訪問控制管理是為了防止信息及信息(資產)系統未經授權的訪問,信息系統包括各種應用系統、操作平台、數據庫、中間件、網絡設備、安全系統和設備等。
01.訪問控制業務需求
訪問授權與控制是對訪問信息資源的用戶賦予使用權限並在對資源訪問時按授予的權限進行控制。關於訪問授權與控制的方針定義如下:
-
最小授權:應僅對用戶授予他們開展業務活動所必需的訪問權限,對除明確規定允許之外的所有權限必須禁止。
- 需要時獲取:所有用戶由於開展業務活動涉及到資源使用時,應遵循需要時獲取的原則,即不獲取和自己工作無關的任何資源。
在信息系統維護管理過程中,應建立和不斷完善主機、網絡設備和安全設備等的訪問控制策略,訪問控制策略應至少考慮下列內容:
-
信息系統所運行業務的重要性。
-
各個信息系統的安全要求。
-
各個信息系統所面臨的風險狀況。
-
訪問控制策略強度與其信息資產價值之間的一致性。
用戶在使用網絡服務時,應只能訪問已獲授權使用的網絡和網絡服務服務,並遵守以下策略要求:
-
使用內部網絡服務和外部網絡服務時,均應遵守國家的法律、法規,不得從事非法活動。
-
使用內部網絡服務和外部網絡服務時,還應遵守內部相關規章制度的要求。
02.用戶訪問管理
所有系統用戶的注冊過程應進行必要的管理,在用戶注冊的過程中應遵循以下策略:
-
所有用戶賬號的開通應通過正式的賬號申請審批過程。
-
申請過程核實用戶申請和用戶資料。
-
使用唯一的用戶ID號碼,保證可由此號碼追溯用戶。
-
保存所有用戶注冊的審批記錄,無論是電子還是紙質的。
系統用戶權限變更、取消過程應進行必要的管理,在用戶權限變更、取消的過程中應遵循以下策略:
-
當用戶的賬號、權限需要變更時應通過正式的變更審批過程。
-
核實用戶賬號權限變更、取消的申請。
-
在工作人員工作范圍發生變化或人員轉崗后,應及時變更用戶賬號。
-
在工作人員離職后,應立即刪除或禁用用戶賬號,取消該用戶訪問權。
-
保存所有用戶變更和取消訪問權限的審批記錄,無論是電子還是紙質的。
所有系統特權均應采取控制措施來限制特殊權限的分配及使用。任何信息系統,只能由其所有者或授權管理者控制該系統特權賬號的密碼,包括關鍵主機、網絡設備和安全設備等所用密碼。
應建立正式系統口令管理策略,對口令的復雜度、長度、定期更換等內容進行定義說明;如系統支持技術手段進行口令管理策略實現,應優先選用技術手段進行控制。
所有核心應用系統中所有賬號均應進行定期權限清查,及時清除多余用戶賬號及權限。清查周期可根據系統重要程度及賬號類型設定,但清查間隔周期不得大於一年。
特權用戶權限也應納入定期清查,清查間隔周期不得大於一年,特權用戶包括:重要應用系統和數據庫的管理員賬號、有管理員權限的WINDOWS賬號、UNIX的root賬號、所有路由器、交換機或專用設備的管理員賬號、防火牆管理員賬號、有專門特權(取決於系統)的其它系統賬號等。
03.應用和系統訪問控制
應確保所有系統中的用戶擁有唯一的、專供個人使用的標識符(用戶ID),應選擇一種適當的鑒別技術證實用戶的身份。這一控制策略適用於所有類型的用戶(包括技術支持人員,操作員,網絡管理員、系統程序員和數據庫管理員)。
對應用系統的訪問控制限制應基於用戶的角色分工、業務應用要求和用戶的工作需要。
只有獲得授權的信息技術人員才具有訪問和管理數據庫和中間件的權限,其他人員需要經過批准后才可獲得數據庫、中間件的訪問權限。
應對所有系統的登錄進行必要的控制,防止系統的非授權訪問,在系統安全登錄控制中可以考慮如下措施:
-
用戶在操作系統登錄過程中泄露最少系統相關信息,避免給未授權用戶提供任何不必要的幫助。
- 通過記錄不成功的嘗試、達到登錄的最大嘗試次數鎖定等手段,達到對非授權訪問登錄的控制。
- 在成功登錄完成后,顯示前一次成功登錄的日期和時間等信息。
-
不在網絡中傳輸明文口令;不在系統中保存明文口令。
所有系統應在不影響其功能用途的前提下設定超時不活動時限,且盡可能在超時達到一定期限時,關閉應用和網絡會話。超過一定時間用戶沒有操作,自動注銷該用戶登錄。
應考慮對應敏感的計算機應用程序,特別是安裝在高風險位置的應用程序,使用聯機時間的控制措施。這種限制的示例包括:
- 使用預先定義好的連接時間;
-
將聯機時間限於正常辦公時間。
應確保特殊的敏感系統具有專用的運算環境,確保其運行在專用的計算機設備上,並且僅與可信的應用系統共享資源,可根據具體情況采取物理或邏輯手段實現敏感系統隔離。
對應用系統相關的測試數據、開發測試文檔及源代碼應進行必要的訪問控制,具體訪問控制策略如下:
- 默認情況下,禁止使用真實的生產數據進行信息系統測試活動,如必須使用需得到生產數據所屬業務負責人的批准。信息系統上線后應及時清除測試過程中的所有帳號、測試數據、資料等。
- 信息系統開發、測試、運行維護過程中的所有過程文件,應進行統一的歸檔保管,防止機密性及完整性被破壞。
-
對源代碼的訪問應進行控制,無論是開發測試中的還是配置庫中的;要確保非項目相關人員不可以獲得源代碼,應定期對配置庫進行權限清查,至少每年進行一次。
04.移動設備和遠程工作
對在工作使用的移動計算設備(包括筆記本電腦等)應進行嚴格的安全控制,包括以下方面:
- 使用移動計算設備須經過使用人員的管理負責人授權。
- 公用移動計算設備中貯存的數據應作為臨時資料處理,使用后要刪除。
- 用戶必須設置操作系統登錄密碼或屏幕保護程序密碼。
- 用戶應確保移動計算設備處於安全的物理環境中,防止不必要的物理損壞及丟失。
-
應安裝許可的軟件,及時更新防病毒軟件的病毒庫,安裝最新操作系統補丁。
任何人員只允許通過可靠的遠程登錄方式(如VPN)訪問網絡環境及應用系統,禁止任何以其它方式登錄或嘗試登錄內部網絡環境。應使用足夠的安全控制措施(比如令牌、動態密碼卡等),確保能夠識別所登錄用戶的合法身份。