访问控制安全管理办法

《学院访问控制安全管理办法》
（1）总则
第一条为保障学院的访问控制安全，保障访问控制的业务需求，明确用户职责及对网络、操作系统和应用系统的访问控制要求，特制定本文件。

（2）访问控制的业务需求
第二条信息处理设施和业务过程的访问控制须建立在业务要求和安全要求的基础上。

第三条须建立访问控制策略并形成文件，基于业务和访问的安全要求进行评审。

第四条访问控制策略需依据学院需求考虑如下（但不仅限于）内容：
第五条(一）制定信息授权的策略，及访问权限的管理策略；
第六条(二）规定每个用户或每组用户的访问控制规则和权限；
第七条(三）考虑各业务应用的安全要求；
第八条(四）获取业务应用的相关信息，识别面临的风险；
第九条(五）兼顾不同系统和网络访问控制策略间的一致性；
第十条(六）遵守保护访问信息/服务的相关法律法规和合同要求；
第十一条(七）实现访问控制角色的分离，例如访问请求、访问授权、访问管理；
第十二条(八）访问控制的定期评审。

（3）用户访问管理及职责
第十三条对用户访问需进行严格管理，明确用户职责，确保授权用户访问信息系统，防止未授权的访问。

第十四条制定规范的用户注册及注销程序来授权和撤销对所有信息系统及服务的访问。

可依据学院需求考虑下列（但不仅限于）内容：
第十五条(一）用户使用唯一用户ID并对其行为负责；
第十六条(二）检查使用信息系统或服务的用户是否拥有适当的授权；
第十七条(三）检查访问授权是否与业务要求相符，是否与学院信息安全策略一致；
第十八条(四）确保在完成授权后，用户才可访问；
第十九条(五）记录并维护用户账户权限列表；
第二十条(六）在用户离职或转岗时，需立即变更或撤销访问权限；
第二十一条(七）定期检查用户账户，对多佘或过期账户进行处理。

第二十二条通过正式的授权过程限制和控制特殊权限的分配及使用，可依据需求考虑如下（但不仅限于）内容：
第二十三条(一）明确每个系统的特权账户，及其相关访问权限；
第二十四条(二）按照访问控制策略，依据“最小授权”原则给特权账户分配权限；
第二十五条(三）维护特权账户的授权过程并进行记录；
第二十六条(四）区分特权账户管理与普通账户管理。

第二十七条实施用户口令管理，通过正式的管理过程控制口令的分配和使用，可依据学院需求考虑如下（但不仅限于）内容：
第二十八条(一）用户签署保密协议或通过其他方式承诺其确保用户口令保密性的责任；
第二十九条(二）初始时以安全的方式提供给用户临时口令，并强制其登录后立即更改；
第三十条(三）用户更改口令前，需验证用户身份；
第三十一条(四）用户口令不得以明文等未保护的形式存储在计算机系统内；
第三十二条(五）系统或软件安装后须更改默认口令。

第三十三条定期对用户的访问权限进行复查，依据学院需求考虑下列（但不仅限于）内容：
第三十四条(一）定期或在任何重大变更实施之后，对用户的访问权限进行复查；
第三十五条(二）对于特权帐户的授权，需更频繁的进行复
查，如周期为3个月。

第三十六条明确用户口令使用职责,使用户遵循良好的安全习惯，控制要求包括但不限于：
第三十七条(一）不得以不安全的形式保留口令的记录；
第三十八条(二）当有任何迹象表明系统或口令受到损害时须变更口令；
第三十九条(三）选择长度适当的优质口令；
第四十条(四）定期变更口令（特权帐户的口令比常规口令变更频繁），并且避免重新使用旧的口令或周期性使用旧的口令；
第四十一条(五）在初次登录时更换临时口令；
第四十二条(六）个人的用户口令不要与他人共享；
第四十三条(七）不在业务系统和非业系统中使用相同的口令。

第四十四条用户须遵守清空桌面、可移动存储介质和清空信息处理设施屏幕的策略。

制定策略时可依据学院需求考虑如下（但不仅限于）内容：
第四十五条(一）用户离开办公室时，需将敏感或关键业务信息上锁，如在纸质或电子存储介质中的信息，可放在保险柜或其他形式的安全存储设备中；
第四十六条(二）对于服务器和用户终端，当无人值守时，需注销或使用屏幕和键盘锁定机制进行保护；当不使用时，需使用带钥匙的锁、口令或其他控制措施进行保护；
第四十七条(三）保护邮件收发处和无人值守的传真机；
第四十八条(四）包含敏感或机密信息的文件需及时从打印机中清除。

（4）网络访问控制
第四十九条制定明确的网络访问控制策略，防止未授权访问，并维护和更新用户的网络访问权限，须明确如下（但不仅限于）内容:
第五十条(一）确定允许网络访问的授权程序；
第五十一条(二）保护访问网络的管理控制措施；
第五十二条(三）明确允许的访问网络的途径。

第五十三条使用适当的鉴别方法验证远程用户，控制远程用户的访问。

第五十四条对系统诊断和配置端口的访问采取适当控制措施，如使用带钥匙的锁和支持程序，以控制对端口的物理访问。

第五十五条在网络中隔离信息服务、用户及信息系统，并基于访问控制策略和访问要求，将网络分成独立的安全区域。

（5）操作系统访问控制
第五十六条严格控制用户对操作系统的访问，依据学院的需求考虑如下（但不仅限于）内容：
第五十七条(一）依据访问控制策略，使用适当的鉴别措施，验证用户后再予以授权；
第五十八条(二）记录系统鉴别成功和失败的情况；
第五十九条(三）记录系统特殊帐户权限的使用；
第六十条(四）当访问行为违反系统安全策略时立即采取措施，如及时警报。

第六十一条对访问操作系统的登录程序加以控制，依据学院的需求选择如下（但不仅限于）内容：
第六十二条(一）限制登录程序所允许的最大时间，如果超时则系统断开登录；
第六十三条(二）不显示输入的口令，不在网络上以明文方式传输口令；
第六十四条(三）限制所允许的不成功登录尝试的次数。

第六十五条对用户进行唯一的标识，如用户ID,并进行鉴别，以将各个活动追踪到各个责任人。

第六十六条须明确对登录用户的口令要求，并进行严格管理。

第六十七条严格控制可能超越操作系统安全控制措施的实用工具的使用。

第六十八条设置操作系统会话超时控制，超时后清空会话屏幕, 如超时更长时间，关闭相关应用和网络会话。

第六十九条对于运行敏感信息的操作系统，可使用联机时间控制等安全保障措施。

（6）应用和信息访问控制
第七十条严格限制对应用和信息的访问，确保只有巳授权
用户可访问，依据学院需求考虑如下（但不仅限于）内容：第七十一条(一）防范超越或绕过应用安全控制措施的任何实用工具、操作系统软件和恶意软件的未授权访问；
第七十二条(二）不损坏与之共享信息资源的其他系统的安全。

第七十三条基于各个业务应用要求来限制对应用和信息的访问，并与学院信息安全策略保持一致，依据学院需求考虑如下（但不仅限于）内容：
第七十四条(一）控制用户权限，如，读、写、删除和执行等；
第七十五条(二）确保处理敏感信息的应用系统的输出仅包含授权使用相关的信息，并且仅发送给巳授权的终端；
第七十六条(三）周期性审核应用系统对用户的输出，确保没有多佘信息。

第七十七条须将包含敏感信息的系统与其他系统进行隔离，并实施严格的访问控制。

（7）移动办公安全
第七十八条移动办公是指利用通信技术使工作人员可以在学院之外的固定地点进行网络接入和远程工作。

须考虑在不受保护的环境中工作的风险，采用适当的保护措施，确保使用移动办公设备的信息安全。

第七十九条使用移动计算设备，如笔记本电脑、个人数字
助理等设备时，须保护业务信息不被损害；确保在安全控制措施部署到位时，才授权移动办公的工作活动。

第八十条采用适当的安全措施，防范使用移动计算设备时所造成的风险，包括对物理保护、访问控制、密码技术、备份和病毒防护的要求。

第八十一条使用移动网络无线连接时，需与其他类型的网络连接相区别，进行重点考虑和防护，如无线安全协议的已知漏洞，受限的无线网络带宽等。

第八十二条对远程工作场地实施适当的保护，以防范设备和信息被窃、信息的泄露、以及对学院内部系统的未授权远程访问等。

第八十三条需考虑移动办公使用的通信链路传递信息敏感性，保障通信的安全。

第八十四条对使用移动办公的人员进行安全培训，以提高其对措施。

（8）附则
第八十五条本文件的解释权归学院教育信息化推进处，自通过之日起实行。