www.黄片视频在线播放,欧美精品日韩精品一级黄,成年男女免费视频网站,99久久久国产精品免费牛牛四川,99久久精品国产9999高清,乱人妻中文字幕视频4399,亚洲男人在线视频观看

網(wǎng)絡(luò)信息訪問控制制度

發(fā)布時(shí)間:2020-07-13 來源: 入黨申請 點(diǎn)擊:

 網(wǎng)絡(luò)信息訪問控制制度

 10.1 訪問控制要求

 10.1.1

 訪問控制管理辦法

  第 165 條

 所有系統(tǒng)和應(yīng)用都必須有訪問控制列表,由系統(tǒng)管理者明確定義訪問控制規(guī)則、用戶和用戶組的權(quán)限以及訪問控制機(jī)制。訪問控制列表應(yīng)該進(jìn)行周期性的檢查以保證授權(quán)正確。

 第 166 條

 訪問權(quán)限必須根據(jù)工作完成的最少需求而定,不能超過其工作實(shí)際所需的范圍。必須按照“除非明確允許,否則一律禁止”的原則來設(shè)臵訪問控制規(guī)則。

 第 167 條

 所有訪問控制必須建立相應(yīng)的審批程序,以確保訪問授權(quán)的合理性和有效性。必須禁用或關(guān)閉任何具有越權(quán)訪問的功能。員工的職責(zé)發(fā)生變化或離職時(shí),其訪問權(quán)限必須作相應(yīng)調(diào)整或撤銷。

  第 168 條

 系統(tǒng)自帶的默認(rèn)帳號應(yīng)該禁用或配臵密碼進(jìn)行保護(hù)。

 10.2 用戶訪問管理

 10.2.1 用戶注冊

 第 169 條

 開放給用戶訪問的信息系統(tǒng),必須建立正式的用戶注冊和注銷程序。

  第 170 條

 所有用戶的注冊都必須通過用戶注冊程序進(jìn)行申請,并得到部門領(lǐng)導(dǎo)或其委托者的批準(zhǔn)。系統(tǒng)管理者對用戶具有最終的授權(quán)決定權(quán)。必須保留和維護(hù)所有用戶的注冊信息的正式用戶記錄。

 第 171 條

 負(fù)責(zé)用戶注冊的管理員必須驗(yàn)證用戶注冊和注銷請求的合法性。

 第 172 條

 每個(gè)用戶必須被分配唯一的帳號,不允許共享用戶帳號。用戶一旦發(fā)現(xiàn)其帳號異常,必須立即通知負(fù)責(zé)用戶注冊的管理員進(jìn)行處理。如果用戶帳號連續(xù) 120 天沒有使用,必須禁用該帳號。

 第 173 條

 帳號名不能透露用戶的權(quán)限信息,比如管理員帳號不能帶有 Admin 字樣。

  10.2.2 特權(quán)管理

 第 174 條

 必須建立正式的授權(quán)程序,以確保授權(quán)得到嚴(yán)格的評估和審批,并保證沒有與系統(tǒng)和應(yīng)用的安全相違背。

 第 175 條

 必須建立授權(quán)清單,記錄和維護(hù)已分配的特權(quán)和其相對的用戶信息。

 10.2.3 用戶密碼管理

  第 176 條

 只有在用戶身份被確認(rèn)后,才允許對忘記密碼的用戶提供臨時(shí)密碼。

  第 177 條

 系統(tǒng)中統(tǒng)一管理帳號密碼的模塊保存的密碼必須是加密的。

 第 178 條

 密碼必須保密,不得與他人分享、放在源代碼內(nèi)或?qū)懺跊]有保護(hù)的介質(zhì)上(如紙張)。

  第 179 條

 必須強(qiáng)制用戶在第一次登錄時(shí)修改密碼。

 第 180 條

 系統(tǒng)應(yīng)該設(shè)臵定期的密碼修改管理辦法,并限制至少最近 3 個(gè)舊密碼的重用。

  第 181 條

 系統(tǒng)必須啟用登錄失敗的限制功能,如果連續(xù) 10 次登錄失敗,系統(tǒng)應(yīng)該自動(dòng)鎖定相關(guān)帳號。

  第 182 條

 在通過電話傳送密碼以前必須確認(rèn)對方的身份。

 第 183 條

 禁止帳號和密碼被一起傳送,例如用同一封郵件傳送帳號和密碼。

 第 184 條

 所有系統(tǒng)都應(yīng)該建立應(yīng)急帳號,應(yīng)急帳號資料必須放在密封的信封內(nèi)妥善收藏,并控制好信封的存取。必須記錄所有應(yīng)急帳號的使用情況,包括相關(guān)的人、時(shí)間和原因等。應(yīng)急帳號的密碼在使用后必須立刻修改,然后把新的密碼裝到信封里。

  10.2.4 用戶訪問權(quán)限的檢查

 第 185 條

 必須半年對注冊用戶的訪問權(quán)限和系統(tǒng)特權(quán)進(jìn)行一次復(fù)查,關(guān)鍵系統(tǒng)必須每三個(gè)月復(fù)查一次。此過程應(yīng)該包括但不限于:

 1)確認(rèn)用戶權(quán)限的有效性和合理性

  2)找出所有異常帳號(如長時(shí)間未使用和已離職人員的帳號等),進(jìn)行分析并采取相應(yīng)措施

  第 186 條

 必須對可疑的或不明確的訪問權(quán)限進(jìn)行調(diào)查,并作為安全事故進(jìn)行報(bào)告。

 10.3 用戶的責(zé)任

 10.3.1 密碼的使用

 第 187 條

 用戶必須對其帳號的安全和使用負(fù)責(zé),無論在何種情況下,用戶都不應(yīng)該泄漏其密碼。用戶不應(yīng)該使用紙張或未受保護(hù)的電子形式保存密碼。用戶一旦懷疑其帳號密碼可能受到損害,應(yīng)該及時(shí)修改密碼。

 第 188 條

 用戶在第一次使用帳號時(shí),必須修改密碼。用戶必須至少每半年修改一次密碼。特權(quán)帳號的密碼必須至少每 3 個(gè)月修改一

 次。用于系統(tǒng)之間認(rèn)證帳號的密碼必須至少每半年修改一次。

 第 189 條

 除非有技術(shù)限制,密碼應(yīng)該至少包含 8 個(gè)字符。此 8個(gè)字符必須包含數(shù)字和字母。

 第 190 條

 用戶不應(yīng)使用容易被猜測的密碼,例如字典中的單詞、生日和電話號碼等。前 3 次用過的密碼不應(yīng)該被重復(fù)使用。

  第 191 條

 密碼不應(yīng)該被保存于自動(dòng)登錄過程中,例如 IE 中的帳號自動(dòng)保存。

 10.3.2

 清除桌面及屏幕管理辦法

 第 192 條

 所有服務(wù)器和個(gè)人電腦都必須啟用帶有口令保護(hù)的屏幕保護(hù)程序,激活等待時(shí)間應(yīng)少于 10 分鐘。

  第 193 條

 無人使用時(shí),服務(wù)器、個(gè)人電腦和復(fù)印機(jī)等必須保持注銷狀態(tài)。

 第 194 條

 不能將機(jī)密和絕密信息資料遺留在桌面上,而應(yīng)該根據(jù)信息的保密等級進(jìn)行處理。

  第 195 條

 必須為信件收發(fā)區(qū)域以及無人看管的傳真機(jī)設(shè)臵適當(dāng)?shù)谋Wo(hù)措施。

  第 196 條

 打印完敏感信息之后,必須確認(rèn)信息已從打印隊(duì)列中清除。

 10.4 網(wǎng)絡(luò)訪問控制

 10.4.1

 網(wǎng)絡(luò)服務(wù)使用管理辦法

  第 197 條

 必須建立授權(quán)程序來管理網(wǎng)絡(luò)服務(wù)的使用。

 第 198 條

 應(yīng)遵循業(yè)務(wù)要求中所說明的訪問控制管理辦法來限制訪問。

  第 199 條

 所有系統(tǒng)都必須設(shè)臵訪問控制機(jī)制來防止未經(jīng)授權(quán)的訪問。

 10.4.2 外部連接的用戶認(rèn)證

 第 200 條

 對公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問,必須建立適當(dāng)?shù)恼J(rèn)證機(jī)制,采用的機(jī)制應(yīng)通過風(fēng)險(xiǎn)評估來決定。

  第 201 條

 通過撥號進(jìn)行遠(yuǎn)程訪問必須經(jīng)過正式批準(zhǔn),并做好相關(guān)記錄。

 第 202 條

 用于遠(yuǎn)程訪問的調(diào)制解調(diào)器平時(shí)必須保持關(guān)閉,只有在使用的時(shí)候才能打開。

 第 203 條

 在公司外部進(jìn)行遠(yuǎn)程辦公,必須使用 VPN 進(jìn)行連接。

  第 204 條

 與外部合作伙伴進(jìn)行信息交換,應(yīng)該使用專線進(jìn)行連

 接。

  10.4.3 遠(yuǎn)程診斷和配置端口的保護(hù)

 第 205 條

 在不使用的時(shí)候,診斷端口應(yīng)該被禁用或通過恰當(dāng)?shù)陌踩珯C(jī)制進(jìn)行保護(hù)。

  第 206 條

 如果第三方需要訪問診斷端口,必須簽訂正式的協(xié)議。

  第 207 條

 對遠(yuǎn)程診斷端口的訪問,必須建立正式的注冊審批程序。訪問者必須只被授予最小的訪問權(quán)限來完成診斷任務(wù),并且必須得到認(rèn)證。

 第 208 條

 所有遠(yuǎn)程的診斷訪問必須事先申請并獲得批準(zhǔn)。

 第 209 條

 在遠(yuǎn)程診斷會(huì)話期間,必須記錄所有執(zhí)行的活動(dòng)信息,包括時(shí)間、執(zhí)行者、執(zhí)行動(dòng)作和結(jié)果等。這些記錄應(yīng)該由系統(tǒng)管理員進(jìn)行檢查以確保訪問者只執(zhí)行了被授權(quán)的活動(dòng)。

 10.4.4 網(wǎng)絡(luò)的劃分

 第 210 條

 必須將網(wǎng)絡(luò)劃分為不同的區(qū)域,以提供不同級別的安全保護(hù),滿足不同服務(wù)的安全需求。

  第 211 條

 對于重要的網(wǎng)絡(luò)區(qū)域必須設(shè)臵訪問控制以隔離其他網(wǎng)絡(luò)區(qū)域。

  第 212 條

 應(yīng)該使用風(fēng)險(xiǎn)評估來決定每個(gè)區(qū)域的安全級別。

  第 213 條

 公司外部和內(nèi)網(wǎng)之間應(yīng)該建立一個(gè) DMZ。

  10.4.5 網(wǎng)絡(luò)連接的控制

  第 214 條

 公司以外的網(wǎng)絡(luò)連接,在建立連接前必須對外部的接入環(huán)境進(jìn)行評估,滿足公司管理辦法后才能接入。

  第 215 條

 所有網(wǎng)絡(luò)端口必須進(jìn)行限制,以防止非授權(quán)的電腦接入公司網(wǎng)絡(luò)。限制要求至少應(yīng)包括:

  1)所有的端口默認(rèn)都是關(guān)閉的,只有在經(jīng)過正式批準(zhǔn)后才能開通;

 2)端口的關(guān)閉必須在員工離職和崗位變動(dòng)流程中體現(xiàn);

  3)臨時(shí)使用的端口或位臵變動(dòng),員工必須主動(dòng)申請停用原有端口,開通新端口前必須先關(guān)閉原有端口。

  第 216 條

 必須將網(wǎng)絡(luò)接口和接入設(shè)備綁定,如果需要更換接入的設(shè)備,必須經(jīng)過部門經(jīng)理的審批。

  第 217 條

 所有接入公司網(wǎng)絡(luò)的主機(jī)必須經(jīng)過公司的標(biāo)準(zhǔn)化安裝。

 第 218 條

 公司必須設(shè)立一個(gè)單獨(dú)的網(wǎng)絡(luò)區(qū)域供非公司標(biāo)準(zhǔn)化安裝的電腦接入,此區(qū)域在網(wǎng)絡(luò)上是完全封閉、獨(dú)立的。

 10.4.6 網(wǎng)絡(luò)路由的控制

 第 219 條

 路由訪問控制列表必須基于適當(dāng)?shù)脑吹刂泛湍繕?biāo)地址檢查機(jī)制。所有對外提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)地址必須進(jìn)行地址轉(zhuǎn)換。

 第 220 條

 所有重要服務(wù)器的管理端口必須通過指定的路徑進(jìn)行訪問。

 10.5 操作系統(tǒng)訪問控制

 10.5.1 用戶識(shí)別和認(rèn)證

 第 221 條

 所有用戶都應(yīng)該被識(shí)別和認(rèn)證。在每個(gè)系統(tǒng)上創(chuàng)建實(shí)名用戶,系統(tǒng)登陸必須使用實(shí)名用戶。如果因特殊原因不能使用實(shí)名用戶登陸,必須經(jīng)過安全管理委員會(huì)同意。

 第 222 條

 用戶認(rèn)證失敗信息中,應(yīng)該不顯示具體的失敗原因。例如不能顯示“帳號不存在”或“密碼不正確”。

  第 223 條

 如果由于業(yè)務(wù)要求需要使用共享用戶帳號,那么此共享帳號應(yīng)該得到正式的批準(zhǔn)并明文歸檔。

  第 224 條

 系統(tǒng)管理員和應(yīng)用管理員必須使用不同的帳號。

  第 225 條

 所有使用帳號密碼進(jìn)行認(rèn)證的系統(tǒng),在帳號密碼傳送過程中,應(yīng)該采用加密保護(hù)措施防止泄漏。

 10.5.2 密碼管理系統(tǒng)

 第 226 條

 系統(tǒng)應(yīng)該強(qiáng)制用戶在第一次成功登錄后修改初始密碼。修改密碼時(shí),系統(tǒng)必須提示用戶確認(rèn)新密碼,以防止輸入錯(cuò)誤。不能明文顯示輸入的密碼。

 第 227 條

 密碼文件應(yīng)該與應(yīng)用系統(tǒng)數(shù)據(jù)分開存儲(chǔ)。密碼處理時(shí)必須使用單向加密。當(dāng)密碼接近失效期或者已經(jīng)過期時(shí),系統(tǒng)應(yīng)該提示或強(qiáng)制用戶修改密碼。

 第 228 條

 所有默認(rèn)的密碼都應(yīng)當(dāng)在軟件安裝后立即更改。系統(tǒng)應(yīng)該允許用戶修改自己的密碼。

  第 229 條

 系統(tǒng)的密碼管理辦法必須滿足如下要求:

  1)密碼長度至少 8 個(gè)字符;

 2)啟用密碼復(fù)雜度要求,至少包括大寫字母、小寫字母、數(shù)字、特殊字符中的三種;

  3)管理員帳號密碼有效期是 90 天;

  4)重要系統(tǒng)的用戶帳號密碼有效期是 90 天;

  5)非重要系統(tǒng)的普通帳號密碼有效期是 180 天;

  6)記錄的歷史密碼次數(shù)不少于 5 個(gè);

  7)帳號密碼驗(yàn)證失敗鎖定閥值是 10 次;

  8)帳號被鎖定后必須由管理員解鎖。

  9)如果因系統(tǒng)自身的功能限制不能滿足上述管理辦法的要求,其設(shè)臵的密碼管理辦法必須經(jīng)信息安全管理委員會(huì)審核同意。

  10.5.3 系統(tǒng)工具的使用

 第 230 條

 所有系統(tǒng)工具都應(yīng)當(dāng)被識(shí)別,不必要的工具必須從生產(chǎn)系統(tǒng)中刪除。

  10.5.4 終端超時(shí)終止

 第 231 條

 連接到服務(wù)器的所有終端,在 30 分鐘內(nèi)沒有活動(dòng),都應(yīng)該被終止連接。

 10.5.5 連接時(shí)間的限制

 第 232 條

 對關(guān)鍵的信息系統(tǒng)(如前臵機(jī)、合作伙伴主機(jī)等)提供附加的安全保護(hù),包括但不限于:

  1)只允許在之前協(xié)商好的時(shí)間段內(nèi)訪問(如:每天 6 點(diǎn)—6 點(diǎn)半)

 2)只允許在正常的工作時(shí)間內(nèi)訪問(如:每周一至周五 9 點(diǎn)—17點(diǎn))

  3)遠(yuǎn)程診斷 modem 在不使用時(shí)必須處于關(guān)閉狀態(tài),在使用后必須立即關(guān)閉。

  10.6 應(yīng)用系統(tǒng)訪問控制

  10.6.1 信息訪問限制

 第 233 條

 應(yīng)用系統(tǒng)應(yīng)該控制用戶的訪問權(quán)限,如讀寫權(quán)限、刪除權(quán)限以及執(zhí)行權(quán)限。

 第 234 條

 必須保證處理敏感信息的應(yīng)用系統(tǒng)僅輸出必需的信息到授權(quán)的終端,同時(shí)應(yīng)對這些輸出功能進(jìn)行定期檢查,保證不存在輸出多余的信息。

 10.6.2 敏感系統(tǒng)的隔離

  第 235 條

 應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)的敏感程度對系統(tǒng)進(jìn)行適當(dāng)?shù)母綦x保護(hù),比如:

  1)運(yùn)行于指定的計(jì)算機(jī)上

 2)僅與信任的應(yīng)用系統(tǒng)共享資源

  3)敏感系統(tǒng)的各個(gè)部分都應(yīng)當(dāng)以適當(dāng)?shù)姆绞竭M(jìn)行保護(hù)。

 10.7 移動(dòng)計(jì)算和遠(yuǎn)程辦公

  10.7.1 移動(dòng)計(jì)算

  第 236 條

 移動(dòng)設(shè)備(包括個(gè)人手持設(shè)備、筆記本電腦)和家庭

 辦公個(gè)人電腦都應(yīng)該受到保護(hù)以防未授權(quán)訪問。

  第 237 條

 進(jìn)行移動(dòng)和家庭辦公的員工,應(yīng)該對其使用的設(shè)備做好物理保護(hù),防止丟失、偷竊和破壞等。存放在移動(dòng)設(shè)備中的敏感信息必須做好保護(hù),比如采用加密以防泄漏。

  第 238 條

 移動(dòng)設(shè)備用戶必須做好防病毒工作。移動(dòng)設(shè)備中的公司信息應(yīng)該做好備份工作,防止丟失。

 10.7.2 遠(yuǎn)程辦公

 第 239 條

 必須建立遠(yuǎn)程辦公的使用標(biāo)準(zhǔn)和授權(quán)程序。

  第 240 條

 遠(yuǎn)程辦公的訪問權(quán)限必須基于最小權(quán)限的原則進(jìn)行分配,授權(quán)內(nèi)容應(yīng)該包括:

  1)允許訪問的系統(tǒng)和服務(wù)

  2)允許進(jìn)行的工作

  3)訪問時(shí)段

 第 241 條

 遠(yuǎn)程辦公的訪問控制應(yīng)該采用雙重認(rèn)證的方式。遠(yuǎn)程辦公的信息在傳輸過程中必須加密。

  第 242 條

 員工離職或不再使用遠(yuǎn)程辦公時(shí),必須取消其相關(guān)的遠(yuǎn)程辦公訪問權(quán)限。必須定期對遠(yuǎn)程辦公實(shí)施審計(jì)和安全監(jiān)控。

相關(guān)熱詞搜索:訪問控制 制度 網(wǎng)絡(luò)

版權(quán)所有 蒲公英文摘 www.91mayou.com