口令控制策略.docVIP

第 PAGE 1 页 共 NUMPAGES 1 页 口令控制策略 发布部门 生效时间 批准人 文件编号 介绍 用户授权是控制信息资源访问者的一种方式。对访问进行控制是任何信息资源所必须的。未经授权的人员访问到信息资源可能会引起信息保密性、完整性共和可用性的丢失，导致收入、信誉的损失或经济困难。 使用下列两个个要素可以鉴别用户，即： 你知道 – 口令识别号（ PIN ） 你持有 – 智能卡 目 的 该策略的目的是为用户鉴别机制建立创造、分发、保护、终止以及收回的规则。 适用范围 该策略适用于任何信息资源的使用者。 术语定义 略 口令 控制 策略 所用用户都必须拥有唯一的、专供其个人使用的用户帐号ID（用户ID）； 所有用户不得使用他人的用户进行信息资源的访问； 所有口令，包括初始口令，都必须依据下列规则建立和执行： 必须定期更改； 必须符合信息中心规定的最小长度； 必须是字母、数字和字符的组合； 必须不能是可以轻易联想到的帐号所有者的特性：用户名、绰号、亲属的姓名、生日等； 必须不能用字典中的单词或首字母缩写； 必须保存历史口令，以防止口令的重复使用。 用户的帐号口令必须不能泄露给任何人； 如果怀疑口令的安全性，应立即进行更改； 管理员不能为了使用信息资源规避口令； 用户不能通过自动登录的方式绕过口令登录程序； 计算机设备如果无人值守必须启动口令保护屏保或注销； 用户在首次登录