收藏
下载资源

系统访问控制程序

上传人:ji****72 文档编号:38058618 上传时间:2018-04-26 格式:DOC 页数:9 大小:118.50KB
返回 下载 相关 举报
系统访问控制程序_第1页
第1页 / 共9页
系统访问控制程序_第2页
第2页 / 共9页
系统访问控制程序_第3页
第3页 / 共9页
系统访问控制程序_第4页
第4页 / 共9页
系统访问控制程序_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《系统访问控制程序》由会员分享,可在线阅读,更多相关《系统访问控制程序(9页珍藏版)》请在金锄头文库上搜索。

1、信息科技部信息科技部系统访问控制程序系统访问控制程序A 版2011 年 6 月 1 日 发布 2011 年 6 月 1 日 实施信息安全管理体系文件 ISMSP-37-A目录目录1 目的.3 2 范围.3 3 相关文件.3 4 职责.3 5 程序.3 5.1 各系统安全登录程序 .3 5.2 用户身份标识和鉴别 .4 5.3 口令管理.5 5.4 系统实用工具的使用 .5 5.5 登录会话限制.6 5.6 特殊业务链接时间的限定 .6 6 记录.6文件修订历史记录版本日期修订者修订描述1.0信息安全管理体系文件 ISMSP-37-A1 目的目的为规范阜新银行信息科技部对各系统的访问控制,预防对

2、系统的未授权的访问特制定此文件。2 范围范围本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。3 相关文件相关文件口令管理规定4 职责职责4.1 副总经理负责核心系统及外围系统的运行维护管理指导。4.2 中心机房管理员负责中心机房的维护、运行及管理。4.3 信息科技部其他人员配合中心机房管理员的工作。5 程序程序5.1 各系统安全登录程序各系统安全登录程序5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求:(a)不显示系统或应用标识符,直到登录过程已成功完成为止;(b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息;(c)仅在所有输入数据完成时才验

3、证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;(d)限制所允许的不成功登陆尝试的次数(推荐 3 次)并考虑:1)使用策略或其他手段记录不成功的尝试;2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权情况下拒绝任何进一步的尝试;信息安全管理体系文件 ISMSP-37-A3)断开数据链路链接;4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管理员)发送警报消息;5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内部存储信息的价值)设置口令重试的次数;(e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录;(f)在成功登陆完成时

4、,显示下列信息:1)前一次成功登陆的日期和时间;2)上次成功登陆之后的任何不成功登陆尝试的细节;(g)不显示输入的口令或考虑通过符号隐蔽口令字符;(h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。5.2 用户身份标识和鉴

5、别用户身份标识和鉴别5.2.1 阜新银行信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户 ID 及口令。5.2.2 中心机房管理员对中心机房各系统建立用户 ID 身份鉴别策略,以确保用户 ID 的任何活动都可以追踪到各个责任人。常规业务操作不可以使用有特殊权限的账户执行。5.2.3 如在特定时间内中心机房管理员需平凡操作或登录核心系统或外围系统,则可由中心机房管理员提出外部公司机房特殊业务工作单由信息科技部总经理审批,审批通过后再特定时间内中心机房管理员可以随时访问核心系统或外围系统,访问期间必须留有系统的日志审核记录以便事后查阅。信息安全管理体

6、系文件 ISMSP-37-A5.2.4 中心机房管理员应管理核心系统及外围系统的访问权限,确保普通 ID 或特定 ID 只有其工作范围内的权限(如:普通 ID 只有对系统的只读权限,特定ID 只具有在特定目录下有访问权限其他目录均无权限)依照口令管理规定对权限形成记录并定期进行检查。5.2.5 进入中心机房或前置机房或备份机房时需使用指纹方可进入,不经相关负责人授权任何人不得以任何理由使用自己的指纹替他人开启以上区域。5.3 口令管理口令管理5.3.1 在登录核心系统或外围系统时,必须使用自己的用户 ID 及口令,确保身份的可核查。5.3.2 阜新银行信息科技部员工需要登录核心系统或外围系统需

7、要提交系统访问授权书 ,如果是第一次登陆且没有用户 ID 及密码则按照口令管理规定进行用户 ID 的申请,由中心机房管理员根据申请添加用户 ID 及默认密码并且设置密码历史记录(推荐记录 3 次) ,用户在第一次登陆后必须对密码进行更改,否则由中心机房管理员强行收回用户 ID。5.3.3 口令必须是由数字、字幕、符号,长度 7 位组成并且不可以使用例如:生日、姓名、电话号码等易于猜解的密码。5.3.4 口令的存放可查看口令管理规定5.4 系统实用工具的使用系统实用工具的使用5.4.1 系统实用工具是指可能超越系统和应用程序控制措施的实用工具。5.4.2 网络管理员应对信息科技部内所有的软件进行

8、整理并形成信息科技部软件验收保管登记台账由网络管理员对信息科技部软件验收保管登记台账进行标识,将系统实用工具与应用程序分开。5.4.3 由网络管理员定期(每周)将使用系统实用工具的用户进行重新评审,确保用户权限限制到最小实际用户数并且保证其是可信的、已被授权的。5.4.4 由网络管理员对系统实用工具进行控制并保留所有操作日志。5.4.5 如有新的系统实用工具的添加或在特定系统的安全,必须由该区域副总经理授权审批系统实用工具安装审批通过后,方可由网络管理员进行安装及调试。信息安全管理体系文件 ISMSP-37-A5.4.6 信息科技部所有信息处理设施,由网络管理员协助各业务人员移除或禁用基于实用

9、工具和系统软件的所有不必要软件。5.4.7 当涉及到职责分割时应确保访问系统中应用程序的用户只可以访问应用程序。而可以访问系统实用工具的用户只可以访问系统实用工具。5.5 登录会话限制登录会话限制5.5.1 应由网络管理员对核心系统及外围系统进行设置,确保可以将不活动会话在 15 分钟后自动断开或注销。6 记录记录系统实用工具安装审批信息科技部软件验收保管登记台账外部公司机房特殊业务工作单信息安全管理体系文件 ISMSP-21-R01 外部公司机房特殊业务工作单外部公司机房特殊业务工作单编号:编号: 年年 月月 日日项目名称项目名称填报人填报人事件描述事件描述服务公司服务公司联系电话联系电话公

10、司受理人公司受理人受理时间受理时间公司服务人员公司服务人员到达时间到达时间科技配合人员科技配合人员事件分析:事件分析:公司人员:公司人员: 日期:日期: 科技部人员:科技部人员: 日期:日期:科技部审批科技部审批负责人签字:负责人签字:机房进入时间:机房进入时间: 年年 月月 日日 时时 分分处理结果(内容描述):处理结果(内容描述):公司人员:公司人员: 日期:日期: 科技部人员:科技部人员: 日期:日期:科技部领导审核科技部领导审核:签字:签字: 日期:日期: 信息安全管理体系文件 ISMSP-37-R02 信息科技部软件验收保管登记台账信息科技部软件验收保管登记台账 编号编号No.No.软件软件软件名称软件名称版本号版本号基本基本购置时间购置时间批批 文文 号号数数 量量价价 格格供供 货货 商商验验 收收 人人情况情况序序 号号软软 件件 名名 称称数量数量附注附注入库日期入库日期保保 管管 人人部室负责人部室负责人软软 件件 明明 细细 登登 记记备注备注信息安全管理体系文件 ISMSP-37-R01 系统实用工具安装审批系统实用工具安装审批编号:编号: 年年 月月 日日项目名称项目名称填报人填报人事件描述事件描述科技配合人员科技配合人员系统实用功能描述:系统实用功能描述:填报人员:填报人员: 日期:日期: 科技部人员:科技部人

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号