云计算平台安全规范.docxVIP

  • 0
  • 0
  • 约5.51千字
  • 约 13页
  • 2026-06-30 发布于四川
  • 举报

云计算平台安全规范

1身份与访问安全规范

1.1身份全生命周期管理

所有云计算平台的访问主体(包括平台管理员、租户管理员、普通用户、服务账号、应用API)必须分配唯一不可复用的身份标识,禁止共享账号、共用身份标识,禁止为过期主体保留有效权限。建立身份全生命周期管理流程:身份创建必须经直属上级和权限管理岗双人审批,权限分配严格遵循最小权限原则与职责分离原则;用户调岗、离职、账号过期时,权限管理员必须在24小时内完成权限禁用与回收,逾期未操作自动触发内部审计告警,由审计岗溯源问责;停用超过180天的账号自动永久锁定,需重新申请方可激活。

1.2身份认证策略

所有访问身份必须启用强认证机制:静态密码长度不低于12位,需混合大写字母、小写字母、数字、特殊字符四类字符中的至少三类,禁止使用与身份标识、业务特征相关的弱密码,禁止复用近5次历史密码,密码更换周期不超过90天;特权账号(平台超级管理员、租户生产环境管理员、核心数据访问账号)、远程访问账号、敏感业务访问账号必须强制启用多因素认证(MFA),禁止仅使用短信验证码作为第二认证因子,推荐采用基于硬件密钥的FIDO2认证或TOTP动态令牌认证。会话管理需满足:Web控制台会话空闲超时不超过15分钟,API会话令牌有效期不超过12小时;连续5次认证失败锁定账号15分钟,连续10次认证失败锁定账号24小时,同时向管理员推送告警信息。

1.

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档