网络安全培训与教育手册（执行版）.docxVIP

网络安全培训与教育手册（执行版）

第1章基础防护与账号安全

1.1密码管理策略与口令加固

密码长度是抵御暴力破解的第一道防线，建议将密码长度从传统的6位提升至至少16位以上，并强制包含大小写字母、数字及特殊符号的组合，例如X9mP2qL，确保攻击者无法通过简单的字符预测或暴力枚举破解。禁止使用字典词、常见用户名或邮箱地址作为密码，必须采用“随机字符+业务含义”的混合策略，例如将部门缩写IT与随机数字342组合为IT342X9mP2，并定期更换，避免长期暴露于字典攻击中。

警惕“记住我”或“自动填充”功能带来的安全隐患，所有账号必须手动输入，杜绝将密码输入到公共网站或自动化工具中，防止密码被窃取后自动填充到新账户。避免在社交媒体、即时通讯软件或办公群聊中分享密码、验证码及登录凭证，这些渠道往往是黑客植入木马或窃听设备的主要入口，一旦泄露将导致账号瞬间失效。不要将密码与支付密码、门禁卡密码或邮箱密码混用，必须为每个关键服务（如银行、邮箱、云存储）配置独立的密码，实行“一码一号”原则，降低单一泄露造成的连锁风险。

定期更新密码，建议采用“密码管理器”工具并存储加密密码，每月至少更换一次主密码，将密码生命周期控制在90天以内，有效缩短攻击者利用时间窗口。

1.2多因素认证（MFA）实施指南

启用MFA是阻断社会工程学攻击和键盘记录器攻击的最有效手