YD/T34522019

互联网用户账户管理系统，应能识别异地登录，并采取相应措施保障用户账户安全，包括： a）应能识别用户是否在常用地登录，判定异地登录行为： b）应能完成对异地登录用户账户进行身份鉴别，验证用户身份的真实性，确保账户的使用者是合 法的账户归属者： c）应能完成对异地登录用户账号登陆成功或者失败的结果的处理，提供结束会话、限制非法登陆 次数以及提供强制或可选的二次认证功能等，为异地登录的用户账户提供安全保障； d）应能为用户提供账户异地登录的访问控制策略启用选项，系统依据启用的安全策略控制对资源 的访问及功能的使用； e）当用户异地登录的账户被访问时，应能提供风险识别，保护访问账户敏感信息不被泄露的，保 障用户隐私信息和财产安全

5.4账户信息泄露风险识别与控制

账户信息的安全是账户登录安全的屏障，互联网用户账户管理系统应能识别和控制账户信息泄露的 风险，包括： a 应能识别信息泄漏用户的风险账户； b 应能识别安全级别较低的弱密码，提供识别弱密码登录行为能力，并提示弱密码的风险； c 应能识别已经被钓鱼的用户，能监控并向用户预警该钓鱼行为是否会导致用户账户信息泄露； d） 应能限制风险账户的访问权限； e 应能实现对风险账户归属用户以及平台的通告和提示； f）应能引导风险账户的用户修改账户基本信息和口令。

用户账户管理系统应对用户 户审计，及时识别和控制账户使用 的风险，并采取必要的措施防止日志信息的泄露。所需记录的日志信息应包括：

YD/T3452—2019 操作的类型； b) 操作的时间； c）操作的对象； d）操作涉及的其他用户； e) 用户操作的IP地址； f）用户操作的设备及环境信息

6.2账户审计追溯要求

7.1.1用户权益保障

在用户主动提交注销账户请求时，互联网用户账户管理系统应对用户账户情况进行核查，在满足以 下条件时，方可批准用户的账户注销请求。 a）通过严格的身份认证手段，确保注销请求者是所请求注销的账户的归属者。 b）石 确保请求注销的账户的注册时间已经超过30天并成功激活。 c） 确保请求注销的账户不存在有实际价值的资金或权益。 d） 确保请求注销的账户没有进行中的事务，账户的注销不会影响其他用户的权益。 确保请求注销的账户与其他的账户没有绑定关系，或者注销不会影响用户其他账户业务的使用

7.1.2用户权限撤销

在用户账户注销请求被批准后，互联网用户账户管理系统应将用户账户从访问控制列表中移除，确 保该账户不再能够访问任何服务或资源。

装修标准规范范本7.1.3用户数据处理

YD/T34522019

互联网用户管理系统应： a）从在线服务数据中删除注销用户的所有数据，确保不可通过互联网访问该账户的相关数据； b）为保障账户审计追溯及其他用户账户关联数据的一致性，或因相关法规要求，互联网服务提供 商可离线留存注销账户的数据。

为维护互联网服务的账户安全环境，互联网服务提供商应： a）定期发起对高风险账户的清理； b）在用户协议中明确风险账户清理的条件和实施步骤，并获得用户同意； c）明确告知账户归属者账户清理事件，包括清理的时间和原因； d）明确告知账户清理的争议申诉途径和时限。 e）从在线服务数据中删除被清理的风险账户的所有数据，确保不可通过互联网访问该账户的相关 数据； f）所清理的风险账户数据应离线留存，直至电诉时限到期