1.流程总述
本流程描述了深圳万科操作系统安全管理方面的一般性流程,包括对用户、系统的管理以及安全监控等方面
2.流程描述
2.1操作系统安全综述
2.2对用户的管理
2.2.1帐号管理
222认证管理
223权限管理
2.3对系统的管理
2.4监控管理
2.1. 操作系统安全综述
深圳万科经理办公室负责公司内部操作系统的安全管理,实施、配置、管理逻辑安全工具和技术,以限制对操作系统的访问,保证系统的安全,避免出现对信息系统及数据未授权和不恰当访问的情况。
2.2. 对用户的管理
本流程描述中对用户的管理包括用户管理、认证管理和权限管理,其逻辑关系表现为:系统中的用户首先需要按照业务需求进行增加、修改和删除并设置相应的安全机制;为了保证逻辑权限安全,必须具有一定的身份识别和认证机制,保证只有有效的用户才能进入系统;一旦认证为合格用户进入系统,系统应该识别该用户具有哪些经过审批的权限并允许用户实际进行操作。
2.2.1帐号管理
用户帐号的管理是对用户管理的基础,集团IT中心制定了《AD帐号管理规定》<GC-b-1>,
规定设置用户帐号的时候,系统中的每一个帐号只能对应一个用户或合作方,以区别身份
[操作系统中的每一帐号必须只能对应一个用户,以区分身份和划分责任。](控制活动编号:<GC-B-1>。用户登录操作系统时,使用自己的帐号进行登录。
为了保证系统安全,遵照集团IT中心相关管理制度,在系统投入使用后,要求操作系统管理员修改系统默认密码。系统管理员将系统中不使用的默认用户设为非激活状态。在WINDOW中的Guest 帐号被禁用或不被授予任何权限[操作系统管理员在系统正式使用前,必须修改操作系统默认帐号和密码,同时对不需要的帐号进行删除或锁定。](控制
活动编号:<GC-B-2?。
操作系统管理员拥有操作系统的最高权限,对系统特权的不当使用经常成为导致系统产生漏洞和故障的一个主要因素,因此总经理办公室必须明确定义操作系统管理员的职责。系
统管理员应正确设置和管理系统的各项参数和用户,处理系统出现的故障,监控系统运行状态和日志,保证系统安全、高效的运行。同时总经理办公室对具有操作系统管理员权限的人员数量必须进行严格限制。当操作系统正式运行时,总经理办公室明确定义具有系统管理员权限的人员和责任,现操作系统管理员、应用系统管理员、数据库管理员为同一人。如果当操作系统管理员变化时,总经理办公室(副)主任重新指定操作系统管理员,并立即进行密码的变更与更新记录。操作系统管理员的职责在《岗位说明书》<GC-b-2>中明确说明[信息系统管理部门必须明确定义具有操作系统管理员权限的人员和责任。操作系统管理员与应用系统管理员、数据库管理员不能为同一个人。](控制活动编号:<GC-B-3>。
为提高系统的安全性,降低操作系统管理员帐号和密码被窃取的几率,总经理办公室规定操作系统管理员在进行日常维护时,根据需要的权限建立专门的维护帐号,以区分责任,提高系统的安全性[操作系统管理员必须创建专门的维护帐号进行日常维护。](控制活
动编号:<GC-B-4>。
2.2.2认证管理
密码或其它鉴别机制提供了一种验证用户身份的手段,建立了对信息处理设备和服务的访问权限。系统管理员对操作系统建立身份认证机制,用户登录系统需通过密码进行身份认证。集团IT中
心制定的《AD帐号管理规定》,对密码长度、密码复杂性、更换周期(每季度一次)等作出具
体要求。对于使用口令动态密码的系统,通过使用登记等监控制度,以保证系统的操作可以对应到执行人员[操作系统的本地和远程用户必须通过密码或其它鉴
别机制进行认证。密码应定期更换(至少每季度一次),并有格式规定(密码长度、复杂
度要求)。](控制活动编号:<GC-B-5>)。