账号口令管理办法.doc

账户口令管理办法目录第一章 总则 概述 目标 范围 要求 5第二章 帐号、口令和权限管理的级别 关于级别 如何确定级别 口令、帐号和权限管理级别的定义 等级1–最低保障 等级2-低保障级别 等级3–坚固保障级别 等级4–最高保障等级 9第三章 帐号管理 职责定义 口令应该以用户角色定义 系统管理员/超级用户 普通帐号 第三方用户帐号 安全审计员帐号 对于各类帐号的要求 帐号管理基本要求 保障等级一需要遵守的规范 保障等级二需要遵守的规范 保障等级三需要遵守的规范 保障等级四需要遵守的规范 帐号管理流程 创建用户帐号 变更用户 撤销用户 定期复审 20第四章 口令管理 通用策略 口令指南 口令生成指南 口令保护指南 22第五章 权限管理 概述 根据工作需要确定最小权限 建立基于角色的权限体系 审计人员权限的界定 第三方人员权限设定 26总则概述随着XXXX公司业务系统的迅速发展,各种支撑系统和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,现有的信息安全管理措施已不能满足xxx目前及未来业务发展的要求。主要表现在以下方面:xxxx的信息系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统,并且由相应的系统管理员负责维护和管理。所有系统具备不同的安全需求级别,目前没有一个统一的规范描述和区分这种级别,导致对口令、帐号和权限的管理处于较为混乱的状况。由于存在大量的帐号和用户,人员的变化、岗位的变化和需求变化会导致帐号管理复杂度大大增加,必须有一套完整的帐号管理规范、流程,保证帐号的变化在可管理、可控制的范畴内。弱口令被猜中后导致系统被入侵是系统被入侵的最主要原因之一,因此如何管理口令的生命周期,如何设置较强的口令成为当前一个重要的课题。特别是snmp口令的缺省配置常常成为一个严重的问题。这些问题有些可以通过集中认证、双要素认证等方式实现,但是最关键的还是应当通过建立规范和指南来实现。即使有良好的帐号流程管理和控制,有正确的口令设置,仍然无法防止内部的滥用和误用,因为这些滥用和误用的前提通常是用户已经有了一个口令和帐号,因此,必须对用户的权限进行严格的管理和限制,特别是利用系统功能实现最小授权的原则。由于各个系统存在的信任关系,整个系统一环套一环,一个被击破可能导致全线崩溃,因此必须保障整个系统达到一致的安全水平。总之,随着业务系统和支撑系统的发展及内部用户的增加,必须有一套规范可以保障系统的帐号、口令和权限被合理地管理和控制,达到系统对认证、授权和审计的需求。目标本管理办法的主要内容包括:定义帐号、口令和权限管理的不同保障级别;明确帐号管理的基本原则,描述帐号管理过程中的各种角色和组织职责,确定帐号管理的流程:包括帐号的申请、变更、注销和审计;规定口令管理中的基本要求,例如口令变更频率,口令强度要求,不同类型帐号口令的要求,提供口令生成的指南;确定权限分析和管理的基本原则和规范;确定审计需要完成的各项工作;给出流程中需要的各种表格。、网管、、BOSS、OA/MIS等西藏电信全网所有计算机信息系统和IP网络。帐号、口令和权限管理包括不同的层次范围帐号、口令和权限管理涉及网络设备、主机系统、数据库、中间件和应用软件。要求本规范制定了适合西藏电信的基本准则和级别划分规则,全公司应该遵照第二章的级别划分要求对所有主机、数据和应用系统进行评估和级别划分,并针对每一级别,遵循第三、四、五章的要求,明确哪些适合于哪些系统。评估报告的内容应该包括:所有主机资产列表每台主机/服务器/数据库/应用系统需要的帐号、口令和权限保障级别和原因,主要评估方法是根据第二章中每一级别的特征逐条比较,选择最为接近的级别根据第三、四五章的要求,明确每一级别需要遵守的规范细节评估过程和方法应该透明,评估报告随评估结果和相关策略一并提交网络与信息安全办公室。账户、口令和权限管理的级别关于级别为了实现xxx所有IT信息系统的正常安全运行,我们在这里定义四个口令、帐号和权限管理的保障级别,这些级别确认不同系统对帐号管理的不同需要,不同级别的系统和设备需要不同级别的口令、帐号和权限管理的技术、管理制度和管理流程。通常来说,价值较低的系统被定义为需要较低