访问控制策略V1.0

1、附L参天就未索北蛊华腔天凤制技股份有眼舍司总語地址；北京市海淀区学着龍白号科技财用申rvA&lO-U层 邮軍：IM0R5 电话；010-8273Jm 費真；010-B2733999 网址匸來切:人站 tcsun. c<» cr»软怦眼再 I 慕统凤产屈北京华胜天成科技股份有限公司管理体系文件文件名称：访问控制策略文件编号：ISM-ACM-01文件版本：V1.0文件密级：内部公开受控状态：受控编 写：秦佩君审 核：杜欣批 准：王维航2009年03月01日发布2009年03月01日生效本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注

2、明，版权均 属北京华胜天成科技股份有限公司所有。未经许可任何人不得将此文件中的任何部分以任何形式进行复制、 储存和传播。霰件系班尺产品1目的12适用范围13术语表14访问控制方针14.1通用方针14.2网络访问控制24.2.1网络区域划分2422网络区域隔离24.3身份授予与鉴别 24.3.1账户管理24.4外部信息交换控制34.4.1公开信息披露34.4.2外部信息交换35相关过程、模板、指导、检查表 3软件眼畀系筑艮严屈1目的访问控制方针旨在基于华胜天成的业务需求，为信息资产的访问控制制定方针原则。各信息安 全控制措施的选择和实施，以及信息安全管理规定的编写，应依据本方针进行。2适用范围本

3、方针适用于华胜天成信息安全管理体系范围内的各类型访问控制，包括但不限于：信息资产访问控制；权限及密码管理；网络访问控制；物理安全访问控制；应用系统访问控制等。3术语表术语解释明确授权明确授权是指具有授予访问权限的人员，通过邮件、纸质授权书 的方式，正式向需要访问信息的人员授予权限的过程。访问控制访问控制是对主体访问客体的权限或能力的一种限制，分为物理 访问控制和逻辑访问控制。物理访问控制是指对物理实体进行的访问控制（例如纸张、电脑、 网络设备等）；逻辑访问控制是指对没有物理实体存在的对象的访 问控制（例如网络、电子文档、应用系统等）。4访问控制方针访问控制应依据以下两个原则进行：最小授权原则当

4、没有明确授予访问权限时，应为禁止访问。 应仅对用户授予他们开展业务活动所必需的访问权限。需要时获取访问权限应仅当使用者必须要访问信息时授予。4.1通用方针信息安全的访问控制，应基于分级的原则。在不同级别之间，应设置访问控制措施; 访问控制角色应进行分离，包括如下角色：访问请求访问授权访问管理访问控制审计；访问控制应包括如下管理过程：访问控制措施的部署；访问控制权限的申请、审批及授予霰件系班尺产品访问控制权限的回顾及审计 访问控制权限的撤销应对公司内部访问以上级别的信息资产设置访问控制措施；工作职责范围内的对本部门 机密以及内部访问级别的信息资产的访问，不需要特别申请访 问权限；工作职责范围外对

5、任何 机密级别的信息资产的访问，需要有 信息资产所有者以及信息访问 者所在部门直接主管 的共同授权；工作职责范围外对任何内部访问级别的信息资产的访问，需要有信息资产所有者的审批； 对绝密级别的信息资产的访问，需要有信息资产所有者以及信息访问者所在事业部的总经 理的共同明确授权；由资产所有者维护访问清单及授权记录，并负责至少三个月按照访问 清单对实际访问权限进行回顾；访问控制的执行状况，应该由信息安全流程经理组织访问控制权限的审计活动；应基于信息安全事件的发生频率和影响，以及信息资产的等级设定审计的频率；对物理环境的访问控制，参照物理环境管理规范执行；对信息资产的访问控制，参照信息资产管理规范4

6、.2网络访问控制网络区域划分与隔离是进行访问控制的基础，目的是确认并管理企业网络内部边界和外部边界, 使各个区域之间相互独立，保证各个区域间的影响最小化。以下为网络访问控制的4.2.1网络区域划分华胜天成所有网络区域应根据其支撑的业务和业务的安全需求进行划分，对于安全需求比较高 的敏感区域应进行识别，明确每个区域与其它区域的边界以及企业内部与外部区域的边界。华胜天 成网络区域包括但不限于：公司普通办公网络区域；财务、人事敏感办公网络区域； 公司分支机构网络区域； 企业软件开发、测试网络环境。4.2.2网络区域隔离应根据业务需求对网络区域之间采用不同的手段进行隔离，对于敏感网络区域的边界必须采用

7、 足够的技术手段进行防护。华胜天成敏感区域边界包括但不限于：敏感办公区域与普通办公区域的网络边界； 企业内部网络与In ternet网络边界； 企业内部网络区域与分支机构之间的网络边界； 软件开发、测试环境与企业生产系统的网络边界。4.3身份授予与鉴别身份授予与鉴别是对访问企业资源的用户赋予身份并在用户访问资源时进行身份鉴别，目的是 保证访问网络系统资源的用户是合法的。关于身份授予与鉴别政策定义如下：4.3.1账户管理应基于不同业务的需求对访问华胜天成资源的用户分别建立用户账户的授予与撤销的管理 措施和执行过程。-3 -授予用户的身份应是唯一的，即一个用户账户唯一地对应一个用户，不允许多人共享

8、一个 账户。对任何用户的登录应进行身份鉴别。身份鉴别的方法应根据用户所处环境的风险确定。 对重要资源的访问保证有足够的口令强度和防攻击能力，用户必须使用符合安全要求的口 令，并妥善保护口令。信息系统的所有者应维护特权账户的清单和对应使用人员，并至少每三个月对特权帐号进 行回顾。4.4外部信息交换控制外部信息交换控制政策是防止在与外部进行信息交换不受控，从而造成华胜天成公司的敏感信 息泄漏或被篡改。由于华胜天成是上市公司，任何公开信息的披露，应遵循严格的审批和授权过程4.4.1公开信息披露未经允许，不得将任何公司“内部”及其上级别的信息披露给公司外部人员； 公开信息仅应通过获得授权的部门对外披露；4.4.2外部信息交换严禁将“绝密”及其上级别的信息传递给第三方；若需将“机密”信息与第三方共享，应获得信息