L80 ICS 35.240
YD 中华人民共和国通信行业标准 YD/T3452-2019
互联网用户账户管理系统安全技术要求 Technical requirements of Internet user account management system security
2019-08-27发布2019-10-01实施
中华人民共和国工业和信息化部发布
YD/T3452--2019
目次
前言...I 1范围.. 2术语和定义, 3概述...2 3.1账户安全管理框架, 3.2账户风险控制域.2 3.3账户风险评估..3 4账户注册安全要求... 4.1信息完备性..3 4.2信息合法性.3 4.3信息真实性...4 4.4行为风险识别和控制4 5账户登录安全要求...4 5.1基础行为风险识别与控制,4 5.2机器行为风险识别与控制.t 5.3异地登录行为风险识别与控制5 5.4账户信息泄露风险识别与控制5 6账户使用安全要求.5 6.1账户日志要求...5 6.2账户审计追溯要求,6 7账户注销安全要求.6 7.1用户请求注销.6 7.2风险账户清理.
YD/T3452-2019
前言
本标准按照GB/T1.1一2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:阿里巴巴通信技术(北京)有限公司、中国信息通信研究院、国家计算机网络应 急技术处理协调中心、中国互联网络信息中心。
本标准主要起草人:朱红儒、李克鹏、贾科、鲁晋、渠瑜、张良、白晓媛、付瑜、贺晓能、于成丽。
Ⅱ
YD/T3452-2019
互联网用户账户管理系统安全技术要求
1范围
本标准紧密结合互联网应用业务场景下账户管理的特点,规定了互联网服务提供商用户账户管理框 架、以及账户管理安全要求。
本标准适用于互联网服务提供商相关业务和产品中的账户管理以及跨系统或跨网站登录场景下的 账户管理。
2术语和定义
下列术语和定义适用于本文件。
2.1 机器行为machinebehavior 使用恶意软件或非法软件进行的注册、刷单、炒信、恶拍等恶意行为。
2.2 刷库风险信息brushlibraryriskinformation 在用户登陆过程中出现的,由于其他平台信息泄漏而造成的对登陆网站实施的批量尝试性登陆行为。
2.3 垃圾账户spam account 由非人员操作的行为批量注册的,可能引起具备群体特征的恶意行为的账户。
2.4 账户盗用accounttake-over 在未经账户合法使用人员授权的情况下,非法登录账号成功登录并使用的情况。
2.5 虚假认证false authentication 提供虚假的身份信息完成注册以获得账号的行为。
2.6 线上欺诈onlinefraud 恶意用户通过互联网服务账号实施的欺诈行为。
...
