网络信息访问控制制度.docx-淘文阁

资源描述

《网络信息访问控制制度.docx》由会员分享，可在线阅读，更多相关《网络信息访问控制制度.docx（15页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络信息访问控制制度网络信息访问限制制度 10.1 访问限制要求 10.1.1 访问限制管理方法第 165 条全部系统和应用都必需有访问限制列表，由系统管理者明确定义访问限制规则、用户和用户组的权限以及访问限制机制。访问限制列表应当进行周期性的检查以保证授权正确。第 166 条访问权限必需依据工作完成的最少需求而定，不能超过其工作实际所需的范围。必需根据除非明确允许，否则一律禁止的原则来设臵访问限制规则。第 167 条全部访问限制必需建立相应的审批程序，以确保访问授权的合理性和有效性。必需禁用或关闭任何具有越权访问的功能。员工的职责发生改变或离职时，其访问权限必需作相应调整或撤销

2、。第 168 条系统自带的默认帐号应当禁用或配臵密码进行爱护。 10.2 用户访问管理 10.2.1 用户注册第 169 条开放给用户访问的信息系统，必需建立正式的用户注册和注销程序。第 173 条全部用户的注册都必需通过用户注册程序进行申请，并得到部门领导或其托付者的批准。系统管理者对用户具有最终的授权确定权。必需保留和维护全部用户的注册信息的正式用户记录。第 173 条负责用户注册的管理员必需验证用户注册和注销恳求的合法性。第 173 条每个用户必需被安排唯一的帐号，不允许共享用户帐号。用户一旦发觉其帐号异样，必需马上通知负责用户注册的管理员进行处理。假如用户帐号连续

3、120 天没有运用，必需禁用该帐号。第 173 条帐号名不能透露用户的权限信息，比如管理员帐号不能带有 Admin 字样。 10.2.2 特权管理第 174 条必需建立正式的授权程序，以确保授权得到严格的评估和审批，并保证没有与系统和应用的平安相违反。第 175 条必需建立授权清单，记录和维护已安排的特权和其相对的用户信息。 10.2.3 用户密码管理第 176 条只有在用户身份被确认后，才允许对遗忘密码的用户供应临时密码。第 177 条系统中统一管理帐号密码的模块保存的密码必需是加密的。第 178 条密码必需保密，不得与他人共享、放在源代码内或写在没有爱护的介质上。

4、第 179 条必需强制用户在第一次登录时修改密码。第 180 条系统应当设臵定期的密码修改管理方法，并限制至少最近 3 个旧密码的重用。第 181 条系统必需启用登录失败的限制功能，假如连续 10 次登录失败，系统应当自动锁定相关帐号。第 182 条在通过电话传送密码以前必需确认对方的身份。第 183 条禁止帐号和密码被一起传送，例如用同一封邮件传送帐号和密码。第 184 条全部系统都应当建立应急帐号，应急帐号资料必需放在密封的信封内妥当保藏，并限制好信封的存取。必需记录全部应急帐号的运用状况，包括相关的人、时间和缘由等。应急帐号的密码在运用后必需立即修改，然后把新的密码

5、装到信封里。 10.2.4 用户访问权限的检查第 185 条必需半年对注册用户的访问权限和系统特权进行一次复查，关键系统必需每三个月复查一次。此过程应当包括但不限于： 1)确认用户权限的有效性和合理性 2)找出全部异样帐号，进行分析并实行相应措施第 186 条必需对可疑的或不明确的访问权限进行调查，并作为平安事故进行报告。 10.3 用户的责任 10.3.1 密码的运用第 187 条用户必需对其帐号的平安和运用负责，无论在何种状况下，用户都不应当泄漏其密码。用户不应当运用纸张或未受爱护的电子形式保存密码。用户一旦怀疑其帐号密码可能受到损害，应当刚好修改密码。第 188 条用户在

6、第一次运用帐号时，必需修改密码。用户必需至少每半年修改一次密码。特权帐号的密码必需至少每 3 个月修改一次。用于系统之间认证帐号的密码必需至少每半年修改一次。第 189 条除非有技术限制，密码应当至少包含 8 个字符。此 8个字符必需包含数字和字母。第 190 条用户不应运用简单被揣测的密码，例如字典中的单词、生日和电话号码等。前 3 次用过的密码不应当被重复运用。第 191 条密码不应当被保存于自动登录过程中，例如 IE 中的帐号自动保存。 10.3.2 清除桌面及屏幕管理方法第 192 条全部服务器和个人电脑都必需启用带有口令爱护的屏幕爱护程序，激活等待时间应少于 10

7、分钟。第 193 条无人运用时，服务器、个人电脑和复印机等必需保持注销状态。第 194 条不能将机密和绝密信息资料遗留在桌面上，而应当依据信息的保密等级进行处理。第 195 条必需为信件收发区域以及无人看管的传真机设臵适当的爱护措施。第 196 条打印完敏感信息之后，必需确认信息已从打印队列中清除。 10.4 网络访问限制 10.4.1 网络服务运用管理方法第 1101 条必需建立授权程序来管理网络服务的运用。第 1101 条应遵循业务要求中所说明的访问限制管理方法来限制访问。第 1101 条全部系统都必需设臵访问限制机制来防止未经授权的访问。 10.4.2 外部连

8、接的用户认证第 200 条对公司系统进行远程访问，必需建立适当的认证机制，采纳的机制应通过风险评估来确定。第 201 条通过拨号进行远程访问必需经过正式批准，并做好相关记录。第 202 条用于远程访问的调制解调器平常必需保持关闭，只有在运用的时候才能打开。第 203 条在公司外部进行远程办公，必需运用 VPN 进行连接。第 204 条与外部合作伙伴进行信息交换，应当运用专线进行连接。 10.4.3 远程诊断和配置端口的爱护第 205 条在不运用的时候，诊断端口应当被禁用或通过恰当的平安机制进行爱护。第 206 条假如第三方须要访问诊断端口，必需签订正式的协议。第

9、 207 条对远程诊断端口的访问，必需建立正式的注册审批程序。访问者必需只被授予最小的访问权限来完成诊断任务，并且必需得到认证。第 208 条全部远程的诊断访问必需事先申请并获得批准。第 209 条在远程诊断会话期间，必需记录全部执行的活动信息，包括时间、执行者、执行动作和结果等。这些记录应当由系统管理员进行检查以确保访问者只执行了被授权的活动。 10.4.4 网络的划分第 210 条必需将网络划分为不同的区域，以供应不同级别的平安爱护，满意不同服务的平安需求。第 211 条对于重要的网络区域必需设臵访问限制以隔离其他网络区域。第 212 条应当运用风险评估来确定每个区域

10、的平安级别。第 213 条公司外部和内网之间应当建立一个 DMZ。 10.4.5 网络连接的限制第 214 条公司以外的网络连接，在建立连接前必需对外部的接入环境进行评估，满意公司管理方法后才能接入。第 215 条全部网络端口必需进行限制，以防止非授权的电脑接入公司网络。限制要求至少应包括： 1)全部的端口默认都是关闭的，只有在经过正式批准后才能开通； 2)端口的关闭必需在员工离职和岗位变动流程中体现； 3)临时运用的端口或位臵变动，员工必需主动申请停用原有端口，开通新端口前必需先关闭原有端口。第 216 条必需将网络接口和接入设备绑定，假如须要更换接入的设备，必需经过部门经理

11、的审批。第 217 条全部接入公司网络的主机必需经过公司的标准化安装。第 218 条公司必需设立一个单独的网络区域供非公司标准化安装的电脑接入，此区域在网络上是完全封闭、独立的。 10.4.6 网络路由的限制第 219 条路由访问限制列表必需基于适当的源地址和目标地址检查机制。全部对外供应网络服务的网络地址必需进行地址转换。第 220 条全部重要服务器的管理端口必需通过指定的路径进行访问。 10.5 操作系统访问限制 10.5.1 用户识别和认证第 221 条全部用户都应当被识别和认证。在每个系统上创建实名用户，系统登陆必需运用实名用户。假如因特别缘由不能运用实名用户登陆，

12、必需经过平安管理委员会同意。第 222 条用户认证失败信息中，应当不显示详细的失败缘由。例如不能显示帐号不存在或密码不正确。第 223 条假如由于业务要求须要运用共享用户帐号，那么此共享帐号应当得到正式的批准并明文归档。第 224 条系统管理员和应用管理员必需运用不同的帐号。第 225 条全部运用帐号密码进行认证的系统，在帐号密码传送过程中，应当采纳加密爱护措施防止泄漏。 10.5.2 密码管理系统第 226 条系统应当强制用户在第一次胜利登录后修改初始密码。修改密码时，系统必需提示用户确认新密码，以防止输入错误。不能明文显示输入的密码。第 227 条密码文件应当与应用

13、系统数据分开存储。密码处理时必需运用单向加密。当密码接近失效期或者已经过期时，系统应当提示或强制用户修改密码。第 228 条全部默认的密码都应当在软件安装后马上更改。系统应当允许用户修改自己的密码。第 229 条系统的密码管理方法必需满意如下要求： 1)密码长度至少 8 个字符； 2)启用密码困难度要求，至少包括大写字母、小写字母、数字、特别字符中的三种； 3)管理员帐号密码有效期是 90 天； 4)重要系统的用户帐号密码有效期是 90 天； 5)非重要系统的一般帐号密码有效期是 180 天； 6)记录的历史密码次数不少于 5 个； 7)帐号密码验证失败锁定阀值是 10 次； 8)帐号

14、被锁定后必需由管理员解锁。 9)假如因系统自身的功能限制不能满意上述管理方法的要求，其设臵的密码管理方法必需经信息平安管理委员会审核同意。 10.5.3 系统工具的运用第 230 条全部系统工具都应当被识别，不必要的工具必需从生产系统中删除。 10.5.4 终端超时终止第 231 条连接到服务器的全部终端，在 30 分钟内没有活动，都应当被终止连接。 10.5.5 连接时间的限制第 232 条对关键的信息系统供应附加的平安爱护，包括但不限于： 1）只允许在之前协商好的时间段内访问 2）只允许在正常的工作时间内访问 3）远程诊断 modem 在不运用时必需处于关闭状态，在运用后必需马

15、上关闭。 10.6 应用系统访问限制 10.6.1 信息访问限制第 233 条应用系统应当限制用户的访问权限，如读写权限、删除权限以及执行权限。第 234 条必需保证处理敏感信息的应用系统仅输出必需的信息到授权的终端，同时应对这些输出功能进行定期检查，保证不存在输出多余的信息。 10.6.2 敏感系统的隔离第 235 条应当依据应用系统的敏感程度对系统进行适当的隔离爱护，比如： 1)运行于指定的计算机上 2)仅与信任的应用系统共享资源 3）敏感系统的各个部分都应当以适当的方式进行爱护。 10.7 移动计算和远程办公 10.7.1 移动计算第 236 条移动设备和家庭办公个人电

16、脑都应当受到爱护以防未授权访问。第 237 条进行移动和家庭办公的员工，应当对其运用的设备做好物理爱护，防止丢失、偷窃和破坏等。存放在移动设备中的敏感信息必需做好爱护，比如采纳加密以防泄漏。第 238 条移动设备用户必需做好防病毒工作。移动设备中的公司信息应当做好备份工作，防止丢失。 10.7.2 远程办公第 239 条必需建立远程办公的运用标准和授权程序。第 240 条远程办公的访问权限必需基于最小权限的原则进行安排，授权内容应当包括： 1)允许访问的系统和服务 2)允许进行的工作 3)访问时段第 241 条远程办公的访问限制应当采纳双重认证的方式。远程办公的信息在传输过程中必需加密。第 242 条员工离职或不再运用远程办公时，必需取消其相关的远程办公访问权限。必需定期对远程办公实施审计和平安监控。第15页共15页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页第 15 页共 15 页

展开阅读全文