1、 ICS 35.040 A 90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA 1277.4 XXXX 互联网交互式服务安全管理要求 第 4 部 分:即时通信服务 Security management requirements for internet interactive service Part 4: Instant messaging service (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA 1277.4 XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件
2、. 1 3 术语和定义 . 1 4 安全管理制度要求 . 1 5 机构要求 . 2 6 人员安全管理 . 2 7 访问控制管理 . 2 8 安全保护技术措施 . 2 9 即时通信服务 安全 . 2 10 个人信息保护 . 4 11 投诉 . 4 12 分包服务 . 4 13 安全事件管理 . 4 GA 1277.4 XXXX II 前 言 GA 1277互联网交互式服务安全管理要求拟分成部分出版,包括基本要求和具体服务类型中 的要求。目前计划发布如下部分: 第 1 部分:基本要求; 第 2 部分:微博客服务; 第 3 部分:音视频聊天室服务; 第 4 部分:即时通信服务; 第 5 部分:论坛服
3、务; 第 6 部分:移动应用软件发布平台; 第 7 部分:云服务; 第 8 部分: 电子商务平台; 第 9 部分:搜索服务; 第 10 部分:互联网约车服务; 第 11 部分:互联网短租房服务 。 本部分为 GA 1277的第 4部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分 由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位: 公安部网络安全保卫局 、 公安部计算机信息系统安全产品质量监督检验中心、 公安部第三研究所 。 本部分主要起草人:邓琦、 陈飞燕、 任军、毕海滨、高爽、 贺滢睿、 顾健、 陆臻。 GA 1277.4
4、 XXXX 1 互联网交互式服务安全 管理要求 第 4 部分:即时 通信服务 1 范围 GA 1277 的本部分 规定 了 即时通信服务安全管理要求 。 本部分 适用于互联网交互式服务提供商落实即时通信服务的安全 保护 管理制度和安全保护技术措 施 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GA 1277.1-XXXX 互联网交互式服务安全 管理要求 第 1 部分:基本要求 3 术语和定义 GA 1277.1-XXXX 界定 的以及下列术语和定义适用于本
5、文件。 3.1 即时通信 instant messaging 通过有线或无线的传输方式,使用各种互联网终端设备,为用户提供联系人在线状态呈现和实时交 互式文字、图像、声音、数据等信息交流的互联网信息传输、传播的通讯方式。 3.2 即时通信软件 instant messager 具有即时通信功能的软件总称。即时通信软件主要分为用户使用的客户端软件,及提供客户端信息 交互和系统管理功能的服务端软件。 3.3 即时通信 服务提供者 IM service provider 专门提供即时通信服务的互联网 服务提供者 ,通过客户端软件、运营即时通信网络支撑平台等提供 基本即时通信服务,同时也提供围绕这一基
6、本服务的其他外围增值服务。 3.4 即时通信用户 user 在即时通信 服务提供者 处具有身份注册信息并使用即时通信服务的个人。 4 安全管理制度要求 即时通信 服务提供者 应根据 GA 1277.1-XXXX 第 4 章 的要求制订 并维护 安全管理制度 。 GA 1277.4 XXXX 2 5 机构要求 即时通信 服务提供者 应根据 GA 1277.1-XXXX 第 5 章 的要求 建立相关机构并明确其职责 。 6 人员安全管理 即时通信 服务提供者 应符合 GA 1277.1-XXXX 第 6 章的要求。 7 访问控制 管理 7.1 基本要求 即时通信 服务提供者 应根据 GA 1277
7、.1-XXXX 第 7章 的要求 进行访问控制管理 。 7.2 身份鉴别 即时通信 服务提供者 应对用户进行身份鉴别,并满足以下要求: a) 使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等; b) 用户口令应具有一定复杂性,并根据业务需要提示用户定期更换; c) 必要时采用多因素鉴别机制; d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限 设置 即时通信 服务提供者 应对用户登录即时通信 软件 、 发送 信息 、 添加 好友、创建群组、管理群组 进行 权限设置。 7.4 安全登录规程 即时通信 服务 提供者 应制定安全登录规程,并满足以下要求: a) 使
8、用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等; b) 在成功登录后, 能够按用户要求 显示前一次成功登录的日期、时间和地点; c) 在成功登录后, 能够按用户要求 显示最近一次不成功登录尝试的细节; d) 不明文显示输入的口令; e) 不以明文方式在网络上传输口令; f) 修改用户口令时,应重新进行注册信息验证,如注册手机短信 确认 或邮件 确认 等方式验证。 g) 当识别到账号新设备登录时,应进行身份验证, 如 重新输入密码并短信验证等方式。 8 安全 保护技术措施 即时通信 服务提供者 应 根据 GA 1277.1-XXXX 第 8章 的要求 采取相应的安
9、全保护技术措施 。 9 即时通信服务安全 9.1 基本要求 即时通信 服务提供者 应 在满足 GA 1277.1-XXXX 第 9章要求 的基础上保护即时通 信 服务的安全 。 GA 1277.4 XXXX 3 9.2 用户控制 即时通信 服务提供者 应将制作、复制、发布、传播违法有害信息 , 多次被其他用户举报或投诉的以 及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下 动态 管理 控制 措施: a) 控制其消息发送频率; b) 控制其消息发送功能; c) 控制该账号功能、好友数量、加入或创建的群组数量; d) 控制其 IM帐号对其他用户 可见或被其他用户检索; e
10、) 强制账号下线,停止服务; f) 封停帐号; g) 禁止该身份信息再次注册新帐号。 9.3 群组管理 即时通信 服务提供者 应 对 群组进行管理,并满足以下要求: a) 对 即时通信 群组 名称 进行 审核,禁止使用下列昵称: 违反国家现行法律法规规定的、 违背社会公 序良俗的、容易引起公众不良反应或误解的 ; b) 对每个用户可以参加的群组数量设置上限; c) 能够根据公安机关的要求设定群组人数上限; d) 对规模超过 500人的大型群组进行 专项 认证和备案管理:大型群组的群主、管理员应提供有效证 件的复印件和真实可达的联系方式,并由运营商对此信息的真实性进 行核验;大型群组的群组标 识
11、、群组名称、群组类型、群组管理结构、群组成员列表、群组创建时间、创建地 IP、终端类型 等信息需在运营商处备案; e) 所有群组名称和群组标识均可被搜索; f) 至少每 90天 对群组内的文字、图像、声音等信息进行 一次 巡查。 9.4 安全保护 9.4.1 发布控制 即时通信 服务提供者 应具备即时通信信息的发布控制功能,并满足以下要求: a) 对特定区域、特定 IP用户发布的即时通信信息(包括文本、图片、 表情包、 视频、链接、应用程 序等信息)进行发布控制; b) 对网页、客户端等 即时通信 发布源进行 发布 控制,具备切断一项甚至多项 即时通信 信息发 布来源 的功能。 9.4.2 服
12、务限制 即时通信 服务提供者 应具备限制指定用户即时通信功能的功能,必要时可关停其账号。 9.4.3 信息检索 即时通信 服务提供者 应具备后台信息检索功能 ,并满足以下要求 : a) 支持关键字的逻辑组合查询; b) 支持对本服务系统中的所有即时通信信息(包括已经屏蔽过滤的)进行全文搜索。 9.4.4 第三方发布信息控制(有则适用) 即时通信 服务提供者 应具备对第三方发布信息 进行控制的功能 ,并满足以下要求 : GA 1277.4 XXXX 4 a) 限制或切断即时通信服务与其他互联网应用的互联互通; b) 对第三方数据接口( API)发布的信息协助审核,发现违法有害信息可对特定第三方数
13、 据接口采 取限制、关停措施。 9.4.5 停止服务 即时通信 服务提供者 应具备停止 全部或单项 即时通信服务功能 ,并满足以下要求: a) 停止全部用户或指定地区用户的全部服务; b) 停止全部用户或指定地区用户的单项服务 , 包括即时通信会话、创建群组、加入群组、第三方应 用、搜索等。 10 个人信息保护 即时通信 服务提供者 应根据 GA 1277.1-XXXX 第 10 章 的要求对个人信息加以保护。 11 投诉 即时通信 服务提供者 应根据 GA 1277.1-XXXX 第 11章 的要求建立投诉机制和渠道。 12 分包服务 即时通信服务提供 应根据 GA 1277.1-XXXX 第 12章 的要求对分包服 务进行管理。 13 安全事件管理 即时通信 服务提供者 应根据 GA 1277.1-XXXX 第 13章 的要求 对安全事件进行管理 。 _