信息安全防护与应急响应手册（执行版）.docx

信息安全防护与应急响应手册（执行版）

第1章安全基础与访问控制

1.1身份认证与多因素认证策略

在身份认证环节，必须强制实施“双因素或多因素”（Multi-FactorAuthentication,MFA）策略，仅凭单一密码进行登录将被视为高风险行为；建议系统默认开启SMS短信验证码或手机令牌作为第二验证因子，并针对高风险操作（如修改密码、登录海外账户）强制要求使用硬件安全密钥（HSM）或动态令牌，确保攻击者无法仅通过窥视网络流量获取密码。对于普通用户，应配置基于生物特征的认证机制，如指纹或人脸识别，并设定严格的“密码过期自动重置”策略，规定密码有效期不超过90天，且每