2024用戶訪問控制標(biāo)準(zhǔn)

用戶訪問控制標(biāo)準(zhǔn)用戶訪問控制標(biāo)準(zhǔn)范圍本標(biāo)準(zhǔn)規(guī)定了計算機(jī)系統(tǒng)的所有程序,保證用戶以合理的權(quán)限使用到所需的資源,最大限度的保護(hù)計算機(jī)資源的安全性和合理性，適用于公司所有人員。規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/TT179011999《信息技術(shù)安全技術(shù)密鑰管理》GMT0032《基于角色的授權(quán)管理與訪問控制技術(shù)規(guī)范》定義和術(shù)語下列術(shù)語和定義適用于本標(biāo)準(zhǔn)：計算機(jī)系統(tǒng)ComputerSystem計算機(jī)系統(tǒng)由計算機(jī)硬件和軟件兩部分組成，是計算機(jī)硬件系統(tǒng)和計算機(jī)軟件系統(tǒng)的有機(jī)結(jié)合整體。本文指軟件部分，包含基礎(chǔ)軟件和應(yīng)用軟件，及相應(yīng)的支持文檔。用戶訪問控制規(guī)范審批IT經(jīng)理審核最后由系統(tǒng)管理員為通過審批的用戶在相應(yīng)的系統(tǒng)建立登陸帳號并設(shè)用戶利用自己帳號在公司網(wǎng)絡(luò)上的所有活動,都應(yīng)被跟蹤、審計和記錄.IT部門應(yīng)定期(每月)匯當(dāng)不需要進(jìn)入公司計算機(jī)系統(tǒng)時,IT部門以取消其帳號。用戶由于各種原因離開公司時,IT部門確認(rèn)已退出計算機(jī)系統(tǒng)后,才可與人力資源部門辦理離職手續(xù)。IT經(jīng)理及其代表可批準(zhǔn)臨時或永久的用戶帳號.對于跨越部門的訪問權(quán)限, permitdeny用來表示滿足訪問表項的報文是允許通過接口，還是要過濾掉。PermitdenyIP訪問表源地址的報文要被丟棄掉。source hostany分別用于指定單個主機(jī)和所有主機(jī)。host表示一種精確的匹配，其屏蔽碼為0.0.0.0198.79.35.6來的報文，則使用標(biāo)準(zhǔn)的訪問控制列表語句access-list1permit198.79.35.6access-list1permit host198.79.35.6與此相對照，any是源地證/0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源198.78.46.8IP訪問表可以使用access-list1denyhost198.79.35.6access-list1permitanypermitdeny198.78.46.8的報文，因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序?qū)?Cisco訪問表功能所支持的通配符屏蔽碼與子網(wǎng)屏蔽碼的方式是剛好相反的，也就是說，二O表示一個'匹配'條件，二進(jìn)制的1表示一個'不關(guān)心'C類網(wǎng)絡(luò)198.78.46.0，若不使用子網(wǎng)，則當(dāng)配置網(wǎng)絡(luò)中的每一個工作站時，使用于網(wǎng)屏蔽碼255.255.255.O。在198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。 og關(guān)鍵字只在OS版本.3中存在。如果該關(guān)鍵字用于訪問表中，則對那些能夠匹配訪問表中的perit和deny語句的報文進(jìn)行日志記錄。日志信息包含訪問表號、報文的允許或拒絕、源地址以及在顯示了第一個匹配以來每5分鐘間隔內(nèi)的報文數(shù)目。使用og關(guān)鍵字，會使控制臺日志提供測試和報警兩種功能。系統(tǒng)管理員可以使用日志來觀察不同活動下的報文匹配情況，從而可以測試不同訪問表的設(shè)計情況。當(dāng)其用于報警時，管理員可以察看