安全设备帐号管理规范
一、目的
为规范中国移动南方基地IT支撑中心安全设备帐号权限管理,保障系统正常运行,满足日常巡检、简单维护的前提下,按照“谁主管,谁负责”、“谁使用、谁负责”、所有帐号均应落实责任人的原则制定本规范。
二、适用范围
本管理规范适用于南方基地IT支撑中心,对象包括:
1、南方基地IT支撑中心安全设备系统管理人员
2、南方基地IT支撑中心安全设备第三方维护人员
三、相关角色与工作职责
第一条工程建设期间,工程建设方负责按照本规范管理安全设备系统上的帐号。
第二条安全设备交维后,按照“谁主管,谁负责”原则,安全设备所属维护部门负责该系统的帐号管理。
第三条安全设备主管领导负责帐号审批及授权管理,推动制定帐号审批流程并落实责任人,监督落实《帐号权限申请表》(附件一)、《系统用户帐号登记表》(附件二)的维护管理。
第四条安全设备使用方需按照帐号审批流程申请所需帐号、修改权限或者撤销帐号。在帐号审批成功并创建后,应对帐号口令进行定期修改。使用方应严格保护帐号口令,不得故意泄露,否则需承担由此导致安全问题的责任。
四、帐号管理要求
第五条帐号管理贯穿帐号创建、授权、权限变更及帐号撤销或者冻结全过程;
第六条帐号设置应与岗位职责相匹配;
第七条坚持最小授权原则,避免超出工作职责范围的过度授权;
第制定严格的帐号审批和授权流程,规范帐号申请、修改、删除等工作;
第九条帐号创建、调整和删除申请审批通过后,应及时更新系统中的帐号状态,确保与审批结论保持一致;
第十条原则上,除低权限的查询帐号外,不允许存在其它共享帐号,必须明确每个帐号责任人,不得以部门或用户组作为最终责任人。
第十一条对于因系统原因导致实际工作中必须多个人使用同一帐号的情况(即共享帐号),应采取以下措施:由系统管理员对共享帐号的使用进行控制和备案,保证同一帐号在同一时间内只有一人在使用,以确保所有的行为可以追溯和审计。
第十二条在完成特定任务后,安全设备管理员应立即收回临时帐号。
第十三条安全设备应建立对用户身份的验证机制,对系统的访问必须使用唯一的帐号和口令。
第十四条任何帐号只限于申请帐号或授权帐号过程中所声明的使用人使用,禁止其他人使用此帐号。
第十五条帐号使用人在使用的过程中,不得使用帐号访问与自己工作无关的资源。
第十六条对于外部人员需使用或申请帐号的情况,应和外部合作单位厂商签订相关的安全保密协议,以保证外部合作单位能够执行中国移动的安全管理要求。
第十七条所有从帐号应设置有效期限,其中临时帐号的有效期限管理应进一步加强,严格按照申请期限进行设置。
五、口令管理要求
第十口令至少由8位及以上大小写字母、数字及特殊符号等混合、随机组成,尽量不要以姓名、电话号码以及出生日期等作为口令或者口令的组成部分。
第十九条口令至少每90天更换一次。修改口令时,须保留口令修改记录,包含帐号、修改时间、修改原因等,以备审计;
第二十条5次以内不得设置相同的口令;
第二十一条由于操作人员更换等原因,原帐号不能删除或者需要重新赋予另一个人时,应修改相应帐号的口令。
第二十二条如系统能力支持,应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数;对于无法建立口令规则强制检查的系统,帐号用户应在每次口令修改后更新《账号口令修改记录表》(附件三)。
第二十三条对于无法进行定期修改口令的帐号,如内置帐号、专用帐号等,由设备管理员负责在系统升级或重启时督促落实口令修改工作,负责督促落实调用该帐号的程序与所访问系统两侧的口令同步工作。
第二十四条当发生下述情况时,应立即撤销帐号或更改帐号口令,并做好记录:
(一) 帐号使用者由于岗位职责变动、离职等原因,不再需要原有访问权限时;
(二) 临时性或阶段性使用的帐号,在工作结束后;
(三) 帐号使用者违反了有关口令管理规定;
(四) 有迹象表明口令可能已经泄露等。
六、权限管理要求
第二十五条帐号授权遵守“最小权限”原则,即以其能进行系统管理、操作的最小权限进行授权。
第二十六条角色对应部门岗位,不对应人员,人员的更换不对角色产生影响。
第二十七条帐号设置应与岗位职责相匹配。
七、审核管理要求
第二十审核责任人对安全设备相关系统用户帐户口令至少每季度审核一次,对不符合要求的及时进行整改。
第二十九条审核责任人应定期对安全设备系统进行角色设置不相容检查。
第三十条审核责任人应定期对安全设备系统维护部门帐号申请审批、注销、权限变更等流程执行情况进行审核,避免非法创建帐号、无主帐号和权限与职责不相容帐号的出现。
第三十一条审核责任人应定期对安全设备系统维护部门口令修改执行情况进行审核,避免口令过期、不符合复杂度要求等问题,具体结果记录在《系统账号口令检查记录表》(参见附件四)。
附件一:账号权限申请表
表格名: 编号:
申请人 | 所属公司/部门 | |||
联系电话 | 工号 | |||
申请时间(年月日) | ||||
申请人职位描述 | ||||
帐号申请目的 | ||||
帐号所属业务网名称 | ||||
变更类型 | 创建□ 变更□ 撤销□ | |||
帐号使用期限 到期日: 年 月 日 | ||||
帐号名及需要权限描述: | ||||
申请人主管意见及签字: | ||||
系统主管意见及签字: | ||||
系统维护管理员帐号权限生成完毕签字并备案: 日期:_________年________月_________日 | ||||
备注:被授权人的签字将被认为已阅读并知晓《帐号口令管理办法》并愿意接受帐号口令管理制度的约束。 |
附件二:系统用户帐号登记表
表格名: 编号:
系统帐号 | 使用者姓名 | 使用者部门 | 职务 | 联系电话 | 帐号权限 | 批准人 | 开通人 | 开通时间 | 到期日 |
附件三:系统帐号口令修改记录表
表格名: 编号:
帐号 | 帐号类别 | 修改日期 | 修改人 | 修改原因 | 备注 |
附件四:系统账号口令检查记录表
表格名: 编号:
帐号 | 是否为数字和大小写字母组合的口令 | 更改周期是否符合要求 | 口令长度是否符合要求 | 口令是否5次以内重复 | 同一用户帐号和用户职责相符(是否符合帐号设置不相容职责) | 检查时间 | 检查人员 | 备注 |