259-账号口令权限安全管理规定.docVIP

XXXX信息中心 账号口令权限安全管理规定 信息中心 年月 XXXX信息中心 账号口令权限安全管理规定 注：XXXX代表单位名称，XX代表单位简称，xxxx代表系统名称，**代表部门名称。 总 则 为加强XXXX信息中心（以下简称“中心”）用户权限控制，实现信息系统访问权限的分配，防止非授权访问，特制订此规定。 本规定适用于所有使用XXXX信息系统的用户以及管理员。 账户管理 应用系统账户由应用系统管理员建立；网络系统、安全系统账户由网络管理员建立；主机操作系统、数据库系统账户由系统管理员建立。新建用户账户应首先由使用人提出申请，经安全管理员审批后，再由相应管理员建立，并按照XX习惯方式设置账户名称。X或工作职责调整时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。同时在员工离开XX后，要对其个人计算机中的信息进行处理后，方可交给其他人使用。 对于非XX的用户，需要访问XX资源时，由接待人为其办理审批程序，并由管理员创建guest账户给其使用。 权限管理 用户分配的权限以满足所在岗位最低工作要求为准。 管理员在做权限设定时候要明细化，尽可能减少因拥有的权限划分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户的单独监控。 特权用户必须按授权程序通过安全管理员批准，才可给予相应的权限。 管理员应保留所有特权用户的授权程序与记录。 管理员对分配的所有权限记录进行维护。只有符合工作需要的信息访问要求，应用系统管理员才可授权；若不符合授权程序，则不授予权限。 安全管理员应定期检查用户的账号及其权限，其中重点检查有特权的账号，是否存在特权使用期限过期。同时系统中不能存在无用或匿名账号，对于多余的用户账户必须删除。 口令管理 基础运行环境（包括网络系统、安全系统、主机服务器操作系统、数据库）的管理员密码设置要求如下： 长度不得少于8个字符； 复杂度要求：必须是大小写字母、数字和符号的组合； 修改周期：半年； 密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。 应用系统管理员权限的用户密码设置要求如下： 长度不得少于8个字符； 复杂度要求：必须是大小写字母、数字和符号的组合； 修改周期：半年； 密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。 普通终端用户密码设置要求如下： 长度不得少于8个字符； 复杂度要求：至少达到大小写字母和数字的组合； 修改周期：半年； 密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。 不要使用个人相关信息（如姓名、电话号码、生日等）做为口令。 应避免在纸上记录口令，或以明文方式记录计算机内。 用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令。 口令文件的存储应和系统数据相分开，并采用安全方式存储和传输口令（例如加密或哈希）。 应保证口令安全，不得共享个人口令，不得向其他任何人泄漏。对于泄漏口令造成的损失，由本人负责。 附 则 本规定由信息安全工作组负责解释和修订。 本规定自发布之日起执行。