信息系统口令、密码和密钥管理.docVIP

信息系统口令、密码和密钥管理 范围 本标准规定了信息网网络安全管理人员的职责、管理内容和工作要求，以及信息系统口令、密码和密钥管理。 本标准适用于公司所有信息网络、应用系统及设备和用户所有层次的口令管理。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款，凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 1994　国务院 中华人民共和国计算机信息系统安全保护条例 国务院273号令　商用密钥管理条例 1998　国家保密局　中华人民共和国计算机信息系统保密管理暂行规定 2000　国家保密局　中华人民共和国计算机信息系统国际联网保密管理规定 2003　公司　网络与信息安全管理办法（试行） 2006　公司　信息网防病毒运行统计管理规范（试行） 2006　公司　信息网用户行为规范（试行） 术语与定义 以下术语和定义适用于本标准。 3.1 信息系统 信息系统是用系统思想建立起来的，以电子计算机为基本信息处理手段，以现代通讯设备为基本传输工具，且能为管理决策提供信息服务的人机系统。即，信息系统是一个由人和计算机等组成的，能进行管理信息的收集、传输、存储、加工、维护和使用的系统。.2.1 各应用信息系统的主管部门对于重要应用系统必须建立相应操作人员口令、密码和密钥管理制度，分清各级操作人员职责。 5.2.2 应用系统应实行权限分散原则。明确系统管理员、系统操作员、程序员等的权限和操作范围，并设置相应的操作口令和密码。 5.2.3 严格限制各类应用系统超级用户的使用范围，操作系统、数据库管理系统、各类应用系统的超级用户口令必须专人掌管，定期更换。重要密码修改要有记录。 5.2.4 所有用户都必须妥善保存好数字证书载体，并对载体的保护口令严格保密，数字证书不得转借他人。 5.2.5 各级操作人员应有互不相同的用户名和口令，定期更换操作口令。严禁操作人员泄露自己的操作口令，系统口令长度不得少于八个字符，要求字母和数字或特殊字符混合，用户名和口令禁止相同。 5.2.6 应用系统的各类口令和密码必须加密保存，系统不得采用明文方式保存于服务器或客户端计算机的注册表或硬盘文件系统中。 5.2.7 涉密应用系统所采用的各种加解密措施应采用统一的加密算法和密钥管理，并具有权限分级，以适合不同级别的用户存取。同时密钥必须定期更换。 5.3　工作站口令、密码管理 5.3.1 各工作站按要求必须设置开机密码和操作系统管理员密码，并开启屏幕保护中的密码保护功能。妥善保管密码，并定期更改；同时严禁使用人员泄露自己的口令和密码。 5.3.2 各工作站不得设置共享目录，原则上使用办公自动化（OA）系统来相互传送文件，如确有必要，则需要为共享目录设置读取密码，以防止无关人员获得相关信息。 5.4　口令的废止 5.4.1 用户因职位变动，而不需使用其原有职责的信息资源，必须移交全部技术资料，明确离岗后的保密义务，并立即更换有关口令和密钥，注销其专用用户。涉及核心部门开发人员调离时，应确认对本系统安全不会造成危害后方可调离。 5.4.2 丢失或遗忘口令，必须向相关口令管理人员申请，必须得到信息中心主任及以上的人员同意方可。 报告与记录 口令管理台帐（见附录A）。 检查与考核 7.1　由部门负责人依据本标准进行检查。 7.2　根据《公司职工年度考核管理实施办法》进行考核。 附 录 A （规范性附录） 口令管理台帐 口令管理台帐见表A.1。 表A.1口令管理台帐 设备(系统) ： 时 间 操 作 管理员 保管员 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封□ 保存□ 更改□ 启封