下载文档原格式
信息系统用户和权限管理制度信息系统用户和权限管理制度在发展不断提速的社会中,我们都跟制度有着直接或间接的联系,制度是各种行政法规、章程、制度、公约的总称。
那么什么样的制度才是有效的呢?以下是小编整理的`信息系统用户和权限管理制度,欢迎大家借鉴与参考,希望对大家有所帮助。
第一章总则第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。
第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。
第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。
所有信息系统须指定系统管理员负责用户和权限管理的具体操作。
第五条信息系统用户和权限管理的基本原则是:(一)用户、权限和口令设置由系统管理员全面负责。
(二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。
(三)用户、权限和口令管理采用实名制管理模式。
(四)严禁杜绝一人多账号登记注册。
第二章管理职责第七条系统管理员职责负责本级用户管理以及对下一级系统管理员管理。
包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。
第八条业务管理员职责负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。
负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
第九条用户职责用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。
系统内所有用户信息均必须采用真实信息,即实名制登记。
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
帐号与口令安全管理制度第一章总则第一条目的为了规范和加强XXX公司(以下简称“公司”)内外网的主机操作系统、应用系统的帐号口令安全管理,特制定本制度。
第二条适用范围本制度适用于公司,各系统可以自行规定本系统的帐号和口令的管理细则,并针对本系统采取有关技术手段进行安全保障,但必须达到或高于本制度规定的级别。
第三条本制度将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
第四条公司技术部负责本版块内各系统账号口令管理,以及权限的设置及变更管理。
第二章安全要求第五条用户安全管理一、创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确认,以合理确保用户在系统中的权限与其职责相符。
二、对应用系统用户的权限应合理确保用户在系统中的权限与其职责相符。
如发现不相容职责,应及时通知应用系统运维人员,对用户的权限进行调整。
三、第三方人员使用系统帐号必须得到授权;系统运维人员必须对第三方人员使用系统帐号的情况进行监督、备案;除非得到可以长期使用系统帐号的授权,系统运维人员应在第三方人员使用系统帐号后,及时删除或禁止该帐号。
四、所有应用系统用户使用应用系统帐号时,必须确保每个人员拥有单独帐号,不得多人混用;第三方人员使用系统帐号,必须确保每个人员拥有单独帐号,不得多人混用。
五、第三方人员需远程对业务系统进行操作时,应提供不低于本地现场维护管理要求的技术手段;对于长期使用的远程接入手段,应在远程接入技术方案中说明安全保障措施。
六、第三方人员应相对固定,且便于审计和事故追查。
第六条帐号安全管理一、系统要求1.所有操作系统、应用系统、数据库等均需要支持基于帐号的访问控制功能;2.所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护;3.各系统应能保存有关安全内容的日志,该日志的保存期限应不小于30天;4.各系统应能自动拒绝创建不符合安全设置条件的帐号和口令,如系统本身无法实现该功能,系统管理员必须加强人工安全管理,保证不存在不符合安全设置条件的帐号和口令。
帐号口令管理制度一、制度目的为了确保网络安全,保护帐号和个人信息的安全,提高帐号的安全性和可靠性,制定本帐号口令管理制度。
二、适用范围本制度适用于公司所有的员工和外部合作伙伴。
三、口令设置原则1.合法合规:口令的设置必须符合国家相关法律法规和公司的信息安全政策,不得违法违规。
2.复杂性:口令必须具备一定的复杂性,包括大小写字母、数字和特殊字符的组合。
3.定期更新:口令必须定期更新,建议每三个月更新一次。
5.个性化:口令应个性化,避免使用与个人信息相关的内容。
6.口令长度:口令长度应在8-16个字符之间。
7.不重复使用:禁止重复使用以前使用过的口令。
8.不将口令告知他人:禁止将口令告知他人,包括同事、家人等。
如有需要共享帐号,应通过安全渠道进行。
四、口令管理规范1.初始设置:员工在第一次获得帐号时,需要设置一个符合上述口令设置原则的初始口令。
2.定期更新:员工需要定期更改口令,具体更新时间由公司信息安全部门指定。
3.口令保密:员工必须保证口令的安全,不得将口令告知他人,包括同事和家人。
4.口令存储:员工不得将口令以明文形式存储在计算机、云盘、移动存储设备等地方,可以采用加密的方式进行存储。
5.丢失或泄露处理:如果员工发现自己的口令丢失或者泄露,应立即通知公司的信息安全部门,并按照其要求进行处理。
6.暂离电脑时处理:员工在暂离电脑时应将电脑锁屏,以防他人盗用帐号。
五、违规处理措施1.口令不符合要求:对于设置不符合要求的口令,信息安全部门将要求员工立即修改,直到符合要求。
2.未定期更新口令:对于未按规定定期更新口令的员工,信息安全部门将进行警示教育,同时要求尽快更新口令。
3.口令泄露或丢失:对于发现自己的口令被泄露或丢失的员工,信息安全部门将调查原因并采取相应措施,包括重置口令、限制帐号权限等。
4.严重违规处理:对于严重违反本制度的员工,信息安全部门将依据公司相关规定进行严肃处理,包括警告、停职、辞退等。
互联网平台账号权限管理制度办法精品办公文档一、目的为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。
二、适用范围本制度系统账号是指包括但不仅限保险经纪网、官网、ERP系统、HR系统、及邮箱的用户账号。
(还应包括公司后期可能其它上线系统的用户账号)。
本规定所指账号管理包括:1、用户账号的申请、审批、分配、删除/禁用等的管理。
2、用户账号密码的管理。
三、职责1.网络管理员:1.1、负责对员工账号的开启和停止。
1.2、负责对员工账号权限的分配。
1.3、负责建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
2.人事部2.1、负责新员工的邮箱账号、ERP系统账号、HR系统账号的开通申请。
2.2、负责员工部门调整、权限调整涉及的账号变更申请。
3.各部门:3.1、负责所使用的信息化硬件与软件的正确使用、维护与保管。
四、普通账号管理1.申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、关闭等申请。
2.在受理申请时,权限管理人员根据《岗位权限对照表》配置权限,给用户分配独有的用户账号或关闭用户账号权限,以使用户对其行为负责。
一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
3.新员工入职或员工岗位发生变化时,应主动申请所需系统的账号。
4.人员离职的情况下,网络心应当及时关闭此用户帐号或修改用户密码,并根据实际情况回收或注销此账号,回收账号应由网络部与临时待岗人员办理相关领用手续。
5.网络心负责建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
五、用户账号及权限审阅、用户账号口令管理。
1.技术心指定专人负责每季度对系统账号及权限进行审阅,并填写《账号/权限清理清单》(附表四)。
2. 如果离职人员是系统管理员,则及时更改超级用户口令。
3. 用户账号口令发放要严格保密,用户必须及时更改初始口令。
4. 用户账号口令最小长度为6位,并具有一定复杂度(至少包含英文字母加数字)。
公司信息系统帐号管理制度一、制度目的1、明确公司信息系统帐号管理的责任及权利,保障信息系统的安全性和稳定性。
2、规范公司信息系统账号的分配、使用、管理,并防范信息泄露、篡改、丢失等安全事故的发生。
3、加强公司信息系统账号的监管和控制,保证公司的信息安全。
二、适用范围本制度适用于公司所有信息系统的账号管理。
三、制度内容1、账号分配原则(1)所有账号的分配应符合岗位职责要求,由用户单位的负责人申请项目负责人审核,并由总经理进行审批。
(2)离职人员应及时注销所持有的系统账号。
2、账号使用原则(1)严禁将账号、口令借、转、让他人使用。
(2)用户不得以任何形式泄露密码,口令不得使用于多个地方或账号。
(3)确保账号强度合适,具有防护能力。
(4)公司信息系统用户一定要妥善保管账号、密码,严防丢失或被他人窃取;用户需要时应更改密码。
3、账号保护(1)妥善保护个人账号,在未得到授权的情况下不得向他人泄露任何个人密钥或密码等保密信息,不要轻易将密码告诉他人。
(2)定期检查账号是否存在安全隐患,如发现异常情况应及时报告项目负责人和总经理并通知问责。
(3)用户定期更改密码,保证密码的复杂度和安全性,更改完成后及时通知项目负责人和总经理。
(4)账号被冻结或禁用后,经核实确认没有风险后再进行解决,并及时通知项目负责人和总经理恢复账号的使用。
4、账号注销(1)离职人员应立即将所持有的系统账号注销,防止个人账号泄露导致公司信息暴露风险。
(2)离职人员所属用户单位、项目负责人应将离职人员账号的密码等信息全部清除。
(3)除了离职人员外,因非法操作或违反管理规定的用户,项目负责人或总经理有权注销其账号。
5、违规处理(1)在使用账号和口令时违反上述规定的,进行警告处理,并要求其立即更换密码。
(2)如果严重违反规定,对于造成公司重大资金损失或重大社会影响的,公司将视情节轻重采取停止使用、禁止使用、追究其行政责任、合同责任及民事责任等一系列执法纪律和法律责任。
账号和口令管理制度一、总则为了加强账号和口令管理,确保信息系统的安全和稳定运行,提高信息系统的安全性,维护信息系统中数据的保密性和完整性,根据《信息安全管理办法》等相关法律法规,制定本制度。
二、适用范围本制度适用于所有单位内部使用的信息系统,包括但不限于内部网络、电子邮件系统、ERP系统等。
三、定义1. 账号:指用于验证用户身份的唯一标识符,用于登录信息系统并获取相应的访问权限。
2. 口令:指用户验证身份的字符串,用于保证账号的安全性。
3. 超级用户:指具有对信息系统进行全部操作和管理权限的用户。
4. 普通用户:指除超级用户外的其他用户,具有部分访问和操作权限。
5. 访问控制:指对用户在信息系统中的访问行为进行管理和控制的机制。
四、账号管理1. 账号的设立和分配应当遵循“谁申请、谁审批、谁分配”的原则,确保账号的真实性和合法性。
2. 每个用户应当拥有唯一的账号,不得共享账号。
3. 账号的权属归属清晰明确,定期进行审核和调整,保持账号管理的规范性和有效性。
4. 超级用户的账号权限应当由信息系统管理员进行管控和审核,确保超级用户的权限合理合法。
5. 账号的注销应当及时进行,离职人员应当及时注销账号,避免账号被恶意使用。
五、口令管理1. 口令应当设置为复杂性较高的字符串,包括数字、大小写字母和特殊符号,长度不得低于8位。
2. 口令不得直接使用常见的字典词汇或个人信息,不得与账号或其他信息相关联。
3. 口令应当定期更换,最长不得超过60天,且不得与前几次设置的口令相同或过于相似。
4. 口令的存储应当采用加密的方式进行存储,不得明文传输或存储,以确保口令的安全性。
5. 口令的输入错误次数应当进行限制,达到一定次数后,系统自动锁定账号一段时间。
六、访问控制1. 用户的访问权限应当根据其工作职责和需要进行设置,审批和审核流程应当及时且完整。
2. 敏感信息的访问权限应当进行严格管控,只授权给有合法需求的用户。
3. 访问日志应当定期进行分析和检查,发现异常情况应当及时处理并报告。
帐号口令及权限管理制度1.引言帐号口令及权限管理制度是一项重要的安全管理措施,旨在保护企业和个人的信息安全。
本制度的目的是确保只有授权人员才能访问和操作相关系统和数据,并采取适当的措施防止未经授权的访问和滥用行为。
以下是本制度的详细内容。
2.帐号创建与维护2.1帐号创建2.1.1所有帐号的创建必须由授权的管理员进行,并按照相关的注册程序和流程。
2.1.2每位用户只能拥有一个帐号。
2.1.3在申请帐号时,用户必须提供真实、准确的个人信息,并承诺遵守相关的安全规定。
2.2帐号维护2.2.1所有帐号必须定期进行管理和维护,包括删除未使用或已经过期的帐号。
2.2.2忘记密码或需要重置密码的用户必须按照规定的流程进行密码重置,不得向任何人泄露密码。
3.口令安全与管理3.1口令设置3.1.1所有帐号必须设置强密码,密码长度不得少于8位,包括大小写字母、数字和特殊字符。
3.1.2口令应定期更换,推荐每3个月更换一次。
3.1.3不得使用容易猜测的密码,如生日、手机号等个人信息。
3.2口令保密3.2.1口令是用户访问和操作系统的凭证,用户必须将口令妥善保管,不得向他人泄露。
3.2.2在公共场所或他人办公区域时,用户必须确保隐藏或者锁定屏幕,防止他人窥视。
3.3口令修改与重置3.3.1在发现口令泄露的情况下,用户必须立即向管理员报告,并按规定的流程进行密码重置。
3.3.2口令重置的申请必须经过管理员审核和验证,用户需提供必要的身份信息。
4.权限管理与控制4.1权限授予4.1.1权限授予必须按照岗位职责和业务需求进行,仅限于用户需要进行正常工作所必须的权限。
4.1.2权限授予必须经过授权管理员的审批和记录,并定期进行复核。
4.2权限验证与审计4.2.1系统必须实现权限验证机制,确保只有拥有合法权限的用户才能访问和操作系统和数据。
4.2.2进行权限审计,定期检查和验证用户的权限使用情况,防止权限滥用和非法操作。
4.3帐号注销4.3.1当用户离开公司或者岗位变动时,管理员必须及时注销相关的帐号,防止未经授权的访问和滥用。
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
权限密码管理制度
1. 总则
1.1. 为确保调度自动化系统安全运行,保障电力系统的安全稳定运行,特制订此管理制度。
2. 服务器密码及口令管理
2.1. 主站系统服务器、WBE服务器以及其余设备装置的口令和密码,由部门负责人和系统管理员商议确定,必须两人同时在场设定。
2.2. 调度自动化系统设备的密码须部门负责人在场时由系统管理员记录封存。
2.3. 密码及口令要定期更换(视网络具体情况),更换后系统管理员要销毁原记录,将新密码或口令记录封存(方式同2.2)
2.4. 如发现密码及口令有泄密迹象,系统管理员要立刻报告部门负责人,经批示后再更换密码和口令。
3. 用户密码及口令的管理
3.1. 对于要求设定密码和口令的用户,由用户方指定负责人与系统管理员商定密码及口令,由系统管理员登记并请用户负责人确认(签字或电话通知),之后系统管理员设定密码及口令,并保存用户档案。
3.2. 当用户由于责任人更换或忘记密码、口令时要求查询密码、口令或要求更换密码及口令的情况下,需向网络服务管
理部门提交申请单,由部门负责人或系统管理员核实后,履行本条1款所规定的手续,并对用户档案做更新记载。
3.3. 如果网络提供用户自我更新密码及口令的功能,用户应自己定期更换密码及口令,并设专人负责保密和维护工作。
4. 附则
4.1. 本管理办法由自发布之日起执行。
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。
特别是snmp口令的缺省配置常常成为一个严重的问题。
这些问题有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2 目标本管理办法的主要内容包括:●定义帐号、口令和权限管理的不同保障级别;●明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号管理的流程:包括帐号的申请、变更、注销和审计;●规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口令的要求,提供口令生成的指南;●确定权限分析和管理的基本原则和规范;●确定审计需要完成的各项工作;●给出流程中需要的各种表格。
1.3 范围●网络和业务系统范围适用范围包括CMNET、网管、MDCN、BOSS、OA/MIS等西藏电信全网所有计算机信息系统和IP网络。
●帐号、口令和权限管理包括不同的层次范围帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。
1.4 要求●本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一级别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。
●评估报告的内容应该包括:⏹所有主机资产列表⏹每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别⏹根据第三、四五章的要求,明确每一级别需要遵守的规范细节●评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安全办公室。
第二章帐号、口令和权限管理的级别2.1 关于级别为了实现西藏电信所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。
通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
2.2 如何确定级别第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。
由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。
风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。
风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。
当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。
另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。
请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
2.3 口令、帐号和权限管理级别的定义本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。
2.3.1等级1 –最低保障描述在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:●给电信、客户或者第三方带来最小的不便●不会给电信、客户或者第三方带来直接的经济损失●不会给电信、客户或者第三方带来不快●不会给电信、客户或者第三方带来名誉或者地位的损失●不会破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的损失。
●未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软件代码泄密的问题的情况下)2.3.2等级2-低保障级别描述通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。
这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较小的不便●给电信、客户或者第三方带来较小直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较小的不快●会给电信、客户或者第三方带来较小名誉或者地位的损失●存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公司常用信息例如通讯录被泄漏。
●一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。
该帐号失窃可能导致用户信息的泄漏。
2.3.3等级3 –坚固保障级别描述通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较大的不便●给电信、客户或者第三方带来较大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较大的不快●会给电信、客户或者第三方带来较大名誉或者地位的损失●存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●存在较大风险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一般的主机操作系统、数据库、和路由器的高权限帐号,例如root、administrator、dba等。
●业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。
2.3.4等级4 –最高保障等级描述等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能导致:●给所有电信、客户或者第三方带来巨大的不便●给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来极大的不快●会给电信、客户或者第三方带来巨大名誉或者地位的损失●破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●关键系统,例如计费系统数据库主机的操作系统和数据库。
●用于存储公司最高商业机密或密级为绝密的系统的认证。
第三章帐号管理3.1 职责定义●员工所在班组:负责发起员工帐号的创建、变更和撤消申请;●员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负责帐号的具体生成、变更和删除,并进行定期审计;●员工所在部门安全管理人员:负责审批、登记备案用户权限。
3.2 口令应该以用户角色定义电信的帐号应基于统一的角色进行管理。
帐号的角色可以从电信业务角度分或从IT管理角度分。
如果从IT管理角度可以分为以下部分。
3.2.1系统管理员/超级用户系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。
