1、ICS 35.040 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA 1277.5 XXXX 互联网交互式服务安全管理要求 第 5 部 分:论坛服务 Security management requirements for internet interactive service Part 5: BBS service (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA/T 1277.5-XXXX II 目 次 前 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 .
2、1 4 安全管理制度要求 . 1 5 机构要求 . 2 6 人员安全管理 . 2 7 访问控制管理 . 2 8 安全保护技术措施 . 2 9 论坛服务安全 . 3 10 个人信息保护 . 5 11 投诉 . 5 12 分包服务 . 5 13 安全事件管理 . 5 GA 1277.5 XXXX III 前 言 GA 1277互联网交互式服务安全管理要求拟分成部分出版,包括基本要求和具体服务类型中 的要求。目前计划发布如下部分: 第 1 部分:基本要求; 第 2 部分:微博客服务; 第 3 部分:音视频聊天室服务; 第 4 部分:即时通信服务; 第 5 部分:论坛服务; 第 6 部分:移动应用软件
3、发布平台; 第 7 部分:云服务; 第 8 部分:电子商务平台; 第 9 部分:搜索服务; 第 10 部分:互联网约车服务; 第 11 部分:互联网短租房服务 。 本部分 为 GA 1277 的第 5 部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位: 公安部网络安全保卫局、 公安部计算机信息系统安全产品质量监督检验中心、 公安部第三研究所。 本部分主要起草人:张艳、陈飞燕、 任军、毕海滨、高爽、 贺滢睿、顾健、陆臻。 GA 1277.5 XXXX 1 互联网交互式服务安全管理
4、要求 第 5 部分:论坛服务 1 范围 GA 1277 的本部分规定了论坛服务安全管理要求。 本部分适用于互联网交互式服务提供者落实论坛服务 的安全管理制度和安全保护技术措施。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GA 1277.1-XXXX 互联网交互式服务安全管理要求 第 1 部分:基本要求 3 术语和定义 GA 1277.1-XXXX 界定 的以及下列术语和定义适用于本文件。 3.1 论坛 bulletin board system 一种交互性强
5、 、 内容丰富的 互联网 信息服务 类型 。 3.2 论坛服务提供商 BBS service provider 通过搭建社交网络平台,提供论坛服务的互联网服务商。 3.3 安全管理员 security administrator 论坛服务提供商委托或授权的负责论坛服务运行安全、服务审计、帐号管理和信息发布审核等职责 的单位或个人。 3.4 论坛用户 user of the BBS 在论坛服务提供商处具有身份注册信息并使用论坛服务的个人。 3.5 匿名用户 anonymous user 在论坛服务提供商处不具有身份注册信息的个人。 4 安全管理制度要求 GA/T 1277.5-XXXX 2 论坛
6、服务提供商应根据 GA 1277.1-XXXX 第 4 章的要求制订并维护安全管理制度。 5 机构要求 论坛服务提供商 应根据 GA 1277.1-XXXX 第 5章的要求 建立相关机构并明确其职责。 6 人员安全管理 论坛服务提供商 应符合 GA 1277.1-XXXX 第 6章的要求。 7 访问控制管理 7.1 基本要求 论坛服务提供商应 根据 GA 1277.1-XXXX 第 7章的 要求进行访问控制管理。 7.2 身份鉴别 论坛服务提供商应对用户进行身份鉴别,并满足以下要求: a) 使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等; b) 用户口令应具有一定复杂性,并
7、根据业务需要提示用户定期更 换; c) 必要时采用多因素鉴别方式; d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限设置 论坛服务提供商应提供用户权限的设置能力,并满足以下要求: a) 限制用户发布、评论、转发微 论坛 信息; b) 匿名用户 仅能 浏览未设限制的 论坛发布 信息 。 7.4 安全登录规程 论坛服务提供商应制定安全登录规程,并满足以下要求: a) 使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等; b) 在成功登录后, 能够按用户要求 显示前一次成功登录的日期、时间和地点; c) 在成功登录后, 能够按用户要求 显示最近一次不
8、成功登录尝试的细 节; d) 不明文显示输入的口令; e) 不以明文方式在网络上传输口令; f) 用户修改口令时或用户账号在不同的设备首次登录时 ,重新验证用户注册信息,如注册手机短信 验证、注册邮箱邮件验证等。 8 安全保护技术措施 论坛服务提供商 应根据 GA 1277.1-XXXX 第 8章的要求采 取相应的安全保护技术措施。 GA 1277.5 XXXX 3 9 论坛服务安全 9.1 基本要求 论坛服务提供商应在 满足 GA 1277.1-XXXX 第 9章 要求的基础上保护论坛服务的安全。 9.2 用户管理 9.2.1 用户控制 论坛服务提供商 应 将 制作、复制、发布、传播违法有害
9、信息的 、 多次被其他用户举报或投诉的 以及公 安机 关通报的涉嫌违法犯罪的用户 纳入黑名单管理,并根据情节轻重,采取以下 控制 措施: a) 对其发布的内容实施逐条审核,坚持先审后发原则; b) 控制其网络帐号推荐给他人或被其他用户检索; c) 控制其帐号功能和好友数量; d) 控制其站内信发送功能; e) 控制其发布的内容被回复; f) 控制其发布的内容被转载范围; g) 控制其对其他用户发帖进行评论的功能; h) 限制其论坛信息发布频率; i) 控制其论坛发帖和回复功能; j) 禁止发帖; k) 封停帐号,停止服务; l) 禁止该身份信息再次注册新帐号。 9.2.2 昵称管理 论坛服务提
10、供商应对 用户昵称 和 群组 名 称进行 审核,并满 足 GA 1277.1-XXXX 9.2.2 c)的要求。 9.3 论坛群组管理 论坛服务提供商 应对论坛群组进行管理,并满足以下要求: a) 能够根据公安机关的要求设定论坛 群组 人数上限 ; b) 论坛 群组创建者、管理员需经实名认证 ; c) 群 组头像、 群 组 公告 以及 群 组 内发布文件 不得包含违法有害信息; d) 所有群 组 名称均可被搜索 ; e) 至少每 90天 对群组发布信息进行 一次 巡查。 9.4 安全审核 9.4.1 安全审核时点 论坛服务提供商应具备安全审核功能,并满足以下要求: a) 对特定的论坛用户和黑名
11、单用户发布的论坛信息进行逐条审核,实行先审后发的措施; b) 对其他论坛用户发布的论坛信息进行抽查 审核,实行边发边抽审措施。 GA/T 1277.5-XXXX 4 9.4.2 安全审核方式 论坛服务提供商应采取人工或自动化、动态分析或静态扫描等方式进行安全审核。 9.4.3 安全审核机构 论坛服务提供商宜根据审核内容、审核要求委托具有相关资质的第三方机构进行安全审核。 9.4.4 安全审核内容 论坛服务提供商应审核发布信息、转发信息、评论信息、 群 组 公告 以及 群 组 内发布文件 等内容是否包 含违法有害信息。 9.5 安全保护 9.5.1 发布控制 论坛服务提供商应具备论坛信息的发布控
12、制功能,并满足以下要求: a) 对特定区域或特定 IP用户发布的论坛信息(包括文本、图片、视频、链接等信息)进行审核控制, 实现先审后 发; b) 对网页、客户端等论坛发布源进行审核控制,具备切断一项甚至多项论坛信息发布来源的功能。 9.5.2 禁止转发、评论 论坛服务提供商 应能禁止特定 用户 或黑名单用户 发布的单条 或全部论坛信息内容被 转发、 跟帖 评论 等 。 9.5.3 禁止浏览 论坛服务提供商 应能禁止其他用户浏览 特定用户 或黑名单用户发布的单条或全部论坛信息。 9.5.4 信息检索 论坛服务提供商 应 具备后台信息检索功能 ,并满足以下要求: a) 支持关键字的逻辑组合查询;
13、 b) 支持对本服务系统中所有论坛信息(包括已经屏蔽过滤的论坛信息)进行全文搜索。 9.5.5 第三方发布信息控制(有则适用) 论坛服务提供商 应具 备对 第三方 发布信息进行控制的 功能 ,并满足以下要求: a) 限制或切断论坛与 其他互联网应用的互联互通; b) 对第三方数据接口 (API)发布的 信息也应履行审核义务,发现违法有害信息可对第三方数据接口采 取限制、关停措施。 9.5.6 停止服务 论坛服务提供商 应具备 停止全部或单项 论坛 服务 的 功能 ,并满足以下要求: a) 停止全部用户或指定地区用户或黑名单用户的全部服务; b) 停止全部用户或指定地区用户或黑名单用户的单项服务
14、包括停止发布、转发、评论、上传图片、 上传视频、上传音频、第三方应用等。 GA 1277.5 XXXX 5 9.5.7 个人论坛限制 论坛服务提供商 应能限制 个人 论坛用户的 网络投 票、评论等 功能 。 10 个人信息保护 论坛服务提供商 应 根 据 GA 1277.1-XXXX 第 10章的要求对论坛服 务中涉及的个人电子信息加以保护。 11 投诉 论坛服务提供商应根据 GA 1277.1-XXXX 第 11章的要求 建立投诉机制和渠道。 12 分包服务 论坛 服务提供商应根据 GA 1277.1-XXXX 第 12章的要求对分包服 务进行管理。 13 安全事件管理 论坛服务提供商 应根据 GA 1277.1-XXXX 第 13章 的要求 对安全事件进行管理 。 _
