B37-密码管理策略V11.doc

帐户及密码管理策略
概述
密码是计算机安全的重要组成部分,他可以有效的保护用户帐号和信息的安全。不符合安全性的密码可能导致我公司整个网络的破坏。因此,所有我公司雇员都有责任采取适当的措施来保护密码的安全性。
目的
本策略的目的在于引导用户去创建一个强密码,并且如何保护这些密码以及密码更换周期的标准。
包含范围及密码策略
包含范围
所有业务系统密码,必须至少每一个季度更换一次;
所有用户密码,必须至少每六个月更换一次,建议每季度更换一次;
通过组成员或域控授权的,有特权的用户帐号密码必须与该用户所拥有的其他所有帐号密码均不相同;
业务系统密码包括:系统管理员、网络设备管理员和后台管理员帐户;
用户密码包括:电子邮件,WEB用户和桌面计算机帐户
密码策略
密码强度要求
密码在我公司中用于不同目的。一般包括用户级帐号、WEB帐号、电子邮件帐号、屏幕保护帐号。这些帐号都会涉及到公司信息安全,因此每个人应该清楚如何去选择强密码。选择的强密码必须符合以下特点:
业务系统密码至少8位以上;
用户密码至少6位以上;
包含大写和小写字符(a-z和A-Z);
不但有字母,还有数字和标点符号,包括0-9和~!@#￥%…&*()·-=_+{}[]:”;’<>,.?/|\;
包含大写字母、小写字母、数字、标点符号四种格式中的三种
不是任何语言、俗语、方言、或行业语言的字符串;
不基于个人信息或家庭成员名字;
永远不用纸张书写或在线储存;
严格禁止使用以下任何一种弱密码:
密码少于8个字符。
密码是汉语拼音及英文字典上能够找到的单词。
密码是常用词,例如:
公司为您开设帐号时的默认密码。
家庭成员、宠物、朋友、同事、偶像明星等等的名字。
计算机术语和名称、命令、站点名称、公司名称等。
生日或如地址电话号码之类的其他个人信息。
想aaabbb、asdf、123321这类词或者数字。
上述任何拼写的逆向拼写
上述任何带有前导或者后续数字(admin2、root3、zhangsan4)
密码保护要求
请勿在公司使用与公司账号(比如:个人银行帐号,家中上网账号等)相同的密码。在公司内不同账号请勿使用相同的密码。比如为邮件账户和文件FTP文件上传账户选择不同的密码,对个人PC和服务器选择不同的密码。
不要与任何人包括上级领导共享账户与密码。所有密码要作为敏感、机密的信息对待。
以下是管理策略中严格禁止的情况:
不要通过电话向任何人透漏密码。
不要在电子邮件消息中透漏密码。
不要向上级领导透漏密码。
不要在别人面前谈论密码。
不要暗示密码格式(比如:我的姓名)。
不要在任何调查问卷上透漏密码。
不要与家庭成员共享密码。
再休假时不要向同事透漏密码。
如果有人查询密码,要他参考本文档或者与网络管理部和行政部门联系。
不要使用应用程序(比如:IE、Windows、FTP软件)的“记住密码”功能。
不要将密码写下来并将他们保存在办公区域内的任何地方。
至少每六个月就更换一次密码(除了系统级密码,系统级密码必须没季度更换一次)。建议每季度进行更换。
如果怀疑某个帐号或者密码被破坏,请及时与网络管理部联系并且更换密码。
核查
网络管理部或其委托部门会定期执行***和猜测程序,如果这些扫描猜测到或