《互联网交互式服务安全管理要求》是由公安部网络安全保卫局发布的,适用于互联网交互式服务提供者落实互联网安全管理制度和安全技术的一系列措施与要求。
今天小编就带大家学习一下《互联网交互式服务安全管理要求——论坛服务篇》,本部分规定了论坛服务安全管理要求,适用于互联网交互式服务提供者落实论坛服务的安全管理制度和安全保护技术措施。
一、访问控制管理
1.身份鉴别
论坛服务提供商应对用户进行身份鉴别,并满足以下要求:a)使用实名信息与用户标识进行关联,如身份证、手机号或第三方登录信息等;b)用户口令应具有一定复杂性,并根据业务需要提示用户定期更换;c)必要时采用多因素鉴别方式;d)采用技术措施防止用户的鉴别信息被未授权访问。
2.用户权限设置
论坛服务提供商应提供用户权限的设置能力,并满足以下要求:a)限制用户发布、评论、转发微论坛信息;b)匿名用户仅能浏览未设限制的论坛发布信息。
3.安全登录规程
论坛服务提供商应制定安全登录规程,并满足以下要求:a)使用技术手段防止暴力登录尝试,如要求输入验证码、限制错误登录次数、锁定用户账号等;b)在成功登录后,能够按用户要求显示前一次成功登录的日期、时间和地点;c)在成功登录后,能够按用户要求显示最近一次不成功登录尝试的细节;d)不明文显示输入的口令;e)不以明文方式在网络上传输口令;f)用户修改口令时或用户账户在不同的设备首次登录时,重新验证用户注册信息,如注册手机短信验证、注册邮箱邮件验证等。
二、论坛服务安全
论坛服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理,并根据情节轻重,采取以下控制措施:a)对其发布的内容实施逐条审核,坚持先审后发原则;b)控制其网络账号推荐给他人或被其他用户检索;c)控制其账号功能和好友数量;d)控制其站内信发送功能;e)控制其发布的内容被回复;f)控制其发布的内容被转载范围;g)控制其对其他用户发帖进行评论的功能;h)限制其论坛信息发布频率;i)控制其论坛发帖和回复功能;j)禁止发帖;k)封停账号,停止服务;l)禁止该身份信息再次注册新账号。
三、安全审核
1.安全审核时点
论坛服务提供商应具备安全审核功能,并满足以下要求:a)对特定的论坛用户和黑名单用户发布的论坛信息进行逐条审核,实行先审后发的措施;b)对其他论坛用户发布的论坛信息进行抽查审核,实行边发边抽审措施。
2.安全审核内容
论坛服务提供商应审核发布信息、转发信息、评论信息、群组公告以及群组内发布文件等内容是否包含违法有害信息。
四、安全保护
1.发布控制
论坛服务提供商应具备论坛信息的发布控制功能,并满足以下要求:a)对特定区域或特定IP用户发布的论坛信息(包括文本、图片、视频、链接等信息)进行审核控制,实现先审后发;b)对网页、客户端等论坛发布源进行审核控制,具备切断一项甚至多项论坛信息发布来源的功能。
2.禁止转发、评论
论坛服务提供商应能禁止特定用户或黑名单用户发布的单条或全部论坛信息内容被转发、跟帖评论等。
3.禁止浏览
论坛服务提供商应能禁止其他用户浏览特定用户或黑名单用户发布的单条或全部论坛信息。
4.信息检索
论坛服务提供商应具备后台信息检索功能,并满足以下要求:a)支持关键字的逻辑组合查询;b)支持对本服务系统中所有论坛信息(包括已经屏蔽过滤的论坛信息)进行全文搜索。
5.停止服务
论坛服务提供商应具备停止全部或单项论坛服务的功能,并满足以下要求:a)停止全部用户或指定地区用户或黑名单用户的全部服务;b)停止全部用户或指定地区用户或黑名单用户的单项服务包括停止发布、转发、评论、上传图片、上传视频、上传音频、第三方应用等。
6.个人论坛限制
论坛服务提供商应能限制个人论坛用户的网络投票、评论等功能。