越城公安普法---互联网交互式服务安全管理要求

ycwj

互联网交互式服务安全管理要求

论坛服务网络安全

网络安全已成为国家安全的核心内容和重要组成，是“牵一发而动全身”的基础安全、综合安全和整体安全。《互联网交互式服务安全管理要求》该标准由公安部起草，2020年1月16日正式发布，自2021年3月1日起开始实施。该行业标准适用于即时通信、博客、论坛、聊天室、云服务、网约车、电子商务等互联网交互式服务提供者。该管理要求明确规定了互联网交互式服务提供者的个人信息保护义务：制订信息处理规则，明示收集与使用；限制收集和用户明确授权原则；修改规则应告知用户，并取得其同意；建立安全保护制度和技术措施；制定信息泄露事件的处理措施等。

范围

01

GA1277的本部分规定了论坛服务安全管理要求。

本部分适用于互联网交互式服务提供者落实论坛服务的安全管理制度和安全保护技术措施。

02

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GA 1277.1-2020 互联网交互式服务安全管理要求 第1部分：基本要求

术语和定义

03

GA 1277.1-2020 界定的以及下列术语和定义适用于本文件。

3.1论坛 bulletin boardsystem；BBS

一种交互性强、内容丰富的互联网信息服务类型。

3.2论坛服务提供商 BBS service provider

通过搭建社交网络平台，提供论坛服务的互联网服务商。

3.3安全管理员 security administrator

论坛服务提供商委托或授权的负责论坛服务运行安全、服务审计、账号管理和信息发布审核等职责的单位或个人。

3.4论坛用户 user of the BBS

在论坛服务提供商处具有身份注册信息并使用论坛服务的个人。

3.5匿名用户 anonymous user

　在论坛服务提供商处不具有身份注册信息的个人。

04

安全管理制度要求

论坛服务提供商应根据GA 1277.1-2020第4章的要求制定并维护安全管理制度。

机构要求

05

论坛服务提供商应根据GA 1277.1-2020第5章的要求建立相关机构并明确职责。

GA 1277.5--2020

06

人员安全管理

论坛服务提供商应符合GA 1277.1—2020第6章的要求。

基本要求

07

论坛服务提供商应根据GA 1277.1-2020第7章的要求进行访问控制管理。

7.2身份鉴别

论坛服务提供商应对用户进行身份鉴别，并满足以下要求：

a） 使用实名信息与用户标识进行关联，如身份证、手机号或第三方登录信息等；

b） 用户口令应具有一定复杂性，并根据业务需要提示用户定期更换；

c） 必要时采用多因素鉴别方式；

d） 采用技术措施防止用户的鉴别信息被未授权访问。

7.3用户权限设置

论坛服务提供商应提供用户权限的设置能力，并满足以下要求：

a） 限制用户发布、评论、转发论坛信息；

b） 匿名用户仅能浏览未设限制的论坛发布信息。

7.4安全登录规程

论坛服务提供商应制定安全登录规程，并满足以下要求：

a） 使用技术手段防止暴力登录尝试，如要求输入验证码、限制错误登录次数、锁定用户账号等；

b） 在成功登录后，能够按用户要求显示前一次成功登录的日期、时间和地点；

c） 在成功登录后，能够按用户要求显示最近一次不成功登录尝试的细节；

d） 不明文显示输入的口令；

e） 不以明文方式在网络上传输口令；

f） 用户修改口令时或用户账号在不同的设备首次登录时•重新验证用户注册信息，如注册手机短 信验证、注册邮箱邮件验证等。

08

安全保护技术措施

　论坛服务提供商应根据GA 1277.1 2020第8章的要求釆取相应的安全保护技术措施。

论坛服务要求

09

9.1基本要求

论坛服务提供商应在满足GA 1277.1 2020第9章要求的基础上保护论坛服务的安全。

9.2 用户管理

9.2.1用户控制

论坛服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公 安机关通报的涉嫌违法犯罪的用户纳入黑名单管理，并根据情节轻重，釆取以下控制措施：

a） 对其发布的内容实施逐条审核，坚持先审后发原则；

b） 控制其网络账号推荐给他人或被其他用户检索；

c） 控制其账号功能和好友数量；

d） 控制其站内信发送功能；

e） 控制其发布的内容被回复；

f） 控制其发布的内容被转载范围；

g） 控制其对其他用户发帖进行评论的功能；

h） 限制其论坛信息发布频率；

i） 控制其论坛发帖和回复功能；

j） 禁止发帖；

k） 封停账号，停止服务；

l） 禁止该身份信息再次注册新账号。

9.2.2 昵称管理

论坛服务提供商应对用户昵称和群组名称进行审核，并满足GA 1277.1 2020中9.2.2 c）的要求。

9.3论坛群组管理

论坛服务提供商应对论坛群组进行管理，并满足以下要求：

a） 能够根据公安机关的要求设定论坛群组人数上限；

b） 论坛群组创建者、管理员需经实名认证；

c） 群组头像、群组公告以及群组内发布文件不得包含违法有害信息；

d） 所有群组名称均可被搜索；

e） 至少每90天对群组发布信息进行一次巡査。

9.4安全审核

9.4.1安全审核要求

论坛服务提供商应具备安全审核功能，并满足以下要求：

a） 对特定的论坛用户和黑名单用户发布的论坛信息进行逐条审核，实行先审后发的措施；

b） 对其他论坛用户发布的论坛信息进行抽查审核，实行边发边抽审的措施。

9.4.2安全审核方式

论坛服务提供商应采取人工或自动化、动态分析或静态扫描等方式进行安全审核。

9.4.3安全审核机构

论坛服务提供商宜根据审核内容、审核要求委托具有相关资质的第三方机构进行安全审核。

9.4.4安全审核内容

论坛服务提供商应审核发布信息、转发信息、评论信息、群组公告以及群组内发布文件等内容是否 包含违法有害信息。

9.5安全保护

9.5.1发布控制

论坛服务提供商应具备论坛信息的发布控制功能，并满足以下要求：

a） 对特定区域或特定IP用户发布的论坛信息（包括文本、图片、视频、链接等信息）进行审核控 制,实现先审后发；

b） 对网页、客户端等论坛发布源进行审核控制，具备切断一项甚至多项论坛信息发布来源的 功能。

9.5.2禁止转发、评论

论坛服务提供商应能禁止特定用户或黑名单用户发布的单条或全部论坛信息内容被转发、跟帖、评 论等。

9.5.3禁止浏览

论坛服务提供商应能禁止其他用户浏览特定用户或黑名单用户发布的单条或全部论坛信息。

9.5.4 信息检索

论坛服务提供商应具备后台信息检索功能，并满足以下要求：

a） 支持关键字的逻辑组合查询；

b） 支持对本服务系统中所有论坛信息（包括已经屏蔽过滤的论坛信息）进行全文搜索。

9.5.5第三方发布信息控制（有则适用）

论坛服务提供商应具备对第三方发布信息进行控制的功能，并满足以下要求：

a） 限制或切断论坛与其他互联网应用的互联互通；

b） 对第三方数据接口（API）发布的信息也应履行审核义务，发现违法有害信息可对第三方数据 接口釆取限制、关停措施。

9.5.6停止服务

论坛服务提供商应具备停止全部或单项论坛服务的功能，并满足以下要求：

a） 停止全部用户或指定地区用户或黑名单用户的全部服务；

b） 停止全部用户或指定地区用户或黑名单用户的单项服务包括停止发布、转发、评论、上传图片、 上传视频、上传音频、第三方应用等。

9.5.7个人论坛功能限制

论坛服务提供商应能限制个人论坛用户的网络投票、评论等功能。

10

个人信息保护

论坛服务提供商应根据GA 1277.1 2020第10章的要求对论坛服务中涉及的个人电子信息加以 保护。

投诉

11

论坛服务提供商应根据GA 1277.1 2020第11章的要求建立投诉机制和渠道。

12

分包服务

论坛服务提供商应根据GA 1277.1 2020第12章的要求对分包服务进行管理。

安全事件管理

13

论坛服务提供商应根据GA 1277.1 2020第13章的要求对安全事件进行管理。