帐号

41个，39个人为涉敏人员

维护

人员台账在需求组处，上线联调测试申请过生产临时权限的人为涉敏人员，需纳入涉敏台账上报（以前没纳入，整改中）

开发、测试

亚信

2人，为涉敏人员，已纳入涉敏台账

东信和平

1人，为涉敏人员，已纳入涉敏台账

航信

合作伙伴

x人为涉敏人员

自有人员

需部门领导审批（合规）

创建

总监审批即可（合规）

变更

销户

1、定时对合作伙伴的主账号进行审计，包括离职是否及时清理，新入场是否上报安全组等，目前是由项目负责人跟进该事项。2、自有人员的审计统一由中心安全审计员负责。（合规）

审计

集中化运营平台（ITSM），主账号的所有操作均在该系统上进行

固化系统

规范

主账号

特殊场景下，合作伙伴人员确需超级帐号的，应经主管部门领导审批后临时授权，留存授权审批记录；严格监控，工作完成后及时收回权限;

规范要求

基础平台部

责任部门

①22年8月之前通过快速审批，之后通过月度预授权材料，先向部门领导申请；②用部门领导的审批通过材料向基础平台部申请root帐号密码；③合作伙伴通过bomc工单申请root帐号授权，自有人员审批处理后并告知合作伙伴密码。我们组的流程目前来看没什么问题，合规。

使用流程

①我接手以来，root权限曾直接授权过root帐号，后变更为授权jcpt帐号并su进行提权操作，再后变更为zjwh帐号并su进行提权操作

②2021年之前，基础软件和中间件是在软件组进行维护的，故存在软件组给合作伙伴进行root授权的情况。

问题点

上云前

非磐基维护的

平台能力中心

磐基维护的

①自有人员在bomc上提“xxx管理流程”，先给总监审批，再由部门领导审批，然后转至相对应的超管帐号管理部门；②相对应的超级帐号管理部门回复root帐号密码；③合作伙伴通过bomc工单申请root帐号授权，自有人员审批处理后并告知合作伙伴密码。我们组的流程目前来看没什么问题，合规。

上云后

主机

广州业务支撑中心基础软件组

我们系统维护不申请使用数据库的超管帐号，不涉及

数据库

西藏移动公司运行维护室

目前亚信核心两人保留超管权限，用于处理系统故障。自有人员不涉及。

亚信的超管权限是历史遗留下来的，没有相应的审批流程，不过营业前台的超管权限是通过后台控制的，从4A和前台看都只是一个工号。

应用

暂未发现

超管帐号

因故障处理、程序变更、漏洞修复、应急演练等场景确需使用程序帐号的，应由申请人所在部门领导审批，限制使用人数、使用场景、单次授权时间（原则上不超过8小时），工作结束后及时收回权限

①2023年7月前，安全组的意见为统一对外说程序账号由授权人授权，因为旧的管理办法写着：“部门领导(或授权人)授权”，授权人解释为给合作伙伴在4A上进行授权操作的人员。②7月之后，按照计划是进行月度预授权，列出程序账号详情和合作伙伴人员名单，先进行全范围覆盖，然后由合作伙伴通过bomc申请单次八小时内使用权限，并由普通员工进行审批和授权。（但是领导还未知该方案，且中心也没有统一的方案，也都还没有落实程序账号领导审批使用的工作）

①目前程序账号使用仍未经过领导审批。

②目前梳理出来我们组有程序账号xxx个，人员名单也要囊括智慧运营组和需求管理组，数量十分多，全部列出A4纸有一百多页，给领导签字比较麻烦。

③本次天津审计之前没有严格按照程序账号授权8小时以内的要求，大部分是24小时，小部分是大于2-5天（一般是节假日值班，周边系统的持续变更操作等）

程序账号

个人（具名）帐号不得授权于不同主帐号，主从帐号间应保证一致性。

①申请人先在bomc上提单至对应系统运维组申请，然后由系统负责人在4A上创建个人（具名）账号，然后从4A将新建的帐号同步至资源侧，最后完成主从帐号授权绑定操作。

合作伙伴的涉敏帐号必须由申请人所在部门或对口管理部门领导，以及系统管理部门领导进一步审批。

规范要求（2023年7月新增）

同个人（具名）账号，不过授权时间不超过一个月（该要求为安全组要求，非管理办法）

目前合作伙伴的涉敏帐号创建均没有经过部门领导审批，需补充。

涉敏帐号

个人（具名）帐号

从账号

符合

1、谁主管谁负责、谁使用谁负责的原则

前者符合，后者不符合。我们组既是权限管理角色，也是业务操作角色，暂未分开

2、“权限明确、职责互斥、最小特权”原则：明确岗位角色和权限的匹配规则，以及不相容职责分工（例如应用层管理员与操作系统层、数据库层管理员角色互斥，帐号权限管理操作角色与具有业务操作权限的角色互斥）

3、

其他

帐号