《特权账号管理要求 V0.1.docx》由会员分享,可在线阅读,更多相关《特权账号管理要求 V0.1.docx(1页珍藏版)》请在第壹文秘上搜索。
1、11.2特权账户管理要求1总体要求1 .应用系统运维人员应按照本办法的要求对特权账户进行日常安全管理,特权账户的定义见特权账户定义:2 .原则上一个特权账号仅由一人掌握和保管,不得多人共用。3 .WEB和数据库平面的超管数量不应大于3个,服务器平面超管数量不得大于1个。4 .特权账户的新增和移交,应经系统运维部门负责人审批。含有大量敏感数据的业务系统的特权账户的新增和移交,应同时经相应业务部门负责人审批,并保留审批记录;5 .新增的临时账号,应在使用完毕后及时删除账号或相应证书。6 .对于服务器和数据库平面,不允许普通用户提权管理员权限的操作,若有需求可申请临时账号:7 .所有特权账号必须使用
2、独立的复杂口令、证书或动态口令。8 .应通过系统防火墙、白名单等功能,限制特权账号的登录IP地址,限制访问特权账号登录端口的源IP地址。9 .使用远程控制软件进行的运维,需在内部安全管理公众号进行报备。远程控制软件按需开启,用后关闭,且不得删除远控软件自身日志记录文件。2特权账户定义访问平面平面定义特权账户示例Web服务平面通过web访问业务服务的权限超级管理员、一般管理员、审计员、模块管理员等账号服务器访问平面后台服务器账号权限,非数据库服务的,OS注册的超管、普管和用户账户SSH:Root;RDP:administratorWindows系统的可登录域账号云控制台访问平面通过云主机控制台直接连接云主机的权限银河云控制台VNC、阿里云控制台workbench远程控制软件访问平面使用服务器上部署远程控制软件,远程方式连接服务器操作系统后台。向日葵、todesktreamviewer数据库访问平面通过数据库服务连接到数据库进行增删改查等操作的权限MySQLredisMongoDB