帐号口令及权限管理组织规定
公司网络账号使用登记和操作权限管理制度
帐号使用登记和操作权限管理制度
一、IP地址、用户申请
1、网络IP地址由网络中心负责统一管理和分配。
2、用户入网应向网络中心申请分配或增加IP地址。
严禁盗用他人IP地址或私自乱设IP地址。
网络中心有权切断乱设的IP地址入网,以保证网络的正常使用。
二、帐号管理制度
1、员工入网填写“用户入网申请登记表”员工姓名、部门名称、帐号初设密码、初设目录、权限等等,申请表要经部门领导签字后交网络管理中心,注销帐号时要通知管理员。
2、网络管理员为用户设置明码口令,员工可以根据自己的保密情况进行修改口令,员工对工作站设置开机密码。
3、员工帐号下的数据属于员工私有数据,当事人具有全部存取权限,管理员具有管理和备份存取权限。
4、网络管理员根据相关网络帐号管理规则对员工帐号执行管理,并对员工帐号及数据的安全和保密负责。
信息系统账号和权限管理办法
信息系统账号和权限管理办法第一章总则第一条为加强XXX有限公司(以下简称公司)信息系统(以下简称系统)用户账号和权限的规范化管理,确保系统有序、稳定运行,防范业务风险,特制定本管理办法。
第二条本办法适用于公司及所属企业。
第二章账号管理第三条管理部门信息化部是系统账号和权限管理的主责部门,主要工作职责包括:1.负责制定系统相关权限管理体系。
2.管理公司各部门及所属企业系统账号和权限,包括创建账号、修改账号、停用账号、角色分配、权限分配等。
3.负责审核各部门及所属企业提交的系统账号和权限申请事项。
第四条创建账号系统账号与公司办公系统账号及密码一一对应。
1.申请人没有办公系统账号,需要按公司或所属企业相关流程申请创建办公系统账号。
2.申请人已有办公系统账号,可使用办公系统账号和密码登录办公系统后,在工作台的应用入口中点击系统图标,即可直接登录到系统(未授权的账号无任何系统操作权限,需按本办法第五条申请授权)。
第五条系统账号权限说明系统账号权限分为三个大类,分别为数据角色权限、功能角色权限、审核角色权限。
创建系统账号时,需要为账号配置数据角色权限与功能角色权限;审核角色权限单独依据审批流创建。
以上三类系统账号权限会根据业务实际情况不定期进行更新和修改,实际权限以系统最新设置为准。
1.数据角色权限数据角色权限用于分隔业务数据,决定登录用户可查看与操作的数据范围,包括分隔业务机构、业务部门与业务板块等。
2.功能角色权限账号的功能角色权限决定登录用户可查看的具体菜单功能以及菜单功能中的操作按钮,按岗位分工进行功能角色创建。
3.审核角色权限审核角色权限单独依据审批流创建,根据工作分工为用户配置相应的审核角色权限后,该用户即可在对应审批节点收到待办提示,并有权进行相关操作。
第六条账号授权及变更1.账号授权及变更包括给账号增加权限、删除权限、修改用户信息等。
2.账号授权及变更统一通过办公系统进行申请。
申请人在办公系统流程管理中选择系统权限申请,在《系统权限申请审批单》(以下简称《审批单》,模板详见附件)中勾选和填写所需申请事项后,提交进行审批。
用户帐号和口令管理规范
八、
1.用户的责任与义务:
1)所有用户有义务确保自己的口令的安全,系统帐号与口令不泄漏给他人,同时避免使用弱口令;
2)对于使用便携式计算机的用户,应确保设置开机BIOS口令;
3)使用远程登陆的用户,确保不将口令保留在计算机上;
4)不将系统中使用的帐号和口令用于其他个人应用;
4)不要暗示自己口令的格式
5)不要在调查中给出口令
6)不要告诉家人口令
7)休假时不要把自己口令告诉他人
4.如果有任何人需要口令,参照本文档,或者经过部门负责人的特别授权。
5.不要使用非DXC授权和许可的口令记忆软件。
6.如果口令可能被破解了,应立即报告部门负责人和上级部门,并且更改所有口令。
7.口令的更改必须指定两位专人负责,由这两人根据要求定期进行更改。责任人必须保证口令更改的及时性、有效性,同时必须在“重要口令更改记录表”中进行详细记录,并保证在网设备的口令与记录上的口令保持一致。
2)帐号使用人在工作职责发生转变,而不再需要使用系统资源的情况下,应当申请关闭帐号;对不能关闭的帐号则需要转移帐号的责任人;
3.口令的修改
1)帐号的使用人应当定期修改帐号口令,修改口令的间隔应小于本标准的相关规定,对于本标准没有规定的用户,其间隔应当小于6个月;
2)帐号用户必须在管理员要求更改口令时进行更改口令;如果用户拒绝配合,管理员可以在通知用户及其主管后,关闭用户的帐号,以保证系统的安全;
5)当使用SNMP时,communication string不允许使用缺省的Public、Private、system和secret等,并且该communication string不应该和系统的其他口令相同,应该尽量使用SNMPv2以上的版本。
信息系统用户和权限管理制度
信息系统用户和权限管理制度信息系统用户和权限管理制度在发展不断提速的社会中,我们都跟制度有着直接或间接的联系,制度是各种行政法规、章程、制度、公约的总称。
那么什么样的制度才是有效的呢?以下是小编整理的`信息系统用户和权限管理制度,欢迎大家借鉴与参考,希望对大家有所帮助。
第一章总则第一条为加强信息系统用户账号和权限的规范化管理,确保各信息系统安全、有序、稳定运行,防范应用风险,特制定本制度。
第二条本制度适用于场建设和管理的、基于角色控制和方法设计的各型信息系统,以及以用户口令方式登录的网络设备、网站系统等。
第三条信息系统用户、角色、权限的划分和制定,以人力资源部对部门职能定位和各业务部门内部分工为依据。
第四条场协同办公系统用户和权限管理由场办公室负责,其他业务系统的用户和权限管理由各业务部门具体负责。
所有信息系统须指定系统管理员负责用户和权限管理的具体操作。
第五条信息系统用户和权限管理的基本原则是:(一)用户、权限和口令设置由系统管理员全面负责。
(二)用户、权限和口令管理必须作为项目建设的强制性技术标准或要求。
(三)用户、权限和口令管理采用实名制管理模式。
(四)严禁杜绝一人多账号登记注册。
第二章管理职责第七条系统管理员职责负责本级用户管理以及对下一级系统管理员管理。
包括创建各类申请用户、用户有效性管理、为用户分配经授权批准使用的业务系统、为业务管理员提供用户授权管理的操作培训和技术指导。
第八条业务管理员职责负责本级本业务系统角色制定、本级用户授权及下一级本业务系统业务管理员管理。
负责将上级创建的角色或自身创建的角色授予相应的本级用户和下一级业务管理员,为本业务系统用户提供操作培训和技术指导,使其有权限实施相应业务信息管理活动。
第九条用户职责用户须严格管理自己用户名和口令,遵守保密性原则,除获得授权或另有规定外,不能将收集的个人信息向任何第三方泄露或公开。
系统内所有用户信息均必须采用真实信息,即实名制登记。
帐号口令管理制度
帐号口令管理制度一、制度目的为了确保网络安全,保护帐号和个人信息的安全,提高帐号的安全性和可靠性,制定本帐号口令管理制度。
二、适用范围本制度适用于公司所有的员工和外部合作伙伴。
三、口令设置原则1.合法合规:口令的设置必须符合国家相关法律法规和公司的信息安全政策,不得违法违规。
2.复杂性:口令必须具备一定的复杂性,包括大小写字母、数字和特殊字符的组合。
3.定期更新:口令必须定期更新,建议每三个月更新一次。
5.个性化:口令应个性化,避免使用与个人信息相关的内容。
6.口令长度:口令长度应在8-16个字符之间。
7.不重复使用:禁止重复使用以前使用过的口令。
8.不将口令告知他人:禁止将口令告知他人,包括同事、家人等。
如有需要共享帐号,应通过安全渠道进行。
四、口令管理规范1.初始设置:员工在第一次获得帐号时,需要设置一个符合上述口令设置原则的初始口令。
2.定期更新:员工需要定期更改口令,具体更新时间由公司信息安全部门指定。
3.口令保密:员工必须保证口令的安全,不得将口令告知他人,包括同事和家人。
4.口令存储:员工不得将口令以明文形式存储在计算机、云盘、移动存储设备等地方,可以采用加密的方式进行存储。
5.丢失或泄露处理:如果员工发现自己的口令丢失或者泄露,应立即通知公司的信息安全部门,并按照其要求进行处理。
6.暂离电脑时处理:员工在暂离电脑时应将电脑锁屏,以防他人盗用帐号。
五、违规处理措施1.口令不符合要求:对于设置不符合要求的口令,信息安全部门将要求员工立即修改,直到符合要求。
2.未定期更新口令:对于未按规定定期更新口令的员工,信息安全部门将进行警示教育,同时要求尽快更新口令。
3.口令泄露或丢失:对于发现自己的口令被泄露或丢失的员工,信息安全部门将调查原因并采取相应措施,包括重置口令、限制帐号权限等。
4.严重违规处理:对于严重违反本制度的员工,信息安全部门将依据公司相关规定进行严肃处理,包括警告、停职、辞退等。
帐号、口令及权限管理规定
帐号、口令及权限管理规定第一章总则第一条为规范用户账号和口令管理,建立健全账号和口令安全防范和安全保障机制,确保信息系统的安全有效运行,制订本规定。
第二条本管理规范适用于单位机房硬件平台、应用系统的账号的建立、以及权限的审批、账号和权限的评审、权限撤销和账号移除等。
第二章定义第三条用户账号是计算机信息系统通过一定的身份验证机制识别各类操作人员在系统中身份的一种标识。
第四条特权账号是指对系统/网络/数据库等拥有超级权限的人员账号,包含但不限于系统管理员、网络管理员、数据库服务器管理员及数据库管理员等。
第五条权限是指系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束用户能操作的系统功能和内容访问范围,是指某个特定的用户具有特定的系统资源使用的权力。
第三章账号权限申请第六条所有用户账号的开通应通过正式的账号申请审批过程,账号使用者提出并填写《办公网数字身份证书申请表》,根据《访问控制安全管理规范》中的访问控制方针进行审批。
第七条在对系统账号进行申请的过程中,应做到系统账号与责任人一一对应,确保每个账号都有人负责。
第八条系统运行维护管理人员在开通账号前,应依据《办公网数字身份证书申请表》内容检查申请人是否在该系统中拥有其它账号,若没有,方可为用户创建账号并分配相应的权限。
原则上每个用户只能拥有唯一的账号,不得重复申请账号。
第九条系统运行维护管理员应当保存用户账号分配申请记录。
第四章账号使用规则第十条用户在获得账号后,应当立即修改账号默认口令。
第十一条用户账号口令的选择和使用应当与口令保护策略相符合。
第十二条用户账号是用户的唯一标识,只能由本人使用,不得交由他人使用。
第十三条不得多人共用一个账号(特殊系统账号除外)。
第十四条服务器本地管理员账号由系统管理员保管,禁用匿名账号(Guest 账号)。
第五章账号权限变更第十五条在应用系统账号使用过程中,如果账号权限发生变化,应进行重新申请并填写《办公网数字身份证书撤销/停用、恢复、更新申请表》。
公司帐号使用权限管理制度
第一章总则第一条为加强公司帐号管理,确保公司信息安全和业务流程的顺利进行,特制定本制度。
第二条本制度适用于公司内部所有员工及外聘人员使用公司帐号的行为。
第三条本制度旨在明确公司帐号的使用权限、责任和审批流程,规范公司帐号的使用行为,保障公司利益。
第二章帐号类型及权限第四条公司帐号分为以下类型:1. 账户管理员帐号:负责公司内部所有帐号的创建、修改、删除和权限分配;2. 系统管理员帐号:负责公司内部系统的维护、更新和安全管理;3. 业务操作帐号:负责具体业务操作,如销售、采购、财务等;4. 普通员工帐号:负责日常办公和业务辅助工作。
第五条各类帐号权限如下:1. 账户管理员帐号:拥有最高权限,包括创建、修改、删除所有帐号,以及分配各类帐号的权限;2. 系统管理员帐号:拥有系统维护、更新和安全管理权限;3. 业务操作帐号:根据业务需求,拥有相应业务模块的操作权限;4. 普通员工帐号:根据岗位职责,拥有日常办公和业务辅助工作的权限。
第三章帐号申请与审批第六条员工因工作需要申请使用公司帐号,应向部门负责人提出申请,填写《公司帐号申请表》。
第七条部门负责人对申请进行审核,确认无误后,将《公司帐号申请表》报送至IT部门。
第八条 IT部门根据《公司帐号申请表》进行帐号创建,并将帐号信息通知部门负责人。
第九条部门负责人将帐号信息通知申请人,并要求申请人进行密码设置。
第四章帐号使用与管理第十条员工使用公司帐号时,应遵守以下规定:1. 不得将帐号借给他人使用;2. 不得使用公司帐号进行非法活动;3. 不得随意更改帐号密码;4. 不得泄露公司帐号信息。
第十一条帐号密码应定期更换,密码长度不少于8位,包含大小写字母、数字和特殊字符。
第十二条帐号使用过程中,如发现异常情况,应及时报告给部门负责人和IT部门。
第五章帐号变更与注销第十三条员工因工作变动、离职等原因需要变更或注销帐号,应向部门负责人提出申请。
第十四条部门负责人对申请进行审核,确认无误后,将《公司帐号变更/注销申请表》报送至IT部门。
帐号口令及权限管理制度
帐号口令及权限管理制度1.引言帐号口令及权限管理制度是一项重要的安全管理措施,旨在保护企业和个人的信息安全。
本制度的目的是确保只有授权人员才能访问和操作相关系统和数据,并采取适当的措施防止未经授权的访问和滥用行为。
以下是本制度的详细内容。
2.帐号创建与维护2.1帐号创建2.1.1所有帐号的创建必须由授权的管理员进行,并按照相关的注册程序和流程。
2.1.2每位用户只能拥有一个帐号。
2.1.3在申请帐号时,用户必须提供真实、准确的个人信息,并承诺遵守相关的安全规定。
2.2帐号维护2.2.1所有帐号必须定期进行管理和维护,包括删除未使用或已经过期的帐号。
2.2.2忘记密码或需要重置密码的用户必须按照规定的流程进行密码重置,不得向任何人泄露密码。
3.口令安全与管理3.1口令设置3.1.1所有帐号必须设置强密码,密码长度不得少于8位,包括大小写字母、数字和特殊字符。
3.1.2口令应定期更换,推荐每3个月更换一次。
3.1.3不得使用容易猜测的密码,如生日、手机号等个人信息。
3.2口令保密3.2.1口令是用户访问和操作系统的凭证,用户必须将口令妥善保管,不得向他人泄露。
3.2.2在公共场所或他人办公区域时,用户必须确保隐藏或者锁定屏幕,防止他人窥视。
3.3口令修改与重置3.3.1在发现口令泄露的情况下,用户必须立即向管理员报告,并按规定的流程进行密码重置。
3.3.2口令重置的申请必须经过管理员审核和验证,用户需提供必要的身份信息。
4.权限管理与控制4.1权限授予4.1.1权限授予必须按照岗位职责和业务需求进行,仅限于用户需要进行正常工作所必须的权限。
4.1.2权限授予必须经过授权管理员的审批和记录,并定期进行复核。
4.2权限验证与审计4.2.1系统必须实现权限验证机制,确保只有拥有合法权限的用户才能访问和操作系统和数据。
4.2.2进行权限审计,定期检查和验证用户的权限使用情况,防止权限滥用和非法操作。
4.3帐号注销4.3.1当用户离开公司或者岗位变动时,管理员必须及时注销相关的帐号,防止未经授权的访问和滥用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.1
为了实现西藏电信所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
系统自带超级用户:例如unix的root,windows的administrator,数据库的dba,这类用户由于系统缺省使用,通常是口令攻击者的攻击目标,因此必须妥善加以保护。
手工定义的超级用户:基本上所有系统都可以定义基本与系统缺省超级用户等同权限的用户(一般在权限方面略又差别)。
3.2.2
普通用户是用户用于访问业务系统,实现日常业务操作的用户,是最为常见的用户类型,例如email帐号、BOSS系统帐号、操作系统普通用户等。该类用户主要包括以下二类:
系统必须有严格的安全日志机制并打开安全日志,该安全日志应该收集到部门的专门日志集中管理主机上,日志应该能至少保存过去6个月的日志。
规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口令的要求,提供口令生成的指南;
确定权限分析和管理的基本原则和规范;
确定审计需要完成的各项工作;
给出流程中需要的各种表格。
1.3
网络和业务系统范围
适用范围包括CMNET、网管、MDCN、BOSS、OA/MIS等西藏电信全网所有计算机信息系统和IP网络。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。特别是snmp口令的缺省配置常常成为一个严重的问题。这些问题有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
超级用户口令应尽可能采用一次性口令或者双要素口令认证。超级用户口令要求每个月不定期变更两次以上,普通用户口令要求每个月变更一次;对于3个月没有使用的帐号应该评估是否删除;
用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用户有权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需要的信息,其他信息则不能被该用户访问;
采用比较复杂的口令,定期修改
采用比较复杂的口令,定期修改
不需要存在
第三级别
建议采用增强口令认证
采用比较复杂的口令,定期修改
采用比较复杂的口令,定期修改
必须存在
第四级别
建议采用增强口令认证
建议采用增强口令认证
不允许存在
必须存在
3.3
3.3.1
设备或者应用系统由系统维护部门的系统管理员自行管理和划分权限。
员工所在部门安全管理人员:负责审批、登记备案用户权限。
3.2
电信的帐号应基于统一的角色进行管理。帐号的角色可以从电信业务角度分或从IT管理角度分。如果从IT管理角度可以分为以下部分。
3.2.1
系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。超级用户和系统管理员帐号又可以分为以下二种:
3.2.4
在核心系统中,应该设置安全审计员帐号,该帐号可以对系统安全设置和日志信息进行专门的审计。
3.2.5
对于我们的四级保障体系,每一级别存在的不同用户类型和需求如下:
系统管理员帐号
普通帐号
第三方帐号
安全审计帐号
第一级别
采用比较复杂的口令,定期修改
无要求
无要求
不需要存在
第二级别
采用比较复杂的口令,定期修改
评估报告的内容应该包括:
所有主机资产列表
每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别
根据第三、四五章的要求,明确每一级别需要遵守的规范细节
评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安全办公室。
存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易
不会导致民事或者刑事犯罪
存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公司常用信息例如通讯录被泄漏。
一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。该帐号失窃可能导致用户信息的泄漏。
系统的帐号管理应该支持用户名和口令的机制,口令的存储尽量采用加密的方式;
系统管理员自行审计和处理帐号的存在和启用是否合理。
3.3.2
本级别的需求应至少包括并高于其下等级的所有规范要求;
非经部门系统管理员授权,不允许匿名账号的存在;
口令应该以加密方式存储;
不允许共享账号和口令,除非由部门经理授权,不允许将个人使用的口令告诉他人;
帐号口令管理制度
第1章
1.1
随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。主要表现在以下方面:
1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
2.2
第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2
本管理办法的主要内容包括:
定义帐号、口令和权限管理的不同保障级别;
明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号管理的流程:包括帐号的申请、变更、注销和审计;
会导致民事或者刑事犯罪
大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
关键系统,例如计费系统数据库主机的操作系统和数据库。
用于存储公司最高商业机密或密级为绝密的系统的认证。
第3章
3.1
员工所在班组:负责发起员工帐号的创建、变更和撤消申请;
员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负责帐号的具体生成、变更和删除,并进行定期审计;
2.3.4
描述
等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能导致:
给所有电信、客户或者第三方带来巨大的不便
给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失
会给电信、客户或者第三方带来极大的不快
会给电信、客户或者第三方带来巨大名誉或者地位的损失
破坏电信、客户或者第三方需要执行的商业措施或者交易
不会导致民事或者刑事犯罪
不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的损失。
未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软件代码泄密的问题的情况下)
系统必须打开安全日志,并保存1个月以上的安全日志。
3.3.3
本级别的需求应至少包括并高于其下等级的所有规范要求;
要求必须在帐号相关备注字段或者一个集中的数据库中明确帐号的详细信息,至少包括名字、联系电话、email;
由于系统存在缺省帐号例如root、administrator帐号可能给口令猜测和系统漏洞利用提供方便,因此在可能的情况下可以不使用该类帐号。在条件许可的情况下,开发并使用一些工具(routine),避免向用户授予超级权限;
帐号、口令和权限管理包括不同的层次范围
帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。
1.4
本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的级别划分要求对所有主机、数据和应用系统进行评合于哪些系统。
存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易
会导致民事或者刑事犯罪
存在较大风险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一般的主机操作系统、数据库、和路由器的高权限帐号,例如root、administrator、dba等。
业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。