網(wǎng)絡信息訪問控制制度

　10.1 訪問控制要求

　10.1.1

　訪問控制管理辦法

　 第 165 條

　所有系統(tǒng)和應用都必須有訪問控制列表，由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權限以及訪問控制機制。訪問控制列表應該進行周期性的檢查以保證授權正確。

　第 166 條

　訪問權限必須根據(jù)工作完成的最少需求而定，不能超過其工作實際所需的范圍。必須按照“除非明確允許，否則一律禁止”的原則來設臵訪問控制規(guī)則。

　第 167 條

　所有訪問控制必須建立相應的審批程序，以確保訪問授權的合理性和有效性。必須禁用或關閉任何具有越權訪問的功能。員工的職責發(fā)生變化或離職時，其訪問權限必須作相應調(diào)整或撤銷。

　 第 168 條

　系統(tǒng)自帶的默認帳號應該禁用或配臵密碼進行保護。

　10.2 用戶訪問管理

　10.2.1 用戶注冊

　第 169 條

　開放給用戶訪問的信息系統(tǒng)，必須建立正式的用戶注冊和注銷程序。

　 第 170 條

　所有用戶的注冊都必須通過用戶注冊程序進行申請，并得到部門領導或其委托者的批準。系統(tǒng)管理者對用戶具有最終的授權決定權。必須保留和維護所有用戶的注冊信息的正式用戶記錄。

　第 171 條

　負責用戶注冊的管理員必須驗證用戶注冊和注銷請求的合法性。

　第 172 條

　每個用戶必須被分配唯一的帳號，不允許共享用戶帳號。用戶一旦發(fā)現(xiàn)其帳號異常，必須立即通知負責用戶注冊的管理員進行處理。如果用戶帳號連續(xù) 120 天沒有使用，必須禁用該帳號。

　第 173 條

　帳號名不能透露用戶的權限信息，比如管理員帳號不能帶有 Admin 字樣。

　 10.2.2 特權管理

　第 174 條

　必須建立正式的授權程序，以確保授權得到嚴格的評估和審批，并保證沒有與系統(tǒng)和應用的安全相違背。

　第 175 條

　必須建立授權清單，記錄和維護已分配的特權和其相對的用戶信息。

　10.2.3 用戶密碼管理

　 第 176 條

　只有在用戶身份被確認后，才允許對忘記密碼的用戶提供臨時密碼。

　 第 177 條

　系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。

　第 178 條

　密碼必須保密，不得與他人分享、放在源代碼內(nèi)或寫在沒有保護的介質(zhì)上（如紙張）。

　 第 179 條

　必須強制用戶在第一次登錄時修改密碼。

　第 180 條

　系統(tǒng)應該設臵定期的密碼修改管理辦法，并限制至少最近 3 個舊密碼的重用。

　 第 181 條

　系統(tǒng)必須啟用登錄失敗的限制功能，如果連續(xù) 10 次登錄失敗，系統(tǒng)應該自動鎖定相關帳號。

　 第 182 條

　在通過電話傳送密碼以前必須確認對方的身份。

　第 183 條

　禁止帳號和密碼被一起傳送，例如用同一封郵件傳送帳號和密碼。

　第 184 條

　所有系統(tǒng)都應該建立應急帳號，應急帳號資料必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。必須記錄所有應急帳號的使用情況，包括相關的人、時間和原因等。應急帳號的密碼在使用后必須立刻修改，然后把新的密碼裝到信封里。

　 10.2.4 用戶訪問權限的檢查

　第 185 條

　必須半年對注冊用戶的訪問權限和系統(tǒng)特權進行一次復查，關鍵系統(tǒng)必須每三個月復查一次。此過程應該包括但不限于：

　1)確認用戶權限的有效性和合理性

　 2)找出所有異常帳號（如長時間未使用和已離職人員的帳號等），進行分析并采取相應措施

　 第 186 條

　必須對可疑的或不明確的訪問權限進行調(diào)查，并作為安全事故進行報告。

　10.3 用戶的責任

　10.3.1 密碼的使用

　第 187 條

　用戶必須對其帳號的安全和使用負責，無論在何種情況下，用戶都不應該泄漏其密碼。用戶不應該使用紙張或未受保護的電子形式保存密碼。用戶一旦懷疑其帳號密碼可能受到損害，應該及時修改密碼。

　第 188 條

　用戶在第一次使用帳號時，必須修改密碼。用戶必須至少每半年修改一次密碼。特權帳號的密碼必須至少每 3 個月修改一

　次。用于系統(tǒng)之間認證帳號的密碼必須至少每半年修改一次。

　第 189 條

　除非有技術限制，密碼應該至少包含 8 個字符。此 8個字符必須包含數(shù)字和字母。

　第 190 條

　用戶不應使用容易被猜測的密碼，例如字典中的單詞、生日和電話號碼等。前 3 次用過的密碼不應該被重復使用。

　 第 191 條

　密碼不應該被保存于自動登錄過程中，例如 IE 中的帳號自動保存。

　10.3.2

　清除桌面及屏幕管理辦法

　第 192 條

　所有服務器和個人電腦都必須啟用帶有口令保護的屏幕保護程序，激活等待時間應少于 10 分鐘。

　 第 193 條

　無人使用時，服務器、個人電腦和復印機等必須保持注銷狀態(tài)。

　第 194 條

　不能將機密和絕密信息資料遺留在桌面上，而應該根據(jù)信息的保密等級進行處理。

　 第 195 條

　必須為信件收發(fā)區(qū)域以及無人看管的傳真機設臵適當?shù)谋Ｗo措施。

　 第 196 條

　打印完敏感信息之后，必須確認信息已從打印隊列中清除。

　10.4 網(wǎng)絡訪問控制

　10.4.1

　網(wǎng)絡服務使用管理辦法

　 第 197 條

　必須建立授權程序來管理網(wǎng)絡服務的使用。

　第 198 條

　應遵循業(yè)務要求中所說明的訪問控制管理辦法來限制訪問。

　 第 199 條

　所有系統(tǒng)都必須設臵訪問控制機制來防止未經(jīng)授權的訪問。

　10.4.2 外部連接的用戶認證

　第 200 條

　對公司系統(tǒng)進行遠程訪問，必須建立適當?shù)恼J證機制，采用的機制應通過風險評估來決定。

　 第 201 條

　通過撥號進行遠程訪問必須經(jīng)過正式批準，并做好相關記錄。

　第 202 條

　用于遠程訪問的調(diào)制解調(diào)器平時必須保持關閉，只有在使用的時候才能打開。

　第 203 條

　在公司外部進行遠程辦公，必須使用 VPN 進行連接。

　 第 204 條

　與外部合作伙伴進行信息交換，應該使用專線進行連

　接。

　 10.4.3 遠程診斷和配置端口的保護

　第 205 條

　在不使用的時候，診斷端口應該被禁用或通過恰當?shù)陌踩珯C制進行保護。

　 第 206 條

　如果第三方需要訪問診斷端口，必須簽訂正式的協(xié)議。

　 第 207 條

　對遠程診斷端口的訪問，必須建立正式的注冊審批程序。訪問者必須只被授予最小的訪問權限來完成診斷任務，并且必須得到認證。

　第 208 條

　所有遠程的診斷訪問必須事先申請并獲得批準。

　第 209 條

　在遠程診斷會話期間，必須記錄所有執(zhí)行的活動信息，包括時間、執(zhí)行者、執(zhí)行動作和結果等。這些記錄應該由系統(tǒng)管理員進行檢查以確保訪問者只執(zhí)行了被授權的活動。

　10.4.4 網(wǎng)絡的劃分

　第 210 條

　必須將網(wǎng)絡劃分為不同的區(qū)域，以提供不同級別的安全保護，滿足不同服務的安全需求。

　 第 211 條

　對于重要的網(wǎng)絡區(qū)域必須設臵訪問控制以隔離其他網(wǎng)絡區(qū)域。

　 第 212 條

　應該使用風險評估來決定每個區(qū)域的安全級別。

　 第 213 條

　公司外部和內(nèi)網(wǎng)之間應該建立一個 DMZ。

　 10.4.5 網(wǎng)絡連接的控制

　 第 214 條

　公司以外的網(wǎng)絡連接，在建立連接前必須對外部的接入環(huán)境進行評估，滿足公司管理辦法后才能接入。

　 第 215 條

　所有網(wǎng)絡端口必須進行限制，以防止非授權的電腦接入公司網(wǎng)絡。限制要求至少應包括：

　 1)所有的端口默認都是關閉的，只有在經(jīng)過正式批準后才能開通；

　2)端口的關閉必須在員工離職和崗位變動流程中體現(xiàn)；

　 3)臨時使用的端口或位臵變動，員工必須主動申請停用原有端口，開通新端口前必須先關閉原有端口。

　 第 216 條

　必須將網(wǎng)絡接口和接入設備綁定，如果需要更換接入的設備，必須經(jīng)過部門經(jīng)理的審批。

　 第 217 條

　所有接入公司網(wǎng)絡的主機必須經(jīng)過公司的標準化安裝。

　第 218 條

　公司必須設立一個單獨的網(wǎng)絡區(qū)域供非公司標準化安裝的電腦接入，此區(qū)域在網(wǎng)絡上是完全封閉、獨立的。

　10.4.6 網(wǎng)絡路由的控制

　第 219 條

　路由訪問控制列表必須基于適當?shù)脑吹刂泛湍繕说刂窓z查機制。所有對外提供網(wǎng)絡服務的網(wǎng)絡地址必須進行地址轉換。

　第 220 條

　所有重要服務器的管理端口必須通過指定的路徑進行訪問。

　10.5 操作系統(tǒng)訪問控制

　10.5.1 用戶識別和認證

　第 221 條

　所有用戶都應該被識別和認證。在每個系統(tǒng)上創(chuàng)建實名用戶，系統(tǒng)登陸必須使用實名用戶。如果因特殊原因不能使用實名用戶登陸，必須經(jīng)過安全管理委員會同意。

　第 222 條

　用戶認證失敗信息中，應該不顯示具體的失敗原因。例如不能顯示“帳號不存在”或“密碼不正確”。

　 第 223 條

　如果由于業(yè)務要求需要使用共享用戶帳號，那么此共享帳號應該得到正式的批準并明文歸檔。

　 第 224 條

　系統(tǒng)管理員和應用管理員必須使用不同的帳號。

　 第 225 條

　所有使用帳號密碼進行認證的系統(tǒng)，在帳號密碼傳送過程中，應該采用加密保護措施防止泄漏。

　10.5.2 密碼管理系統(tǒng)

　第 226 條

　系統(tǒng)應該強制用戶在第一次成功登錄后修改初始密碼。修改密碼時，系統(tǒng)必須提示用戶確認新密碼，以防止輸入錯誤。不能明文顯示輸入的密碼。

　第 227 條

　密碼文件應該與應用系統(tǒng)數(shù)據(jù)分開存儲。密碼處理時必須使用單向加密。當密碼接近失效期或者已經(jīng)過期時，系統(tǒng)應該提示或強制用戶修改密碼。

　第 228 條

　所有默認的密碼都應當在軟件安裝后立即更改。系統(tǒng)應該允許用戶修改自己的密碼。

　 第 229 條

　系統(tǒng)的密碼管理辦法必須滿足如下要求：

　 1)密碼長度至少 8 個字符；

　2)啟用密碼復雜度要求，至少包括大寫字母、小寫字母、數(shù)字、特殊字符中的三種；

　 3)管理員帳號密碼有效期是 90 天；

　 4)重要系統(tǒng)的用戶帳號密碼有效期是 90 天；

　 5)非重要系統(tǒng)的普通帳號密碼有效期是 180 天；

　 6)記錄的歷史密碼次數(shù)不少于 5 個；

　 7)帳號密碼驗證失敗鎖定閥值是 10 次；

　 8)帳號被鎖定后必須由管理員解鎖。

　 9)如果因系統(tǒng)自身的功能限制不能滿足上述管理辦法的要求，其設臵的密碼管理辦法必須經(jīng)信息安全管理委員會審核同意。

　 10.5.3 系統(tǒng)工具的使用

　第 230 條

　所有系統(tǒng)工具都應當被識別，不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。

　 10.5.4 終端超時終止

　第 231 條

　連接到服務器的所有終端，在 30 分鐘內(nèi)沒有活動，都應該被終止連接。

　10.5.5 連接時間的限制

　第 232 條

　對關鍵的信息系統(tǒng)（如前臵機、合作伙伴主機等）提供附加的安全保護，包括但不限于：

　 1）只允許在之前協(xié)商好的時間段內(nèi)訪問（如：每天 6 點—6 點半）

　2）只允許在正常的工作時間內(nèi)訪問（如：每周一至周五 9 點—17點）

　 3）遠程診斷 modem 在不使用時必須處于關閉狀態(tài)，在使用后必須立即關閉。

　 10.6 應用系統(tǒng)訪問控制

　 10.6.1 信息訪問限制

　第 233 條

　應用系統(tǒng)應該控制用戶的訪問權限，如讀寫權限、刪除權限以及執(zhí)行權限。

　第 234 條

　必須保證處理敏感信息的應用系統(tǒng)僅輸出必需的信息到授權的終端，同時應對這些輸出功能進行定期檢查，保證不存在輸出多余的信息。

　10.6.2 敏感系統(tǒng)的隔離

　 第 235 條

　應當根據(jù)應用系統(tǒng)的敏感程度對系統(tǒng)進行適當?shù)母綦x保護，比如：

　 1)運行于指定的計算機上

　2)僅與信任的應用系統(tǒng)共享資源

　 3）敏感系統(tǒng)的各個部分都應當以適當?shù)姆绞竭M行保護。

　10.7 移動計算和遠程辦公

　 10.7.1 移動計算

　 第 236 條

　移動設備（包括個人手持設備、筆記本電腦）和家庭

　辦公個人電腦都應該受到保護以防未授權訪問。

　 第 237 條

　進行移動和家庭辦公的員工，應該對其使用的設備做好物理保護，防止丟失、偷竊和破壞等。存放在移動設備中的敏感信息必須做好保護，比如采用加密以防泄漏。

　 第 238 條

　移動設備用戶必須做好防病毒工作。移動設備中的公司信息應該做好備份工作，防止丟失。

　10.7.2 遠程辦公

　第 239 條

　必須建立遠程辦公的使用標準和授權程序。

　 第 240 條

　遠程辦公的訪問權限必須基于最小權限的原則進行分配，授權內(nèi)容應該包括：

　 1)允許訪問的系統(tǒng)和服務

　 2)允許進行的工作

　 3)訪問時段

　第 241 條

　遠程辦公的訪問控制應該采用雙重認證的方式。遠程辦公的信息在傳輸過程中必須加密。

　 第 242 條

　員工離職或不再使用遠程辦公時，必須取消其相關的遠程辦公訪問權限。必須定期對遠程辦公實施審計和安全監(jiān)控。

相關熱詞搜索：訪問控制 制度 網(wǎng)絡