一、账号管理
1.1、账号的设置必须遵循“唯一性、必要性、最小授权"的原则。
唯一性:指每个账号对应-一个用户,不允许多人共同拥有同一账号。
必要性:指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要、职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关闭不需要的系统账号。
最小授权:指对账号的权限应进行严格限制,其权限不能大于其工作、业务需要。超出正常权限范围的,要经主管领导审批。
1.2、系统中所有的用户(包括超级权限用户和普通用户)必须登记备案,并定期审阅。
1.3、严禁用户将自己所拥有的用户账号转借他人使用。
1.4、员工发生工作变动,必须重新审核其账号的必要性和权限,及时取消非必要的账号和调整账号权限。如员工离开本部门,须立即取消其账号。
1.5、在本部门每个应用系统、网络工程验收后,应立即删除系统中所有的测试账号和临时账号,对需要保留的账号口令重新进行设置。
1.6、系统管理员必须定期对系统上的账号及使用情况进行审核,发现可疑用户账号时及时核实并作相应的处理,对长期不用的用户账号进行锁定。
1.7、一般情况下不允许外部人员直接进入主机系统进行操作。在特殊情况下(如系统维修、升级等)外部人员需要进入系统操作,必须由系统管理员进行登录,并对操作过程进行记录备案。禁止将系统用户及口令直接交给外部人员。
二、口令管理
2.1、口令的选取、组成、长度、修改周期应符合安全规定。禁止使用名字、姓氏、电话号码、生日等容易猜测的字符串作为口令,也不要使用单个单词作为口令,在口令组成上必须包含大小写字母、数字、标点等不同的字符组合,口令长度要求在8位以上。
2.2、重要的主机系统要求至少每个月修改口令,对于管理用的工作站和个人计算机,要求至少每两个月修改口令。
2.3、重要的主机系统应逐步采用一次性口令及其它可靠的身份认证技术。
2.4、本地保存的用户口令应加密存放,防止用户口令泄密。
三、软件管理
3.1、不安装和使用来历不明、没有版权的软件。
3.2、不得在重要的主机系统上安装测试版的软件.
3.3、开发、修改应用系统时,要充分考虑系统安全和数据安全,从数据的采集、传输、处理、存贮,访问控制等方面进行论证,测试、验收时也必须进行相应的安全性能测试、验收。
3.4、操作系统和应用软件应根据其本身存在的安全漏洞及时进行必须的安全设置、升级和打安全补丁。
3.5、个人计算机上不得安装与工作无关的软件。在服务器系统上禁止安装与服务器所提供服务和应用无关的其它软件。.
3.6、系统设备和应用软件的登录提示应对可能的攻击尝试、非授权访问提出警告。
3.7、主机系统的服务器、工作站所使用的操作系统必须进行登记。登记记录上应该标明厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容,并进行存档保存。
3.8、重要的主机系统在系统启用、重新安装或者升级时应建立系统镜像,在发生网络安全问题时利用系统镜像对系统进行完整性检查。
四、服务器、网络设备、计算机安全系统(如防火墙、入侵检测系统等)等应具备日志功能并必须启用。网络信息安全管理员要定期分析网络安全系统和操作系统日志,在发现系统遭受攻击或者攻击尝试时采取安全措施进行保护,对网络攻击或者攻击尝试进行定位、跟踪并发出警告,并向网络信息安全领导小组报告。系统日志必须保存三个月以上。
五、新建计算机网络、应用系统必须同时进行网络信息安全的设计。