2.5 帐号口令及权限管理制度
权限、口令、加密管理制度
第一十一条系统管理员每月应检查帐号的有效性,并维护和及时更新《用户帐号权限登记表》。在设备验收时删除系统的测试帐号,对需要保留的帐号应重新进行密码设置;及时删除不再需要的帐号,及时清理可疑帐号,锁定两个月以上不用的帐号。禁止与系统无关的人员在系统上拥有帐号。
第五章
a)《物理环境安全管理制度》
b)《介质安全管理制度》
c)《访问控制安全管理制度》
第六章
第一十九条本管理规定自发布之日起开始实施;
第二十条本管理规定的解释和修改权属于信息安全管理委员会;
第二十一条信息安全管理委员会每年统一检查和评估本管理规定,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。
XX公司xx系统对系统管理员的帐号、权限使用/变更申请需要通过变更流程进行审批,系统管理员对一般用户的帐号、权限使用/变更申请进行审批。
帐号、权限开通/变更后,由系统管理员填写/更新《用户帐号、权限登记表》。
第一十四条权限的回收管理
当系统管理员调动、离职,由其填写《用户帐号、权限登记表》,经管理负责人批准后备案。新任系统管理员必须在规定时限内修改、删除或锁定原系统管理员的帐号密码。
对于多人共享帐号,当共享同一组帐号的多名通信设备及系统维护人员中有人调职或离职时,系统管理员应及时变更该组帐号密码。
2.2
第一十五条帐号密码(或称“口令”)组成必须包含大小写字母、数字、标点等不同的字符组合,长度一般要求在6位以上,重要通信设备及系统应在8位(含8位)以上,并至多90天更换一次。禁止使用姓名、电话号码、生日等容易猜测的字符串作为密码,也不应使用单个单词作为密码。
第三方人员管理制度
第三方人员管理制度第三方人员管理制度「篇一」第一章总则第一条为了规范第三方用户在共享学校内部信息、或访问内部信息系统时的行为,保护学校网络与信息系统安全,特制定本管理办法,用于内部管理对第三方机构和人员进行安全管理。
第二章适用范围第二条本管理办法适用的第三方包括学校的其他部门、相关的教育机构、网络监管部门、网络信息的产品供应商、代维服务商、合作厂商等,制度的执行和责任由与第三方接触的相关部门承担。
第三条第三方合作伙伴在涉及到共享内部信息、或访问内部信息系统时,必须遵守本管理办法。
第四条在网络与信息安全工作中,本管理办法是指导第三方安全管理的基本依据,相关组织和人员必须认真执行本管理办法,并根据工作实际情况,制定并遵守相应的实施细则和操作流程,做好第三方安全管理工作。
第三章来访出入管理第五条第三方人员进入学校中心机房或相关实验室时,应遵守学校相关安保制度。
第六条接待部门应当建立第三方来访预约制度和接待记录制度。
对第三方人员的访问应进行登记,详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。
第七条第三方人员访问过程中,必须安排专人陪同,不得任其自行走动。
第八条未经特别许可,第三方人员不得在机房、实验室内摄影、拍照。
第九条如因业务需要须向第三方提供含有学校内部保密信息的文件、资料或实物的,接待人应当在获得相应的批准或授权,并与第三方签订保密协议后再行提供,提供时应开具清单请第三方签收。
第四章机房出入管理第十条除以下情况外,不得引领和允许第三方人员访问机房等重要区域:1.学校领导批准的参观活动;2.必要的仪器设备现场安装、维修、调测;3.第三方因业务需要进入上述区域的其它情形。
第十一条第三方人员访问机房须遵守机房管理相关规定。
第十二条第三方人员进入计算机房或进行上机操作,须经信息化部门领导或安全负责人批准,并进行相应登记,记录原因、目的及操作内容,指定专人全程陪同。
第五章网络访问管理第十三条第三方人员不允许私自连接学校内部网络。
帐号口令管理制度
帐号口令管理制度一、总则随着互联网的快速发展,大量的个人信息和企业机密都存储在互联网上,因此帐号安全是至关重要的。
帐号口令是保障帐号安全的第一道防线。
为了强化帐号口令管理,减少帐号被盗的风险,本制度制定,以规范化、标准化、统一化帐号口令管理工作,加强帐号安全保护。
二、适用范围本制度适用于所有公司内部帐号口令管理工作。
三、帐号口令的要求1. 复杂度要求:帐号口令要求使用字母、数字、特殊字符的组合,长度不少于8位。
2. 定期更新:所有帐号口令需定期更新,建议每3个月更新一次。
3. 不易猜测:帐号口令不得使用与个人相关的信息,如生日、姓名、电话号码等。
4. 禁止共用:帐号口令严禁共用,每个帐号只能由相应的人员使用。
5. 安全保管:帐号口令应妥善保管,不得随意泄露给他人。
6. 即时处理:一旦发现帐号口令异常,应立即修改并报告相关部门。
四、帐号口令管理流程1. 设定帐号口令:由管理员为新帐号设定初始口令,口令需符合复杂度要求。
2. 定期更新口令:系统会定期提示用户更新口令,用户需按要求更改口令。
3. 口令修改记录:用户每次修改口令后,系统需记录下修改的时间和人员。
4. 强制修改口令:如果发现口令存在安全隐患,管理员有权强制要求用户修改口令。
五、帐号口令管理责任1. 管理员职责:负责制定和执行帐号口令管理制度,监督帐号口令的使用情况。
2. 用户责任:用户应严格遵守本制度规定,妥善保管自己的帐号口令。
3. 安全部门职责:负责对帐号口令进行安全评估和检测,及时发现并解决存在的安全隐患。
4. 监督部门职责:对各部门的帐号口令管理情况进行监督检查,发现问题及时提出整改建议。
六、帐号口令管理的技术保障1. 密码加密:对用户的帐号口令进行加密存储,防止明文存储导致泄露。
2. 口令强度检测:系统能够对用户设置的口令强度进行评估,提供安全性建议。
3. 口令过期提醒:系统会在口令过期前提醒用户及时更改口令,防止口令长时间未更换。
帐号口令管理制度
帐号口令管理制度一、制度目的为了确保网络安全,保护帐号和个人信息的安全,提高帐号的安全性和可靠性,制定本帐号口令管理制度。
二、适用范围本制度适用于公司所有的员工和外部合作伙伴。
三、口令设置原则1.合法合规:口令的设置必须符合国家相关法律法规和公司的信息安全政策,不得违法违规。
2.复杂性:口令必须具备一定的复杂性,包括大小写字母、数字和特殊字符的组合。
3.定期更新:口令必须定期更新,建议每三个月更新一次。
5.个性化:口令应个性化,避免使用与个人信息相关的内容。
6.口令长度:口令长度应在8-16个字符之间。
7.不重复使用:禁止重复使用以前使用过的口令。
8.不将口令告知他人:禁止将口令告知他人,包括同事、家人等。
如有需要共享帐号,应通过安全渠道进行。
四、口令管理规范1.初始设置:员工在第一次获得帐号时,需要设置一个符合上述口令设置原则的初始口令。
2.定期更新:员工需要定期更改口令,具体更新时间由公司信息安全部门指定。
3.口令保密:员工必须保证口令的安全,不得将口令告知他人,包括同事和家人。
4.口令存储:员工不得将口令以明文形式存储在计算机、云盘、移动存储设备等地方,可以采用加密的方式进行存储。
5.丢失或泄露处理:如果员工发现自己的口令丢失或者泄露,应立即通知公司的信息安全部门,并按照其要求进行处理。
6.暂离电脑时处理:员工在暂离电脑时应将电脑锁屏,以防他人盗用帐号。
五、违规处理措施1.口令不符合要求:对于设置不符合要求的口令,信息安全部门将要求员工立即修改,直到符合要求。
2.未定期更新口令:对于未按规定定期更新口令的员工,信息安全部门将进行警示教育,同时要求尽快更新口令。
3.口令泄露或丢失:对于发现自己的口令被泄露或丢失的员工,信息安全部门将调查原因并采取相应措施,包括重置口令、限制帐号权限等。
4.严重违规处理:对于严重违反本制度的员工,信息安全部门将依据公司相关规定进行严肃处理,包括警告、停职、辞退等。
账号使用登记和操作权限管理制度
每年对整个公司的账号使用和操作进行全面考核,以评估公司
的整体表现。
违规处理与惩罚措施
警告
对于轻微违规行为,先给予口头警告,并 要求立即改正。
停职检查
对于情节特别严重的违规行为,可以暂时 停职,接受进一步调查和处理。
罚款
对于严重违规行为,可以处以一定金额的 罚款,以示惩戒。
解雇
对于造成重大损失或多次违规的员工,可 以予以解雇。
系统管理员分配账号
系统管理员根据审批结果,为申请人分配唯一的账号和初始密码 。
账号使用规范
账号使用规定
账号仅限于申请人使用,严禁私自转让、出租或 出售账号。
密码保密要求
申请人应严格保密账号密码,不得泄露给第三方 。
登录记录检查
申请人应定期检查登录记录,确保无异常登录情 况。
账号安全与保密责任
安全责任
制度范围
适用对象
公司内部所有员工、临时工、外部合作伙伴等。
适用范围
涉及公司内部业务系统、办公系统、财务系统、人力资源系统等各类账号和操作 权限。
02
账号使用登记管理
账号申请与审批流程
申请人提交申请资料
申请人需提交有效的身份证明和申请表格,说明使用账号的目的 和范围。
部门负责人审批
部门负责人需对申请资料进行审核,确保申请符合规定。
1 2
使用规范
获得权限后,用户应严格按照权限定义使用, 不得越权操作。
保密义务
用户应严格保密所获得的权限信息,不得泄露 给无关人员。
3
定期审查
管理员应定期审查用户的使用情况,确保权限 使用合规。
04
监督与考核机制
监督制度
01
02
账号和口令及权限管理办法
xxxxx网络与信息安全账号、口令及权限管理办法保密申明本文档版权由xxxxx所有。
未经xxxxx书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播目录编制说明 (3)第一章总则 (4)第二章组织和职责 (4)第三章账号管理 (4)第四章密码管理 (5)第五章权限管理 (6)第六章附则 (6)第一节文档信息 (6)第二节版本控制 (7)编制说明本制度依据我国信息安全的有关法律法规,结合xxxxx《xxxxx网络与信息安全总纲》及自身工作特点,参考国家有关信息安全标准制定。
《xxxxx网络与信息安全——账号、口令及权限管理办法》规范账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险。
本办法包括三部分:“账号管理”规范账号角色和账号审计等;“密码、口令管理”规范密码长度、复杂度等;“权限管理”规范“最小授权”原则访问。
第一章总则第一条为加强xxxxx工作人员对于系统账号、口令及权限的安全管理,规范xxxxx的账号、口令及权限的使用,降低由于滥用、越权等威胁带来的风险,特制订本办法。
第二条适用范围:本办法适用于xxxxx所有使用、管理IT 设备的工作人员。
第二章组织和职责第三条xxxxx所有非终端类IT设备的账号申请和权限审批应由技术部负责统一管理。
技术部应根据xxxxx相关规定和要求创建、变更和撤销相应人员的账号及权限。
第四条终端类IT设备的账户、密码管理由该设备的使用或管理人员自行按照本规定执行。
第五条xxxxx技术部应负责登记、备案所有非终端的IT设备的账号,并定期对用户账号和权限进行监督、检查。
第六条xxxxx各设备、各应用系统的运行维护人员应严格控制账号的生成、变更和删除以及账号的角色和权限。
第三章账号管理第七条xxxxx非终端类各设备、各应用系统的运行维护人员在设备或应用系统具备条件的情况下,应根据不同人员的职能确定其用户账号角色,账号至少应当分为以下角色:(一)系统级管理员:负责维护系统的管理人员,一般应具有超级用户权限,原则上只能有一个系统级管理员账户,且不能与其他人共用;(二)普通用户:访问系统的普通用户,一般只具有相应访问内容和操作的最小权限;(三)第三方人员:临时或长期进行系统维护的非xxxxx内部人员,应当根据第三方人员的维护范围确定其使用权限;(四)安全审计人员:进行安全检查的人员,应能够查看系统的日志和审计信息。
帐号口令及权限管理制度
帐号口令及权限管理制度1.引言帐号口令及权限管理制度是一项重要的安全管理措施,旨在保护企业和个人的信息安全。
本制度的目的是确保只有授权人员才能访问和操作相关系统和数据,并采取适当的措施防止未经授权的访问和滥用行为。
以下是本制度的详细内容。
2.帐号创建与维护2.1帐号创建2.1.1所有帐号的创建必须由授权的管理员进行,并按照相关的注册程序和流程。
2.1.2每位用户只能拥有一个帐号。
2.1.3在申请帐号时,用户必须提供真实、准确的个人信息,并承诺遵守相关的安全规定。
2.2帐号维护2.2.1所有帐号必须定期进行管理和维护,包括删除未使用或已经过期的帐号。
2.2.2忘记密码或需要重置密码的用户必须按照规定的流程进行密码重置,不得向任何人泄露密码。
3.口令安全与管理3.1口令设置3.1.1所有帐号必须设置强密码,密码长度不得少于8位,包括大小写字母、数字和特殊字符。
3.1.2口令应定期更换,推荐每3个月更换一次。
3.1.3不得使用容易猜测的密码,如生日、手机号等个人信息。
3.2口令保密3.2.1口令是用户访问和操作系统的凭证,用户必须将口令妥善保管,不得向他人泄露。
3.2.2在公共场所或他人办公区域时,用户必须确保隐藏或者锁定屏幕,防止他人窥视。
3.3口令修改与重置3.3.1在发现口令泄露的情况下,用户必须立即向管理员报告,并按规定的流程进行密码重置。
3.3.2口令重置的申请必须经过管理员审核和验证,用户需提供必要的身份信息。
4.权限管理与控制4.1权限授予4.1.1权限授予必须按照岗位职责和业务需求进行,仅限于用户需要进行正常工作所必须的权限。
4.1.2权限授予必须经过授权管理员的审批和记录,并定期进行复核。
4.2权限验证与审计4.2.1系统必须实现权限验证机制,确保只有拥有合法权限的用户才能访问和操作系统和数据。
4.2.2进行权限审计,定期检查和验证用户的权限使用情况,防止权限滥用和非法操作。
4.3帐号注销4.3.1当用户离开公司或者岗位变动时,管理员必须及时注销相关的帐号,防止未经授权的访问和滥用。
帐号口令及权限管理制度
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
帐号口令管理制度目录第一章总则 (4)1.1概述 (4)1.2目标 (5)1.3范围 (5)1.4要求 (5)第二章帐号、口令和权限管理的级别 (7)2.1关于级别 (7)2.2如何确定级别 (7)2.3口令、帐号和权限管理级别的定义 (7)2.3.1等级1 –最低保障 (8)2.3.2等级2-低保障级别 (8)2.3.3等级3 –坚固保障级别 (9)2.3.4等级4 –最高保障等级 (9)第三章帐号管理 (11)3.1职责定义 (11)3.2口令应该以用户角色定义 (11)3.2.1系统管理员/超级用户 (11)3.2.2普通帐号 (11)3.2.3第三方用户帐号 (12)3.2.4安全审计员帐号 (12)3.2.5对于各类帐号的要求 (12)3.3帐号管理基本要求 (13)3.3.1保障等级一需要遵守的规范 (13)3.3.2保障等级二需要遵守的规范 (13)3.3.3保障等级三需要遵守的规范 (13)3.3.4保障等级四需要遵守的规范 (14)3.4帐号管理流程 (14)3.4.1创建用户帐号 (14)3.4.2变更用户 (17)3.4.3撤销用户 (19)3.4.4定期复审 (20)第四章口令管理 (21)4.1通用策略 (21)4.2口令指南 (21)4.2.1口令生成指南 (21)4.2.2口令保护指南 (22)第五章权限管理 (24)5.1概述 (24)5.2根据工作需要确定最小权限 (24)5.3建立基于角色的权限体系 (24)5.4审计人员权限的界定 (25)5.5第三方人员权限设定 (26)第一章总则1.1 概述随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。
主要表现在以下方面:1.西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。
所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
2.由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。
3.弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。
特别是snmp口令的缺省配置常常成为一个严重的问题。
这些问题有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
4.即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。
5.由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。
1.2 目标本管理办法的主要内容包括:●定义帐号、口令和权限管理的不同保障级别;●明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号管理的流程:包括帐号的申请、变更、注销和审计;●规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口令的要求,提供口令生成的指南;●确定权限分析和管理的基本原则和规范;●确定审计需要完成的各项工作;●给出流程中需要的各种表格。
1.3 范围●网络和业务系统范围适用范围包括CMNET、网管、MDCN、BOSS、OA/MIS等西藏电信全网所有计算机信息系统和IP网络。
●帐号、口令和权限管理包括不同的层次范围帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。
1.4 要求●本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一级别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。
●评估报告的内容应该包括:⏹所有主机资产列表⏹每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别⏹根据第三、四五章的要求,明确每一级别需要遵守的规范细节●评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安全办公室。
第二章帐号、口令和权限管理的级别2.1 关于级别为了实现西藏电信所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。
通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
2.2 如何确定级别第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。
由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。
风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。
风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。
当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。
另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。
请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
2.3 口令、帐号和权限管理级别的定义本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。
2.3.1等级1 –最低保障描述在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:●给电信、客户或者第三方带来最小的不便●不会给电信、客户或者第三方带来直接的经济损失●不会给电信、客户或者第三方带来不快●不会给电信、客户或者第三方带来名誉或者地位的损失●不会破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的损失。
●未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软件代码泄密的问题的情况下)2.3.2等级2-低保障级别描述通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。
这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较小的不便●给电信、客户或者第三方带来较小直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较小的不快●会给电信、客户或者第三方带来较小名誉或者地位的损失●存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易●不会导致民事或者刑事犯罪●存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公司常用信息例如通讯录被泄漏。
●一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。
该帐号失窃可能导致用户信息的泄漏。
2.3.3等级3 –坚固保障级别描述通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:●给电信、客户或者第三方带来较大的不便●给电信、客户或者第三方带来较大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来较大的不快●会给电信、客户或者第三方带来较大名誉或者地位的损失●存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●存在较大风险,可能大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●一般的主机操作系统、数据库、和路由器的高权限帐号,例如root、administrator、dba等。
●业务系统的关键管理帐号,可以读写重要的用户信息、业务信息和帐单信息。
2.3.4等级4 –最高保障等级描述等级四的保障通常对应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能导致:●给所有电信、客户或者第三方带来巨大的不便●给电信、客户或者第三方带来极大直接的经济损失或者没有直接经济损失●会给电信、客户或者第三方带来极大的不快●会给电信、客户或者第三方带来巨大名誉或者地位的损失●破坏电信、客户或者第三方需要执行的商业措施或者交易●会导致民事或者刑事犯罪●大量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息举例:●关键系统,例如计费系统数据库主机的操作系统和数据库。
●用于存储公司最高商业机密或密级为绝密的系统的认证。
第三章帐号管理3.1 职责定义●员工所在班组:负责发起员工帐号的创建、变更和撤消申请;●员工所在部门系统管理员:负责维护和管理业务系统,对业务系统负全责,具体负责帐号的具体生成、变更和删除,并进行定期审计;●员工所在部门安全管理人员:负责审批、登记备案用户权限。
3.2 口令应该以用户角色定义电信的帐号应基于统一的角色进行管理。
帐号的角色可以从电信业务角度分或从IT管理角度分。
如果从IT管理角度可以分为以下部分。
3.2.1系统管理员/超级用户系统管理员和超级用户是有权限对系统的配置、系统最核心信息进行变更帐号的角色,通常每个系统至少具有一个或者一组该类帐号,该类帐号的管理应该最为严格,因为这些帐号可以对系统产生重大影响。