安全培训-员工v1.2.ppt

《信息系统访问控制管理办法》 5.1信息系统授权管理 5.1.1信息系统使用部门应建立安全可靠的授权管理制度，并落实授权责任人。 5.1.2信息系统的授权管理 由用户提交信息系统用户授权变更申请，本单位主管领导批准后，报信息系统部及相关管理部门审批。 信息系统维护部门根据已审批通过的授权变更申请在相应信息系统中建立对应的用户标识，并进行正确的授权。 当用户的工作角色或岗位发生变更，或者解聘时，用户所在部门三日内提交信息系统用户授权变更申请，经本部门主管领导核准后，报信息系统部审批。信息系统维护部门根据审批通过的信息系统用户授权变更申请变更、取消或封锁该用户的访问权。 用户因公外出，需要进行与信息系统相关工作的委托操作时，应先经信息系统使用部门主管领导批准后进行委托。 5.1.3外来人员的授权管理 外来人员需要访问集团信息系统时，需由信息系统使用部门提出申请，并经信息系统使用部门主管领导批准，并报人力资源部门审批。 信息系统维护部门根据审批结果，在相应信息系统中建立对应的用户标识，并进行正确的授权。 外来人员结束对信息系统的访问时，信息系统使用部门或信息系统维护部门负责及时取消或封锁该用户的访问权，并报人力资源部登记备案。 5.1.4特殊权限管理 特殊权限的申请应由信息系统维护部门提交申请，申请中应说明特殊权限的唯一标识、特殊权限责任人、特殊权限操作范围、特殊权限开启和关闭时间，经本部门主管领导批准后，报信息系统部及相关部门审批。 信息系统维护部门按审批情况实施特殊权限的授权操作，实施结果报信息系统部备案。 特殊权限授权到期后，信息系统维护部门应立即取消或封锁该用户的特殊权限，登记并报信息系统部备案。 5.1.5账号与口令管理 集团员工账号进行统一的编码，外部人员账号应区别于集团员工编码，并具有唯一性和可追溯性。 在用户首次使用计算机系统时，信息系统维护部门应提供一个安全的初始口令，并要求其在初次登录信息系统时立即修改；初始口令应以安全的方式给予用户，不得通过未经许可的第三方传递口令。 信息系统维护部门应确保信息系统不使用明文方式存储用户口令，信息系统所有用户也应确保自己持有的口令不以未保护的形式保存。 信息系统维护部门应在操作系统或系统软件安装完毕后立即修改供应商提供的默认口令。 账号与口令的设置应执行《浙江吉利控股集团信息系统安全管理办法》中的相关规定。 5.1.6用户访问权限的检查 信息系统部会同信息系统使用部门至少每季度一次对信息系统授权明细进行检查，发现问题时，由信息系统部下发整改通知，并督促完成整改。 5.2 信息系统访问控制 5.2.1安全登录程序 信息系统维护部门应配置操作系统及应用软件，限制所允许的不成功登录尝试次数；在系统日志中记录任何不成功和成功的登录尝试，在达到登录的最大尝试次数时，断开用户的网络连接并向系统日志发送信息。 信息系统维护部门应确保程序在无操作动作超时时，系统能自动终止用户的登录或锁定系统。 信息系统维护部门应配置系统和软件功能，使用户在成功登录完成时，显示相关信息，如前一次成功登录的日期和时间、或不成功登录尝试等，如果有不符时，用户应及时报告信息系统管理员。 信息系统维护部门应配置系统和软件功能，使系统不显示输入的口令或考虑通过符号隐藏口令字符，并且不在网络上以明文传输口令。 5.2.2用户标识和鉴别 用户标识是信息系统中唯一的、专供用户使用的标识符，必须使用集团统一编码。 必要时，信息系统应使用增强型的身份鉴别方法，例如密码手段、智能卡、令牌或生物特征识别等手段。 5.2.3口令管理系统 信息系统可安装或配置口令管理系统，使其辅助口令管理，满足《浙江吉利控股集团信息系统安全管理办法》中口令的要求。 5.3敏感系统隔离 5.3.1集团的A类信息系统应确保与B、C类信息系统逻辑隔离。 5.3.2集团B类信息系统应通过访问控制措施实现与C类信息系统的隔离，实现信息的安全共享。 * 女子14万元购房款被人通过网上支付两小时花光 来源： 东方早报 2小时14万存款网上失踪 　　还有6天，黄颜菲(化名)就要支付她人生最大的单笔购物款了———为了支付在康城小区所购期房的第二笔付款，她在自己的银行账户里存入了14万元。然而就在一夜之间，14万元的存款被神秘人通过网上支付全部花光。 　　回忆：深夜10时来自银行的电话 　　黄颜菲是一个资深的网上卖家，在易趣、淘宝等网站都开有自己的小店。9月8日晚上10：40，怀有5个月身孕的她正准备休息，突然接到了一通奇怪的电话。 　　“电话是广东发展银行打来的，银行工作人员说，有人在网络上试我的信用卡密码，问我和我的亲友有没有人在进行网上交易。”黄颜菲随后确认了身边无人在进行网上交易。广发银行工作人员随后告诉她，由于网