目 次
前 言 III
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 安全管理制度要求 2
5 机构要求 2
6 人员安全管理 2
7 访问控制管理 2
8 安全保护技术措施 3
9 论坛服务安全 3
10 个人信息保护 5
11 投诉 5
12 分包服务 5
13 安全事件管理 5
前 言
GA 1277《互联网交互式服务安全管理要求》拟分成多个部分,包括基本要求和具体服务类型中的要求。目前计划发布如下部分:
——第1部分:基本要求;
——第2部分:微博客服务;
——第3部分:音视频聊天室服务;
——第4部分:即时通信服务;
——第5部分:论坛服务;
——第6部分:移动应用软件发布平台;
——第7部分:云服务;
——第8部分:电子商务平台;
——第9部分:搜索服务;
——第10部分:互联网约车服务;
——第11部分:互联网短租房服务。
......
本部分为GA 1277的第5部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分由公安部网络安全保卫局提出。
本部分由公安部信息系统安全标准化技术委员会归口。
本部分起草单位:公安部网络安全保卫局、公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。
本部分主要起草人:张艳、陈飞燕、任军、毕海滨、高爽、贺滢睿、顾健、陆臻。
互联网交互式服务安全管理要求 第5部分:论坛服务
1 范围
GA 1277的本部分规定了论坛服务安全管理要求。
本部分适用于互联网交互式服务提供者落实论坛服务的安全管理制度和安全保护技术措施。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GA 1277.1-2020 互联网交互式服务安全管理要求 第1部分:基本要求
3 术语和定义
GA 1277.1-2020界定的以及下列术语和定义适用于本文件。
3.1
论坛 bulletin board system;BBS
一种交互性强、内容丰富的互联网信息服务类型。
3.2
论坛服务提供商 BBS service provider
通过搭建社交网络平台,提供论坛服务的互联网服务商。
3.3
安全管理员 security administrator
论坛服务提供商委托或授权的负责论坛服务运行安全、服务审计、帐号管理和信息发布审核等职责的单位或个人。
3.4
论坛用户 user of the BBS
在论坛服务提供商处具有身份注册信息并使用论坛服务的个人。
3.5
匿名用户anonymous user
在论坛服务提供商处不具有身份注册信息的个人。
4 安全管理制度要求
论坛服务提供商应根据GA 1277.1-2020第4章的要求制订并维护安全管理制度。
5 机构要求
论坛服务提供商应根据GA 1277.1-2020 第5章的要求建立相关机构并明确其职责。
6 人员安全管理
论坛服务提供商应符合GA 1277.1-2020 第6章的要求。
7 访问控制管理
7.1 基本要求
论坛服务提供商应根据GA 1277.1-2020 第7章的要求进行访问控制管理。
7.2 身份鉴别
论坛服务提供商应对用户进行身份鉴别,并满足以下要求:
a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;
b)用户口令应具有一定复杂性,并根据业务需要提示用户定期更换;
c)必要时采用多因素鉴别方式;
d)采用技术措施防止用户的鉴别信息被未授权访问。
7.3 用户权限设置
论坛服务提供商应提供用户权限的设置能力,并满足以下要求:
a)限制用户发布、评论、转发论坛信息;
b)匿名用户仅能浏览未设限制的论坛发布信息。
7.4 安全登录规程
论坛服务提供商应制定安全登录规程,并满足以下要求:
a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;
b)在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点;
c)在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节;
d)不明文显示输入的口令;
e)不以明文方式在网络上传输口令;
f)用户修改口令时或用户账号在不同的设备首次登录时,重新验证用户注册信息,如注册手机短信验证、注册邮箱邮件验证等。
8 安全保护技术措施
论坛服务提供商应根据GA 1277.1-2020 第8章的要求采取相应的安全保护技术措施。
9 论坛服务安全
9.1 基本要求
论坛服务提供商应在满足GA 1277.1-2020 第9章要求的基础上保护论坛服务的安全。
9.2 用户管理
9.2.1 用户控制
论坛服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下控制措施:
a)对其发布的内容实施逐条审核,坚持先审后发原则;
b)控制其网络帐号推荐给他人或被其他用户检索;
c)控制其帐号功能和好友数量;
d)控制其站内信发送功能;
e)控制其发布的内容被回复;
f)控制其发布的内容被转载范围;
g)控制其对其他用户发帖进行评论的功能;
h)限制其论坛信息发布频率;
i)控制其论坛发帖和回复功能;
j)禁止发帖;
k)封停帐号,停止服务;
l)禁止该身份信息再次注册新帐号。
9.2.2 昵称管理
论坛服务提供商应对用户昵称和群组名称进行审核,并满足GA 1277.1-2020 9.2.2 c)的要求。
9.3 论坛群组管理
论坛服务提供商应对论坛群组进行管理,并满足以下要求:
a)能够根据公安机关的要求设定论坛群组人数上限;
b)论坛群组创建者、管理员需经实名认证;
c)群组头像、群组公告以及群组内发布文件不得包含违法有害信息;
d)所有群组名称均可被搜索;
e)至少每90天对群组发布信息进行一次巡查。
9.4 安全审核
9.4.1 安全审核要求
论坛服务提供商应具备安全审核功能,并满足以下要求:
a)对特定的论坛用户和黑名单用户发布的论坛信息进行逐条审核,实行先审后发的措施;
b)对其他论坛用户发布的论坛信息进行抽查审核,实行边发边抽审的措施。
9.4.2 安全审核方式
论坛服务提供商应采取人工或自动化、动态分析或静态扫描等方式进行安全审核。
9.4.3 安全审核机构
论坛服务提供商宜根据审核内容、审核要求委托具有相关资质的第三方机构进行安全审核。
9.4.4 安全审核内容
论坛服务提供商应审核发布信息、转发信息、评论信息、群组公告以及群组内发布文件等内容是否包含违法有害信息。
9.5 安全保护
9.5.1 发布控制
论坛服务提供商应具备论坛信息的发布控制功能,并满足以下要求:
a)对特定区域或特定IP用户发布的论坛信息(包括文本、图片、视频、链接等信息)进行审核控制,实现先审后发;
b)对网页、客户端等论坛发布源进行审核控制,具备切断一项甚至多项论坛信息发布来源的功能。
9.5.2 禁止转发、评论
论坛服务提供商应能禁止特定用户或黑名单用户发布的单条或全部论坛信息内容被转发、跟帖、评论等。
9.5.3 禁止浏览
论坛服务提供商应能禁止其他用户浏览特定用户或黑名单用户发布的单条或全部论坛信息。
9.5.4 信息检索
论坛服务提供商应具备后台信息检索功能,并满足以下要求:
a)支持关键字的逻辑组合查询;
b)支持对本服务系统中所有论坛信息(包括已经屏蔽过滤的论坛信息)进行全文搜索。
9.5.5 第三方发布信息控制(有则适用)
论坛服务提供商应具备对第三方发布信息进行控制的功能,并满足以下要求:
a)限制或切断论坛与其他互联网应用的互联互通;
b)对第三方数据接口(API)发布的信息也应履行审核义务,发现违法有害信息可对第三方数据接口采取限制、关停措施。
9.5.6 停止服务
论坛服务提供商应具备停止全部或单项论坛服务的功能,并满足以下要求:
a)停止全部用户或指定地区用户或黑名单用户的全部服务;
b)停止全部用户或指定地区用户或黑名单用户的单项服务包括停止发布、转发、评论、上传图片、上传视频、上传音频、第三方应用等。
9.5.7 个人论坛功能限制
论坛服务提供商应能限制个人论坛用户的网络投票、评论等功能。
10 个人信息保护
论坛服务提供商应根据GA 1277.1-2020 第10章的要求对论坛服务中涉及的个人电子信息加以保护。
11 投诉
论坛服务提供商应根据GA 1277.1-2020 第11章的要求建立投诉机制和渠道。
12 分包服务
论坛服务提供商应根据GA 1277.1-2020 第12章的要求对分包服务进行管理。
13 安全事件管理
论坛服务提供商应根据GA 1277.1-2020 第13章的要求对安全事件进行管理。
