云计算平台安全规范.docxVIP

云计算平台安全规范

1身份与访问安全规范

1.1身份全生命周期管理

所有云计算平台的访问主体（包括平台管理员、租户管理员、普通用户、服务账号、应用API）必须分配唯一不可复用的身份标识，禁止共享账号、共用身份标识，禁止为过期主体保留有效权限。建立身份全生命周期管理流程：身份创建必须经直属上级和权限管理岗双人审批，权限分配严格遵循最小权限原则与职责分离原则；用户调岗、离职、账号过期时，权限管理员必须在24小时内完成权限禁用与回收，逾期未操作自动触发内部审计告警，由审计岗溯源问责；停用超过180天的账号自动永久锁定，需重新申请方可激活。

1.2身份认证策略

所有访问身份必须启用强认证机制：静态密码长度不低于12位，需混合大写字母、小写字母、数字、特殊字符四类字符中的至少三类，禁止使用与身份标识、业务特征相关的弱密码，禁止复用近5次历史密码，密码更换周期不超过90天；特权账号（平台超级管理员、租户生产环境管理员、核心数据访问账号）、远程访问账号、敏感业务访问账号必须强制启用多因素认证（MFA），禁止仅使用短信验证码作为第二认证因子，推荐采用基于硬件密钥的FIDO2认证或TOTP动态令牌认证。会话管理需满足：Web控制台会话空闲超时不超过15分钟，API会话令牌有效期不超过12小时；连续5次认证失败锁定账号15分钟，连续10次认证失败锁定账号24小时，同时向管理员推送告警信息。

1.