文档介绍:-帐号口令及权限管理制度
帐号口令管理制度
目录
第一章 总则 7
概述 7
目标 9
范围 9
要求 10
第二章 帐号、口令和权限管理的级别 11
关于级别 11
如何确定级别 11
口令、帐号和权限管理级别的定义 12
等级1 – 最低保障 13
保障等级一需要遵守的规范 22
保障等级二需要遵守的规范 22
保障等级三需要遵守的规范 23
保障等级四需要遵守的规范 24
帐号管理流程 25
创建用户帐号 25
变更用户 29
撤销用户 32
定期复审 33
第四章 口令管理 35
通用策略
35
口令指南 36
口令生成指南 36
口令保护指南 38
第五章 权限管理 40
概述 40
根据工作需要确定最小权限 40
建立基于角色的权限体系 41
审计人员权限的界定 42
第三方人员权限设定 43
总则
概述
随着西藏电信有限责任公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足西藏电信目前及未来业务发展的要求。主要表现在以下方面:
西藏电信的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。
由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。
弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。特别是snmp口令的缺省配置常常成为一个严重的问题。这些问题
有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。
即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。
由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。
总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。