身份与访问管理政策指南

身份与访问管理政策，是指那些说明用户应如何连接到网络资源的文档。

IAM政策涵盖了关键的安全领域。这包括验证用户账户、分配访问权限以及管理密码的使用方式。这些政策为系统管理员和用户提供了指导，同时在出现违反政策的情况时，它们也可以作为采取纪律处分的依据。

这篇文章将介绍IAM政策，并探讨这些政策对组织的价值。我们将详细了解这些政策的具体内容，还会通过一个实际案例来加以说明。通过阅读这篇文章，读者将能够更轻松地制定出有效的身份与访问管理政策。

为什么需要创建IAM策略呢？

身份与访问管理政策有助于帮助用户和网络管理员。对于用户来说，一份清晰明了的政策能够帮助他们了解如何安全地访问网络。同时，对于网络管理员而言，这样的政策也能为他们提供一套明确的访问管理规则。

IAM策略为解决许多基本的访问管理问题提供了基础。这些策略所涵盖的安全问题包括：

• 由于认证措施不够完善而导致的凭证被盗事件
• 使用弱密码，以及用户凭据的泄露问题。
• 通过管理员账户的权限进行内部攻击。
• 共享账户所带来的安全风险。
• 来自第三方用户和供应商的外部攻击。
• 那些无人照管的账户，可能会成为网络攻击的载体。
• 通过家庭设备或公共Wi-Fi进行不安全的距离访问。
• 由于对访问请求的审核不够严格，因此出现了合规问题。
• 由于访问控制机制混乱，导致周边区域的防护能力较差。此外，整个企业范围内缺乏统一的访问管理政策。
  
  

该政策旨在确保一切有章可循，减少混乱现象。它提供了易于遵循的规则，这些规则适用于整个组织。良好的政策意味着安全团队无需临时 improvisation。

访问策略通过加强网络边界的安全性，从而提升了网络安全的可靠性。强大的多因素认证和权限管理系统能够为机密信息提供更好的保护。这有助于降低数据丢失的风险，同时帮助企业实现其合规目标。

IAM政策指南

IAM政策在不同类型的组织中有所不同。例如，大学和银行采用的认证和账户管理系统也各不相同。不过，基本的原则和政策结构则是相同的。

典型的政策结构应该如下所示：

• 版本历史记录。包含了该政策之前各个版本的相关信息。同时，也提供了关于当前版本的相关信息。
• 目的/范围。该政策文件旨在实现的目标，以及其为何如此重要。
• 观众/听众。该政策适用于哪些人？如果违反了该政策，谁需要承担相应的处罚责任呢？
• 定义。以下是文档中使用的术语的简短解释。这有助于读者理解相关的认证要求。
• 身份与访问管理政策。关于访问管理关键领域的具体条款。涵盖的主题可能包括：
  • 访问控制。与登录流程及账户创建相关的规则。
  • 账户管理。适用于系统管理员的规则。包括账户数据、共享账户以及用户活动的记录功能。此外，还提供了关于如何停用冗余账户的建议。
  • 管理员/特殊权限为降低由管理员账户持有者带来的风险而提供的指导。
  • 关于访问权限和验证方法的政策。包括密码管理、多因素认证，以及用户验证阶段的日志记录政策。
  • 关于管理员如何管理访问权限的规则。注重在遵循“最小权限原则”的同时，为用户提供访问权限。
  • 远程访问。与远程连接相关的政策以及确保远程工作安全性的措施。重点在于设备安全与身份验证方面的做法。
  • 供应商的访问权限。关于第三方供应商访问的政策。其中可能包含对第三方维护和支持合作伙伴的提及。
  • 关于数据收集的规则。旨在达到相关法规的要求，同时提升整体安全程序的水平。
• 例外情况。在违反特定访问规则的情况下，用户可能需要获得访问权限。需要说明如何处理这类例外情况。这部分内容应该简短一些，因为政策本身应该能够涵盖大多数实际情况。例外情况应该很少出现，因此只需简单说明即可。
• 参考文献。该政策所引用的任何监管框架或内部文件的详细信息。这样，读者就可以获取更多的相关信息。如果需要，网络用户还可以寻求进一步的指导。
• 执行/实施。这是一个简短的警告条款。它详细说明了违反身份与访问管理政策所带来的处罚措施。这些处罚包括内部制裁，以及可能的民事或刑事处罚。
  
  

这只是一个例子而已，实际上，信息安全的要求会有所不同。有些组织可能会将账户管理和授权功能结合在一起处理。而另一些公司则可能不需要专门设立关于供应商身份管理的部分。

最终的文件应当能够反映每个组织的需求。它应该既具有明确性，又能涵盖所有与身份与访问管理相关的需求。

问题是，应该如何来制定访问管理政策呢？并没有一个固定的模板可以遵循。不过，以下这份政策可以帮助你为信息安全设置制定相应的规则。

身份与访问管理政策的示例

思博提供了一份可下载的模板文件，该文件可用于创建IAM策略。这一实用工具有助于简化对公司信息的安全访问管理流程。

可下载的PDF文件

(组织/公司)的身份与访问管理政策，旨在确保公司信息资源能够安全地被访问和使用。该政策的目的是确保组织的IT资源符合安全和业务需求，同时遵循组织/公司的相关政策。

身份与访问管理政策的用途

该组织/公司的身份与访问管理政策，明确了确保公司信息资源得到安全访问和使用所需遵循的要求。该政策的目的是确保组织的IT资源符合安全性和业务需求，同时遵循相关组织/公司的各项政策规定。

请下载该IAM政策指南的PDF文件。

IAM政策适用于哪些对象/人群

该组织/公司的身份与访问管理政策适用于那些负责控制IT资源访问权限的个人账户持有者。该政策同样适用于所有被授权使用组织/公司资源的用户。

定义/说明

• 访问/获取能够进入网络设置，从而让用户能够修改或使用信息资源。
• 身份验证在允许用户访问之前，需要验证用户的身份。这可能包括使用密码，或者采用多因素认证等额外的方法。
• 授权/许可在成功进行身份验证之后，会为用户分配相应的访问权限。
• 访问控制。即允许或拒绝网络访问的过程，以及拒绝用户超出其权限所指定的范围之外的网络资源的访问。
• 最小特权原则管理员应该限制用户获取那些他们为履行职责而需要的资源的权限。同时，安全控制措施应能够阻止用户访问其他资源。
• 职责分离安全任务与责任的分配。其目的是防止单个用户从头到尾全程控制某个流程。个人不应负责控制访问系统、审批流程以及审计工作。
• 数据托管机构在（组织/公司）中，那些担任高级职务的人员。这些负责人有责任保护其负责范围内的数据。数据管理员必须批准对访问政策的例外情况。

身份与访问管理政策要素

访问控制

• 使用 (组织/公司) 资源的用户必须拥有合理的业务需求作为依据。在批准访问权限之前，必须提供证明这些需求的证据。
• 多因素认证必须在授予访问权限之前，先确认用户的身份。
• 所有的登录请求都必须通过安全的门户和流程来处理。
• 所有资源（包括组织/公司的资产）的所有权都应被明确界定并妥善保存。
• 所有访问权限都应以“需要了解才允许”为原则来实施。
• 当用户访问机密或私密数据时，必须记录所有相关请求。
• 如果用户处于不活跃状态的时间超过了预设的时长，那么相关的设备应该实施强制锁定功能。
• 用户访问设置和权限应该被记录下来，并纳入灾难恢复计划之中。

账户管理

• 使用 (组织/公司) 网络的用户必须签署《信息安全政策确认书》。这一步骤必须在用户创建账户之前完成，且在获得访问权限之前必须完成。
• 未经书面请求和批准的情况下，不应创建任何账户。理想情况下，应由两名具有不同职责的人员分别负责技术层面的审批与行政层面的审批工作。
• 职责应该被明确区分开来，包括访问请求、授权以及账户管理等方面。
• 信息资源的所有者有责任审批访问权限。
• 对访问请求和访问权限应进行定期审查，必要时需进行核对。这些审查结果必须被记录下来。
• 所有账户都必须获得IT部门提供的唯一ID代码。IT团队必须建立相应的系统，以删除和阻止那些重复使用的用户ID。
• 密码的有效期应符合相关标准，即需满足该组织/公司的认证要求。
  
  

除了特殊账户之外，安全管理员还可能负责管理以下几种类型的账户：

• 用户账户基本的用户账户都与某个具体的账户持有者相关联。如果可能的话，这些账户应该通过一个中央目录/存储库来进行管理，并且采用集中式管理的联合认证机制来进行身份验证。
• 共享账户应尽量减少使用共享账户的情况。如果必须使用共享账户，那么资源所有者必须记录其使用情况。所有共享账户都需要获得批准才能使用。
• 第三方账户安全团队必须批准任何能够访问第三方云应用程序的账户。资源所有者还必须批准所有内部信息共享行为。
• 服务账户连接应用程序或服务的账户必须得到记录和批准。所有服务账户的认证标准都必须得到遵守。安全团队必须确保个人不会利用这些服务账户来访问组织/公司的资源。

管理员/特殊权限

• 所有行政/特殊账户都需要经过单独的指示、相关文件的提交以及授权手续才能使用。
• 所有管理员账户的登录操作都必须使用多因素认证机制。
• 行政账户的所有者只能将其账户用于与其工作职责相关的任务。他们必须避免在任何情况下滥用这些特权。
• 拥有特殊/管理账户的用户应仅将这些账户用于与其职责相关的任务。用户应该只有在万不得已的情况下才创建这些账户。
• 当用户在不同角色之间调动或离开公司/组织时，管理账户的密码也必须进行更改。
• 应当制定密码托管政策，以确保能够访问管理账户或特殊账户，从而在紧急情况下能够正常使用这些账户。
• 所有特殊访问账户都必须遵循“组织/公司”认证政策。

身份验证

用户密码必须符合（组织/公司）的要求。认证标准:

• 最短长度：8个字符
• 要求：至少包含1个小写字母、1个大写字母、1个数字以及1个符号。
• 有效期：密码必须每90天更换一次。
• 锁定限制：最多允许尝试5次输入错误的密码。
• 锁定的持续时间：45分钟
• 存储方式：采用加密方式，不会以明文形式进行存储。
• 屏幕保护程序：在10分钟无操作后，该屏幕保护程序会被锁定，需要输入密码才能继续使用。
  
  

此外，还适用以下密码管理规则：

• 用户必须为每个IT资源/系统使用独特的密码。
• 安全团队必须对存储的密码进行加密处理，并将这些密码归类为机密信息。
• 那些由第三方产品供应商提供的密码，必须立即进行更改。资源所有者应删除所有默认账户，或者禁用这些账户的使用。
• 所有账户的密码都必须保持私密。切勿与外部承包商或技术支持人员分享密码。
• 如果存在安全方面的担忧，必须立即更改密码。
• 用户不应使用记忆中的密码、硬编码的密码，或嵌入式的脚本。任何例外情况都必须得到IT管理员的批准。
• 密码管理解决方案必须符合（组织/公司）的认证标准。
• 密码更改流程应要求用户使用强度较高的密码。用户必须在首次登录时更换密码。如果用户报告有外部凭据被盗或泄露的情况，管理员也必须立即更改用户的密码。
  
  

MFA标准：

• 对于所有账户持有人来说，多因素认证都是必须的。
• 如果（该组织/公司）使用了额外的认证技术，比如智能卡或安全令牌，那么这些系统必须分配给特定的个人。逻辑上的控制措施应确保只有被授权的人员才能使用这些认证系统来访问IT资源。