(6.1.1.4信息系统用户和口令管理办法.docVIP

信息系统用户和口令管理办法 固阳电力有限责任公司 固阳电力有限责任公司 信息系统用户和口令管理办法 总则 本标准规定了固阳电力各类信息系统用户帐号和口令的管理规定和方法。 本标准仅适用于固阳电力网络业务系统的服务器和工作站、网络设备和应用。 本标准适用于所有和上述系统相关的管理和维护人员、所有上述系统中存在的账号和口令。 第二章 职责定义 信息系统运行维护部门负责人负责执行由安全标准规定的管理职能，包括规定每个员工的角色和可以访问的信息资源、批准创建用户、撤销用户等。 设立“用户账号集中管理系统管理组”，（以下简称“账号管理组”）管理用户集中管理系统，并执行具体的技术操作，如执行具体的创建用户、删除用户等操作。 第三章 用户账号标准 不允许共享账号和口令，除非由部门负责人授权，不允许将个人使用的口令告诉他人，即使部门负责人也不能要求员工告知个人用户名和口令。 设备的重要口令包括如路由器、交换机、接入服务器等的远程登录口令、特权模式口令，主机的root口令、数据库系统管理口令等。都由唯一的人员掌握 重要的系统口令应尽可能采用一次性口令或者双要素口令认证。 不允许匿名账号的存在； 远程登录口令、特权模式口令必须强制每三个月更改一次。 网络主机设备的重要口令必须每三个月更改一次；普通口令由系统管理员督促，口令拥有者必须至少每六个月更改一次；作为登录全网网络设备和其它主机设备的设备，其重要口令、普通口令必须每一个月更改一次。对于3个月没有使用的账号应进行评估是否删除。 对网管等主机设备重要口令必须每一年更改一次。 口令的更改必须指定两位专人负责，由这两人根据要求定期进行更改。责任人必须保证口令更改的及时性、有效性，同时必须在“数据部设备重要口令更改记录表”中进行详细记录，并保证在网设备的口令与记录上的口令保持一致。 “设备重要口令更改记录表”必须锁放在机房的安全位置，钥匙由两位责任人掌握。 用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用户有权限访问他工作中需要用到的信息；最小授权原则指仅让用户能够访问他工作需要的信息，其他信息则不能被该用户访问。 第四章 用户账号处理流程 4.1创建和变更用户 当新员工加入时由人资部门出具书面通知单，由信息部门创建或向上级信息主管部门申请创建该员工用户账号。 现有员工岗位和职责发生变化时，由员工本人提出申请，经单位或部门负责人批准，信息部门负责更改用户资料和权限。 部门负责人根据申请人的岗位职责进行审核，确认该员工的工作职责需要访问一个或多个受控系统，满足创建用户的条件。如果员工的工作职责不需要访问任何受控系统，则应拒绝申请。 如果批准申请，应通知相关系统的管理员，由系统和网络管理员执行具体的创建用户操作。用户创建后，管理员将用户信息打印、密封后交给申请人本人并签收。应敦促申请人尽快更改初始口令。 4.2撤销用户 遇有员工离职，在各系统中撤销相应用户应该是离职手续的一部分。 信息部门负责人应尽早要求各系统和网络管理员撤销某员工的口令，管理员执行完后向部门负责人和安全员通报结果。 4.3定期复审 必须每半年组织一次对现有用户的复审。复审由信息安全审计小组的代表、部门负责人参加。审查是否有下列情况发生： 员工实际已经离职，但仍在用户列表上。 员工虽然仍在工作，但不应该授予他使用受控系统的权利。 复审的形式可以是由各系统和网络管理员打印出用户列表，然后由安全小组和部门负责人进行审查，并将审查结果通知系统和网络管理员，然后由后者进行必要的操作。 第五章 口令标准 5.1通用标准 所有系统管理员级别的口令（例如root、enable、NT administrator、DBA等）必需每三个月更换一次。 所有用户级别的口令应每六个月变更一次。建议4个月变更一次。 用户所使用的任何具备系统超级用户权限（包括并不限于系统管理员账号和有su权限账号）账号口令必需和这个用户其他账号的口令均不相同。 口令不能在电子邮件或者其他电子方式下以明文方式传输。 当使用SNMP时，communication string不允许使用缺省的Public、Private和system等，并且该communication string不应该和系统的其他口令相同，应该尽量使用SNMPv2以上的版本。 5.2口令指南 5.2.1口令生成指南 对于不使用一次性口令牌的账号，用户应该有意识地选择强壮的口令（即难以破解和猜测的口令），强壮的口令具备以下特征： 同时具备大写和小写字符 同时具备字母、数字和特殊符号，特殊符号举例如下!@#$%^*()_+|~-=\`{}[]:;?,./) 8个字符或者以上 不是字典上的单词或者汉语拼音 不基于个人信息、名字和家