05-用户帐号和密码安全管理规范解析
帐号与密码管理规范
修改状态
日期
修改原因及内容摘要
修改人
修改页码
备注
1
2022.06.01
初版
制定:Байду номын сангаас审核 : 批准:
1.目的:为确保本公司各项信息系统及网络设备等账号与通行密码管理符合信息系统安全的要求,以避免未经授权的存取。
2.适用范围
本公司各项应用系统、网络设备等。
3.权责
3.1.使用者
3.1.1.依密码设定与管理原则,妥答保护个人账号密码。
5.3.4.IT部门人员应依人事变动情况,立即检视用户权力的设定(含离职与部门异动)并与相关人员对接,再次检核以确保权限的正确性。
5.3.5.对于离职人员(含留职停薪人员),人事单应通知相关单位人员离职人员情形,管理员收到通知后,应立即知会管理员进行注销,停用账号。
5.4.密钥管理:
5.4.1.本公司涉及营运冲击的信息服务系统,如采用凭证密钥的加密技术者,应对密钥采取适当的保护措施。
5.1.2.除可能因系统限制需求.特殊业务需求核可外,禁止用户共享账号及通行
5.1.3.公司每套信息设备用户都需利用公司电子表单系统申请所需权限.并拥有个人账号密码,个人账号皆为唯一性,一经生效将由个人管理,不得将自己的账号及通行密码供他人使用,亦不得以他人的账号及通行密码登入系统。
5.1.4.用户离职,应由系统管理者立即注销、停用账号密码,若因特殊需求需保留账号密码应立即更换其原有密码。
5.2.5.用户应避免将个人员工卡放至于桌面上,如要离开座位时请务必带走。
5.2.6.如发现密码有泄密迹象或黑客破解密码,应立刻报告上级领导,并产查泄密源头修补系统漏洞,采取一切可行的方式规避公司损失并详细情况以书面形式及时上报
TiDB数据库05---TiDB的用户管理与安全,文件与日志管理
TiDB数据库05---TiDB的⽤户管理与安全,⽂件与⽇志管理1.TiDB的⽤户管理与安全
数据库⽤户的连接过程:
1.1 本地连接
客户端和服务器在同⼀台机器上
1.2 远程连接
1.3 查看⽤户信息
1.4 创建⽤户
⽣产中建议使⽤第⼀种⽅式,安全性较⾼。
identified by后⾯是密码。
%代表模糊匹配,匹配所有⽹段。
⽣产中不建议使⽤。
1.5 ⾓⾊
⾓⾊的创建:
如果主机名被忽略,则默认是‘%’
⾓⾊是不能登录数据库的,⾓⾊是被锁住的。
1.6 管理⽤户
1.7 ⾓⾊的管理
1.8 设置⽤户密码
1.9 忘记root密码解决⽅案
1.10 随堂练习
(1)
答案:D
解析:<1>⾓⾊不能登录数据库。
<2>创建⾓⾊时,如果不指定主机名,默认是%(任何主机)。
<3>创建⽤户时,如果主机名是%,则表⽰所有的客户端都⽣效。
2. TiDB⽂件与⽇志管理
配置⽂件、⽇志⽂件、程序⽂件(⼆进制⽂件)是所有节点都有的。
数据⽂件在TiDB Server上是没有的。
数据⽂件只在TiKV和PD节点上有。
2.1 查看⽂件位置
tidb-deploy⾥⾯存放的是⼆进制⽂件、log⽂件、配置⽂件
tidb-data⾥⾯存放的是元数据。
2.2 TiDB节点的⽂件
TiDB Server上是没有数据的,monitor是监控。
2.3 TiKV节点
2.4 PD节点
2.5 随堂练习
(1)
答案:C。
用户名密码安全管理制度
第一章总则第一条为加强我单位用户名密码的安全管理,确保信息系统安全稳定运行,保障单位信息安全,特制定本制度。
第二条本制度适用于我单位所有使用用户名密码登录的信息系统、应用软件、设备等。
第三条用户名密码安全管理遵循以下原则:1. 保密性:用户名密码应严格保密,不得泄露给他人。
2. 有效性:用户名密码应具有足够的安全性,防止非法访问。
3. 可控性:用户名密码的修改、恢复等操作应方便可控。
4. 合规性:用户名密码管理应符合国家相关法律法规和行业标准。
第二章用户名密码设置与修改第四条用户名密码设置要求:1. 用户名应使用字母、数字、下划线等字符组合,长度不少于8位。
2. 密码应使用字母、数字、特殊符号等字符组合,长度不少于12位。
3. 密码不得与用户名、姓名、生日等个人信息相关。
4. 禁止使用常见的密码,如123456、password等。
第五条用户名密码修改要求:1. 用户名修改:用户需向系统管理员提交申请,经审核通过后方可修改。
2. 密码修改:用户可自行修改密码,修改后需重新登录。
3. 系统管理员定期提醒用户修改密码,确保密码安全。
第三章用户名密码管理与监督第六条用户名密码管理:1. 用户名密码由系统自动生成,用户需在首次登录时修改。
2. 系统管理员定期对用户名密码进行审核,确保密码符合安全要求。
3. 系统管理员对用户名密码泄露事件进行调查和处理。
第七条用户名密码监督:1. 单位成立信息安全领导小组,负责用户名密码安全管理工作。
2. 信息安全领导小组定期对用户名密码安全管理工作进行检查和评估。
3. 单位对违反用户名密码安全管理制度的行为进行严肃处理。
第四章用户名密码泄露与应急处理第八条用户名密码泄露:1. 用户发现用户名密码泄露,应立即向系统管理员报告。
2. 系统管理员核实情况后,采取以下措施:(1)立即更改用户密码;(2)对泄露事件进行调查;(3)采取措施防止泄露事件再次发生。
第九条应急处理:1. 发现用户名密码泄露事件,立即启动应急预案。
用户帐号和口令管理条例
用户帐号和口令管理条例1.概述第1条随着DXC IP网络建设的发展,内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口令管理保持在一个一致的水平上,特制定本标准。
本标准规定了账号和口令管理的相关职责定义、管理流程。
第2条本条例为DXC各网络系统的用户帐号及口令的使用、维护及处罚的依据。
2.适用范围第3条本规定适用DXC范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库,计费、营业和客服等业务应用系统等。
第4条本规定适用DXC范围内的各系统的用户,包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统使用人员、个人计算机使用者、合作软件开发商、系统集成商等。
同样适用于DXC公司范围内所有使用个人计算机及网络的员工。
第5条本部分是符合《DXC信息安全方针》相关规定制定。
主要适用原则为责权一致原则。
3.术语解释第6条授权用户:●DXC内部人员:指与DXC签定“员工聘用协议书”,属于DXC的正式员工。
●使用DXC网络资源的非DXC人员:指临时到DXC工作不与DXC签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、DXC外包业务人员等,这类人员不是正式员工,不进入DXC的人力资源管理系统。
第7条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
●管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员。
●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户。
●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
●匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问。
密码安全与管理规定
密码安全与管理规定密码是我们日常生活和工作中重要的信息安全保护手段之一。
为了确保个人和机构的信息安全,制定密码安全与管理规定是必要的。
本文将介绍密码安全的重要性,以及在个人和机构层面上采取的管理策略。
1. 密码的重要性密码在今天的数字时代扮演着重要的角色。
它们用于保护个人账户、电子邮件、社交媒体账号、电子银行和企业系统等各种信息。
密码的安全性直接影响着我们的隐私和财物安全。
一个弱密码容易被猜测、破解或被黑客入侵,从而导致个人和机构的重大损失。
2. 密码安全的准则为了确保密码安全,制定以下密码安全的准则是非常重要的:2.1 复杂性:密码应包含字母、数字和特殊字符,并且长度不少于8位。
避免使用常见密码,如"123456"或"password"等。
2.2 定期更换密码:密码应定期更换,以减少密码被攻击或破解的风险。
建议将密码更换周期设置为每3个月一次。
2.3 不共享密码:密码不应与他人共享,包括家庭成员和同事。
每个人都应该拥有自己独立的密码。
2.4 多因素身份验证:启用多因素身份验证可以进一步增强密码安全性。
当你登录时,除了输入密码外,还需要通过其他身份验证方式,如指纹识别或短信验证码等。
2.5 安全存储:密码应安全地储存,避免将其直接保存在文档或电子表格中。
可以使用密码管理器等安全工具来存储和保护密码。
3. 个人密码管理对于个人用户,以下措施可以帮助提高密码安全性:3.1 创造独特密码:每个在线账户都应有独特的、不易猜测的密码。
使用不同的密码可以最大程度降低被黑客盗取或入侵的风险。
3.2 密码长短结合:密码长度和复杂性是提高密码安全性的关键。
使用长且复杂的密码可以增加破解密码的难度。
3.3 密码管理器:密码管理器是一种有用的工具,它可以帮助存储、生成和自动填充密码。
这种工具使用主密码进行加密,确保密码的安全性。
4. 机构密码管理对于机构来说,密码安全管理至关重要。
05-用户帐号和密码安全管理规范
用户账号和密码安全管理规范V 1.0目录概述 (3)适用范围 (4)用户帐号的分类 (5)用户帐号的创建 (6)用户帐号创建流程 (6)用户帐号创建的安全事宜 (6)密码设置标准和最小强度规定 (8)密码设置标准 (8)密码最小强度规定 (8)用户帐号和密码的保护 (10)用户帐号和密码的管理 (12)用户密码的变更 (12)用户帐号的禁止 (12)用户帐号的删除 (12)用户帐号和密码管理制度的实施 (14)实施工作流程 (14)更新维护要求 (14)奖励和处罚 (15)参考文献 (16)概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。
几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。
因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。
本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。
本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述:⏹用户帐号的分类根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。
⏹用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。
密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。
⏹用户帐号和密码保护规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。
⏹用户帐号和密码的管理规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。
⏹用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。
适用范围本管理制度适用于**所有用户帐号和密码,以及能访问相关计算机信息的员工,包括管理、支持、维护用户帐号和密码的IT人员。
账号密码安全管理制度
第一章总则第一条为加强我单位账号密码安全管理,确保信息系统安全稳定运行,保护单位及用户信息安全,根据《中华人民共和国网络安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息系统、网络设备和相关应用软件的账号密码管理。
第三条账号密码安全管理应遵循以下原则:1. 隐私保护:保护用户个人信息安全,不得泄露用户账号密码;2. 安全可靠:确保账号密码的保密性、完整性和可用性;3. 便捷高效:简化用户登录流程,提高工作效率;4. 责任明确:明确各级管理人员和用户的账号密码安全责任。
第二章账号密码管理要求第四条账号密码应遵循以下要求:1. 密码长度不得少于8位,建议使用大小写字母、数字和特殊字符的组合;2. 密码不得包含用户名、姓名、生日、电话号码等个人信息;3. 账号密码不得使用常用词、常见密码或容易被猜测的密码;4. 定期更换密码,建议每3个月更换一次。
第五条账号密码管理措施:1. 账号密码不得以明文形式存储,应采用加密技术进行存储;2. 账号密码变更时,系统应记录变更日志,便于追踪和审计;3. 对高风险账号密码,应实施特殊管理措施,如强制复杂密码策略、强制密码修改周期等;4. 账号密码泄露或被盗用时,应及时采取措施,如重置密码、锁定账号等。
第三章账号密码使用规范第六条用户应遵守以下账号密码使用规范:1. 不得将账号密码泄露给他人;2. 不得使用他人账号密码登录系统;3. 不得将账号密码用于非法活动;4. 发现账号密码异常时,应及时报告相关部门。
第七条管理人员应遵守以下账号密码使用规范:1. 不得将账号密码泄露给他人;2. 不得将账号密码用于个人目的;3. 不得使用他人账号密码登录系统;4. 定期检查所管理账号的密码安全状况,确保密码符合要求。
第四章账号密码安全事件处理第八条账号密码安全事件包括但不限于以下情况:1. 账号密码泄露;2. 账号密码被盗用;3. 账号密码异常。
密码安全管理规程
密码安全管理规程一、概述密码是保护个人隐私和信息安全的重要手段,在现代社会的各个领域都得到广泛应用。
为了保障密码的安全性,有效防止密码泄露和被不法分子利用,特制定本密码安全管理规程。
二、密码的定义密码是指用于验证身份、保护数据安全的一组字符或代码。
密码可以是数字、字母、符号的组合,也可以是生物特征等。
三、密码的选择1. 密码应由个人自行选择,并确保满足安全性要求;2. 密码不得包含易于猜测的个人信息,如生日、电话号码等;3. 密码应包含大小写字母、数字和符号的组合;4. 密码长度应不少于8位。
四、密码的保管1. 个人密码应严格保密,不得向他人泄露;2. 不同账号应使用独立、不同的密码;3. 避免在纸质、电子设备中明文存储密码;4. 不要通过不安全的网络渠道传输密码。
五、密码的更新1. 个人密码应定期更新,推荐每3个月更换一次;2. 丢失或泄露密码时,应立即更换密码;3. 不要将旧密码与新密码相似或仅进行微小的更改;4. 不要重复使用过去的密码。
六、密码的使用1. 不得将密码告知他人,包括单位内部人员;2. 不要在公众场合或不安全的网络环境下使用密码;3. 在登录或操作完毕后,应主动退出账号或锁定屏幕;4. 不要使用与他人共享设备上的密码。
七、密码的保护1. 定期安装和更新安全防护软件,及时修补安全漏洞;2. 避免访问未知或不可信的网站,以防被钓鱼网站获取密码;3. 不要使用简单的安全问题和答案,以防被社工攻击;4. 注意检查电子设备的防护措施是否完善,防止密码被黑客窃取。
八、密码的强化措施1. 推荐使用双因素认证,提高账号的安全性;2. 可以通过密码管理工具来生成、保存和管理密码;3. 使用随机密码生成器,产生复杂且不容易被破解的密码;4. 加强对密码安全的教育和培训,提高员工的密码意识。
九、密码的紧急处理1. 一旦发现密码遭到破解或泄露,应立即进行紧急处理;2. 及时通知相关部门,封锁或冻结相关账号;3. 做好事故调查,找出破坏密码安全的原因,并采取措施防止再次发生。
网络账号密码安全管理办法
网络账号密码安全管理办法随着互联网的普及和发展,越来越多的个人信息和金融交易都以在线方式进行。
而账号密码作为我们的个人信息保护的第一道防线,其安全性显得尤为重要。
为了保护我们的个人隐私和资金安全,我们需要采取一些网络账号密码安全的管理办法。
1. 创建强密码强密码是账号安全的基础。
一个强密码应该包括至少8个字符,并包括大小写字母、数字和特殊符号的组合。
避免使用容易猜测的个人信息,如生日、电话号码等。
定期更改密码也是很重要的,建议每3-6个月更换一次。
2. 使用多因素验证多因素验证是一种提高账号安全性的好方法。
除了用户名和密码,还可以设置手机短信、邮箱验证码或指纹识别等方式进行验证。
这样即使密码被盗,黑客也无法轻易登录账号。
3. 谨慎选择公共网络在使用公共网络时,如咖啡厅的Wi-Fi,我们应该格外小心。
公共网络存在被黑客监听的风险,因此避免在此类网络上登录银行账号或其他重要账号。
4. 不随便点击链接收到来自未知来源的邮件或信息时,切勿随便点击其中的链接。
这些链接可能是钓鱼网站,旨在诱导您输入个人信息。
要确保链接的真实性,最好手动输入网站地址来登录。
5. 定期备份重要数据对于重要的个人数据和文件,定期备份是必不可少的。
这样即使账号被黑客入侵,你仍然可以恢复数据,避免遭受数据丢失的损失。
6. 使用安全的网络设备安全的网络设备可以提供更好的安全性。
为了保护家庭和办公网络,安装和更新防火墙、杀毒软件和反间谍软件是非常重要的。
及时更新操作系统和安全补丁也能够提高网络设备的安全性。
7. 警惕网络钓鱼和欺诈手段不少黑客通过网络钓鱼和欺诈手段获取用户的账号和密码。
因此,我们要提高警惕,不轻易相信来历不明的信息,避免上当受骗。
8. 定期审查账户活动定期检查账户活动是发现异常的好方法。
如果发现有未授权的登录或其他可疑活动,及时联系相关平台或机构,以确保账户安全。
网络账号密码的安全管理至关重要。
通过创建强密码、使用多因素验证、谨慎选择公共网络、不随便点击链接、定期备份重要数据、使用安全的网络设备、警惕网络钓鱼和欺诈手段以及定期审查账户活动,我们可以更好地保护个人信息和资金安全。
帐号安全管理制度
帐号安全管理制度第一章总则第一条为了加强帐号安全管理,保护用户个人信息,维护信息系统的安全和稳定运行,制定本制度。
第二条本制度适用范围:适用于所有使用帐号的人员和相关管理部门。
第三条用户帐号包括但不限于:电子邮箱帐号、社交媒体帐号、网站登录帐号等,管理部门包括但不限于:信息安全部门、IT部门等。
第四条用户应遵守本制度,严格遵守相关管理规定,保护用户帐号信息安全。
第五条管理部门应指导用户正确使用帐号,宣传帐号安全知识,提高用户对帐号安全的认识。
第六条用户应妥善保管个人帐号信息,不得向他人透露,并及时更改登录密码,保障帐号的安全。
第七条管理部门应建立健全帐号安全管理制度,加强对帐号安全的监控和管理。
第八条用户应定期对帐号进行安全设置检查,及时查发现异常情况。
第九条用户应加强对帐号信息的保密管理,避免泄露个人帐号信息。
第十条用户应及时申请修改或停用帐号,确保帐号使用安全。
第二章帐号管理第十一条用户帐号应经过合法注册,并提交真实有效的个人信息。
第十二条用户帐号的注册信息应在注册平台上进行实名注册,不得使用非法身份信息注册帐号。
第十三条用户应按照注册平台的要求进行帐号合规注册,不得冒用他人或机构的帐号进行注册。
第十四条用户应选择强密码进行帐号登录,不得使用弱密码进行登录。
第十五条用户应在注册后及时绑定实名认证信息,确保帐号信息真实可靠。
第十六条用户应经常更改登录密码,确保帐号安全性。
第十七条用户应使用帐号时注意安全,不得在公共场所或不可靠网络环境下使用帐号。
第十八条用户应妥善保管帐号信息,不得向他人透露个人帐号信息。
第十九条用户应及时发现和处理帐号信息异常情况,如发现帐号泄漏或遭受攻击,应立即向管理部门报告。
第二十条用户应定期对帐号进行安全设置检查,确保帐号使用安全。
第三章管理部门管理第二十一条管理部门应建立健全帐号管理制度,规范帐号的注册和使用流程。
第二十二条管理部门应进行对用户帐号的统一管理,确保帐号信息的真实和安全。
帐号、口令及权限管理规定
帐号、口令及权限管理规定第一章总则第一条为规范用户账号和口令管理,建立健全账号和口令安全防范和安全保障机制,确保信息系统的安全有效运行,制订本规定。
第二条本管理规范适用于单位机房硬件平台、应用系统的账号的建立、以及权限的审批、账号和权限的评审、权限撤销和账号移除等。
第二章定义第三条用户账号是计算机信息系统通过一定的身份验证机制识别各类操作人员在系统中身份的一种标识。
第四条特权账号是指对系统/网络/数据库等拥有超级权限的人员账号,包含但不限于系统管理员、网络管理员、数据库服务器管理员及数据库管理员等。
第五条权限是指系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束用户能操作的系统功能和内容访问范围,是指某个特定的用户具有特定的系统资源使用的权力。
第三章账号权限申请第六条所有用户账号的开通应通过正式的账号申请审批过程,账号使用者提出并填写《办公网数字身份证书申请表》,根据《访问控制安全管理规范》中的访问控制方针进行审批。
第七条在对系统账号进行申请的过程中,应做到系统账号与责任人一一对应,确保每个账号都有人负责。
第八条系统运行维护管理人员在开通账号前,应依据《办公网数字身份证书申请表》内容检查申请人是否在该系统中拥有其它账号,若没有,方可为用户创建账号并分配相应的权限。
原则上每个用户只能拥有唯一的账号,不得重复申请账号。
第九条系统运行维护管理员应当保存用户账号分配申请记录。
第四章账号使用规则第十条用户在获得账号后,应当立即修改账号默认口令。
第十一条用户账号口令的选择和使用应当与口令保护策略相符合。
第十二条用户账号是用户的唯一标识,只能由本人使用,不得交由他人使用。
第十三条不得多人共用一个账号(特殊系统账号除外)。
第十四条服务器本地管理员账号由系统管理员保管,禁用匿名账号(Guest 账号)。
第五章账号权限变更第十五条在应用系统账号使用过程中,如果账号权限发生变化,应进行重新申请并填写《办公网数字身份证书撤销/停用、恢复、更新申请表》。
网络登录账号和密码保护规定
网络登录账号和密码保护规定在当今信息化社会中,互联网已经成为人们生活中不可或缺的一部分。
我们使用网络的方方面面都需要账号和密码来确保个人信息的安全。
然而,随着网络犯罪日益猖獗,保护账号和密码的安全性变得尤为重要。
为了加强网络安全,保护个人信息,各个平台和政府机构纷纷出台了网络登录账号和密码保护规定。
本文将从不同角度阐述这些规定的必要性和实施效果。
一、密码的复杂性和保密性要求提高为了更好地保护用户账号的安全,平台要求用户设置复杂性较高的密码。
首先,密码应由字母、数字和特殊符号组成,以增加破解的难度。
其次,密码长度应达到一定要求,通常要求大于8位数。
这样,即使黑客获取了一部分密码信息,也很难猜测出完整的密码。
此外,用户还需要定期更换密码,以防止长期使用相同的密码导致的安全风险。
同时,保密性也是密码保护的重要方面。
用户在注册账号时,需要妥善保存个人信息,不得向他人透露。
此外,还需警惕钓鱼网站和欺诈行为,避免被骗取账号和密码。
因此,用户在登录账号时,应注意确认网址的正确性,避免输入账号和密码到假冒网站上。
二、多因素认证的实施为了进一步提高账号的安全性,多因素认证成为了一种常见的密码保护措施。
多因素认证指的是在已有的用户名和密码验证的基础上,增加其他的验证方式。
常见的多因素认证方式有手机验证码、指纹识别、人脸识别等。
用户在登录账号时,需要输入额外的验证信息,以确保账号的真实性和安全性。
这种方式有效地降低了黑客猜测密码的成功率,提升了账号的安全性。
三、登录异常情况的提醒和处理平台和政府机构为了进一步保护用户账号的安全,还增加了登录异常情况的提醒和处理机制。
当用户登录地点、设备或时间与以往有较大差异时,系统会自动发出异常提醒,并要求用户进行二次验证。
这种机制能够及时发现异常登录行为,并防止黑客盗取账号信息。
此外,一旦用户发现账号被盗,应及时向平台或相关部门报告,以便尽快采取相应的应对措施,减少损失。
四、平台的安全责任和用户的权益为了保障用户的账号和密码安全,平台承担着相应的安全责任。
账户密码及权限分配准则
账户密码及权限分配准则
1. 账户密码安全
为确保账户和密码的安全性,以下准则适用于所有用户:
- 每位用户必须保持账户密码的机密性,并不得与他人共享账户密码。
- 用户应定期更改账户密码,以防止未授权的访问。
- 账户密码应包含足够的复杂性,包括字母、数字和特殊字符的组合。
- 用户应避免使用常见密码,如出生日期、重复的字符或连续的数字等。
- 在使用公共计算机或设备时,用户必须确保在使用完毕后彻底登出账户,以防止他人恶意访问。
2. 权限分配原则
账户权限的分配应基于以下原则:
- 账户权限应根据用户的职责和工作需要进行分配,以确保合理和必要的访问权限。
- 具有权限分配能力的管理员应遵守最小权限原则,只分配用
户所需的最低权限级别。
- 需要临时提升权限的情况下,应采取临时授权的方式,并在
完成任务后即时撤销相关权限。
- 定期审查账户权限,删除不再需要的权限,并确保权限的分
配始终与用户的职责和工作需要保持一致。
3. 密码管理措施
为加强账户密码的管理和保护,以下措施是必要的:
- 强制要求用户定期更改密码,并禁止使用过去使用过的密码。
- 引入多因素身份验证,如指纹识别或短信验证码,以增加账
户的安全性。
- 实施账户锁定功能,在连续多次输入错误密码后,暂时锁定
账户以防止暴力破解。
- 定期对账户密码进行安全性评估和强度测试,确保密码的复
杂性和安全性。
以上准则和原则适用于所有账户和权限的管理,以保障系统安
全和用户数据的保护。
05-用户帐号和密码安全管理规范
05-用户帐号和密码安全管理规范用户账号和密码安全管理规范V 1.0目录概述 (3)适用范围 (4)用户帐号的分类 (5)用户帐号的创建 (6)用户帐号创建流程 (6)用户帐号创建的安全事宜 (6)密码设置标准和最小强度规定 (8)密码设置标准 (8)密码最小强度规定 (8)用户帐号和密码的保护 (10)用户帐号和密码的管理 (12)用户密码的变更 (12)用户帐号的禁止 (12)用户帐号的删除 (12)用户帐号和密码管理制度的实施 (14)实施工作流程 (14)更新维护要求 (14)奖励和处罚 (15)参考文献 (16)概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。
几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。
因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。
本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。
本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述:用户帐号的分类根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。
用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。
密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。
用户帐号和密码保护规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。
用户帐号和密码的管理规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。
用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。
适用范围本管理制度适用于**所有用户帐号和密码,以及能访问相关计算机信息的员工,包括管理、支持、维护用户帐号和密码的IT人员。
用户名密码安全管理制度
第一章总则第一条为加强本单位用户名密码安全管理,保障信息系统安全稳定运行,维护国家秘密和企业商业秘密,特制定本制度。
第二条本制度适用于本单位所有信息系统、网络设备、应用软件等涉及用户名密码管理的环节。
第三条用户名密码安全管理应遵循以下原则:1. 依法合规:严格执行国家有关法律法规和行业标准,确保用户名密码安全管理制度合法有效。
2. 保密性:用户名密码是用户身份的标识,应严格保密,不得泄露。
3. 实用性:用户名密码安全管理制度应简洁明了,便于操作,提高用户安全意识。
4. 可靠性:用户名密码安全管理制度应具有可操作性,确保信息系统安全稳定运行。
第二章用户名密码管理第四条用户名密码的设置与变更1. 用户名密码应遵循以下要求:(1)用户名应简洁、易记,且具有一定的辨识度;(2)密码应采用数字、字母、符号组合,长度不低于8位;(3)密码应定期更换,建议每3个月更换一次。
2. 用户首次登录信息系统时,需按照系统提示设置用户名和密码。
3. 用户名和密码的变更:(1)用户可登录信息系统自行修改用户名和密码;(2)因特殊原因需修改用户名和密码的,应向信息系统管理员提出申请,经批准后由管理员协助修改。
第五条用户名密码的保管1. 用户应妥善保管用户名和密码,不得将用户名和密码泄露给他人。
2. 用户不应将用户名和密码记录在纸上或电子设备中,以免泄露。
3. 用户不应将用户名和密码用于其他非信息系统。
第六条用户名密码的查询与解锁1. 用户忘记用户名或密码时,可联系信息系统管理员协助查询或解锁。
2. 信息系统管理员在协助用户查询或解锁用户名和密码时,应严格保密,不得泄露给他人。
3. 用户名和密码解锁后,用户应及时修改密码,并确保密码的安全性。
第三章监督与检查第七条信息系统管理员负责对本单位用户名密码安全管理制度执行情况进行监督与检查。
第八条信息系统管理员应定期对用户名密码安全管理制度执行情况进行自查,发现问题及时整改。
第九条对违反用户名密码安全管理制度的行为,应根据情节轻重给予警告、罚款、停职等处分。
客户端开发:如何进行用户密码安全管理(五)
客户端开发:如何进行用户密码安全管理随着移动互联网的快速发展,客户端应用程序已成为人们生活中不可或缺的一部分。
无论是社交媒体、电子商务还是各类在线服务,用户信息的安全性都是其开发者必须高度关注和重视的一个方面。
而用户密码的安全管理则是客户端开发中最为关键和常见的问题之一。
本文旨在探讨如何进行用户密码安全管理,并提供一些安全管理的实用建议。
1. 密码强度一个安全的密码应当具备一定的复杂性,包括字母、数字和特殊字符的组合。
密码的长度也应当足够长,一般不少于8位。
开发者可以通过设置密码策略来要求用户使用符合规范的密码。
此外,密码的加密过程也非常重要,建议使用种子加密算法(如bcrypt、PBKDF2等)来保护用户密码,以降低密码被破解的风险。
2. 用户密码的传输安全在客户端开发中,用户密码的传输安全是至关重要的,特别是在一些需要用户登录的应用中。
开发者应当使用安全的传输协议(如HTTPS)来保护用户密码在传输过程中的安全性。
同时,还可以采用安全的数据传输验证机制,如使用公钥加密算法来保证数据的完整性和真实性。
3. 密码存储在客户端应用中,用户密码的存储方式是一个非常重要的考虑因素。
绝对不应将用户密码以明文形式存储在客户端应用或数据库中。
相反,应当使用密码散列函数对用户密码进行哈希处理,以保护用户密码的安全性。
此外,为防止密码被彩虹表等攻击手段破解,建议在密码哈希过程中加入一个随机的盐值。
4. 双因素认证双因素认证是一种更为安全的登录方式,其通过使用除密码之外的其他因素(如短信验证码、指纹识别等)来确认用户身份。
在客户端开发中,开发者可以引入双因素认证机制来增加用户账户的安全性。
例如,通过短信验证码或邮件验证码来验证用户的身份,以增加密码被盗用的风险。
5. 安全策略与防护措施除了上述提到的一些基本的密码安全管理措施外,开发者还可以采取其他安全策略和防护措施来提升用户密码的安全性。
例如,限制密码尝试次数,设置账户锁定机制,在用户连续输错密码一定次数后锁定账户,以防止暴力破解。
校园网络安全管理制度中的用户行为规范
校园网络安全管理制度中的用户行为规范随着互联网的普及和信息技术的发展,校园网络已成为学校教学、科研和管理的重要工具。
然而,随之而来的网络安全问题也日益突出,为了保障校园网络的安全稳定运行,制定和执行一套科学合理的用户行为规范势在必行。
一、账号及密码管理1.1 每位用户只能拥有一个校园网络账号,并保证账号的安全性。
1.2 用户应自行保管好账号和密码,不得将账号和密码泄露给他人,不得与他人共享账号使用。
1.3 密码设置应具备一定的复杂程度,包括使用英文大小写字母、数字和特殊字符的组合,避免使用与个人信息相关的密码。
二、网络资源使用规范2.1 用户在使用校园网络资源时,应遵守相关的法律法规,不得进行非法活动,包括但不限于传播淫秽、暴力、违禁物品等信息。
2.2 用户不得以任何方式侵犯他人的合法权益,包括侵犯知识产权、隐私等。
2.3 用户不得利用校园网络资源从事商业活动,不得发布广告或销售信息。
2.4 用户不得以任何方式干扰、破坏校园网络的正常运行,包括但不限于传播病毒、拒绝服务攻击等行为。
2.5 用户不得恶意扩散谣言、造谣中伤他人,不得散布不实信息。
三、网络行为规范3.1 用户应文明使用网络,不得发布辱骂、诽谤等不文明言论。
3.2 用户在进行网络交流时,应尊重他人的意见和权益,不得进行人身攻击、恶意抹黑等行为。
3.3 用户在论坛、博客等平台的发言应遵守相关规定,不得发布违法信息、谣言等。
四、网络安全意识培养4.1 学校应定期开展网络安全教育活动,提高用户对网络安全的认知和防范能力。
4.2 学校应建立健全网络安全管理机制,及时处理用户的网络安全问题,并提供技术支持和保障。
4.3 用户应加强对网络安全的学习和培养自己的网络安全意识,提高对网络风险的警惕性。
五、违规处理和责任追究5.1 对于违反用户行为规范的用户,学校有权依照相关规定进行违规处理,包括但不限于警告、封号、拒绝网络接入等措施。
5.2 对于涉嫌违法犯罪的网络行为,学校将配合有关部门进行调查,并依法追究相关责任。
账号权限及密码管理制度
账号权限及密码管理制度一、账号权限管理1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。
2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小化原则。
角色分配应与岗位需求吻合,避免功能扩大。
同一账户被赋角色不得存在功能互相矛盾、嵌套情况。
严格控制隐私信息查询、浏览、导出权限。
3.限制超级账号的使用,并做好相应的使用审计工作。
4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用或注销无用账号。
二、密码产品1.使用符合国家密码管理规定的密码技术和产品。
2.密码算法和密钥的使用符合国家密码管理规定。
三、密码的设置1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场设定。
2.服务器的密码须安全管理员在场时要由系统管理员记录封存。
3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。
4.密码要定期更换:一般重要设备密码更换周期不得多于180天;四、密码和口令的保存1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。
2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备案记录交于网络管理中心负责人封存。
3.密码更换后系统管理员需将新密码或口令记录登记封存。
4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查泄密源头修补系统漏洞,将详细情况以书面形式上报上一级领导。
本着“谁使用,谁负责”的原则,信息系统使用人员不得转让或泄露信息系统操作账号和密码,坚决杜绝网络直报系统用户和密码共享(如上传至互联网或随意张贴),避免多人使用一个账号。
密码管理规范
密码管理规范在当今数字化时代,密码的重要性不言而喻。
无论是个人账户还是企业系统,一个强大的密码管理规范是确保数据安全和保护隐私的基础。
本文将介绍一些密码管理规范的最佳实践,帮助您保护个人和机构的敏感信息。
1. 密码的复杂性为了确保密码的安全性,密码应具备一定的复杂性。
密码至少应包含8个字符,并包含大写字母、小写字母、数字和特殊字符。
避免使用与个人信息相关的词汇或常见密码,例如生日、姓名等。
使用密码生成器可以帮助您生成随机且强大的密码。
2. 唯一性与定期更改使用相同的密码登录多个账户存在风险。
一旦其中一个账户受到入侵,其他账户也可能受到威胁。
因此,您应该为每个账户使用唯一的密码。
另外,定期更改密码也是一种良好的安全实践,建议每3到6个月更换一次密码。
3. 多因素身份验证除了密码,多因素身份验证(MFA)是一种高效的保护账户安全的方法。
MFA结合了两个或多个不同的身份验证因素,例如密码、指纹、短信验证码等。
当您启用MFA时,即使密码被泄露,仍然需要其他因素的验证才能访问账户。
4. 密码存储与管理为了避免忘记密码,许多人倾向于将密码存储在电子设备或云存储中。
然而,这种做法存在风险,一旦设备被盗或者云存储账户被入侵,密码可能被泄露。
相比之下,使用密码管理工具是更安全的选择。
密码管理工具可以加密和存储密码,并为您自动填写登录信息。
5. 避免共享密码避免共享密码是一个非常重要的安全措施。
即使是最亲密的朋友或家人,也不应该共享您的密码。
共享密码会增加密码被泄露的风险,因为您无法控制其他人对密码的使用环境和保密情况。
6. 警惕钓鱼网站和恶意软件钓鱼网站和恶意软件是窃取密码的常见方式。
当您收到可疑的电子邮件或链接时,请不要轻易点击,并确保您的计算机和移动设备上安装了最新的防病毒软件和防火墙。
另外,避免在公共网络或不受信任的设备上输入密码。
7. 定期审查和更新密码策略密码管理规范应根据最新的安全技术和威胁情报进行审查和更新。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户账号和密码安全管理规范V 1.0目录概述 (3)适用范围 (4)用户帐号的分类 (5)用户帐号的创建 (6)用户帐号创建流程 (6)用户帐号创建的安全事宜 (6)密码设置标准和最小强度规定 (8)密码设置标准 (8)密码最小强度规定 (8)用户帐号和密码的保护 (10)用户帐号和密码的管理 (12)用户密码的变更 (12)用户帐号的禁止 (12)用户帐号的删除 (12)用户帐号和密码管理制度的实施 (14)实施工作流程 (14)更新维护要求 (14)奖励和处罚 (15)参考文献 (16)概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。
几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。
因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。
本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。
本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述:⏹用户帐号的分类根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。
⏹用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。
密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。
⏹用户帐号和密码保护规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。
⏹用户帐号和密码的管理规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。
⏹用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。
适用范围本管理制度适用于**所有用户帐号和密码,以及能访问相关计算机信息的员工,包括管理、支持、维护用户帐号和密码的IT人员。
根据信息安全的需要,把**计算机信息系统用户帐号分为以下几类:⏹信息安全员帐号由**信息安全员具体掌管。
一般是指所有计算机系统,包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的超级管理员帐号或有超级管理员权限的帐号。
其主要用于创建、初始(密码)、变更(权限)、删除、禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等。
⏹系统管理员帐号由相关系统管理员具体掌管,一般是指所有计算机系统,包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。
⏹系统操作员帐号由相关系统操作员拥有的,有限操作权限的帐号。
系统操作员帐号主要用于完成既定的计算机信息系统的操作工作,例如打印、备份、数据输入等。
⏹普通用户帐号由最终用户拥有的有限操作权限的帐号,用于完成日常工作。
用户帐号创建流程普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请,经其核准后,送交系统管理员具体实施帐号和密码的初始化程序,并登记备查,然后通知有关用户。
如果需要创建系统管理员帐号或是信息安全员帐号,则需要向**信息安全主管提出书面申请。
经核实批准后,再由**信息安全主管授权,才能实施帐号和密码的初始化程序,并登记备查。
**可参照执行。
所有的步骤(包括临时权限的授予和取消步骤),由系统的安全日志组件自动记录1。
信息安全员必须对相关帐号日志和帐号创建申请进行定期(每月一次)安全审计。
用户帐号创建的安全事宜在创建用户帐号时,必须遵循下列安全规定:1如果系统不提供相应的日志记录功能,必须考虑以手工的方式对整个过程进行记录。
⏹严格限制创建公用用户帐号,且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。
⏹正式用户帐号的申请人只局限于本**部员工。
⏹用户帐号的权限设置应遵循“最小需要知道”原则,即给用户能完成工作的最小权限。
⏹关闭任何缺省的匿名帐号。
⏹系统开启对用户帐号、用户权限和登录管理的日志审计功能。
⏹禁止使用空密码或与用户名相同的密码,作为初始密码。
⏹系统管理员在通知用户初始密码时,必须采用加密或其他安全传输途径,以确保初始密码不会被中途截取。
⏹系统管理员必须强制用户在第一次登录时,修改其初始密码。
⏹严禁以任何明文形式传递和存放用户的初始密码。
⏹因为项目原因,需要创建临时用户帐号时,则由项目负责人向**信息安全主管提出书面申请,经由核准后,再由系统管理员统一创建(临时用户帐号的密码由项目负责人统一指定和保管);并且严禁在生产系统中创建临时用户或测试用户。
项目完成后,立即删除所有临时的用户帐号。
密码设置标准和最小强度规定密码设置标准⏹所有密码必须是具有足够长度和复杂度。
⏹所有密码之间没有任何联系,即无法从前个生成的密码推测出下个密码。
⏹所有密码不得采用英文单词、拼音或其他有意义的词语和符号,例如用户的姓名、生日等。
⏹所有密码不得全部由数字或字母组成,除非系统不予支持。
密码最小强度规定22如果,所规定的密码最小强度不被系统支持,则使用该系统所支持的最高强度密码。
用户帐号和密码的保护关于**用户帐号和密码的保护,本管理制度做下列规定:⏹对于自动生成密码的系统,必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。
⏹用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分,特别是拥有管理员权限或超级管理员权限的用户。
⏹严禁以任何明文格式存储帐号和密码3。
⏹严禁通过公共网络(例如,互联网、公共电话网等),以明文格式传送帐号和密码。
⏹系统管理员必须设定用户登录尝试的次数限制,对于信息安全员和系统管理员帐号,登录尝试次数为3次。
对于普通用户和系统操作员帐号,登录尝试次数为5次。
一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数,该帐号会被自动禁止,直到系统管理员重新激活该用户帐号。
⏹系统管理员应当设定:在用户成功登录系统后,提示用户上次登录的情况(时间、登录名和登录成功与否等信息)4。
⏹系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制,严禁对其进行任何远程访问(只有信息安全员帐号才有“读”的权限)。
⏹系统管理员必须在系统正式启用前,更改所有的系统缺省帐号的密码,并禁止所有匿名帐号。
⏹系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时,必须强制该用户更改密码。
⏹系统管理员必须定期检查用户帐号使用情况,如有用户帐号在30天内没有使用,则有必要暂时禁止用户帐号(系统管理员帐号和信息安全员帐号例外)。
⏹系统管理员必须强制设定用户密码不得为空,并且符合有关密码强度规定。
3如果使用有加密功能的密码存储软件,则需经过计算机信息安全相关人员评估核准后方可使用。
4此功能的设定,能使用户立即知道自己的计算机是否被非法(使用未知用户名或使用自己的用户名在非工作时间)登录,有助于立即发现计算机安全事故和安全隐患。
⏹系统管理员必须开启系统内建的用户帐号、用户权限管理和登录管理的审计功能,并对其生成的日志文件进行妥善保管,以确保日志文件的安全性和完整性。
⏹**和**的信息安全员必须定期对用户帐号和密码的使用、变更、禁用、删除相关的系统日志文件连同相关书面申请文件进行安全审计(每月一次),并对所有相关文件进行记录备案。
⏹**和**的信息安全员必须定期(每月一次)对用户帐号进行清查工作,及时删除无用、无主的用户帐号。
⏹严禁以任何理由,使用他人帐号或操作卡访问**计算机信息系统资源。
⏹严禁以任何方式获取他人帐号和密码。
⏹严禁在任何生产系统中创建临时用户或测试用户帐号。
⏹小型机生产机和主数据库生产机的超级管理员密码必须分为两段,由**信息安全员和相关的系统管理员二人分别掌管,二人同时在场方可实施本机登录。
⏹**信息安全员帐号和密码,必须由**信息安全员将其备份,经安全密封后,存放在保险柜中妥善保管。
;**信息安全员帐号和密码,必须由**信息安全主管将其备份,经安全密封后,存放在保险柜中妥善保管。
用户帐号和密码的管理用户密码的变更⏹在系统管理员创建或初始化用户帐号和密码后,用户需要立即改变初始密码。
⏹所有用户的密码必须定期进行变更(所有密码的变更周期应小于1个月,并大于5天),以最大程度确保密码的安全性。
⏹用户丢失或遗忘密码,必须向其所在部门主管提出书面密码初始化申请,经核准后,由系统管理员具体实施密码的初始化程序,然后通知有关用户,并登记备案。
⏹系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时,应立即强制该用户更改密码,并记录备案。
用户帐号的禁止⏹在超过规定登录次数限制时,用户帐号会被系统自动锁住5。
⏹用户帐号在规定时间(30天)内没有使用,用户帐号会被系统管理员手工禁止。
⏹用户没有按密码定期变更的规定定期修改密码,超过系统设定的时限(5天)后,用户帐号会被系统自动禁止。
⏹用户违反**信息安全管理的有关规章制度,在经教育无效后,由信息安全主管授权,其用户帐号会被系统管理员手工禁止。
⏹用户在外长期休假(事、病假)、出差,在此期间,其相应的用户帐号应被系统管理员手工禁止。
⏹当用户发现帐号由于其他原因被禁止时,应及时报告部门主管和系统管理员,系统管理员在查明原因后再为其开通,并记录在案。
用户帐号的删除⏹用户如果因岗位变动而不再需要访问计算机信息资源时,系统管理员在收到该用户所在部门主管的书面通知后,删除该用户相应的用户帐号。
5此功能是为了防止有人使用“穷举法”猜测用户登录密码。
⏹用户离职后,系统管理员在接到该用户所在部门主管的书面通知后,删除该用户所有的用户帐号。
⏹为了项目或其他特殊原因而临时开放的用户帐号,如不再需要,经由项目负责人或**信息安全主管同意后,立即删除。
用户帐号权限的变更⏹如果用户因岗位变动或其他工作原因需要修改计算机访问权限,其部门主管需要书面通知有关系统管理人员,由系统管理人员修改权限。
⏹系统管理员需要依照“最小需要知道”原则对用户权限分配情况进行定期检查,如有必要,将修改用户权限,并通知该用户和其部门主管。
用户帐号和密码管理制度的实施实施工作流程本管理制度是由**信息安全主管主要负责制订,并送交**信息安全领导小组审批。
经审批通过后,由**信息安全主管领导、**信息安全员统一负责、**信息安全员分管负责,并在相关IT人员的协助下完成具体实施工作。
更新维护要求**信息安全主管负责用户帐号和密码安全管理制度的维护工作。
当制订用户帐号和密码安全使用管理制度的依据发生变化时,例如发生重大安全事故、出现新的安全弱点、**信息安全管理组织架构发生变化等,需要对用户帐号和密码安全使用管理制度进行相应的修改和审计,并报信息安全领导小组审批。