访问控制程序.pdfVIP

访问控制程序

目录

第一章

综述

2

第二章

访问控制的业务要求

2

第三章

用户访问管理

3

第四章

网络访问控制

4

第五章

操作系统访问控制

5

第六章

应用访问控制

6

第七章

移动计算和远程工作

7

第一章综述

本程序的目的是为推动对访问控制的有效安全管理，包括用户访问管理、用

户职责划分、网络访问控制、系统访问管理及应用访问控制、移动计算机和

远程控制以下内容：

1、根据业务和安全需求控制对信息的访问；

2、防止擅自访问网络、计算机和信息系统中保存的信息；

3、防止未授权的用户访问；

4、保护网络服务；

5、查找未授权的活动。

第二章访问控制的业务要求

2.1、访问控制策略

1、本公司管理的所有逻辑访问控制都应遵守信息安全策略中规定的访问方

针。

2、本公司需要建立统一的访问控制策略，由总经理办公室批准IT网络管理

建立统一访问控制策略。策略应考虑到下列内容：

(1)各个业务应用的安全要求；

(2)与业务应用相关的所有信息的标识和该信息面临的风险；

(3)信息传播和授权的策略，例如，了解原则和安全等级以及信息分类的

需要；

(4)不同系统和网络的访问控制策略和信息分类策略之间的一致性；

(5)关于保护访问数据或服务的相关法律和合同义务；

(6)在认可各种可用的连接类型的分布式和网络化环境中的访问权的管

理；

(7)访问控制角色的分离，例如访问请求、访问授权、访问管理；

(8)访问请求的正式授权要求；

(9)要求定期评审访问控制；

(10)访问权的取消。

第三章用户访问管理

3.1、用户注册

一般来说用户访问各信息系统和服务的注册和注销程序包括：

1、使用唯一的用户ID号码，保证可由此号码追溯用户，从而使其对自己的

行为负责。组ID只在与执行的任务相适应的情况下允许使用；

2、要检查使用信息系统或服务的用户是否具有该系统拥有者的授权；

3、检查所授予的访问级别是否与业务目的相适合，是否与组织的安全方针保

持一致；

4、保存所有用户注册的正式记录；

5、在收到服务终止申请或任何本公司的员工离职或调离后，立即注销该用户

的访问权；

6、定期检查并清理多余的用户账号。

3.2、特权管理

1、控制措施应限制和控制特殊权限的分配及使用。应考虑下列步骤：

(1)应标识出与每个系统产品，例如，操作系统、数据库管理系统和每个

应用程序，相关的访问特殊权限，以及必须将其分配的用户；

(2)特殊权限应按照访问控制策略在“需要使用”的基础上和“逐个事

件”的基础上分配给用户，例如仅当需要时，才为其职能角色分配最

低要求；

(3)应维护所分配的各个特殊权限的授权过程及其记录。在未完成授权过

程之前，不应授予特殊权限；

(4)应促进开发和使用避免具有特殊权限才能运行的程序；

(5)特殊权限应被分配一个不同于正常业务用途所用的用户ID。

2、本公司要严格控制特权的分配和使用。任何第三方都不得使用他人的帐

户或者其它逻辑访问。

3、任何信息系统，只能由其所有者或授权管理者控制该系统的特权帐户的

口令，包括关键服务器和防火墙等所用的口令。

4、任何用户在使用多用户信息系统和服务时都必须验证身份。

5、所有申请特权用户帐号和口令的行为都必须经过相关部门负责人，由相

关部门负责人确定是否发给他们口令。必须遵照以下做法：

(1)原则上不要将口令分配给外部人员；

(2)如果系统发生故障且本公司需要设备供应商的帮助，口令不得传给设

备供应商的工程师。本公司人员对设备供应商的支持人员(工程师