访问控制管理是为了防止信息及信息(资产)系统未经授权的访问,信息系统包括各种应用系统、操作平台、数据库、中间件、网络设备、安全系统和设备等。
01.访问控制业务需求
访问授权与控制是对访问信息资源的用户赋予使用权限并在对资源访问时按授予的权限进行控制。关于访问授权与控制的方针定义如下:
-
最小授权:应仅对用户授予他们开展业务活动所必需的访问权限,对除明确规定允许之外的所有权限必须禁止。
- 需要时获取:所有用户由于开展业务活动涉及到资源使用时,应遵循需要时获取的原则,即不获取和自己工作无关的任何资源。
在信息系统维护管理过程中,应建立和不断完善主机、网络设备和安全设备等的访问控制策略,访问控制策略应至少考虑下列内容:
-
信息系统所运行业务的重要性。
-
各个信息系统的安全要求。
-
各个信息系统所面临的风险状况。
-
访问控制策略强度与其信息资产价值之间的一致性。
用户在使用网络服务时,应只能访问已获授权使用的网络和网络服务服务,并遵守以下策略要求:
-
使用内部网络服务和外部网络服务时,均应遵守国家的法律、法规,不得从事非法活动。
-
使用内部网络服务和外部网络服务时,还应遵守内部相关规章制度的要求。
02.用户访问管理
所有系统用户的注册过程应进行必要的管理,在用户注册的过程中应遵循以下策略:
-
所有用户账号的开通应通过正式的账号申请审批过程。
-
申请过程核实用户申请和用户资料。
-
使用唯一的用户ID号码,保证可由此号码追溯用户。
-
保存所有用户注册的审批记录,无论是电子还是纸质的。
系统用户权限变更、取消过程应进行必要的管理,在用户权限变更、取消的过程中应遵循以下策略:
-
当用户的账号、权限需要变更时应通过正式的变更审批过程。
-
核实用户账号权限变更、取消的申请。
-
在工作人员工作范围发生变化或人员转岗后,应及时变更用户账号。
-
在工作人员离职后,应立即删除或禁用用户账号,取消该用户访问权。
-
保存所有用户变更和取消访问权限的审批记录,无论是电子还是纸质的。
所有系统特权均应采取控制措施来限制特殊权限的分配及使用。任何信息系统,只能由其所有者或授权管理者控制该系统特权账号的密码,包括关键主机、网络设备和安全设备等所用密码。
应建立正式系统口令管理策略,对口令的复杂度、长度、定期更换等内容进行定义说明;如系统支持技术手段进行口令管理策略实现,应优先选用技术手段进行控制。
所有核心应用系统中所有账号均应进行定期权限清查,及时清除多余用户账号及权限。清查周期可根据系统重要程度及账号类型设定,但清查间隔周期不得大于一年。
特权用户权限也应纳入定期清查,清查间隔周期不得大于一年,特权用户包括:重要应用系统和数据库的管理员账号、有管理员权限的WINDOWS账号、UNIX的root账号、所有路由器、交换机或专用设备的管理员账号、防火墙管理员账号、有专门特权(取决于系统)的其它系统账号等。
03.应用和系统访问控制
应确保所有系统中的用户拥有唯一的、专供个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户的身份。这一控制策略适用于所有类型的用户(包括技术支持人员,操作员,网络管理员、系统程序员和数据库管理员)。
对应用系统的访问控制限制应基于用户的角色分工、业务应用要求和用户的工作需要。
只有获得授权的信息技术人员才具有访问和管理数据库和中间件的权限,其他人员需要经过批准后才可获得数据库、中间件的访问权限。
应对所有系统的登录进行必要的控制,防止系统的非授权访问,在系统安全登录控制中可以考虑如下措施:
-
用户在操作系统登录过程中泄露最少系统相关信息,避免给未授权用户提供任何不必要的帮助。
- 通过记录不成功的尝试、达到登录的最大尝试次数锁定等手段,达到对非授权访问登录的控制。
- 在成功登录完成后,显示前一次成功登录的日期和时间等信息。
-
不在网络中传输明文口令;不在系统中保存明文口令。
所有系统应在不影响其功能用途的前提下设定超时不活动时限,且尽可能在超时达到一定期限时,关闭应用和网络会话。超过一定时间用户没有操作,自动注销该用户登录。
应考虑对应敏感的计算机应用程序,特别是安装在高风险位置的应用程序,使用联机时间的控制措施。这种限制的示例包括:
- 使用预先定义好的连接时间;
-
将联机时间限于正常办公时间。
应确保特殊的敏感系统具有专用的运算环境,确保其运行在专用的计算机设备上,并且仅与可信的应用系统共享资源,可根据具体情况采取物理或逻辑手段实现敏感系统隔离。
对应用系统相关的测试数据、开发测试文档及源代码应进行必要的访问控制,具体访问控制策略如下:
- 默认情况下,禁止使用真实的生产数据进行信息系统测试活动,如必须使用需得到生产数据所属业务负责人的批准。信息系统上线后应及时清除测试过程中的所有帐号、测试数据、资料等。
- 信息系统开发、测试、运行维护过程中的所有过程文件,应进行统一的归档保管,防止机密性及完整性被破坏。
-
对源代码的访问应进行控制,无论是开发测试中的还是配置库中的;要确保非项目相关人员不可以获得源代码,应定期对配置库进行权限清查,至少每年进行一次。
04.移动设备和远程工作
对在工作使用的移动计算设备(包括笔记本电脑等)应进行严格的安全控制,包括以下方面:
- 使用移动计算设备须经过使用人员的管理负责人授权。
- 公用移动计算设备中贮存的数据应作为临时资料处理,使用后要删除。
- 用户必须设置操作系统登录密码或屏幕保护程序密码。
- 用户应确保移动计算设备处于安全的物理环境中,防止不必要的物理损坏及丢失。
-
应安装许可的软件,及时更新防病毒软件的病毒库,安装最新操作系统补丁。
任何人员只允许通过可靠的远程登录方式(如VPN)访问网络环境及应用系统,禁止任何以其它方式登录或尝试登录内部网络环境。应使用足够的安全控制措施(比如令牌、动态密码卡等),确保能够识别所登录用户的合法身份。