GA 1277.2-2020 互联网交互式服务安全管理要求 第2部分：微博客服务.pdf

《GA 1277.2-2020 互联网交互式服务安全管理要求 第2部分：微博客服务.pdf》由会员分享，可在线阅读，更多相关《GA 1277.2-2020 互联网交互式服务安全管理要求 第2部分：微博客服务.pdf（9页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.040 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA 1277.2-XXXX 互联网交互式服务安全管理要求 第 2 部 分：微博客服务 Security management requirements for internet interactive service Part 2: Microblog service （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA 1277.2-XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定

2、义 . 1 4 安全管理制度要求 . 2 5 机构要求 . 2 6 人员 安全管理 . 2 7 访问控制管理 . 2 8 安全保护技术措施 . 3 9 微博客服务安全 . 3 10 个人电子信息保护 . 5 11 投诉 . 5 12 分包服务 . 5 13 安全事件管理 . 5 GA 1277.2-XXXX II 前 言 GA 1277互联网交互式服务安全管理要求拟分成部分出版，包括基本要求和具体服务类型中 的要求。目前计划发布如下部分： 第 1 部分：基本要求； 第 2 部分：微博客服务； 第 3 部分：音视频聊天室服务； 第 4 部分：即时通信服务； 第 5 部分：论坛服务； 第 6 部分

3、：移动应用软件发布平台； 第 7 部分：云服务； 第 8 部分：电子商务平台； 第 9 部分：搜索服务； 第 10 部分：互联网约车服务； 第 11 部分：互联网短租房服务 。 本部分为 GA 1277的第 2部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位： 公安部网络安全保卫局 、 公安部计算机信息系统安全产品质量监督检验中心、 公安部第三研究所 。 本部分主要起草人：顾玮、 陈飞燕 、 任军、 毕海滨、 高爽、 贺滢睿 、顾健、沈亮。 GA 1277.2-XXXX 1 互

4、联网交互式服务安全管理要求 第 2 部分：微博客服务 1 范围 GA 1277 的 本部分规 定了微博客服务的安全管理的基本要求。 本部分 适用于 微博客服务 提供 商 落实 互联网安全管理制度和安全 保护 技术措施 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GA 1277.1-XXXX 互联网交互式服务安全管理 要求 第 1 部分：基本要求 3 术语和定义 GA 1277.1-XXXX 界定 的以及下列术语和定义适用于本文件。 3.1 微博客 micr

5、oblog 通过互联网为用户提供基于用户关 系的信息分享、传播和获取等 功能 ，主要以短文字、图片等形式 更新信息，并实现即时分享。 3.2 微博客服务提供商 microblog service provider 通过搭建社交网络平台，提供微博服务的互联网信息服务提供商。 3.3 安全管理员 security administrator 负责微博客服务运行安全、服务审计以及用户信息审核和企业公众信息审核等 职责的管理人员 。 3.4 微博客博主 microblog host 在微博服务中发布文字、图片等内容的微博用户。 3.5 粉丝 microblog fan 在微博服务系统中 具有 注册信息

6、并对 微博客 博主保持关注的群体。 3.6 GA 1277.2-XXXX 2 微博客群组 microblog group 聚合了相同爱好或相同标签的 微博客 博主 并将与之相应话题全部聚拢的形式。 3.7 匿名用户 anonymous user 在微博服务系统 中 不具有 身份注册信息的个人。 4 安全管理制度要求 微博客服务提供商应根据 GA 1277.1-XXXX 第 4 章 的要求 制订并维护安全管理制度。 5 机构要求 微博客服务提供商 应根据 GA 1277.1-XXXX 第 5 章 的要求建立相关机构并明确其职责。 6 人员安全管理 微博客服务提供商应 符合 GA 1277.1-X

7、XXX 第 6章的要求 。 7 访问控制管理 7.1 基本要求 微博客服务提供商应根据 GA 1277.1-XXXX 第 7章的要求进行访问控制管理。 7.2 身份鉴别 微博客服务提供商应对用户进行身份鉴别，并满足以下要求： a) 使用实名信息与用户标识进行关联， 如 身份证、手机号或第三方登录信息等 ； b) 用户口令具有一定复杂性，并根据业务需要提示用户定期更换； c) 必要时采用多因素鉴别机制； d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限设置 微博客服务提供商应 提供 用户权限 的 设置 能力 ，并满足以下要求： a) 限制 用户发布、评论、转发微博 客信息 ；

8、 b) 匿名用户 仅能 浏览未设限制的微博客信息 。 7.4 安全登录规程 微博客服务提供商应制定安全登录规程，并满足以下要求： a) 使用技术手段防止暴力登录尝试， 如 要求 输入验证码、 限制错误登录次数、锁定用户账号等 ； b) 在成功登录后，能够按用户要求显示前一次成功登录的日期、时间和地点； GA 1277.2-XXXX 3 c) 在成功登录后，能够按用户要求显示最近一次不成功登录尝试的细节； d) 不明文显示输入的口令； e) 不以明文方式在网络上传输口令； f) 不活动的会话在一个设定的休止期后关闭； g) 用户修改口令时或用户账号在不同的设备首次登录时 ,重新验证用户注册信息，

9、 如 注册手机短 信 验证、注册邮箱邮件验证等。 8 安全保护技术措施 微博客服务提供商应根据 GA 1277.1-XXXX 第 8章的要求采取相应的安全保护技术措施。 9 微博客服务安全 9.1 基本要求 微博客服务提供商应在满足 GA 1277.1-XXXX 第 9章要求的基础上保护微博客服务的安全。 9.2 用户身份登记与核验 微博客服务提供商应登记并核验用户真实身份， 以党政机关、社会团体 或企 事业单位名义 申请 登记 的 用户按如下要求进行注册： a) 提供加盖公章的证明文书公函； b) 提供组织机构代码等申请主体的合法资质证明复印件，并进行核验； c) 登记办理人真实身份信息 ，

10、并进行核验； d) 登记办理人真实有效手机号、电子邮箱等联系方式，并进行核验。 9.3 用户控制 微博客服务提供商 应 将 制作、复制、发布、传播违法有害信息的 、 多次被其他用户举报或投诉的 以及 公安机关通报的涉嫌违法犯罪的用户 纳入黑名单管理，并根据情节轻重，采取以下 动态管理 控制 措施： a) 封禁 其 帐号或限制 其 帐号功能 ； b) 控制 其微博客 功能，直至关闭 所有功能 ； c) 控制其微博客的粉丝数量，直至关闭粉丝关注功能； d) 对其 微博客 发布内容实施先审后发措施； e) 限制其 微博客 信息发布频率； f) 控制其 微博客 内容被转载范围； g) 控制其 微博客

11、只能给 其自身的 粉丝用 户发送私信； h) 控制其 微博客 内容只能被 其自身的 粉丝用户评论； i) 控制其 微博客 推荐给他人或被其他用户检索； j) 控制其在其他用户或 热门事件 微博客 下进行评论。 9.4 昵称管理 微博客服务提供商 应对 用户 昵称 和 群组 名 称 进行 审核，并满足 GA 1277.1-XXXX 9.2.2 c)的要求。 9.5 微博客群组管理 GA 1277.2-XXXX 4 微博客服务提供商 应对微博客群组进行管理，并满足以下要求： a) 能够根据公安机关的要求设定 微博 客 群组 人数上限 ； b) 微博 客 群组创建者、管理员需经实名认证 ； c) 群

12、 组头像、 群 组 公告 以及 群 组 内发布文件 不得包含违法有害信息； d) 所有群 组 名称均可被搜索 ； e) 至少每 90天 对群组发布信息进行 一次 巡查。 9.6 安全审核 9.6.1 安全审核时点 微博客服务提供商应具备安全审核功能，并满足以下要求： a) 对特定的微博客用户和黑名单用户发布的微博客信息进行逐条审核，实行先审后发等措施； b) 对其他微博客用户发布的微博客信息进行抽查审核，实行边发边抽审措施。 9.6.2 安全审核方式 微博客服务提供商应采取人工或自动化、动态分析或静态扫描等方式进行安全审核。 9.6.3 安全审核机构 微博客服务提供商 宜根据审核内容、审核要求

13、委托具有相关资质的第三方机构进行安全审核。 9.6.4 安全审核内容 微博客服务提供商 应审核发布信息、 转发 信息、评论信息 、 群 组头像、 群 组 公告 以及 群 组 内发布文 件 等是否包含违法有害信息。 9.7 安全保护 9.7.1 发布控制 微博客服务提供商应具备微博客信息的发布控制功能，并满足以下要求： a) 对特定区域、 特定 IP用户发布 的微博客 信息（包括文本、图片、 音 视频、链接等信息）进行 审核 控制，实现先审后发； b) 对网页 、客户端等 微博客发布源进行审核控制，具备切断一项甚至多项微博客信息发布来源的功 能。 9.7.2 禁止转发、评论 微博客服务提供商 应

14、能 禁止 特定 用户 、群组或黑名单用户 发布的单条 或全部微博客信息被 转发、评论。 9.7.3 禁止浏览 微博客服务提供商 应能禁止所有粉丝 及其他用户浏览特定用户、群组或黑名单用户发布的单条或全部 微博客信息。 9.7.4 第三方发布信息控制（有则适用） 微博客服务提供商应具备对第三方发布信息进行控制的功能，并满足以下要求 ： a) 限制或切断本服务系统与其他互联网应用的互联互通； b) 对第三方数据接口（ API）发布的信息协助审核，发现违法有害信息可对第三方数据接口采取限 GA 1277.2-XXXX 5 制、关停措施 。 9.7.5 停止服务 微博客服务提供商 应具备 停止全部或单

15、项 微博客 服务 的 功能 ，并满足以下要求： a) 停止 全 部 用户或指定地区用户 或黑名单用户的 全部 服务； b) 停止 全 部 用户或指定地区用户 或 单个用户 的 单项服务 ， 包括 停止发布、转发、评论、上传图片、 上传视频、上传 音视频 、第三方应用等。 10 个人信息保护 微博客服务提供商 应 根据 GA 1277.1-XXXX 第 10章 的要求对个人电子信息加以保护。 11 投诉 微博客服务提供商应根据 GA 1277.1-XXXX 第 11章 的要求建立投诉机制和渠道。 12 分包服务 微博客服务提供商应根据 GA 1277.1-XXXX 第 12章的要求对分包服务进行管理。 13 安全事件管理 微博客服务提供商应根据 GA 1277.1-XXXX 第 13章 的要求 对安全事件进行管理。 _