《互联网交互式服务安全管理要求》是由公安部网络安全保卫局发布的,适用于互联网交互式服务提供者落实互联网安全管理制度和安全技术的一系列措施与要求。
今天小编就带大家学习一下《互联网交互式服务安全管理要求——微博客篇》,本部分规定了微博客服务的安全管理的基本要求,适用于微博客服务提供商落实互联网安全管理制度和安全保护技术措施。
一、访问控制管理
1.身份鉴别
微博客服务提供商应对用户进行身份鉴别,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴别机制;d)采用技术措施防止用户的鉴别信息被未授权访问。
2.用户权限设置
微博客服务提供商应提供用户权限的设置能力,并满足以下要求:a)限制用户发布、评论、转发微博客信息;b)匿名用户仅能浏览未设限制的微博客信息。
3.安全登录规程
微博客服务提供商应制定安全登录规程,并满足以下要求:a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;b)在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点;c)在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节;d)不明文显示输入的口令;e)不以明文方式在网络上传输口令;f)不活动的会话在一个设定的休止期后关闭;g)用户修改口令时或用户账号在不同的设备首次登录吋,重新验证用户注册信息,如注册收集短信验证、注册邮箱邮件验证等。
二、微博客服务安全
1.用户身份登记与核验
微博客服务提供商应登记并核验用户真实身份,以党政机关、社会团体或企事业单位名义申请登记的用户按如下要求进行注册:a)提供加盖公章的证明文书公函;b)提供组织机构代码等申请主体的合法资质证明印件,并进行核验;c)登记办理人真实身份信息,并进行核验;d)登记办理人真实有效手机号、电子邮箱等联系方式,并进行核验。
2.用户控制
微博客服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下动态管理控制措施:a)封禁其账号或限制其账号功能;b)控制其微博客功能,直至关闭所有功能;c)控制其微博客的粉丝数量,直至关闭粉丝关注功能;d)对其微博客发布内容实施先审后发措施;e)限制其微博客信息发布频率;f)控制其微博客内容被转载范围;g)控制其微博客只能给其自身的粉丝用户发送私信;h)控制其微博客内容只能被其自身的粉丝用户评论;i)控制其微博客推荐给他人或被其他用户检索;j)控制其在其他用户或热门事件微博客下进行评论。
3.安全审核
微博客服务提供商应具备安全审核功能,并满足以下要求:a)对特定的微博客用户和黑名单用户发布的微博客信息进行逐条审核,实行先审后发等措施;b)对其他微博客用户发布的微博客信息进行抽查审核,实行边发边抽审措施。
4.安全审核内容
微博客服务提供商应审核发布信息、转发信息、评论信息、群组头像、群组公告以及群组内发布文件等是否包含违法有害信息。
三、安全保护
1.发布控制
微博客服务提供商应具备微博客信息的发布控制功能,并满足以下要求:a)对特定区域,特定IP用户发布的微博客信息(包括文本、图片、音视频、链接等信息)进行审核控制,实现先审后发;b)对网页,客户端等微博客发布源进行审核控制,具备切断一项其至多项微博客信息发布来源的功能。
2.禁止转发、评论
微博客服务提供商应能禁止特定用户、群组或黑名单用户发布的单条或全部微博客信息被转发、评论。
3.禁止浏览
微博客服务提供商应能禁止所有粉丝及其他用户浏览特定用户、群组或黑名单用户发布的单条或全部微博客信息。
4.停止服务
微博客服务提供商应具备停止全部或单项微博客服务的功能,并满足以下要求:a)停止全部用户或指定地区用户或黑名单用户的全部服务;b)停止全部用户或指定地区用户或单个用户的单项服务,包括停止发布、转发、评论、上传图片、上传音视频、第三方应用等。