12密码使用安全管理制度

X门户网站平台
--密码使用安全管理制度--
修订及审核记录
目录
第一章、总则 (1)
第二章人员及职责 (1)
第三章用户安全管理 (1)
第四章账号安全管理 (2)
第五章密码安全管理 (5)
第六章密码分级定义 (6)
第七章密码安全策略 (7)
第八章附则 (9)
一、总则
第一条为了规范和加强X门户网站系统内外网的主机操作系统、网络设备、网络应用系统的帐号和密码安全管理，预防口令泄漏和身份假冒等带来的风险, 为主机操作系统、网络设备、网络应用系统生成密码、保护密码以及变更密码等建立相应的策略；为数据的保护和加密建立相应的策略。

为保障X门户网站系统功能的正常运行，特制定本制度。

第二条各系统可以自行规定本系统的帐号和口令的管理细则，并针对本系统采取有关技术手段进行安全保障，但必须达到或高于本制度规定的级别。

第三条本管理办法适用于上海市X发展研究院信息技术推广部管理的所有信息应用系统及附属设备；适用于需要帐号和密码进行业务操作的相关部门和人员；适用于因业务关系需要使用本院信息系统的第三方服务商或者供应商。

第四条本文档将依据信息技术和信息安全技术的不断发展和信息安全风险的演变及信息安全保护目标的不断变化而进行版本升级。

二、人员及职责
第五条上海市X发展研究院信息技术推广部主任负责监督此文档的落实。

第六条上海市X发展研究院各应用系统的系统管理员负责制定执行本管理规定的具体要求。

三、用户安全管理
第七条创立新的用户角色或对用户组或用户角色定义进行修改时，应考虑不相容职责分工原则，由业务部门主管（或授权人员）对用户角色的权限设定进行审阅并签字确认，以确保在系统中分配给用户的权限与其职责相符。

第八条应对业务应用系统中的用户的权限进行周期性审计，以确保用户在系统中的权限与其职责相符。

如发现与其职责不符相，应及时通知应用系统管理员，对用户的权限进行调整。

第九条第三方人员使用系统时必须先向X发展研究院信息技术推广部提出申请，在得到信息技术推广部主任审批后，由相关系统管理员为其创建临时帐号。

同时，该系统管理员必须对第三方人员使用系统帐号的情况进行监督；除非得到可以长期使用系统帐号的授权，否则系统管理员应在第三方人员使用系统帐号后，及时删除或禁用该帐号。

第十条所有业务应用系统的用户在使用应用系统帐号时，必须确保每个人拥有单独帐号，不得多人混用。

第三方人员使用系统帐号，必须确保每个人员拥有单独帐号，不得多人混用。

第十一条第三方人员需远程对业务系统进行操作时，应提供不低于本地现场维护管理要求的技术手段。

对于长期使用的远程接入手段，应在远程接入技术方案中说明安全保障措施。

第十二条第三方人员应相对固定，且便于审计和事故追查。

四、账号安全管理
第十三条系统要求
（1）所有操作系统、应用系统、数据库、网络设备等均需要支持基于帐号的访问控制功能。

（2）所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。

（3）各系统应能保存有关安全内容的日志，该日志的保存期限应不小于30天。

（4）各系统应能自动拒绝创建不符合安全设置条件的帐号和口令。

如系统本身无法实现该功能，系统管理员必须加强人工安全管理，保证不存在不符合安全设置条件的帐号和口令。

第十四条帐号设立原则
（1）操作系统、应用系统、数据库、网络设备等系统均应通过帐号和口令实现登录验证。

（2）应用系统用户按个人创建单独的用户帐号，并赋予相应的权限，以避免共享帐号的产生。

帐号必须明确责任人，责任人必须细化到个人，不得以部门或组作为责任人。

第十五条帐号的使用原则
（1）任何帐号只限于申请帐号过程中所声明的使用人使用，禁止其他人使用此帐号。

（2）系统正式投入使用前，必须更改原来系统中的缺省帐号的所有口令，以保证正式环境的安全。

（3）帐号使用人在使用的过程中，不得使用帐号访问与自己工作无关的资源。

（4）系统管理员应定期对系统中的帐户进行审计，对不符合要求的帐号进行整改。

第十六条特权帐户的管理原则
（1）主机操作系统、网络设备和数据库的超级管理员帐号，由相应系统维护人员统一进行管理、设置和分配。

（2）超级管理员帐号必须报由X发展研究院主任批准，对使用系统超级管理员帐号的用户进行授权审批，必须有正式的书面授权流程，审批流程详见《授权审批与控制制度》中的规定。

（3）申请操作系统超级管理员帐号由网络信息中心存档，并将成功申请的操作系统超级管理员用户帐号信息进行相关记录。

（4）信息管理部领导每月对具有系统超级管理员帐号的用户清单进行复核并签字确认，对多余或不恰当的账号进行调整。

（5）所有系统帐号的修改必须填写《变更申请表》。

（6）超级权限应基于“使用需要”，逐个事件进行授权，即以完成其工作职责的最低要求为依据，超级权限在完成特定任务后应被立即收回。

（7）应紧急情况需要，立即授予的超级权限，须在事后补充进行授权流程。

第十七条操作系统普通用户帐号的管理原则
（1）操作系统普通用户帐号由具体使用人员向系统管理员申请，系统管理员对普通帐号统一进行管理、设置和分配。

（2）信息管理部业务系统领导对普通用户帐号创建、变更或撤销申请的审批，必须有正式的书面审批流程。

（3）申请操作系统普通用户帐号创建、变更或撤销文档记录由信息管理部系统管理人员存档，并将变更的操作系统普通用户帐号信息进行记录存档。

（4）信息管理部领导每季度对系统普通用户帐号清单进行复核并签字确认，对多余或不恰当的账号进行调整。

（5）所有系统普通帐号的修改必须填写《变更申请表》。

（6）操作系统普通用户帐号权限应基于“使用需要”，逐个事件进行授权，即以完成其工作职责的最低要求为依据，临时帐号应在完成特定任务后由系统管理员立即收回。

（7）系统管理员需通过安全途径将帐号初始口令告知用户，用户收到初始口令后，应在初次登陆系统时修改初始口令。

（8）操作系统普通用户帐号的撤销需信息管理部业务领导以书面方式发出帐号撤销通知，由系统管理员根据通知书撤销用户帐号。

第十八条应用系统账号申请流程
（1）员工正是入职；
（2）员工填写账户申请单；
（3）部门领导审批；
（4）信息技术推广部审批并处理；
（5）信息技术推广部提供账户给员工；
（6）员工第一次登录并修改初始密码。

第十九条应用系统账号变更流程
（1）员工填写系统账号变更单；
（2）业务部门主管审批；
（3）信息技术推广部审批；
（4）信息技术推广部修改用户属性；
（5）员工确认修改正确；
（6）完成账户修改流程。

第二十条应用系统账号注销流程
（1）员工提出离职申请；
（2）部门领导批准离职；
（3）员工清理自己的资源；
（4）员工办理离职手续；
（5）信息技术推广部删除账号；
（6）完成账户注销流程。

五、密码安全管理
第二十一条主机操作系统、网络设备及应用系统密码管理要求：
（1）密码应由不少于8位的大小写字母、数字以及特殊符号等字符组成，帐号和密码必须是在必要时间或次数内不循环使用。

（2）密码应在90天内至少更换一次，对重要设备和系统可采用一次性密码方式进行认证。

（3）密码设置不得使用最近5次以内重复的密码，错误密码重复尝试5次以后应暂停该帐号登录。

（4）系统维护人员需通过安全途径将应用系统普通用户帐号的初始密码告知用户，用户收到初始密码后，应在初次登陆系统时修改初始密码。

（5）各级密码保管落实到人，密码拥有人须妥善保存，各级密码不得以任何形式明文存放于可公共访问的设备中。

（6）采取有效措施，保证用户口令在传输和存储时的安全，例如对口
令进行加密传输和保存。

（7）帐号使用人应遵守口令政策和规则，在设置口令时禁止使用弱口令（如不能包含连续的相同字符，也不得基于个人信息，如姓名、电话号码以及出生日期等）。

第二十二条发生以下情况时，必须立即实行密码变更并做好记录。

（1）掌握密码的系统或网络管理员离开岗位；
（2）信息系统工程施工或厂商维护应用系统工作完成；
（3）因工作需要，由相关厂家或第三方公司使用了登陆帐号和密码后；
（4）一旦有迹象表明密码可能被泄露。

第二十三条当发生以下情况时，系统或网络管理员应立即取消帐号或更改密码，并做好记录：
（1）帐号使用者已经离开了本单位；
（2）帐号使用者由于工作的变动不再需要访问权限；
（3）帐号使用者违背了有关帐号和密码安全管理规定；
（4）发生其他情况，由上级领导认为不应再具有访问权限的。

第二十四条系统管理员修改帐号口令时，应提前（或同时）通知帐号使用人，以免影响其正常使用。

第二十五条所有系统用户密码的修改必须进行相关的文档记录。

第二十六条系统的超级管理员帐号的口令属于系统最高机密，应该严格限定使用范围；其他人员确因工作需要而使用超级管理员帐号和口令的，应遵守有关超级管理员帐号的管理规定。

第二十七条对于办公区桌面终端登录业务应用系统时，当密码输入错误超过5次后应用系统将会锁定账号。

目的是阻止暴力猜解密码的行为。

若发现有账号被锁定的状况发生，请及时联系X发展研究院信息技术推广部技术支持人员并提交《变更申请单》，同时需要解释锁定原因。

六、密码分级定义
第二十八条X发展研究院信息技术推广部将所管理的信息系统内所使
用的密码根据自己的实际情况，将设定三个等级的密码。

关于这三个等级的密码定义如下：
第一等级：用于保密程度要求最高的地方。

文档上应写成：信息技术推广部一级密码。

由信息安全管理负责人设定并提交信息技术推广部主任审批，且只有该二人掌握。

第二等级：用于信息安全管理小组中一般重要的地方，小组成员都拥有该密码。

文档上应写成：小组默认密码（一）或（二），根据需要每个小组可以有二个默认密码。

由小组设定并通知小组其他成员，同时提交信息技术推广部主任。

第三等级：用于普通的需要有密码的地方，信息技术推广部所有成员都可以拥有。

文档上应写成：信息技术推广部默认密码（一）或（二），根据需要信息技术推广部可以设定二个。

由系统管理小组负责人设定并通知信息技术推广部所有成员，同时提交信息技术推广部主任。

第二十九条信息技术推广部一级密码将以书面形式封存在信封内，并存放在信息技术推广部的保险箱内，由信息技术推广部主任负责保管。

七、密码安全策略
第三十条关于操作系统密码设置应该遵循以下策略
（1）启用操作系统本身自带的口令安全策略，强制定期更改，强制要求最短口令和口令复杂度，确保用户口令在系统中能够可靠地被保存，确保能够定期检查口令的安全策略。

（2）Windows 系统最少口令长度为8个字符，UNIX系统最少为8个字符。

如果可能的话，Windows 系统特权帐号口令应为14个字符，UNIX 系统应为8 个或8个以上字符。

（3）口令设置复杂度必须满足以下要求：
至少1个字符必须为符号；
✧至少1个字符必须为数字；
✧口令应区分大小写(至少1个字符为大写，至少1个为小写)。

（4）口令设置必须满足以下不易被猜测的特点：
✧口令中禁止包含人名或登陆标识符；
✧不应使用常见的词语或字典词语；
✧好的口令应是由短语转换而来的。

（5）严禁重新使用旧口令。

所有系统都必须配置为禁止重新使用旧口令。

（6）在为新用户帐号初次创建口令时，必须强迫用户在第一次登陆时更改口令。

（7）不要与其他人共用一个口令，所有口令都应该被当作我院的机密信息对待。

（8）不允许设定口令恢复功能。

如果用户忘记了口令，授权的管理员必须根据文中的规定为最终用户重置口令。

第三十一条口令保存与发布
（1）所有网络级设备、系统级设备和安全级设备的口令必须是由指定部门来制定和管理。

其余部门负责制定本部门所属设备口令以及保管。

（2）口令不得在电子邮件或其他通讯交流中出现，若需通过电子邮件，必须对传输的口令文件加密，且加密文件口令不得通过本电子邮件传送。

（3）必须通过安全的方式进行口令的移交或发布，在进行口令移交或发布之前，必须对接收者的身份进行确认。

（4）不要将口令写下来，并将其放在办公室里，不要在任何计算机系统（包括掌上电脑或类似设备）中存储含有未经过加密的口令文件。

（5）以下与口令有关的活动被认为是不可接受的：
✧在其他人面前谈论口令；
✧暗示口令内容；
✧在调查表或安全表格中透露口令；
✧向家庭成员透露口令；
✧使用自动记忆口令的功能；
✧监控任何网络中的口令；
✧非授权尝试访问存储的口令；
✧收集其他人的口令；
✧暴力猜测口令。

第三十二条口令更改
（1）必须在90天后终止不使用的帐号；
（2）必须每90天更改一次口令。

如果给定的口令已超过90天，则必须锁定帐号；
（3）建议可以访问系统帐号的人员每30天更改一次他们的用户口令；
（4）在口令过期前2周提醒用户；
（5）如果必须给予外部方(如厂商支持工程师)系统帐号口令的话，则在外部方完成工作时必须更改口令。

八、附则
第三十三条本管理规范的解释和修改权属于X发展研究院信息技术推广部。

第三十四条X发展研究院信息技术推广部安全委员会每年统一检查和评估本管理规范，并做出适当更新。

在业务环境和安全需求发生重大变化时，本院信息技术推广部安全委员会也将对本规范进行检查和更新。

第三十五条本管理规范自发布之日起开始实施。