访问控制管理规范

2023年12月2日发(作者：)

编号

版本号

受控状态

信息级别

ISMS-2-AC-01

V1.0

受控

一般

访问控制管理规范

版本记录

版本号 版本日期

修改

审核

批准

修改履历

目录

第一章

总则 ........................................................................... 4

第二章

口令管理规范 ........................................................... 4

第三章

计算机安全管理规范 ................................................ 6

第四章第五章

网络访问管理规范 .................................................... 6

应用系统访问管理规范 ............................................ 7

第一章 总则

为防止对公司相关资源的非授权访问，预防信息泄密等信息安全事件的发生，特制定本办法。

本办法适用于公司各类信息系统的访问控制活动，包括计算机、网络和信息系统的访问控制。

第二章 口令管理规范

公司人员的计算机设备都需设置开机口令，口令设置应符合如下安全要求：

一、 口令不能为空；

二、 口令长度不应少于8位字符；

三、 口令强度需至少满足以下3种及以上的组合：

1. 包含数字；

2. 包含字母；

3. 包含标点符号；

4. 包含特殊字符（例如：_，-，%，&，*，^，@等）；

5. 包括大小写字符。

四、 口令设置不得使用如下简单信息：

1. 不应直接选择简单的字母和数字组合，或键盘顺序的口令，像aaaa1111、1234abcd、qwertyui等；

2. 不得使用个人相关信息（如姓名、生日）等容易猜出的口令；

3. 用户名不能作为口令的一部分。

五、 对口令的日常维护和使用应遵守以下要求：

1. 员工应了解进行有效访问控制的责任，特别是口令使用和设备安全方面的责任；

2. 员工应保证口令安全，不得向其他任何人泄漏或共享本机口令。对于泄漏口令造成的损失，由员工本人负责；

3. 口令应至少90天更改一次，更改后的口令不得再次使用旧口令或循环使用旧口令；

4. 避免在纸上记录口令，或以明文方式记录计算机内；

5. 不要在任何自动登录程序中使用口令；

6. 正在登录系统时，在屏幕上不得显示口令明文。

7. 口令的分发和更新必须确保安全。口令通过公共网络传输前，必须被加密。口令和用户ID必须被分开传输。

8. 口令不允许被明文记录在脚本、软件代码、外部程序文件中。

六、 服务器登录口令的设置与维护管理，除满足上述第三条和第四条要求之外，还应该考虑：

1. 每台服务器设专门的服务器管理员来管理管理员帐号，其他登录帐号由管理员来分配；

2. 服务器管理员的设置原则上与应用系统和数据库的口令管理员分开。

3. 服务器口令的存储应得到必要的保护。

4. 纸质形式存储的口令应放到保险箱内，其使用应得到授权，并对使用情况进行记录；

5. 电子形式存储的口令，不得以明文方式存放，应采取加密

等控制措施。

第三章 计算机安全管理规范

公司计算机设备的访问控制管理要求如下：

一、 所有公司的计算机应禁用操作系统中的Guest帐号。

二、 每台使用中的计算机均须设置屏幕保护，至多15分钟内无操作时自动锁屏，屏保解锁需设置解锁口令。

三、 人员离开座位时应主动锁屏 （按“Win+L”组合键）。

四、 使用中的每台计算机均须安装防病毒软件，同时应开启防病毒软件的自动更新功能，更新频率设置不长于每3天更新1次。

五、 应开启杀毒软件的自动扫描功能，定期（至少每周1次）扫描注册表/核心系统进程以查找病毒和木马。

六、 公司员工配备的标准计算机中只能安装《标准软件清单》中规定的软件。

七、 严禁公司人员未经授权擅自对个人计算机进行任何更改和配置。

第四章 网络访问管理规范

一、 公司内部网络（办公网）应与生产网隔离。一般情况下公司人员只允许接入内网，生产网访问需按照生产网准入的规定申请开通。

二、 公司人员接入公司内部网络前，要求网络管理人员对接入计算机进行必要安全审查，审查通过方可接入。审查内容包

括：

1. 计算机口令设置是否符合“第二章 口令管理规范”的要求 。

2. 计算机是否符合本文件“第三章 计算机安全管理规范”的要求。

三、 临时来访人员如需接入网络，其准入规则定义如下：

1. 原则上不允许临时来访人员访问内网，如特殊情况确实需访问的，要求来访人员同时满足以下要求：

1) 来访人员使用的计算机符合本文件中定义的公司内网接入安全要求；

2) 得到相关负责人的批准。

2. 允许临时来访人员访问互联网，对来访人员的计算机不做具体的安全检查要求。

四、 任何人员对内部网络和生产网的访问都必须被监控。

1. 定义网站黑名单，阻止公司人员对某些网站的访问，比如不健康的网站、存在病毒或夹带恶意代码的网站、宣传反动言论的网站、盗版影音下载网站等。

2. 监控网络流量，应对网络中异常流量和可疑发包进行监控和记录。

3. 应对网络中的文件下载情况做监控和记录。

第五章 应用系统访问管理规范

一、 应用系统权限分配管理

公司服务人员在访问公司业务系统时，应根据人员职责分配不同的权限。运营总监应在业务系统部署时初始化各用户权限。权限分配

管理应遵循如下规定：

用户权限的分配应按“满足用户工作需要的最小权限”原则进行，只有工作需要的业务系统访问要求，才可授权。每个人分配的权限以完成本岗位工作最低要求为准。

特权用户必须经运营总监或部门主管批准，才可给予相应的权限。

业务系统使用过程中的权限分配和管理应遵循如下规定：

1. 业务系统使用过程中如需新增或修改用户账号或者权限的，权限申请人员应使用OA系统进行权限的申请。

2. 运营总监负责审批项目上公司业务系统权限申请，并委托系统管理员分派系统账号和权限。

3. 系统管理员对业务系统的用户权限统一管理，使用OA系统记录用户的权限分配情况。

4. 系统管理员应保留所有特权用户的审批与处理记录。

5. 当用户的岗位和工作职责发生变化时，应及时更新其访问权限并记录。用户退出项目时应及时撤销相关的业务系统访问权限。

6. 系统管理员应定期（每季度）对用户权限进行一次盘点。

二、 应用系统帐号管理

公司业务系统帐户与管理规范如下：

1. 业务系统访问者仅允许使用个人帐号，且帐号与权限直接相关；

2. 严禁任何形式的帐号外借、共用，妥善保管应用系统帐号和密码；

3. 禁止建立用户组账号；

4. 业务系统正式运营后删除类似“guest”等临时或测试帐号；

5. 管理员(Administrator)账号或根(Root)账号只能由系统管理员使用和维护；

6. 超期（如60天）未使用的个人帐号按冻结处理。

三、 应用系统口令管理

公司应用系统账号口令设置与口令维护的要求除了本文件，还应该符合如下规定：

1. 应限制不成功登录尝试的次数，比如登录输入错误次数超过3次则锁定帐号，当天不允许再尝试或找管理员解封。

2. 用户忘记口令时，管理员必须在对该用户进行适当的身份确认后才能向其提供临时口令；

3. 如给用户提供的是临时口令，在用户第一次登录时应强制用户变更临时口令；

4. 允许用户选择和变更他们自己的口令，并且包括确认程序，以便考虑到输入出错的情况。

四、 应用系统登录会话超限

为了防止操作员离开计算机导致信息泄密和非授权访问，要求对会话连接进行控制，对于不活动的会话要求在一个设定的不活动周期后关闭，例如登录后15分钟内未有任何操作，应用系统的连接将自动断开（远程登录）或锁定/退出（本地登录）。

五、 远程连接访问控制规范

公司服务人员如需要通过公网访问和传输数据（比如在异地访问公司流程平台）时，数据传输应采取加密的方式进行。如需异地远程连接公司业务系统，应尽可能采取VPN等安全连接方式进行。

第六章 特权程序管理

外部人员进行技术测试使用的特权程序，必须经过公司书面审批通过才可使用。

公司内部进行技术测试使用的特权程序，公司必须按照采购流程进行评测采购，评测内容应包括但不限于：

1. 对已有系统的影响，潜在危险评估；

2. 功能符合性检查；

3. 不得含有病毒和计算机木马程序；

4. 由厂商提供的功能报表与公司需求的符合性等。

程序使用前应经过确认：在特权程序使用前应通知项目经理，由项目经理对特权程序使用的风险进行评估。必须在得到项目经理对测试时间、测试范围的确认后，才可使用特权程序。

程序使用中监督：特权程序使用时应通知运维责任部门，使用过程中项目负责人或其指定代理人员必须在场。

程序使用后确认：特权程序使用结束后，应由项目负责人检查确认系统的可用性。