安全设备账号权限管理规范.doc

2017年南方基地IT支撑中心安全设备帐号管理规范目录一、 目的 1二、 适用范围 1三、 原则 1四、 相关角色与工作职责 2五、 帐号权限管理办法 3目的为规范中国移动南方基地IT支撑中心安全设备帐号权限管理,保障系统正常运行,满足日常巡检、简单维护的前提下,按照“谁主管,谁负责”、“谁使用、谁负责”、所有帐号均应落实责任人的原则制定本规范。适用范围本管理规范适用于南方基地IT支撑中心,对象包括:1、南方基地IT支撑中心安全设备系统管理人员2、南方基地IT支撑中心安全设备第三方维护人员相关角色与工作职责工程建设期间,工程建设方负责按照本规范管理安全设备系统上的帐号。安全设备交维后,按照“谁主管,谁负责”原则,安全设备所属维护部门负责该系统的帐号管理。安全设备主管领导负责帐号审批及授权管理,推动制定帐号审批流程并落实责任人,监督落实《帐号权限申请表》(附件一)、《系统用户帐号登记表》(附件二)的维护管理。安全设备使用方需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。在帐号审批成功并创建后,应对帐号口令进行定期修改。使用方应严格保护帐号口令,不得故意泄露,否则需承担由此导致安全问题的责任。帐号管理要求帐号管理贯穿帐号创建、授权、权限变更及帐号撤销或者冻结全过程;帐号设置应与岗位职责相匹配;坚持最小授权原则,避免超出工作职责范围的过度授权;制定严格的帐号审批和授权流程,规范帐号申请、修改、删除等工作;帐号创建、调整和删除申请审批通过后,应及时更新系统中的帐号状态,确保与审批结论保持一致;原则上,除低权限的查询帐号外,不允许存在其它共享帐号,必须明确每个帐号责任人,不得以部门或用户组作为最终责任人。对于因系统原因导致实际工作中必须多个人使用同一帐号的情况(即共享帐号),应采取以下措施:由系统管理员对共享帐号的使用进行控制和备案,保证同一帐号在同一时间内只有一人在使用,以确保所有的行为可以追溯和审计。在完成特定任务后,安全设备管理员应立即收回临时帐号。安全设备应建立对用户身份的验证机制,对系统的访问必须使用唯一的帐号和口令。任何帐号只限于申请帐号或授权帐号过程中所声明的使用人使用,禁止其他人使用此帐号。帐号使用人在使用的过程中,不得使用帐号访问与自己工作无关的资源。对于外部人员需使用或申请帐号的情况,应和外部合作单位厂商签订相关的安全保密协议,以保证外部合作单位能够执行中国移动的安全管理要求。所有从帐号应设置有效期限,其中临时帐号的有效期限管理应进一步加强,严格按照申请期限进行设置。口令管理要求口令至少由8位及以上大小写字母、数字及特殊符号等混合、随机组成,尽量不要以姓名、电话号码以及出生日期等作为口令或者口令的组成部分。口令至少每90天更换一次。修改口令时,须保留口令修改记录,包含帐号、修改时间、修改原因等,以备审计;5次以内不得设置相同的口令;由于操作人员更换等原因,原帐号不能删除或者需要重新赋予另一个人时,应修改相应帐号的口令。如系统能力支持,应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数;对于无法建立口令规则强制检查的系统,帐号用户应在每次口令修改后更新《账号口令修改记录表》(附件三)。对于无法进行定期修改口令的帐号,如内置帐号、专用帐号等,由设备管理员负责在系统升级或重启时督促落实口令修改工作,负责督促落实调用该帐号的程序与所访