| A.9.3 用户责任 | ||
| 目标:让用户承担保护其鉴别信息的责任。 | ||
| A.9.3.1 | 秘密鉴别信息的使用 | 控制 应要求用户遵循组织在使用秘密鉴别信息时的惯例。 |
| A.9.4 系统和应用访问控制 | ||
| 目标:防止对系统和应用的未授权访问。 | ||
| A.9.4.1 | 信息访问限制 | 控制 应按照访问控制策略限制对信息和应用系统功能的访问。 |
| A.9.4.2 | 安全登录规程 | 控制 当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问。 |
| A.9.4.3 | 口令管理系统 | 控制 口令管理系统应是交互式的,并应确保优质的口令。 |
| A.9.4.4 | 特权实用程序的使用 | 控制 对于可能超越系统和应用控制的实用程序的使用应予以限制并严格控制。 |
| A.9.4.5 | 程序源代码的访问控制 | 控制 应限制对程序源代码的访问。 |
控制解析:
- 员工应按照《信息及其处理设施访问管理规范》中的口令管理和设置要求使用和设置口令。
- 系统管理人员应根据访问控制策略对信息和应用模块做出限制,例如,重要商业秘密信息,除授权人员外,应在系统限制其他用户访问或做脱密处理。
- 应根据访问控制策略,设计安全的登录过程,如选择适当的鉴别信息(口令、指纹、生物信息等)、登录时,登录框不保存账户和口令,不提示账户或口令错误、5次口令错误锁定账户等。
- 信息系统的口令系统应该是交互式的,可以自行找回口令,自行更改口令,可以自动强制设置符合要求的口令。
- 特权实用程序(如Linux系统的root权限,Set-Uid特权程序)需要严格控制(有必要时,临时授权,使用完立即取消)。
- 形成书面的程序源代码访问策略和程序源代码访问授权流程。
实施本控制应输出的文档:
- 《信息及其处理设施访问管理规范》。
- 特权实用程序清单。
- 程序源代码访问策略和程序源代码访问授权流程。
本控制审核要点:
- 抽查员工信息系统用户口令设置是否符合《信息及其处理设施访问管理规范》要求,查看现场是否有员工黏贴信息系统账户和口令。
- 检查信息系统中的敏感信息,非授权员工是否有权限访问。
- 检查登录框是否有保留账户和口令,登录时,账户和口令错误是否有提示。
- 检查信息系统安全设置,如5次口令错误锁定账户,自动强制设置符合要求的口令等。
- 检查程序源代码访问策略和程序源代码访问授权流程,以及相关记录。
