帐号安全管理标准.doc

城建宏信有限公司 帐号安全管理标准 修订记录 版 本 编 号 版 本 日 期 修 订 者 说 明 V1.0 2015-04-20 曹宏涛 初稿 目 录 第1章 概述 4 1.1. 目的 4 1.2. 适用范围 4 1.3. 适用对象 4 第2章 标准 4 2.1. 标准概述 4 2.2. 标准内容 5 2.2.1. 用户身份标识 5 2.2.2. 用户身份认证 6 2.2.3. 授权 6 2.2.4. 帐号口令管理 7 2.2.5. 口令共享 8  概述 有效规范的帐号安全管理是保障信息系统安全的必要手段。用户帐号管理主要是对用户的身份鉴定、认证和访问授权进行管理，通过此控制并管理对IT系统、应用程序和其它城建宏信信息资源的访问。同时帐号管理还对审计和访问授权的合法性提供了必要保障。该文档制定在用户被调职、提升或解雇、退休时能够及时修改和删除访问权限的帐号管理标准。 目的 建立帐号安全管理标准的目的在于合理地管理能够访问或修改城建宏信数据资源的各种帐号，确立包括建立、监控、修改、注销和删除帐号的规则。 适用范围 本标准在公司范围内发布，面向所有城建宏信员工，合同工，供应商以及其他任何授权使用城建宏信内部计算机的人员都必须遵守。 适用对象 该帐号安全管理标准适用于任何授权访问城建宏信信息资源的帐号。 标准 标准概述 以下标准条目对帐号进行创建，激活、中止，修改和删除帐号访问资源的权限以及帐号口令管理、共享和相关责任进行了说明。 标准内容 用户身份标识 每个系统的用户标识（例如User ID，证书）需能代表某个系统或应用的用户。每个账号需要有一个所属人。 不允许共享用户身份或组身份。 内部用户身份标识命名符合以下的规则： 身份标识基本规则为员工的姓名全名拼音。 用户身份标识出现重名时，采用重名冲突规则解决。用户身份标识超长时，采用超长规避规则处理。 重名冲突规则 考虑到目前无法确定一个最佳的重名冲突解决规则，这里列出几个重名冲突解决办法，系统实现时可选择其中任意一个，但在同一个系统中不要几种规则同时使用。 规则一：“符合基本规则的用户ID”+“_”+[后缀]（注：下划线）。 规则二：“符合基本规则的用户ID”+“-”+[后缀]（注：短横线）。 规则三：“符合基本规则的用户ID”+“.”+[后缀]。 规则四：“符合基本规则的用户ID”+[后缀]。 其中，建议[后缀]为长度小于等于3位的数字或字母。 举例：如公司内有两名员工叫王宏，则一个王宏的用户ID为 wanghong，按照以上规则，另一个王宏的用户ID可能分别是“wanghong_1”，“wanghong-001”，“wanghong.tom”，“wanghong3”。 超长规避规则 有些系统对用户ID的最大长度有限制。当按照规则生成的用户ID超过某个系统的用户ID长度限制时，在该系统中此用户的ID按照系统允许的最大长度从左边开始截取。 举例：一名员工姓名为“赵红红”，按照基本规则其用户ID为“zhaohonghong”，共12个字母。假定某系统允许的用户ID最长为8位，则该名员工的用户ID从左边开始截取8个字母，为“zhaohong”。 如果截取后的用户ID与其他人的ID出现重复，则将截取后的ID继续适当缩短，然后用重名冲突规则进行处理。 举例：接前例，赵红红的员工ID截取后为“zhaohong”，与另一名员工赵虹的用户ID发生重名。如果采用重名冲突规则四，赵红红的员工ID最后可定为“zhaohon1。 第三方用户身份标识命名符合规则：以特殊的、固定的字符开头，比如建立基本规则为“c_” + 其姓名全名拼音（注：以小写字母c 和下划线开头。） 用户身份认证 不允许在没有通过验证的情况下，访问网络设备和其它信息处理系统。 连续的登陆尝试应受限制，并记录失败的登陆尝试，如果系统功能可以实现，在连续第三次错误的口令登录尝试时，失效或锁住此用户的身份，并在一定时间间隔后或邮管理员恢复该帐号。 授权 应该根据业务的需要来授予新用户的访问权限，也意味着正式的授权过程。授予个人的权限应该和他们的工作职能一致。对于个人来说，每次授权的访问需要鉴定用户的身份。 注册过程，至少应包含以下内容： 新员工在人事部门注册并申请相关权限，并从应用子系统负责部门主管获得访问信息设备或服务的授权。 检查访问的级别是否和城建宏信的业务需要吻合。 业务需求以外的特殊权限要求需要从本部门经理和应用子系统负责部门主管获得访问信息设备或服务的授权。 所有在一段预定义的时间内未使用的帐号将被废除。 各应用子系统的权限需要定期进行检查。间隔时间和检查方式详见各子系统相关流程文档。 当一些职员被调动到其他部门或者不再具有相应的角色和使用需要，那么所有有关的用户帐号和信息系统权限将被立刻中止。