【网安课堂】互联网交互式服务安全管理要求（即时通信服务篇）

访问控制管理
1.身份鉴别
即时通信服务提供者应对用户进行身份鉴别，并满足以下要求：a）使用实名信息与用户标识进行关联，如身份证、手机号或第三方登录信息等；b）用户口令应具有一定复杂性，并根据业务需要提示用户定期更换；c）必要时采用多因素鉴别机制；d）采用技术措施防止用户的鉴别信息被未授权访问。
2.用户权限设置
即时通信服务提供者应对用户登录即时通信软件、发送信息、添加好友、创建群组、管理群组进行权限设置。
3.安全登录规程
即时通信服务提供者应制定安全登录规程，并满足以下要求：a）使用技术手段防止暴力登录尝试，如要求输入验证码、限制错误登录次数、锁定用户账号等；b）在成功登录后，能够按用户要求显示前一次成功登录的日期、时间和地点；c）在成功登录后，能够按用户要求显示最近一次不成功登录尝试的细节；d）不明文显示输入的口令；e）不以明文方式在网络上传输口令；f）修改用户口令时，应重新进行注册信息验证，如注册手机短信确认或邮件确认等方式验证；g）当识别到账号在新设备登录时，应进行身份验证，如重新输入密码并短信验证等方式。

即时通信服务安全
1.用户控制
即时通信服务提供者应将制作、复制、发布、传播违法有害信息，多次被其他用户举报或投诉的以及公安机关通报的涉嫌违法犯罪的用户纳入黑名单管理，并根据情节轻重，采取以下动态管理控制措施：a）控制其消息发送频率；b）控制其消息发送功能；c）控制该账号功能、好友数量、加入或创建的群组数量；d）控制其IM账号对其他用户可见或被其他用户检索；e）强制账号下线，停止服务；f）封停账号；g）禁止该身份信息再次注册新账号。
2.群组管理
即时通信服务提供者应对群组进行管理，并满足以下要求：a）对即时通信群组名称进行审核，禁止使用下列昵称：违反国家现行法律法规规定的、违背社会公序良俗的、容易引起公众不良反应或误解的；b）对每个用户可以参加的群组数量设置上限；c）能够根据公安机关的要求设定群组人数上限；d）对规模超过500人的大型群组进行专项认证和备案管理：大型群组的群主、管理员应提供有效证件的复印件和真实可达的联系方式，并由运营商对此信息的真实性进行核验；大型群组的群组标识、群组名称、群组类型、群组管理结构、群组成员列表、群组创建时间、创建地IP、终端类型等信息需在运营商处备案；e）所有群组名称和群组标识均可被搜索；f）至少每90天对群组内的文字、图像、声音等信息进行一次巡查。

安全保护
1.发布控制
即时通信服务提供者应具备即时通信信息的发布控制功能，并满足以下要求：a）对特定区域、特定IP用户发布的即时通信信息（包括文本、图片、表情包、视频、链接、应用程序等信息）进行发布控制；b）对网页、客户端等即时通信发布源进行发布控制，具备切断一项甚至多项即时通信信息发布来源的功能。
2.服务限制
即时通信服务提供者应具备限制指定用户即时通信功能的功能，必要时可关停其账号。
3.信息检索
即时通信服务提供者应具备后台信息检索功能，并满足以下要求：a）支持关键字的逻辑组合查询；b）支持对本服务系统中的所有即时通信信息（包括已经屏蔽过滤的信息）进行全文检索。

地