深圳某应用系统安全管理

应用系统安全管理

流程总述

本流程描述了深圳某某应用系统安全管理方面的一般性流程，包括对用户、系统的管理和安全监控等方面。

流程描述

2.1应用系统安全综述

2.2对用户的管理

2.2.1帐号管理

222认证管理

223权限管理

2.3对系统的管理

1.1.应用系统安全综述

深圳某某公司总经理办公室负责公司内部应用系统的安全管理，实施、配置、管理逻辑安全工具和技术，以限制对应用系统的访问，保证系统的安全，避免出现对信息系统及数据未授权和不恰当访问的情况。

1.2.对用户的管理

本流程描述中对用户的管理包括用户管理、认证管理和权限管理，其逻辑关系表现为：系统中的用户首先需要按照业务需求进行增加、修改和删除并设置相应的安全机制；为了保证逻辑权限安全，必须具有一定的身份识别和认证机制，保证只有有效的用户才能进入系统；一旦认证为合格用户进入系统，系统应该识别该用户具有哪些经过审批的权限并允许用户实际进行操作。

2.2.1帐号管理

用户帐号的管理是对用户管理的基础，集团IT中心制定了《信息安全策略》＜ GC-e-1＞，规定设置用户帐号的时候，系统中的每一个帐号只能对应一个用户或合作方，以区别身份

［应用系统中的每一帐号必须只能对应一个用户，以区分身份和划分责任。］（控制活动编号：＜GC-E-1＞。用户登录应用系统时，使用自己的帐号进行登录。

为了保证系统安全，要求应用系统的管理人员在系统启用的时候，修改默认帐号的密码。应用系统管理员将系统中不使用的默认用户设为非激活状态。［应用系统的使用人员必须

修改各自的默认密码，同时对不需要的帐号进行删除或锁定。］（控制活动编号：＜GC-E-2＞）

应用系统管理员拥有该应用系统的最高权限，对系统特权的不当使用经常成为导致系统产生漏洞和故障的一个主要因素，因此总经理办公室明确定义操作系统管理员的职责。应用

系统管理员必须保证正确设置和管理系统的各项参数和用户，处理系统出现的故障，监控系统运行状态和日志，保证应用系统安全、高效的运行。同时总经理办公室对具有应用系统管理员权限的人员数量进行严格限制。当应用系统正式运行时，总经理办公室明确定义具有系统管理员权限的人员和责任，目前应用系统管理员、操作系统管理员、数据库管理员为同一人。当应用系统管理员变化时，总经理办公室（畐U）主任重新指定应用系统管理员，并立即进行密码的变更与更新记录。操作系统管理员的职责在《岗位说明书》＜GC-e-2＞

有

明确的说明［信息系统管理部门必须明确定义具有应用系统管理员权限的人员和责任。应用系统管理员与操作系统、数据库管理员不能为同一个人。］（控制活动编号：vGC-E-3＞）。缺陷：应用系统管理员与操作系统管理员、数据库管理员相同。

222认证管理

密码或其它鉴别机制提供了一种验证用户身份的手段，建立了对信息处理设备和服务的访问权限。应用系统有身份认证机制，保证只拥有合法身份的用户才能访问系统。用户登陆系统需通过密码进行身份认证。集团IT中心制定了《信息系统帐号管理规定》＜GC-e-3＞，对密码长度、密码复杂性、更换周期（每季度）等作出了具体要求［应用系统的本地和远

程用户必须通过密码或其它鉴别机制进行认证。密码应定期（至少每季度一次）更换，并有格式规定（如密码长度，密码应包含字符、密码格式）。］（控制活动编号：＜GC-E-4＞）。

2.2.3权限管理

应用系统管理员拥有应用系统的最高权限，公司对拥有应用系统管理员权限的用户需要进行严格管理。应用系统管理员的重要操作（帐号与系统参数管理）记录在《应用系统维护日志》＜GC-e-4＞。日志可以由系统自动记录和人工记录组成。对于系统无法自动记录的重要操作，由人工记录，并由独立于应用系统管理员的人员对该操作使用的命令和参数及时进行复核。总经理办公室信息技术组主管或（副）主任定期对维护日志中的执行人、执行时间、执行命令等内容进行审核［应用系统管理员执行的重要操作必须记录日志。信息系统管理部门主管应定期（至少每月一次）

审核应用系统管理员的操作日志。］（控制活动编号：＜GC-E-5＞））

应用系统的用户权限必须和用户岗位需求一致。用户申请帐号和权限时，提交《用户权限

申请表》＜GC-e-5＞,由用户所在部门管理人员和总经理办公室（副）主任对用户申请权限和原因进行审批，应用系统管理员根据审批后的申请表，设置用户的帐号和操作权限。用户

所在部门管理人员和总经理办公室（畐9）主任每半年复核用户权限，确保授权正确，出具《用户权限复核表》＜GC-e-6＞［信息系统管理部门必须设置并定期（至少每半年一次）复核用户权限的性质和范围］（控制活动编号：＜GC-E-6＞）。

信息系统管理部门规定当用户离职或者在部门间岗位变动后，需要变更用户在系统中的权限时，由用户所在部门管理人员或人力资源部门向总经理办公室提交《人员岗位变动通知》＜GC-e-7＞,并由用户所在部门管理人员和总经理办公室（副）主任对用户变更的权限和原因进行审批。应用系统管理员根据审批的《人员岗位变动通知》对用户权限进行及时调整［员工晋升、调职或离职等角色职责变化时，必须通知应用系统管理员。］（控制活动编号：

＜GC-E-7＞））

13对系统的管理

本流程主要对应用系统的安全设置管理进行描述。补丁安装请参考系统变更流程描述。应用系统参数的变更会影响整个系统的运行，所以当应用系统参数或配置需要调整时，应用系统管理人员必须根据公司或者业务的需要进行管理。

系统管理员在执行影响系统安全和性能的关键操作时，向总经理办公室信息技术组主管或（副）主任提交《应用系统参数修改申请表》＜GC-e-8＞，总经理办公室信息技术组主管或（副）主任对修改的内容和原因进行审批，审批通过后，才能对参数进行修改。同时操作过程记录在《应用系统维护日志》中，并由独立于应用系统管理员的人员对该操作命令和参数及时进行复核。应用系统管理员根据修改内容在一周内更新《应用系统配置表》［应用系统管理员在执行关键操作或对涉及系统安全的参数修改前，必须由信息系统管理部门主管对

修改内容、时间、原因、方法、人员等内容进行审批，操作完成后及时更新应用系统参数配置记录。］（控制活动编号：＜GC-E-8＞）。

在系统的运行过程中，应用系统中的系统参数要得到有效的管理。应用系统管理员每半年

检查系统的各项关键参数的配置，与正确的配置进行比较，填写《应用系统参数检查记录》＜GC-e-9＞，保证系统参数设置正确，没有被非法修改。总经理办公室信息技术组主管或（副）主任每半年审核检查记录［应用系统管理员必须定期（至少每半年一次）检查应用系统配置参数，并由信息系统管理部门主管人员定期（至少每半年一次）审核检查记录，以保证系统参数设置正