发布日期:2013-04-28 16:17 来源:国电信网络安全实验室 标签: 云计算 用户 账号 管理

在云计算系统账号管理方面,可通过对云计算用户账号进行集中维护管理,为实现云计算系统的集中访问控制、集中授权、集中审计提供可靠的原始数据。

1.云计算用户账号访问控制需遵循如下要求

根据"业务需要"原则,严格控制访问和使用用户账户信息,任何云计算用户都只能访问其开展业务所必需的账户信息,防止未经授权擅自对账户信息进行查看、篡改和破坏。

应至少采用下列一种方式验证访问账户信息的人员身份。

口令。

令牌(如Secure ID、证书等)。

生物特征。

分配唯一的用户账号给每个有权访问账户信息的系统用户,并采取以下管理措施。

在添加、修改、删除用户账号或操作权限前,应履行严格的审批手续。

用户间不得共用同一个访问账号及密码。

对用户密码管理采取下列措施,降低用户密码遭窃取或泄露的风险。

对不同用户账号设置不同的初始密码。用户首次登录云计算系统时,应强制要求其更改初始密码。

用户密码长度不得少于6位,应由数字和字符共同组成,不得设置简单密码。

云计算系统强制要求用户定期更改登录密码,修改周期最长不得超过3个月,否则将予以登录限制。

对密码进行加密保护,密码明文不得以任何形式出现。

重置用户密码前必须对用户身份进行核实。

用户账号登录控制。

云计算系统登录连续失败达到5次的,应暂时冻结该用户账号。经云计算系统管理员对用户身份验证并通过后,再恢复其用户状态。

用户登录云计算系统后,工作暂停时间达到或超过10分钟的,云计算系统应要求用户重新登录并验证身份。

2.用户账号在整个传输过程和云计算平台系统中必须加密。用户账户信息传输过程中,需采取足够的安全措施保障信息安全

账户信息通过互联网或无线网络传输时,必须进行加密或在加密通道中传输(如SSL、TLS、IPSec)。

对于无线方式传输账户信息的,应使用WiFi保护访问技术(WPA或WPA2)、IPSec VPN或SSL/TLS等进行加密保护。

禁止通过电子邮件传输未加密的用户账号信息。

3.云计算用户账户信息的销毁:对于以下保存到期或已经使用完毕的账户信息,均应建立严格的销毁登记制度

因业务需要存储使用的账号信息、有效期、身份证件号码。

纸张、光盘、磁带及其他可移动的数据存储载体等介质中存储的账户信息。

报废设备或介质中存储的账户信息。

其他超过保存期限需销毁的账户信息。

4.用户账户信息的销毁应符合以下要求

对于所有需销毁的各类云计算账户信息,应在监督员在场情况下,及时妥善销毁。

对于不同类别账户信息的销毁,应分别建立销毁登记记录。销毁记录至少应包括:使用人、用途、销毁方式与时间、销毁人签字、监督人签字等内容。

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。