网络信息访问控制制度

　网络信息访问控制制度

　10.1 访问控制要求

　10.1.1

　访问控制管理办法

　 第 165 条

　所有系统和应用都必须有访问控制列表，由系统管理者明确定义访问控制规则、用户和用户组的权限以及访问控制机制。访问控制列表应该进行周期性的检查以保证授权正确。

　第 166 条

　访问权限必须根据工作完成的最少需求而定，不能超过其工作实际所需的范围。必须按照“除非明确允许，否则一律禁止”的原则来设臵访问控制规则。

　第 167 条

　所有访问控制必须建立相应的审批程序，以确保访问授权的合理性和有效性。必须禁用或关闭任何具有越权访问的功能。员工的职责发生变化或离职时，其访问权限必须作相应调整或撤销。

　 第 168 条

　系统自带的默认帐号应该禁用或配臵密码进行保护。

　10.2 用户访问管理

　10.2.1 用户注册

　第 169 条

　开放给用户访问的信息系统，必须建立正式的用户注册和注销程序。

　 第 170 条

　所有用户的注册都必须通过用户注册程序进行申请，并得到部门领导或其委托者的批准。系统管理者对用户具有最终的授权决定权。必须保留和维护所有用户的注册信息的正式用户记录。

　第 171 条

　负责用户注册的管理员必须验证用户注册和注销请求的合法性。

　第 172 条

　每个用户必须被分配唯一的帐号，不允许共享用户帐号。用户一旦发现其帐号异常，必须立即通知负责用户注册的管理员进行处理。如果用户帐号连续 120 天没有使用，必须禁用该帐号。

　第 173 条

　帐号名不能透露用户的权限信息，比如管理员帐号不能带有 Admin 字样。

　 10.2.2 特权管理

　第 174 条

　必须建立正式的授权程序，以确保授权得到严格的评估和审批，并保证没有与系统和应用的安全相违背。

　第 175 条

　必须建立授权清单，记录和维护已分配的特权和其相对的用户信息。

　10.2.3 用户密码管理

　 第 176 条

　只有在用户身份被确认后，才允许对忘记密码的用户提供临时密码。

　 第 177 条

　系统中统一管理帐号密码的模块保存的密码必须是加密的。

　第 178 条

　密码必须保密，不得与他人分享、放在源代码内或写在没有保护的介质上（如纸张）。

　 第 179 条

　必须强制用户在第一次登录时修改密码。

　第 180 条

　系统应该设臵定期的密码修改管理办法，并限制至少最近 3 个旧密码的重用。

　 第 181 条

　系统必须启用登录失败的限制功能，如果连续 10 次登录失败，系统应该自动锁定相关帐号。

　 第 182 条

　在通过电话传送密码以前必须确认对方的身份。

　第 183 条

　禁止帐号和密码被一起传送，例如用同一封邮件传送帐号和密码。

　第 184 条

　所有系统都应该建立应急帐号，应急帐号资料必须放在密封的信封内妥善收藏，并控制好信封的存取。必须记录所有应急帐号的使用情况，包括相关的人、时间和原因等。应急帐号的密码在使用后必须立刻修改，然后把新的密码装到信封里。

　 10.2.4 用户访问权限的检查

　第 185 条

　必须半年对注册用户的访问权限和系统特权进行一次复查，关键系统必须每三个月复查一次。此过程应该包括但不限于：

　1)确认用户权限的有效性和合理性

　 2)找出所有异常帐号（如长时间未使用和已离职人员的帐号等），进行分析并采取相应措施

　 第 186 条

　必须对可疑的或不明确的访问权限进行调查，并作为安全事故进行报告。

　10.3 用户的责任

　10.3.1 密码的使用

　第 187 条

　用户必须对其帐号的安全和使用负责，无论在何种情况下，用户都不应该泄漏其密码。用户不应该使用纸张或未受保护的电子形式保存密码。用户一旦怀疑其帐号密码可能受到损害，应该及时修改密码。

　第 188 条

　用户在第一次使用帐号时，必须修改密码。用户必须至少每半年修改一次密码。特权帐号的密码必须至少每 3 个月修改一

　次。用于系统之间认证帐号的密码必须至少每半年修改一次。

　第 189 条

　除非有技术限制，密码应该至少包含 8 个字符。此 8个字符必须包含数字和字母。

　第 190 条

　用户不应使用容易被猜测的密码，例如字典中的单词、生日和电话号码等。前 3 次用过的密码不应该被重复使用。

　 第 191 条

　密码不应该被保存于自动登录过程中，例如 IE 中的帐号自动保存。

　10.3.2

　清除桌面及屏幕管理办法

　第 192 条

　所有服务器和个人电脑都必须启用带有口令保护的屏幕保护程序，激活等待时间应少于 10 分钟。

　 第 193 条

　无人使用时，服务器、个人电脑和复印机等必须保持注销状态。

　第 194 条

　不能将机密和绝密信息资料遗留在桌面上，而应该根据信息的保密等级进行处理。

　 第 195 条

　必须为信件收发区域以及无人看管的传真机设臵适当的保护措施。

　 第 196 条

　打印完敏感信息之后，必须确认信息已从打印队列中清除。

　10.4 网络访问控制

　10.4.1

　网络服务使用管理办法

　 第 197 条

　必须建立授权程序来管理网络服务的使用。

　第 198 条

　应遵循业务要求中所说明的访问控制管理办法来限制访问。

　 第 199 条

　所有系统都必须设臵访问控制机制来防止未经授权的访问。

　10.4.2 外部连接的用户认证

　第 200 条

　对公司系统进行远程访问，必须建立适当的认证机制，采用的机制应通过风险评估来决定。

　 第 201 条

　通过拨号进行远程访问必须经过正式批准，并做好相关记录。

　第 202 条

　用于远程访问的调制解调器平时必须保持关闭，只有在使用的时候才能打开。

　第 203 条

　在公司外部进行远程办公，必须使用 VPN 进行连接。

　 第 204 条

　与外部合作伙伴进行信息交换，应该使用专线进行连

　接。

　 10.4.3 远程诊断和配置端口的保护

　第 205 条

　在不使用的时候，诊断端口应该被禁用或通过恰当的安全机制进行保护。

　 第 206 条

　如果第三方需要访问诊断端口，必须签订正式的协议。

　 第 207 条

　对远程诊断端口的访问，必须建立正式的注册审批程序。访问者必须只被授予最小的访问权限来完成诊断任务，并且必须得到认证。

　第 208 条

　所有远程的诊断访问必须事先申请并获得批准。

　第 209 条

　在远程诊断会话期间，必须记录所有执行的活动信息，包括时间、执行者、执行动作和结果等。这些记录应该由系统管理员进行检查以确保访问者只执行了被授权的活动。

　10.4.4 网络的划分

　第 210 条

　必须将网络划分为不同的区域，以提供不同级别的安全保护，满足不同服务的安全需求。

　 第 211 条

　对于重要的网络区域必须设臵访问控制以隔离其他网络区域。

　 第 212 条

　应该使用风险评估来决定每个区域的安全级别。

　 第 213 条

　公司外部和内网之间应该建立一个 DMZ。

　 10.4.5 网络连接的控制

　 第 214 条

　公司以外的网络连接，在建立连接前必须对外部的接入环境进行评估，满足公司管理办法后才能接入。

　 第 215 条

　所有网络端口必须进行限制，以防止非授权的电脑接入公司网络。限制要求至少应包括：

　 1)所有的端口默认都是关闭的，只有在经过正式批准后才能开通；

　2)端口的关闭必须在员工离职和岗位变动流程中体现；

　 3)临时使用的端口或位臵变动，员工必须主动申请停用原有端口，开通新端口前必须先关闭原有端口。

　 第 216 条

　必须将网络接口和接入设备绑定，如果需要更换接入的设备，必须经过部门经理的审批。

　 第 217 条

　所有接入公司网络的主机必须经过公司的标准化安装。

　第 218 条

　公司必须设立一个单独的网络区域供非公司标准化安装的电脑接入，此区域在网络上是完全封闭、独立的。

　10.4.6 网络路由的控制

　第 219 条

　路由访问控制列表必须基于适当的源地址和目标地址检查机制。所有对外提供网络服务的网络地址必须进行地址转换。

　第 220 条

　所有重要服务器的管理端口必须通过指定的路径进行访问。

　10.5 操作系统访问控制

　10.5.1 用户识别和认证

　第 221 条

　所有用户都应该被识别和认证。在每个系统上创建实名用户，系统登陆必须使用实名用户。如果因特殊原因不能使用实名用户登陆，必须经过安全管理委员会同意。

　第 222 条

　用户认证失败信息中，应该不显示具体的失败原因。例如不能显示“帐号不存在”或“密码不正确”。

　 第 223 条

　如果由于业务要求需要使用共享用户帐号，那么此共享帐号应该得到正式的批准并明文归档。

　 第 224 条

　系统管理员和应用管理员必须使用不同的帐号。

　 第 225 条

　所有使用帐号密码进行认证的系统，在帐号密码传送过程中，应该采用加密保护措施防止泄漏。

　10.5.2 密码管理系统

　第 226 条

　系统应该强制用户在第一次成功登录后修改初始密码。修改密码时，系统必须提示用户确认新密码，以防止输入错误。不能明文显示输入的密码。

　第 227 条

　密码文件应该与应用系统数据分开存储。密码处理时必须使用单向加密。当密码接近失效期或者已经过期时，系统应该提示或强制用户修改密码。

　第 228 条

　所有默认的密码都应当在软件安装后立即更改。系统应该允许用户修改自己的密码。

　 第 229 条

　系统的密码管理办法必须满足如下要求：

　 1)密码长度至少 8 个字符；

　2)启用密码复杂度要求，至少包括大写字母、小写字母、数字、特殊字符中的三种；

　 3)管理员帐号密码有效期是 90 天；

　 4)重要系统的用户帐号密码有效期是 90 天；

　 5)非重要系统的普通帐号密码有效期是 180 天；

　 6)记录的历史密码次数不少于 5 个；

　 7)帐号密码验证失败锁定阀值是 10 次；

　 8)帐号被锁定后必须由管理员解锁。

　 9)如果因系统自身的功能限制不能满足上述管理办法的要求，其设臵的密码管理办法必须经信息安全管理委员会审核同意。

　 10.5.3 系统工具的使用

　第 230 条

　所有系统工具都应当被识别，不必要的工具必须从生产系统中删除。

　 10.5.4 终端超时终止

　第 231 条

　连接到服务器的所有终端，在 30 分钟内没有活动，都应该被终止连接。

　10.5.5 连接时间的限制

　第 232 条

　对关键的信息系统（如前臵机、合作伙伴主机等）提供附加的安全保护，包括但不限于：

　 1）只允许在之前协商好的时间段内访问（如：每天 6 点—6 点半）

　2）只允许在正常的工作时间内访问（如：每周一至周五 9 点—17点）

　 3）远程诊断 modem 在不使用时必须处于关闭状态，在使用后必须立即关闭。

　 10.6 应用系统访问控制

　 10.6.1 信息访问限制

　第 233 条

　应用系统应该控制用户的访问权限，如读写权限、删除权限以及执行权限。

　第 234 条

　必须保证处理敏感信息的应用系统仅输出必需的信息到授权的终端，同时应对这些输出功能进行定期检查，保证不存在输出多余的信息。

　10.6.2 敏感系统的隔离

　 第 235 条

　应当根据应用系统的敏感程度对系统进行适当的隔离保护，比如：

　 1)运行于指定的计算机上

　2)仅与信任的应用系统共享资源

　 3）敏感系统的各个部分都应当以适当的方式进行保护。

　10.7 移动计算和远程办公

　 10.7.1 移动计算

　 第 236 条

　移动设备（包括个人手持设备、笔记本电脑）和家庭

　办公个人电脑都应该受到保护以防未授权访问。

　 第 237 条

　进行移动和家庭办公的员工，应该对其使用的设备做好物理保护，防止丢失、偷窃和破坏等。存放在移动设备中的敏感信息必须做好保护，比如采用加密以防泄漏。

　 第 238 条

　移动设备用户必须做好防病毒工作。移动设备中的公司信息应该做好备份工作，防止丢失。

　10.7.2 远程办公

　第 239 条

　必须建立远程办公的使用标准和授权程序。

　 第 240 条

　远程办公的访问权限必须基于最小权限的原则进行分配，授权内容应该包括：

　 1)允许访问的系统和服务

　 2)允许进行的工作

　 3)访问时段

　第 241 条

　远程办公的访问控制应该采用双重认证的方式。远程办公的信息在传输过程中必须加密。

　 第 242 条

　员工离职或不再使用远程办公时，必须取消其相关的远程办公访问权限。必须定期对远程办公实施审计和安全监控。

相关热词搜索：访问控制 制度 网络