新闻热线:0816-2395666
设为首页
加入收藏
您现在的位置: 首页 > 新闻24小时
了解一下!互联网交互式服务安全管理要求
发稿时间:2021-04-01 10:49   来源: 绵阳新闻网

  网络安全已成为国家安全的核心内容和重要组成,是“牵一发而动全身”的基础安全、综合安全和整体安全。《互联网交互式服务安全管理要求》该标准由公安部起草,2020年1月16日正式发布,自2021年3月1日起开始实施。

  该行业标准适用于即时通信、博客、论坛、聊天室、云服务、网约车、电子商务等互联网交互式服务提供者。该管理要求明确规定了互联网交互式服务提供者的个人信息保护义务:制订信息处理规则,明示收集与使用;限制收集和用户明确授权原则;修改规则应告知用户,并取得其同意;建立安全保护制度和技术措施;制定信息泄露事件的处理措施等。

  有哪些重点内容?一起来了解一下吧~

  微博客篇

  本部分规定了微博客服务的安全管理的基本要求,适用于微博客服务提供商落实互联网安全管理制度和安全保护技术措施。

  访问控制管理

  1.身份鉴别

  微博客服务提供商应对用户进行身份鉴別,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴别机制;d)采用技术措施防止用户的鉴别信息被未授权访问。

  2.用户权限设置

  微博客服务提供商应提供用户权限的设置能力,并满足以下要求:a)限制用户发布、评论、转发微博客信息;b)匿名用户仅能浏览未设限制的微博客信息。

  3.安全登录规程

  微博客服务提供商应制定安全登录规程,并满足以下要求:a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;b)在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点;c)在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节;d)不明文显示输入的口令;e)不以明文方式在网络上传输口令;f)不活动的会话在一个设定的休止期后关闭;g)用户修改口令时或用户账号在不同的设备首次登录吋,重新验证用户注册信息,如注册收集短信验证、注册邮箱邮件验证等。

  微博客服务安全

  1.用户身份登记与核验

  微博客服务提供商应登记并核验用户真实身份,以党政机关、社会团体或企事业单位名义申请登记的用户按如下要求进行注册:a)提供加盖公章的证明文书公函;b)提供组织机构代码等申请主体的合法资质证明印件,并进行核验;c)登记办理人真实身份信息,并进行核验;d)登记办理人真实有效手机号、电子邮箱等联系方式,并进行核验。

  2.用户控制

  微博客服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下动态管理控制措施:a)封禁其账号或限制其账号功能;b)控制其微博客功能,直至关闭所有功能;c)控制其微博客的粉丝数量,直至关闭粉丝关注功能;d)对其微博客发布内容实施先审后发措施;e)限制其微博客信息发布频率;f)控制其微博客内容被转载范围;g)控制其微博客只能给其自身的粉丝用户发送私信;h)控制其微博客内容只能被其自身的粉丝用户评论;i)控制其微博客推荐给他人或被其他用户检索;j)控制其在其他用户或热门事件微博客下进行评论。

  3.安全审核

  安全审核要求:

  微博客服务提供商应具备安全审核功能,并满足以下要求:a)对特定的微博客用户和黑名单用户发布的微博客信息进行逐条审核,实行先审后发等措施;b)对其他微博客用户发布的微博客信息进行抽查审核,实行边发边抽审措施。

  4.安全审核内容

  微博客服务提供商应审核发布信息、转发信息、评论信息、群组头像、群组公告以及群组内发布文件等是否包含违法有害信息。

  安全保护

  1.发布控制

  微博客服务提供商应具备微博客信息的发布控制功能,并满足以下要求:a)对特定区域,特定IP用户发布的微博客信息(包括文本、图片、音视频、链接等信息)进行审核控制,实现先审后发;b)对网页,客户端等微博客发布源进行审核控制,具备切断一项其至多项微博客信息发布来源的功能。

  2.禁止转发、评论

  微博客服务提供商应能禁止特定用户、群组或黑名单用户发布的单条或全部微博客信息被转发、评论。

  3.禁止浏览

  微博客服务提供商应能禁止所有粉丝及其他用户浏览特定用户、群组或黑名单用户发布的单条或全部微博客信息。

  4.停止服务

  微博客服务提供商应具备停止全部或单项微博客服务的功能,并满足以下要求:a)停止全部用户或指定地区用户或黑名单用户的全部服务;b)停止全部用户或指定地区用户或单个用户的单项服务,包括停止发布、转发、评论、上传图片、上传音视频、第三方应用等。

  音视频篇

  本部分规定了音视频聊天室服务安全管理要求,适用于互联网交互式服务提供者落实音视频聊天室服务的安全保护管理制度和安全保护技术措施。

  访问控制管理

  1.身份鉴别

  音视频聊天室服务提供商应对用户进行身份鉴别,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令应具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴別机制;d)采用技术措施防止用户的鉴别信息被未授权访问。

  2.用户权限设置

  音视频聊天室服务提供商应对用户权限进行设置,并满足以下要求:a)对房间管理者、房间所有者、频道管理者、频道主持和粉丝等注册用户的权限进行设置,包括开设房间/音视频频道、进入房间/音视频频道、音视频会话、交流评论、上传图片、网络投票、转发搜索和第三方应用等;b)匿名用户仅能观粉、收听音视频。

  3.安全登录规程

  音视频聊天室服务提供商应制定安全登录规程,并满足以下要求:a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;b)在成功登录完成后,能够按用户要求显示前一次成功登录的日期、时间和地点;c)在成功登录完成后,能够按用户要求显示最近一次不成功登录后尝试的细节;d)不明文显示输入口令;e)不以明文方式在网络上传输口令;f)修改用户口令时或用户账号在不同设备首次登录时,重新验证用户注册信息,如注册手机短信验证,或注册邮箱邮件验证等。

  音视频聊天服务安全

  1.用户控制

  音视频聊天室服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下动态管理控制措施:a)控制其聊天室账号推荐给他人或被其他用户检索;b)对其发布内容实行先审后发措施;c)限制其信息发布频率;d)控制其聊天室内容被转载范围;e)控制其音视频聊天功能和粉丝数;f)停止服务,封停账号;g)禁止该身份信息再次注册新账号。

  2.聊天室管理

  应对音视频聊天室进行管理,并满足以下要求:a)能够根据需要设定音视频聊天室人数上限;b)音视频聊天室所有者、管理员实名认证;c)对音视频聊天室的房间名称、频道进行审核,并满足GA 1277.1—2020 9.2.2 c)的要求;d)所有音视频聊天室名称均可被搜索;e)定期对音视频聊天室内发布信息进行巡查。

  安全审核

  1.视频监看

  音视频聊天室服务提供商应具备对音视频直播内容的实时监看措施。对同时在线人数超过500人的音视频聊天室和粉丝数量超过1万人的频道主持开设的音视频频道,应以不少于5 s/帧的频次进行视频监看。

  2.安全查核方式

  音视频聊天室服务提供商可采取人工监看与音视频技术识别、分析或扫描等相结合的方式进行安全审核,并满足以下要求:a)非实时直播内容实行先审后发措施;b)实时交互和直播内容应采用安全管理员视频监看审核措施。

  3.安全审核机构

  音视频聊天室服务提供商宜根据审核内容、审核要求委托具有相关资质的第三方机构进行安全审核。

  4.安全审核内容

  音视频聊天室服务提供商应审核用户发布信息、评论信息等是否包含违法有害信息。

  安全保护

  音视频聊天室服务提供商应具备发布控制功能,并满足以下要求:a)对特定区域或特定IP用户发布的信息(包括文本、图片、语音、视频、链接等信息)进行审核控制,实行先审后发措施;b)对网页、客户端等发布源进行审核控制,具备切断一项甚至多项信息发布来源的功能。

  即时通信服务篇

  本部分规定了即时通信服务安全管理要求,适用于互联网交互式服务提供商落实即时通信服务的安全保护管理制度和安全保护技术措施。

  访问控制管理

  1.身份鉴别

  即时通信服务提供者应对用户进行身份鉴别,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令应具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴别机制;d)采用技术措施防止用户的鉴别信息被未授权访问。

  2.用户权限设置

  即时通信服务提供者应对用户登录即时通信软件、发送信息、添加好友、创建群组、管理群组进行权限设置。

  3.安全登录规程

  即时通信服务提供者应制定安全登录规程,并满足以下要求:a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;b)在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点;c)在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节;d)不明文显示输入的口令;e)不以明文方式在网络上传输口令;f)修改用户口令时,应重新进行注册信息验证,如注册手机短信确认或邮件确认等方式验证;g)当识别到账号在新设备登录时,应进行身份验证,如重新输入密码并短信验证等方式。

  即时通信服务安全

  1.用户控制

  即时通信服务提供者应将制作、复制、发布、传播违法有害信息,多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下动态管理控制措施:a)控制其消息发送频率;b)控制其消息发送功能;c)控制该账号功能、好友数量、加入或创建的群组数量;d)控制其IM账号对其他用户可见或被其他用户检索;e)强制账号下线,停止服务;f)封停账号;g)禁止该身份信息再次注册新账号。

  2.群组管理

  即时通信服务提供者应对群组进行管理,并满足以下要求:a)对即时通信群组名称进行审核,禁止使用下列昵称:违反国家现行法律法规规定的、违背社会公序良俗的、容易引起公众不良反应或误解的;b)对每个用户可以参加的群组数量设置上限;c)能够根据公安机关的要求设定群组人数上限;d)对规模超过500人的大型群组进行专项认证和备案管理:大型群组的群主、管理员应提供有效证件的复印件和真实可达的联系方式,并由运营商对此信息的真实性进行核验;大型群组的群组标识、群组名称、群组类型、群组管理结构、群组成员列表、群组创建时间、创建地IP、终端类型等信息需在运营商处备案;e)所有群组名称和群组标识均可被搜索;f)至少每90天对群组内的文字、图像、声音等信息进行一次巡查。

  安全保护

  1.发布控制

  即时通信服务提供者应具备即时通信信息的发布控制功能,并满足以下要求:a)对特定区域、特定IP用户发布的即时通信信息(包括文本、图片、表情包、视频、链接、应用程序等信息)进行发布控制;b)对网页、客户端等即时通信发布源进行发布控制,具备切断一项甚至多项即时通信信息发布来源的功能。

  2.服务限制

  即时通信服务提供者应具备限制指定用户即时通信功能的功能,必要时可关停其账号。

  3.信息检索

  即时通信服务提供者应具备后台信息检索功能,并满足以下要求:a)支持关键字的逻辑组合查询;b)支持对本服务系统中的所有即时通信信息(包括已经屏蔽过滤的信息)进行全文检索。

  论坛服务篇

  本部分规定了论坛服务安全管理要求,适用于互联网交互式服务提供者落实论坛服务的安全管理制度和安全保护技术措施。

  访问控制管理

  1.身份鉴别

  论坛服务提供商应对用户进行身份鉴别,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令应具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴别方式;d)采用技术措施防止用户的鉴別信息被未授权访问。

  2.用户权限设置

  论坛服务提供商应提供用户权限的设置能力,并满足以下要求:a)限制用户发布、评论、转发微论坛信息;b)匿名用户仅能浏览未设限制的论坛发布信息。

  3.安全登录规程

  论坛服务提供商应制定安全登录规程,并满足以下要求:a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;b)在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点;c)在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节;d)不明文显示输入的口令;e)不以明文方式在网络上传输口令;f)用户修改口令时或用户账户在不同的设备首次登录时,重新验证用户注册信息,如注册手机短信验证、注册邮箱邮件验证等。

  论坛服务安全

  论坛服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下控制措施:a)对其发布的内容实施逐条审核,坚持先审后发原则;b)控制其网络账号推荐给他人或被其他用户检索;c)控制其账号功能和好友数量;d)控制其站内信发送功能;e)控制其发布的内容被回复;f)控制其发布的内容被转载范围;g)控制其对其他用户发帖进行评论的功能;h)限制其论坛信息发布频率;i)控制其论坛发帖和回复功能;j)禁止发帖;k)封停账号,停止服务;l)禁止该身份信息再次注册新账号。

  安全审核

  1.安全审核时点

  论坛服务提供商应具备安全审核功能,并满足以下要求:a)对特定的论坛用户和黑名单用户发布的论坛信息进行逐条审核,实行先审后发的措施;b)对其他论坛用户发布的论坛信息进行抽查审核,实行边发边抽审措施。

  2.安全审核内容

  论坛服务提供商应审核发布信息、转发信息、评论信息、群组公告以及群组内发布文件等内容是否包含违法有害信息。

  安全保护

  1.发布控制

  论坛服务提供商应具备论坛信息的发布控制功能,并满足以下要求:a)对特定区域或特定IP用户发布的论坛信息(包括文本、图片、视频、链接等信息)进行审核控制,实现先审后发;b)对网页、客户端等论坛发布源进行审核控制,具备切断一项甚至多项论坛信息发布来源的功能。

  2.禁止转发、评论

  论坛服务提供商应能禁止特定用户或黑名单用户发布的单条或全部论坛信息内容被转发、跟帖评论等。

  3.禁止浏览

  论坛服务提供商应能禁止其他用户浏览特定用户或黑名单用户发布的单条或全部论坛信息。

  4.信息检索

  论坛服务提供商应具备后台信息检索功能,并满足以下要求:a)支持关键字的逻辑组合查询;b)支持对本服务系统中所有论坛信息(包括已经屏蔽过滤的论坛信息)进行全文搜索。

  5.停止服务

  论坛服务提供商应具备停止全部或单项论坛服务的功能,并满足以下要求:a)停止全部用户或指定地区用户或黑名单用户的全部服务;b)停止全部用户或指定地区用户或黑名单用户的单项服务包括停止发布、转发、评论、上传图片、上传视频、上传音频、第三方应用等。

  6.个人论坛限制

  论坛服务提供商应能限制个人论坛用户的网络投票、评论等功能。



相关新闻:
图片推荐