用户访问控制程序
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.2.1.2OA工作流程单应对以下内容予以明确:
a)权限申请人员;
b)访问权限的级别和范围;
c)申请理由;
d)有效期。
5.2.2权限变更
5.2.2.1对发生以下情况对其访问权应从系统中予以注销:
a)内部用户雇佣合同终止时;
b)内部用户因岗位调整不再需要此项访问服务时;
c)第三方访问合同终止时;
d)其它情况必须注销时。
b)当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。
5.3.2口令策略
所有计算机用户在使用口令时应遵循以下原则:
a)所有活动帐号都必须有口令保护。
b)所有系统初始默认口令必须更改。
c)口令输入时不应将口令的明文显示出来,应该采取掩盖措施。
d)口令必须至少要含有8个字符,口令必须符合以下要求:
1.范围
本标准规定了本公司逻辑访问的管理。
本标准适用作系统、数据库、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。
2.规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
5.2.3.Biblioteka Baidu特权授权管理部门每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知访问授权实施部门予以注销。
5.2.3.4授权管理部门应对访问权限的检查结果予以记录。
5.3用户口令管理
5.3.1各系统访问授权实施部门管理员应按以下过程对被授权访问该系统的用户口令予以分配:
a)在生成帐号时,系统管理员应该分配给合法用户一个唯一的安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;
v)系统功能允许情况下,用户在空闲状态达8分钟后应该自动退出,会自动锁屏。
w)一般用户口令两年变更一次;对于用户口令的变更会影响应用程序运行的情况,该用户的口令可以在适当的时机予以变更。
x)口令应妥善保存,不要共享个人用户口令。
5.4第三方访问
5.4.1第三方访问是指本公司以外其他组织/人员对本公司的信息系统的逻辑访问。
相关方服务管理程序
计算机管理程序
3.术语和定义
无
4.职责和权限
4.1集团信息技术部(简称集团IT部)
负责企业网、互联网访问权限的分配、审批,以及信息系统的服务器操作系统用户、数据库用户、应用管理员用户的开通。
4.2其他部门
各部门根据实际需要向综合办公室提交账号及访问权限的申请,协助综合办公室人员对用户账号及权限进行定期复查。
5.2.2.2由于用户变换岗位等原因造成访问权限变更时,用户应重新填写“IT账号和权限申请流程”,按照本标准5.2.1的要求履行授权手续。
5.2.2.3人力资源部应将人事变动情况及时通知各部门,访问授权实施部门应进行权限设置更改。
5.2.2.4特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门领导批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。
1.不能包含用户名和用户名中超过2个连续的字符
2.密码必须是8个字符及以上
3.新密码不能和上一次密码相同
4.符合以下4种类型中的3种
4.1英文大写字母(A-Z)
4.2英文小写字母(a-z)
4.3数字(0-9)
4.4特殊字符(!@#$%等等)i)
e)口令必须是保密的,不能共享、含在程序中或写在纸上。
j)口令不能通过明文电子邮件传输。
p)可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。
q)任何时候有迹象表明系统或口令可能受到损害,就要更换口令。
r)过期的口令无法使用,只有管理员才能恢复。
s)如果root帐号的口令被攻破或泄漏,所有的口令都必须修改。
t)用户获取口令时必须用适当的方式证明自己的身份。
u)系统功能允许情况下,对口令的使用、成功登录日志、失败登录日志(包括日期、时间、用户名或登录名)要经常进行审计。
5.1.5用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。
5.1.6用户不得私自撤除或更换网络设备。
5.1.7应限制对系统实用程序的使用。
a)系统实用工具程序仅控制限于「特权帐户」使用;
b)将系统实用工具和应用软件分开;
c)限制系统实用工具的可用性,例如,在授权变更的时间内;实用工具程序仅控制限于「特权帐户」使用。「特权帐户」例如:主机系统的管理员,Windows系统的Adminisrator,数据库软件,或者路由器、交换机的“enable”口令,都可以作改变配置、安装软件、不受一般系统安全的限制;
5.2.3用户访问权的维护和评审
5.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施部门应进行记录,填写“IT账号和权限申请流程”包括:
a)权限开放/变更/注销时间;
b)变化后权限内容;
c)开放权限的管理员。
5.2.3.2授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施部门予以调整。
k)口令不能通过语音或移动电话告知。
l)口令不能以明文形式保存在任何电子介质中。
m)口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。
n)用户应该在不同的系统中使用不同的口令。
o)在UNIX系统中,口令不应存放在/etc/passwd文件中,而只应存放在只有root用户和系统自身有权访问的shadow文件中。
5.活动描述
5.1访问控制策略
5.1.1本公司内部可公开的信息不作特别限定,允许所有用户访问。
5.1.2本公司内部部分公开信息,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问。
5.1.3用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
5.1.4远程用户应该通过本公司批准的连接方式。
d)系统实用工具程序应安装在单独的地方,其访问限制权与其它应用程序区分开。
5.2用户访问管理
5.2.1权限申请
5.2.1.1所有用户,包括第三方人员均需要履行访问授权手续(针对信息系统审核的访问也应提前申请)。授权流程如下:
申请部门申请:申请部门根据业务及管理工作的需要,确定需要访问的系统、访问权限和要申请的项目,在OA的工作流程单中,对应的项目中填写申请内容进行申请。
a)权限申请人员;
b)访问权限的级别和范围;
c)申请理由;
d)有效期。
5.2.2权限变更
5.2.2.1对发生以下情况对其访问权应从系统中予以注销:
a)内部用户雇佣合同终止时;
b)内部用户因岗位调整不再需要此项访问服务时;
c)第三方访问合同终止时;
d)其它情况必须注销时。
b)当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。
5.3.2口令策略
所有计算机用户在使用口令时应遵循以下原则:
a)所有活动帐号都必须有口令保护。
b)所有系统初始默认口令必须更改。
c)口令输入时不应将口令的明文显示出来,应该采取掩盖措施。
d)口令必须至少要含有8个字符,口令必须符合以下要求:
1.范围
本标准规定了本公司逻辑访问的管理。
本标准适用作系统、数据库、各应用系统的逻辑访问,物理访问按《安全区域管理程序》进行。
2.规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
5.2.3.Biblioteka Baidu特权授权管理部门每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知访问授权实施部门予以注销。
5.2.3.4授权管理部门应对访问权限的检查结果予以记录。
5.3用户口令管理
5.3.1各系统访问授权实施部门管理员应按以下过程对被授权访问该系统的用户口令予以分配:
a)在生成帐号时,系统管理员应该分配给合法用户一个唯一的安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;
v)系统功能允许情况下,用户在空闲状态达8分钟后应该自动退出,会自动锁屏。
w)一般用户口令两年变更一次;对于用户口令的变更会影响应用程序运行的情况,该用户的口令可以在适当的时机予以变更。
x)口令应妥善保存,不要共享个人用户口令。
5.4第三方访问
5.4.1第三方访问是指本公司以外其他组织/人员对本公司的信息系统的逻辑访问。
相关方服务管理程序
计算机管理程序
3.术语和定义
无
4.职责和权限
4.1集团信息技术部(简称集团IT部)
负责企业网、互联网访问权限的分配、审批,以及信息系统的服务器操作系统用户、数据库用户、应用管理员用户的开通。
4.2其他部门
各部门根据实际需要向综合办公室提交账号及访问权限的申请,协助综合办公室人员对用户账号及权限进行定期复查。
5.2.2.2由于用户变换岗位等原因造成访问权限变更时,用户应重新填写“IT账号和权限申请流程”,按照本标准5.2.1的要求履行授权手续。
5.2.2.3人力资源部应将人事变动情况及时通知各部门,访问授权实施部门应进行权限设置更改。
5.2.2.4特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门领导批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。
1.不能包含用户名和用户名中超过2个连续的字符
2.密码必须是8个字符及以上
3.新密码不能和上一次密码相同
4.符合以下4种类型中的3种
4.1英文大写字母(A-Z)
4.2英文小写字母(a-z)
4.3数字(0-9)
4.4特殊字符(!@#$%等等)i)
e)口令必须是保密的,不能共享、含在程序中或写在纸上。
j)口令不能通过明文电子邮件传输。
p)可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。
q)任何时候有迹象表明系统或口令可能受到损害,就要更换口令。
r)过期的口令无法使用,只有管理员才能恢复。
s)如果root帐号的口令被攻破或泄漏,所有的口令都必须修改。
t)用户获取口令时必须用适当的方式证明自己的身份。
u)系统功能允许情况下,对口令的使用、成功登录日志、失败登录日志(包括日期、时间、用户名或登录名)要经常进行审计。
5.1.5用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等。
5.1.6用户不得私自撤除或更换网络设备。
5.1.7应限制对系统实用程序的使用。
a)系统实用工具程序仅控制限于「特权帐户」使用;
b)将系统实用工具和应用软件分开;
c)限制系统实用工具的可用性,例如,在授权变更的时间内;实用工具程序仅控制限于「特权帐户」使用。「特权帐户」例如:主机系统的管理员,Windows系统的Adminisrator,数据库软件,或者路由器、交换机的“enable”口令,都可以作改变配置、安装软件、不受一般系统安全的限制;
5.2.3用户访问权的维护和评审
5.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施部门应进行记录,填写“IT账号和权限申请流程”包括:
a)权限开放/变更/注销时间;
b)变化后权限内容;
c)开放权限的管理员。
5.2.3.2授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施部门予以调整。
k)口令不能通过语音或移动电话告知。
l)口令不能以明文形式保存在任何电子介质中。
m)口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。
n)用户应该在不同的系统中使用不同的口令。
o)在UNIX系统中,口令不应存放在/etc/passwd文件中,而只应存放在只有root用户和系统自身有权访问的shadow文件中。
5.活动描述
5.1访问控制策略
5.1.1本公司内部可公开的信息不作特别限定,允许所有用户访问。
5.1.2本公司内部部分公开信息,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问。
5.1.3用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
5.1.4远程用户应该通过本公司批准的连接方式。
d)系统实用工具程序应安装在单独的地方,其访问限制权与其它应用程序区分开。
5.2用户访问管理
5.2.1权限申请
5.2.1.1所有用户,包括第三方人员均需要履行访问授权手续(针对信息系统审核的访问也应提前申请)。授权流程如下:
申请部门申请:申请部门根据业务及管理工作的需要,确定需要访问的系统、访问权限和要申请的项目,在OA的工作流程单中,对应的项目中填写申请内容进行申请。