账号口令管理办法

账号⼝令管理办法账户⼝令管理办法
⽬录
第⼀章总则 (4)
1.1概述 (4)
1.2⽬标 (5)
1.3范围 (5)
1.4要求 (5)
第⼆章帐号、⼝令和权限管理的级别 (7) 2.1关于级别 (7)
2.2如何确定级别 (7)
2.3⼝令、帐号和权限管理级别的定义 (7) 2.
3.1等级1 –最低保障 (8)
2.3.2等级2－低保障级别 (8)
2.3.3等级3 –坚固保障级别 (9)
2.3.4等级4 –最⾼保障等级 (9)
第三章帐号管理 (11)
3.1职责定义 (11)
3.2⼝令应该以⽤户⾓⾊定义 (11)
3.2.1系统管理员/超级⽤户 (11)
3.2.2普通帐号 (11)
3.2.3第三⽅⽤户帐号 (12)
3.2.4安全审计员帐号 (12)
3.2.5对于各类帐号的要求 (12)
3.3帐号管理基本要求 (13)
3.3.1保障等级⼀需要遵守的规范 (13) 3.3.2保障等级⼆需要遵守的规范 (13) 3.3.3保障等级三需要遵守的规范 (13) 3.3.4保障等级四需要遵守的规范 (14) 3.4帐号管理流程 (14)
3.4.1创建⽤户帐号 (14)
3.4.2变更⽤户 (17)
3.4.3撤销⽤户 (19)
3.4.4定期复审 (20)
第四章⼝令管理 (21)
4.1通⽤策略 (21)
4.2⼝令指南 (21)
4.2.1⼝令⽣成指南 (21)
4.2.2⼝令保护指南 (22)
第五章权限管理 (24)
5.1概述 (24)
5.2根据⼯作需要确定最⼩权限 (24)
5.3建⽴基于⾓⾊的权限体系 (24)
5.4审计⼈员权限的界定 (25)
5.5第三⽅⼈员权限设定 (26)
第⼀章总则
1.1 概述
随着XXXX公司业务系统的迅速发展，各种⽀撑系统和⽤户数量的不断增加，⽹络规模迅速扩⼤，信息安全问题愈见突出，现有的信息安全管理措施已不能满⾜xxx⽬前及未来业务发展的要求。

主要表现在以下⽅⾯：
1.xxxx的信息系统中有⼤量的⽹络设备、主机系统和应⽤系统，分别属于不同的部
门和不同的业务系统，并且由相应的系统管理员负责维护和管理。

所有系统具备不
同的安全需求级别，⽬前没有⼀个统⼀的规范描述和区分这种级别，导致对⼝令、帐号和权限的管理处于较为混乱的状况。

2.由于存在⼤量的帐号和⽤户，⼈员的变化、岗位的变化和需求变化会导致帐号管理
复杂度⼤⼤增加，必须有⼀套完整的帐号管理规范、流程，保证帐号的变化在可管
理、可控制的范畴内。

3.弱⼝令被猜中后导致系统被⼊侵是系统被⼊侵的最主要原因之⼀，因此如何管理⼝
令的⽣命周期，如何设置较强的⼝令成为当前⼀个重要的课题。

特别是snmp⼝令
的缺省配置常常成为⼀个严重的问题。

这些问题有些可以通过集中认证、双要素认
证等⽅式实现，但是最关键的还是应当通过建⽴规范和指南来实现。

4.即使有良好的帐号流程管理和控制，有正确的⼝令设置，仍然⽆法防⽌内部的滥⽤
和误⽤，因为这些滥⽤和误⽤的前提通常是⽤户已经有了⼀个⼝令和帐号，因此，必须对⽤户的权限进⾏严格的管理和限制，特别是利⽤系统功能实现最⼩授权的原
则。

5.由于各个系统存在的信任关系，整个系统⼀环套⼀环，⼀个被击破可能导致全线崩
溃，因此必须保障整个系统达到⼀致的安全⽔平。

总之，随着业务系统和⽀撑系统的发展及内部⽤户的增加，必须有⼀套规范可以保障系统的帐号、⼝令和权限被合理地管理和控制，达到系统对认证、授权和审计的需求。

1.2 ⽬标
本管理办法的主要内容包括：
●定义帐号、⼝令和权限管理的不同保障级别；
●明确帐号管理的基本原则，描述帐号管理过程中的各种⾓⾊和组织职责，确定帐号
管理的流程：包括帐号的申请、变更、注销和审计；
●规定⼝令管理中的基本要求，例如⼝令变更频率，⼝令强度要求，不同类型帐号⼝
令的要求，提供⼝令⽣成的指南；
●确定权限分析和管理的基本原则和规范；
●确定审计需要完成的各项⼯作；
●给出流程中需要的各种表格。

1.3 范围
●⽹络和业务系统范围
适⽤范围包括CMNET、⽹管、MDCN、BOSS、OA/MIS等西藏电信全⽹所有计算机信息
系统和IP⽹络。

●帐号、⼝令和权限管理包括不同的层次范围
帐号、⼝令和权限管理涉及⽹络设备、主机系统、数据库、中间件和应⽤软件。

1.4 要求
●本规范制定了适合西藏电信的基本准则和级别划分规则，全公司应该遵照第⼆章
的级别划分要求对所有主机、数据和应⽤系统进⾏评估和级别划分，并针对每⼀
级别，遵循第三、四、五章的要求，明确哪些适合于哪些系统。

●评估报告的内容应该包括：
所有主机资产列表
每台主机/服务器/数据库/应⽤系统需要的帐号、⼝令和权限保障级别和原因，
主要评估⽅法是根据第⼆章中每⼀级别的特征逐条⽐较，选择最为接近的级别
根据第三、四五章的要求，明确每⼀级别需要遵守的规范细节
●评估过程和⽅法应该透明，评估报告随评估结果和相关策略⼀并提交⽹络与信息安
全办公室。

第⼆章账户、⼝令和权限管理的级别2.1 关于级别
为了实现xxx所有IT信息系统的正常安全运⾏，我们在这⾥定义四个⼝令、帐号和权限管理的保障级别，这些级别确认不同系统对帐号管理的不同需要，不同级别的系统和设备需要不同级别的⼝令、帐号和权限管理的技术、管理制度和管理流程。

通常来说，价值较低的系统被定义为需要较低的保障级别，价值较⾼的系统被定义为需要较⾼的保障级别。

2.2 如何确定级别
第⼀步：对各系统进⾏⼀次风险评估，风险评估的结果能够确定系统需要⼝令、帐号管理权限的保障级别并揭⽰由于不恰当的⼝令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。

由于不恰当的⼝令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重，需要的安全措施越⾼，相应地需要的保障级别也越⾼。

风险评估还应遵照本规范揭⽰相应的应⽤系统需要采取何种帐号、⼝令和权限措施，这些措施应该包括技术措施和管理措施。

第⼆步：匹配风险评估揭⽰的风险和⼝令、帐号和权限需要的保障级别。

风险评估的结果应该被总结并得出结论，最终结论与下⼀节定义的各种级别进⾏⽐较，选择最为接近的级别作为该资产或者系统需要的⼝令、帐号和权限保障级别。

当进⾏确认的时候，应当按照系统没有任何安全措施的情况来进⾏评估和⽐较，⽽不应当在假设某个系统已经使⽤了某个保障技术的情况下进⾏⽐较。

另外对于⼀个系统的保障应该按照该系统可能受到的所有危害的最⾼级别来匹配保障级别。

第三步：确定使⽤何种⼝令、帐号和权限管理、技术措施，具体的结论应该以规范制度的形式加以规定。

请注意，由于某些技术本⾝可能带来⼀些额外风险，应该确认该技术是否真的达到应⽤系统对应等级的需求，评估残余风险。

2.3 ⼝令、账户和权限管理级别的定义
本节定义⼝令、帐号和权限管理需求的四个级别，我们将给出每个级别的特征和相关的
例⼦，级别分成1～4，数字越⼤表⽰需要的帐号、⼝令和权限管理保障信⼼等级越⾼。

2.3.1等级1 –最低保障
描述
在第⼀等级保障的情况下，只有基本的甚⾄没有保障措施⽤于电⼦系统的帐号，等级⼀的情况下，错误的⼝令、帐号和权限管理可能导致：
●给电信、客户或者第三⽅带来最⼩的不便
●不会给电信、客户或者第三⽅带来直接的经济损失
●不会给电信、客户或者第三⽅带来不快
●不会给电信、客户或者第三⽅带来名誉或者地位的损失
●不会破坏电信、客户或者第三⽅需要执⾏的商业措施或者交易
●不会导致民事或者刑事犯罪
●不会向未经授权的组织或个⼈暴露个⼈、电信、政府、商业的敏感信息
举例：
●⼀个公司的内部交流论坛，不⽤于任何⼯作⽬标，可以⾃⾏注册帐号并发⾔，尽管
帐号的泄漏会带来⼀些不便和伪冒，但是由于不⽤于⼯作⽬的，因此不会造成⼤的
损失。

●未验收和未投⼊使⽤的系统，⼯程过程中的系统（假设没有涉及知识产权，例如软
件代码泄密的问题的情况下）
2.3.2等级2－低保障级别
描述
通过常⽤的措施即可保护系统的可信认证，必须充分考虑代价和认证安全性的平衡。

这种等级的认证被误⽤或者破坏可能导致：
●给电信、客户或者第三⽅带来较⼩的不便
●给电信、客户或者第三⽅带来较⼩直接的经济损失或者没有直接经济损失
●会给电信、客户或者第三⽅带来较⼩的不快
●会给电信、客户或者第三⽅带来较⼩名誉或者地位的损失
●存在⼀定的风险，可能破坏电信、客户或者第三⽅需要执⾏的商业措施或者交易
●不会导致民事或者刑事犯罪
●存在⼀定风险，可能少量向未经授权的组织或个⼈暴露个⼈、电信、政府、商业的
敏感信息
举例：
●⼀台常⽤办公电脑，该电脑上没有存储任何机密⽂件，他的帐号被窃取可能导致公
司常⽤信息例如通讯录被泄漏。

●⼀个有查询系统的帐号，⽤户可以通过Internet注册来查询⾃⼰的帐单。

该帐号
失窃可能导致⽤户信息的泄漏。

2.3.3等级3 –坚固保障级别
描述
通常等级三意味着正式的业务流程使⽤的帐号，通常需要较⾼信⼼来保证⾝份的认证和正确的授权，这种等级的认证被误⽤或者破坏可能导致：
●给电信、客户或者第三⽅带来较⼤的不便
●给电信、客户或者第三⽅带来较⼤直接的经济损失或者没有直接经济损失
●会给电信、客户或者第三⽅带来较⼤的不快
●会给电信、客户或者第三⽅带来较⼤名誉或者地位的损失
●存在较⼤的风险，会破坏电信、客户或者第三⽅需要执⾏的商业措施或者交易
●会导致民事或者刑事犯罪
●存在较⼤风险，可能⼤量向未经授权的组织或个⼈暴露个⼈、电信、政府、商业的
敏感信息
举例：
●⼀般的主机操作系统、数据库、和路由器的⾼权限帐号，例如root、administrator、
dba等。

●业务系统的关键管理帐号，可以读写重要的⽤户信息、业务信息和帐单信息。

2.3.4等级4 –最⾼保障等级
描述
等级四的保障通常对应需要⾮常⼤的信⼼保障的系统这种等级的认证被误⽤或者破坏
可能导致：
●给所有电信、客户或者第三⽅带来巨⼤的不便
●给电信、客户或者第三⽅带来极⼤直接的经济损失或者没有直接经济损失
●会给电信、客户或者第三⽅带来极⼤的不快
●会给电信、客户或者第三⽅带来巨⼤名誉或者地位的损失
●破坏电信、客户或者第三⽅需要执⾏的商业措施或者交易
●会导致民事或者刑事犯罪
●⼤量向未经授权的组织或个⼈暴露个⼈、电信、政府、商业的敏感信息
举例：
●关键系统，例如计费系统数据库主机的操作系统和数据库。

●⽤于存储公司最⾼商业机密或密级为绝密的系统的认证。

第三章账号管理
3.1 职责定义
●员⼯所在班组：负责发起员⼯帐号的创建、变更和撤消申请；
●员⼯所在部门系统管理员：负责维护和管理业务系统，对业务系统负全责，具体负
责帐号的具体⽣成、变更和删除，并进⾏定期审计；
●员⼯所在部门安全管理⼈员：负责审批、登记备案⽤户权限。

3.2 账号应该以⽤户⾓⾊定义
电信的帐号应基于统⼀的⾓⾊进⾏管理。

帐号的⾓⾊可以从电信业务⾓度分或从IT管理⾓度分。

如果从IT管理⾓度可以分为以
下部分。

3.2.1系统管理员/超级⽤户
系统管理员和超级⽤户是有权限对系统的配置、系统最核⼼信息进⾏变更帐号的⾓⾊，通常每个系统⾄少具有⼀个或者⼀组该类帐号，该类帐号的管理应该最为严格，因为这些帐号可以对系统产⽣重⼤影响。

超级⽤户和系统管理员帐号⼜可以分为以下⼆种：
◆系统⾃带超级⽤户：例如unix的root，windows的administrator，数据库
的dba，这类⽤户由于系统缺省使⽤，通常是⼝令攻击者的攻击⽬标，因
此必须妥善加以保护。

◆⼿⼯定义的超级⽤户：基本上所有系统都可以定义基本与系统缺省超级⽤
户等同权限的⽤户（⼀般在权限⽅⾯略⼜差别）。

3.2.2普通帐号
普通⽤户是⽤户⽤于访问业务系统，实现⽇常业务操作的⽤户，是最为常见的⽤户类型，例如email帐号、BOSS系统帐号、操作系统普通⽤户等。

该类⽤户主要包括以下⼆类：
◆系统缺省普通帐号，例如unix中的lp、nobody等，这些帐号是系统为了
提供服务存在的特殊帐号，常常成为⿊客的攻击⽬标，因此必须进⾏特别
的安全设置和审计。

普通帐号：⽤于实现业务操作和访问的帐号。

3.2.3第三⽅⽤户帐号
第三⽅帐号通常指由于某种特殊情况，系统允许电信以外的⼈员和组织访问的帐号。

这类帐号通常包括代维⽤户帐号、临时故障登录帐号、客户登录帐号。

这些帐号必须进⾏严格的权限管理和定期审计。

其中客户登录帐号（例如⽹上营业厅）应给予特别保护。

3.2.4安全审计员帐号
在核⼼系统中，应该设置安全审计员帐号，该帐号可以对系统安全设置和⽇志信息进⾏专门的审计。

3.2.5对于各类帐号的要求
对于我们的四级保障体系，每⼀级别存在的不同⽤户类型和需求如下：
3.3 账号管理基本要求
3.3.1保障等级⼀需要遵守的规范
●设备或者应⽤系统由系统维护部门的系统管理员⾃⾏管理和划分权限。

●系统的帐号管理应该⽀持⽤户名和⼝令的机制，⼝令的存储尽量采⽤加密的⽅式；
●系统管理员⾃⾏审计和处理帐号的存在和启⽤是否合理。

3.3.2保障等级⼆需要遵守的规范
●本级别的需求应⾄少包括并⾼于其下等级的所有规范要求；
●⾮经部门系统管理员授权，不允许匿名账号的存在；
●⼝令应该以加密⽅式存储；
●不允许共享账号和⼝令，除⾮由部门经理授权，不允许将个⼈使⽤的⼝令告诉他⼈；
●系统必须打开安全⽇志，并保存1个⽉以上的安全⽇志。

3.3.3保障等级三需要遵守的规范
●本级别的需求应⾄少包括并⾼于其下等级的所有规范要求；
●要求必须在帐号相关备注字段或者⼀个集中的数据库中明确帐号的详细信息，⾄少包括名字、联系电话、email；
●由于系统存在缺省帐号例如root、administrator帐号可能给⼝令猜测和系统漏洞
利⽤提供⽅便，因此在可能的情况下可以不使⽤该类帐号。

在条件许可的情况下，
开发并使⽤⼀些⼯具（routine），避免向⽤户授予超级权限；
●超级⽤户⼝令应尽可能采⽤⼀次性⼝令或者双要素⼝令认证。

超级⽤户⼝令要求每个⽉不定期变更两次以上，普通⽤户⼝令要求每个⽉变更⼀次；对于3个⽉没有使
⽤的帐号应该评估是否删除；
●⽤户账号授权应该满⾜最⼩授权和必需知道的原则。

必需知道原则指应该让⽤户有权限访问他⼯作中需要⽤到的信息；最⼩授权原则指仅让⽤户能够访问他⼯作需要
的信息，其他信息则不能被该⽤户访问；
●系统必须有严格的安全⽇志机制并打开安全⽇志，该安全⽇志应该收集到部门的专门⽇志集中管理主机上，⽇志应该能⾄少保存过去6个⽉的⽇志。

3.3.4保障等级四需要遵守的规范
●本级别的需求应⾄少包括并⾼于其下等级的所有规范要求；
●每3个⽉审计⽤户账号的最后⼀次使⽤时间、最后⼀次变更时间，对于3个⽉没有
使⽤的账号应进⾏评估是否删除；
●该级别系统不允许代维或者第三⽅帐号的存在。

如涉及故障排查，必须增加临时帐号，该帐号必须登记在案，并且排查过程中，电信维护⼈员全程陪同，排查结束后
⽴即删除临时帐号；
●系统必须打开所有⽇志，其中包括安全⽇志。

⽇志存储在部门的专⽤⽇志主机上。

⽇志应能够保存半年。

3.4 帐号管理流程
3.4.1创建⽤户帐号
●本流程适合需要⼆级以上保障的系统，⼀级系统由系统管理员⾃⾏和需要帐号的⼈
员协商创建帐号，或者由管理员⾃⾏规定创建流程；
●新员⼯应仔细阅读本规范，了解本规范的要求和流程；
●新到员⼯的班组确定该员⼯需要的帐号和权限，通常包括：email帐号、内部⼯单
系统帐号、该员⼯参与或者负责的业务系统帐号等，应明确填写需要的帐号及权限，
班长填写附表⼀所⽰的员⼯帐号申请表，并由系统管理员签字；
●如果是第三⽅⼈员需要申请帐号，必须额外附上该第三⽅⼈员获得帐号的相关依据
（例如合同、协议以及单独签署的保密协议）。

●系统管理员将申请表提交到部门安全管理⼈员，部门安全管理⼈员审计其帐号设置
是否符合本规范的要求，并给出具体在系统中开户⽅式的建议，同时根据需要帐号
的级别（关键帐号和⾮关键帐号）分不同流程进⾏后续审批；
●关键帐号主要包括⼆、三级系统的系统管理员帐号和四级系统的所有帐号。

⾮关键
帐号主要包括⼆、三级系统的⾮系统管理员帐号；
●对于⾮关键帐号，部门安全管理⼈员审批后将申请单交由系统管理员开户即可；
●对于关键帐号，应该由部门安全管理⼈员提交部门经理进⾏审批；
●当审批流程均结束后，应该进⾏帐号的创建，帐号的创建应该由系统管理员完成。

●开户完成后进⼊通知和备份流程。

系统管理员应该在开户完成后⽴即通知申请开户
的班组。

在开户完成后不允许使⽤固定的缺省⼝令，建议由系统使⽤⼀个随机⼝令或者系统管理员为⽤户设置⼀个专⽤⼝令。

关键系统帐号和⼝令不允许使⽤未经加密的邮件发送。

需要开户的员⼯接收到帐号后应⽴即修改⼝令，请选择本规范许可的⼝令。

⽤户创建的流程⽰意图如下：
⽤户申请
3.4.2变更⽤户
●本流程适合需要⼆级以上保障的系统，⼀级系统由系统管理员⾃⾏和确认帐号的变更；
●当员⼯的岗位发⽣变化或者其他原因需要变更帐号（此处创建新帐号），因此该员⼯所在班组应该牵头帐号的变更⼯作；
●需要变更员⼯的班组确定变更是否合理，班长填写附表⼆所⽰变更表，并提交系统管理员签字确认；
●系统管理员将申请表提交到部门安全管理员，部门安全管理员审计其帐号设置是否符合本规范的要求，并给出具体在系统中变更帐号⽅式的建议。

同时根据需要变更帐号的级别（关键帐号和⾮⾮关键帐号）分不同流程进⾏后续审批；
●⾮关键性变更是指修改帐号的名字、帐号的联系⽅式等⾮关键信息。

关键性变更主
要指权限的变更；
●对于⾮关键性变更，部门安全管理员审批后将申请单交由系统管理员变更即可；
●对于关键性变更，应该由部门安全管理员提交部门经理进⾏审批；
●当审批流程均结束后，应该进⾏帐号的变更；
●开户完成后进⼊通知和备份流程。

系统管理员应该在开户完成后⽴即通知申请需要变更的班组。

⽤户变更的流程⽰意图如下：
者⾮关键性变更
3.4.3撤销⽤户
●遇有员⼯离职，在系统中删除相应的帐号应该是离职⼿续的⼀部分；
●员⼯所在班组应尽早直接以书⾯⽅式（见附表3）发出帐号撤消通知书到系统管理员，系统管理员签字确认后提交到部门安全管理员，部门安全管理员根据记录给出
该员⼯⽬前拥有的帐号，并发送给系统管理员。

●系统管理员接到通知后应该⽴即暂停该⽤户权限，并对员⼯所使⽤的帐号进⾏安全审计，审计的主要内容包括该帐号的实际权限是否符合记录、该帐号近期⾏为（⽇志）是否符合规范等，同时做好相关备份和交接⼯作后，删除帐号；
●员⼯所在班组应该做好部门内部交接⼯作。

⽤户撤消的流程⽰意图如下：。