1、第一章 综述第一条 本程序的目的是为推动对访问控制的有效安全管理,包括用户访问管理、用户职责划分、网络访问控制、系统访问管理及应用访问控制、移动计算机和远程控制以下内容:(一) 根据业务和安全需求控制对信息的访问; (二) 防止擅自访问网络、计算机和信息系统中保存的信息; (三) 防止未授权的用户访问; (四) 保护网络服务; (五) 查找未授权的活动。 第二章 访问控制的业务要求第二条 访问控制策略(一) 本公司管理的所有逻辑访问控制都应遵守信息安全策略中规定的访问方针。本公司员工按照网络安全策略的要求,履行自己的信息安全职责。(二) 本公司需要建立统一的访问控制策略,由总经理办公室批准 I
2、T网络管理建立统一访问控制策略。策略应考虑到下列内容:1、 各个业务应用的安全要求;2、 与业务应用相关的所有信息的标识和该信息面临的风险;3、 信息传播和授权的策略,例如,了解原则和安全等级以及信息分类的需要;4、 不同系统和网络的访问控制策略和信息分类策略之间的一致性;5、 关于保护访问数据或服务的相关法律和合同义务;6、 在认可各种可用的连接类型的分布式和网络化环境中的访问权的管理;7、 访问控制角色的分离,例如访问请求、访问授权、访问管理;8、 访问请求的正式授权要求;9、 要求定期评审访问控制;10、 访问权的取消。第三章 用户访问管理第三条 用户注册(一) 注册 一般来说用户访问各
3、信息系统和服务的注册和注销程序包括:1、 使用唯一的用户ID号码,保证可由此号码追溯用户,从而使其对自己的行为负责。组ID只在与执行的任务相适应的情况下允许使用; 2、 要检查使用信息系统或服务的用户是否具有该系统拥有者的授权;3、 检查所授予的访问级别是否与业务目的相适合,是否与组织的安全方针保持一致;4、 保存所有用户注册的正式记录;5、 在收到服务终止申请或任何本公司的员工离职或调离后,立即注销该用户的访问权; 6、 定期检查并清理多余的用户账号。 (二) 变更、取消访问权或注销1、 核实授权有效并得到行政部的批准; 2、 变更/删除/禁用用户帐号。第四条 特权管理(一) 控制措施应限制
4、和控制特殊权限的分配及使用。应考虑下列步骤:1、 应标识出与每个系统产品,例如,操作系统、数据库管理系统和每个应用程序,相关的访问特殊权限,以及必须将其分配的用户;2、 特殊权限应按照访问控制策略在“需要使用”的基础上和“逐个事件”的基础上分配给用户,例如仅当需要时,才为其职能角色分配最低要求;3、 应维护所分配的各个特殊权限的授权过程及其记录。在未完成授权过程之前,不应授予特殊权限;4、 应促进开发和使用避免具有特殊权限才能运行的程序;5、 特殊权限应被分配一个不同于正常业务用途所用的用户ID。(二) 本公司要严格控制特权的分配和使用。任何第三方都不得使用他人的帐户或者其它逻辑访问。(三)
5、任何信息系统,只能由其所有者或授权管理者控制该系统的特权帐户的口令,包括关键服务器和防火墙等所用的口令。 (四) 任何用户在使用多用户信息系统和服务时都必须验证身份。 (五) 所有申请特权用户帐号和口令的行为都必须经过相关部门负责人,由相关部门负责人确定是否发给他们口令。必须遵照以下做法: 1、 原则上不要将口令分配给外部人员;2、 如果系统发生故障且本公司需要设备供应商的帮助,口令不得传给设备供应商的工程师。本公司人员对设备供应商的支持人员(工程师)进行身份识别,并陪同工程师登入并在工程师完成任务后注销;3、 在供应商必须由特权口令进行的工作完成后,修改该口令;4、 无法做出判断后请示上级领
6、导;5、 保存一份全部分配特权和确认口令变更的书面记录。 (六) 紧急请求特权帐号如 Windows 服务器的管理员时,帐号发布,应当保证口令信息的保密性;第五条 口令管理口令管理请参见口令控制要求 。第六条 用户访问权限检查(一) 周期性检查用户访问权限。(二) 更短的周期性检查特殊访问权限。特权包括: 1、 平台系统和数据库的管理员帐户;2、 拥有管理员权限的WINDOWS帐户; 3、 所有交换机或专用设备的管理员帐户; 4、 防火墙管理员帐户;5、 拥有专门特权(取决于系统)的其它系统的帐户。 第四章 用户职责第七条 口令的使用(一) 所有的用户都对其个人用户帐号和口令有关的任何活动承担
7、责任或可能的纪律和/或法律责任。同样,用户也禁止用其它用户的 ID 从事活动。(二) 口令使用请参见口令控制要求。第八条 无人职守的用户设备(一) 应确保无人值守的用户设备有适当的保护。(二) 相关部门负责人具有保护无人职守用户设备的职责,应建立保护无人职守用户设备的管理办法。所有员工应做到:1、 当使用结束时,终止有效会话,利用合适的锁定机制使它们安全,例如,有口令保护的屏幕保护程序或使用 lock 命令;2、 当会话结束时退出主计算机、服务器和办公 PC(即,不仅仅关掉PC 屏幕或终端);3、 当不使用设备时,利用带钥匙的锁或等价控制措施来保护 PC 或终端不被未授权使用,例如,设置口令。
8、(三) 在公共区域安装的设备(例如工作站或文件服务器)在长期无人值守时需要专门的保护,以防止未授权访问。第九条 清空桌面和屏幕(一) 本公司内所有工作站和服务器,如有可能,必须设置有口令的屏幕保护。(二) 清空桌面和屏幕的目的是降低未经授权存取信息、遗失或损坏信息的风险。1、 如有可能,特别是下班后,将文件锁在柜子里;2、 敏感或关键业务资料在不用时,特别是办公室无人时,应锁起来(最好是锁在防火保险柜或保险箱里);3、 个人电脑和电脑终端及打印机在无人使用时要求有口令、口令锁或其它的保护措施;4、 无人照看的传真要加以保护;5、 敏感或机密信息打印出来后要马上从打印机上拿走;6、 敏感或机密信
9、息传真过来时,应提前守候。 第五章 网络访问控制第十条 网络服务的使用策略应制定使用网络和网络服务的网络访问安全策略。这一策略应包括:(一) 允许被访问的网络和网络服务;(二) 确定允许哪个人访问哪些网络和网络服务的授权程序;(三) 保护访问网络连接和网络服务的管理控制措施和程序;(四) 访问网络和网络服务使用的手段(例如,拨号访问互联网服务提供商或远程系统的条件)。第十一条 外部连接的用户鉴别(一) 应当遵守网络安全策略。(二) 一般情况下,所有基于互联网访问到本公司内部网络时都必须由身份认证服务器验证用户帐号和口令。 第十二条 网络上的设备标识使用设备标识。应建立设备入网准入制度,只有获批
10、准的设备才允许连接网络。第十三条 远程诊断和配置端口的保护(一) 本公司的信息处理设施和网络设备的远程诊断端口默认为禁用。对于那些服务商需要访问的远程诊断设施要求采取以下控制措施:1、 不用时必须关闭或禁用;2、 必须验证申请方的身份。 第十四条 网络隔离本公司存储的重要数据,为设计数据,设计数据存放的计算机与外网完全隔离,所有数据禁止通过外部端口拷贝,每年国家保密局由专人对设计部计算机所有端口进行全面检测,以侦测拷贝次数及具体时间,以防止任何人进行非授权拷贝。第十五条 网络连接控制(一) 本公司保持严格的分离控制措施,保证跨边界的访问安全。(二) 防火墙策略的设计要遵守“缺省全部拒绝”原则,
11、只允许必需的信息流通过网络区段。本公司防火墙中要根据业务要求确定应用的规则。(三) 本公司管理的网络访问策略的任何更改都必须经过相关部门负责人的批准。信息安全工作小组负责定期审核。第六章 操作系统访问控制第十六条 安全登录程序第一条 登录到操作系统的程序应设计成使未授权访问的机会减到最小。因此,登录程序应泄露最少有关系统的信息,以避免给未授权用户提供任何不必要的帮助。(一) 不显示系统或应用标识符,直到登录过程已成功完成为止。(二) 显示只有已授权的用户才能访问计算机的一般性的告警通知。(三) 在登录过程中,不提供对未授权用户有帮助作用的帮助消息。(四) 仅在所有输入数据完成时才验证登录信息。
12、如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的。(五) 限制所允许的不成功登录尝试的次数(推荐 3 次)并考虑:1、 记录不成功的尝试和成功的尝试;2、 在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试;3、 断开数据链路连接;4、 如果达到登录的最大尝试次数,向系统控制台发送警报消息;5、 结合口令的最小长度和被保护系统的价值,设置口令重试的次数。(六) 限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录。(七) 不显示输入的口令或考虑通过符号隐藏口令字符。(八) 不在网络上以明文传输口令。第十七条 用户标识和鉴别建立用户命名策略
13、:所有用户应有唯一的、专供其个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户所宣称的身份。并将这一控制策略应用于所有类型的用户(包括技术支持人员,操作员,网络管理员、系统程序员和数据库管理员)。应使用用户ID 来将各个活动追踪到各个责任人。第十八条 口令管理系统本公司各个平台上必须按照以下标准启动控制系统的口令管理系统:(一) 强制使用个人用户 ID 和口令,以保持可核查性;(二) 允许用户选择和变更他们自己的口令;(三) 强制选择优质口令;(四) 强制口令变更(至少半年 1 次);(五) 在输入口令时,不在屏幕上显示;(六) 分开存储口令文件和应用系统数据;(七) 以保护的形式
14、(例如加密)存储和传输口令。 第十九条 系统实用工具的使用(一) 系统实用工具程序仅控制限于特权帐户使用;(二) 将系统实用工具和应用软件分开;(三) 限制系统实用工具的可用性,例如,在授权变更的时间内;实用工具程序仅控制限于特权帐户使用。 1、 特权帐户例如:主机系统的管理员, Windows 系统的 Adminisrator,数据库软件例如 Oracle 的 system,DBA,或者路由器、交换机的 “enable” 口令,都可以作改变配置、安装软件、不受一般系统安全的限制;2、 系统实用工具程序应安装在单独的地方,其访问限制权与其它应用程序区分开。第二十条 会话超时(一) 不活动会话应
15、在一个设定的休止期后关闭。第二十一条 联机时间的限定(一) 应使用联机时间的限制,为高风险应用程序提供额外的安全。(二) 应考虑对敏感的计算机应用程序,特别是安装在高风险位置的应用程序,使用连机时间的控制措施。这种限制的示例包括:1、 使用预先定义的时间间隔,如对批文件传输,或定期的短期交互会话;2、 如果没有超时或延时操作的要求,则将连机时间限于正常办公时间;3、 考虑定时进行重新鉴别。第七章 应用访问控制第二十二条 信息访问限制(一) 凡访问本公司内部系统的请求都必须经过相关部门负责人的批准。用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。(二) 对访问的限制应
16、基于各个业务应用要求。(三) 使用以下控制措施:1、 提供用于控制对应用系统功能访问的菜单;2、 通过对文档进行适当的编辑来限制用户了解无权访问的信息或应用系统功能;3、 控制用户的访问权,如读写权限、删除权限以及执行权限;4、 保证处理敏感信息的应用系统输出仅包含与输出的使用相关的信息,而且只发送给授权终端和地点,包括对这些输出进行定期检查,保证将多余的信息删除掉。第二十三条 敏感系统隔离敏感系统应有专用的(隔离的)运算环境。应运行在专用的计算机上,仅与可信的应用系统共享资源。隔离可通过使用物理或逻辑手段实现。第八章 移动计算和远程工作第二十四条 移动计算本公司用的移动计算设备(包括笔记本电
17、脑)必须严格受控,包括:(一) 使用移动计算设备必须经过本公司相关负责人的批准。 (二) 个人使用的移动计算设备必须设置 OS 级别口令或屏幕保护程序口令。 (三) 移动计算设备的保管必须保证实体安全,不得无人看守。(四) 安装最新的防病毒软件。第二十五条 远程工作(一) 组织内的移动设备(如笔记本)必须经过授权才能拿到公司物理区域外工作。(二) 移动设备使用人必须保证在物理绝对安全的状况下进行远程工作。(三) 移动设备远程工作期间,尤其注意在联入互联网的情况下确保信息不能泄漏。(四) 移动设备使用人要确保不得授权家人及亲友,更不能让陌生人使用本公司移动设备。必要的时候要给移动设备上保险以转移公司信息泄漏给企业所还来的风险。(五)
