应用系统的防护基准-帐号管理与存取权限

适用人员: 技术人员(开发人员)。
适用法规: 资通安全责任等级分级办法 - 附表十资通系统防护基准.PDF

技术面分类提要

• 网路架构的检视
• 端点的安全防护
• 应用开发的防护基准
  • 开发过程的程序与记录
  • 传输与资料的加密与保护
  • 帐号管理与存取权限
  • 委外注意事项
  • 其他(除旧布新)

帐号的管理大概是所有事项中最最麻烦的部分，法规规定的部份很多。不只在最初的阶段就要设想调全，所有相关的系统应用，几乎都围绕着帐号的权限。以下说明要点。

建立帐号的注意事项: 参考应办事项及稽核表

• 管理面:

  • 帐号的生命周期，从申请到删除都要经过流程记录。尤其在人员离职时要停用或删除帐号。
  • 不得共用帐号。原则上需要知道系统是被谁修改。如果需要共用的情况则建议主要管理者开放适当的权限给其他使用者编辑。

• 技术面

  • 密码的要求。除了密码复杂度，还包括帐号初次登入时需改变密码、帐号锁定机制、密码不得循环等。
  • 加入情况限制。例如来源 IP、多重验证、使用时间等。使用时间还包括需要设定闲置的时间，超过时应将帐号登出。
  • 监控: 在帐号异常使用时，需要有回报及应变机制。
  • 权限越小越好。例如权限应为群组或个人分别建立，区别一般使用者与管理者，并依业务性质限制能存取的范围。

以资料库举例，帐号应有以下配合应办事项的栏位:

p.s. table 转 markdown 线上工具