网络信息访问控制制度.doc

上传人:帮**** 文档编号:3572248 上传时间:2020-09-19 格式:DOC 页数:7 大小:42KB
返回 下载 相关 举报
网络信息访问控制制度.doc_第1页
第1页 / 共7页
网络信息访问控制制度.doc_第2页
第2页 / 共7页
点击查看更多>>
资源描述

《网络信息访问控制制度.doc》由会员分享,可在线阅读,更多相关《网络信息访问控制制度.doc(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络信息访问控制制度 10.1 访问控制要求 10.1.1 访问控制管理办法 第165条 所有系统和应用都必须有访问控制列表,由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以保证授权正确。 第166条 访问权限必须根据工作完成的最少需求而定,不能超过其工作实际所需的范围。必须按照“除非明确允许,否则一律禁止”的原则来设臵访问控制规则。 第167条 所有访问控制必须建立相应的审批程序,以确保访问授权的合理性和有效性。必须禁用或关闭任何具有越权访问的功能。员工的职责发生变化或离职时,其访问权限必须作相应调整或撤销。 第168条 系统自带的默认

2、帐号应该禁用或配臵密码进行保护。 10.2 用户访问管理 10.2.1 用户注册 第169条 开放给用户访问的信息系统,必须建立正式的用户注册和注销程序。 第170条 所有用户的注册都必须通过用户注册程序进行申请,并得到部门领导或其委托者的批准。系统管理者对用户具有最终的授权决定权。必须保留和维护所有用户的注册信息的正式用户记录。 第171条 负责用户注册的管理员必须验证用户注册和注销请求的合法性。 第172条 每个用户必须被分配唯一的帐号,不允许共享用户帐号。用户一旦发现其帐号异常,必须立即通知负责用户注册的管理员进行处理。如果用户帐号连续120天没有使用,必须禁用该帐号。 第173条 帐号

3、名不能透露用户的权限信息,比如管理员帐号不能带有Admin字样。 10.2.2 特权管理 第174条 必须建立正式的授权程序,以确保授权得到严格的评估和审批,并保证没有与系统和应用的安全相违背。 第175条 必须建立授权清单,记录和维护已分配的特权和其相对的用户信息。 10.2.3 用户密码管理 第176条 只有在用户身份被确认后,才允许对忘记密码的用户提供临时密码。 第177条 系统中统一管理帐号密码的模块保存的密码必须是加密的。 第178条 密码必须保密,不得与他人分享、放在源代码内或写在没有保护的介质上(如纸张)。 第179条 必须强制用户在第一次登录时修改密码。 第180条 系统应该设

4、臵定期的密码修改管理办法,并限制至少最近3个旧密码的重用。 第181条 系统必须启用登录失败的限制功能,如果连续10次登录失败,系统应该自动锁定相关帐号。 第182条 在通过电话传送密码以前必须确认对方的身份。 第183条 禁止帐号和密码被一起传送,例如用同一封邮件传送帐号和密码。 第184条 所有系统都应该建立应急帐号,应急帐号资料必须放在密封的信封内妥善收藏,并控制好信封的存取。必须记录所有应急帐号的使用情况,包括相关的人、时间和原因等。应急帐号的密码在使用后必须立刻修改,然后把新的密码装到信封里。 10.2.4 用户访问权限的检查 第185条 必须半年对注册用户的访问权限和系统特权进行一

5、次复查,关键系统必须每三个月复查一次。此过程应该包括但不限于: 1)确认用户权限的有效性和合理性 2)找出所有异常帐号(如长时间未使用和已离职人员的帐号等),进行分析并采取相应措施 第186条 必须对可疑的或不明确的访问权限进行调查,并作为安全事故进行报告。 10.3 用户的责任 10.3.1 密码的使用 第187条 用户必须对其帐号的安全和使用负责,无论在何种情况下,用户都不应该泄漏其密码。用户不应该使用纸张或未受保护的电子形式保存密码。用户一旦怀疑其帐号密码可能受到损害,应该及时修改密码。 第188条 用户在第一次使用帐号时,必须修改密码。用户必须至少每半年修改一次密码。特权帐号的密码必须

6、至少每3个月修改一次。用于系统之间认证帐号的密码必须至少每半年修改一次。 第189条 除非有技术限制,密码应该至少包含8个字符。此8个字符必须包含数字和字母。 第190条 用户不应使用容易被猜测的密码,例如字典中的单词、生日和电话号码等。前3次用过的密码不应该被重复使用。 第191条 密码不应该被保存于自动登录过程中,例如IE中的帐号自动保存。 10.3.2 清除桌面及屏幕管理办法 第192条 所有服务器和个人电脑都必须启用带有口令保护的屏幕保护程序,激活等待时间应少于10分钟。 第193条 无人使用时,服务器、个人电脑和复印机等必须保持注销状态。 第194条 不能将机密和绝密信息资料遗留在桌

7、面上,而应该根据信息的保密等级进行处理。 第195条 必须为信件收发区域以及无人看管的传真机设臵适当的保护措施。 第196条 打印完敏感信息之后,必须确认信息已从打印队列中清除。 10.4 网络访问控制 10.4.1 网络服务使用管理办法 第197条 必须建立授权程序来管理网络服务的使用。 第198条 应遵循业务要求中所说明的访问控制管理办法来限制访问。 第199条 所有系统都必须设臵访问控制机制来防止未经授权的访问。 10.4.2 外部连接的用户认证 第200条 对公司系统进行远程访问,必须建立适当的认证机制,采用的机制应通过风险评估来决定。 第201条 通过拨号进行远程访问必须经过正式批准

8、,并做好相关记录。 第202条 用于远程访问的调制解调器平时必须保持关闭,只有在使用的时候才能打开。 第203条 在公司外部进行远程办公,必须使用VPN进行连接。 第204条 与外部合作伙伴进行信息交换,应该使用专线进行连接。 10.4.3 远程诊断和配置端口的保护 第205条 在不使用的时候,诊断端口应该被禁用或通过恰当的安全机制进行保护。 第206条 如果第三方需要访问诊断端口,必须签订正式的协议。 第207条 对远程诊断端口的访问,必须建立正式的注册审批程序。访问者必须只被授予最小的访问权限来完成诊断任务,并且必须得到认证。 第208条 所有远程的诊断访问必须事先申请并获得批准。 第20

9、9条 在远程诊断会话期间,必须记录所有执行的活动信息,包括时间、执行者、执行动作和结果等。这些记录应该由系统管理员进行检查以确保访问者只执行了被授权的活动。 10.4.4 网络的划分 第210条 必须将网络划分为不同的区域,以提供不同级别的安全保护,满足不同服务的安全需求。 第211条 对于重要的网络区域必须设臵访问控制以隔离其他网络区域。 第212条 应该使用风险评估来决定每个区域的安全级别。 第213条 公司外部和内网之间应该建立一个DMZ。 10.4.5 网络连接的控制 第214条 公司以外的网络连接,在建立连接前必须对外部的接入环境进行评估,满足公司管理办法后才能接入。 第215条 所

10、有网络端口必须进行限制,以防止非授权的电脑接入公司网络。限制要求至少应包括: 1)所有的端口默认都是关闭的,只有在经过正式批准后才能开通; 2)端口的关闭必须在员工离职和岗位变动流程中体现; 3)临时使用的端口或位臵变动,员工必须主动申请停用原有端口,开通新端口前必须先关闭原有端口。 第216条 必须将网络接口和接入设备绑定,如果需要更换接入的设备,必须经过部门经理的审批。 第217条 所有接入公司网络的主机必须经过公司的标准化安装。 第218条 公司必须设立一个单独的网络区域供非公司标准化安装的电脑接入,此区域在网络上是完全封闭、独立的。 10.4.6 网络路由的控制 第219条 路由访问控

11、制列表必须基于适当的源地址和目标地址检查机制。所有对外提供网络服务的网络地址必须进行地址转换。 第220条 所有重要服务器的管理端口必须通过指定的路径进行访问。 10.5 操作系统访问控制 10.5.1 用户识别和认证 第221条 所有用户都应该被识别和认证。在每个系统上创建实名用户,系统登陆必须使用实名用户。如果因特殊原因不能使用实名用户登陆,必须经过安全管理委员会同意。 第222条 用户认证失败信息中,应该不显示具体的失败原因。例如不能显示“帐号不存在”或“密码不正确”。 第223条 如果由于业务要求需要使用共享用户帐号,那么此共享帐号应该得到正式的批准并明文归档。 第224条 系统管理员

12、和应用管理员必须使用不同的帐号。 第225条 所有使用帐号密码进行认证的系统,在帐号密码传送过程中,应该采用加密保护措施防止泄漏。 10.5.2 密码管理系统 第226条 系统应该强制用户在第一次成功登录后修改初始密码。修改密码时,系统必须提示用户确认新密码,以防止输入错误。不能明文显示输入的密码。 第227条 密码文件应该与应用系统数据分开存储。密码处理时必须使用单向加密。当密码接近失效期或者已经过期时,系统应该提示或强制用户修改密码。 第228条 所有默认的密码都应当在软件安装后立即更改。系统应该允许用户修改自己的密码。 第229条 系统的密码管理办法必须满足如下要求: 1)密码长度至少8

13、个字符; 2)启用密码复杂度要求,至少包括大写字母、小写字母、数字、特殊字符中的三种; 3)管理员帐号密码有效期是90天; 4)重要系统的用户帐号密码有效期是90天; 5)非重要系统的普通帐号密码有效期是180天; 6)记录的历史密码次数不少于5个; 7)帐号密码验证失败锁定阀值是10次; 8)帐号被锁定后必须由管理员解锁。 9)如果因系统自身的功能限制不能满足上述管理办法的要求,其设臵的密码管理办法必须经信息安全管理委员会审核同意。 10.5.3 系统工具的使用 第230条 所有系统工具都应当被识别,不必要的工具必须从生产系统中删除。 10.5.4 终端超时终止 第231条 连接到服务器的所

14、有终端,在30分钟内没有活动,都应该被终止连接。 10.5.5 连接时间的限制 第232条 对关键的信息系统(如前臵机、合作伙伴主机等)提供附加的安全保护,包括但不限于: 1)只允许在之前协商好的时间段内访问(如:每天6点6点半) 2)只允许在正常的工作时间内访问(如:每周一至周五9点17点) 3)远程诊断modem在不使用时必须处于关闭状态,在使用后必须立即关闭。 10.6 应用系统访问控制 10.6.1 信息访问限制 第233条 应用系统应该控制用户的访问权限,如读写权限、删除权限以及执行权限。 第234条 必须保证处理敏感信息的应用系统仅输出必需的信息到授权的终端,同时应对这些输出功能进

15、行定期检查,保证不存在输出多余的信息。 10.6.2 敏感系统的隔离 第235条 应当根据应用系统的敏感程度对系统进行适当的隔离保护,比如: 1)运行于指定的计算机上 2)仅与信任的应用系统共享资源 3)敏感系统的各个部分都应当以适当的方式进行保护。 10.7 移动计算和远程办公 10.7.1 移动计算 第236条 移动设备(包括个人手持设备、笔记本电脑)和家庭办公个人电脑都应该受到保护以防未授权访问。 第237条 进行移动和家庭办公的员工,应该对其使用的设备做好物理保护,防止丢失、偷窃和破坏等。存放在移动设备中的敏感信息必须做好保护,比如采用加密以防泄漏。 第238条 移动设备用户必须做好防病毒工作。移动设备中的公司信息应该做好备份工作,防止丢失。 10.7.2 远程办公 第239条 必须建立远程办公的使用标准和授权程序。 第240条 远程办公的访问权限必须基于最小权限的原则进行分配,授权内容应该包括: 1)允许访问的系统和服务 2)允许进行的工作 3)访问时段 第241条 远程办公的访问控制应该采用双重认证的方式。远程办公的信息在传输过程中必须加密。 第242条 员工离职或不再使用远程办公时,必须取消其相关的远程办公访问权限。必须定期对远程办公实施审计和安全监控。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁