文档介绍:
账户口令管理办法
目录
第一章 总则 4
概述 4
目标 5
范围 5
要求 5
第二章 帐号、口令和权限管理的级别 7
关于级别 7
2关策略一并提交网络与信息安全办公室。
账户、口令和权限管理的级别
关于级别
为了实现xxx所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。通常来说,价值较低的系统被定义为需要较低的保障级别,价值较高的系统被定义为需要较高的保障级别。
如何确定级别
第一步:对各系统进行一次风险评估,风险评估的结果能够确定系统需要口令、帐号管理权限的保障级别并揭示由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果。由于不恰当的口令、帐号和权限管理给西藏电信和我们的客户所带来的危害和后果越严重,需要的安全措施越高,相应地需要的保障级别也越高。风险评估还应遵照本规范揭示相应的应用系统需要采取何种帐号、口令和权限措施,这些措施应该包括技术措施和管理措施。
第二步:匹配风险评估揭示的风险和口令、帐号和权限需要的保障级别。风险评估的结果应该被总结并得出结论,最终结论与下一节定义的各种级别进行比较,选择最为接近的级别作为该资产或者系统需要的口令、帐号和权限保障级别。当进行确认的时候,应当按照系统没有任何安全措施的情况来进行评估和比较,而不应当在假设某个系统已经使用了某个保障技术的情况下进行比较。另外对于一个系统的保障应该按照该系统可能受到的所有危害的最高级别来匹配保障级别。
第三步:确定使用何种口令、帐号和权限管理、技术措施,具体的结论应该以规范制度的形式加以规定。请注意,由于某些技术本身可能带来一些额外风险,应该确认该技术是否真的达到应用系统对应等级的需求,评估残余风险。
口令、账户和权限管理级别的定义
本节定义口令、帐号和权限管理需求的四个级别,我们将给出每个级别的特征和相关的例子,级别分成1~4,数字越大表示需要的帐号、口令和权限管理保障信心等级越高。
等级1 – 最低保障
描述
在第一等级保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的情况下,错误的口令、帐号和权限管理可能导致:
给电信、客户或者第三方带来最小的不便
不会给电信、客户或者第三方带来直接的经济损失
不会给电信、客户或者第三方带来不快
不会给电信、客户或者第三方带来名誉或者地位的损失
不会破坏电信、客户或者第三方需要执行的商业措施或者交易
不会导致民事或者刑事犯罪
不会向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一个公司的内部交流论坛,不用于任何工作目标,可以自行注册帐号并发言,尽管帐号的泄漏会带来一些不便和伪冒,但是由于不用于工作目的,因此不会造成大的损失。
未验收和未投入使用的系统,工程过程中的系统(假设没有涉及知识产权,例如软件代码泄密的问题的情况下)
等级2-低保障级别
描述
通过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡。这种等级的认证被误用或者破坏可能导致:
给电信、客户或者第三方带来较小的不便
给电信、客户或者第三方带来较小直接的经济损失或者没有直接经济损失
会给电信、客户或者第三方带来较小的不快
会给电信、客户或者第三方带来较小名誉或者地位的损失
存在一定的风险,可能破坏电信、客户或者第三方需要执行的商业措施或者交易
不会导致民事或者刑事犯罪
存在一定风险,可能少量向未经授权的组织或个人暴露个人、电信、政府、商业的敏感信息
举例:
一台常用办公电脑,该电脑上没有存储任何机密文件,他的帐号被窃取可能导致公司常用信息例如通讯录被泄漏。
一个有查询系统的帐号,用户可以通过Internet注册来查询自己的帐单。该帐号失窃可能导致用户信息的泄漏。
等级3 – 坚固保障级别
描述
通常等级三意味着正式的业务流程使用的帐号,通常需要较高信心来保证身份的认证和正确的授权,这种等级的认证被误用或者破坏可能导致:
给电信、客户或者第三方带来较大的不便
给电信、客户或者第三方带来较大直接的经济损失或者没有直接经济损失
会给电信、客户或者第三方带来较大的不快
会给电信、客户或者第三方带来较大名誉或者地位的损失
存在较大的风险,会破坏电信、客户或者第三方需要执行的商业措施或者交易
会导致民事或者刑事犯罪
存在较大风