内网信息系统口令管理制度

涉密信息系统口令管理制度
第一条口令是涉密信息系统身份认证的基本防护措施，为保障涉密信息系统的安全运行，规范网络用户及系统口令，特制定本制度。

第二条具有口令功能的计算机、网络设备等计算机信息系统设备，必须使用口令对用户的身份进行验证和确认。

涉密信息系统设备的口令管理工作由各设备所属单位负责。

第三条计算机设备和输入输出设备的系统设置口令由设备管理员负责管理，网络设备的系统设置口令由网络管理员负责管理，服务器的系统口令由系统管理员负责管理，安全设备和系统的口令由安全管理员负责管理，密码设备的口令由密钥管理员负责管理。

第四条涉密信息系统的计算机设备、输入输出设备、网络设备、安全设备和系统，口令长度要求设置为 12位，字母和数字混合，至少有3位字母、2位数字，且口令须每周更换一次。

第五条涉密信息系统的计算机设备，必须由管理员设置三级口令保护，即CMOS口令、操作系统登录口令和屏幕保护口令，且屏幕保护口令设置时间要求3分钟。

第六条涉密信息系统的输入输出设备，必须由设备管理员在所有的设备配置管理项目中设置口令保护，包括CLI管理、Web管理、SNMP管理、Telnet管理等，不允许采用设备默认的管理口令。

第七条涉密信息系统的网络设备，必须由网络管理员在所有的设备配置管理项目中设置口令保护，包括CLI管理、Web管理、SNMP
管理、Telnet管理等，不允许采用设备默认的管理口令。

第八条涉密信息系统的服务器口令由系统管理员负责管理和定期维护，对于服务器普通用户的口令，系统管理员还负有如下职责:
(一)给新增加的用户分配初始口令，规定用户口令的最小位数；
(二)指导用户正确使用口令；
(三)检查用户使用口令情况；
(四)帮助用户开启被锁定的口令或重置口令，并对非法操作及时查明原因；
(五)解决口令使用过程中出现的问题等。

第九条涉密信息系统的安全设备和系统，必须由安全管理员设置口令保护，包括CLI管理、Web管理等，不允许采用设备和系统默认的管理口令。

第十条涉密信息系统的密码设备，必须由密钥管理员设置口令保护，口令长度不得低于6位，不允许采用设备和系统默认的管理口令。

密码设备的口令严禁告知其他无关人员。

第十一条管理员必须有能力更改口令，当口令使用期满、被其他人知悉或认为口令不保密时；管理员可按照口令更改程序变换口令，且该操作应在保密条件下进行。

第十二条必须保证口令文件的安全，即口令文件的访问、修改、删除、拷贝、备份要由专门的授权者执行，要定期备份口令文件，且对口令文件的任何操作都必须作详细的日志记录。

第十三条用户应记住自己的口令，禁止将口令字贴在机箱、显
示器、键盘、工作台等明显的地方，且输入的口令不应显示在显示终端上。