公司技术部机房运维网络设备账号权限审批制度.docx

公司技术部机房运维网络设备账号权限审批制度 1 账号申请流程及创建规则 1. 公司业务部门工作人员因工作需要新建账号时， 需填写“系统账号 申请表”。经用户所在业务部门经理审批通过后，由网络管理员受理 需求。 网络管理员按照最小授权原则评估用户账号权限是否与业务处 理需求相符， 并将分析结果提交 IT 经理审批。经 IT 经理审批通过后， 网络管理员为员工创建账号、授予权限并通知员工。如果，用户需要 建立临时帐号，应在“系统账号申请表”备注中写明使用时限。其它步 骤按照新创建账号的管理制度执行。 超过使用时限后， 由网络管理员 通知用户后， 将此账号注销。 网络管理员应明确告知用户对其所分配 的账号的行为负责。 用户要妥善使用和保管好自己的账号和密码， 不 得将帐号提供给他人使用。 2. 公司业务合作伙伴需要创建账号时，可以向业务部门接口人提出 请求。 由业务部门接口人向网络管理员提出创建账号请求， 并填写“系 统账号申请表”。其余审批步骤与新建公司内部员工账号步骤相同。 3. 如因工作需要为公司系统服务商创建账号时，由网络管理员根据 最小授权原则自行填写“系统账号申请表”， 经 IT 经理审批通过方可后 创建账号。待系统服务商服务到期结束后，必须及时给予注销。 4. 网络管理员为来访客户统一分配 IP 地址网段，并实施身份验证。 只允许客户具有普通访问外网权限， 并禁止客户账号访问公司内部网 络系统。一旦客户离开则立即撤销其账号。 5. 网络管理员对用户账号授权时，应检查授予的访问等级是否适应 业务访问控制策略，是否符合网络的信息安全策略。此外，网络管理 员应对照网络设备相关定义， 检查对账号的授权中是否有高权限。 如 有高权限，必须将此用户账号的操作纳入安全审计日志中。 6. 按照责任分离的原则，网络管理员为经过批准用户设立账号，一 个账号对应唯一的用户。 网络管理员在建立用户账号时， 要在账号说 明中详细标注用户名称、部门和账号所关联的业务等必要信息。 7. 对于默认系统账号、商业软件自建账号，在正式投产前应删除或 禁用此类账号。网络管理员应严加控制。如根据具体运行环境情况， 确实需要使用这些账号，应在投入生产前更改缺省账号密码。 2 账号权限变更 当遇到用户岗位变动或者业务变更，需要修改原有账号访问权限时。 网络管理员应要求用户重新填写“系统账号申请表”，说明账号权限变 更理由， 提出账号权限变更请求。 经用户所在部门经理审批通过后由 网络管理员受理。 网络管理员按照最小授权原则评估用户账号权限是 否与业务处理需求相符，并将分析结果提交 IT 经理审批。经 IT 经理 审批通过后，网络管理员修改用户账号权限并通知员工。 3 账号注销 1. 公司内部员工调动、离职或终止使用网络设备时，需要撤销其使 用的账号。用户所在部门应按流程，通知 IT 经理，由 IT 经理指定网 络管理员撤销员工所使用的账号。 网络管理员在确认没有和此账号相 关联的系统配置和数据(如使用此账号加密的数据)后，撤销用户账 号的访问权限并注销用户账号。如果存在账号直接关联的系统配置或 数据时， 应首先解除此关联， 再撤销用户账号的访问权限并注销用户 账号。 2. 公司系统服务商服务到期后， 相关部门应通知 IT 经理， 由 IT 经理 指定网络管理员在确定已经取消系统服务商账号与相关配置和数据 的关联性后，撤销系统服务商账号。 3. 网络管理员至少每季度检查用户账号的使用情况， 对于长时间(如 3 个月)无人使用的账号， 经账号所属部门经理确认后及时给与注销。 如账号所属部门要求保留账号， 应提交保留申请和保留期限。 账号所 属部门不能将账号随便转给其他用户使用。 对所保留的用户账号， 设 置该账号处于禁用状态， 重新启用这些账号时， 账号所属部门仍需向 运行维护部门提出申请。经 IT 经理审批同意后，网络管理员方可激 活此账号供用户使用。 4 账号权限复查 对于所有注册并使用公司网络设备的用户账号， 网络管理员应保存正 式记录和用户清单，建立相应的“账号权限矩阵表”，进行集中管理， 并定期维护和更新。网络管理员应参照系统访问控制策略，和“账号 权限矩阵表”，至少每半年复查用户的访问权限。 对高权限账号的分配情况， 网络管理员至少每半年核查一次， 以便及 时查处并清理未经授权的高权限账号。 对此类高权限账号， 网络管理 员在确认不影响生产的前提下， 应及时回收。 事后通报相关用户和上 级领导， 并由该用户承担相应责任和处罚。 对高权限用户账号的使用 情况， 网络管理员需要每月进行核对， 查看其使用情况是否被完全登 记，并对登记的内容进行检查。 5 账号密码管理 用户在登陆网络设备时， 都要求输入其账号所对应的密码。 网络管理 员会在用户注册时， 为其账号设置初始密码， 并在首次启用时强制用 户对密码进行更改。 网络设备账号密码应妥善使用和保管， 并按照以下建议进行设置， 以 确保账号安全： 所有账号密码均应以密文形式存储在网络设备上。 普通用户密码长度不少于 6 个字符， 高权限用户密码长度不少于 8 个 字符。建议设置的密码采用字母与数字混合形式的字符串。 用户设置密码应保证自己容易记忆， 但尽量不基于以下容易猜测的字 符串， 比如：个人姓名、 部门名称、 公司名称、 电话号码、 出生日期、 连续数字、相同字符等。 用户尽量不使用私人用户密码。 当需要访问多个网络设备或多重服务 时，建议用户使用单一的密码。 用户应定期重置密码， 以确保账号安全。 普通用户密码至少每季度重 置一次，高权限用户密码至少每月重置一次。重置密码时，用户应不 重复或者循环使用旧的密码， 其中高权限用户密码至少 6 次之内不重 复使用。 用户不应把密码包含在任何自动登录程序之中， 例如：把密码存在宏 代码或者功能键上； 用户忘记密码时， 可向网络管理员提出重置密码请求， 经用户所在部 门领导批准后， 在网络管理员帮助和指导下重新设置密码。 遇有系统 或者密码可能被侵害的迹象时， 用户应及时报告网络管理员， 并立即 重置密码。 根据职责分离原则， 网络设备高权限账号密码应由网络设备以外岗位 的工程师进行管理。 网络管理员应每季度定期检查用户密码是否按以上规定设置， 对不符 合要求的应及时通知用户整改。 对用户拒不改正的， 网络管理员应强 制停用该账号，以确保网络设备的安全。 6 账号权限的内部控制与审计 为确保用户管理和密码管理的有效性， 运行维护部门应对从事该项工 作的网络管理员有控制措施。必要时可以根据职责分离原则设置双向 监督岗位。同时，要对网络管理员和用户进行必要的安全意识教育。 网络管理员要遵守中心保密制度， 确保职业操守， 保证用户信息的安 全。工作中要按照审批流程严格执行，并对所有操作保留记录，以备 核查。 运行维护部门每年组织内部审计， 以确保该项工作的有效性。 内部审 计人员一般由业务管理部门和运行维护部门的工作人员组成。根据职 责分离原则， 网络管理员不在审计人员行列之内。 内部审计的内容主 要以“账号权限管理内部审计表”中所作的强制性要求为准，建议性要 求不在审计范围之列。内部审计后，审计人员要认真填写“账号权限 管理内部审计表”， 并对审计结果签署意见， 必要时要有相应的说明。 该审计结果要及时反馈给相应部门和人员， 并最后由运行维护部门负 责存档。