2.5 帐号口令及权限管理制度
权限、口令、加密管理制度
第一十一条系统管理员每月应检查帐号的有效性,并维护和及时更新《用户帐号权限登记表》。在设备验收时删除系统的测试帐号,对需要保留的帐号应重新进行密码设置;及时删除不再需要的帐号,及时清理可疑帐号,锁定两个月以上不用的帐号。禁止与系统无关的人员在系统上拥有帐号。
第五章
a)《物理环境安全管理制度》
b)《介质安全管理制度》
c)《访问控制安全管理制度》
第六章
第一十九条本管理规定自发布之日起开始实施;
第二十条本管理规定的解释和修改权属于信息安全管理委员会;
第二十一条信息安全管理委员会每年统一检查和评估本管理规定,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
XX公司xx系统对系统管理员的帐号、权限使用/变更申请需要通过变更流程进行审批,系统管理员对一般用户的帐号、权限使用/变更申请进行审批。
帐号、权限开通/变更后,由系统管理员填写/更新《用户帐号、权限登记表》。
第一十四条权限的回收管理
当系统管理员调动、离职,由其填写《用户帐号、权限登记表》,经管理负责人批准后备案。新任系统管理员必须在规定时限内修改、删除或锁定原系统管理员的帐号密码。
对于多人共享帐号,当共享同一组帐号的多名通信设备及系统维护人员中有人调职或离职时,系统管理员应及时变更该组帐号密码。
2.2
第一十五条帐号密码(或称“口令”)组成必须包含大小写字母、数字、标点等不同的字符组合,长度一般要求在6位以上,重要通信设备及系统应在8位(含8位)以上,并至多90天更换一次。禁止使用姓名、电话号码、生日等容易猜测的字符串作为密码,也不应使用单个单词作为密码。
第三方人员管理制度
第三方人员管理制度第三方人员管理制度「篇一」第一章总则第一条为了规范第三方用户在共享学校内部信息、或访问内部信息系统时的行为,保护学校网络与信息系统安全,特制定本管理办法,用于内部管理对第三方机构和人员进行安全管理。
第二章适用范围第二条本管理办法适用的第三方包括学校的其他部门、相关的教育机构、网络监管部门、网络信息的产品供应商、代维服务商、合作厂商等,制度的执行和责任由与第三方接触的相关部门承担。
第三条第三方合作伙伴在涉及到共享内部信息、或访问内部信息系统时,必须遵守本管理办法。
第四条在网络与信息安全工作中,本管理办法是指导第三方安全管理的基本依据,相关组织和人员必须认真执行本管理办法,并根据工作实际情况,制定并遵守相应的实施细则和操作流程,做好第三方安全管理工作。
第三章来访出入管理第五条第三方人员进入学校中心机房或相关实验室时,应遵守学校相关安保制度。
第六条接待部门应当建立第三方来访预约制度和接待记录制度。
对第三方人员的访问应进行登记,详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。
第七条第三方人员访问过程中,必须安排专人陪同,不得任其自行走动。
第八条未经特别许可,第三方人员不得在机房、实验室内摄影、拍照。
第九条如因业务需要须向第三方提供含有学校内部保密信息的文件、资料或实物的,接待人应当在获得相应的批准或授权,并与第三方签订保密协议后再行提供,提供时应开具清单请第三方签收。
第四章机房出入管理第十条除以下情况外,不得引领和允许第三方人员访问机房等重要区域:1.学校领导批准的参观活动;2.必要的仪器设备现场安装、维修、调测;3.第三方因业务需要进入上述区域的其它情形。
第十一条第三方人员访问机房须遵守机房管理相关规定。
第十二条第三方人员进入计算机房或进行上机操作,须经信息化部门领导或安全负责人批准,并进行相应登记,记录原因、目的及操作内容,指定专人全程陪同。
第五章网络访问管理第十三条第三方人员不允许私自连接学校内部网络。
帐号口令管理制度
帐号口令管理制度一、总则随着互联网的快速发展,大量的个人信息和企业机密都存储在互联网上,因此帐号安全是至关重要的。
帐号口令是保障帐号安全的第一道防线。
为了强化帐号口令管理,减少帐号被盗的风险,本制度制定,以规范化、标准化、统一化帐号口令管理工作,加强帐号安全保护。
二、适用范围本制度适用于所有公司内部帐号口令管理工作。
三、帐号口令的要求1. 复杂度要求:帐号口令要求使用字母、数字、特殊字符的组合,长度不少于8位。
2. 定期更新:所有帐号口令需定期更新,建议每3个月更新一次。
3. 不易猜测:帐号口令不得使用与个人相关的信息,如生日、姓名、电话号码等。
4. 禁止共用:帐号口令严禁共用,每个帐号只能由相应的人员使用。
5. 安全保管:帐号口令应妥善保管,不得随意泄露给他人。
6. 即时处理:一旦发现帐号口令异常,应立即修改并报告相关部门。
四、帐号口令管理流程1. 设定帐号口令:由管理员为新帐号设定初始口令,口令需符合复杂度要求。
2. 定期更新口令:系统会定期提示用户更新口令,用户需按要求更改口令。
3. 口令修改记录:用户每次修改口令后,系统需记录下修改的时间和人员。
4. 强制修改口令:如果发现口令存在安全隐患,管理员有权强制要求用户修改口令。
五、帐号口令管理责任1. 管理员职责:负责制定和执行帐号口令管理制度,监督帐号口令的使用情况。
2. 用户责任:用户应严格遵守本制度规定,妥善保管自己的帐号口令。
3. 安全部门职责:负责对帐号口令进行安全评估和检测,及时发现并解决存在的安全隐患。
4. 监督部门职责:对各部门的帐号口令管理情况进行监督检查,发现问题及时提出整改建议。
六、帐号口令管理的技术保障1. 密码加密:对用户的帐号口令进行加密存储,防止明文存储导致泄露。
2. 口令强度检测:系统能够对用户设置的口令强度进行评估,提供安全性建议。
3. 口令过期提醒:系统会在口令过期前提醒用户及时更改口令,防止口令长时间未更换。
帐号口令管理制度
帐号口令管理制度一、制度目的为了确保网络安全,保护帐号和个人信息的安全,提高帐号的安全性和可靠性,制定本帐号口令管理制度。
二、适用范围本制度适用于公司所有的员工和外部合作伙伴。
三、口令设置原则1.合法合规:口令的设置必须符合国家相关法律法规和公司的信息安全政策,不得违法违规。
2.复杂性:口令必须具备一定的复杂性,包括大小写字母、数字和特殊字符的组合。
3.定期更新:口令必须定期更新,建议每三个月更新一次。
5.个性化:口令应个性化,避免使用与个人信息相关的内容。
6.口令长度:口令长度应在8-16个字符之间。
7.不重复使用:禁止重复使用以前使用过的口令。
8.不将口令告知他人:禁止将口令告知他人,包括同事、家人等。
如有需要共享帐号,应通过安全渠道进行。
四、口令管理规范1.初始设置:员工在第一次获得帐号时,需要设置一个符合上述口令设置原则的初始口令。
2.定期更新:员工需要定期更改口令,具体更新时间由公司信息安全部门指定。
3.口令保密:员工必须保证口令的安全,不得将口令告知他人,包括同事和家人。
4.口令存储:员工不得将口令以明文形式存储在计算机、云盘、移动存储设备等地方,可以采用加密的方式进行存储。
5.丢失或泄露处理:如果员工发现自己的口令丢失或者泄露,应立即通知公司的信息安全部门,并按照其要求进行处理。
6.暂离电脑时处理:员工在暂离电脑时应将电脑锁屏,以防他人盗用帐号。
五、违规处理措施1.口令不符合要求:对于设置不符合要求的口令,信息安全部门将要求员工立即修改,直到符合要求。
2.未定期更新口令:对于未按规定定期更新口令的员工,信息安全部门将进行警示教育,同时要求尽快更新口令。
3.口令泄露或丢失:对于发现自己的口令被泄露或丢失的员工,信息安全部门将调查原因并采取相应措施,包括重置口令、限制帐号权限等。
4.严重违规处理:对于严重违反本制度的员工,信息安全部门将依据公司相关规定进行严肃处理,包括警告、停职、辞退等。
账号使用登记和操作权限管理制度
每年对整个公司的账号使用和操作进行全面考核,以评估公司
的整体表现。
违规处理与惩罚措施
警告
对于轻微违规行为,先给予口头警告,并 要求立即改正。
停职检查
对于情节特别严重的违规行为,可以暂时 停职,接受进一步调查和处理。
罚款
对于严重违规行为,可以处以一定金额的 罚款,以示惩戒。
解雇
对于造成重大损失或多次违规的员工,可 以予以解雇。
系统管理员分配账号
系统管理员根据审批结果,为申请人分配唯一的账号和初始密码 。
账号使用规范
账号使用规定
账号仅限于申请人使用,严禁私自转让、出租或 出售账号。
密码保密要求
申请人应严格保密账号密码,不得泄露给第三方 。
登录记录检查
申请人应定期检查登录记录,确保无异常登录情 况。
账号安全与保密责任
安全责任
制度范围
适用对象
公司内部所有员工、临时工、外部合作伙伴等。
适用范围
涉及公司内部业务系统、办公系统、财务系统、人力资源系统等各类账号和操作 权限。
02
账号使用登记管理
账号申请与审批流程
申请人提交申请资料
申请人需提交有效的身份证明和申请表格,说明使用账号的目的 和范围。
部门负责人审批
部门负责人需对申请资料进行审核,确保申请符合规定。
1 2
使用规范
获得权限后,用户应严格按照权限定义使用, 不得越权操作。
保密义务
用户应严格保密所获得的权限信息,不得泄露 给无关人员。
3
定期审查
管理员应定期审查用户的使用情况,确保权限 使用合规。
04
监督与考核机制
监督制度
01
02
账号和口令及权限管理办法
xxxxx网络与信息安全账号、口令及权限管理办法保密申明本文档版权由xxxxx所有。
未经xxxxx书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播目录编制说明 (3)第一章总则 (4)第二章组织和职责 (4)第三章账号管理 (4)第四章密码管理 (5)第五章权限管理 (6)第六章附则 (6)第一节文档信息 (6)第二节版本控制 (7)编制说明本制度依据我国信息安全的有关法律法规,结合xxxxx《xxxxx网络与信息安全总纲》及自身工作特点,参考国家有关信息安全标准制定。
《xxxxx网络与信息安全——账号、口令及权限管理办法》规范账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险。
本办法包括三部分:“账号管理”规范账号角色和账号审计等;“密码、口令管理”规范密码长度、复杂度等;“权限管理”规范“最小授权”原则访问。
第一章总则第一条为加强xxxxx工作人员对于系统账号、口令及权限的安全管理,规范xxxxx的账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险,特制订本办法。
第二条适用范围:本办法适用于xxxxx所有使用、管理IT 设备的工作人员。
第二章组织和职责第三条xxxxx所有非终端类IT设备的账号申请和权限审批应由技术部负责统一管理。
技术部应根据xxxxx相关规定和要求创建、变更和撤销相应人员的账号及权限。
第四条终端类IT设备的账户、密码管理由该设备的使用或管理人员自行按照本规定执行。
第五条xxxxx技术部应负责登记、备案所有非终端的IT设备的账号,并定期对用户账号和权限进行监督、检查。
第六条xxxxx各设备、各应用系统的运行维护人员应严格控制账号的生成、变更和删除以及账号的角色和权限。
第三章账号管理第七条xxxxx非终端类各设备、各应用系统的运行维护人员在设备或应用系统具备条件的情况下,应根据不同人员的职能确定其用户账号角色,账号至少应当分为以下角色:(一)系统级管理员:负责维护系统的管理人员,一般应具有超级用户权限,原则上只能有一个系统级管理员账户,且不能与其他人共用;(二)普通用户:访问系统的普通用户,一般只具有相应访问内容和操作的最小权限;(三)第三方人员:临时或长期进行系统维护的非xxxxx内部人员,应当根据第三方人员的维护范围确定其使用权限;(四)安全审计人员:进行安全检查的人员,应能够查看系统的日志和审计信息。
帐号口令及权限管理制度
帐号口令及权限管理制度1.引言帐号口令及权限管理制度是一项重要的安全管理措施,旨在保护企业和个人的信息安全。
本制度的目的是确保只有授权人员才能访问和操作相关系统和数据,并采取适当的措施防止未经授权的访问和滥用行为。
以下是本制度的详细内容。
2.帐号创建与维护2.1帐号创建2.1.1所有帐号的创建必须由授权的管理员进行,并按照相关的注册程序和流程。
2.1.2每位用户只能拥有一个帐号。
2.1.3在申请帐号时,用户必须提供真实、准确的个人信息,并承诺遵守相关的安全规定。
2.2帐号维护2.2.1所有帐号必须定期进行管理和维护,包括删除未使用或已经过期的帐号。
2.2.2忘记密码或需要重置密码的用户必须按照规定的流程进行密码重置,不得向任何人泄露密码。
3.口令安全与管理3.1口令设置3.1.1所有帐号必须设置强密码,密码长度不得少于8位,包括大小写字母、数字和特殊字符。
3.1.2口令应定期更换,推荐每3个月更换一次。
3.1.3不得使用容易猜测的密码,如生日、手机号等个人信息。
3.2口令保密3.2.1口令是用户访问和操作系统的凭证,用户必须将口令妥善保管,不得向他人泄露。
3.2.2在公共场所或他人办公区域时,用户必须确保隐藏或者锁定屏幕,防止他人窥视。
3.3口令修改与重置3.3.1在发现口令泄露的情况下,用户必须立即向管理员报告,并按规定的流程进行密码重置。
3.3.2口令重置的申请必须经过管理员审核和验证,用户需提供必要的身份信息。
4.权限管理与控制4.1权限授予4.1.1权限授予必须按照岗位职责和业务需求进行,仅限于用户需要进行正常工作所必须的权限。
4.1.2权限授予必须经过授权管理员的审批和记录,并定期进行复核。
4.2权限验证与审计4.2.1系统必须实现权限验证机制,确保只有拥有合法权限的用户才能访问和操作系统和数据。
4.2.2进行权限审计,定期检查和验证用户的权限使用情况,防止权限滥用和非法操作。
4.3帐号注销4.3.1当用户离开公司或者岗位变动时,管理员必须及时注销相关的帐号,防止未经授权的访问和滥用。
帐号口令及权限管理制度
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
帐号、口令及权限管理规定
帐号、口令及权限管理规定第一章总则第一条为规范用户账号和口令管理,建立健全账号和口令安全防范和安全保障机制,确保信息系统的安全有效运行,制订本规定。
第二条本管理规范适用于单位机房硬件平台、应用系统的账号的建立、以及权限的审批、账号和权限的评审、权限撤销和账号移除等。
第二章定义第三条用户账号是计算机信息系统通过一定的身份验证机制识别各类操作人员在系统中身份的一种标识。
第四条特权账号是指对系统/网络/数据库等拥有超级权限的人员账号,包含但不限于系统管理员、网络管理员、数据库服务器管理员及数据库管理员等。
第五条权限是指系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束用户能操作的系统功能和内容访问范围,是指某个特定的用户具有特定的系统资源使用的权力。
第三章账号权限申请第六条所有用户账号的开通应通过正式的账号申请审批过程,账号使用者提出并填写《办公网数字身份证书申请表》,根据《访问控制安全管理规范》中的访问控制方针进行审批。
第七条在对系统账号进行申请的过程中,应做到系统账号与责任人一一对应,确保每个账号都有人负责。
第八条系统运行维护管理人员在开通账号前,应依据《办公网数字身份证书申请表》内容检查申请人是否在该系统中拥有其它账号,若没有,方可为用户创建账号并分配相应的权限。
原则上每个用户只能拥有唯一的账号,不得重复申请账号。
第九条系统运行维护管理员应当保存用户账号分配申请记录。
第四章账号使用规则第十条用户在获得账号后,应当立即修改账号默认口令。
第十一条用户账号口令的选择和使用应当与口令保护策略相符合。
第十二条用户账号是用户的唯一标识,只能由本人使用,不得交由他人使用。
第十三条不得多人共用一个账号(特殊系统账号除外)。
第十四条服务器本地管理员账号由系统管理员保管,禁用匿名账号(Guest 账号)。
第五章账号权限变更第十五条在应用系统账号使用过程中,如果账号权限发生变化,应进行重新申请并填写《办公网数字身份证书撤销/停用、恢复、更新申请表》。
账号、口令、权限管理办法 V1
账号、口令、权限管理办法目录1.目的 (3)2.范围 (3)3.账号和权限管理 (3)4.口令管理 (4)1.目的本规范规定了信息系统账号、口令、权限管理要求。
2.范围本规范适用于工程操作系统、数据库、网络设备和业务应用。
3.账号和权限管理员工录用时,人事部门或调入部门必须及时书面通知信息技术部门添加相关的帐号、口令及权限等。
员工在岗位变动时,人事部门或调入部门必须及时书面通知信息技术部门修改和删除相关的帐号、口令及权限等。
员工调离时必须由人事部门书面通知信息技术部门删除相关的帐号、口令及权限等。
操作人员访问权限的授予、变更和注销严格按照相关流程进行审批,经全部审批完毕后方给予相应权限。
将系统管理员权限和数据库管理员权限分开授予,禁止同一人掌管操作系统口令和数据库管理系统口令。
授予用户的身份应是唯一的,即一个用户账户唯一地对应一个用户,不允许多人共享一个账户。
系统管理员负责用户账号、权限和密码的集中管理,至少每半年审核一次。
各级信息技术部门系统管理员应该制定用户权限表,定期对用户的访问权限进行检查。
对任何用户的登录应进行身份鉴别。
身份鉴别的方法应根据用户所处环境的风险确定。
在新系统实施阶段,对于服务提供商需要访问系统,应当采取以下措施:(一)每个应用系统项目组将自己所需要的权限列表,交给信息技术处登记注册。
以后有变更的,及时通知信息技术处;(二)原则上不给服务提供商系统管理员的权限;(三)对于无法操作某些功能的情况下,经申请同意可以赋予服务提供商系统管理员的权限,一个项目小组只能有一个系统管理员的帐号,该用户不得将系统管理员的权限赋予他人;(四)实施结束后,系统管理员应当及时删除有关用户账号权限。
未经允许,系统管理员不得私自在系统内添加、删除用户,不得随意更改用户权限,防止非授权用户对数据的使用和修改等。
严格按岗位职责设置岗位操作权限,应定期检查操作员的权限,发现岗位操作权限不合理时应立即更正。
帐号口令管理制度
帐号口令管理制度【制度目的】1.保护账号安全:加强账号和密码的安全性,避免密码泄露、账号被盗用等安全风险。
2.提升信息系统安全:减少账号被入侵的风险,保护重要的企业信息资产。
3.便于管理和维护:通过制度规范统一账号和密码的使用,方便进行账号管理和维护工作。
4.加强员工安全意识:借助制度的提醒教育,提高员工对账号安全和信息安全的重视程度。
【制度内容】1.账号创建和审批:必须按照规定的程序和权限,由专人负责创建账号并进行审批。
2.密码安全要求:账号密码应具备一定的复杂性,包括长度要求、大小写字母、数字和特殊字符的组合。
密码的安全性应定期进行检测和评估,并设定密码过期时间。
3.密码管理:用户账号密码应保存在经过加密的形式,不得以明文方式存储或传输。
密码不得与其他人共享或转存。
4.强制变更密码:针对初始密码或者定期更改密码的要求,应设定合理的时间间隔和变更规则,并及时提醒用户更改密码。
5.巡检与监控:定期对账号和密码进行巡检,发现异常情况及时处理。
对重要账号可能存在泄露风险的,进行日志监控和预警。
6.账号注销:员工离职、调离或重要信息更替时,必须及时注销对应账号,防止账号继续被滥用。
7.账号访问权限:根据岗位职责和工作需要,对不同用户设置不同的访问权限,避免权限过高或过低的情况出现。
8.账号禁止共享:严禁将个人账号供他人使用,账号要与实际使用人一一对应。
9.账号锁定和解锁:密码连续输入错误或长时间不使用,账号应自动锁定,需要通过特定授权的方式解锁。
10.账号使用监管:对账号的使用情况进行监管和审计,发现异常情况应及时处理并产生相关记录。
【制度执行】1.制度宣贯:通过内部培训和相关宣传,向员工普及账号口令管理制度的重要性和相应的责任。
2.制度监督和检查:建立专门的监督机构或指定专人,对制度的执行情况进行监督和检查,并及时处理制度违规行为。
3.制度改进:根据实际情况和信息安全的需要,不断完善和改进账号口令管理制度,提高制度的有效性和适应性。
账号口令管理制度
账号口令管理制度
1为了加强公司网络与信息系统安全,任何公用计算机、网络设备和信息系统
必须设置符合本制度的账号和口令(或密码)。
2对于公用PC机、笔记本电脑,由使用者按照本规定自行设置和管理该设备
的账号和口令(或密码)。
3对于网络设备、服务器和信息系统的管理账号和口令应当由安全专责分配和
管理,安全专责应对分配出去的账号和口令以及变更情况进行加密登记并妥善保存,获得账号和口令的工作人员不得散发和与他人共享。
4对于网络或应用系统用户的个人账号和口令,网络或系统管理员必须按照本
制度要求设置初始口令(或密码),用户必须在开始使用时更改口令(或密码)并妥善保管,不得散发和与他人共享。
5口令字符必须由数字加字母或符号组成。
用户及管理员的口令(或密码)长
度不得少于八个字符,机密级信息的口令(或密码)长度不得少于十个字符。
6口令(或密码)更换周期不得长于一个月;机密级信息的口令(或密码)更
换周期不得长于一周;绝密级信息不得上网。
7口令(或密码)必须加密存储,口令(或密码)存储设备必须与网络物理隔离,确保口令存放载体的物理安全。
8 PKI验证系统必须严格按照保密级系统进行管理。
9本规定自颁布之日起实行,有新的修改版本颁布后,本规定自行终止。
2.5.9-账号口令权限安全管理规定
2.5.9-账号口令权限安全管理规定XXXX信息中心账号口令权限安全管理规定信息中心年月XXXX信息中心账号口令权限安全管理规定注:XXXX代表单位名称,XX代表单位简称,xxxx代表系统名称,**代表部门名称。
第一章总则第一条为加强XXXX信息中心(以下简称“中心”)用户权限控制,实现信息系统访问权限的分配,防止非授权访问,特制订此规定。
第二条本规定适用于所有使用XXXX信息系统的用户以及管理员。
第二章账户管理第三条应用系统账户由应用系统管理员建立;网络系统、安全系统账户由网络管理员建立;主机操作系统、数据库系统账户由系统管理员建立。
新建用户账户应首先由使用人提出申请,经安全管理员审批后,再由相应管理员建立,并按照XX习惯方式设置账户名称。
第四条用户在每个系统中只能拥有一个账户,以便将用户与其操作联系起来,使用户对其操作负责。
第五条用户离开XX或工作职责调整时,管理员要及时取消或者锁定其所有账号,对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。
同时在员工离开XX后,要对其个人计算机中的信息进行处理后,方可交给其他人使用。
第六条对于非XX的用户,需要访问XX资源时,由接待人为其办理审批程序,并由管理员创建guest账户给其使用。
第三章权限管理第七条用户分配的权限以满足所在岗位最低工作要求为准。
第八条管理员在做权限设定时候要明细化,尽可能减少因拥有的权限划分较粗带来的不正当信息访问或误操作等现象的发生。
若某些权限无法细分,则需加强对用户的单独监控。
第九条特权用户必须按授权程序通过安全管理员批准,才可给予相应的权限。
第十条管理员应保留所有特权用户的授权程序与记录。
第十一条管理员对分配的所有权限记录进行维护。
只有符合工作需要的信息访问要求,应用系统管理员才可授权;若不符合授权程序,则不授予权限。
第十二条安全管理员应定期检查用户的账号及其权限,其中重点检查有特权的账号,是否存在特权使用期限过期。
IT管理-帐号口令及权限管理规定
XX公司信息化管理账号口令及权限管理规定修订记录第一节目的第一条为实现对公司信息系统用户账号口令和权限的规范化管理,达到系统对认证、授权和审计的需求,确保各信息系统安全、有序、稳定运行,防范应用风险,特制订本规定。
第二节适用范围第一条本规定适用于公司范围内的各类系统账号口令及权限的管理。
第三节定义第一条一、账号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
二、口令:指系统为了鉴别账号使用人的身份而要求使用人提供的证据。
三、权限:允许用户操作系统中某功能点或功能点集合的权力范围。
第四节角色职责第一条一、信息部作为公司各系统账号口令和权限管理的归口部门,负责各系统内用户权限的命名、审批、配置、监控、撤销等管理工作。
其中二、各业务部门人员根据各自岗位需求向信息部提出用户账号及权限分配需求。
第五节管理规定第一条账号管理一、普通账号管理1.申请人需填写统一的《用户账号权限申请表》,提出用户账号权限新增、变更或撤销申请。
2.申请人所属部门负责人以及信息部信息安全管理员根据其岗位职责,审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必要性和符合职责分工的要求。
3.在受理申请时,信息部系统管理员员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为负责。
一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
4.新员工入职或员工岗位发生变化时,应主动申请对所需系统的账号及权限进行变更。
5.人员离职的情况下,该员工的账户应当被及时的禁用。
离职人员的离职手续办理完毕后,员工所属部门以书面方式通知信息部,由系统管理员实施用户帐户及权限的回收操作。
二、特权账号和超级用户账号管理1.特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。
超级用户账号指系统中最高权限账号,如administrator(或admin)、root等管理员账号。
xx公司帐号、口令及权限管理办法
xx公司账号、口令及权限管理办法修订记录总则第一条策略目标:为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的信息安全水平,保证网络和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为加强公司员工对于系统账号、口令及权限的安全管理,规范公司的账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险。
适用范围第二条本办法适用于本公司,并在全公司范围内给予执行,由基础架构部对该项工作的落实和执行进行监督,并对本办法的有效性进行持续改进。
组织和职责第三条公司员工进行账号申请和审批应由员工所在部门负责管理,部门应根据公司要求和员工岗位创建、变更和撤销员工的账号及权限。
第四条公司信息安全工作组应负责登记、备案用户账号,并定期对用户账号和权限进行监督、检查。
第五条公司各系统负责部门应严格按照审批后的账号、权限维护和管理系统,按要求生成、变更和删除员工账号,并由部门信息安全工作组定期进行检查。
第六条公司基础架构部门负责对办公系统账号进行管理,例如VPN接入账号进行控制和管理。
账号管理第七条公司各系统应根据不同的角色确定用户账号,账号至少应当分为以下角色:(一)系统管理员:负责维护系统的管理员,一般应具有超级用户权限;(二)普通用户:访问系统的普通用户,一般只具有相应访问内容和操作的最小权限;(三)第三方人员:临时或长期进行系统维护的非公司内部人员,应当根据第三方人员的维护范围确定其使用权限;(四)安全审计人员:公司进行安全审计的人员,应能够查看系统的日志和审计信息。
第八条各系统的账号应能标识系统访问的不同角色,应尽量避免使用系统默认账号,账号的设定应易于审计。
第九条各系统管理员应当对系统中存在的账号进行定期审计,系统中不应存在无用或匿名账号。
第十条各部门信息安全组织和公司信息安全办公室应定期检查和审计,内容应包含如下几个方面:(一)员工实际已经离职,但仍在用户列表上;(二)员工虽然仍在移动工作,但不应该授予他使用某个业务系统的权利;(三)用户情况是否和安全部门备案的用户账号权限情况一致;(四)是否存在非法账号或者长期未使用账号;(五)是否存在弱口令账号。
账号使用登记和操作权限管理制度
账号使用登记和操作权限管理制度
第一条凡符合申请的个人必须首先向网络部提出申请,并按要求填报有关资料,经网络部批准后方能成为账户用户。
第二条已建成使用的账户用户,如其因各种原因要求暂停其使用,可以以书面形式向网络部要求暂停、中断其网络用户服务。
暂停使用期限由其所在各办公室根据相关规定及实际情况决定。
第三条任何账户用户享有完全平等的网络接入权。
此权利不因账号建立的早晚、连网的先后而变化。
第四条任何用户不得私自窃取他人账号使用。
第五条服务器系统及网络设备由相关网络技术人员负责管理,其他任何人不得擅自操作网络设备,修改服务器及网络设备设置。
第六条服务器系统、各类网络设备及其口令应予以保护,口令应定期修改,任何非系统管理员严禁使用、猜测、修改各类管理员口令。
第七条对于服务器系统、各类网络设备应定期做好备份工作,确保在系统发生故障时能及时恢复。
第八条对于服务器系统及各类网络设备的设置、修改应当做好登记、备案工作。
第九条网络用户在注册论坛时,需进行实名身份认
证。
第十条使用服务器管理及应用系统的用户,口令应定期修改,严禁使用、猜测他人口令,严禁非法使用各种资源。
第十一条信息发布管理员,密码应定期修改,同时,应严格保护管理员密码,不得随意泄露密码或未经批准将密码告知他人。
2.5-帐号口令及权限管理制度
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
账号权限及密码管理制度
账号权限及密码管理制度账号权限及密码管理制度一、账号权限管理1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。
2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小化原则。
角色分配应与岗位需求吻合,避免功能扩大。
同一账户被赋角色不得存在功能互相矛盾、嵌套情况。
严格控制隐私信息查询、浏览、导出权限。
3.限制超级账号的使用,并做好相应的使用审计工作。
4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用或注销无用账号。
二、密码产品1.使用符合国家密码管理规定的密码技术和产品。
2.密码算法和密钥的使用符合国家密码管理规定。
三、密码的设置1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场设定。
2.服务器的密码须安全管理员在场时要由系统管理员记录封存。
3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。
4.密码要定期更换:一般重要设备密码更换周期不得多于180天;四、密码和口令的保存1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。
2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备案记录交于网络管理中心负责人封存。
3.密码更换后系统管理员需将新密码或口令记录登记封存。
4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查泄密源头修补系统漏洞,将详细情况以书面形式上报上一级领导。
本着“谁使用,谁负责”的原则,信息系统使用人员不得转让或泄露信息系统操作账号和密码,坚决杜绝网络直报系统用户和密码共享(如上传至互联网或随意张贴),避免多人使用一个账号。
互联网平台账号、权限管理制度
一、目的为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。
二、适用范围本制度中系统账号是指包括但不仅限保险经纪网、官网、ERP系统、HR系统、及邮箱的用户账号。
(还应包括公司后期可能其它上线系统的用户账号)。
本规定所指账号管理包括:1、用户账号的申请、审批、分配、删除/禁用等的管理。
2、用户账号密码的管理。
三、职责1.网络管理员:1.1、负责对员工账号的开启和停止。
1.2、负责对员工账号权限的分配。
1.3、负责建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
2.人事部2.1、负责新员工的邮箱账号、ERP系统账号、HR系统账号的开通申请。
2.2、负责员工部门调整、权限调整涉及的账号变更申请。
3.各部门:3.1、负责所使用的信息化硬件与软件的正确使用、维护与保管。
四、普通账号管理1.申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、关闭等申请。
2.在受理申请时,权限管理人员根据《岗位权限对照表》配置权限,给用户分配独有的用户账号或关闭用户账号权限,以使用户对其行为负责。
一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的账号。
3.新员工入职或员工岗位发生变化时,应主动申请所需系统的账号。
4.人员离职的情况下,网络中心应当及时关闭此用户帐号或修改用户密码,并根据实际情况回收或注销此账号,回收账号应由网络部与临时待岗人员办理相关领用手续。
5.网络中心负责建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。
五、用户账号及权限审阅、用户账号口令管理。
1.技术中心指定专人负责每季度对系统账号及权限进行审阅,并填写《账号/权限清理清单》第1页,共6页(附表四)。
2. 如果离职人员是系统管理员,则及时更改超级用户口令。
3. 用户账号口令发放要严格保密,用户必须及时更改初始口令。
4. 用户账号口令最小长度为6位,并具有一定复杂度(至少包含英文字母加数字)。
账号密码及权限管理制度
XXXX公司账号密码及权限管理制度1总则1.1 目的为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。
1.2 范围所有使用本公司网络信息系统的人员。
1.3 职责公司所有使用信息系统的人员均需遵守本管理办法规定。
行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。
1.4 术语和定义内部网络:是指在本公司内部所有客户端等组成的局域网。
包括但不限于OA 系统以及数据库系统等。
2控制内容1.1 用户注册⏹新用户必须加入域,否则不允许入网。
⏹域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名原则为职工工号。
⏹一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对其操作行为负责。
⏹用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规避风险。
⏹系统管理员应定期检查并取消多余的用户账号。
1.2 权限管理⏹行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申请是否与信息安全策略相违背。
⏹特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权限。
⏹系统管理员应保留所有特权用户的授权程序与记录。
⏹权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信息访问或误操作等现象的发生。
若某些权限无法细分,则需加强对用户的单独监控。
⏹只有工作需要的信息访问要求,才可授权。
每个人分配的权限以完成本岗位工作最低标准为准。
⏹系统管理员对分配的所有权限记录进行维护。
不符合授权程序,则不授予权限。
⏹对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待者申请为其办理授审批程序。
1.3 密码的选择密码的选择应参考以下规则:⏹最少要有8个字符,必须由字母、数字、大小写以及特殊字符组成。
⏹不要使用别人通过个人相关信息(如姓名、电话号码、生日等)容易猜出或破解的密码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。
特别是snmp口令的缺省配置常常成为一个严重的问题。
这些问题有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2 目标本管理办法的主要内容包括:●定义帐号、口令和权限管理的不同保障级别;●明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号管理的流程:包括帐号的申请、变更、注销和审计;●规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口令的要求,提供口令生成的指南;●确定权限分析和管理的基本原则和规范;●确定审计需要完成的各项工作;●给出流程中需要的各种表格。
1.3 范围●网络和业务系统范围适用范围包括CMNET、网管、MDCN、BOSS、OA/MIS等西藏电信全网所有计算机信息系统和IP网络。
●帐号、口令和权限管理包括不同的层次范围帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。
1.4 要求●本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一级别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。
●评估报告的内容应该包括:⏹所有主机资产列表⏹每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别⏹根据第三、四五章的要求,明确每一级别需要遵守的规范细节●评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安全办公室。
第二章帐号、口令和权限管理的级别2.1 关于级别为了实现西藏电信所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。
通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
2.2 如何确定级别第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。
由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。
风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。
风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。
当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。
另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。
请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
2.3 口令、帐号和权限管理级别的定义本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。
2.3.1等级1 –最低保障描述在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:●给电信、客户或者第三方带来最小的不便●不会给电信、客户或者第三方带来直接的经济损失●不会给电信、客户或者第三方带来不快●不会给电信、客户或者第三方带来名誉或者地位的损失●不会破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的损失。
●未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软件代码泄密的问题的情况下)2.3.2等级2-低保障级别描述通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。
这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较小的不便●给电信、客户或者第三方带来较小直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较小的不快●会给电信、客户或者第三方带来较小名誉或者地位的损失●存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公司常用信息例如通讯录被泄漏。
●一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。
该帐号失窃可能导致用户信息的泄漏。
2.3.3等级3 –坚固保障级别描述通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较大的不便●给电信、客户或者第三方带来较大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较大的不快●会给电信、客户或者第三方带来较大名誉或者地位的损失●存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●存在较大风险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一般的主机操作系统、数据库、和路由器的高权限帐号,例如root、administrator、dba等。
●业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。
2.3.4等级4 –最高保障等级描述等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能导致:●给所有电信、客户或者第三方带来巨大的不便●给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来极大的不快●会给电信、客户或者第三方带来巨大名誉或者地位的损失●破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●关键系统,例如计费系统数据库主机的操作系统和数据库。
●用于存储公司最高商业机密或密级为绝密的系统的认证。
第三章帐号管理3.1 职责定义●员工所在班组:负责发起员工帐号的创建、变更和撤消申请;●员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负责帐号的具体生成、变更和删除,并进行定期审计;●员工所在部门安全管理人员:负责审批、登记备案用户权限。
3.2 口令应该以用户角色定义电信的帐号应基于统一的角色进行管理。
帐号的角色可以从电信业务角度分或从IT管理角度分。
如果从IT管理角度可以分为以下部分。
3.2.1系统管理员/超级用户系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。