6.7　訪問控制管理要求

##6.7.1　公共域名服務系統對外公開服務的訪問控制

a) 公共域名服務系統對外開放服務建議只開放UDP和TCP 53端口；

000016.1.2　訪問控制策略和用戶訪問管理

a) 應在訪問控制策略中清晰地規定每個用戶或每組用戶的訪問控制規則和權利；

b) 應限制和控制特殊權限的分配及使用，防范未授權訪問的多用戶系統應通過正式的授權過程使特殊權限的分配受到控制；

c) 應定期檢查權限的分配，確保用戶訪問權限的正確分配。

000016.1.3　網絡訪問控制

a) 應能為數據流提供明確的允許/拒絕訪問的能力，控制粒度為網段級；

b) 應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；

c) 應在網絡中實施路由控制，以確保計算機連接和信息流不違反業務應用的訪問控制策略。

000016.1.4　操作系統訪問控制

a) 登錄到操作系統的程序應設計成使未授權訪問的機會減到最小；

b) 所有公共域名服務系統的管理員和第三方人員（包括技術支持人員、操作員、網絡管理員、系統程序員和數據庫管理員等）應有唯一的、專供其個人使用的標識符（用戶ID），應選擇一種適當的鑒別技術（口令、令牌或智能卡）證實用戶所宣稱的身份，靜態口令應滿足一定的長度要求和復雜性要求并且定期更換；

c) 在一個設定的休止期后，超時登錄應清空會話屏幕，也可以設置關閉應用和網絡會話；

d) 對多次不成功的登錄，應進行限制，以避免未經授權的訪問。

000016.1.5　信息和敏感系統訪問控制

a) 應對設備重要信息資源設置敏感標記；

b) 依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作；

c) 應實現操作系統和數據庫系統特權用戶的權限分離。