信息安全之访问控制三

要基于各个业务应用要求，各信息和应用系统的访问控制策略还要与组织统一的访问策略一 致。

应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和身份验证时，宜使用如加密技术、智能卡、令牌或生物识别手段等替代口令的身份验证方法。

应建立交互式的口令管理系统，并确保使用优质的口令，一般要求口令长度8个字符以上，且易于记忆。

对于可能对系统和应用控制措施造成致命影响的工具或程序（例如格式化工具、数据备份恢复软件、大负荷扫描工具）的使用，应加以限制并严格控制，并编制相应规程，授权使用前应制定应急预案，使用中应实时监测，使用后应进行验证。

对程序源代码和相关事项（例如设计、说明书、验证计划和确认计划）的访问宜严格控制，以防引入非授权功能、避免无意识的变更和泄密维持有价值的知识产权。对于程序源代码的保存，可以通过中央存储控制系统来实现，或者放在源程序库中。