安全设备账号权限管理规范.doc

2017年南方基地IT支撑中心安全设备帐号管理规范目录一、目的1二、适用范围1三、原则1四、相关角色与工作职责2五、帐号权限管理办法3一、 目的为规范中国移动南方基地IT支撑中心安全设备帐号权限管理，保障系统正常运行，满足日常巡检、简单维护的前提下，按照“谁主管，谁负责”、“谁使用、谁负责”、所有帐号均应落实责任人的原则制定本规范。二、 适用范围本管理规范适用于南方基地IT支撑中心，对象包括：1、南方基地IT支撑中心安全设备系统管理人员2、南方基地IT支撑中心安全设备第三方维护人员三、 相关角色与工作职责第一条 工程建设期间，工程建设方负责按照本规范管理安全设备系统上的帐号。第二条 安全设备交维后，按照“谁主管，谁负责”原则，安全设备所属维护部门负责该系统的帐号管理。第三条 安全设备主管领导负责帐号审批及授权管理，推动制定帐号审批流程并落实责任人，监督落实帐号权限申请表（附件一）、系统用户帐号登记表（附件二）的维护管理。第四条 安全设备使用方需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。在帐号审批成功并创建后，应对帐号口令进行定期修改。使用方应严格保护帐号口令，不得故意泄露，否则需承担由此导致安全问题的责任。四、 帐号管理要求第五条 帐号管理贯穿帐号创建、授权、权限变更及帐号撤销或者冻结全过程；第六条 帐号设置应与岗位职责相匹配；第七条 坚持最小授权原则，避免超出工作职责范围的过度授权；第八条 制定严格的帐号审批和授权流程，规范帐号申请、修改、删除等工作；第九条 帐号创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保与审批结论保持一致；第十条 原则上，除低权限的查询帐号外，不允许存在其它共享帐号，必须明确每个帐号责任人，不得以部门或用户组作为最终责任人。第十一条 对于因系统原因导致实际工作中必须多个人使用同一帐号的情况（即共享帐号），应采取以下措施：由系统管理员对共享帐号的使用进行控制和备案，保证同一帐号在同一时间内只有一人在使用，以确保所有的行为可以追溯和审计。第十二条 在完成特定任务后，安全设备管理员应立即收回临时帐号。第十三条 安全设备应建立对用户身份的验证机制，对系统的访问必须使用唯一的帐号和口令。第十四条 任何帐号只限于申请帐号或授权帐号过程中所声明的使用人使用，禁止其他人使用此帐号。第十五条 帐号使用人在使用的过程中，不得使用帐号访问与自己工作无关的资源。第十六条 对于外部人员需使用或申请帐号的情况，应和外部合作单位厂商签订相关的安全保密协议，以保证外部合作单位能够执行中国移动的安全管理要求。第十七条 所有从帐号应设置有效期限，其中临时帐号的有效期限管理应进一步加强，严格按照申请期限进行设置。五、 口令管理要求第十八条 口令至少由8位及以上大小写字母、数字及特殊符号等混合、随机组成，尽量不要以姓名、电话号码以及出生日期等作为口令或者口令的组成部分。 第十九条 口令至少每90天更换一次。修改口令时，须保留口令修改记录，包含帐号、修改时间、修改原因等，以备审计；第二十条 5次以内不得设置相同的口令；第二十一条 由于操作人员更换等原因，原帐号不能删除或者需要重新赋予另一个人时，应修改相应帐号的口令。第二十二条 如系统能力支持，应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数；对于无法建立口令规则强制检查的系统，帐号用户应在每次口令修改后更新账号口令修改记录表（附件三）。第二十三条 对于无法进行定期修改口令的帐号，如内置帐号、专用帐号等，由设备管理员负责在系统升级或重启时督促落实口令修改工作，负责督促落实调用该帐号的程序与所访问系统两侧的口令同步工作。第二十四条 当发生下述情况时，应立即撤销帐号或更改帐号口令，并做好记录：(一) 帐号使用者由于岗位职责变动、离职等原因，不再需要原有访问权限时；(二) 临时性或阶段性使用的帐号，在工作结束后；(三) 帐号使用者违反了有关口令管理规定；(四) 有迹象表明口令可能已经泄露等。六、 权限管理要求第二十五条 帐号授权遵守“最小权限”原则，即以其能进行系统管理、操作的最小权限进行授权。第二十六条 角色对应部门岗位，不对应人员，人员的更换不对角色产生影响。第二十七条 帐号设置应与岗位职责相匹配。七、 审核管理要求第二十八条 审核责任人对安全设备相关系统用户帐户口令至少每季度审核一次，对不符合要求的及时进行整改。第二十九条 审核责任人应定期对安全设备系统进行角色设置不相容检查。第三十条 审核责任人应定期对安全设备系统维护部门帐号申请审批、注销、权限变更等流程执行情况进行审核，避免非法创建帐号、无主帐号和权限与职责不相容帐号的出现。第三十一条 审核责任人应定期对安全设备系统维护部门口令修改执行情况进行审核，避免口令过期、不符合复杂度要求等问题，具体结果记录在系统账号口令检查记录表（参见附件四）。附件一：账号权限申请表表格名：编号：申请人所属公司/部门联系电话工号申请时间（年月日）申请人职位描述帐号申请目的帐号所属业务网名称变更类型创建 变更 撤销帐号使用期限 到期日： 年 月 日帐号名及需要权限描述:申请人主管意见及签字:系统主管意见及签字：系统维护管理员帐号权限生成完毕签字并备案:日期：_年_月_日备注：被授权人的签字将被认为已阅读并知晓帐号口令管理办法并愿意接受帐号口令管理制度的约束。备注：表格名和编号由负责表格存档的部门负责填写。附件二：系统用户帐号登记表表格名：编号：系统帐号使用者姓名使用者部门职务联系电话帐号权限批准人开通人开通时间到期日备注：表格名和编号由负责表格存档的部门负责填写。附件三：系统帐号口令修改记录表表格名：编号：帐号帐号类别修改日期修改人修改原因备注备注：表格名和编号由负责表格存档的部门负责填写。附件四：系统账