2024年1月2日发(作者:)
用户访问控制程序 YJF-SP-009-A1
第 1 页
文件编号:YJF-SP-009
版本:A1
文档秘级:秘密
用户访问控制程序
撰写:
审核:
批准:
发布:2021年4月1日
用户访问控制程序 YJF-SP-009-A1
第 2 页
版本历史
序号
1
版本
A0
A1
修订内容
制定
制定
修订部门/人 修订时间
2020-8-1
2021-4-1
2
3
4
5
用户访问控制程序 YJF-SP-009-A1
第 3 页
1 范围
本标准规定了**********科技有限公司逻辑访问的管理。
本标准适用作系统、数据库、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YJF-SP-024 相关方服务管理程序
YJF-SP-010 计算机管理程序
3 术语和定义
无
4 职责和权限
4.1 系统运维部
负责企业网、互联网访问权限的分配、审批,以及信息系统的服务器操作系统用户、数据库用户、应用管理员用户的开通。
4.2 其他部门
各部门根据实际需要向综合办公室提交账号及访问权限的申请,协助综合办公室人员对用户账号及权限进行定期复查。
5 活动描述
5.1 访问控制策略
5.1.1 本公司内部可公开的信息不作特别限定,允许所有用户访问。
5.1.2 本公司内部部分公开信息,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问。
5.1.3 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
5.1.4远程用户应该通过本公司批准的连接方式。
5.1.5用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。
用户访问控制程序 YJF-SP-009-A1
第 4 页
5.1.6用户不得私自撤除或更换网络设备。
5.1.7应限制对系统实用程序(System Utility Program)的使用。
a) 系统实用工具程序仅控制限于「特权帐户」使用;
b) 将系统实用工具和应用软件分开;
c) 限制系统实用工具的可用性,例如,在授权变更的时间内;实用工具程序仅控制限于「特权帐户」使用。「特权帐户」例如:主机系统的管理员,Windows系统的Adminisrator,数据库软件例如Oracle的 system、DBA,或者路由器、交换机的“enable”
口令,都可以作改变配置、安装软件、不受一般系统安全的限制;
d) 系统实用工具程序应安装在单独的地方,其访问限制权与其它应用程序区分。
5.2 用户访问管理
5.2.1 权限申请
5.2.1.1所有用户,包括第三方人员均需要履行访问授权手续(针对信息系统审核的访问也应提前申请)。授权流程如下:
申请部门申请:申请部门根据业务及管理工作的需要,确定需要访问的系统、访问权限和要申请的项目,在钉钉的工作流程单中,对应的项目中填写申请内容进行申请。
5.2.1.2钉钉工作流程单应对以下内容予以明确:
a) 权限申请人员;
b) 访问权限的级别和范围;
c) 申请理由;
d) 有效期。
5.2.2权限变更
5.2.2.1对发生以下情况对其访问权应从系统中予以注销:
a) 内部用户雇佣合同终止时;
b) 内部用户因岗位调整不再需要此项访问服务时;
c) 第三方访问合同终止时;
d) 其它情况必须注销时。
5.2.2.2由于用户变换岗位等原因造成访问权限变更时,用户应重新填写“用户授权申请表”,按照本标准5.2.1的要求履行授权手续。
用户访问控制程序 YJF-SP-009-A1
第 5 页
5.2.2.3人力资源部应将人事变动情况及时通知各部门,访问授权实施部门应进行权限设置更改。
5.2.2.4特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门领导批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。
5.2.3管理或操作处理PII的系统和服务的用户的注册和注销流程应解决用户对其访问控制受到损害的情况,如密码泄密或其他用户注册数据受到侵害。
对于处理PII的系统和服务,公司不应向用户重新发布任何已经失效或已经过期的用户ID。
一些司法管辖区对与处理PII的系统相关的未使用的身份验证凭据的检查频率提出了特定要求。在这些司法管辖区运营的公司应考虑这些要求。
5.2.4 IT部门应保持为已经授权访问信息系统,其中包括PII创建的用户信息的记录准确,且保持最新。该记录包括关于该用户的一系列数据,包括用户ID。可以使适当配置系统识别访问PII的用户以及他们所作的添加,删除或更改。
除了保护公司外,用户还可以通过识别他们已经处理的内容以及未处理的内容来获得保护。
在公司将PII处理作为服务提供的情况下,客户可以负责访问管理的一些或所有方面,在适当情况下,公司向客户提供执行访问管理的方法,如通过提供管理权限来管理或终止访问。
5.2.5 用户访问权的维护和评审
5.2.5.1对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施部门应进行记录,填写“用户授权申请表”包括:
a) 权限开放/变更/注销时间;
b) 变化后权限内容;
c) 开放权限的管理员。
5.2.5.2授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施部门予以调整。
5.2.5.3特权授权管理部门每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知访问授权实施部门予以注销。
用户访问控制程序 YJF-SP-009-A1
第 6 页
5.2.5.4 授权管理部门应对访问权限的检查结果予以记录。
5.3 用户口令管理
5.3.1各系统访问授权实施部门管理员应按以下过程对被授权访问该系统的用户口令予以分配:
a) 在生成帐号时,系统管理员应该分配给合法用户一个唯一的安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;
b) 当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。
5.3.2 口令策略
所有计算机用户在使用口令时应遵循以下原则:
a) 所有活动帐号都必须有口令保护。
b) 所有系统初始默认口令必须更改。
c) 口令输入时不应将口令的明文显示出来,应该采取掩盖措施。
d) 口令必须至少要含有6个字符,系统管理员口令至少要含有8个字符。
e) 口令必须同时含有字母和非字母字符。
f) 口令不能和用户名或登录名相同。
g) 口令不能是字典中能够找到的词。
h) 口令不能采用姓名、电话号码、生日等容易猜测的口令,不得用连续的数字或字母群。
i) 口令必须是保密的,不能共享、含在程序中或写在纸上。
j) 口令不能通过明文电子邮件传输。
k) 口令不能通过语音或移动电话告知。
l) 口令不能以明文形式保存在任何电子介质中。
m) 口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。
n) 用户应该在不同的系统中使用不同的口令。
o) 在UNIX系统中,口令不应存放在/etc/passwd文件中,而只应存放在只有root用户和系统自身有权访问的shadow文件中。
p) 可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。
q) 任何时候有迹象表明系统或口令可能受到损害,就要更换口令。
用户访问控制程序 YJF-SP-009-A1
第 7 页
r) 过期的口令在没有更改的情况下最多只能使用5次,之后应该禁用,只有管理员才能恢复。
s)如果root帐号的口令被攻破或泄漏,所有的口令都必须修改。
t)用户获取口令时必须用适当的方式证明自己的身份。
u)输错5次口令后被锁定的用户帐号,只有系统管理员在确认锁定原因后才可以立即解锁,否则需锁定一天后再自动解锁。
v)系统功能允许情况下,对口令的使用、成功登录日志、失败登录日志(包括日期、时间、用户名或登录名)要经常进行审计。
w) 系统功能允许情况下,用户在空闲状态达30分钟后应该自动退出。
x) 一般用户口令至少一年变更一次,特权用户口令至少每半年变更一次;对于用户口令的变更会影响应用程序运行的情况,该用户的口令可以在适当的时机予以变更。
y) 口令应妥善保存,不要共享个人用户口令。
5.4 第三方访问
5.4.1第三方访问是指本公司以外其他组织/人员对本公司的信息系统的逻辑访问。
5.4.2第三方访问包括网络访问、操作系统访问、数据库访问、信息系统访问。
5.4.3第三方访问前各责任部门要对第三方访问可能导致的风险进行评估,采取适当的控制措施(如:授权、签署保密协议等),维护被第三方访问的本公司信息处理设施和信息资产的安全。
5.4.4 第三方授权的方式包括签订协议和临时访问授权两种方式。
5.4.4.1与本公司建立长期业务合作关系,需要经常在公司内工作的第三方及长期逻辑访问本公司信息系统的第三方,责任部门应与其签订保密协议;规定其在公司内活动的场所范围,时间和人员资格的要求,以及违反安全规定协议须承担的法律赔偿责任等,必要时对其工作人员进行资格审查。
5.4.4.2 如果属于临时参观学习或业务工作需要的第三方访问采用临时授权方式。
5.4.5第三方访问的授权
5.4.5.1第三方在访问本公司网络、操作系统、数据库、信息系统时需要书面授权。
5.4.5.2授权权限的规定:
用户访问控制程序 YJF-SP-009-A1
第 8 页
a) 访问敏感信息须经信息管理部门负责人批准授权;
b) 所有的逻辑访问均需系统运维部负责人审核,报主管领导批准授权后方可进行;
c) 第三方人员为特权用户时,应由应用管理部门负责人批准,并在工作完成后立即收回。
5.4.5.3授权程序
a) 第三方访问前,如第三方需要申请帐号,访问接待部门应在钉钉中填写对应的信息安全申请表,按本程序第5.2条办理相关授权批准;
b) “第三方访问申请/授权表”上应明确规定访问的类型、时间、权限。
c) 授权管理部门要对来访者的身份、访问类型及访问可能导致的风险按《信息安全风险评估控制程序》进行风险等级评估,以确定相应的控制措施。
5.5 安全登录要求
登录到操作系统的程序应设计成使未授权访问的机会减到最小。因此,登录程序应泄露最少有关系统的信息,以避免给未授权用户提供任何不必要的帮助。
5.5.1不显示系统或应用标识符,直到登录过程已成功完成为止。
5.5.2显示只有已授权的用户才能访问计算机的一般性的告警通知。
5.5.3在登录过程中,不提供对未授权用户有帮助作用的帮助消息。
5.5.4仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的。
5.5.5限制所允许的不成功登录尝试的次数(推荐3 次)并考虑:
记录不成功的尝试和成功的尝试;
在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试;
断开数据链路连接;
如果达到登录的最大尝试次数,向系统控制台发送警报消息;
结合口令的最小长度和被保护系统的价值,设置口令重试的次数。
5.5.6限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录。
5.5.7不显示输入的口令或考虑通过符号隐藏口令字符。
5.5.8不在网络上以明文传输口令。
用户访问控制程序 YJF-SP-009-A1
第 9 页
5.5.9如果客户要求,公司应具备为客户控制下的任何账户提供安全登录规程的能力。
5.6应确保在其控制下,访问PII的操作的个人承担保密义务。无论是合同的一部分还是单独的保密协议,都应规定履行义务的时间长度。
当公司是PII处理者时,公司,其员工及其代理之间的任何形式的保密协议应确保员工遵守有关的数据处理和保护的策略和规程。
6 相关文件
无
7 记录表单
7.1 用户授权申请书
7.2 用户账号权限复查表
7.3 邮箱地址申请
发布评论