GA 1277.4-2020互联网交互式服务安全管理要求 第4部分：即时通信服务.pdf

ICS_35.040A 90GA中华人民共和国公共安全行业标准GA 1277.4—2020互联网交互式服务安全管理要求第4部分：即时通信服务Security management requirements for internet interactive service-Part 4: Instant messaging service2020-01-10发布2020-03-01实施中华人民共和国公安部发布 GA 1277.4—2020目次前言范围2规范性引用文件3术语和定义4安全管理制度要求5机构要求6人员安全管理7访间控制管理8安全保护技术措施9即时通信服务安全10个人信息保护...11投诉12分包服务·13安全事件管理 GA 1277,4—2020前言GA1277(互联网交互式服务安全管理要求》拟分为多个部分出版，包括基本要求和具体服务类型中的要求。目前计划发布如下部分：第1部分：基本要求；第2部分：微博客服务；第3部分：音视额聊天室服务；第4部分：即时通信服务；第5部分：论坛服务；第6部分：移动应用软件发布平台；第7部分：云服务；第8部分：电子商务平台；第9部分：搜索服务；第10部分：互联网约车服务；第11部分：互联网短租房服务。本部分为GA1277的第4部分。本部分按照GB/T1.1一2009给出的规则起草。本部分由公安部网络安全保卫局提出。本部分由公安部信息系统安全标准化技术委员会归口，本部分起草单位：公安部网络安全保卫局、公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。本部分主要起草人：邓琦、陈飞燕、任军、毕海滨、高爽、贺滢睿、顾健、陆臻。II GA 1277.4—2020互联网交互式服务安全管理要求第4部分：即时通信服务1范围GA1277的本部分规定了即时通信服务安全管理要求，本部分适用于互联网交互式服务提供商落实即时通信服务的安全保护管理制度和安全保护技术措施，2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件，GA1277.1一2020互联网交互式服务安全管理要求第1部分：基本要求3术语和定义GA1277.1一2020界定的以及下列术语和定义适用于本文件。3.1即时通信instant messaging通过有线或无线的传输方式，使用各种互联网终端设备，为用户提供联系人在线状态呈现和实时交互式文字、图像、声音、数据等信息交流的互联网信息传输、传播的通讯方式，3.2即时通信款件instant messager具有即时通信功能的软件总称。即时通信软件主要分为用户使用的客户端软件、提供客户端信息交互和系统管理功能的服务端软件。3.3即时通信服务提供者IM service provider专门提供即时通信服务的互联网服务提供者，通过客户端软件、运营即时通信网络支撑平台等提供基本即时通信服务，同时也提供围绕这一基本服务的其他外围增值服务。3.4即时通信用户user在即时通信股务提供者处具有身份注册信息并使用即时通信服务的个人。4安全管理制度要求即时通信服务提供者应根据GA1277.1-2020中第4章的要求制订并维护安全管理制度，5机构要求即时通信服务提供者应根据GA1277.1一2020第5章的要求建立相关机构并明确其职责。 GA 1277.4—20206人员安全管理即时通信服务提供者应符合GA1277.1一2020第6章的要求。访间控制管理7.1基本要求即时通信服务提供者应根据GA1277.1一2020第7章的要求进行访间控制管理。7.2身份鉴别即时通信服务提供者应对用户进行身份鉴别，并满足以下要求：a)使用实名信息与用户标识进行关联，如身份证、手机号或第三方登录信息等；b)用户口令应其有一定复杂性，并根据业务需要提示用户定期更换；c)必要时采用多因素鉴别机制；d)采用技术措施防止用户的鉴别信息被未授权访间。7.3用户权限设置即时遇信服务提供者应对用户登录即时通信软件、发送信息、添加好友、创建群组、管理群组进行权限设置。7.4安全登录规程即时通信服务提供者应制定安全登录规程，并满足以下要求：a)使用技术手段防止暴力登录尝试，如要求输入验证码、限制错误登录次数、锁定用户账号等；b)在成功登录后，能够按用户要求显示前一次成功登录的日期、时间和地点：c)在成功登录后，能够按用户要求显示最近一次不成功登录尝试的细节；(P不明文显示输人的口令；e)不以明文方式在网络上传输口令；D修改用户口令时，应重新进行注册信息验证，如注册手机短信确认或邮件确认等方式验证。g)当识别到账号在新设备登录时，应进行身份验证，如重新输入密码并短信验证等方式。8安全保护技术措施9即时通信服务安全9.1基本要