1、 ICS 35.040 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA 1277.2-XXXX 互联网交互式服务安全管理要求 第 2 部 分:微博客服务 Security management requirements for internet interactive service Part 2: Microblog service (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA 1277.2-XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定
2、义 . 1 4 安全管理制度要求 . 2 5 机构要求 . 2 6 人员 安全管理 . 2 7 访问控制管理 . 2 8 安全保护技术措施 . 3 9 微博客服务安全 . 3 10 个人电子信息保护 . 5 11 投诉 . 5 12 分包服务 . 5 13 安全事件管理 . 5 GA 1277.2-XXXX II 前 言 GA 1277互联网交互式服务安全管理要求拟分成部分出版,包括基本要求和具体服务类型中 的要求。目前计划发布如下部分: 第 1 部分:基本要求; 第 2 部分:微博客服务; 第 3 部分:音视频聊天室服务; 第 4 部分:即时通信服务; 第 5 部分:论坛服务; 第 6 部分
3、:移动应用软件发布平台; 第 7 部分:云服务; 第 8 部分:电子商务平台; 第 9 部分:搜索服务; 第 10 部分:互联网约车服务; 第 11 部分:互联网短租房服务 。 本部分为 GA 1277的第 2部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位: 公安部网络安全保卫局 、 公安部计算机信息系统安全产品质量监督检验中心、 公安部第三研究所 。 本部分主要起草人:顾玮、 陈飞燕 、 任军、 毕海滨、 高爽、 贺滢睿 、顾健、沈亮。 GA 1277.2-XXXX 1 互
4、联网交互式服务安全管理要求 第 2 部分:微博客服务 1 范围 GA 1277 的 本部分规 定了微博客服务的安全管理的基本要求。 本部分 适用于 微博客服务 提供 商 落实 互联网安全管理制度和安全 保护 技术措施 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GA 1277.1-XXXX 互联网交互式服务安全管理 要求 第 1 部分:基本要求 3 术语和定义 GA 1277.1-XXXX 界定 的以及下列术语和定义适用于本文件。 3.1 微博客 micr
5、oblog 通过互联网为用户提供基于用户关 系的信息分享、传播和获取等 功能 ,主要以短文字、图片等形式 更新信息,并实现即时分享。 3.2 微博客服务提供商 microblog service provider 通过搭建社交网络平台,提供微博服务的互联网信息服务提供商。 3.3 安全管理员 security administrator 负责微博客服务运行安全、服务审计以及用户信息审核和企业公众信息审核等 职责的管理人员 。 3.4 微博客博主 microblog host 在微博服务中发布文字、图片等内容的微博用户。 3.5 粉丝 microblog fan 在微博服务系统中 具有 注册信息
6、并对 微博客 博主保持关注的群体。 3.6 GA 1277.2-XXXX 2 微博客群组 microblog group 聚合了相同爱好或相同标签的 微博客 博主 并将与之相应话题全部聚拢的形式。 3.7 匿名用户 anonymous user 在微博服务系统 中 不具有 身份注册信息的个人。 4 安全管理制度要求 微博客服务提供商应根据 GA 1277.1-XXXX 第 4 章 的要求 制订并维护安全管理制度。 5 机构要求 微博客服务提供商 应根据 GA 1277.1-XXXX 第 5 章 的要求建立相关机构并明确其职责。 6 人员安全管理 微博客服务提供商应 符合 GA 1277.1-X
7、XXX 第 6章的要求 。 7 访问控制管理 7.1 基本要求 微博客服务提供商应根据 GA 1277.1-XXXX 第 7章的要求进行访问控制管理。 7.2 身份鉴别 微博客服务提供商应对用户进行身份鉴别,并满足以下要求: a) 使用实名信息与用户标识进行关联, 如 身份证、手机号或第三方登录信息等 ; b) 用户口令具有一定复杂性,并根据业务需要提示用户定期更换; c) 必要时采用多因素鉴别机制; d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限设置 微博客服务提供商应 提供 用户权限 的 设置 能力 ,并满足以下要求: a) 限制 用户发布、评论、转发微博 客信息 ;
8、 b) 匿名用户 仅能 浏览未设限制的微博客信息 。 7.4 安全登录规程 微博客服务提供商应制定安全登录规程,并满足以下要求: a) 使用技术手段防止暴力登录尝试, 如 要求 输入验证码、 限制错误登录次数、锁定用户账号等 ; b) 在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点; GA 1277.2-XXXX 3 c) 在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节; d) 不明文显示输入的口令; e) 不以明文方式在网络上传输口令; f) 不活动的会话在一个设定的休止期后关闭; g) 用户修改口令时或用户账号在不同的设备首次登录时 ,重新验证用户注册信息,
9、 如 注册手机短 信 验证、注册邮箱邮件验证等。 8 安全保护技术措施 微博客服务提供商应根据 GA 1277.1-XXXX 第 8章的要求采取相应的安全保护技术措施。 9 微博客服务安全 9.1 基本要求 微博客服务提供商应在满足 GA 1277.1-XXXX 第 9章要求的基础上保护微博客服务的安全。 9.2 用户身份登记与核验 微博客服务提供商应登记并核验用户真实身份, 以党政机关、社会团体 或企 事业单位名义 申请 登记 的 用户按如下要求进行注册: a) 提供加盖公章的证明文书公函; b) 提供组织机构代码等申请主体的合法资质证明复印件,并进行核验; c) 登记办理人真实身份信息 ,
10、并进行核验; d) 登记办理人真实有效手机号、电子邮箱等联系方式,并进行核验。 9.3 用户控制 微博客服务提供商 应 将 制作、复制、发布、传播违法有害信息的 、 多次被其他用户举报或投诉的 以及 公安机关通报的涉嫌违法犯罪的用户 纳入黑名单管理,并根据情节轻重,采取以下 动态管理 控制 措施: a) 封禁 其 帐号或限制 其 帐号功能 ; b) 控制 其微博客 功能,直至关闭 所有功能 ; c) 控制其微博客的粉丝数量,直至关闭粉丝关注功能; d) 对其 微博客 发布内容实施先审后发措施; e) 限制其 微博客 信息发布频率; f) 控制其 微博客 内容被转载范围; g) 控制其 微博客
11、只能给 其自身的 粉丝用 户发送私信; h) 控制其 微博客 内容只能被 其自身的 粉丝用户评论; i) 控制其 微博客 推荐给他人或被其他用户检索; j) 控制其在其他用户或 热门事件 微博客 下进行评论。 9.4 昵称管理 微博客服务提供商 应对 用户 昵称 和 群组 名 称 进行 审核,并满足 GA 1277.1-XXXX 9.2.2 c)的要求。 9.5 微博客群组管理 GA 1277.2-XXXX 4 微博客服务提供商 应对微博客群组进行管理,并满足以下要求: a) 能够根据公安机关的要求设定 微博 客 群组 人数上限 ; b) 微博 客 群组创建者、管理员需经实名认证 ; c) 群
12、 组头像、 群 组 公告 以及 群 组 内发布文件 不得包含违法有害信息; d) 所有群 组 名称均可被搜索 ; e) 至少每 90天 对群组发布信息进行 一次 巡查。 9.6 安全审核 9.6.1 安全审核时点 微博客服务提供商应具备安全审核功能,并满足以下要求: a) 对特定的微博客用户和黑名单用户发布的微博客信息进行逐条审核,实行先审后发等措施; b) 对其他微博客用户发布的微博客信息进行抽查审核,实行边发边抽审措施。 9.6.2 安全审核方式 微博客服务提供商应采取人工或自动化、动态分析或静态扫描等方式进行安全审核。 9.6.3 安全审核机构 微博客服务提供商 宜根据审核内容、审核要求
13、委托具有相关资质的第三方机构进行安全审核。 9.6.4 安全审核内容 微博客服务提供商 应审核发布信息、 转发 信息、评论信息 、 群 组头像、 群 组 公告 以及 群 组 内发布文 件 等是否包含违法有害信息。 9.7 安全保护 9.7.1 发布控制 微博客服务提供商应具备微博客信息的发布控制功能,并满足以下要求: a) 对特定区域、 特定 IP用户发布 的微博客 信息(包括文本、图片、 音 视频、链接等信息)进行 审核 控制,实现先审后发; b) 对网页 、客户端等 微博客发布源进行审核控制,具备切断一项甚至多项微博客信息发布来源的功 能。 9.7.2 禁止转发、评论 微博客服务提供商 应
14、能 禁止 特定 用户 、群组或黑名单用户 发布的单条 或全部微博客信息被 转发、评论。 9.7.3 禁止浏览 微博客服务提供商 应能禁止所有粉丝 及其他用户浏览特定用户、群组或黑名单用户发布的单条或全部 微博客信息。 9.7.4 第三方发布信息控制(有则适用) 微博客服务提供商应具备对第三方发布信息进行控制的功能,并满足以下要求 : a) 限制或切断本服务系统与其他互联网应用的互联互通; b) 对第三方数据接口( API)发布的信息协助审核,发现违法有害信息可对第三方数据接口采取限 GA 1277.2-XXXX 5 制、关停措施 。 9.7.5 停止服务 微博客服务提供商 应具备 停止全部或单
15、项 微博客 服务 的 功能 ,并满足以下要求: a) 停止 全 部 用户或指定地区用户 或黑名单用户的 全部 服务; b) 停止 全 部 用户或指定地区用户 或 单个用户 的 单项服务 , 包括 停止发布、转发、评论、上传图片、 上传视频、上传 音视频 、第三方应用等。 10 个人信息保护 微博客服务提供商 应 根据 GA 1277.1-XXXX 第 10章 的要求对个人电子信息加以保护。 11 投诉 微博客服务提供商应根据 GA 1277.1-XXXX 第 11章 的要求建立投诉机制和渠道。 12 分包服务 微博客服务提供商应根据 GA 1277.1-XXXX 第 12章的要求对分包服务进行管理。 13 安全事件管理 微博客服务提供商应根据 GA 1277.1-XXXX 第 13章 的要求 对安全事件进行管理。 _