2024用户访问控制标准

用户访问控制标准用户访问控制标准范围本标准规定了计算机系统的所有程序,保证用户以合理的权限使用到所需的资源,最大限度的保护计算机资源的安全性和合理性，适用于公司所有人员。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/TT179011999《信息技术安全技术密钥管理》GMT0032《基于角色的授权管理与访问控制技术规范》定义和术语下列术语和定义适用于本标准：计算机系统ComputerSystem计算机系统由计算机硬件和软件两部分组成，是计算机硬件系统和计算机软件系统的有机结合整体。本文指软件部分，包含基础软件和应用软件，及相应的支持文档。用户访问控制规范审批IT经理审核最后由系统管理员为通过审批的用户在相应的系统建立登陆帐号并设用户利用自己帐号在公司网络上的所有活动,都应被跟踪、审计和记录.IT部门应定期(每月)汇当不需要进入公司计算机系统时,IT部门以取消其帐号。用户由于各种原因离开公司时,IT部门确认已退出计算机系统后,才可与人力资源部门办理离职手续。IT经理及其代表可批准临时或永久的用户帐号.对于跨越部门的访问权限, permitdeny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。PermitdenyIP访问表源地址的报文要被丢弃掉。source hostany分别用于指定单个主机和所有主机。host表示一种精确的匹配，其屏蔽码为0.0.0.0198.79.35.6来的报文，则使用标准的访问控制列表语句access-list1permit198.79.35.6access-list1permit host198.79.35.6与此相对照，any是源地证/0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源198.78.46.8IP访问表可以使用access-list1denyhost198.79.35.6access-list1permitanypermitdeny198.78.46.8的报文，因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会 Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的，也就是说，二O表示一个'匹配'条件，二进制的1表示一个'不关心'C类网络198.78.46.0，若不使用子网，则当配置网络中的每一个工作站时，使用于网屏蔽码255.255.255.O。在198.78.46.0中的所有报文的通配符屏蔽码为:0.0.O.255。 og关键字只在OS版本.3中存在。如果该关键字用于访问表中，则对那些能够匹配访问表中的perit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用og关键字，会使控制台日志提供测试和报警两种功能。系统管理员可以使用日志来观察不同活动下的报文匹配情况，从而可以测试不同访问表的设计情况。当其用于报警时，管理员可以察看