2024年1月22日发(作者:)

访问权限管理规范

1.目的

主要是为了保障公司信息的授权访问,规范用户和权限访问管理,防止对网络服务和应用系统的未授权的访问。

2.适用范围

适用于公司内部网络服务、应用系统的账户、口令与权限管理。

3.职责

3.1信息中心负责对用户、口令与权限管理。

3.2资产管理员负责日常网络服务及应用系统访问权限的控制。

4.管理要求

4.1账号与口令管理

4.1.1一人一账号,以便将用户与其操作联系起来,使用户对其操作负责,禁止多人使用同一个账号。

4.1.2用户因工作变更或离开公司时,系统管理员要及时取消或者锁定其所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。

4.1.3系统管理员应每季度检查并取消多余的用户账号。

4.1.4所有计算机及系统用户在使用口令时应遵循以下原则:

口令必须具有一定强度、长度和复杂度,长度不得小于8 位字符串,要求是字母和数字或特殊字符等两类字符混合,用户名和口令禁止相同。

 保守口令的机密性,避免保留口令的字面记录,明文存储或明文网络传递;

 口令不要采用姓名、电话号码、生日等别人容易猜测或得到的口令;

 口令需要定期调整,重要服务器的口令不应由一人掌握。

 任何时候有迹象表明系统或口令可能受到损害,就要更换口令。

4.1.5对应用系统及所部署的服务器的超级口令进行台账式管理。

4.1.6用户有义务保护自己账号与口令等秘密鉴别信息,秘密鉴别信息的使用符合公司相关规范要求。

4.1.7 个人计算机必须设置开机口令和操作系统管理员口令,并开启屏幕保护中的密码保护功能。

4.18 口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过3 个月,并且不得重复使用前3 次以内的口令。用户登录事件要有记录和审计,同时限制同一用户连续失败登录次数,一般不超过3 次。

4.2权限管理

4.2.1资产管理员对信息的访问权限进行设置,添加该用户的相应访问权,设置权限,要再次确认,以保证权限设置正确。

4.2.2离开公司应立即取消或禁用其账号及所有权限,将其所拥有的信息备份保存,或转换接替者为持有人。用户的岗位发生变化时,要对其访问权限重新授权。

4.3 安全登录

4.3.1进入操作系统必须执行登录操作,禁止将系统设定为自动登录。

4.3.2限制所允许的不成功登录尝试的次数并考虑:

 记录不成功的尝试和成功的尝试;

 断开数据链路连接;

 如果达到登录的最大尝试次数,向系统控制台发送警报消息,并锁定账户;

 结合口令的最小长度和被保护系统的价值,设置口令重试的次数。

4.3.3登录后一定时间内未有任何操作,系统将自动断开(远程登录)、退出(本地登录)或锁定。

4.3.4 服务器应设置会话超时限制,

不活动会话应在一个设定的休止期后关闭。

4.4 网路访问控制

4.4.1 公司的办公主机原则上只能进行内网访问,涉及外网网路服务的必须申请批准;

4.4.2 公司禁止通过路由器私建无线网路。

4.4.3只有授权的用户才能通过公司无线网络进行访问,其他人员不允许通过公司无线网络上网。

4.5源代码的访问

4.5.1对于共享的源代码管理库的访问建立操作系统级的,基于身份和口令的访问授权。

4.5.2 有条件时,可通过配置管理进行源代码的管理。

4.6无人值守的用户设备

4.6.1对于无人值守的用户设备必须设置自动屏保程序同时要求用户在离开时将屏幕销住。

4.6.2当登录到一个系统完成任务,或长时间不使用时要从系统注销。

4.6.3个人电脑和电脑终端及打印机在无人使用时要求应使用密码屏幕保护安全,长时间不用时要关闭计算机。

4.6.4 员工暂时离开个人电脑或电脑终端时,需通过Windows+L快捷键对个人电脑或电脑终端进行锁定/锁屏。

4.7清除桌面和清屏策略

4.7.1含有涉密信息或重要信息的文件、记录、磁盘、光盘或以其它形式存贮的媒体在人员离开时,应锁入文件柜、保险柜等

4.7.2在结束工作时,必须关闭所有计算机终端,并且将个人桌面上所有记录有敏感信息的介质锁入文件柜;

4.7.3打印或复印公司非“普通”级信息时,打印或复印设备现场应有可靠人员,打印或复印完毕即从设备拿走。

5.记录

5.1 应用系统权限操作说明书

5.2 应用系统权限定期评审表

5.3超级口令管理表

5.4 ____系统账户一览表