9.2訪問控制

9.2.1訪問控制策略

訪問控制策略安全要求如下：

a)依據數據的不同類型與安全級別設計不同的訪問控制策略：

1)應依據“業務必需、最小權限、職責分離”的原則，設計數據庫系統與文件系統的用戶鑒別和訪問控制策略，并對各類系統用戶設計其工作必需的最小訪問權限。

2)應依據“業務必需、最小權限、職責分離”的原則，設計業務系統用戶對系統業務功能與相應系統業務數據的訪問控制策略，并對各類業務系統用戶的訪問控制實現方式和具體授權機制進行明確說明。

3)訪問控制策略應使用白名單機制，明確定義允許的行為。

4)對數據庫系統、存儲系統、文件管理系統與存儲介質管理有關管理員用戶，應建立管理員身份標識與鑒別機制，并對其防控權限與操作規程進行詳細說明。

b)應建立面向數據應用的安全控制機制，包括訪問控制時效的管理和驗證，以及應用接入數據存儲的合法性和安全性取證機制，宜建立基于用戶行為或設備行為的數據存儲安全監測與控制機制。

9.2.2物理環境訪問控制

放置數據存儲系統與存儲介質的物理環境，訪問控制機制安全要求如下：

a)數據存儲系統應部署在高安全等級區域，存儲系統服務器與帶庫等設備機房出入口應部署電子門禁、視頻監控等措施控制、鑒別和記錄進入的人員。

b)第三方機構人員訪問存儲系統服務器與帶庫區域應執行嚴格的授權審批程序，使用明顯標識標志其訪客身份，由金融業機構人員全程陪同，記錄出入時間，并限制和監控其活動范圍。

c)應對包括備份介質在內的存儲介質出入庫采取措施進行出入庫控制，并由金融業機構內部指定崗位人員完成，未經金融業機構授權，任何存儲介質不應帶離磁帶庫房。

9.2.3信息系統與介質訪問控制

訪問金融數據的業務應用系統訪問控制機制安全要求如下：

a)用戶角色的定義和權限設計應遵循以下原則：

1)參考業務職能，確定系統中需設置的各類用戶角色如經辦人員、操作人員、管理人員、審計人員等權限。

2)用戶角色定義和權限設計能夠體現職責分離的安全制約原則，如經辦人員和審計人員權限分離。

3)嚴格限制系統中缺省用戶的權限。

b)用戶角色的訪問范圍和方式應滿足以下要求：

1)控制用戶對業務功能的訪問范圍，如功能菜單、業務文件、數據庫表、表中的業務數據字段和其他資源。

2)控制用戶對業務數據的訪問方式，如讀、寫、刪除、創建等。

c)系統應具備登錄失敗處理功能，可采取結束會話、限制非法登錄次數、設置抑制時間和網絡登錄連接超時自動退出等措施。

d)對于承載4級及以上數據的信息系統，業務系統以及所承載的基礎設施的訪問，應結合訪問者身份及系統安全狀態進行訪問授權和控制。

9.2.4數據存儲系統的訪問控制

數據存儲系統存儲介質的訪問控制機制，安全要求如下：

a)存儲系統應設計訪問控制策略，并實現訪問控制，對訪問對象的訪問范圍和操作權限不超出預定義的范圍，且滿足最小授權原則。

b)存儲系統訪問控制機制應對業務平面和管理平面各自可訪問的資源策略進行獨立配置，并對業務平面和管理平面的相互訪問進行隔離。

c)應使用存儲訪問控制模塊部署數據用戶身份標識與鑒別策略、數據訪問控制策略、數據擴容及復制策略，并執行相關安全控制措施。

d)應對訪問存儲業務的應用進行鑒別，對應用身份進行唯一標識，并將標識和與其相關的所有可審計事件相關聯，且不應存在可繞過鑒別機制的訪問方式。

e)存儲3級及以上數據的系統應采用數字證書、多因素身份認證等技術對用戶進行身份鑒別，并完整記錄用戶行為，供事后審計。