公司信息系统权限划分实施细则.docx

公司信息系统权限划分实施细则 第一章 总则 第一条 为加强对网络层和系统层的访问控制，对网络设备和安全专用设备，以及操作系统和数据库系统的安全配置和日常运行进行管理，保障信息网络的安全、稳定运行，特制订本文档。 第二条 本文档适用于xx的信息系统的所有网络设备和安全专用设备，以及操作系统和数据库系统的访问控制策略配置管理。 第二章 访问控制策略的制定 第三条 信息中心负责访问控制策略的制定和组织实施工作，并指定信息中心网络管理员协同系统管理员、数据库管理员负责有关工作。 第四条 在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前，应掌握以下已形成文档的资料，并必须根据变化作出即时的更新： 1.根据业务需求和系统安全分析制定系统的访问控制策略。 控制分配文件及服务的访问权限。 3.控制用户对资源的访问 1）文件权限；2）默认共享 数据库用户和系统管理员用户的权限分离 限制默认用户的访问权限 关于共享帐户的限制 控制用户组/用户对系统功能和用户数据的访问 根据xx实际情况（数据库，应用系统，都安装在虚拟机中，操作系统为windows 2003 server）对服务器，操作系统做出相关总体的访问控制策略： 1用户名，口令长度的修改 不得存在多余的账户并且修改administration的用户权限，最好自己新建一个超级管理员，并且降低administrator的权限。sa账户放于administrators组内，administrator账户已禁用，users组内无添加用户。 口令长度需大于八位，修改重复输入次数为5次，并设定再次输入时间参考时间为10分钟。 当前仅存在sna账户，为权限分配为最高管理员权限 系统当前非必需的默认用户进行权限限制（根据情况删除、禁用、更改权限），如Windows操作系统guest、Support_388945a0账户 关闭默认共享盘符（例如c$,d$,e$） 第五条 对数据库的访问权限进行限定 1.对数据库的administrator账户进行权限降低，或者更名，根据业务需求，数据库管理员与应用系统，服务器，操作系统管理员应区分，不得重名，不允许多人共用一个账户。 2.将用户对文件资料的读取，修改等操作进行限定口令长度需大于八位 3.根据业务需求开放默认账户 4.Sa账户为系统管理员，nbnyj为xx下数据库的最高权限账户，不存在其他数据库管理员账户， 第六条 对网络设备的访问权限进行限定 对接入方式进行限定采用KVM本地管理，关闭telnet远程登录方式 用户名口令必须需大于八位，存储方式必须密文存储，显示方式必须密文显示。 3.内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理，并定期修改。用于管理有关设备的客户端软件应由专人管理，未经信息系统运行管理部门负责人同意，任何个人不得擅自安装或使用。 4.对于不同部门的计算机群应设置划分VLAN，达到限制广播范围，并能够形成虚拟工作组，动态管理网络。 第七条 对应用系统的访问权限 1.当前系统拥有系统管理员组，最高权限，系统管理员对应用账户进行用户管理和权限的划分 2.关闭和删除不必要的默认账户以及测试账户 3.用户不得公用，新建账户必须修改默认口令，账户权限等措施，账户分配的原则遵循最小化原则。