帐号密码管理制度.docx

帐号密码管理制度
系统账户管理规定
账户分类
账户依其重要程度分为重要账户和普通账户,重要账户包括:
具有中心各业务系统及相关设备的完全或部分管理权限的账户为重要账户,如操作系统管理员账户、数据库管理员账户等。
具有修改中心业务数据权限的账户为重要账户。
具有读取涉及中心秘密业务数据权限的账户为重要账户。
其它管理制度规定为重要账户者。
账户依其生存周期分为永久账户和临时账户,临时账户严格按照其生存周
期进行管理,到期注销。
账户注册规定
使用唯一的用户ID,保护用户的操作行为与用户本人身份唯一对应,便于对用户行为的审计以及追溯。
检查系统所赋予用户的访问权限是否与业务目标匹配,防止出现过度授权现象。
维护一份完整的系统应用授权明晰文档,并做到及时更新。
口令生成和保存
账户分配时必须同时生成相应的口令,并且与账户一起传送给用户,不得创建没有口令的账户;
管理员在传递账户和口令时,当采取安全的传输途径,以保证不会被中途截取;
用户在接受到账户和口令后,在第一次登录账户时修改口令;
对于以口令作为唯一验证证据的账户,如果账户的用户名由确定且公开的规则产生,则口令不应当为公开的口令;
不得将账户口令明文存储在计算机上或写在记事本上;
为满足应急响应需求,将重要账户的口令密封保存在安全场所,并随口令
的更改及时更换口令信封。口令信封一旦打开,必须立即登录其中涉及的所
有账户并更改所有口令;
如发现口令有泄露迹象,立刻报告主管领导并进行记录,以便及时处理。
口令设立原则
账户的口令必须是具有足够的长度和复杂度,使口令难于被猜测;
账户的口令必须是在必要时间或次数(最少5次)内不循环使用;
账户曾用的各个口令之间应当是没有直接联系的,以保证不可由以前的口令推知现在的口令;
账户的前后两个口令之间的相同部分尽量减少,减低由前一个口令分析出后一个口令的机会;
账户的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
口令最低标准
普通账户口令长度不得低于6位,口令字符中须包含字母、数字、特殊字符中的至少两类;
重要账户口令长度不得低于8位,口令中必须包含大、小写字母、数字和特殊字符,且不得为有意义的单词或短语。
账户的取消
用户如果因职责变动而离岗,不再需要系统权限且无须将账户移交给其他责任人,其原岗位主管申请销户,由管理员取消该账户的所有权限;
账户取消的同时,将账户对应的应用系统和服务的权限同时注销,保证该账户对应用系统的访问企图实效。
用户离职后,管理员关闭用户账户在系统中的所有权限。
口令使用和管理原则
重要账户口令在90天内至少更换一次,对重要设备和系统采用一次性口令方式进行认证,一般账户口令至少在半年内更换一次;
重要口令连续多次尝试登录失败后暂停该账户登录(可以根据实际情况设置尝试次数,一般为5次)。
系统管理员修改账户口令时,提前(或同时)通知账户使用人,以免影响其正常使用。
各级口令保管落实到人,口令所有人须妥善保存,各级口令不得以任何形