一、出台背景

　　当前，电子政务外网安全现状不容乐观，随时面临着黑客入侵、非法访问、病毒植入、恶意破坏等各种安全威胁，一旦发生问题，后果将不堪设想。为进一步明确各单位各部门的职责分工、运维管理、安全管理边界等内容，努力确保我省电子政务外网安全稳定运行，我们编制了《湖南省电子政务外网安全管理暂行办法》（以下简称《办法》），主要基于以下三点考虑：一是国家层面有要求。习近平总书记多次强调，要高度重视网络安全，防范网络风险，增强网络安全防护能力，对我们提出了工作要求。国家电子政务外网管理中心也发布了《国家电子政务外网网络与信息安全管理暂行办法》，要求各级政务外网管理部门加强安全管理。二是省级层面有部署。省委副书记、省长许达哲在多个场合指出，“网络安全事关国家安全和高质量发展”，要紧紧围绕新常态下信息化建设的要求，提升网络安全保障能力”，这为我们抓好外网安全管理指明了方向。去年3月，省委常委、常务副省长谢建辉也对我中心提出了“要加强政务外网的管理，并编制政务外网安全管理办法”的具体要求。我们根据两位领导的指示，及时启动了编制外网安全管理办法的工作。三是落实层面有需要。近年来，我省政务外网建设发展迅速，到今年6月底，已经覆盖全省所有行政村以上区域。使用广度和频次达到历史新高，对政务外网的安全管理提出了更高要求。同时，我省的政务外网时刻面临着安全威胁，我们统计过，2019年全年电子政务外网统一云平台遭受到2880万余次的安全攻击，这是十分危险的，迫切需要制定安全管理办法，加强管理应对突发情况，保证政务外网安全稳定运行。

　　二、主要内容

　　《办法》分为总则、总体要求、职责分工、运维管理、接入管理、安全管理边界、附则共计七大方面37个条款。

　　(一)总则

　　第一条提出编制《办法》的依据。根据《中华人民共和国网络安全法》等有关法律、法规，以及国家电子政务外网的各项标准规范，制定本办法。

　　第二条明确了省政务外网的组成。省政务外网是国家电子政务外网的组成部分，由省、市(州)、县(市、区)、乡(镇、街道)、行政村(社区)五级政务外网组成，上联国家，横向连接各级党委、人大、政府、政协、法院、检察院及其所直属各部门(单位)，纵向覆盖省、市(州)、县(市、区)、乡(镇、街道)、行政村(社区)。

　　第三条明确了《办法》的适用范围。本办法适用本省政务外网建设运维安全管理单位，依托政务外网开展信息化系统建设的各级政务部门，以及接入各级政务外网的各单位。

　　(二)总体要求

　　第四条明确了各级政务外网建设运维安全管理单位(以下简称政务外网管理单位)的责任和义务。各级政务外网管理单位要严格落实网络安全工作责任制，履行关键信息基础设施的相关安全保护义务，做好采购产品和服务的安全评估工作，采取措施严格保护政务外网安全。

　　第五、第六条明确了省、市政务外网的接入标准和要求。省级和市(州)级政务外网应达到等级保护2.0三级标准，县级政务外网应达到等级保护2.0二级标准;接入政务外网的信息化系统正式对外提供服务之前，应当按照国家网络安全等级保护制度要求，落实网络安全主体责任和安全技术措施，完成等级保护测评备案、整改加固，通过验收后方可正式上线提供服务。接入政务外网的信息化系统，应当使用由具备资格的机构检测认证合格的商用密码产品，进行加密保护和安全认证。

　　(三)职责分工

　　第七条明确省政务外网的建设和管理职能。省政务外网按照“谁管理谁负责、谁建设谁负责、谁使用谁负责、谁发布谁负责”的原则，分级建设、分级管理、各负其责。明确了省政府发展研究中心、省公安厅、省互联网信息办公室、各市(州)人民政府、县(市、区)人民政府、接入省政务外网的单位的职能。接入政务外网的单位负责本单位局域网和接入政务外网的信息系统安全，负责本单位发布内容安全。　　各级政务外网使用单位应当确定至少两名本单位工作人员作为政务外网安全联系人，并且将联系人名单提交给本级政务外网管理单位。

　　第八条明确了安全责任。各级政务外网管理单位是本级政务外网的安全责任主体，各政务外网接入单位是本单位的安全责任主体。政务外网安全工作实行领导负责制，各级政务外网管理单位主要领导是本级政务外网安全第一责任人，分管政务外网的领导是直接责任人，各接入单位的主要领导是本单位外网安全的第一责任人。各运营商、承建商、运维公司、外包服务公司等按合同规定承担相应的安全责任。

　　第九条明确了制定安全管理制度的要求。各级政务外网管理单位应参照本办法制定本级政务外网安全管理制度，并将制度报上一级政务外网管理单位进行备案。各政务外网接入单位应制定本单位的信息安全管理制度，并报本级政务外网管理单位备案。

　　(四)运维管理

　　第十条明确了政务外网的建设、运维和管理经费。各级政务外网管理单位应做好安全保障系统的规划、设计和建设工作，落实好运行维护管理中的安全检查、等级保护测评和风险评估等工作责任。各级财政应切实保障本级政务外网的建设、运维和安全管理经费。

　　第十一条明确了网络安全监控工作。各级政务外网管理单位要开展网络安全监控工作，及时发现、定位、分析、处置安全事件，每6个月向上一级政务外网管理单位汇报网络安全状况。发生重大网络安全事件的，应立即报告公安、网信、国安等信息安全主管职能部门。

　　第十二、第十三条明确了应急和审计工作。各级政务外网管理单位都应组织制定本级政务外网网络与信息安全应急预案，并定期开展应急演练。同时还要加强安全审计工作，审计记录的保存时间不少于6个月。

　　第十四条明确了安全检查和风险评估。各级政务外网管理单位应当按照国家政务外网安全检查和风险评估统一要求，定期组织开展网络与信息安全自查与风险评估，并配合做好信息安全主管职能部门和上级政务外网管理单位要求的本级政务外网信息安全检查和风险评估工作。各级政务外网管理单位应将本级政务外网自查结果及时报上一级政务外网管理单位。在自查中发现接入单位存在问题的，应责成存在问题的单位进行整改。对问题较严重的单位，原则上应立即断开其政务外网连接，待整改完成后再重新接入。

　　第十五条明确了信息安全通报制度。各级政务外网管理单位要建立信息安全定期通报制度，每3个月向上一级政务外网管理单位通报本级政务外网出现的信息安全事件。

　　第十六、第十七、第十八条明确了管理人员的教育和管理原则。加强各级政务外网管理单位人员的信息安全教育，增强信息安全意识。各级政务外网管理单位每年至少对本级从事信息安全工作人员开展一次安全培训，提高信息安全技能。对从事政务外网信息安全管理的人员按照“分工负责、职责明确、最小授权和任期有限”的原则进行管理。各级政务外网管理单位应设置系统管理、安全管理和安全审计岗位，负责网络运行、安全和审计工作。系统管理员、安全管理员和安全审计员的权限设置应相互独立、相互制约。

　　第十九条明确了管理、使用政务外网的各级单位的保密工作要求。管理、使用政务外网的各级单位应当同运维机构签订保密协议，并且约定运维机构同运维人员个人签订保密协议。运维机构签署的所有的保密协议都应当提交到政务外网的管理、使用单位备案。

　　第二十条明确提出了政务外网管理单位应当对运维机构、人员进行安全审查，对人员准入进行规范。

　　(五)接入管理

　　第二十一、第二十二条明确了对接入政务外网的单位的要求。接入政务外网的单位，应统一使用政务外网的互联网出口。如果单位确实需要独立的互联网出口，应报本级政务外网管理单位备案。各级政务外网管理单位部署在各接入单位的设备，由政务外网管理单位管理运维，各接入单位无权登录，不得擅自关闭设备、修改配置。未经政务外网管理单位许可，各接入单位不得改变政务外网接口的网络设备、结构和配置，不得在政务外网上搭接无线网络设备。

　　第二十三条明确了对接入政务外网的单位局域网或业务系统的要求。通过专线方式接入政务外网的单位局域网或业务系统，接入单位要保障本单位网络系统的安全，应参照所接入政务外网的等级保护级别标准(二级或三级)，按照国家等级保护工作要求，开展测评整改，明确接入网络安全责任人，达到所接入政务外网的安全标准后，方能接入政务外网。专线接入政务外网的单位应防止本单位局域网内的设备对政务外网进行攻击，如果出现这种情况，应立即与本级政务外网管理单位取得联系，根据攻击情况和应用系统影响范围断开政务外网连接，并进行溯源、查杀等安全处置。

　　第二十四条、第二十五条明确了对单机接入政务外网和通过拨号或VPN方式接入政务外网的单位的要求。单机接入政务外网的，应明确安全责任人，保证接入政务外网的单机安全，避免中病毒木马，避免成为攻击外网的跳板，在发现接入外网的单机有异常情况时，应首先断开与外网的连接，后立即对事故进行处置，并将异常情况及处置结果及时报送至本级政务外网管理单位。通过拨号或VPN方式接入政务外网的单位，应明确安全责任人，要保障接入账号及接入终端的安全，避免非授权用户获取到账号和密码信息接入政务外网，避免含有恶意软件的终端接入政务外网，接入政务外网后不得有危害政务外网安全的行为，在发现接入政务外网的终端有异常情况时，应首先断开与政务外网的连接，防止危险扩散，然后立即对事故进行处置，并将异常情况及处置结果及时报送至本级外网管理单位。

　　第二十六条明确了所有依托于政务外网运行的应用系统开放端口的要求。所有依托于政务外网运行的应用系统，所开放的端口应由使用单位提出要求并对每个端口的用途做出说明，经本级政务外网管理单位核准后开放。

　　第二十七条明确了各单位独立的业务专网如需与政务外网进行数据交换或迁入政务外网的要求。各单位如果有独立的业务专网，并且业务专网需要与政务外网进行数据交换，使用单位应当自行在业务专网和政务外网之间部署隔离设备，并由各单位自行负责数据摆渡。

　　将现有业务专网迁入政务外网内运行的单位，迁移方案须经过省政府发展研究中心同意。

　　第二十八条明确了对各单位依托于政务外网新建业务专网的要求。各单位依托于省政务外网新建业务专网，应首先与本级政务外网管理单位进行沟通，建设方案须经过本级政务外网管理单位同意，并报省政府发展研究中心备案。

　　第二十九条明确了对依托省政务外网运行的业务专网的要求。依托于省政务外网运行的业务专网，应当与政务外网内的其他专网互相隔离。

　　(六)安全管理边界

　　第三十条明确了各级政务外网管理单位的责任。各级政务外网管理单位应防止本级政务外网内的设备攻击本级以外政务外网，如果出现这种情况，故障设备所属政务外网管理单位应负责进行溯源、查杀等安全处置。

　　第三十一条明确了接入政务外网的单位的责任。所有接入政务外网的单位需保障本单位内部的服务器、虚拟机和终端的安全，避免引入病毒或木马，需保障本单位所辖的账户的安全，避免账户信息泄漏，对所辖账户的所有操作负责。接入政务外网的单位应防止本单位局域网设备攻击本级政务外网或本级以外政务外网，如果出现这种情况，该接入单位应负责进行溯源、查杀等安全处置。

　　第三十二条明确了使用和应用规定。使用省级政务外网网络、云平台、大数据平台及其他基础设施的单位，应严格控制所申请资源的使用范围，不得利用省级政务外网的网络、算力、存储、数据、基础设施等资源开展批准范围之外的应用。

　　第三十三条明确了省直单位的责任。使用省级政务外网统一云平台部署应用系统的省直单位，负责虚拟主机的操作系统、中间件及应用系统的安全和数据安全，并应对该系统的访问控制进行优化，提出最小化开放策略。

　　第三十四、第三十五、三十六条明确了利用政务外网的单位的责任。设备托管在政务外网机房的单位，要保障托管设备及其系统层、应用层的安全和数据安全。利用政务外网的机房、设备搭建业务专网的单位，要保障该专网的安全。利用省级政务外网短信网关、网站集约化平台、邮件系统等基础设施平台发布信息的单位，对本单位发布的信息内容负责。

　　三、主要特点

　　一是起草依据充足。根据《中华人民共和国网络安全法》等有关法律、法规、政策、标准，以及国家电子政务外网的各项标准规范，来编制本《办法》。

　　二是职责分工明确。确立了政务外网的建设和管理原则，明确了省政府发展研究中心、省公安厅、省互联网信息办公室、各市(州)人民政府、县(市、区)人民政府、接入省政务外网的单位的职责，强化了安全责任主体。

　　三是安全管理边界划分到位。对各级政务外网管理单位、接入政务外网的单位、利用政务外网资源的单位的安全管理边界提出了明确的要求，边界划分细致、周全到位。

　　四是安全措施有力。《办法》中总体要求具体，明确了各级外网管理单位的责任和义务以及省、市政务外网的接入标准和要求，细化了运维管理、接入管理的安全保护措施，明确了安全责任人，有力地保障了安全责任扎扎实实的落实。

关联稿件：关于印发《湖南省电子政务外网安全管理暂行办法》的通知