11-访问控制程序11-访问控制程序.doc

综述 本程序的目的是为推动对访问控制的有效安全管理，包括用户访问管理、用户职责划分、网络访问控制、系统访问管理及应用访问控制、移动计算机和远程控制以下内容： 根据业务和安全需求控制对信息的访问； 防止擅自访问网络、计算机和信息系统中保存的信息； 防止未授权的用户访问； 保护网络服务； 查找未授权的活动。 访问控制的业务要求 访问控制策略 本公司管理的所有逻辑访问控制都应遵守信息安全策略中规定的访问方针。本公司员工按照《网络安全策略》的要求，履行自己的信息安全职责。 本公司需要建立统一的访问控制策略，由总经理办公室批准IT网络管理建立统一访问控制策略。策略应考虑到下列内容： 各个业务应用的安全要求； 与业务应用相关的所有信息的标识和该信息面临的风险； 信息传播和授权的策略，例如，了解原则和安全等级以及信息分类的需要； 不同系统和网络的访问控制策略和信息分类策略之间的一致性； 关于保护访问数据或服务的相关法律和合同义务； 在认可各种可用的连接类型的分布式和网络化环境中的访问权的管理； 访问控制角色的分离，例如访问请求、访问授权、访问管理； 访问请求的正式授权要求； 要求定期评审访问控制； 访问权的取消。 用户访问管理 用户注册 注册 一般来说用户访问各信息系统和服务的注册和注销程序包括： 使用唯一的用户ID号码，保证可由此号码追溯用户，从而使其对自己的行为负责。组ID只在与执行的任务相适应的情况下允许使用； 要检查使用信息系统或服务的用户是否具有该系统拥有者的授权； 检查所授予的访问级别是否与业务目的相适合，是否与组织的安全方针保持一致； 保存所有用户注册的正式记录； 在收到服务终止申请或任何本公司的员工离职或调离后，立即注销该用户的访问权； 定期检查并清理多余的用户账号。 变更、取消访问权或注销 核实授权有效并得到行政部的批准； 变更/删除/禁用用户帐号。 特权管理 控制措施应限制和控制特殊权限的分配及使用。应考虑下列步骤： 应标识出与每个系统产品，例如，操作系统、数据库管理系统和每个应用程序，相关的访问特殊权限，以及必须将其分配的用户； 特殊权限应按照访问控制策略在“需要使用”的基础上和“逐个事件”的基础上分配给用户，例如仅当需要时，才为其职能角色分配最低要求； 应维护所分配的各个特殊权限的授权过程及其记录。在未完成授权过程之前，不应授予特殊权限； 应促进开发和使用避免具有特殊权限才能运行的程序； 特殊权限应被分配一个不同于正常业务用途所用的用户ID。 本公司要严格控制特权的分配和使用。任何第三方都不得使用他人的帐户或者其它逻辑访问。 任何信息系统，只能由其所有者或授权管理者控制该系统的特权帐户的口令，包括关键服务器和防火墙等所用的口令。 任何用户在使用多用户信息系统和服务时都必须验证身份。 所有申请特权用户帐号和口令的行为都必须经过相关部门负责人，由相关部门负责人确定是否发给他们口令。必须遵照以下做法： 原则上不要将口令分配给外部人员； 如果系统发生故障且本公司需要设备供应商的帮助，口令不得传给设备供应商的工程师。本公司人员对设备供应商的支持人员(工程师)进行身份识别，并陪同工程师登入并在工程师完成任务后注销； 在供应商必须由特权口令进行的工作完成后，修改该口令； 无法做出判断后请示上级领导； 保存一份全部分配特权和确认口令变更的书面记录。 紧急请求特权帐号如Windows服务器的管理员时，帐号发布，应当保证口令信息的必威体育官网网址性； 口令管理 口令管理请参见《口令控制要求》。 用户访问权限检查 周期性检查用户访问权限。 更短的周期性检查特殊访问权限。特权包括： 平台系统和数据库的管理员帐户； 拥有管理员权限的WINDOWS帐户； 所有交换机或专用设备的管理员帐户； 防火墙管理员帐户； 拥有专门特权(取决于系统)的其它系统的帐户。 用户职责 口令的使用 所有的用户都对其个人用户帐号和口令有关的任何活动承担责任或可能的纪律和/或法律责任。同样，用户也禁止用其它用户的ID从事活动。 口令使用请参见《口令控制要求》。 无人职守的用户设备 应确保无人值守的用户设备有适当的保护。 相关部门负责人具有保护无人职守用户设备的职责，应建立保护无人职守用户设备的管理办法。所有员工应做到： 当使用结束时，终止有效会话，利用合适的锁定机制使它们安全，例如，有口令保护的屏幕保护程序或使用lock命令； 当会话结束时退出主计算机、服务器和办公PC（即，不仅仅关掉PC屏幕或终端）； 当不使用设备时，利用带钥匙的锁或等价控制措施来保护PC或终端不被未授权使用，例如，设置口令。 在公共区域安装的设备（例如工作站或文件服务器）在长期无人值守时需要专门的保护，以防止未授权访问。 清空桌面和屏幕 本公司内所有工作