《GA 1277.9-2023 互联网交互式服务安全管理要求 第9部分:搜索服务.docx》由会员分享,可在线阅读,更多相关《GA 1277.9-2023 互联网交互式服务安全管理要求 第9部分:搜索服务.docx(9页珍藏版)》请在第一文库网上搜索。
1、ICS35.240CCSA90BA中华人民共和国公共安全行业标准GA1277.92023互联网交互式服务安全管理要求第9部分:搜索服务SecuritymanagementrequirementsforinternetinteractiveservicePart9Searchengineservice2023-03-01实施2023-01-13发布中华人民共和国公安部发布目次前言In引言IV1范围12规范性引用文件13术语和定义14安全管理制度25组织机构26人员安全管理27访问控制管理27.1 基本要求27.2 身份鉴别27.3 用户权限设置27.4 安全登录规程28安全技术措施38.1 网络
2、与系统运行安全38.2 数据安全与备份38.3 日志与用户数据记录39搜索服务安全39.1 基本要求39.2 用户管理39.3 网站认证49.4 广告标注49.5 违法有害信息防范和处置49.6 破坏性程序防范410个人信息保护411投诉412安全事件管理5,1Z1a刖S本文件按照GB/T1.1-2023标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件是GA1277互联网交互式服务安全管理要求的第9部分,GA1277已经发布了以下部分:一第1部分:基本要求;一第2部分:微博客服务;一第3部分:音视频聊天室服务;一第4部分:即时通信服务;一第5部分:论坛服务;一第6部分:移动
3、应用软件分发服务;一第7部分:云服务;一第8部分:电子商务服务;一第9部分:搜索服务。请注意本文件的某些内容可能涉及专利o本文件的发布机构不承担识别专利的责任。本文件由公安部网络安全保卫局提出o本文件由公安部信息系统安全标准化技术委员会归口。本文件起草单位:公安部网络安全保卫局、公安部第三研究所、四川省公安厅网络安全保卫总队、安徽省公安厅网络安全保卫总队、北京网络行业协会、北京百度网讯科技有限公司。本文件主要起草人:毕海滨、陈妍、贺;莹睿、刘志民、陈洁、宁海峰、王庆华、徐全全。GA1277旨在规范和指导互联网交互式服务提供者落实中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人
4、信息保护法等法律法规规定,健全完善安全管理制度和安全技术措施等,拟由U个部分构成。一第1部分:基本要求。目的在于规定互联网交互式服务安全管理的基本要求。一第2部分:微博客服务。目的在于规范和明确微博客服务安全管理要求。一第3部分:音视频聊天室服务o目的在于规范和明确音视频聊天室服务安全管理要求。一第4部分:即时通信服务。目的在于规范和明确即时通信服务安全管理要求。一第5部分:论坛服务。目的在于规范和明确论坛类服务安全管理要求。一第6部分移动应用软件分发服务。目的在于规范和明确移动应用软件分发服务安全管理要求。一第7部分:云服务。目的在于规范和明确云计算平台服务安全管理要求。一第8部分:电子商务
5、服务。目的在于规范和明确电子商务服务安全管理要求。一第9部分:搜索服务。目的在于规范和明确搜索服务安全管理要求一第10部分:互联网约车服务。目的在于规范和明确互联网约车服务安全管理要求。一第11部分:互联网短租房信息服务。目的在于规范和明确互联网短租房信息服务安全管理要求。为加强搜索服务安全管理,强化搜索服务提供者主体责任落实,本文件结合搜索服务特性,提出其落实安全保护管理制度和安全保护技术措施的具体要求互联网交互式服务安全管理要求第9部分:搜索服务1范围本文件规定了搜索服务安全管理要求。本文件适用于互联网交互式服务提供者落实搜索服务安全保护管理制度和安全保护技术措施。2规范性引用文件下列文件
6、中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GA1277.12023互联网交互式服务安全管理要求第1部分:基本要求3术语和定义GA1277.1-2023界定的以及下列术语和定义适用于本文件。3.1搜索引擎searchengine根据一定的策略,运用特定的计算机程序从互联网上搜集信息,在对信息进行组织和处理后,为用户提供检索服务,将用户检索相关的信息展示给用户的系统。3.2搜索服务searchengineservice通过构建信息检索、获取平台,为用户提供围绕搜索引
7、擎所开展的服务。3.3搜索服务用户searchserviceuser使用搜索服务的用户,包括检索用户和信息发布用户0注1:检索用户是指使用搜索服务最基本产品的用户,检索用户包括注册用户和匿名用户.注册用户是指在搜索服务提供商有过注册信息的用户;匿名用户是指未在搜索服务提供商进行注册的用户。注2:信息发布用户,也叫推广用户,是指使用搜索服务从事经营活动,进行广告推广、品牌宣传的用户3.4检索热度retrieva1heat在某一终端(电脑或无线设备)上,根据关键词搜索次数折算所得的数据。注:搜索热度值越高表示搜索次数越多.3.5排行行为rankingbehavior通过特殊算法(参考网页页面质量、
8、点击次数等因素)将搜索结果内容进行排序。3.6联想词associationa1word在用户提交搜索请求时,根据用户输入内容由搜索服务提供商依据特定算法给出的词语,也叫引导词或推荐词。3.7网页快照websnapshot搜索引擎在收录网页时,对网页进行备份并缓存,当用户在搜索引擎中点击“网页快照”链接时,搜索引擎将系统当时所抓取并缓存的网页内容展现出来。4安全管理制度搜索服务提供商应根据GA1277.12023第4章的要求制定并维护安全管理制度。5组织机构搜索服务提供商应根据GA1277.12023第5章的要求建立相关机构并明确其职责。6人员安全管理搜索服务提供商应根据GA1277.12023
9、第6章的要求设立安全管理岗位、配备安全管理人员并明确其职责。7访问控制管理7.1 基本要求搜索服务提供商应根据GA1277.12023第7章的要求进行访问控制管理。7.2 身份鉴别搜索服务提供商应对用户进行身份鉴别,并满足以下要求。a)搜索服务用户注册时应提供一种或多种方式,如检索用户注册需使用昵称、手机号、邮箱账号或第三方登录账号等方式;信息发布用户除提供基本信息外,还应提供相应的资质、手机号、邮箱账号等方式。b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证身份鉴别信息不易被冒用c)搜索服务中注册用户的个人信息,包括手机号、邮箱账号等,应通过加密等方式进行保护。7.3 用户权限设置搜
10、索服务提供商应设置匿名用户在不注册账户的情况下只准许检索、浏览内容等,不准许进行信息发布、下载文件等其他操作。7.4 安全登录规程搜索服务提供商应制定安全登录规程,并满足以下要求:a)防止暴力尝试登录;b)记录用户登录行为,当检测到异常时,对异常登录进行识别、记录、阻断,同时对用户进行异常登录提醒;c)登录完成后,应保存成功登录的时间和日期,保存时间不少于6个月;d)不以明文方式显示输入口令;e)不在网络上以明文方式传输口令;f)口令应加密储存,非授权用户不能访问;g)提供登录失败处理功能,可采取高强度验证码、限制非法登录次数、结束会话等严格限制措施。8安全技术措施8.1 网络与系统运行安全搜
11、索服务提供商应根据GA1277.1-2023中8.1的要求采取相应的安全技术措施保障网络与系统运行安全,并满足以下要求:a)及时升级恶意代码库;b)及时搜索服务提供商升级入侵检测规则库;c)防止暴力尝试登录;d)记录不成功和成功登录信息,保存时间不少于6个月。8.2 数据安全与备份应根据GA1277.1-20238.2的要求采取相应的安全技术措施保障数据安全与备份。8.3 日志与用户数据记录搜索服务提供商应根据GA1277.12023中8.3的要求进行日志与用户数据记录,并按照相关法律法规要求记录检索和信息发布用户的相关用户行为O9搜索服务安全9.1基本要求搜索服务提供商应在满足GA1277.
12、12023第9章要求的基础上保护搜索服务的安全。9.2 用户管理9.3 .1身份登记与核验要求搜索服务提供商应根据GA1277.12023中9.2.2的要求对用户建立管理机制。对使用浏览功能之外等功能的注册用户进行实名验证,并对用户真实身份信息进行有效核验。信息发布用户除满足检索用户的真实身份信息、电子邮箱联系方式等注册要求外,还需提供能够证明其推广主体的有效证件及复印件,具体注册要求如下:a)对办理人真实身份信息进行核验,记录并留存;b)对办理人真实有效手机号、电子邮箱等联系方式进行核验,记录并留存;c)应提供加盖公章的证明文书公函;d)应提供营业执照等申请主体的合法资质证明复印件,并进行核
13、验。9.2.2动态管理应建立用户动态管理制度,应能对发布、评论违法有害信息等行为的用户根据情节轻重落实限制相关功能、封禁用户账号、取消用户注册权利等不同程度的管理控制措施。9.4 网站认证搜索服务提供商应支持对网站进行认证,主要包括:a)采取措施对政府、企业、社会组织等网站进行认证,对搜索结果中呈现的官方网站进行标注;b)如网站存在较多用户举报投诉,应支持对其进行核验,要求其提供认证材料,如不能在合理期限内提供,应当暂时屏蔽,待其认证后再行恢复;c)如确认为冒用网站,应当立即屏蔽、保留证据并向相关部门报告。9.5 广告标注搜索服务提供商应对搜索结果中呈现的广告网站进行标注O9.6 违法有害信息
14、防范和处置搜索服务提供商应采取人工抽查结合机器干预等多重手段对搜索中存在的违法有害信息(包括但不限于含有谣言、淫秽、色情、暴力、凶杀、恐怖等)进行过滤,并视情节严重情况向相关部门报告:a)基于关键词的违法有害信息;b)基于联想词的违法有害信息;c)基于存在于网页快照中的违法有害信息;d)基于违法有害链接的屏蔽过滤;e)基于恶意多次搜索、增加检索热度和排行行为等作弊手段建立快速处置功能,结合实际情况对这一类已发现的链接、站点、主域根据作弊情节的程度处以降低展现排名、屏蔽等措施。9.7 破坏性程序防范搜索服务提供商应根据GA1277.12023中9.4的要求进行破坏性程序防范,并满足以下要求:a)
15、对软件信息发布用户要求身份核验并提供(包括应用软件商店)公司营业执照复印件或组织机构代码证、商业登记证等相关证件,并要求其对搜索结果中可直接下载的软件进行安全保证;b)对违反规定的软件进行下线处理,并对软件信息发布用户视情节轻重进行警告、加入黑名单、封停账号等;c)对违反规定的软件,应当将软件样本、分析报告、软件信息发布用户的相关证件一并提交公安机关。10个人信息保护搜索服务提供商应根据GA1277.1-2023第10章的要求对个人信息加以保护。11投诉搜索服务提供商应根据GA1277.12023第11章的要求建立投诉机制和渠道,并满足以下要求:a)对包含个人信息的搜索结果,除依法公开以外,一经收到用户的合理有效投诉,应在核实后及时屏蔽,并保留相关记录;b)对投诉信息发布用户存在虚假网站相关内容的,一经收到用户的合理有效投诉,应在核实网站相关资质后及时屏蔽,并保留相关记录。12
免费区 
