CNCERT动态
国内要闻
互联网政务应用监测平台建设思路和能力规划
5月15日,中央网信办等四部门联合公布《互联网政务应用安全管理规定》(以下称《规定》),旨在提高互联网政务应用安全防护水平,保障和促进互联网政务应用安全稳定运行。国家互联网应急中心主动担当,积极支撑互联网政务应用监测工作,并在9月11召开的“2024国家网络安全宣传周——互联网政务应用安全分论坛”上,围绕域名安全、邮件安全、高危漏洞、仿冒应用、供应链攻击、数据安全等互联网政务应用常见网络安全风险,介绍了互联网政务应用监测平台建设思路和能力规划。
国家互联网应急中心结合《规定》具体要求,拟构建支持多源数据汇聚、应用快速测绘、漏洞准实时匹配、风险综合分析的监测平台,通过平台对机关事业单位建设运行的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统等互联网政务应用合规情况开展监测。该平台主要从域名安全、网上标识使用、仿冒安全、邮件安全、数据安全、云平台安全、软件供应链安全、应用自身脆弱性风险、外部链接安全、开办主体合规等10方面促进《互联网政务应用安全管理规定》落地实施,保障互联网政务应用安全。具体工作思路包含以下方面:
一是域名安全方面,通过对机关事业单位建设使用域名、邮箱域名情况开展监测,重点发现非党政机关单位网站使用“.gov.cn”或“.政务”域名的情况,事业单位使用“.com”、“.net”等为后缀的情况,党政机关网站域名未以“.gov.cn”或“.政务”为后缀的情况,党政机关网站域名注册中、英文域名不唯一的情况。
二是网上标识使用方面,通过对机关事业单位网上标识加注情况开展监测,重点发现机关事业单位网站未按规定加注网上标识的情况,非机关事业单位网站使用专属网上标识的情况。
三是仿冒安全方面,通过对具有互联网政务应用特征的假冒仿冒应用开展监测,重点发现仿冒我国党政机关网站的情况,使用“.gov.cn”或“.政务”后缀、加注网上标识的仿冒网站,以及假冒仿冒APP、小程序、公众号等互联网政务应用的情况。
四是邮件安全方面,通过对机关事业单位自建邮箱安全防护情况开展监测,重点发现自建邮箱未采取多因素鉴别的情况,未采取超时退出、登录会话长期有效易遭受身份冒用的情况,未限制登录失败次数、易遭受暴力破解登录密码的情况,采用http、pop3等未加密传输协议、流量易被劫持的情况,未对境外地址进行访问控制的情况。
五是数据安全方面,通过对互联网政务应用数据安全情况开展监测,重点发现未采用https或其他加密传输协议、流量易被劫持篡改的情况,互联网政务应用违规公开敏感信息情况,对外开放数据库访问等情况。
六是云平台安全方面,通过对互联网政务应用使用云平台情况开展监测,重点发现机关事业单位使用未通过云计算服务安全评估的云平台情况,互联网政务应用使用位于境外的云平台情况。
七是软件供应链安全方面,通过对互联网政务应用软件供应链情况开展监测,重点发现互联网政务应用存在强制使用特定用户端的情况、绑定单一互联网平台情况,以及应用组件存在高危隐患、停服断供的情况。
八是脆弱性风险方面,通过对互联网政务应用自身脆弱性情况开展检测监测,重点发现互联网政务应用存在已知安全漏洞的情况,未采取访问控制策略、未部署WAF等安全防护措施的情况,对外开放异常和高危端口等可能造成系统被控制或业务数据泄露的情况,应用存在弱口令、默认口令造成用户身份冒用、影响业务安全的情况。
九是外部链接安全方面,通过对互联网政务应用外部链接使用情况开展监测,重点发现机关事业单位发布信息包含的外部链接失效、指向恶意网站等情况,点击外部链接无明确提示的情况。
十是开办主体合规方面,通过对党政机关网站开办主体情况开展监测,重点发现县级党政机关各部门以及乡镇党政机关单独建设网站情况。
关键字: