前言

本文将在系统访问权限配置、运维支撑人员操作权限、超级管理员帐号权限以及敏感数据操作管理四个关键领域进行深入评估，并提出相应的整改建议，以进一步加强账号安全和权限管理的效能。

A04.系统访问权限配置

研判要素：

①系统平台是否配置访问权限控制策略；

②业务系统访问权限配置是否符合业务需求、安全策略及最小授权原则；

③是否提供系统平台访问权限配置策略证明截图。

材料需求收集设计

1.请逐项说明系统账号口令安全策略配置情况，并在下方附策略配置情况证明截图：

（如：设置密码复杂度3种字符8位以上，输入错误5次后锁定账号，账号密码有效期为90天）

①应用平台：

密码复杂度配置：

账号锁定策略配置：

账号密码有效期：

密码找回流程：

②主机系统：

密码复杂度配置、 账号锁定策略配置、账号密码有效期：

③数据库：

密码复杂度配置、账号锁定策略配置、账号密码有效期：

2.请说明业务支撑系统是否配套系统访问授权管控措施：

£是      £否

如是，请说明采取哪种系统访问授权管控措施：

例如：基于角色的访问控制（role-BAC）中，权限不是直接分配给用户，而是分配给用户的角色。例如，一个组织可能有员工、经理和管理员等角色。每个角色都有一组与之相关的权限，这些权限定义了用户可以执行的操作。当用户被分配到某个角色时，他们就继承了该角色的权限。

①请提供前台应用接入访问控制措施证明

②请提供主机系统接入访问控制措施证明

③请提供数据库接入访问控制措施证明

3.