信息系统帐号、口令管理办法v1.1.docVIP

版本号：V 1.1 大唐黑龙江新能源开发有限公司 信息系统帐号、口令管理策略 大唐黑龙江新能源开发有限公司 2011年3月 第一章 通则 本条例规定了大唐黑龙江新能源开发有限公司信息系统中桌面机、服务器、网络设备、应用与系统相关帐号、口令的建立、使用、维护与处罚制度。 本条例适用于所有使用公司信息系统的用户，包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统的使用人员、合作软件开发商、系统集成商等。同样适用于大唐黑龙江新能源开发有限公司信息系统范围内所有使用个人计算机及网络的员工。 本条例相关规定制定的主要适用原则为责权一致原则。 第二章 术语解释 授权用户： 大唐黑龙江新能源开发有限公司内部人员：指大唐黑龙江新能源开发有限公司的正式员工； 非大唐黑龙江新能源开发有限公司内部人员：指临时到大唐黑龙江新能源开发有限公司工作，但非大唐黑龙江新能源开发有限公司正式员工的人员，包括但不限于开发商、集成商、供应商、顾问、合作人员、临时工、外聘人员、外包业务人员等。 帐号 帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式； 管理员帐号：指在系统中具有较大的权限，能对网络、应用、系统进行关键性设置权限的账号，典型用户为系统管理员； 超级管理员帐号：指对系统具有超级权限的帐号，包含但不限于UNIX的ROOT，WINNT的administrators组成员，数据库的DBA等用户； 公用帐号：指供一组人使用的帐号，其合法使用人限于一个组内； 匿名帐号：供不确定身份的人员使用的帐号。 口令 口令：指系统为了认证帐号使用人的身份而要求使用人提供的证据，如在数据库系统的口令，办公自动化系统的帐号文件及帐号口令； 健壮口令：具有足够的长度和复杂度，难于被猜测的口令； 弱口令：仅由字母、单词、数字或其简单的组合，易于被猜测的口令。 第三章 帐号的建立 系统要求 大唐黑龙江新能源开发有限公司信息系统所使用的计算机操作系统、业务系统、数据库、网络设备、应用软件等均需要支持基于帐号的访问控制功能； 所有需要使用口令的应用软件、业务系统都需要对口令文件提供妥善的保护。 个人受限用户的口令由使用人自行保管。 操作系统、业务系统、数据库等的超级管理员用户口的口令文件需要以加密的方式存储在专用的加密存储介质里，并将该存储介质存放在专用加锁的文件柜中。启用口令文件需要由相关责任领导审批。 帐号申请原则 只有授权用户才可以申请帐号； 任何系统的帐号设立必须按照规定的相应流程规定进行，具体流程见“附录一：门户及邮件系统用户申请审批单”； 用户申请帐号前应该接受适当的培训，以确保能够正常的操作，避免对系统安全造成隐患； 帐号相应的权限应该以满足用户需要为原则，不得授予与用户职责无关的权限； 任何帐号必须是可以区分责任人，责任人必须细化到个人，不得以部门或个人组作为责任人。 公用帐号 系统应当严格限制开设公用帐号，一般情况下公用帐号不得具有访问保密信息和对系统写的权限； 公用帐号应该设立责任人，责任人必须是大唐黑龙江新能源开发有限公司内部人员，负责帐号的正常使用及维护。 匿名帐号 匿名帐号只被允许访问系统中可公开的资源，不得访问任何内部公开及内部公开以上保密等级的资源； 匿名账号对系统的访问必须有详细的记录。 第四章 口令的设立 口令的生成 帐号分配时必须同时生成相应的口令，并且与帐号一起传送给用户； 用户在接受到帐号和口令后，必须马上修改口令，任何时间都不得存在没有口令的帐号； 对于系统的帐号验证只有口令作为证据的系统，如果帐号名由确定的且公开的规则产生的，则口令不应当为公开的口令； 管理员在传递帐号和口令时，应当采取加密或其他安全的传输途径，以保证口令不会被中途截取。 口令设立的原则 帐号口令必须是具有足够的长度和复杂度，使口令难于被猜测； 帐号口令应定期进行修改； 新口令与旧口令之间应没有直接的联系，以保证不可由旧口令推知新口令； 帐号的口令不应当取有意义的词语或其他符号，如使用者的姓名，生日或其它易于猜测的信息。 口令的最低标准 普通用户口令长度不得低于6位，最近6个口令不可重复，口令中必须包含字母和数字； 管理员和超级管理员帐号口令长度不得低于8位，最近10个口令不可重复，口令中必须包含字母、数字、符号，口令中同一个符号出现不得多于2次，各个口令中相同位置的字符相同的不得多于3个，口令不得为有意义的单词或短语。 第五章 账号的变更 帐号的权限变更 用户在工作职责发生变化，造成现有职责与现有账号权限不符时，应当申请权限的变更；管理员发现用户具有工作不需要的权限，可以直接停止多余的权限； 账号权限变更必须按照规定的相应流程规定进行，具体流程见“附录一：账号、口令建立、变更、取消流程”； 口令的修改 用户应当定期修改帐号口令，修改口令