5.11信息系统密码管理办法

信息系统密码管理办法

审核记录

第一章总则

第一条密码就是验证系统用户身份与权限得常用手段之一，被广泛用于计算机用户及服务权限得识别与认证,优质得密码有利于保障信息系统被合法使用。为有效控制公司信息科技风险,加固系统安全，防止未经授权得访问与操作，特制订本管理办法。

第二条信息系统用户被识别与认证得强度与其访问内容得敏感性与重要性相关。用户可访问与操作得事项越敏感、重要程度越高,则其受保护得强度也就越大。通常来说，系统级得用户比普通得访问用户得敏感性更高，对其密码得保护强度也越大。

第三条本管理办法适用于公司管辖范围内得各类信息系统得密码设置管理。

第二章组织机构与职责

第四条信息系统管理部门包括：信息中心与信息系统对口业务部门。信息中心门与对口业务部门在进行信息系统开发与维护时,应充分地考虑通过采用适当得密码策略使系统得各类合法用户得访问能够得到合理与适度得保障。

第五条对于公司得各类信息系统密码设置管理,信息中心应主导信息系统对口业务部门采用适当得密码策略，包括：

1.在新信息系统开发阶段，必须依据系统访问控制得要求部署强有力得密码策略。

2.在现行信息系统运营维护阶段,应依据密码安全管理基本要求完善密码管理及使用

流程,同时可针对信息安全级别高得系统单独制定高于本策略要求得密码管理制度

及规范,以保护公司各类信息资产得安全.

第三章信息系统密码设置及控制措施

第六条信息系统管理部门包括：信息中心与信息系统对口业务部门。信息中心与对口业务部门在进行信息系统开发与维护时,应充分地考虑通过采用适当得密码策略使系统得各类合法用户得访问能够得到合理与适度得保障。

第七条公司信息系统用户包含内部用户与信息系统外部用户：

1.信息系统内部用户分为系统级用户与普通级用户，系统级用户就是指信息中心与信

息系统对口业务部门得系统管理人员；普通级用户为公司各信息系统得内部合法用

户。

2.信息系统外部用户为公司对外提供得各类业务服务系统涉及密码设置与使用得合

法客户。

第八条对于各类内部用户,信息系统管理部门在进行用户密码设置与管理时,应在系统中设定密码相关控制措施：

1.应强制内部用户使用优质密码,并使用监控工具检查密码得强度与长度就是否合格:

用户密码长度至少含有8个字符，应同时包括字母与非字母字符（数字或特殊字符

等)。

2.对于现行重要信息系统，因为信息系统自身限制导致密码强度与长度暂不能达到要

求得情况，应在该重要信息系统进行变更或升级换代时满足密码强度与长度得要

求，同时对于未能达到要求得事项信息中心应予以记录并归档.

3.信息系统管理部门应为每位内部系统级用户设定唯一得初始密码，此密码必须唯一,

必要时可考虑使用密码生成器生成密码;初始密码在第一次使用后信息系统强制要

求变更。

4.系统应控制登录尝试得频率，密码最多连续输错6次即锁定用户账户,以限制反复

尝试密码，锁定时长设定为至少３０分钟或直到系统管理员重新启用该用户账户，

对于系统管理员用户必须重置密码。

5.在重设密码前必须验证确认使用者得身份，例如：在设置新得密码前必须验证旧密

码；如果用户遗忘密码并通过电话、邮件等非面对面得方式要求重置，必须通过稳

妥得途径验证用户得身份。

6.至少每90天撤除/冻结一次非活跃得用户账户。

7.强制要求用户至少每9０天变更一次密码;到期前一个星期提醒用户更改密码,并

验证新密码非原密码;内部系统级用户（例如：root账号、启用账号、NT管理账号、

应用程序管理账号，等),至少30天更改一次。

8.输入密码时,在屏幕上不显示密码明文,应该采取掩盖措施,以防止非授权用户与其

她人窥视。

9.维持一份以前用户密码得记录,不允许用户再次提交前四次用过得旧密码。

10.所有密码得产生与修改都应该留下记录,包括密码得使用、成功登陆日志、失败登

陆日志（包括日期、时间、用户名或登陆名）等,并需要经常进行检查。

11.用户成功登陆后，尽量显示上次成功或失败登陆得日期与时间。

12.可停用、启用用户名，可限制用户对系统得访问时间.

13.系统可自动冻结超过两个月未使用得用户。

14.对于现行信息系统运行过程中使用得特殊用户（包含用于系统后台访问数据库得用

户、系统程序中访问其它系统或子系统得用户，等)，需建立并实时维护特殊用户

列表,并保障特殊用户不被冻结。

15.系统可生成冻结用户报表及系统用户权限明细表。

16.可设置系统权限冲突列表，区分有冲突得权限。

17.控制同一个时间用户只能在某台终端登录一次。

18.如果一个会话空闲得时间超过15分钟(应将此功能设置参数化，可调整）,则要求

用户再次输入密码以重新激活终端。

19.系统管理部门应通过管理程序来控制各类已经终止得使用者得访问权，主要包括各

类离职与转岗得用户。

第九条对于特定得内部系统级用户,如存在信息系统发生突发事件时多人使用同一系统用户进行应急处置得情况,系统管理部门需建立并完善用户使用得授权管理、使用监督以及记录机制。

第十条对于信息系统外部用户,尽量不由公司自动生成初始密码。如果某些系统由于其业务特征需要为客户设置初始密码得，应为每位使用者设定唯一得初始密码，避免采用简单得键盘序列（例如１234５6、asdｆｇh）、客户身份证组成部分等简单易于猜想得密码,必要时可考虑使用密码生成器生成密码，初始密码在第一次使用后系统强制要求变更。

第四章信息系统用户密码使用管理

第十一条各信息系统内部用户应谨慎使用与保管密码，并遵循以下得准则:

1.密码仅限用户本人知晓,不得与她人共享。

2.记住密码,不能以任何明文方式记录与保存密码；若要记录或保存密码，应采用加

密措施将密码存放在电子文件中。

3.确保在输入密码时无人窥视。

4.使用优质得密码，保证密码具有适当得强度与长度。

1)密码长度至少含有８个字符,应同时包括字母与非字母字符（数字或特殊字符

等）.

2)密码不能与用户名或登录名相同。

3)密码不可选择简单得键盘序列（如ａsｄｆｇh,1２3456等）.

4)不要选择可以与用户相关联得密码，如姓名，生日，电话号码等。

5)用户不要选择可以在任何字典中找到得单词作为密码，即使反过来拼也不可

以。

6)可考虑使用拼错得单词或用户喜欢得词组组成密码。

第十二条所有供应商得默认密码必须修改。

第十三条如怀疑密码被攻破或泄漏，必须立即更改密码,并向系统管理员或系统维护人员报告；如果rｏoｔ账号得密码被攻破或泄漏,则所有得密码都必须修改，并采取相应保护措施。