訪問控制策略V1.0

1、附L參天就未索北蠱華腔天鳳制技股份有眼舍司總語地址；北京市海淀區(qū)學著龍白號科技財用申rvA&lO-U層 郵軍：IM0R5 電話；010-8273Jm 費真；010-B2733999 網(wǎng)址匸來切:人站 tcsun. c<» cr»軟怦眼再 I 慕統(tǒng)鳳產(chǎn)屈北京華勝天成科技股份有限公司管理體系文件文件名稱：訪問控制策略文件編號：ISM-ACM-01文件版本：V1.0文件密級：內(nèi)部公開受控狀態(tài)：受控編 寫：秦佩君審 核：杜欣批 準：王維航2009年03月01日發(fā)布2009年03月01日生效本文件中包含的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注

2、明，版權(quán)均 屬北京華勝天成科技股份有限公司所有。未經(jīng)許可任何人不得將此文件中的任何部分以任何形式進行復制、 儲存和傳播。霰件系班尺產(chǎn)品1目的12適用范圍13術(shù)語表14訪問控制方針14.1通用方針14.2網(wǎng)絡(luò)訪問控制24.2.1網(wǎng)絡(luò)區(qū)域劃分2422網(wǎng)絡(luò)區(qū)域隔離24.3身份授予與鑒別 24.3.1賬戶管理24.4外部信息交換控制34.4.1公開信息披露34.4.2外部信息交換35相關(guān)過程、模板、指導、檢查表 3軟件眼畀系筑艮嚴屈1目的訪問控制方針旨在基于華勝天成的業(yè)務(wù)需求，為信息資產(chǎn)的訪問控制制定方針原則。各信息安 全控制措施的選擇和實施，以及信息安全管理規(guī)定的編寫，應依據(jù)本方針進行。2適用范圍本

3、方針適用于華勝天成信息安全管理體系范圍內(nèi)的各類型訪問控制，包括但不限于：信息資產(chǎn)訪問控制；權(quán)限及密碼管理；網(wǎng)絡(luò)訪問控制；物理安全訪問控制；應用系統(tǒng)訪問控制等。3術(shù)語表術(shù)語解釋明確授權(quán)明確授權(quán)是指具有授予訪問權(quán)限的人員，通過郵件、紙質(zhì)授權(quán)書 的方式，正式向需要訪問信息的人員授予權(quán)限的過程。訪問控制訪問控制是對主體訪問客體的權(quán)限或能力的一種限制，分為物理 訪問控制和邏輯訪問控制。物理訪問控制是指對物理實體進行的訪問控制（例如紙張、電腦、 網(wǎng)絡(luò)設(shè)備等）；邏輯訪問控制是指對沒有物理實體存在的對象的訪 問控制（例如網(wǎng)絡(luò)、電子文檔、應用系統(tǒng)等）。4訪問控制方針訪問控制應依據(jù)以下兩個原則進行：最小授權(quán)原則當

4、沒有明確授予訪問權(quán)限時，應為禁止訪問。 應僅對用戶授予他們開展業(yè)務(wù)活動所必需的訪問權(quán)限。需要時獲取訪問權(quán)限應僅當使用者必須要訪問信息時授予。4.1通用方針信息安全的訪問控制，應基于分級的原則。在不同級別之間，應設(shè)置訪問控制措施; 訪問控制角色應進行分離，包括如下角色：訪問請求訪問授權(quán)訪問管理訪問控制審計；訪問控制應包括如下管理過程：訪問控制措施的部署；訪問控制權(quán)限的申請、審批及授予霰件系班尺產(chǎn)品訪問控制權(quán)限的回顧及審計 訪問控制權(quán)限的撤銷應對公司內(nèi)部訪問以上級別的信息資產(chǎn)設(shè)置訪問控制措施；工作職責范圍內(nèi)的對本部門 機密以及內(nèi)部訪問級別的信息資產(chǎn)的訪問，不需要特別申請訪 問權(quán)限；工作職責范圍外對

5、任何 機密級別的信息資產(chǎn)的訪問，需要有 信息資產(chǎn)所有者以及信息訪問 者所在部門直接主管 的共同授權(quán)；工作職責范圍外對任何內(nèi)部訪問級別的信息資產(chǎn)的訪問，需要有信息資產(chǎn)所有者的審批； 對絕密級別的信息資產(chǎn)的訪問，需要有信息資產(chǎn)所有者以及信息訪問者所在事業(yè)部的總經(jīng) 理的共同明確授權(quán)；由資產(chǎn)所有者維護訪問清單及授權(quán)記錄，并負責至少三個月按照訪問 清單對實際訪問權(quán)限進行回顧；訪問控制的執(zhí)行狀況，應該由信息安全流程經(jīng)理組織訪問控制權(quán)限的審計活動；應基于信息安全事件的發(fā)生頻率和影響，以及信息資產(chǎn)的等級設(shè)定審計的頻率；對物理環(huán)境的訪問控制，參照物理環(huán)境管理規(guī)范執(zhí)行；對信息資產(chǎn)的訪問控制，參照信息資產(chǎn)管理規(guī)范4

6、.2網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)區(qū)域劃分與隔離是進行訪問控制的基礎(chǔ)，目的是確認并管理企業(yè)網(wǎng)絡(luò)內(nèi)部邊界和外部邊界, 使各個區(qū)域之間相互獨立，保證各個區(qū)域間的影響最小化。以下為網(wǎng)絡(luò)訪問控制的4.2.1網(wǎng)絡(luò)區(qū)域劃分華勝天成所有網(wǎng)絡(luò)區(qū)域應根據(jù)其支撐的業(yè)務(wù)和業(yè)務(wù)的安全需求進行劃分，對于安全需求比較高 的敏感區(qū)域應進行識別，明確每個區(qū)域與其它區(qū)域的邊界以及企業(yè)內(nèi)部與外部區(qū)域的邊界。華勝天 成網(wǎng)絡(luò)區(qū)域包括但不限于：公司普通辦公網(wǎng)絡(luò)區(qū)域；財務(wù)、人事敏感辦公網(wǎng)絡(luò)區(qū)域； 公司分支機構(gòu)網(wǎng)絡(luò)區(qū)域； 企業(yè)軟件開發(fā)、測試網(wǎng)絡(luò)環(huán)境。4.2.2網(wǎng)絡(luò)區(qū)域隔離應根據(jù)業(yè)務(wù)需求對網(wǎng)絡(luò)區(qū)域之間采用不同的手段進行隔離，對于敏感網(wǎng)絡(luò)區(qū)域的邊界必須采用

7、 足夠的技術(shù)手段進行防護。華勝天成敏感區(qū)域邊界包括但不限于：敏感辦公區(qū)域與普通辦公區(qū)域的網(wǎng)絡(luò)邊界； 企業(yè)內(nèi)部網(wǎng)絡(luò)與In ternet網(wǎng)絡(luò)邊界； 企業(yè)內(nèi)部網(wǎng)絡(luò)區(qū)域與分支機構(gòu)之間的網(wǎng)絡(luò)邊界； 軟件開發(fā)、測試環(huán)境與企業(yè)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)邊界。4.3身份授予與鑒別身份授予與鑒別是對訪問企業(yè)資源的用戶賦予身份并在用戶訪問資源時進行身份鑒別，目的是 保證訪問網(wǎng)絡(luò)系統(tǒng)資源的用戶是合法的。關(guān)于身份授予與鑒別政策定義如下：4.3.1賬戶管理應基于不同業(yè)務(wù)的需求對訪問華勝天成資源的用戶分別建立用戶賬戶的授予與撤銷的管理 措施和執(zhí)行過程。-3 -授予用戶的身份應是唯一的，即一個用戶賬戶唯一地對應一個用戶，不允許多人共享

8、一個 賬戶。對任何用戶的登錄應進行身份鑒別。身份鑒別的方法應根據(jù)用戶所處環(huán)境的風險確定。 對重要資源的訪問保證有足夠的口令強度和防攻擊能力，用戶必須使用符合安全要求的口 令，并妥善保護口令。信息系統(tǒng)的所有者應維護特權(quán)賬戶的清單和對應使用人員，并至少每三個月對特權(quán)帳號進 行回顧。4.4外部信息交換控制外部信息交換控制政策是防止在與外部進行信息交換不受控，從而造成華勝天成公司的敏感信 息泄漏或被篡改。由于華勝天成是上市公司，任何公開信息的披露，應遵循嚴格的審批和授權(quán)過程4.4.1公開信息披露未經(jīng)允許，不得將任何公司“內(nèi)部”及其上級別的信息披露給公司外部人員； 公開信息僅應通過獲得授權(quán)的部門對外披露；4.4.2外部信息交換嚴禁將“絕密”及其上級別的信息傳遞給第三方；若需將“機密”信息與第三方共享，應獲得信息