访问控制安全管理办法

2024年1月2日发(作者：)

文档编号 XX_2_COM_访问控制安

全管理办法

版 本 号 V1.1

密 级 内部公开

访问控制安全管理办法

XXX信息技术有限公司

文档信息

发布版本：V1.0

最后发布时间：XXX

编写人：XX

审核人：XX

版本控制

编号

1

2

3

修订人

修订时间

版本号

修订内容说明

目 录

第一章

第二章

第三章

第四章

第五章

第六章

第七章

第八章

总则 .............................................................................................................. 4

访问控制的业务要求 .................................................................................. 4

用户访问管理及职责 .................................................................................. 5

网络访问控制 .............................................................................................. 7

操作系统访问控制 ...................................................................................... 8

应用和信息访问控制 ................................................................................ 10

移动办公安全 ............................................................................................ 10

附则 ............................................................................................................ 12

第一章 总则

第一条 为保障XXX信息技术有限公司（以下简称“XXX”）的信息系统访问控制安全，保障信息系统访问控制的业务需求，明确用户职责及对网络、操作系统和应用系统及数据的访问控制要求，特制定本文件。

第二章 访问控制的业务要求

第二条 需在业务要求和安全要求的基础上建立信息、信息处理设施和业务过程的访问控制。

第三条 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。

第四条 访问控制策略需依据XXX需求考虑如下（但不仅限于）内容：

（一） 制定信息授权的策略，及访问权限的管理策略；

（二） 规定每个用户或每组用户的访问控制规则和权力；

（三） 考虑各业务应用的安全要求；

（四） 标识业务应用相关的信息，识别信息面临的风险；

（五） 兼顾不同系统和网络的访问控制策略间的一致性；

（六） 遵守保护访问信息或服务的相关法律和合同义务；

（七） 访问控制角色的分离，例如访问请求、访问授权、访问管理；

（八） 考虑访问控制的定期评审要求。

第五条 对重要信息的访问及操作，系统保留日志或记录，并由相关负责人定期审阅，保证访问控制及操作的合法、合理性。

第三章 用户访问管理及职责

第六条 需严格进行用户访问管理，明确用户职责，确保授权用户访问信息系统，并防止未授权的访问。

第七条 需制定正式的用户注册及注销程序来授权和撤销对所有信息系统及服务的访问。可依据XXX需求考虑下列（但不仅限于）内容：

（一） 使用唯一用户ID，使用户对其行为负责；

（二） 检查使用信息系统或服务的用户是否已适当授权；

（三） 检查所授予的访问级别是否与业务要求相符，是否与XXX信息安全策略一致；

（四） 确保已经完成授权程序，用户才可访问；

（五） 记录并维护所有注册使用各服务的人员权限列表；

（六） 在用户离职或转岗时，需立即变更或撤销用户访问权限；

（七） 定期检查并锁定或撤销多余的用户帐号。

第八条 需限制和控制特殊权限的分配及使用，通过正式的授权过程使特殊权限的分配受到控制，可依据需求考虑如下（但不仅限于）内容：

（一） 标识出每个系统的特权账户，及其相关访问权限；

（二） 需按照访问控制策略，并依据“最小授权”原则给特权账户分配权限；

（三） 维护特权账户的授权过程及其记录；

（四） 特权账户的用户ID管理需与普通用户ID管理相区别。

第九条 需进行用户口令管理，通过正式的管理过程控制口令的分配和使用，可依据XXX需求考虑如下（但不仅限于）内容：

（一） 用户签署声明，以保证用户口令的保密性；

（二） 初始时提供给用户临时口令，以安全的方式将临时口令给予用户，并强制其登陆立即更改；

（三） 用户更改口令前，需验证用户身份；

（四） 用户口令不应以未保护的形式存储在计算机系统内；

（五） 应在系统或软件安装后改变默认口令。

第十条 需定期对用户的访问权限进行复查，可依据XXX需求考虑下列（但不仅限于）内容：

（一） 定期或任何变更之后，对用户的访问权限进行复查；

（二） 对于特权账户的授权，需更频繁的进行复查，如周期为3个月。

第十一条 需明确用户口令使用职责，使用户遵循良好的安全习惯，详见《用户帐户及权限安全管理规范》。可依据XXX需求对用户进行如下（但不仅限于）要求：

（一） 避免保留口令的记录，除非可以对其进行安全地存储；

（二） 每当有任何迹象表明系统或口令受到损害时就变更口令；

（三） 选择长度适当的优质口令；

（四） 定期变更口令（特权账户的口令应比常规口令更频繁地予以变更），并且避免重新使用旧的口令或周期性使用旧的口令；

（五） 在初次登录时更换临时口令；

（六） 个人的用户口令不要共享；

（七） 不在业务系统和非业系统中使用相同的口令。

第十二条 用户应遵守清空桌面、可移动存储介质和清空信息处理设施屏幕的策略。制定策略时可依据XXX需求考虑如下（但不仅限于）内容：

（一） 用户离开办公室时，应将敏感或关键业务信息上锁，如在纸质或电子存储介质中的信息，理想情况下，可放在保险柜或其他形式的安全设备中；

（二） 对于计算机和终端，当无人值守时，应注销或使用屏幕和键盘锁定机制进行保护；当不使用时，应使用带钥匙的锁、口令或其他控制措施进行保护；

（三） 保护邮件收发处和无人值守的传真机；

（四） 包含敏感或机密信息的文件应立即从打印机中清除。

第四章 网络访问控制

第十三条 需制定网络访问控制策略，防止对网络服务的未授权

访问，并维护和更新用户的网络访问权限，需明确如下（但不仅限于）内容：

（一） 允许被访问的网络和网络服务；

（二） 确定允许哪个人访问哪些网络和网络服务的授权程序；

（三） 保护访问网络连接和网络服务的管理控制措施；

（四） 访问网络和网络服务的途径。

第十四条 除VPN外，禁止使用其他方式进行远程访问，以控制远程用户的访问。非日常工作使用及系统维护需要，禁止其他人员开启远程访问功能。如其他原因起开启远程访问后，使用后及时关闭远程访问功能，防止非授权访问。

第十五条 可进行自动设备标识，将其作为鉴别特定位置和设备连接的方法。

第十六条 需对诊断和配置端口的访问采取一定的控制措施，包括使用带钥匙的锁和支持程序，以控制对端口的物理访问。

第十七条 需在网络中隔离信息服务、用户及信息系统，并基于访问控制策略和访问要求，将网络分成独立的逻辑区域。

第十八条 需基于访问控制策略，在网络中实施路由控制，以确保网络连接不违反相关的访问控制策略。

第五章 操作系统访问控制

第十九条 需对用户访问操作系统进行严格的访问控制，依据XXX的需求考虑如下（但不仅限于）内容：

（一） 依据访问控制策略，使用适当的鉴别措施，鉴别用户并授权；

（二） 记录系统鉴别成功和失败的情况；

（三） 记录系统特殊权限的使用；

（四） 当违反系统安全策略时警报。

第二十条 需对访问操作系统的登录程序加以控制，依据XXX的需求选择如下（但不仅限于）内容：

（一） 限制登录程序所允许的最大时间，如果超时则系统断开登录；

（二） 不显示输入的口令，不在网络上以明文传输口令；

（三） 限制所允许的不成功登录尝试的次数。

第二十一条 需对用户进行唯一的标识，如用户ID，并进行鉴别，以将各个活动追踪到各个责任人。

第二十二条 需明确对用户口令的要求，并进行严格管理，以避免用户在操作系统中使用脆弱口令。

第二十三条 需对可能超越操作系统安全控制措施的实用工具的使用加以限制并严格控制。

第二十四条 需对操作系统设置会话超时控制，超时后需清空会话屏幕，如超时更长时间，关闭所有应用和网络会话。

第二十五条 对于运行敏感信息的操作系统，特别是安装在高风险区域的，需使用联机时间控制的安全保障措施。

第六章 应用和信息访问控制

第二十六条 需严格限制对应用和信息的访问，使对于应用和信息的访问只限于已授权的用户，可依据XXX需求考虑如下（但不仅限于）内容：

（一） 防范超越或绕过应用安全控制措施的任何实用工具、操作系统软件和恶意软件的未授权访问；

（二） 不损坏与之共享信息资源的其他系统的安全。

第二十七条 需基于各个业务应用要求来限制对应用和信息的访问，并与XXX信息安全策略一致，可依据XXX需求考虑如下（但不仅限于）内容：

（一） 控制用户的访问权，如，读、写、删除和执行等；

（二） 确保处理敏感信息的应用系统的输出仅包含授权使用相关的信息，并且仅发送给已授权的终端；

（三） 周期性评审应用系统对用户的输出，确保没有多余信息。

第二十八条 需对敏感系统进行隔离，并实施严格的访问控制。当敏感系统在共享的环境中运行时，其责任人应识别与其共享资源的相关风险。

第七章 移动办公安全

第二十九条 需确保使用移动计算设备和远程工作设施时的信息

安全，考虑在不受保护的环境中工作的风险，应采用合适的保护措施。

第三十条 使用移动计算设备，如笔记本电脑、个人数字助理等设备时，应特别小心确保业务信息不被损害。

第三十一条 需制定正式策略并且采用适当的安全措施，以防范使用移动计算设备时所造成的风险，应包括对物理保护、访问控制、密码技术、备份和病毒防护的要求。

第三十二条 使用移动网络无线连接时，应确定其控制措施，并与其他类型的网络连接相区别，并进行重点考虑，如无线安全协议的已知漏洞，受限的无线网络带宽等。

第三十三条 移动办公是利用通信技术使工作人员可以在XXX之外的固定地点进行远程工作。需制定移动办公的安全管理策略，及操作计划和程序。只有在安全控制措施部署到位时，才授权远程工作活动。

第三十四条 需对远程工作场地进行适当的保护，以防范设备和信息被窃、信息的泄露、对XXX内部系统的未授权远程访问等。

第三十五条 需考虑移动办公使用通信链路传递的信息的敏感性，以及XXX内部系统的敏感性，保障通信的安全。

第三十六条 需对使用移动计算设施和远程工作的人员进行安全培训，以提高其对移动计算和远程工作导致附加风险的防范意识，并且遵守控制措施。

第八章 附则

第三十七条 本文件由XXX风险委员会负责解释。

第三十八条 本文件自发布之日起执行。

第三十九条 本文件将每年进行一次评审修订，并在重大信息安全事件发生后进行评审修订。