公司技术部机房运维网络设备账号权限审批制度.docx

1、公司技术部机房运维网络设备账号权限审批制度1 账号申请流程及创建规则1. 公司业务部门工作人员因工作需要新建账号时， 需填写“系统账号 申请表”。经用户所在业务部门经理审批通过后，由网络管理员受理 需求。 网络管理员按照最小授权原则评估用户账号权限是否与业务处 理需求相符， 并将分析结果提交 IT 经理审批。经 IT 经理审批通过后， 网络管理员为员工创建账号、授予权限并通知员工。如果，用户需要 建立临时帐号，应在“系统账号申请表”备注中写明使用时限。其它步 骤按照新创建账号的管理制度执行。 超过使用时限后， 由网络管理员 通知用户后， 将此账号注销。 网络管理员应明确告知用户对其所分配 的账

2、号的行为负责。 用户要妥善使用和保管好自己的账号和密码， 不 得将帐号提供给他人使用。2. 公司业务合作伙伴需要创建账号时，可以向业务部门接口人提出 请求。 由业务部门接口人向网络管理员提出创建账号请求， 并填写“系 统账号申请表”。其余审批步骤与新建公司内部员工账号步骤相同。 3. 如因工作需要为公司系统服务商创建账号时，由网络管理员根据 最小授权原则自行填写“系统账号申请表”， 经 IT 经理审批通过方可后 创建账号。待系统服务商服务到期结束后，必须及时给予注销。4. 网络管理员为来访客户统一分配 IP 地址网段，并实施身份验证。 只允许客户具有普通访问外网权限， 并禁止客户账号访问公司内

3、部网 络系统。一旦客户离开则立即撤销其账号。5. 网络管理员对用户账号授权时，应检查授予的访问等级是否适应业务访问控制策略，是否符合网络的信息安全策略。此外，网络管理 员应对照网络设备相关定义， 检查对账号的授权中是否有高权限。 如 有高权限，必须将此用户账号的操作纳入安全审计日志中。6. 按照责任分离的原则，网络管理员为经过批准用户设立账号，一 个账号对应唯一的用户。 网络管理员在建立用户账号时， 要在账号说 明中详细标注用户名称、部门和账号所关联的业务等必要信息。7. 对于默认系统账号、商业软件自建账号，在正式投产前应删除或 禁用此类账号。网络管理员应严加控制。如根据具体运行环境情况， 确

4、实需要使用这些账号，应在投入生产前更改缺省账号密码。2 账号权限变更当遇到用户岗位变动或者业务变更，需要修改原有账号访问权限时。 网络管理员应要求用户重新填写“系统账号申请表”，说明账号权限变 更理由， 提出账号权限变更请求。 经用户所在部门经理审批通过后由 网络管理员受理。 网络管理员按照最小授权原则评估用户账号权限是 否与业务处理需求相符，并将分析结果提交 IT 经理审批。经 IT 经理 审批通过后，网络管理员修改用户账号权限并通知员工。3 账号注销1. 公司内部员工调动、离职或终止使用网络设备时，需要撤销其使 用的账号。用户所在部门应按流程，通知 IT 经理，由 IT 经理指定网 络管理

5、员撤销员工所使用的账号。 网络管理员在确认没有和此账号相 关联的系统配置和数据(如使用此账号加密的数据)后，撤销用户账 号的访问权限并注销用户账号。如果存在账号直接关联的系统配置或数据时， 应首先解除此关联， 再撤销用户账号的访问权限并注销用户 账号。2. 公司系统服务商服务到期后， 相关部门应通知 IT 经理， 由 IT 经理 指定网络管理员在确定已经取消系统服务商账号与相关配置和数据 的关联性后，撤销系统服务商账号。3. 网络管理员至少每季度检查用户账号的使用情况， 对于长时间(如 3 个月)无人使用的账号， 经账号所属部门经理确认后及时给与注销。 如账号所属部门要求保留账号， 应提交保留

6、申请和保留期限。 账号所 属部门不能将账号随便转给其他用户使用。 对所保留的用户账号， 设 置该账号处于禁用状态， 重新启用这些账号时， 账号所属部门仍需向 运行维护部门提出申请。经 IT 经理审批同意后，网络管理员方可激 活此账号供用户使用。4 账号权限复查对于所有注册并使用公司网络设备的用户账号， 网络管理员应保存正 式记录和用户清单，建立相应的“账号权限矩阵表”，进行集中管理， 并定期维护和更新。网络管理员应参照系统访问控制策略，和“账号 权限矩阵表”，至少每半年复查用户的访问权限。对高权限账号的分配情况， 网络管理员至少每半年核查一次， 以便及 时查处并清理未经授权的高权限账号。 对此

7、类高权限账号， 网络管理 员在确认不影响生产的前提下， 应及时回收。 事后通报相关用户和上 级领导， 并由该用户承担相应责任和处罚。 对高权限用户账号的使用 情况， 网络管理员需要每月进行核对， 查看其使用情况是否被完全登记，并对登记的内容进行检查。5 账号密码管理用户在登陆网络设备时， 都要求输入其账号所对应的密码。 网络管理 员会在用户注册时， 为其账号设置初始密码， 并在首次启用时强制用 户对密码进行更改。网络设备账号密码应妥善使用和保管， 并按照以下建议进行设置， 以 确保账号安全：所有账号密码均应以密文形式存储在网络设备上。普通用户密码长度不少于 6 个字符， 高权限用户密码长度不少

8、于 8 个 字符。建议设置的密码采用字母与数字混合形式的字符串。用户设置密码应保证自己容易记忆， 但尽量不基于以下容易猜测的字 符串， 比如：个人姓名、 部门名称、 公司名称、 电话号码、 出生日期、 连续数字、相同字符等。用户尽量不使用私人用户密码。 当需要访问多个网络设备或多重服务 时，建议用户使用单一的密码。用户应定期重置密码， 以确保账号安全。 普通用户密码至少每季度重 置一次，高权限用户密码至少每月重置一次。重置密码时，用户应不 重复或者循环使用旧的密码， 其中高权限用户密码至少 6 次之内不重 复使用。用户不应把密码包含在任何自动登录程序之中， 例如：把密码存在宏 代码或者功能键上

9、用户忘记密码时， 可向网络管理员提出重置密码请求， 经用户所在部门领导批准后， 在网络管理员帮助和指导下重新设置密码。 遇有系统 或者密码可能被侵害的迹象时， 用户应及时报告网络管理员， 并立即 重置密码。根据职责分离原则， 网络设备高权限账号密码应由网络设备以外岗位 的工程师进行管理。网络管理员应每季度定期检查用户密码是否按以上规定设置， 对不符 合要求的应及时通知用户整改。 对用户拒不改正的， 网络管理员应强 制停用该账号，以确保网络设备的安全。6 账号权限的内部控制与审计为确保用户管理和密码管理的有效性， 运行维护部门应对从事该项工 作的网络管理员有控制措施。必要时可以根据职责分离原则

10、设置双向 监督岗位。同时，要对网络管理员和用户进行必要的安全意识教育。 网络管理员要遵守中心保密制度， 确保职业操守， 保证用户信息的安 全。工作中要按照审批流程严格执行，并对所有操作保留记录，以备 核查。运行维护部门每年组织内部审计， 以确保该项工作的有效性。 内部审 计人员一般由业务管理部门和运行维护部门的工作人员组成。根据职 责分离原则， 网络管理员不在审计人员行列之内。 内部审计的内容主 要以“账号权限管理内部审计表”中所作的强制性要求为准，建议性要 求不在审计范围之列。内部审计后，审计人员要认真填写“账号权限 管理内部审计表”， 并对审计结果签署意见， 必要时要有相应的说明。 该审计结果要及时反馈给相应部门和人员， 并最后由运行维护部门负责存档。