中国联通内网账号口令安全管理办法(征求意见稿)

中国联通内网账号口令安全管理办法

（征求意见稿）

目录

第一章总则 (1)

第二章适用范围 (1)

第三章角色与职责 (1)

第四章账号管理 (2)

第五章口令管理 (4)

第六章审批和修订 (7)

第七章附则 (7)

附件1 表格命名与编号方式样例 (8)

附件2 XXXX系统用户账号权限审批表 (11)

附件3XXXX系统用户账号登记表 (12)

附件4XXXX系统用户账号核查表 (13)

附件5XXXX系统账号口令修改记录表 (14)

附件6XXXX系统账号口令检查记录表 (15)

附件7XXXX系统程序账号列表 (16)

第一章总则

第一条为规范中国联通信息系统账号口令管理，确保内网信息系统安全稳定运行，有效防范因账号口令管理使用不当所造成的风险，特制定本管理办法。

第二条各级单位应认真执行本管理办法的相关要求，并根据实际工作需要结合本单位具体情况制定相应的实施细则或补充规定，切实做好信息系统账号、口令的安全管理工作。

第二章适用范围

第三条本管理办法适用于中国联通集团总部、各直属单位、各省级分公司内网信息系统账号口令安全管理，公司各部门在涉及到内网信息系统账号口令安全管理时应遵照执行。

第四条本管理办法适用于内网网络设备、主机设备、内网终端、中间件、数据库、应用系统等信息系统的账号口令安全管理。

第三章角色与职责

第五条中国联通内网账号口令安全管理办法由集团总部信息化事业部负责制订。

第六条各省内网信息系统账号口令安全管理的落实

执行与检查监督，由各省级信息化事业部参照此办法执行。

第四章账号管理

第七条账号权限分配遵循分级原则，根据账号权限、及管理其他账号的能力将信息系统账号分为超级账号、特殊功能账号与一般功能账号。

(一)超级账号：指可对信息系统所有配置进行查看、变

更，有权限创建、修改、删除其他账号的系统账号。

包括系统安装时的默认账号，在使用过程中不能进

行删除或改名且具备系统管理权限的账号，如：root、

sys/system等，以及由系统管理人员建立的与系统

默认超级管理员权限相当的系统管理账号。

(二)特殊功能账号：指由系统管理人员建立的执行特殊

功能的账号，如：审计账号、日志查询账号、信息

发布账号等。

(三)一般功能账号：指由一般用户进行日常办公、业务

办理等功能的账号。

第八条系统特权账号及特殊功能账号都应由系统管理员掌握，不得随意将特权账号及特殊功能账号的口令告知他人；每次特权账号及特殊功能账号更改口令后，应提交书面材料至系统管理部门进行备案；账号配置不允许由系统管理员之外其他任何用户操作。

第九条系统中不允许有不明用途的账号存在，所有已存在的账号必须有明确的文档（电子或纸质）说明其用途、使用人及其部门（单位）、创建启用时间、权限及其他信息。

第十条账号授权应该满足最小授权的原则，只能拥有本岗位职责范围内的权限；用户权限应由用户所在部门的管理人员、系统管理责任人及系统运行维护人员共同确认。

第十一条如因工作需要另外增加岗位外权限的，履行审批手续后，经使用员工上级主管同意后方可增加，并保留操作日志和审批记录。

第十二条新增用户账号必须由申请部门提出正式申请，需填写信息包括但不限于：使用者的姓名、联系电话、职责（岗位）、使用时间、申请使用的系统范围和权限等。由申请部门领导审批后移交给信息化部门，经审核后下发至相应的系统管理员，根据申请的内容进行账号创建赋权。

第十三条应为系统中的每位用户创建唯一的用户账号，用户账号名称及ID标示不得体现用户的权限级别。

第十四条由于账号使用者发生岗位变动或离职等人事变动，应由系统管理员提出正式申请，经系统所在部门领导审批后，立即进行相应的权限变动或账号回收，防止由于岗位变动，账号、权限没有进行变更的情况。

第十五条临时账号的申请单应独立存档并由安全管理员至少每月进行一次检查。临时账号使用期满后，应由系统

管理员负责收回，并对其操作日志等进行核查。

第十六条不同人员必须使用不同的账号访问信息系统，严禁多人使用同一账号进行操作。

第十七条系统管理员应定期对账号的权限、登陆及相关操作情况进行检查，超级账号应至少每1个月检查一次，特殊功能账号应至少每3个月检查一次，一般功能账号的访问权限应至少每6个月检查一次。对发现的问题应及时提交相关人员落实整改，对于涉及核心数据操作的账号应将相关情况提交系统管理部门审核确认，对长期未使用或过期的账号进行清理，形成相关记录文档，并向管理部门汇报相关情况。

第五章口令管理

第十八条口令的设置应符合以下要求：

(一)口令长度应大于等于8个字符；

(二)口令应由大写字母、小写字母、数字、特殊符号中

的3种及以上类型组成；（特殊符号举例如

下：!@#$%^&*()_+|~-=\`{}[]:”;’<>?,./）

(三)不得使用一串相同的数字或字母作为口令；

(四)口令不能含有与账号名称相同的英文单词、汉语拼

音或其简写；

(五)口令中不应含有明确意义的英文单词或汉语拼音；

(六)口令中不应含有和个人信息（如：姓名、生日、电

话号码、QQ号、车牌号、住址等）有关的信息；

(七)不得使用看似符合要求，实为连续键盘序列组合作

为口令（如：123qweASD，1qaz@WSX等）第十九条如系统能力支持，应开启并设置自动拒绝不符合上述口令管理规则账号和口令的参数。

第二十条口令必须定期修改，修改周期不得超过3个月；对涉密、保密条件差、使用人员复杂的系统应尽可能缩短口令的使用周期；口令的修改应保留相关记录或日志，重要设备、系统的管理员账号口令在每次修改之后应在相关管理部门备案。

第二十一条对于无法进行定期修改口令的账号，如系统默认账号、特殊功能账号等，由系统管理员负责在系统升级或重启时督促落实口令修改工作；由于历史原因或其他特殊情况，在应用程序中固化的账号口令，应严格限制相关账号的登陆方式，确保其只能通过特定方式（如通过特定客户端或使用特定链接等）才能使用，并应进行相关登记确认，形成记录文档备查。

第二十二条口令只能保存在由专人负责保管的纸质文件或加密存储介质内，不得以任何形式存放于可公共访问的系统设备、可移动设备及纸质媒介中。

第二十三条严禁将存有口令的未加密电子文档直接保