版 本 页
标    题:安全管理文件
主    题:信息安全方针
文档编号:
适用范围:
版本说明:V1.0
架照
版本号
版本日期
作者
玩两个少妇女邻居
李光洙妹妹备注
V1.0
创建
V1.0
审批
账号权限与密码管理细则
第一章 目的
第一条 为规范XXX系统账号的使用,保障系统安全、稳定运行,防范因系统账号权限管理不当导致对系统或数据的非法访问。
第二章 范围
第二条 本细则适用于XXX信息系统运维管理过程中对账号的申请、创建、变更、删除和复查工作,以及各账号使用过程的密码使用要求。
第三条 本细则中的账号权限和密码的管理仅针对应用系统、应用中间件、服务器、数据库、网络设备等,不包括应用程序内部调用接口所开发设计的账号和密码。
第三章 概述
第四条 本文件明确了帐号权限与密码管理相关角及职责,并阐述了帐号变更、创建、删除、检测与审计的安全性规范。
第四章 角与职责
郑爽的资料第五条 信息安全管理部门
(一)负责对系统账号的申请进行审核批准;
(二)负责定期对所管辖范围的系统用户权限进行审核。
(三) 监督协调系统账号安全细则的落实,处置因账号权限管理不当导致的信息安全事件;
(四)对系统特权账号的申请、变更记录进行审核检查。
第六条 信息安全执行部门
包括应用管理员、数据库管理员、网络管理员和系统管理员等维护人员。
(一) 负责系统账号、权限和密码的创建、权限变更、账号删除等,对经过审核的账号申请进行复核;
(二) 负责审核账号权限,并进行账号权限的调整或删除;
(三)负责保存各类账号变更记录。
第五章 管理过程
第七条 管理原则
(一)员工从开始录用、中间的转岗 laffis/借调/调职到最后的离职/退休用户可能需要访问多个信息系统,中间伴随着账号的创建、权限的调整、账号的删除等;从规范、安全的角度考虑,对XX各类账号的管理应遵循统一、分级、最小化原则。
(二)统一原则
系统账号是用户的身份标识,为了便于管理人员检索、归档系统账号,账号的命名应该遵循预先定义的命名规则,系统账号的命名应符合以下的统一规则:
(1)同一系统内账号应具有统一的命名规则;
(2)同一系统内账号名称应具有唯一性;
(3)账号名称长度应在6位到18位之间。
(三) 分级原则
系统账号在创建过程中根据申请人所处岗位、工作内容的需要分配不同账号权限。为规范管理特权账号的操作,系统账号的权限分配遵循分级原则,从账号是否具备管理其他账号的能力将系统账号分为特权账号与非特权账号两类:
(1) 特权账号:指可以对系统/网络/数据库所有配置进行查看、变更,可以创建新账号、修改权限的系统账号。包括两类:第一类是系统安装时的默认账号,在使用过程中不能进行删除或改名且具备系统管理权限的账号,如:rootsys/systemoracle)。第二类是系统中自建且分配系统管理权限的账号,用于日常的系统维护。
孙悦 古晨(2)非特权账号:只允许使用不影响系统/网络/数据库配置的系统功能。此类账号包括日常的系统/网络/数据库的查询账号、应用系统的普通用户等。
(四)最小化原则
由于账号可以分配不同的权限,不同用户因工作所需要的账号权限是有限的,如果分配了超过工作所需要以外的权限,可能会导致用户用该权限访问与工作无关的信息,存在信息泄密的风险。因此,在为用户分配系统账号权限时必须严格按照权限最小化的原则,即分配仅能满足工作要求的最小权限。
(五)账号权限的分配可基于组、角、用户、文件等不同颗粒度,在不同系统分配账号权限过程需要考虑权限颗粒度问题,特别是对安全级别较高的系统。
第八条 系统账号创建
(一)当因工作性质需要访问/使用系统中的信息/功能,由申请人提交账号创建申请,经申请人所在部门批准和系统运维部门复核后,方可开通账号。申请中需详细描述账号所需要权限功能信息、账号有效期。
(二)申请使用特权账号中的第一类账号,即系统默认账号时,系统管理员无需申请可以直接使用,其他用户需要严格执行申请、审批流程,并如实记录使用情况和进行现场监督。申请特权账号中的第二类账号需遵循创建流程。任何特权账号的申请和使用申请需在安全管理员处登记备案,便于及时了解特权账号的使用状态。