GA 1277.3-2020 互联网交互式服务安全管理要求 第3部分：音视频聊天服务

GA 1277.3-2020 互联网交互式服务安全管理要求 第3部分：音视频聊天服务 GA 1277《互联网交互式服务安全管理要求》拟分成部分出版，包括基本要求和具体服务类型中 的要求。目前计划发布如下部分： ——第 1 部分：基本要求； ——第 2 部分：微博客服务； ——第 3 部分：音视频聊天室服务； ——第 4 部分：即时通信服务； ——第 5 部分：论坛服务； ——第 6 部分：移动应用软件发布平台； ——第 7 部分：云服务； ——第 8 部分：电子商务平台； ——第 9 部分：搜索服务； ——第 10 部分：互联网约车服务； ——第 11 部分：互联网短租房服务。 本部分为GA 1277的第3部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 1 范围 GA 1277 的本部分规定音视频聊天室服务安全管理要求。 本部分适用于互联网交互式服务提供者落实音视频聊天室服务的安全保护管理制度和安全保护技术 措施。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GA 1277.1-XXXX 互联网交互式服务安全管理要求 第 1 部分：基本要求 3 术语和定义 GA 1277.1-XXXX 界定的以及下列术语和定义适用于本文件。 3.1 音视频聊天室 audio/video chatroom 通过互联网为用户提供通过视频、语音、文字和图片等方式进行互动交流的服务。 3.2 音视频聊天室服务提供商 audio/video chatroom service provider 提供音视频聊天室服务的互联网服务商。 3.3 安全管理员 security administrator 负责音视频聊天室服务运行安全、服务审计以及用户信息审核和企业公众信息审核等职责的人员。 3.4 房间 room 在音视频聊天室中虚拟出的存在下属的频道和子频道等的特定聊天专区。 3.5 房间所有者 owner of the room 创建聊天室房间并具有该房间的最高权限的人员。 房间管理者 manager of the room 管理音视频聊天室房间日常事务的人员。 3.7 频道管理者 manager of the channel 管理音视频聊天室房间中频道和子频道等日常事务的人员。 3.8 频道主持 host of the channel 在音视频聊天室服务系统中具有身份注册信息并主持音视频频道的个人。 3.9 粉丝 fan 在音视频聊天室服务系统中具有身份注册信息并对主播保持关注的群体。 3.10 注册用户 registered user 在音视频聊天室服务系统中具有身份注册信息的个人。 注：在音视频聊天中可为房间所有者、房间管理者、频道管理者、频道主持或粉丝等。 3.11 匿名用户 anonymous user 在音视频聊天室服务系统中不具有身份注册信息的个人。 4 安全管理制度要求 音视频聊天室服务提供商应根据GA 1277.1-XXXX 第4章的要求制订并维护安全管理制度。 5 机构要求 音视频聊天室服务提供商应根据GA 1277.1-XXXX 第5章的要求建立相关机构并明确其职责。 6 人员安全管理 音视频聊天室服务提供商应符合GA 1277.1-XXXX 第6章的要求。 7 访问控制管理 7.1 基本要求 音视频聊天室服务提供商应根据GA 1277.1-XXXX 第7章的要求进行访问控制管理。 7.2 身份鉴别 音视频聊天室服务提供商应对用户进行身份鉴别，并满足以下要求： a) 使用实名信息与用户标识进行关联，如身份证、手机号或第三方登录信息等； b) 用户口令应具有一定复杂性，并根据业务需要提示用户定期更换； c) 必要时采用多因素鉴别机制； d) 采用技术措施防止用户的鉴别信息被未授权访问。 7.3 用户权限设置 音视频聊天室服务提供商应对用户权限进行设置，并满足以下要求： a) 对房间管理者、房间所有者、频道管理者、频道主持和粉丝等注册用户的权限进行设置，包括开 设房间/音视频频道、进入房间/音视频频道、音视频会话、交流评论、上传图片、网络投票、转 发搜索和第三方应用等； b) 匿名用户仅能观看、收听音视频。 7.4 安全登录规程 音视频聊天室服务提供商应制定安全登录规程，并满足以下要求： a) 使用技术手段防止暴力登录尝试，如要求输入验证码、限制错误登录次数、锁定用户账号等； b) 在成功登录完成后，能够按用户要求显示前一次成功登录的日期、时间和地点； c) 在成功登录完成后，能够按用户要求显示最近一次不成功登录后尝试的细节； d) 不明文显示输入口令； e) 不以明文方式在网络上传输口令； f) 修改用户口令时或用户账号在不同的设备首次登录时，重新验证用户注册信息，如注册手机短 信验证，或注册邮箱邮件验证等。 8 安全保护技术措施 音视频聊天室服务提供商应根据 GA 1277.1-XXXX 第 8 章的要求采取相应的安全保护技术措施。 9 音视频聊天室服务安全 9.1 基本要求 音视频聊天室服务提供商应在满足GA 1277.1-XXXX 第9章要求的基础上保护音视频聊天服务的安 全。 9.2 用户控制 音视频聊天室服务提供商应将制作、复制、发布、传播违法有害信息的、多次被其他用户举报或投诉 的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理，并根据情节轻重，采取以下动态管理控制措 施：