用户访问和密码管理规范制度

XXX用户访问和密码管理规范

概要：

透明的、全面的、有效的和可以审计的用户身份管理流程是确保信息保密性、完整性和可用性的先决条件。通过本规范去保护并阻止企业信息被内部或外部人员无意识的揭露、变更、删除和错用。

本规范是用户访问管理制度中提到的用户访问管理内容的详细的要求保证，是一系列实施步骤地描述：

●唯一的用户身份

●帐号和访问权限的提供和取消流程

●基本访问角色的管理和使用

●特殊的访问权限授权和约束

●监控

●密码管理方法

目录

1.0 目标

2.0 范围

3.0 用户访问管理

3.1 用户注册

3.2 分配访问

3.3 访问条件

4.0 密码管理

4.1 密码的复杂性和变更

4.2 密码的保密性

4.3 密码初始化

4.4 忘记密码或帐号被锁

4.5 访问用户数据或帐号

4.6 密码管理追溯

4.7 密码抑制

4.8 单点登陆

4.9 强认证

5.0 角色和职责

5.1 监督者

5.2 系统管理员

1.0 目标

信息安全的目标是保护计算机信息和资源的保密性、完整性和可用性。达到这个目标的一种方式就是实施鉴定、证明和授权的理念。鉴定通常是指唯一的用户标识符，当一个用户访问计算机系统时，根据他的行为而被给予相应的职责。证明是指证明拥有这个访问账号的人是真实存在的。一个或多个授权被定义，并给予用户在系统中执行任务的权利。

作为XXX信息安全制度框架中的一部分，这个规范将帮助建立并维护信息安全制度。保护信息系统免受非法的访问，并定义规则去管理用户访问和密码管理。

2.0 范围

XXX所有IT系统及IT基础架构应用。

3.0 用户访问管理

用户访问管理必须被建立以防止未授权的和不合适的信息系统访问。管理的过程必须覆盖用户访问过程的所有阶段：

●新用户的初始注册；

●由于工作或职责的变更而改变用户的权限；

●用户不再需要访问信息系统和服务时，需要删除用户的权限。

用户访问管理由下面内容组成:

用户类型包括：雇员、第三方人员、临时员工和其他标准（例如业务角色，其需要管理员访问权限，需要远程访问的人），由于工作职责需要访问指定信息的所有用户。

针对用户账号分配恰当的访问权限，特别基于预先预定的角色。在能满足用户特定工作需要的同时，仅分配最小级别的权限给用户。

对管理员的管理和执行提供了权限的保证性和跟踪性。

单一的身份管理是一种建议被考虑的方法。当执行用户访问管理流程时，单一的身份管理能够通过存储每个用户身份信息在同一个目录而提高授权流程效率。用户管理能够通过企业服务目录实现。

下面小节详细的描述了用户访问管理组件。

3.1 用户注册

标准用户通过相应申请流程进行注册。对IT系统、应用程序和IT基础设施组件的授权必须恰当，有些访问（如局域网或电子邮箱账号）可以被分配给每个员工，有些访问（如ERP）根据需要授权访问。公司员工在请求访问之前，需要了解用户注册和申请流程。

永久或临时访问请求过程与标准用户申请流程一致。

在XXX，为了确保正确识别和问责制，每个用户将被分配一个唯一的用户账号。

3.2 分配访问

3.2.1 一般要求

用户主管需要对评估和批准用户的文件访问要求负责。这保证了访问控

制与用户的目前的责任范围相一致，并没有妥协的职责分工（见节3.2.6）。

如果技术上可行，对于账户的管理可以实行自动工作流程以减少管理开销。分配/取消分配的访问权限，必须适当监控（生成的日志文件，在特殊事件时自动通知，日志文件分析），以确保可追溯性和审计性，保留期必须定义，根据公司和考虑相关法律的要求。

特殊规定和额外的授权可能需要的，如下所述的某些类型的用户帐号。

3.2.2 特权用户

某些用户ID（如超级用户，超级管理员）可能需要超出了大多数用户的范围的特殊访问。这些“特权账号”必须被分配在一个非常有限的“需要知道”的基础上，仅限于直接负责系统、网络、应用程序或安全管理审计的专职人员。

●只要有可能，系统应该尝试使用其他账号替代特权账号；

●分配的密码应该比标准用户更频繁的更改，例如30天；

●程序或系统的特权访问的批准是强制性的；

●以防组织职责没有分开，特权必须分配给不同用户账号

而不是给正常业务使用的用户账号,特权账户必须仅用

于特殊的访问需要；

●在特定的IT系统，应用程序或IT基础设施组件的特权用户的

数量必须限制到最低程度。

根据特权访问权限进行操作，特别是关于系统或应用程序

的安装和配置必须经系统或应用程序所有者的授权。

根据访问权限执行特权操作必须进行相应的日志记录，以确保可追溯性。3.2.3 第三方人员

第三方人员的用户注册过程必须遵循标准用户注册流程。

第三方人员的用户账号和相应的访问权限必须始终提供有限制的验证周期，通常对应的合约期。第三方需要为更新和改变的访问权限负责。在长期合同的情况下，必须重新验证第三方的访问权限，至少每年两次。

3.2.4 远程用户

当离开公司（如在路上或在家中），标准用户和第三方人员经过适当批准的可以远程访问公司网络。访问权限仍然是基于“需要有”的基础进行分配。

用户账号的远程访问权限除了支持和维护目的，也可以落实到业务需求。

远程接入必须进行强认证。

3.2.5 功能和共享账号

使用相同的账号交互使用是被禁止的，为了确保不同身份对应用程序和IT

系统操作的可证性。

功能性账号必须避免，除非技术上必要（例如：应用程序之间的通信）。这样的帐号（例如，后台处理使用）必须以系统用户定义，进行必要的授权。根据需要特定的角色建议建立。在特殊情况下，可能存在为这些功能性帐号广泛的授权的可能，这种做法必须被应用程序所有者同意批准。同时须对这些功能性帐号定义责任人，即使不使用交互式登录。

由于具体技术的限制/要求、或合理的商业/业务要求的其他例外情况，必

须由相关安全负责人、或公司的所有者、或应用程序所有者，或由获得相应授权的负责人授权。至少可确保跟踪性和审计性，通过（如值班，操作日志）相应措施。

3.2.6 紧急用户

过度授权（紧急用户）的普通账号，和第三方的标准用户必须加以保护，

防止未经授权的使用。必须定义一个过程使得在特殊紧急情况下这类账号的使用。紧急账号只能授予可信人员。