【正文】 ? 一個用戶根據(jù)實際情況可以分配多個高級角色。 口令管理（ 4） 對帳號的授權原則： ? 對帳號的授權須遵守 “ 最小權限 ” 原則，即以其能進行系統(tǒng)管理、操作的最小權限進行授權。 口令管理（ 3） ? 系統(tǒng)管理員修改完各個帳號的口令后，須保留記錄，以備審計。 ? 采取有效措施，保證用戶口令在傳輸和存儲時的安全，例如對口令進行加密傳輸和保存。帳號口令必須是在必要時間或次數(shù)內不循環(huán)使用。 ? 應用系統(tǒng)普通用戶帳號權限應基于 “ 使用需要 ” ，逐個事件進行授權，即以完成其工作職責的最低要求為依據(jù)，臨時帳號應在完成特定任務后由應用系統(tǒng)管理員立即收回。 ? 操作系統(tǒng)普通用戶帳號的撤銷需用戶主管或人力資源部門以書面方式發(fā)出帳號撤銷通知，由系統(tǒng)管理員根據(jù)通知書撤銷用戶帳號。 ? 用戶所在部門主管需對普通用戶帳號申請進行審批，必須有正式的書面審批流程。 ? 系統(tǒng)正式投入使用前，必須更改原來系統(tǒng)中的缺省帳號的所有口令，以保證正式環(huán)境的安全。該日志的保存期限應不小于 30天。 ? 超級管理員帳號：指對系統(tǒng)具有超級權限的帳號，該帳號有權限對系統(tǒng)最核心的配置和信息進行檢查和更改。 關于帳號 ? 帳號 ∶ 指在系統(tǒng)內設定的可以訪問本系統(tǒng)內部資源的 ID。 各移動通信公司針對網(wǎng)絡癱瘓事件的應急處理措施 ? 立即組織力量全力搶修癱瘓網(wǎng)絡，每小時向集團公司網(wǎng)絡與信息安全辦公室匯報搶修工作進展； ? 立即組織力量分析網(wǎng)絡癱瘓的原因和有效遏制手段，每小時向集團公司網(wǎng)絡與信息安全辦公室匯報分析工作進展； ? 根據(jù)集團公司網(wǎng)絡與信息安全辦公室的指示，配合CMCERT/CC立即對省網(wǎng)采取相應的技術措施 . 應急保障準備 ? 應急預案 ? 應急隊伍 ? 人員培訓 ? 經(jīng)費保障 ? 應急演練 ? 通信聯(lián)絡制度 ? 監(jiān)督檢查制度 ? 技術儲備與保障 應急保障體系的通信聯(lián)絡制度 ? 集團公司各相關部門和各移動通信有限責任公司必須明確安全事件應急處理的負責人、一般和緊急兩級聯(lián)系人，其中一般聯(lián)系人用于日常的信息溝通，緊急聯(lián)系人用于在緊急情況下的直接溝通；提供包括電話、傳真和電子郵件等聯(lián)系人的詳細聯(lián)系信息；聯(lián)系人必須 7X24小時可以聯(lián)系到。 信息監(jiān)測 各移動通信有限責任公司每天中午 12點以前采集其互聯(lián)網(wǎng)前 24小時內的下列運行狀態(tài)信息，并上報CMCERT/CC： ? 省網(wǎng)骨干路由器和核心交換機的訪問日志（內容包括：設備所在地、路由器名稱、 IP地址、訪問者、訪問者 IP地址、訪問時間、訪問成功與否）； ? 骨干路由器的流量信息。 ? 出現(xiàn)新的漏洞，尚未發(fā)現(xiàn)利用方法或者被利用跡象； ? 出現(xiàn)新的蠕蟲 /病毒或其他惡意代碼，尚未證明可能造成嚴重危害。 中國移動互聯(lián)網(wǎng)網(wǎng)絡安全應急組織機構 集團公司和各移動通信有限責任公司已成立 網(wǎng)絡與信息安全領導小組 和 網(wǎng)絡與信息安全辦公室 ，負責領導、組織、協(xié)調全集團網(wǎng)絡與信息安全各方面工作。針對網(wǎng)管系統(tǒng)目前對外的互聯(lián)接口，其互聯(lián)邊界整合為： ? 網(wǎng)管系統(tǒng)內部的互聯(lián)邊界：集團公司－省公司－地市連接的互聯(lián)； ? 與移動內部其他系統(tǒng)，如業(yè)務支撐系統(tǒng)、企業(yè)信息化系統(tǒng)等的互聯(lián)； ? 與第三方（集成商、設備商）的互聯(lián)； ? 與 CMNET的互聯(lián)（ IP數(shù)據(jù)網(wǎng)管系統(tǒng)、 EOMS與短信網(wǎng)關的連接）。 設備不同，安全需求不同（舉例） ? 各支撐系統(tǒng)對外的邊界整合 ? 與互聯(lián)網(wǎng)的邊界整合 ? 與合作伙伴的邊界整合 ? 與第三方的邊界整合 ? 各支撐系統(tǒng)之間的邊界整合 ? 業(yè)務支撐系統(tǒng)的邊界整合 ? 網(wǎng)管系統(tǒng)的邊界整合 ? 企業(yè)信息化系統(tǒng)的邊界整合 邊界整合 （ 1）業(yè)務支撐系統(tǒng) 在集團公司設置互聯(lián)網(wǎng)出口，主要實現(xiàn) SP對帳系統(tǒng)的需求； 在各省公司統(tǒng)一設置互聯(lián)網(wǎng)出口，主要實現(xiàn)網(wǎng)上營業(yè)廳、網(wǎng)上聯(lián)辦營業(yè)廳的應用。 ? 生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮不斷的變化；另外，在安全域的建設和調整過程中要考慮工程化的管理。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。 主要技術規(guī)范及標準 ? 中國移動 網(wǎng)絡與信息安全體系總綱（ NISS） ? 中國移動 支撐系統(tǒng)安全域劃分與邊界整合技術要求（ QBW0012021） ? 中國移動 互聯(lián)網(wǎng)網(wǎng)絡安全應急處理預案 ? 中國移動 帳號口令管理辦法 什么是安全域 安全域，即網(wǎng)絡安全域，是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，相同的網(wǎng)絡安全域共享一樣的安全策略。 關于數(shù)字簽名 公司在使用數(shù)據(jù)簽名技術時，應注意以下事項： ? 充分保護私鑰的機密性，防止竊取者偽造密鑰持有人的簽名。 訪問控制 操作系統(tǒng)訪問控制： ? 驗證用戶身份，必要的話，還應進行終端或物理地點識別； ? 記錄所有系統(tǒng)訪問日志； ? 必要時，應能限制用戶連接時間。 軟件及補丁版本管理 所有安全軟件（如：安全訪問軟件、病毒防護軟件、入侵檢測軟件等）應盡可能選擇經(jīng)實踐驗證穩(wěn)定運行的版本，不應立即使用廠商發(fā)布的最新版本，但病毒代碼庫和系統(tǒng)漏洞庫例外。必要時，這些責任應在雇用結束后延續(xù)一段特定的時間。 ? 公司應對第三方人員進行適當?shù)陌踩麄髋c培訓 ? 第三方人員應佩帶易于識別的標志，并在訪問公司重要場所時有專人陪同。安全