[网警课堂]互联网交互式服务安全管理要求 第1部分：基本要求（节选）

《互联网交互式服务安全管理要求》由公安部起草，2020年1月16日正式发布，2020年3月1日起开始实施，适用于互联网交互式服务提供者落实互联网安全管理制度和安全技术措施。

（注：交互形式包括文字、图片、音视频等；包括但不限于论坛、社区、贴吧、文字或音视频聊天室、微博客、博客、即时通信、电子商务平台、搜索、 互联网约车、互联网短租房、移动下载、分享存储、第三方支付、云服务等互联网信息服务。）

 

该管理要求明确规定了互联网交互式服务提供者：

1、应建立文件化的安全管理制度；2、应在服务上线前填写用户备案表，并到当地公安机关备案；如需使用国际互联网，应在服务上线开通起30日内向地市及以上公安机关指定的受理机关办理国际联网备案手续；3、应明确主要负责人、网络安全责任人、安全管理负 责人及其他责任人员的责任；4、应制定整体的安全防护方案，落实安全防护措施，建立应急响应体系，5、应对数据采取备份和保护等措施，保证数据的安全等。

本文节选了《互联网交互式服务安全管理要求第1部分：基本要求》中"安全管理制度"、"安全技术措施"、"违法有害信息防范和处置"三部分。

一、安全管理制度

1.制度与规程

①互联网交互式服务提供者应建立文件化的安全管理制度，安全管理制度文件应包括：

a） 安全责任制度；b）安全岗位管理制度；c） 安全培训制度;d）人员管理制度;e） 安全运维管理制度;f） 安全评估报备制度g） 用户注册制度；h）信息发布审核制度；i） 信息巡查制度；j） 个人信息保护制度；k） 用户投诉举报接收处理制度；l） 安全事件监测、预警、通报及应急响应制度；m）适用的现行法律、法规、规章、标准和行政审批文件。

②安全管理制度应经过管理层批准并发布执行。

③互联网交互式服务提供者应建立与安全管理制度相配套的操作规程，包括但不限于：网络与系统运行安全、数据安全和备份、日志与用户数据记录、信息发布审核、违法有害信息防范和处置、个人信息保护、破坏性程序防范、分包等。

2.文件控制

安全管理制度文件应予以保护和控制，包括但不限于：

a）按计划的时间间隔或在发生重大的变化时评审安全管理制度文件，以确保文件是适当的；

b）确保在使用处获得适用文件的最新授权版本；

c）确保文件的清晰、可识别；

d）确保对外来文件进行识别，并进行分发控制；

e）确保文件是现行有效的。

3.记录控制

互联网交互式服务提供者应保留安全管理制度的制定、变更、执行等过程中相关的记录并加以保护与控制，防止未经授权的访问或修改。

二、安全技术措施

1、网络与系统运行安全

互联网交互式服务提供者应综合考虑系统的安全需求，制定整体的安全防护方案，落实安全防护措施，建立应急响应体系，包括但不限于：

a）重要系统和数据库具备容灾能力；

b）根据业务需求，及时进行补丁更新；

c）实施计算机病毒等恶意代码的预防、检测和系统被破坏后的恢复措施；

d）实施不间断地网络攻击和网络入侵行为的预防、检测与响应措施；

e）适用时，对重要文件的完整性进行检测，并具备文件完整性受到破坏后的恢复措施；

f）采取技术措施监测、记录网络运行状态、信息安全事件和用户活动行为等；

g）对系统的脆弱性进行评估，并采取适当的措施处理相关的风险。

注：系统脆弱性评估包括采用安全扫描、渗透测试等多种方式。

2、数据安全与备份

互联网交互式服务提供者应对数据采取备份和保护等措施，保证数据的安全，包括但不限于：

a） 对数据进行分级分类

b）对重要数据的传输和存储采取加密等安全保护措施；

c） 根据数据分类结果建立不同数据的备份策略，提供足够的备份设施，确保必要的信息和软件在灾难或介质故障时可以恢复；

d）建立数据安全备份和恢复流程，必要时对备份和恢复过程进行演练，并对备份数据进行定期校验。

3、日志与用户数据记录

①互联网交互式服务提供者应记录用户注册的相关信息，包括用户唯一标识、用户名称及修改记录、实名信息、注册时间、IP地址及源端口、用户备注信息等，其中实名信息可为姓名、证件类型、证件号码、电子邮箱地址、手机号码等。

②对于记录的用户活动日志，其内容应包括但不限于：

a）用户的登录日志，包括：

1）用户唯一标识；

2）登录时间；

3）退出时间；

4）IP地址及端口号。

b）用户的信息发布日志，包括：

1）用户唯一标识；

2）信息标识；

3）信息发布时间；

4）IP地址及端口号；

5）信息标题或摘要，包括图片摘要。

c） 用户的行为日志，包括：

1）发布、修改、删除所发信息的行为；

2）上传、下载文件的行为；

3）用户自身属性变更的行为。

d）匿名用户行为，包括：

1）访问时间；

2）来源IP地址。

适用时，应记录使用客户端终端设备的标识、位置。

③互联网交互式服务提供者应确保日志内容的可溯源性，即可追溯到用户ID、网络地址和协议。涉及消息服务的，应能防范伪造、隐匿发送者真实标记的消息的措施；涉及地址转换技术的服务，如移动上网、网络代理、内容分发等，应记录转换前后的地址与端口信息；涉及短网址服务的，应记录原始URL与短URL之间的映射关系。

④互联网交互式服务提供者应确保日志与用户数据记录的时间由系统范围内唯一确定的时钟产生。

⑤互联网交互式服务提供者应保护日志，确保无法单独中断审计进程，防止未授权的删除、修改和覆盖。

⑥互联网交互式服务提供者应根据公安机关要求留存用户访问指定信息的日志。

⑦互联网交互式服务提供者应留存相关的日志和用户数据，具体保存周期要求如下：

a） 永久保留用户注册信息及历史变更记录；

b）留存网络运行日志和系统维护日志不少于6个月；

c） 留存网络安全事件日志不少于6个月；

d）留存用户活动日志不少于6个月；

e） 留存用户发布的信息内容不少于6个月。

三、违法有害信息防范和处置

1、互联网交互式服务提供者应建立与交互式服务特点相符的信息巡查制度，及时发现并处置违法 有害信息。

2、互联网交互式服务提供者应采取管理与技术措施，及时发现并停止违法有害信息的发布。

3、互联网交互式服务提供者应采用人工或自动化方式，对发布的信息进行审核或过滤。

4、互联网交互式服务提供者应采取技术措施过滤违法有害信息，包括但不限于：

a） 基于关键词的违法有害文字信息（支持文字的变种、混淆等）的屏蔽过滤；

b）基于样本数据特征值的违法有害音视频、图片的屏蔽过滤；

c） 基于违法有害外域链接的屏蔽过濾；

5、互联网交互式服务提供者应采取技术措施对违法有害信息的来源实施控制，防止继续传播。违法有害信息来源控制技术措施包括但不限于：封禁特定帐号、禁止新建帐号、禁止分享、禁止留言及回复、控制特定发布来源、控制特定地区或指定IP帐号登陆、禁止客户端推送、切断与第三方应用的互联互通等。

6、互联网交互式服务提供者应建立涉嫌违法犯罪线索、异常情况报告、安全提示和案件调查配合 机制，包括：

a） 对发现的违法有害信息，立即停止发布传输，保留相关证据（包括用户注册信息、用户登录信息、用户发布信息等记录），并向属地公安机关报告；

b）对于煽动非法聚集、策划恐怖活动、扬言实施个人极端行为等重要情况或重大紧急事件立即向属地公安机关报告，同时配合公安机关做好调查取证工作；

c）在不破坏数据完整性、有效性的前提下将相关电子数据及时传给属地公安机关，通知相应的公 安机关进行现场处理。

7、互联网交互式服务提供者应与公安机关建立全天候的违法有害信息快速处置工作机制，应能及 时删除有明确URL的单条违法有害信息，特定文本、图片、视频、链接等信息的源头以及分享中的任一 环节，相关的屏蔽过滤措施应能及时生效。