰建設誰負責、誰使用誰負責、誰發布誰負責”的原則,分級建設、分級管理、各負其責。
省政府發展研究中心(省政府政務服務中心)負責全省政務外網建設的整體規劃,制定本省政務外網的標準規範,負責省級政務外網的建設、運維及安全管理工作,指導全省政務外網的建設、運維及安全管理工作,制定電子政務外網統一接入標準,定期組織市州及縣市區開展相關業務培訓,並向國家政務外網管理部門報告。
省公安廳負責政務外網網路安全的監督、檢查、指導和違法犯罪案件的查處。
省網際網路信息辦公室負責統籌協調政務外網網路安全工作和相關監督管理工作。
各市州人民政府應明確一個本級政務外網管理單位,負責本級政務外網的統一建設、運維及安全管理工作。各縣市區人民政府應明確一個本級政務外網管理單位,負責本級以及下轄鄉鎮(街道)、行政村(社區)的政務外網統一建設、運維及安全管理工作。
接入政務外網的單位負責本單位區域網路和接入政務外網的信息系統安全,負責本單位發布內容安全。
各級政務外網使用單位應當確定至少兩名本單位工作人員作為政務外網安全聯繫人,並且將聯繫人名單提交給本級政務外網管理單位。
第八條 各級政務外網管理單位是本級政務外網的安全責任主體,各政務外網接入單位是本單位政務外網的安全責任主體。
政務外網安全工作實行領導責任制。各級政務外網管理單位主要領導是本級政務外網安全第一責任人,分管政務外網的領導是直接責任人;各接入單位的主要領導是本單位政務外網安全的第一責任人。
各運營商、承建商、運維公司、外包服務公司等按契約規定承擔相應的安全責任。
第九條 各級政務外網管理單位參照本辦法制定本級政務外網安全管理制度,報上一級政務外網管理單位備案。各政務外網接入單位應制定本單位的信息安全管理制度,報本級政務外網管理單位備案。
第四章 運維管理
第十條 各級政務外網管理單位應做好安全保障系統的規劃、設計和建設工作,落實運行維護管理中的安全檢查、等級保護測評和風險評估等工作責任。各級財政應保障本級政務外網的建設、運維和安全管理經費。
第十一條 各級政務外網管理單位要開展網路安全監控工作,及時發現、定位、分析、處置安全事件,每6個月向上一級政務外網管理單位匯報網路安全狀況。發生重大網路安全事件的,應立即報告公安、網信、國安等信息安全主管職能部門。
第十二條 各級政務外網管理單位都應組織制定本級政務外網網路與信息安全應急預案,並定期開展應急演練。
第十三條 各級政務外網管理單位都要加強安全審計工作,審計記錄的保存時間不少於6個月。
第十四條 各級政務外網管理單位應當按照國家政務外網安全檢查和風險評估統一要求,定期組織開展網路與信息安全自查和風險評估,並按照信息安全主管職能部門和上級政務外網管理單位的要求做好本級政務外網信息安全檢查和風險評估工作。
各級政務外網管理單位應將本級政務外網自查結果及時報上一級政務外網管理單位。在自查中發現接入單位存在問題的,應責成存在問題的單位進行整改。對問題較嚴重的單位,原則上應立即斷開其政務外網連線,待整改完成後再重新接入。
第十五條 各級政務外網管理單位要建立信息安全定期報告制度,每3個月向上一級政務外網管理單位報告本級政務外網出現的信息安全事件。
第十六條 各級政務外網管理單位要加強信息安全教育,每年至少對本級從事信息安全工作的人員開展一次專業技術培訓。
第十七條 各級政務外網管理單位及接入部門應對從事政務外網信息安全工作的人員按照“分工負責、職責明確、最小授權和任期有限”的原則進行管理。
第十八條 各級政務外網管理單位應設定系統管理、安全管理和安全審計崗位,分別負責網路運行、安全和審計工作。系統管理員、安全管理員和安全審計員的許可權設定應相互獨立、相互制約。
第十九條 管理、使用政務外網的各級單位,應當同運維機構簽訂保密協定,並且約定運維機構同運維人員個人簽訂保密協定。運維機構簽署的所有的保密協定都應當提交到政務外網的管理、使用單位備案。
第二十條 政務外網管理單位應當對運維機構、人員進行安全審查,對人員準入進行規範。
第五章 接入管理
第二十一條 接入政務外網的單位,應統一使用政務外網的網際網路出口。如果單位確實需要獨立的網際網路出口,應報本級政務外網管理單位備案。
第二十二條 各級政務外網管理單位部署在各接入單位的設備,由政務外網管理單位管理運維,各接入單位無權登錄,不得擅自關閉設備、修改配置。
未經政務外網管理單位許可,各接入單位不得改變政務外網接口的網路設備、結構或配置,不得在政務外網上搭接無線網路設備。
第二十三條 通過專線方式接入政務外網的單位區域網路或業務系統,接入單位要保障本單位網路、系統的安全,應參照所接入政務外網的等級保護級別標準(二級或三級),按照國家等級保護工作要求,開展測評整改,明確接入網路安全責任人。達到所接入政務外網的安全標準後,方能接入政務外網。
專線接入政務外網的單位應防止本單位區域網路內的設備對政務外網進行攻擊。如果出現這類情況,應根據攻擊情況和系統影響範圍報本級政務外網管理單位後斷開政務外網連線,進行溯源、查殺等安全處置。
第二十四條 單機接入政務外網的,應明確安全責任人,保證接入政務外網的單機安全,避免中病毒或木馬,避免成為攻擊政務外網的跳板。當發現接入政務外網的單機有異常情況時,應先斷開與政務外網的連線,立即對事故進行處置,並將異常情況及處置結果及時報本級政務外網管理單位。
第二十五條 通過撥號或VPN方式接入政務外網的單位,應明確安全責任人,要保障接入賬號及接入終端的安全,避免非授權用戶獲取賬號密碼信息接入政務外網,避免含有惡意軟體的終端接入政務外網。接入政務外網後不得有危害政務外網安全的行為。當發現接入政務外網的終端有異常情況時,應先斷開與政務外網的連線,立即對事故進行處置,並將異常情況及處置結果及時報本級政務外網管理單位。
第二十六條 所有依託於政務外網運行的套用系統,所開放的連線埠應由使用單位提出要求並對每個連線埠的用途做出說明,經本級政務外網管理單位核准後開放。
第二十七條 各單位如果有獨立的業務專網,並且業務專網需要與政務外網進行數據交換,使用單位應當自行在業務專網和政務外網之間部署隔離設備,並由各單位自行負責數據擺渡。
將現有業務專網遷入政務外網內運行的單位,遷移方案須經過省政府發展研究中心同意。
第二十八條 各單位依託於省政務外網新建業務專網,應首先與本級政務外網管理單位進行溝通,建設方案須經過本級政務外網管理單位同意,並報省政府發展研究中心備案。
第二十九條 依託於省政務外網運行的業務專網,應當與政務外網內的其他專網互相隔離。
第六章 安全管理邊界
第三十條 各級政務外網管理單位應防止本級政務外網內的設備攻擊本級以外政務外網。如果出現這種情況,由故障設備所屬政務外網管理單位負責開展溯源、查殺等安全處置。
第三十一條 所有接入政務外網的單位需保障本單位內部的伺服器、虛擬機和終端的安全,避免引入病毒或木馬,需保障本單位所轄賬戶的安全,避免賬戶信息泄漏,對所轄賬戶的所有操作負責。接入政務外網的單位應防止本單位區域網路設備攻擊政務外網。如果出現這種情況,由接入單位負責開展溯源、查殺等安全處置。
第三十二條 使用省級政務外網網路、雲平台、大數據平台及其他基礎設施的單位,應嚴格控制所申請資源的使用範圍,不得利用省級政務外網的網路、算力、存儲、數據、基礎設施等資源開展批准範圍之外的套用。
第三十三條 使用省級政務外網統一雲平台部署套用系統的省直單位,負責虛擬主機的作業系統、中間件及套用系統的安全和數據安全,並對該系統的訪問控制進行最佳化,提出最小化開放策略。
第三十四條 設備託管在政務外網機房的單位,要保障託管設備及其系統層、套用層的安全和數據安全。
第三十五條 利用政務外網的機房、設備搭建業務專網的單位,要保障該專網的安全。
第三十六條 利用省級政務外網簡訊網關、網站集約化平台、郵件系統等基礎設施平台發布信息的單位,對本單位發布的信息內容負責。
第七章 附則
第三十七條 本辦法自發布之日起施行。
解讀
一、出台背景
當前,電子政務外網安全現狀不容樂觀,隨時面臨著黑客入侵、非法訪問、病毒植入、惡意破壞等各種安全威脅,一旦發生問題,後果將不堪構想。為進一步明確各單位各部門的職責分工、運維管理、安全管理邊界等內容,努力確保我省電子政務外網安全穩定運行,我們編制了《湖南省電子政務外網安全管理暫行辦法》(以下簡稱《辦法》),主要基於以下三點考慮:一是國家層面有要求。習近平總書記多次強調,要高度重視網路安全,防範網路風險,增強網路安全防護能力,對我們提出了工作要求。國家電子政務外網管理中心也發布了《國家電子政務外網網路與信息安全管理暫行辦法》,要求各級政務外網管理部門加強安全管理。二是省級層面有部署。省委副書記、省長許達哲在多個場合指出,“網路安全事關國家安全和高質量發展”,要緊緊圍繞新常態下信息化建設的要求,提升網路安全保障能力”,這為我們抓好外網安全管理指明了方向。去年3月,省委常委、常務副省長謝建輝也對我中心提出了“要加強政務外網的管理,並編制政務外網安全管理辦法”的具體要求。我們根據兩位領導的指示,及時啟動了編制外網安全管理辦法的工作。三是落實層面有需要。近年來,我省政務外網建設發展迅速,到今年6月底,已經覆蓋全省所有行政村以上區域。使用廣度和頻次達到歷史新高,對政務外網的安全管理提出了更高要求。同時,我省的政務外網時刻面臨著安全威脅,我們統計過,2019年全年電子政務外網統一雲平台遭受到2880萬餘次的安全攻擊,這是十分危險的,迫切需要制定安全管理辦法,加強管理應對突發情況,保證政務外網安全穩定運行。
二、主要內容
《辦法》分為總則、總體要求、職責分工、運維管理、接入管理、安全管理邊界、附則總計七大方面37個條款。
(一)總則
第一條提出編制《辦法》的依據。根據《中華人民共和國網路安全法》等有關法律、法規,以及國家電子政務外網的各項標準規範,制定本辦法。
第二條明確了省政務外網的組成。省政務外網是國家電子政務外網的組成部分,由省、市(州)、縣(市、區)、鄉(鎮、街道)、行政村(社區)五級政務外網組成,上聯國家,橫向連線各級黨委、人大、政府、政協、法院、檢察院及其所直屬各部門(單位),縱向覆蓋省、市(州)、縣(市、區)、鄉(鎮、街道)、行政村(社區)。
第三條明確了《辦法》的適用範圍。本辦法適用本省政務外網建設運維安全管理單位,依託政務外網開展信息化系統建設的各級政務部門,以及接入各級政務外網的各單位。
(二)總體要求
第四條明確了各級政務外網建設運維安全管理單位(以下簡稱政務外網管理單位)的責任和義務。各級政務外網管理單位要嚴格落實網路安全工作責任制,履行關鍵信息基礎設施的相關安全保護義務,做好採購產品和服務的安全評估工作,採取措施嚴格保護政務外網安全。
第五、第六條明確了省、市政務外網的接入標準和要求。省級和市(州)級政務外網應達到等級保護2.0三級標準,縣級政務外網應達到等級保護2.0二級標準;接入政務外網的信息化系統正式對外提供服務之前,應當按照國家網路安全等級保護制度要求,落實網路安全主體責任和安全技術措施,完成等級保護測評備案、整改加固,通過驗收後方可正式上線提供服務。接入政務外網的信息化系統,應當使用由具備資格的機構檢測認證合格的商用密碼產品,進行加密保護和安全認證。
(三)職責分工
第七條明確省政務外網的建設和管理職能。省政務外網按照“誰管理誰負責、誰建設誰負責、誰使用誰負責、誰發布誰負責”的原則,分級建設、分級管理、各負其責。明確了省政府發展研究中心、省公安廳、省網際網路信息辦公室、各市(州)人民政府、縣(市、區)人民政府、接入省政務外網的單位的職能。接入政務外網的單位負責本單位區域網路和接入政務外網的信息系統安全,負責本單位發布內容安全。 各級政務外網使用單位應當確定至少兩名本單位工作人員作為政務外網安全聯繫人,並且將聯繫人名單提交給本級政務外網管理單位。
第八條明確了安全責任。各級政務外網管理單位是本級政務外網的安全責任主體,各政務外網接入單位是本單位的安全責任主體。政務外網安全工作實行領導負責制,各級政務外網管理單位主要領導是本級政務外網安全第一責任人,分管政務外網的領導是直接責任人,各接入單位的主要領導是本單位外網安全的第一責任人。各運營商、承建商、運維公司、外包服務公司等按契約規定承擔相應的安全責任。
第九條明確了制定安全管理制度的要求。各級政務外網管理單位應參照本辦法制定本級政務外網安全管理制度,並將制度報上一級政務外網管理單位進行備案。各政務外網接入單位應制定本單位的信息安全管理制度,並報本級政務外網管理單位備案。
(四)運維管理
第十條明確了政務外網的建設、運維和管理經費。各級政務外網管理單位應做好安全保障系統的規劃、設計和建設工作,落實好運行維護管理中的安全檢查、等級保護測評和風險評估等工作責任。各級財政應切實保障本級政務外網的建設、運維和安全管理經費。
第十一條明確了網路安全監控工作。各級政務外網管理單位要開展網路安全監控工作,及時發現、定位、分析、處置安全事件,每6個月向上一級政務外網管理單位匯報網路安全狀況。發生重大網路安全事件的,應立即報告公安、網信、國安等信息安全主管職能部門。
第十二、第十三條明確了應急和審計工作。各級政務外網管理單位都應組織制定本級政務外網網路與信息安全應急預案,並定期開展應急演練。同時還要加強安全審計工作,審計記錄的保存時間不少於6個月。
第十四條明確了安全檢查和風險評估。各級政務外網管理單位應當按照國家政務外網安全檢查和風險評估統一要求,定期組織開展網路與信息安全自查與風險評估,並配合做好信息安全主管職能部門和上級政務外網管理單位要求的本級政務外網信息安全檢查和風險評估工作。各級政務外網管理單位應將本級政務外網自查結果及時報上一級政務外網管理單位。在自查中發現接入單位存在問題的,應責成存在問題的單位進行整改。對問題較嚴重的單位,原則上應立即斷開其政務外網連線,待整改完成後再重新接入。
第十五條明確了信息安全通報制度。各級政務外網管理單位要建立信息安全定期通報制度,每3個月向上一級政務外網管理單位通報本級政務外網出現的信息安全事件。
第十六、第十七、第十八條明確了管理人員的教育和管理原則。加強各級政務外網管理單位人員的信息安全教育,增強信息安全意識。各級政務外網管理單位每年至少對本級從事信息安全工作人員開展一次安全培訓,提高信息安全技能。對從事政務外網信息安全管理的人員按照“分工負責、職責明確、最小授權和任期有限”的原則進行管理。各級政務外網管理單位應設定系統管理、安全管理和安全審計崗位,負責網路運行、安全和審計工作。系統管理員、安全管理員和安全審計員的許可權設定應相互獨立、相互制約。
第十九條明確了管理、使用政務外網的各級單位的保密工作要求。管理、使用政務外網的各級單位應當同運維機構簽訂保密協定,並且約定運維機構同運維人員個人簽訂保密協定。運維機構簽署的所有的保密協定都應當提交到政務外網的管理、使用單位備案。
第二十條明確提出了政務外網管理單位應當對運維機構、人員進行安全審查,對人員準入進行規範。
(五)接入管理
第二十一、第二十二條明確了對接入政務外網的單位的要求。接入政務外網的單位,應統一使用政務外網的網際網路出口。如果單位確實需要獨立的網際網路出口,應報本級政務外網管理單位備案。各級政務外網管理單位部署在各接入單位的設備,由政務外網管理單位管理運維,各接入單位無權登錄,不得擅自關閉設備、修改配置。未經政務外網管理單位許可,各接入單位不得改變政務外網接口的網路設備、結構和配置,不得在政務外網上搭接無線網路設備。
第二十三條明確了對接入政務外網的單位區域網路或業務系統的要求。通過專線方式接入政務外網的單位區域網路或業務系統,接入單位要保障本單位網路系統的安全,應參照所接入政務外網的等級保護級別標準(二級或三級),按照國家等級保護工作要求,開展測評整改,明確接入網路安全責任人,達到所接入政務外網的安全標準後,方能接入政務外網。專線接入政務外網的單位應防止本單位區域網路內的設備對政務外網進行攻擊,如果出現這種情況,應立即與本級政務外網管理單位取得聯繫,根據攻擊情況和套用系統影響範圍斷開政務外網連線,並進行溯源、查殺等安全處置。
第二十四條、第二十五條明確了對單機接入政務外網和通過撥號或VPN方式接入政務外網的單位的要求。單機接入政務外網的,應明確安全責任人,保證接入政務外網的單機安全,避免中病毒木馬,避免成為攻擊外網的跳板,在發現接入外網的單機有異常情況時,應首先斷開與外網的連線,後立即對事故進行處置,並將異常情況及處置結果及時報送至本級政務外網管理單位。通過撥號或VPN方式接入政務外網的單位,應明確安全責任人,要保障接入賬號及接入終端的安全,避免非授權用戶獲取到賬號和密碼信息接入政務外網,避免含有惡意軟體的終端接入政務外網,接入政務外網後不得有危害政務外網安全的行為,在發現接入政務外網的終端有異常情況時,應首先斷開與政務外網的連線,防止危險擴散,然後立即對事故進行處置,並將異常情況及處置結果及時報送至本級外網管理單位。
第二十六條明確了所有依託於政務外網運行的套用系統開放連線埠的要求。所有依託於政務外網運行的套用系統,所開放的連線埠應由使用單位提出要求並對每個連線埠的用途做出說明,經本級政務外網管理單位核准後開放。
第二十七條明確了各單位獨立的業務專網如需與政務外網進行數據交換或遷入政務外網的要求。各單位如果有獨立的業務專網,並且業務專網需要與政務外網進行數據交換,使用單位應當自行在業務專網和政務外網之間部署隔離設備,並由各單位自行負責數據擺渡。
將現有業務專網遷入政務外網內運行的單位,遷移方案須經過省政府發展研究中心同意。
第二十八條明確了對各單位依託於政務外網新建業務專網的要求。各單位依託於省政務外網新建業務專網,應首先與本級政務外網管理單位進行溝通,建設方案須經過本級政務外網管理單位同意,並報省政府發展研究中心備案。
第二十九條明確了對依託省政務外網運行的業務專網的要求。依託於省政務外網運行的業務專網,應當與政務外網內的其他專網互相隔離。
(六)安全管理邊界
第三十條明確了各級政務外網管理單位的責任。各級政務外網管理單位應防止本級政務外網內的設備攻擊本級以外政務外網,如果出現這種情況,故障設備所屬政務外網管理單位應負責進行溯源、查殺等安全處置。
第三十一條明確了接入政務外網的單位的責任。所有接入政務外網的單位需保障本單位內部的伺服器、虛擬機和終端的安全,避免引入病毒或木馬,需保障本單位所轄的賬戶的安全,避免賬戶信息泄漏,對所轄賬戶的所有操作負責。接入政務外網的單位應防止本單位區域網路設備攻擊本級政務外網或本級以外政務外網,如果出現這種情況,該接入單位應負責進行溯源、查殺等安全處置。
第三十二條明確了使用和套用規定。使用省級政務外網網路、雲平台、大數據平台及其他基礎設施的單位,應嚴格控制所申請資源的使用範圍,不得利用省級政務外網的網路、算力、存儲、數據、基礎設施等資源開展批准範圍之外的套用。
第三十三條明確了省直單位的責任。使用省級政務外網統一雲平台部署套用系統的省直單位,負責虛擬主機的作業系統、中間件及套用系統的安全和數據安全,並應對該系統的訪問控制進行最佳化,提出最小化開放策略。
第三十四、第三十五、三十六條明確了利用政務外網的單位的責任。設備託管在政務外網機房的單位,要保障託管設備及其系統層、套用層的安全和數據安全。利用政務外網的機房、設備搭建業務專網的單位,要保障該專網的安全。利用省級政務外網簡訊網關、網站集約化平台、郵件系統等基礎設施平台發布信息的單位,對本單位發布的信息內容負責。
三、主要特點
一是起草依據充足。根據《中華人民共和國網路安全法》等有關法律、法規、政策、標準,以及國家電子政務外網的各項標準規範,來編制本《辦法》。
二是職責分工明確。確立了政務外網的建設和管理原則,明確了省政府發展研究中心、省公安廳、省網際網路信息辦公室、各市(州)人民政府、縣(市、區)人民政府、接入省政務外網的單位的職責,強化了安全責任主體。
三是安全管理邊界劃分到位。對各級政務外網管理單位、接入政務外網的單位、利用政務外網資源的單位的安全管理邊界提出了明確的要求,邊界劃分細緻、周全到位。
四是安全措施有力。《辦法》中總體要求具體,明確了各級外網管理單位的責任和義務以及省、市政務外網的接入標準和要求,細化了運維管理、接入管理的安全保護措施,明確了安全責任人,有力地保障了安全責任扎紮實實的落實。