F4-B-研发服务体系-011-V1.1-访问控制制度

【访问控制程序】IS-B-09第页目录TOC\o"1-3"\h\z1. 目的和范围 32. 引用文件 33. 职责和权限 34. 用户管理 34.1.用户注册 34.2.用户口令管理 45. 权限管理 45.1.用户权限管理原则 45.2.用户访问权限设置步骤 56. 操作系统访问控制 56.1.安全登录制度 56.2.会话超时与联机时间的限定 57. 应用系统访问控制 68. Internet访问控制 79. 网络隔离 710. 信息交流控制措施 711. 远程访问管理 810.1.远程接入的用户认证 810.2.远程接入的审计 912. 无线网络访问管理 913. 笔记本使用及安全配置规定 914. 外部人员使用笔记本的规定 1015. 实施策略 1016. 相关记录 10

目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。用户管理用户注册只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。一人一账号，以便将用户与其操作联系起来，使用户对其操作负责，禁止多人使用同一个账号。用户因工作变更或离职时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。管理员应每季度检查并取消多余的用户账号。用户口令管理和使用引用文件：《密码控制管理制度》权限管理用户权限管理原则所有的重要服务器应用系统要有明确的用户清单及权限清单，每季度进行一次权限评审。重要设备的操作系统、数据库、重要应用程序相关的特殊访问权限的分配需进行严格管理。对一般用户只拥有在注册时所审批的权限。每个人分配的权限以完成相应工作最低标准为准。服务器日志的安全审查职责与日常工作权限责任分割。新账号开通时提供给他们一个安全的临时登录密码，并在首次使用时强制改变。为防止未授权的更改或误用信息或服务的机会，按以下要求进行职责分配：a)系统管理职责与操作职责分离；b)信息安全审核具有独立性。用户访问权限设置步骤权限设置：对信息的访问权限进行设置，添加该用户的相应访问权，设置权限，要再次确认，以保证权限设置正确。定期检查用户账户：管理员每季度对应用系统进行一次权限评审。取消访问权：离开公司应立即取消或禁用其账号及所有权限，将其所拥有的信息备份保存，或转换接替者为持有人。用户的岗位发生变化时，要对其访问权限重新授权。操作系统访问控制安全登录制度UNIX、LINUX系统使用SSH登录系统。进入操作系统必须执行登录操作，禁止将系统设定为自动登录。记录登录成功与失败的日志。日常非系统管理操作时，只能以普通用户登录。启用操作系统的口令管理策略（如口令至少8位，字母数字组合等），保证用户口令的安全性。会话超时与联机时间的限定重要服务器应设置会话超时限制，不活动会话应在一个设定的休止期5分钟后关闭。应考虑对敏感的计算机应用程序，特别是安装在高风险位置的应用程序，使用连机时间的控制措施。这种限制的示例包括：使用预先定义的时间间隔，如对批量文件传输，或定期的短期交互会话等情况使用指定的时间间隔；如果没有超时或延时操作的要求，则将连机时间限于正常办公时间；应用系统访问控制根据《重要服务器-应用系统清单》，填写《重要应用系统权限评审表》，每季度评审一次。各应用系统必须确定相应的系统管理员、数据库管理员和应用管理员。应用系统的用户访问控制，用户的申请应填写相关系统的申请表，须经过应用系统的归口主管部门审核同意，由系统管理员授权并登记备案后，方可使用相应的应用系统。如果发生人员岗位变动，业务部门信息安全主管通知部门信息安全员与相关应用系统管理员联系，告知系统管理员具体的人员变动情况，便于系统管理员及时调整岗位变动人员的系统访问权限。应用系统的用户必须遵守各应用系统的相关管理规定，必须服从应用系统的管理部门的检查监督和管理。禁止员工未经授权使用系统实用工具。应用系统用户必须严格执行保密制度。对各自的用户帐号负责，不得转借他人使用。重要应用系统用户清单及权限必须进行定期评审。网络和网络服务访问控制所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。员工须通过VPN访问公司相关网络和网络服务。需要访问各种网络服务的用户须向本部门主管申请VPN帐号，由本部门主管通过邮件提交VPN帐号管理员，由VPN帐号管理员为其分配密钥和帐号。网络隔离公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。运行中心制定VLAN访问控制说明。网络设备网络设备配置管理员帐号由系统服务部指定专人统一管理，保存帐号及密码的电子文件需加密保存，并存放在可靠的安全环境下。系统管理员密码须符合服务器安全控制的密码安全规定；管理人员不得向任何非授权人员泄露网络设备的管理员帐号及密码。信息交流控制措施信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；不能在公共场所或者敞开的办公室、没有屋顶防护的会议室谈论机密信息；对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；在使用电子通信设施进行信息交流时，所考虑的控制包括：防止交流的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息的程序；有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；使用传真的人员注意下列问题：未经授权对内部存储的信息进行访问，获取信息；故意的或无意的程序设定，向特定的号码发送信息；向错误的号码发送文件和信息，或者拨号错误或者使用的存储在机器中的号码是错误的。远程访问管理12.1远程接入的用户认证凡是接入公司的远程用户的访问必须通过VPN并经过认证方可接入。认证用户必须使用8位以上复杂密码。任何远程接入用户不得将自己的用户名、密码提供给任何人，包括同事，家人。所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到最新。12.2远程接入的审计远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用户行为监控。无线网络访问管理行政部应协同系统服务部对无线网络进行授权管理；对需要使用无线网络的设备，通过绑定其MAC地址授权访问，其他人员不允许通过公司无线网络上网。如有已授权访问的设备，取消授权，应即时对其MAC地址解绑。笔记本使用及安全配置规定笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。重要业务笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，费用由个人承担。笔记本电脑中除工作所需的软件外，不得安装与工作无关的软件。授权使用的笔记本电脑设备必须安装公司要求的防病毒软件。各部门对笔记本电脑设备定期进行一次病毒软件和操作系统补丁自检，行政部进行不定期抽查。笔记本电脑外出时禁止托运，必须随身携带。笔记本电脑上的重要资料应即时做好备份，防止意外丢失。备份的设备或介质应符合《信息资产分类分级管理制度》中的保护要求。外部人员使用笔记本的规定出于安全考虑，一般不予考虑来访人员接入公司内部网络。服务器安全控制引用文件：《讯鸟服务器安全管理规范》实施策略访问控制制度涉及的包括《重要服务器-应用系统清单》《重要应用系统权限评审表》。用户申请权限时，填写相关系统的申请表。每季度评审并填写《重要应用系统权限评审表》。相关记录序号记录名称保存期限保存形式备注1重要服务器-应用系统清单三年电子2重要应用系统权限评审表三年电子本制度相关修改及解释权属于研发服务体