【訪問控制程序】IS-B-09第頁訪問控制程序TOC\o"1-3"\h\z1. 目的和范圍 32. 引用文件 33. 職責(zé)和權(quán)限 34. 用戶管理 34.1.用戶注冊 34.2.用戶口令管理 45. 權(quán)限管理 45.1.用戶權(quán)限管理原則 45.2.用戶訪問權(quán)限設(shè)置步驟 56. 操作系統(tǒng)訪問控制 56.1.安全登錄制度 56.2.會話超時與聯(lián)機(jī)時間的限定 57. 應(yīng)用系統(tǒng)訪問控制 68. Internet訪問控制 79. 網(wǎng)絡(luò)隔離 710. 信息交流控制措施 711. 遠(yuǎn)程訪問管理 810.1.遠(yuǎn)程接入的用戶認(rèn)證 810.2.遠(yuǎn)程接入的審計(jì) 912. 無線網(wǎng)絡(luò)訪問管理 913. 筆記本使用及安全配置規(guī)定 914. 外部人員使用筆記本的規(guī)定 1015. 實(shí)施策略 1016. 相關(guān)記錄 10

目的和范圍通過控制用戶權(quán)限正確管理用戶，實(shí)現(xiàn)控制辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)訪問權(quán)限與訪問權(quán)限的分配，防止對辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)的非法訪問，防止非法操作，保證生產(chǎn)系統(tǒng)的可用性、完整性、保密性，以及規(guī)范服務(wù)器的訪問。本訪問控制制度適用于系統(tǒng)維護(hù)部以及其他擁有系統(tǒng)權(quán)限的管理部門。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則職責(zé)和權(quán)限各部門必須遵照本管理規(guī)范實(shí)行對用戶、口令和權(quán)限的管理，用戶必須按照本管理規(guī)范訪問公司辦公網(wǎng)系統(tǒng)和應(yīng)用系統(tǒng)。用戶管理用戶注冊只有授權(quán)用戶才可以申請系統(tǒng)賬號，賬號相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則，不得有與用戶職責(zé)無關(guān)的權(quán)限。一人一賬號，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負(fù)責(zé)，禁止多人使用同一個賬號。用戶因工作變更或離職時，管理員要及時取消或者鎖定其所有賬號，對于無法鎖定或者刪除的用戶賬號采用更改口令等相應(yīng)的措施規(guī)避該風(fēng)險。管理員應(yīng)每季度檢查并取消多余的用戶賬號。用戶口令管理和使用引用文件：《密碼控制管理制度》權(quán)限管理用戶權(quán)限管理原則所有的重要服務(wù)器應(yīng)用系統(tǒng)要有明確的用戶清單及權(quán)限清單，每季度進(jìn)行一次權(quán)限評審。重要設(shè)備的操作系統(tǒng)、數(shù)據(jù)庫、重要應(yīng)用程序相關(guān)的特殊訪問權(quán)限的分配需進(jìn)行嚴(yán)格管理。對一般用戶只擁有在注冊時所審批的權(quán)限。每個人分配的權(quán)限以完成相應(yīng)工作最低標(biāo)準(zhǔn)為準(zhǔn)。服務(wù)器日志的安全審查職責(zé)與日常工作權(quán)限責(zé)任分割。新賬號開通時提供給他們一個安全的臨時登錄密碼，并在首次使用時強(qiáng)制改變。為防止未授權(quán)的更改或誤用信息或服務(wù)的機(jī)會，按以下要求進(jìn)行職責(zé)分配：a)系統(tǒng)管理職責(zé)與操作職責(zé)分離；b)信息安全審核具有獨(dú)立性。用戶訪問權(quán)限設(shè)置步驟權(quán)限設(shè)置：對信息的訪問權(quán)限進(jìn)行設(shè)置，添加該用戶的相應(yīng)訪問權(quán)，設(shè)置權(quán)限，要再次確認(rèn)，以保證權(quán)限設(shè)置正確。定期檢查用戶賬戶：管理員每季度對應(yīng)用系統(tǒng)進(jìn)行一次權(quán)限評審。取消訪問權(quán)：離開公司應(yīng)立即取消或禁用其賬號及所有權(quán)限，將其所擁有的信息備份保存，或轉(zhuǎn)換接替者為持有人。用戶的崗位發(fā)生變化時，要對其訪問權(quán)限重新授權(quán)。操作系統(tǒng)訪問控制安全登錄制度UNIX、LINUX系統(tǒng)使用SSH登錄系統(tǒng)。進(jìn)入操作系統(tǒng)必須執(zhí)行登錄操作，禁止將系統(tǒng)設(shè)定為自動登錄。記錄登錄成功與失敗的日志。日常非系統(tǒng)管理操作時，只能以普通用戶登錄。啟用操作系統(tǒng)的口令管理策略（如口令至少8位，字母數(shù)字組合等），保證用戶口令的安全性。會話超時與聯(lián)機(jī)時間的限定重要服務(wù)器應(yīng)設(shè)置會話超時限制，不活動會話應(yīng)在一個設(shè)定的休止期5分鐘后關(guān)閉。應(yīng)考慮對敏感的計(jì)算機(jī)應(yīng)用程序，特別是安裝在高風(fēng)險位置的應(yīng)用程序，使用連機(jī)時間的控制措施。這種限制的示例包括：使用預(yù)先定義的時間間隔，如對批量文件傳輸，或定期的短期交互會話等情況使用指定的時間間隔；如果沒有超時或延時操作的要求，則將連機(jī)時間限于正常辦公時間；應(yīng)用系統(tǒng)訪問控制根據(jù)《重要服務(wù)器-應(yīng)用系統(tǒng)清單》，填寫《重要應(yīng)用系統(tǒng)權(quán)限評審表》，每季度評審一次。各應(yīng)用系統(tǒng)必須確定相應(yīng)的系統(tǒng)管理員、數(shù)據(jù)庫管理員和應(yīng)用管理員。應(yīng)用系統(tǒng)的用戶訪問控制，用戶的申請應(yīng)填寫相關(guān)系統(tǒng)的申請表，須經(jīng)過應(yīng)用系統(tǒng)的歸口主管部門審核同意，由系統(tǒng)管理員授權(quán)并登記備案后，方可使用相應(yīng)的應(yīng)用系統(tǒng)。如果發(fā)生人員崗位變動，業(yè)務(wù)部門信息安全主管通知部門信息安全員與相關(guān)應(yīng)用系統(tǒng)管理員聯(lián)系，告知系統(tǒng)管理員具體的人員變動情況，便于系統(tǒng)管理員及時調(diào)整崗位變動人員的系統(tǒng)訪問權(quán)限。應(yīng)用系統(tǒng)的用戶必須遵守各應(yīng)用系統(tǒng)的相關(guān)管理規(guī)定，必須服從應(yīng)用系統(tǒng)的管理部門的檢查監(jiān)督和管理。禁止員工未經(jīng)授權(quán)使用系統(tǒng)實(shí)用工具。應(yīng)用系統(tǒng)用戶必須嚴(yán)格執(zhí)行保密制度。對各自的用戶帳號負(fù)責(zé)，不得轉(zhuǎn)借他人使用。重要應(yīng)用系統(tǒng)用戶清單及權(quán)限必須進(jìn)行定期評審。網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)訪問控制所有員工在工作時間禁止利用公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)專線訪問違法網(wǎng)站及內(nèi)容。客戶及第三方人員不允許直接通過可訪問公司資源的有線或無線網(wǎng)絡(luò)訪問Internet，客戶及第三方人員如需訪問Internet應(yīng)當(dāng)在專設(shè)的隔離區(qū)進(jìn)行。員工須通過VPN訪問公司相關(guān)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)。需要訪問各種網(wǎng)絡(luò)服務(wù)的用戶須向本部門主管申請VPN帳號，由本部門主管通過郵件提交VPN帳號管理員，由VPN帳號管理員為其分配密鑰和帳號。網(wǎng)絡(luò)隔離公司與外部通過防火墻隔離，制定嚴(yán)格的VLAN劃分，對公司內(nèi)重要部門的訪問進(jìn)行控制。運(yùn)行中心制定VLAN訪問控制說明。網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備配置管理員帳號由系統(tǒng)服務(wù)部指定專人統(tǒng)一管理，保存帳號及密碼的電子文件需加密保存，并存放在可靠的安全環(huán)境下。系統(tǒng)管理員密碼須符合服務(wù)器安全控制的密碼安全規(guī)定；管理人員不得向任何非授權(quán)人員泄露網(wǎng)絡(luò)設(shè)備的管理員帳號及密碼。信息交流控制措施信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、會議、傳真、短信、IM工具等；可交流的信息，須符合《信息資產(chǎn)分類分級管理制度》里的密級規(guī)定;公司使用的信息交流設(shè)施在安全性上應(yīng)符合國家信息安全相關(guān)法律法規(guī)、上級主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求；不能在公共場所或者敞開的辦公室、沒有屋頂防護(hù)的會議室談?wù)摍C(jī)密信息；對信息交流應(yīng)作適當(dāng)?shù)姆婪叮绮灰┞睹舾行畔ⅲ苊獗煌ㄟ^電話偷聽或截取；員工、合作方以及任何其他用戶不得損害公司的利益，如誹謗、騷擾、假冒、未經(jīng)授權(quán)的采購等；不得將敏感或關(guān)鍵信息放在打印設(shè)施上，如復(fù)印機(jī)、打印機(jī)和傳真，防止未經(jīng)授權(quán)人員的訪問；在使用電子通信設(shè)施進(jìn)行信息交流時，所考慮的控制包括：防止交流的信息被截取、備份、修改、誤傳以及破壞；保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦颍挥袠I(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國家或地方法規(guī)；使用傳真的人員注意下列問題：未經(jīng)授權(quán)對內(nèi)部存儲的信息進(jìn)行訪問，獲取信息；故意的或無意的程序設(shè)定，向特定的號碼發(fā)送信息；向錯誤的號碼發(fā)送文件和信息，或者撥號錯誤或者使用的存儲在機(jī)器中的號碼是錯誤的。遠(yuǎn)程訪問管理12.1遠(yuǎn)程接入的用戶認(rèn)證凡是接入公司的遠(yuǎn)程用戶的訪問必須通過VPN并經(jīng)過認(rèn)證方可接入。認(rèn)證用戶必須使用8位以上復(fù)雜密碼。任何遠(yuǎn)程接入用戶不得將自己的用戶名、密碼提供給任何人，包括同事，家人。所有遠(yuǎn)程接入用戶的客戶端或個人電腦必須安裝防病毒軟件并且病毒庫升級到最新。12.2遠(yuǎn)程接入的審計(jì)遠(yuǎn)程接入用戶的操作必須要經(jīng)過接入設(shè)備的審計(jì)。應(yīng)記錄相關(guān)日志，對用戶行為監(jiān)控。無線網(wǎng)絡(luò)訪問管理行政部應(yīng)協(xié)同系統(tǒng)服務(wù)部對無線網(wǎng)絡(luò)進(jìn)行授權(quán)管理；對需要使用無線網(wǎng)絡(luò)的設(shè)備，通過綁定其MAC地址授權(quán)訪問，其他人員不允許通過公司無線網(wǎng)絡(luò)上網(wǎng)。如有已授權(quán)訪問的設(shè)備，取消授權(quán)，應(yīng)即時對其MAC地址解綁。筆記本使用及安全配置規(guī)定筆記本電腦設(shè)備必須有嚴(yán)格的口令訪問控制措施，口令設(shè)置需滿足公司安全策略要求。對無人看守的筆記本電腦設(shè)備必須實(shí)施物理保護(hù)，必須放在帶鎖的辦公室、抽屜或文件柜里。重要業(yè)務(wù)筆記本電腦設(shè)備丟失或被竊后應(yīng)及時報(bào)告給部門經(jīng)理和行政部。凡帶出公司使用而遺失、被偷盜等均由個人負(fù)全責(zé)賠償。除自然損壞外，凡人為損壞（如撞壞、跌壞、電源插錯燒壞等）由本人負(fù)責(zé)修好，費(fèi)用由個人承擔(dān)。筆記本電腦中除工作所需的軟件外，不得安裝與工作無關(guān)的軟件。授權(quán)使用的筆記本電腦設(shè)備必須安裝公司要求的防病毒軟件。各部門對筆記本電腦設(shè)備定期進(jìn)行一次病毒軟件和操作系統(tǒng)補(bǔ)丁自檢，行政部進(jìn)行不定期抽查。筆記本電腦外出時禁止托運(yùn)，必須隨身攜帶。