1、 ICS 35.040 A 90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA 1277.4XXXX 互联网交互式服务安全管理要求 第 4 部分:即时通信服务 Security management requirements for internet interactive servicePart 4: Instant messaging service (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发 布 GA 1277.4XXXX I 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1
2、 3 术语和定义 . 1 4 安全管理制度要求 . 1 5 机构要求 . 2 6 人员安全管理 . 2 7 访问控制管理 . 2 8 安全保护技术措施 . 2 9 即时通信服务安全 . 2 10 个人信息保护 . 4 11 投诉 . 4 12 分包服务 . 4 13 安全事件管理 . 4 GA 1277.4XXXX II 前 言 GA 1277互联网交互式服务安全管理要求拟分成部分出版,包括基本要求和具体服务类型中的要求。目前计划发布如下部分: 第 1 部分:基本要求; 第 2 部分:微博客服务; 第 3 部分:音视频聊天室服务; 第 4 部分:即时通信服务; 第 5 部分:论坛服务; 第 6
3、 部分:移动应用软件发布平台; 第 7 部分:云服务; 第 8 部分:电子商务平台; 第 9 部分:搜索服务; 第 10 部分:互联网约车服务; 第 11 部分:互联网短租房服务。 本部分为GA 1277的第4部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位:公安部网络安全保卫局、公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。 本部分主要起草人:邓琦、陈飞燕、任军、毕海滨、高爽、贺滢睿、顾健、陆臻。 GA 1277.4XXXX 1 互联网交互式服务安全管理要求
4、 第 4 部分:即时通信服务 1 范围 GA 1277 的本部分规定了即时通信服务安全管理要求。 本部分适用于互联网交互式服务提供商落实即时通信服务的安全保护管理制度和安全保护技术措施。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GA 1277.1-XXXX 互联网交互式服务安全管理要求 第 1 部分:基本要求 3 术语和定义 GA 1277.1-XXXX 界定的以及下列术语和定义适用于本文件。 3.1 即时通信 instant messaging 通过有
5、线或无线的传输方式,使用各种互联网终端设备,为用户提供联系人在线状态呈现和实时交互式文字、图像、声音、数据等信息交流的互联网信息传输、传播的通讯方式。 3.2 即时通信软件 instant messager 具有即时通信功能的软件总称。即时通信软件主要分为用户使用的客户端软件,及提供客户端信息交互和系统管理功能的服务端软件。 3.3 即时通信服务提供者 IM service provider 专门提供即时通信服务的互联网服务提供者,通过客户端软件、运营即时通信网络支撑平台等提供基本即时通信服务,同时也提供围绕这一基本服务的其他外围增值服务。 3.4 即时通信用户 user 在即时通信服务提供者
6、处具有身份注册信息并使用即时通信服务的个人。 4 安全管理制度要求 即时通信服务提供者应根据 GA 1277.1-XXXX 第 4 章的要求制订并维护安全管理制度。 GA 1277.4XXXX 2 5 机构要求 即时通信服务提供者应根据 GA 1277.1-XXXX 第 5 章的要求建立相关机构并明确其职责。 6 人员安全管理 即时通信服务提供者应符合 GA 1277.1-XXXX 第 6 章的要求。 7 访问控制管理 7.1 基本要求 即时通信服务提供者应根据GA 1277.1-XXXX 第7章的要求进行访问控制管理。 7.2 身份鉴别 即时通信服务提供者应对用户进行身份鉴别,并满足以下要求
7、: a) 使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等; b) 用户口令应具有一定复杂性,并根据业务需要提示用户定期更换; c) 必要时采用多因素鉴别机制; d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限设置 即时通信服务提供者应对用户登录即时通信软件、发送信息、添加好友、创建群组、管理群组进行权限设置。 7.4 安全登录规程 即时通信服务提供者应制定安全登录规程,并满足以下要求: a) 使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等; b) 在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点; c)
8、在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节; d) 不明文显示输入的口令; e) 不以明文方式在网络上传输口令; f) 修改用户口令时,应重新进行注册信息验证,如注册手机短信确认或邮件确认等方式验证。 g) 当识别到账号新设备登录时,应进行身份验证,如重新输入密码并短信验证等方式。 8 安全保护技术措施 即时通信服务提供者应根据GA 1277.1-XXXX 第8章的要求采取相应的安全保护技术措施。 9 即时通信服务安全 9.1 基本要求 即时通信服务提供者应在满足GA 1277.1-XXXX 第9章要求的基础上保护即时通信服务的安全。 GA 1277.4XXXX 3 9.2
9、用户控制 即时通信服务提供者应将制作、复制、发布、传播违法有害信息,多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理, 并根据情节轻重, 采取以下动态管理控制措施: a) 控制其消息发送频率; b) 控制其消息发送功能; c) 控制该账号功能、好友数量、加入或创建的群组数量; d) 控制其IM帐号对其他用户可见或被其他用户检索; e) 强制账号下线,停止服务; f) 封停帐号; g) 禁止该身份信息再次注册新帐号。 9.3 群组管理 即时通信服务提供者应对群组进行管理,并满足以下要求: a) 对即时通信群组名称进行审核,禁止使用下列昵称:违反国家现行法律法规规定的、
10、违背社会公序良俗的、容易引起公众不良反应或误解的; b) 对每个用户可以参加的群组数量设置上限; c) 能够根据公安机关的要求设定群组人数上限; d) 对规模超过500人的大型群组进行专项认证和备案管理:大型群组的群主、管理员应提供有效证件的复印件和真实可达的联系方式,并由运营商对此信息的真实性进行核验;大型群组的群组标识、群组名称、群组类型、群组管理结构、群组成员列表、群组创建时间、创建地IP、终端类型等信息需在运营商处备案; e) 所有群组名称和群组标识均可被搜索; f) 至少每90天对群组内的文字、图像、声音等信息进行一次巡查。 9.4 安全保护 9.4.1 发布控制 即时通信服务提供者
11、应具备即时通信信息的发布控制功能,并满足以下要求: a) 对特定区域、特定IP用户发布的即时通信信息(包括文本、图片、表情包、视频、链接、应用程序等信息)进行发布控制; b) 对网页、客户端等即时通信发布源进行发布控制,具备切断一项甚至多项即时通信信息发布来源的功能。 9.4.2 服务限制 即时通信服务提供者应具备限制指定用户即时通信功能的功能,必要时可关停其账号。 9.4.3 信息检索 即时通信服务提供者应具备后台信息检索功能,并满足以下要求: a) 支持关键字的逻辑组合查询; b) 支持对本服务系统中的所有即时通信信息(包括已经屏蔽过滤的)进行全文搜索。 9.4.4 第三方发布信息控制(有
12、则适用) 即时通信服务提供者应具备对第三方发布信息进行控制的功能,并满足以下要求: GA 1277.4XXXX 4 a) 限制或切断即时通信服务与其他互联网应用的互联互通; b) 对第三方数据接口(API)发布的信息协助审核,发现违法有害信息可对特定第三方数据接口采取限制、关停措施。 9.4.5 停止服务 即时通信服务提供者应具备停止全部或单项即时通信服务功能,并满足以下要求: a) 停止全部用户或指定地区用户的全部服务; b) 停止全部用户或指定地区用户的单项服务,包括即时通信会话、创建群组、加入群组、第三方应用、搜索等。 10 个人信息保护 即时通信服务提供者应根据 GA 1277.1-XXXX 第 10 章的要求对个人信息加以保护。 11 投诉 即时通信服务提供者应根据GA 1277.1-XXXX 第11章的要求建立投诉机制和渠道。 12 分包服务 即时通信服务提供应根据GA 1277.1-XXXX 第12章的要求对分包服务进行管理。 13 安全事件管理 即时通信服务提供者应根据GA 1277.1-XXXX 第13章的要求对安全事件进行管理。 _
浙ICP备2021020529号-1 | 浙B2-20240490 
