網絡安全已成為國家安全的核心內容和重要組成,是“牽一發而動全身”的基礎安全、綜合安全和整體安全。《互聯網交互式服務安全管理要求》該標準由公安部起草,2020年1月16日正式發布,自2021年3月1日起開始實施。
該行業標準適用于即時通信、博客、論壇、聊天室、云服務、網約車、電子商務等互聯網交互式服務提供者。該管理要求明確規定了互聯網交互式服務提供者的個人信息保護義務:制訂信息處理規則,明示收集與使用;限制收集和用戶明確授權原則;修改規則應告知用戶,并取得其同意;建立安全保護制度和技術措施;制定信息泄露事件的處理措施等。
有哪些重點內容?一起來了解一下吧~
微博客篇
本部分規定了微博客服務的安全管理的基本要求,適用于微博客服務提供商落實互聯網安全管理制度和安全保護技術措施。
訪問控制管理
1.身份鑒別
微博客服務提供商應對用戶進行身份鑒別,并滿足以下要求:a)使用實名信息與用戶標識進行關聯,如身份證、手機號或第三方登錄信息等;b)用戶口令具有一定復雜性,并根據業務需要提示用戶定期更換;c)必要時采用多因素鑒別機制;d)采用技術措施防止用戶的鑒別信息被未授權訪問。
2.用戶權限設置
微博客服務提供商應提供用戶權限的設置能力,并滿足以下要求:a)限制用戶發布、評論、轉發微博客信息;b)匿名用戶僅能瀏覽未設限制的微博客信息。
3.安全登錄規程
微博客服務提供商應制定安全登錄規程,并滿足以下要求:a)使用技術手段防止暴力登錄嘗試,如要求輸入驗證碼、限制錯誤登錄次數、鎖定用戶賬號等;b)在成功登錄后,能夠按用戶要求顯示前一次成功登錄的日期、時間和地點;c)在成功登錄后,能夠按用戶要求顯示最近一次不成功登錄嘗試的細節;d)不明文顯示輸入的口令;e)不以明文方式在網絡上傳輸口令;f)不活動的會話在一個設定的休止期后關閉;g)用戶修改口令時或用戶賬號在不同的設備首次登錄吋,重新驗證用戶注冊信息,如注冊收集短信驗證、注冊郵箱郵件驗證等。
微博客服務安全
1.用戶身份登記與核驗
微博客服務提供商應登記并核驗用戶真實身份,以黨政機關、社會團體或企事業單位名義申請登記的用戶按如下要求進行注冊:a)提供加蓋公章的證明文書公函;b)提供組織機構代碼等申請主體的合法資質證明印件,并進行核驗;c)登記辦理人真實身份信息,并進行核驗;d)登記辦理人真實有效手機號、電子郵箱等聯系方式,并進行核驗。
2.用戶控制
微博客服務提供商應將制作、復制、發布、傳播違法有害信息的、多次被其他用戶舉報或投訴的以及公安機關通報的涉嫌違法犯罪的用戶納入黑名單管理,并根據情節輕重,采取以下動態管理控制措施:a)封禁其賬號或限制其賬號功能;b)控制其微博客功能,直至關閉所有功能;c)控制其微博客的粉絲數量,直至關閉粉絲關注功能;d)對其微博客發布內容實施先審后發措施;e)限制其微博客信息發布頻率;f)控制其微博客內容被轉載范圍;g)控制其微博客只能給其自身的粉絲用戶發送私信;h)控制其微博客內容只能被其自身的粉絲用戶評論;i)控制其微博客推薦給他人或被其他用戶檢索;j)控制其在其他用戶或熱門事件微博客下進行評論。
3.安全審核
安全審核要求:
微博客服務提供商應具備安全審核功能,并滿足以下要求:a)對特定的微博客用戶和黑名單用戶發布的微博客信息進行逐條審核,實行先審后發等措施;b)對其他微博客用戶發布的微博客信息進行抽查審核,實行邊發邊抽審措施。
4.安全審核內容
微博客服務提供商應審核發布信息、轉發信息、評論信息、群組頭像、群組公告以及群組內發布文件等是否包含違法有害信息。
安全保護
1.發布控制
微博客服務提供商應具備微博客信息的發布控制功能,并滿足以下要求:a)對特定區域,特定IP用戶發布的微博客信息(包括文本、圖片、音視頻、鏈接等信息)進行審核控制,實現先審后發;b)對網頁,客戶端等微博客發布源進行審核控制,具備切斷一項其至多項微博客信息發布來源的功能。
2.禁止轉發、評論
微博客服務提供商應能禁止特定用戶、群組或黑名單用戶發布的單條或全部微博客信息被轉發、評論。
3.禁止瀏覽
微博客服務提供商應能禁止所有粉絲及其他用戶瀏覽特定用戶、群組或黑名單用戶發布的單條或全部微博客信息。
4.停止服務
微博客服務提供商應具備停止全部或單項微博客服務的功能,并滿足以下要求:a)停止全部用戶或指定地區用戶或黑名單用戶的全部服務;b)停止全部用戶或指定地區用戶或單個用戶的單項服務,包括停止發布、轉發、評論、上傳圖片、上傳音視頻、第三方應用等。
音視頻篇
本部分規定了音視頻聊天室服務安全管理要求,適用于互聯網交互式服務提供者落實音視頻聊天室服務的安全保護管理制度和安全保護技術措施。
訪問控制管理
1.身份鑒別
音視頻聊天室服務提供商應對用戶進行身份鑒別,并滿足以下要求:a)使用實名信息與用戶標識進行關聯,如身份證、手機號或第三方登錄信息等;b)用戶口令應具有一定復雜性,并根據業務需要提示用戶定期更換;c)必要時采用多因素鑒別機制;d)采用技術措施防止用戶的鑒別信息被未授權訪問。
2.用戶權限設置
音視頻聊天室服務提供商應對用戶權限進行設置,并滿足以下要求:a)對房間管理者、房間所有者、頻道管理者、頻道主持和粉絲等注冊用戶的權限進行設置,包括開設房間/音視頻頻道、進入房間/音視頻頻道、音視頻會話、交流評論、上傳圖片、網絡投票、轉發搜索和第三方應用等;b)匿名用戶僅能觀粉、收聽音視頻。
3.安全登錄規程
音視頻聊天室服務提供商應制定安全登錄規程,并滿足以下要求:a)使用技術手段防止暴力登錄嘗試,如要求輸入驗證碼、限制錯誤登錄次數、鎖定用戶賬號等;b)在成功登錄完成后,能夠按用戶要求顯示前一次成功登錄的日期、時間和地點;c)在成功登錄完成后,能夠按用戶要求顯示最近一次不成功登錄后嘗試的細節;d)不明文顯示輸入口令;e)不以明文方式在網絡上傳輸口令;f)修改用戶口令時或用戶賬號在不同設備首次登錄時,重新驗證用戶注冊信息,如注冊手機短信驗證,或注冊郵箱郵件驗證等。
音視頻聊天服務安全
1.用戶控制
音視頻聊天室服務提供商應將制作、復制、發布、傳播違法有害信息的、多次被其他用戶舉報或投訴的以及公安機關通報的涉嫌違法犯罪的用戶納入黑名單管理,并根據情節輕重,采取以下動態管理控制措施:a)控制其聊天室賬號推薦給他人或被其他用戶檢索;b)對其發布內容實行先審后發措施;c)限制其信息發布頻率;d)控制其聊天室內容被轉載范圍;e)控制其音視頻聊天功能和粉絲數;f)停止服務,封停賬號;g)禁止該身份信息再次注冊新賬號。
2.聊天室管理
應對音視頻聊天室進行管理,并滿足以下要求:a)能夠根據需要設定音視頻聊天室人數上限;b)音視頻聊天室所有者、管理員實名認證;c)對音視頻聊天室的房間名稱、頻道進行審核,并滿足GA 1277.1—2020 9.2.2 c)的要求;d)所有音視頻聊天室名稱均可被搜索;e)定期對音視頻聊天室內發布信息進行巡查。
安全審核
1.視頻監看
音視頻聊天室服務提供商應具備對音視頻直播內容的實時監看措施。對同時在線人數超過500人的音視頻聊天室和粉絲數量超過1萬人的頻道主持開設的音視頻頻道,應以不少于5 s/幀的頻次進行視頻監看。
2.安全查核方式
音視頻聊天室服務提供商可采取人工監看與音視頻技術識別、分析或掃描等相結合的方式進行安全審核,并滿足以下要求:a)非實時直播內容實行先審后發措施;b)實時交互和直播內容應采用安全管理員視頻監看審核措施。
3.安全審核機構
音視頻聊天室服務提供商宜根據審核內容、審核要求委托具有相關資質的第三方機構進行安全審核。
4.安全審核內容
音視頻聊天室服務提供商應審核用戶發布信息、評論信息等是否包含違法有害信息。
安全保護
音視頻聊天室服務提供商應具備發布控制功能,并滿足以下要求:a)對特定區域或特定IP用戶發布的信息(包括文本、圖片、語音、視頻、鏈接等信息)進行審核控制,實行先審后發措施;b)對網頁、客戶端等發布源進行審核控制,具備切斷一項甚至多項信息發布來源的功能。
即時通信服務篇
本部分規定了即時通信服務安全管理要求,適用于互聯網交互式服務提供商落實即時通信服務的安全保護管理制度和安全保護技術措施。
訪問控制管理
1.身份鑒別
即時通信服務提供者應對用戶進行身份鑒別,并滿足以下要求:a)使用實名信息與用戶標識進行關聯,如身份證、手機號或第三方登錄信息等;b)用戶口令應具有一定復雜性,并根據業務需要提示用戶定期更換;c)必要時采用多因素鑒別機制;d)采用技術措施防止用戶的鑒別信息被未授權訪問。
2.用戶權限設置
即時通信服務提供者應對用戶登錄即時通信軟件、發送信息、添加好友、創建群組、管理群組進行權限設置。
3.安全登錄規程
即時通信服務提供者應制定安全登錄規程,并滿足以下要求:a)使用技術手段防止暴力登錄嘗試,如要求輸入驗證碼、限制錯誤登錄次數、鎖定用戶賬號等;b)在成功登錄后,能夠按用戶要求顯示前一次成功登錄的日期、時間和地點;c)在成功登錄后,能夠按用戶要求顯示最近一次不成功登錄嘗試的細節;d)不明文顯示輸入的口令;e)不以明文方式在網絡上傳輸口令;f)修改用戶口令時,應重新進行注冊信息驗證,如注冊手機短信確認或郵件確認等方式驗證;g)當識別到賬號在新設備登錄時,應進行身份驗證,如重新輸入密碼并短信驗證等方式。
即時通信服務安全
1.用戶控制
即時通信服務提供者應將制作、復制、發布、傳播違法有害信息,多次被其他用戶舉報或投訴的以及公安機關通報的涉嫌違法犯罪的用戶納入黑名單管理,并根據情節輕重,采取以下動態管理控制措施:a)控制其消息發送頻率;b)控制其消息發送功能;c)控制該賬號功能、好友數量、加入或創建的群組數量;d)控制其IM賬號對其他用戶可見或被其他用戶檢索;e)強制賬號下線,停止服務;f)封停賬號;g)禁止該身份信息再次注冊新賬號。
2.群組管理
即時通信服務提供者應對群組進行管理,并滿足以下要求:a)對即時通信群組名稱進行審核,禁止使用下列昵稱:違反國家現行法律法規規定的、違背社會公序良俗的、容易引起公眾不良反應或誤解的;b)對每個用戶可以參加的群組數量設置上限;c)能夠根據公安機關的要求設定群組人數上限;d)對規模超過500人的大型群組進行專項認證和備案管理:大型群組的群主、管理員應提供有效證件的復印件和真實可達的聯系方式,并由運營商對此信息的真實性進行核驗;大型群組的群組標識、群組名稱、群組類型、群組管理結構、群組成員列表、群組創建時間、創建地IP、終端類型等信息需在運營商處備案;e)所有群組名稱和群組標識均可被搜索;f)至少每90天對群組內的文字、圖像、聲音等信息進行一次巡查。
安全保護
1.發布控制
即時通信服務提供者應具備即時通信信息的發布控制功能,并滿足以下要求:a)對特定區域、特定IP用戶發布的即時通信信息(包括文本、圖片、表情包、視頻、鏈接、應用程序等信息)進行發布控制;b)對網頁、客戶端等即時通信發布源進行發布控制,具備切斷一項甚至多項即時通信信息發布來源的功能。
2.服務限制
即時通信服務提供者應具備限制指定用戶即時通信功能的功能,必要時可關停其賬號。
3.信息檢索
即時通信服務提供者應具備后臺信息檢索功能,并滿足以下要求:a)支持關鍵字的邏輯組合查詢;b)支持對本服務系統中的所有即時通信信息(包括已經屏蔽過濾的信息)進行全文檢索。
論壇服務篇
本部分規定了論壇服務安全管理要求,適用于互聯網交互式服務提供者落實論壇服務的安全管理制度和安全保護技術措施。
訪問控制管理
1.身份鑒別
論壇服務提供商應對用戶進行身份鑒別,并滿足以下要求:a)使用實名信息與用戶標識進行關聯,如身份證、手機號或第三方登錄信息等;b)用戶口令應具有一定復雜性,并根據業務需要提示用戶定期更換;c)必要時采用多因素鑒別方式;d)采用技術措施防止用戶的鑒別信息被未授權訪問。
2.用戶權限設置
論壇服務提供商應提供用戶權限的設置能力,并滿足以下要求:a)限制用戶發布、評論、轉發微論壇信息;b)匿名用戶僅能瀏覽未設限制的論壇發布信息。
3.安全登錄規程
論壇服務提供商應制定安全登錄規程,并滿足以下要求:a)使用技術手段防止暴力登錄嘗試,如要求輸入驗證碼、限制錯誤登錄次數、鎖定用戶賬號等;b)在成功登錄后,能夠按用戶要求顯示前一次成功登錄的日期、時間和地點;c)在成功登錄后,能夠按用戶要求顯示最近一次不成功登錄嘗試的細節;d)不明文顯示輸入的口令;e)不以明文方式在網絡上傳輸口令;f)用戶修改口令時或用戶賬戶在不同的設備首次登錄時,重新驗證用戶注冊信息,如注冊手機短信驗證、注冊郵箱郵件驗證等。
論壇服務安全
論壇服務提供商應將制作、復制、發布、傳播違法有害信息的、多次被其他用戶舉報或投訴的以及公安機關通報的涉嫌違法犯罪的用戶納入黑名單管理,并根據情節輕重,采取以下控制措施:a)對其發布的內容實施逐條審核,堅持先審后發原則;b)控制其網絡賬號推薦給他人或被其他用戶檢索;c)控制其賬號功能和好友數量;d)控制其站內信發送功能;e)控制其發布的內容被回復;f)控制其發布的內容被轉載范圍;g)控制其對其他用戶發帖進行評論的功能;h)限制其論壇信息發布頻率;i)控制其論壇發帖和回復功能;j)禁止發帖;k)封停賬號,停止服務;l)禁止該身份信息再次注冊新賬號。
安全審核
1.安全審核時點
論壇服務提供商應具備安全審核功能,并滿足以下要求:a)對特定的論壇用戶和黑名單用戶發布的論壇信息進行逐條審核,實行先審后發的措施;b)對其他論壇用戶發布的論壇信息進行抽查審核,實行邊發邊抽審措施。
2.安全審核內容
論壇服務提供商應審核發布信息、轉發信息、評論信息、群組公告以及群組內發布文件等內容是否包含違法有害信息。
安全保護
1.發布控制
論壇服務提供商應具備論壇信息的發布控制功能,并滿足以下要求:a)對特定區域或特定IP用戶發布的論壇信息(包括文本、圖片、視頻、鏈接等信息)進行審核控制,實現先審后發;b)對網頁、客戶端等論壇發布源進行審核控制,具備切斷一項甚至多項論壇信息發布來源的功能。
2.禁止轉發、評論
論壇服務提供商應能禁止特定用戶或黑名單用戶發布的單條或全部論壇信息內容被轉發、跟帖評論等。
3.禁止瀏覽
論壇服務提供商應能禁止其他用戶瀏覽特定用戶或黑名單用戶發布的單條或全部論壇信息。
4.信息檢索
論壇服務提供商應具備后臺信息檢索功能,并滿足以下要求:a)支持關鍵字的邏輯組合查詢;b)支持對本服務系統中所有論壇信息(包括已經屏蔽過濾的論壇信息)進行全文搜索。
5.停止服務
論壇服務提供商應具備停止全部或單項論壇服務的功能,并滿足以下要求:a)停止全部用戶或指定地區用戶或黑名單用戶的全部服務;b)停止全部用戶或指定地區用戶或黑名單用戶的單項服務包括停止發布、轉發、評論、上傳圖片、上傳視頻、上傳音頻、第三方應用等。
6.個人論壇限制
論壇服務提供商應能限制個人論壇用戶的網絡投票、評論等功能。
