ICS 35.040 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA 1277.5—XXXX 互联网交互式服务安全管理要求 第5部 分：论坛服务 Security management requirements for internet interactive service —Part 5: BBS service （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国公安部 发布 GA/T 1277.5 -XXXX II 目 次 前 言 ................................ ................................ ............ III 1 范围 ................................ ................................ ................ 1 2 规范性引用文件 ................................ ................................ ...... 1 3 术语和定义 ................................ ................................ .......... 1 4 安全管理制度要求 ................................ ................................ .... 1 5 机构要求 ................................ ................................ ............ 2 6 人员安全管理 ................................ ................................ ........ 2 7 访问控制管理 ................................ ................................ ........ 2 8 安全保护技术措施 ................................ ................................ .... 2 9 论坛服务安全 ................................ ................................ ........ 3 10 个人信息保护 ................................ ................................ ....... 5 11 投诉 ................................ ................................ ............... 5 12 分包服务 ................................ ................................ ........... 5 13 安全事件管理 ................................ ................................ ....... 5 GA 1277.5 —XXXX III 前 言 GA 1277 《互联网交互式服务安全管理要求》拟分成部分出版，包括基本要求和具体服务类型中 的要求。目前计划发布如下部分： ——第1部分：基本要求； ——第2部分：微博客服务； ——第3部分：音视频聊天室服务； ——第4部分：即时通信服务； ——第5部分：论坛服务； ——第6部分：移动应用软件发布平台； ——第7部分：云服务； ——第8部分：电子商务平台； ——第9部分：搜索服务； ——第10部分：互联网约车服务； ——第11部分：互联网短租房服务 。 本部分为GA 1277 的第 5部分。 本部分按照 GB/T 1.1 -2009给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分起草单位： 公安部网络安全保卫局、 公安部计算机信息系统安全产品质量监督检验中心、 公安部第三研究所。 本部分主要起草人：张艳、陈飞燕、 任军、毕海滨、高爽、 贺滢睿、顾健、陆臻。 GA 1277.5 —XXXX 1 互联网交互式服务安全管理要求 第5部分：论坛服务 1 范围 GA 1277 的本部分规定了论坛服务安全管理要求。 本部分适用于互联网交互式服务提供者落实论坛服务 的安全管理制度和安全保护技术措施。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GA 1277.1 -XXXX 互联网交互式服务安全管理要求 第1部分：基本要求 3 术语和定义 GA 1277.1 -XXXX界定的以及下列术语和定义适用于本文件。 3.1 论坛 bulletin board system 一种交互性强 、内容丰富的 互联网信息服务 类型。 3.2 论坛服务提供商 BBS service provider 通过搭建社交网络平台，提供论坛服务的互联网服务商。 3.3 安全管理员 security administrator 论坛服务提供商委托或授权的负责论坛服务运行安全、服务审计、帐号管理和信息发布审核等职责 的单位或个人。 3.4 论坛用户 user of the BBS 在论坛服务提供商处具有身份注册信息并使用论坛服务的个人。 3.5 匿名用户 anonymous user 在论坛服务提供商处不具有身份注册信息的个人。 4 安全管理制度要求 GA/T 1277.5 -XXXX 2 论坛服务提供商应根据 GA 1277.1 -XXXX第4章的要求制订并维护安全管理制度。 5 机构要求 论坛服务提供商 应根据 GA 1277.1 -XXXX 第5章的要求 建立相关机构并明确其职责。 6 人员安全管理 论坛服务提供商 应符合GA 1277.1 -XXXX 第6章的要求。 7 访问控制管理 7.1 基本要求 论坛服务提供商应 根据 GA 1277.1 -XXXX 第7章的要求进行访问控制管理。 7.2 身份鉴别 论坛服务提供商应对用户进行身份鉴别，并满足以下要求： a) 使用实名信息与用户标识进行关联，如身份证、手机号或第三方登录信息等； b) 用户口令应具有一定复杂性，并根据业务需要提示用户定期更 换； c) 必要时采用多因素鉴别方式； d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限设置 论坛服务提供商应提供用户权限的设置能力，并满足以下要求： a) 限制用户发布、评论、转发微 论坛信息； b) 匿名用户 仅能浏览未设限制的 论坛发布 信息。 7.4 安全登录规程 论坛服务提供商应制定安全登录规程，并满足以下要求： a) 使用技术手段防止暴力登录尝试，如要求输入验证码、限制错误登录次数、锁定用户账号等； b) 在成功登录后， 能够按用户要求 显示前一次成功登录的日期、时间和地点； c) 在成功登录后， 能够按用户要求 显示最近一次不成功登录尝试的细 节； d) 不明文显示输入的口令； e) 不以明文方式在网络上传输口令； f) 用户修改口令时或用户账号在不同的设备首次登录时 ,重新验证用户注册信息，如注册手机短信 验证、注册邮箱邮件验证等。 8 安全保护技术措施 论坛服务提供商 应根据 GA 1277.1 -XXXX 第8章的要求采 取相应的安全保护技术措施。 GA 1277.5 —XXXX 3 9 论坛服务安全 9.1 基本要求 论坛服务提供商应在 满足 GA 1277.1 -XXXX 第9章要求的基础上保护论坛服务的安全。 9.2 用户管理 9.2.1 用户控制 论坛服务提供商 应将制作、复制、发布、传播违法有害信息的 、多次被其他用户举报或投诉的 以及公 安机关通报的涉嫌违法犯罪的用户 纳入黑名单管理，并根据情节轻重，采取以下 控制措施： a) 对其发布的内容实施逐条审核，坚持先审后发原则； b) 控制其网络帐号推荐给他人或被其他用户检索； c) 控制其帐号功能和好友数量； d) 控制其站内信发送功能； e) 控制其发布的内容被回复； f) 控制其发布的内容被转载范围； g) 控制其对其他用户发帖进行评论的功能； h) 限制其论坛信息发布频率； i) 控制其论坛发帖和回复功能； j) 禁止发帖； k) 封停帐号，停止服务； l) 禁止该身份信息再次注册新帐号。 9.2.2 昵称管理 论