系统访问控制程序

信息科技部

系统访问控制程序

A版

2011年6月1日 发布 2011年6月1日 实施

信息安全管理体系文件

ISMSP-37-A

目录

1 目的....................................................................................................................................... 3 2 范围....................................................................................................................................... 3 3 相关文件 ............................................................................................................................... 3 4 职责....................................................................................................................................... 3 5 程序....................................................................................................................................... 3 5.1 各系统安全登录程序 ................................................................................................ 3 5.2 用户身份标识和鉴别 ................................................................................................ 4 5.3 口令管理 .................................................................................................................... 5 5.4 系统实用工具的使用 ................................................................................................ 5 5.5 登录会话 ............................................................................................................ 6 5.6 特殊业务链接时间的限定 ...................................................... 错误！未定义书签。 6 记录....................................................................................................................................... 6

文件修订历史记录 版本 1.0 日期 修订者 修订描述

信息安全管理体系文件

ISMSP-37-A

1 目的

为规范阜新银行信息科技部对各系统的访问控制，预防对系统的未授权的访

问特制定此文件。

2 范围

本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管

理。

3 相关文件

《口令管理规定》

4 职责

4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。

5 程序

5.1 各系统安全登录程序

5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：

（a）不显示系统或应用标识符，直到登录过程已成功完成为止； （b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息； （c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；

（d）所允许的不成功登陆尝试的次数（推荐3次）并考虑：

1）使用策略或其他手段记录不成功的尝试；

2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试；

信息安全管理体系文件

ISMSP-37-A

3）断开数据链路链接；

4）如果达到登录的最大尝试次数，向系统控制台（或向中心机房管理员）发送警报消息；

5）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值）设置口令重试的次数；

（e）登录程序所允许的最大和最小次数。如果超时，则系统应终止登录；

（f）在成功登陆完成时，显示下列信息：

1）前一次成功登陆的日期和时间；

2）上次成功登陆之后的任何不成功登陆尝试的细节；

（g）不显示输入的口令或考虑通过符号隐蔽口令字符；

（h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。

5.1.2 登录程序满足上述要求后，任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。

5.1.3 相关职能人员得到授权后，对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态，防止未授权访问发生的可能。

5.1.4 其他部门人员因业务需要，需登录信息科技部核心系统或外围系统时，必须由中心机房管理人员全程陪同。

5.2 用户身份标识和鉴别

5.2.1 阜新银行信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。

5.2.2 中心机房管理员对中心机房各系统建立用户ID身份鉴别策略，以确保用户ID的任何活动都可以追踪到各个责任人。常规业务操作不可以使用有特殊权限的账户执行。

5.2.3 如在特定时间内中心机房管理员需平凡操作或登录核心系统或外围系统，则可由中心机房管理员提出《外部公司机房特殊业务工作单》由信息科技部总经理审批，审批通过后再特定时间内中心机房管理员可以随时访问核心系统或外围系统，访问期间必须留有系统的日志审核记录以便事后查阅。

信息安全管理体系文件

ISMSP-37-A

5.2.4 中心机房管理员应管理核心系统及外围系统的访问权限，确保普通ID或特定ID只有其工作范围内的权限（如：普通ID只有对系统的只读权限，特定ID只具有在特定目录下有访问权限其他目录均无权限）依照《口令管理规定》对权限形成记录并定期进行检查。

5.2.5 进入中心机房或前置机房或备份机房时需使用指纹方可进入，不经相关负责人授权任何人不得以任何理由使用自己的指纹替他人开启以上区域。

5.3 口令管理

5.3.1 在登录核心系统或外围系统时，必须使用自己的用户ID及口令，确保身份的可核查。

5.3.2 阜新银行信息科技部员工需要登录核心系统或外围系统需要提交《系统访问授权书》，如果是第一次登陆且没有用户ID及密码则按照《口令管理规定》进行用户ID的申请，由中心机房管理员根据申请添加用户ID及默认密码并且设置密码历史记录（推荐记录3次），用户在第一次登陆后必须对密码进行更改，否则由中心机房管理员强行收回用户ID。

5.3.3 口令必须是由数字、字幕、符号，长度7位组成并且不可以使用例如：生日、姓名、电话号码等易于猜解的密码。 5.3.4 口令的存放可查看《口令管理规定》

5.4 系统实用工具的使用

5.4.1 系统实用工具是指可能超越系统和应用程序控制措施的实用工具。 5.4.2 网络管理员应对信息科技部内所有的软件进行整理并形成《信息科技部软件验收保管登记台账》由网络管理员对《信息科技部软件验收保管登记台账》进行标识，将系统实用工具与应用程序分开。

5.4.3 由网络管理员定期（每周）将使用系统实用工具的用户进行重新评审，确保用户权限到最小实际用户数并且保证其是可信的、已被授权的。 5.4.4 由网络管理员对系统实用工具进行控制并保留所有操作日志。

5.4.5 如有新的系统实用工具的添加或在特定系统的安全，必须由该区域副总经理授权审批《系统实用工具安装审批》通过后，方可由网络管理员进行安装及调试。

信息安全管理体系文件

ISMSP-37-A

5.4.6 信息科技部所有信息处理设施，由网络管理员协助各业务人员移除或禁用基于实用工具和系统软件的所有不必要软件。

5.4.7 当涉及到职责分割时应确保访问系统中应用程序的用户只可以访问应用程序。而可以访问系统实用工具的用户只可以访问系统实用工具。

5.5 登录会话

5.5.1 应由网络管理员对核心系统及外围系统进行设置，确保可以将不活动会话在15分钟后自动断开或注销。

6 记录

《系统实用工具安装审批》

《信息科技部软件验收保管登记台账》 《外部公司机房特殊业务工作单》

信息安全管理体系文件

ISMSP-21-R01

外部公司机房特殊业务工作单

编号： 年 月 日 项目名称 事件描述 服务公司 公司受理人 填报人 联系电话 受理时间 到达时间 公司服务人员 科技配合人员 事件分析： 公司人员： 日期： 科技部人员： 日期： 科技部审批 负责人签字： 机房进入时间： 年 月 日 时 分 处理结果（内容描述）： 公司人员： 日期： 科技部领导审核： 签字： 日期： 科技部人员： 日期： 信息安全管理体系文件

ISMSP-37-R02

信息科技部软件验收保管登记台账 编号No.

软件 基本 情况 序软件名称 购置时间 批 文 号 数 量 数量 版本号 价 格 附注 入库日期 验 收 人 部室负责人 供 货 商 保 管 人 号 软 件 名 称 软 件 明 细 登 记 备注 信息安全管理体系文件

ISMSP-37-R01

系统实用工具安装审批

编号： 年 月 日 项目名称 事件描述 科技配合人员 填报人 系统实用功能描述： 填报人员： 日期： 科技部人员： 日期： 科技部审批 负责人签字： 机房进入时间： 年 月 日 时 分 信息安全管理体系文件

ISMSP-37-A 实用工具安装结果（内容描述）： 填报人员： 日期： 科技部人员： 日期： 科技部领导审核： 签字： 日期：