用户访问控制程序 1 适用 适用于技术中心本公司各种应用系统涉及到的逻辑访问的控制。 2 目的 为对本公司技术中心各种应用系统的用户访问权限（包括特权用户及第三方用户）实施有效控制， 杜绝非法访问，确保系统和信息的安全保密，特制定本程序。 3 职责 3.1 行政人力部系统运维及IT服务部负责访问权限的分配、审批、实施以及技术管理。 3.2 系统运维及IT服务部行政人力部负责向各部门通知人事变动情况。 4 程序 4.1 访问控制策略 4.1.1 技术中心公司内部可公开的信息不作特别限定，允许所有用户访问。 4.1.2 技术中心公司内部部分不公开信息，经系统运维及IT服务部访问行政部认可，访问授权实施部门实施后用户方可访 问。 4.1.3 本公司技术中心限制使用无线网络，使用密码限制无线网络连接。 4.1.4 用户不得访问或尝试访问未经授权的网络、系统、文件和服务。 4.2 用户访问管理 4.2.1 权限申请 4.2.1.1 授权流程 部门申请——系统运维及IT服务部行政部审批实施。 所有用户，包括第三方人员均需要履行访问授权手续。 申请部门根据日常管理工作的需要，确定需要访问的系统和访问权限，经过本部门负责 人同意后，向系统运维及IT服务部行政人力部提交《用户授权申请表》，经系统运维及IT服务部行政部审核批准后实施。 第三方和合同方人员的访问申请由负责接待的部门按照上述要求予以办理。 第三方和合同方人员一般不允许成为特权用户。 必要时，第三方、合同方人员需与访问接待部门签订《第三方保密协议》。 4.2.1.2 《用户授权申请表》应对以下内容予以明确： a) 权限申请人员 b) 访问权限的级别和范围 c) 申请理由 d) 有效期 4.2.2 权限变更 4.2.2.1 对发生以下情况对其访问权应从系统中予以注销： a) 内部用户员工合同终止时； b) 内部用户因岗位调整不再需要此项访问服务时； c) 第三方、合同方访问合同终止时； d) 其它情况必须注销时。 4.2.2.2 由于用户变换岗位等原因造成访问权限变更时，用户应重新填写《用户授权申请表》， 按照本程序 4.2.1 的要求履行授权手续。 4.2.2.3 系统运维及IT服务部行政人力部门、合同方应将人事变动情况及时通知各部门，访问授权实施部门管理员进 行权限设置更改。 4.2.2.4 特权用户因故暂时不能履行特权职责时，根据需要可以经系统运维及IT服务部行政人力部负责人批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权人员的特权。 4.2.3 用户访问权的维护和评审 4.2.3.1 对于任何权限的改变（包括权限的创建、变更以及注销），行政部应进行记录，填写 《用户授权申请表》包括： a) 权限开放/变更/注销时间； b) 变化后权限内容； c) 开放权限的管理员 4.2.3.2 系统运维及IT服务部行政人力部每半年应对访问权限进行检查，发现不恰当的权限设置，应予以调整。 4.2.3.3 系统运维及IT服务部行政人力部每季度应对特权用户访问权限进行检查，发现过期的权限设置，应予以注销。 4.2.3.4 系统运维及IT服务部行政人力部应对访问权限的检查结果予以记录。 4.2.4 连接的控制 4.2.4.1 技术中心本公司专线和回拨调制解调器等与外部网络的连接设置口令。 WEB 服务器、邮件服 务器的使用执行相应作业文件。 4.2.4.2 本公司技术中心网络管理员为了限制网络连接的不同身份与权限，通过设置网关来加以控制。 4.2.5 会话与联机时间的控制 4.2.5.1 各系统管理员在其管理的服务器处于不活动时，应利用锁屏清除屏幕，以防止非授 权的访问，但不关闭应用或网络话路。终端用户应在暂停操作控制时，及时启用带有口令保 护的自动屏保功能。 4.2.5.2 本公司技术中心将连机时间限于正常的办公时间；对数据服务器、备份服务器的连接时间设定 为 2 小时/次。 4.3 用户口令管理 4.3.1 系统运维及IT服务部行政人力部系统管理员，应按以下过程对被授权访问该系统的用户口令予以分配：分配给 用户一个安全临时口令，并通过安全渠道传递给用户，并要求用户在第一次登录时更改临时 口令；当用户忘记口令时，系统管理员在获得用户的确认后可以为其重新分配口令。 4.3.2 口令的选择与使用要求 所有计算机用户在使用口令时应遵循以下原则： 4.3.2.1 保守口令的机密性，避免保留口令的字面记录，明文存储或明文网络传递。 4.3.2.2 任何时候有迹象表明系统或口令可能受到损害，就要更换口令。 4.3.2.3 口令最小长度 8 位，不要采用姓名、电