访问控制策略配备管理制度

访问控制策略配备管理制度[日期：2010-12-18]作者：浏览:367第一章总则第一条为加强对网络层和系统层的访问控制，对网络设备和安全专用设备，以及操作系统和数据库系统的安全配置和日常运行进行管理，保障信息网络的安全、稳定运行，特制订本制度。第二条本制度暂时适用于海南电网公司（以下简称公司）本部的信息系统的所有网络设备和安全专用设备，以及操作系统和数据库系统的访问控制策略配置管理。分公司、直属各单位及其他联网单位可参照执行。第二章访问控制策略的制定第三条公司本部的信息管理部门负责访问控制策略的制定和组织实施工作，并指定网络管理员协同系统管理员、数据库管理员负责有关工作。第四条在制定本单位的网络访问控制策略、操作系统访问控制策略和数据库系统访问控制策略前，应掌握以下已形成文档的资料，并必须根据变化作出即时的更新：公司域网的详细网络结构；各个业务应用系统的安全要求；各个业务应用系统的数据流情况；不同系统及网络之间的访问控制及数据传输要求；各种连接的访问权限；各个服务器系统及其承载应用服务的安全要求；各个服务器操作系统的访问控制及安全要求；各个服务器数据库系统的访问控制及安全要求；各个终端计算机或各种用户群的访问控制及安全要求。第五条制定的访问控制策略要求体现以上文档的要求，并根据以上文档的更新作出相应的修改。制定的网络访问控制策略必须包含内部远程访问控制和外部远程访问控制两部分；制定的操作系统和数据库系统访问控制策略必须包含特权用户和普通用户两部分；还应制定对各种用户群的访问控制策略。第六条内部远程访问是指公司内部人员通过拨号等方式远程接入本单位的内部公司域网。如用户确因工作需要要求内部远程访问，应填写《内部人员远程访问审批表》（参见附表1）。经被远程登录方信息管理部门负责人批准同意后，由被远程登录方网络管理员分配远程访问的用户名和口令。批准远程访问的时间结束后，网络管理员应及时变更远程访问的用户名和口令。第七条外部远程访问是指外单位人员因故需通过拨号方式对信息系统进行远程登录维护，或外单位因业务需要需通过拨号方式接入等。进行外部远程访问前，有关业务系统的系统管理员应填写《外部人员远程访问审批表》（参见附表2），并要得到信息管理部门负责人以及有关业务管理部门负责人批准。对于需进行远程登录维护的情况，有关系统的系统管理员应监控整个外部远程访问过程，确保系统安全，并且在外部远程访问结束后，应及时拔掉电话线，关闭调制解调器的电源，并更改用于外部远程访问的用户名和口令。第八条网络及安全专用设备访问控制。内部网络所使用的关键网络设备及安全专用设备的用户名和口令应由专人管理，并定期修改。用于管理有关设备的客户端软件应由专人管理，未经信息系统运行管理部门负责人同意，任何个人不得擅自安装或使用。第九条不同网络之间的访问控制。公司本部以及直属供电公司的内部网络应根据各个生产业务系统的安全要求，采用物理分开或虚拟网等方式划分开不同的网络。不同网络之间应该有明确的边界，在边界应设置相应的网络安全设备，并根据不同网络的安全要求设置访问控制策略，在不同网络之间实现有效的流量和访问控制。第十条系统主机访问控制。系统主机操作系统和数据库系统的超级用户口令必须由专人保管、每月修改，注意保密。系统用户和一般用户的添加及权限的设定，需要按照系统运行安全管理制度要求填写《操作系统帐户授权审批表》或《数据库系统帐户授权审批表》，应经系统业务主管部门审批同意，由系统管理员统一处理，并建立用户资料档案。第三章访问控制策略的管理第十一条访问控制策略的制定、修改、审批管理。策略的制定、修改应提出申请，填写《访问策略变更审批表》（附表3），并经信息中心审批。审批同意后方可按照策略修改有关设备的配置，并要求做好相关的记录。第十二条网络管理员、系统管理员、数据库管理员和网络安全审计员原则上要求由不同的人专职或兼职担任。网络安全审计员负责每月检查各种设备的配置及日志纪录，确定网络管理员、系统管理员、数据库管理员完全按照经过审批的网络访问控制策略配置有关设备且没有做过不正常的修改。第十三条网络管理人员、系统管理员、数据库管理员和网络安全审计员应分别每季度向信息中心的负责人报告有关设备的的运行情况及审计情况，以备检查。有关的文档应归档保存。第四章附则第十四条本制度由海南电网公司信息中心负责解释。第十五条本规定自颁布之日起实行，有新的修改版本颁布后，本规定自行终止(责任编辑：张丹)