电子认证服务密码管理策略.docxVIP

电子认证服务密码管理策略

目录

一、总则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．4

编制目的与适用范畴．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．5

核心原则与遵循规范．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．5

相关方职责界定．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．8

二、密码生命周期全流程管控．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．9

密码生成与分配机制．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．10

1.1密码复杂度与强度规范．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．13

1.2密码生成方式与工具．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．14

1.3密码分派与通知规程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．18

密码存储与保护措施．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．19

2.1密码存储介质选择．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．21

2.2加密算法与密钥管理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．23

2.3密码存储访问权限控制．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．25

密码使用与操作规范．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．26

3.1登录认证流程要求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．29

3.2密码输入安全指引．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．32

3.3会话管理与超时设定．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．33

密码变更与重置策略．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．34

4.1定期强制更新周期．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．35

4.2用户主动变更流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．36

4.3密码遗忘重置规程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．40

密码废除与停用流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．41

5.1账户生命周期终止处理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．41

5.2权限变更后的密码处置．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．44

5.3密码泄露后的紧急废止．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．47

三、系统与基础设施安全．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．49

认证系统配置标准．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．50

1.1服务器安全加固．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．52

1.2中间件与组件安全设置．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．53

1.3网络访问控制列表．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．56

密码技术防护体系．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．57

2.1加密算法应用规范．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．61

2.2密钥管理体系集成．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．63

2.3安全通信协议实施．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．65

四、用户管理与培训．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．67

用户身份核验流程．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．68

1.1账户创建审批机制．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．69

1.2身份信息核验要求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．71

1.3权限分级与指派．．．．．．．．．．．．．．．．．．．．．．．．．．．．．