05-用户帐号和密码安全管理规范
学校平台账号密码管理制度
第一章总则第一条为加强学校平台账号密码管理,确保平台安全稳定运行,保障学校教育教学、管理和服务工作的正常开展,特制定本制度。
第二条本制度适用于学校所有使用学校平台账号的用户,包括教师、学生、行政管理人员等。
第三条学校平台账号密码管理应遵循以下原则:(一)安全性原则:确保账号密码的安全性,防止账号密码泄露和非法使用;(二)可追溯性原则:对账号密码的使用和修改进行记录,便于追踪和责任追究;(三)便捷性原则:简化账号密码管理流程,提高工作效率。
第二章账号密码的设置与修改第四条账号密码的设置:(一)账号密码应采用字母、数字和特殊字符的组合,长度不得少于8位;(二)首次登录平台时,用户需设置新密码,密码设置应符合第四条第(一)款的要求;(三)平台将对新设置的密码进行安全性检测,确保密码安全。
第五条账号密码的修改:(一)用户每月至少修改一次密码,修改密码时需遵守第四条第(一)款的要求;(二)修改密码时,系统将记录原密码和修改后的密码,便于追踪和责任追究;(三)修改密码后,用户需在5分钟内完成登录,否则系统将自动注销用户。
第三章账号密码的使用与保管第六条账号密码的使用:(一)用户应妥善保管账号密码,不得泄露给他人;(二)用户在使用账号密码登录平台时,应确保电脑和网络环境的安全,防止账号密码被盗用;(三)用户发现账号密码被盗用,应立即通知平台管理人员,并按照平台管理人员的指导进行操作。
第七条账号密码的保管:(一)用户不得将账号密码写在纸上、手机短信或其他易泄露的载体上;(二)用户不得与他人共用账号密码;(三)用户应定期检查账号密码的保管情况,确保账号密码安全。
第四章账号密码的注销与恢复第八条账号密码的注销:(一)用户因故不再使用学校平台账号时,应向平台管理人员申请注销账号;(二)平台管理人员在接到用户申请后,将注销用户账号,并删除用户的相关信息。
第九条账号密码的恢复:(一)用户因忘记账号密码而无法登录平台时,可向平台管理人员申请密码恢复;(二)平台管理人员在确认用户身份后,将按照规定流程为用户恢复账号密码。
账号权限及密码管理制度
账号权限及密码管理制度账号权限及密码管理制度一、账号权限管理1.做好系统管理员、业务管理员的备案;同时做好系统用户备案管理。
2.业务管理员需定期检查相关系统的账号权限分配情况,确保落实权限最小化原则。
角色分配应与岗位需求吻合,避免功能扩大。
同一账户被赋角色不得存在功能互相矛盾、嵌套情况。
严格控制隐私信息查询、浏览、导出权限。
3.限制超级账号的使用,并做好相应的使用审计工作。
4.业务管理员应及时解除无用账号相应权限,系统管理员应定期检查并禁用或注销无用账号。
二、密码产品1.使用符合国家密码管理规定的密码技术和产品。
2.密码算法和密钥的使用符合国家密码管理规定。
三、密码的设置1.服务器的密码,由安全管理员和系统管理员商议确定,必须两人同时在场设定。
2.服务器的密码须安全管理员在场时要由系统管理员记录封存。
3.密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。
4.密码要定期更换:一般重要设备密码更换周期不得多于180天;四、密码和口令的保存1.服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。
2.服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备案记录交于网络管理中心负责人封存。
3.密码更换后系统管理员需将新密码或口令记录登记封存。
4.如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告网络管理中心负责人,网络管理中心负责人应及时与系统管理员商定修改密码,并严查泄密源头修补系统漏洞,将详细情况以书面形式上报上一级领导。
本着“谁使用,谁负责”的原则,信息系统使用人员不得转让或泄露信息系统操作账号和密码,坚决杜绝网络直报系统用户和密码共享(如上传至互联网或随意张贴),避免多人使用一个账号。
帐号与密码管理规范
修改状态
日期
修改原因及内容摘要
修改人
修改页码
备注
1
2022.06.01
初版
制定:Байду номын сангаас审核 : 批准:
1.目的:为确保本公司各项信息系统及网络设备等账号与通行密码管理符合信息系统安全的要求,以避免未经授权的存取。
2.适用范围
本公司各项应用系统、网络设备等。
3.权责
3.1.使用者
3.1.1.依密码设定与管理原则,妥答保护个人账号密码。
5.3.4.IT部门人员应依人事变动情况,立即检视用户权力的设定(含离职与部门异动)并与相关人员对接,再次检核以确保权限的正确性。
5.3.5.对于离职人员(含留职停薪人员),人事单应通知相关单位人员离职人员情形,管理员收到通知后,应立即知会管理员进行注销,停用账号。
5.4.密钥管理:
5.4.1.本公司涉及营运冲击的信息服务系统,如采用凭证密钥的加密技术者,应对密钥采取适当的保护措施。
5.1.2.除可能因系统限制需求.特殊业务需求核可外,禁止用户共享账号及通行
5.1.3.公司每套信息设备用户都需利用公司电子表单系统申请所需权限.并拥有个人账号密码,个人账号皆为唯一性,一经生效将由个人管理,不得将自己的账号及通行密码供他人使用,亦不得以他人的账号及通行密码登入系统。
5.1.4.用户离职,应由系统管理者立即注销、停用账号密码,若因特殊需求需保留账号密码应立即更换其原有密码。
5.2.5.用户应避免将个人员工卡放至于桌面上,如要离开座位时请务必带走。
5.2.6.如发现密码有泄密迹象或黑客破解密码,应立刻报告上级领导,并产查泄密源头修补系统漏洞,采取一切可行的方式规避公司损失并详细情况以书面形式及时上报
密码安全使用有关规章制度
密码安全使用有关规章制度密码安全一直是网络安全的重要组成部分,我们在日常生活中几乎无时无刻都在使用密码,比如手机的解锁密码、银行的网银密码、社交媒体的帐号密码等等。
密码安全的重要性不言而喻,一旦密码泄露或者被猜解,用户的个人信息、财产等都将遭受到威胁。
因此,建立一套科学的密码安全使用规章制度对于个人和企业来说都是至关重要的。
一、密码的设定1. 密码的长度:密码的长度对于安全性有着至关重要的作用,一般情况下,密码的长度越长越安全。
建议密码长度在8-16位之间,至少包含数字、大小写字母和特殊字符。
2. 密码的复杂度:密码的复杂度也是密码安全的一个关键因素,一个简单的密码很容易被破解。
建议密码中包含大小写字母、数字和特殊字符,避免使用生日、姓名、电话号码等容易被猜解的密码。
3. 密码的定期更换:为了保证密码的安全性,建议定期更换密码,比如每三个月更换一次密码。
定期更换密码可以有效防止密码泄露导致的损失。
二、密码的保管1. 不要将密码告诉他人:密码是用户的个人信息,不应该随意告诉他人。
无论是家人、朋友还是陌生人,都不应该知道用户的密码。
2. 不要在公共场所保存密码:不要在公共场所保存密码,比如写在纸条上、存储在手机里等。
一旦密码泄露,用户的信息和资产都会受到威胁。
3. 使用密码管理工具:为了方便管理密码,用户可以使用专门的密码管理工具来保存密码。
这样不仅可以保护密码的安全,还能方便用户随时查找密码。
三、密码的使用1. 不在非官方渠道输入密码:在使用账号密码登录时,应该确保是在官方渠道输入密码,不要在非官方渠道输入密码,以免密码被盗取。
2. 使用双重认证:双重认证是一种增加帐号安全性的方式,用户可以通过短信或者谷歌验证器等方式来增加账号的安全性。
3. 避免公共网络使用密码:在使用公共网络时,应尽量避免输入重要密码,以免被他人截取。
四、密码的修改1. 密码被泄露时及时更改:一旦密码被泄露或者怀疑密码已经泄露,用户应立即修改密码,以免造成不必要的损失。
管理系统的安全管理规范
管理系统的安全管理规范随着互联网技术的不断发展,管理系统已经成为了现代企业必不可少的一部分。
但随之而来的是对其安全管理的不断加强。
企业的管理系统若遭到黑客攻击或者系统崩溃,将会对企业的日常运营产生严重影响。
因此,企业必须建立起一套安全管理规范,以确保其管理系统的安全与稳定。
一、密码管理规范管理系统的密码是保证其安全性的重要手段。
管理人员要求对其密码进行严格管理,密码应该定期更换。
密码不得使用简单的组合,如123456之类的密码是易被猜测的,容易造成系统被攻击。
更好的做法是采用一定长度的复杂密码,如包含字母、数字和符号的组合密码,这样更难被破解。
二、账户权限管理规范管理系统在实际操作中需要赋予不同账户不同的权限,以减少系统被滥用的可能。
管理员应该负责制定账户权限和角色。
对于一些不能确定安全性的权限,应该设置为只能由管理员进行操作。
同时,管理员也应当对各个账户进行定期审核,清除不必要的账户权限。
三、备份管理规范数据丢失将给企业带来巨大的损失。
因此,备份管理应当成为管理系统安全管理规范中的一项重要内容。
备份数据的选择应当包括全部数据和重要数据。
备份频率需要定期测试和确认。
同时,备份数据的存储设备需要确保安全,以防数据泄露或外泄。
四、通信网络管理规范管理系统的通信网络是管理系统与外界进行交互和数据传输的重要方式。
通信网络的安全性成为企业整个管理系统安全的重要保证。
为此,企业应当制定相应的通信网络安全管理规范。
其中需要包括进行三方认证、捕获异常流量和互联网攻击等。
五、风险评估及应急响应规范企业建立安全管理规范后,还需要进行安全风险评估。
需对可能导致系统崩溃、数据泄露和攻击等安全问题进行评估。
在此基础上,企业需要建立完善的应急响应机制。
在系统遭到攻击或泄露数据时,企业将快速响应。
总体来看,管理系统的安全管理规范是企业整个信息安全体系的基础保证。
只有不断加强安全规范,并将其贯彻于管理系统全过程,才能给予企业最好的安全保护。
用户账号管理规范
用户账号管理规范随着互联网的发展,数字化已经成为了人们日常生活的必需品。
在这个过程中,人们需要用到大量的账号和密码。
正确地管理这些账号成为了每个人必备的技能。
为此,我们需要规范账号的管理,以确保个人安全,防范信息泄露。
一、密码长度和组合在设置密码时,应该注意密码的长度和组合。
密码不能太短,具体长度应该至少为8位或以上。
此外,应该含有字母、数字、符号等组合。
这样的密码组合难度更大,破解的难度也相应增加。
二、密码不重复很多人会因为太多账号而使用同一密码。
这样的风险很大,如果其中一个密码遭受到了攻击,那么所有账号都会面临同样的风险。
因此,我们必须确保每个账号的密码都是唯一的。
三、账号绑定与解绑我们可能会删了一个账号,但忘了解绑它并继续使用其他账号绑定它。
这样的情况是很常见的,但这样做是不安全的。
因为这些账号可能包含敏感信息,如果账号被黑客攻击,所有的绑定账号都会面临威胁。
四、账号登陆时间限制我们在登陆账号的时候,如果不小心将密码暴露给别人,就会面临账号被盗。
因此,在登陆账号时,我们必须设置账号登陆的时间限制。
这样,我们就能及时发现账号异常情况,提高账号的安全性。
五、账号锁定时间设置如果在尝试登陆过多次后,账号易被锁定,这会极大地防止黑客暴力破解账户密码的尝试。
账号锁定时间可以是3分钟或更短的时间,这样,黑客就很难破解密码。
六、账号多重验证账号多重验证是非常有效的安全措施。
当我们登陆账号时,可以设置一个指纹验证、短信验证码、邮箱验证码等多种验证方式。
这样,即使黑客能够获取到密码,也会因为验证失败而无法登陆。
七、分离账号绑定为了降低账户信息泄露的风险,应该分离账号绑定。
对于一个账号来说,我们应该尽可能避免使用同一手机号、邮箱或其他联系方式进行绑定。
这样,即使一个账号的安全被破坏,其他账号的安全也不会被同步破坏。
八、账号信息保护我们在使用网络时,难免需要填写一些个人信息,如姓名、地址和电话号码等。
这些个人信息容易被黑客盗取或者泄露,这可能会带来很多麻烦。
平台用户账户管理规章
平台用户账户管理规章一、总则1、为了规范平台用户账户的管理,保障用户的合法权益,维护平台的正常秩序,特制定本规章。
2、本规章适用于在本平台注册和使用账户的所有用户。
二、账户注册1、用户在注册账户时,应提供真实、准确、完整的个人信息,包括但不限于姓名、_____、电子邮箱等。
2、每个用户只能注册一个账户,严禁恶意注册多个账户。
3、注册过程中,用户应遵守相关法律法规和平台的规定,不得使用虚假信息或冒用他人身份注册。
三、账户登录与安全1、用户应妥善保管自己的账户登录信息,包括用户名、密码等,不得将其透露给他人。
2、如发现账户登录异常,应及时通知平台并采取必要的措施,如修改密码等。
3、平台有权采取技术手段和管理措施保障用户账户的安全,但不对因用户自身原因导致的账户安全问题承担责任。
四、账户使用规则1、用户应遵守法律法规和社会公德,不得利用账户从事违法、违规、违反社会公德的活动。
2、禁止在平台上发布有害、淫秽、暴力、恐怖、欺诈等不良信息。
3、用户不得利用账户侵犯他人的知识产权、隐私权、名誉权等合法权益。
五、账户权限与功能1、平台将根据用户的注册信息和使用情况,为用户提供相应的权限和功能。
2、用户应在规定的权限范围内使用账户功能,不得超越权限进行操作。
六、账户变更与注销1、用户如需变更个人信息,应按照平台规定的流程进行操作,并提供相关证明材料。
2、用户有权申请注销账户,但需在满足平台规定的条件下进行。
3、注销账户后,用户与平台的相关权利义务关系终止,但平台仍有权保留用户的相关信息,以符合法律法规和监管要求。
七、违规处理1、平台将对用户的账户使用情况进行监督和检查,如发现违规行为,将视情节轻重采取警告、限制功能、封禁账户等处理措施。
2、对于因违规行为给平台或其他用户造成损失的,用户应承担相应的法律责任和赔偿责任。
八、隐私保护1、平台将严格保护用户的个人隐私信息,不向第三方透露,除非符合法律法规的要求或经用户同意。
客户端开发:如何进行用户密码安全管理(五)
客户端开发:如何进行用户密码安全管理随着移动互联网的快速发展,客户端应用程序已成为人们生活中不可或缺的一部分。
无论是社交媒体、电子商务还是各类在线服务,用户信息的安全性都是其开发者必须高度关注和重视的一个方面。
而用户密码的安全管理则是客户端开发中最为关键和常见的问题之一。
本文旨在探讨如何进行用户密码安全管理,并提供一些安全管理的实用建议。
1. 密码强度一个安全的密码应当具备一定的复杂性,包括字母、数字和特殊字符的组合。
密码的长度也应当足够长,一般不少于8位。
开发者可以通过设置密码策略来要求用户使用符合规范的密码。
此外,密码的加密过程也非常重要,建议使用种子加密算法(如bcrypt、PBKDF2等)来保护用户密码,以降低密码被破解的风险。
2. 用户密码的传输安全在客户端开发中,用户密码的传输安全是至关重要的,特别是在一些需要用户登录的应用中。
开发者应当使用安全的传输协议(如HTTPS)来保护用户密码在传输过程中的安全性。
同时,还可以采用安全的数据传输验证机制,如使用公钥加密算法来保证数据的完整性和真实性。
3. 密码存储在客户端应用中,用户密码的存储方式是一个非常重要的考虑因素。
绝对不应将用户密码以明文形式存储在客户端应用或数据库中。
相反,应当使用密码散列函数对用户密码进行哈希处理,以保护用户密码的安全性。
此外,为防止密码被彩虹表等攻击手段破解,建议在密码哈希过程中加入一个随机的盐值。
4. 双因素认证双因素认证是一种更为安全的登录方式,其通过使用除密码之外的其他因素(如短信验证码、指纹识别等)来确认用户身份。
在客户端开发中,开发者可以引入双因素认证机制来增加用户账户的安全性。
例如,通过短信验证码或邮件验证码来验证用户的身份,以增加密码被盗用的风险。
5. 安全策略与防护措施除了上述提到的一些基本的密码安全管理措施外,开发者还可以采取其他安全策略和防护措施来提升用户密码的安全性。
例如,限制密码尝试次数,设置账户锁定机制,在用户连续输错密码一定次数后锁定账户,以防止暴力破解。
用户帐号和口令管理条例
用户帐号和口令管理条例1.概述第1条随着DXC IP网络建设的发展,内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口令管理保持在一个一致的水平上,特制定本标准。
本标准规定了账号和口令管理的相关职责定义、管理流程。
第2条本条例为DXC各网络系统的用户帐号及口令的使用、维护及处罚的依据。
2.适用范围第3条本规定适用DXC范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库,计费、营业和客服等业务应用系统等。
第4条本规定适用DXC范围内的各系统的用户,包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统使用人员、个人计算机使用者、合作软件开发商、系统集成商等。
同样适用于DXC公司范围内所有使用个人计算机及网络的员工。
第5条本部分是符合《DXC信息安全方针》相关规定制定。
主要适用原则为责权一致原则。
3.术语解释第6条授权用户:●DXC内部人员:指与DXC签定“员工聘用协议书”,属于DXC的正式员工。
●使用DXC网络资源的非DXC人员:指临时到DXC工作不与DXC签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、DXC外包业务人员等,这类人员不是正式员工,不进入DXC的人力资源管理系统。
第7条帐号●帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
●管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员。
●超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户。
●公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
●匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问。
用户信息安全管理规定(3篇)
第1篇第一章总则第一条为加强用户信息安全管理,保护用户合法权益,维护信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合本单位的实际情况,制定本规定。
第二条本规定适用于本单位所有涉及用户信息收集、存储、使用、加工、传输、提供、公开等活动。
第三条用户信息安全管理应遵循以下原则:1. 合法、正当、必要原则:收集、使用用户信息应当合法、正当、必要,不得违反法律法规和公序良俗。
2. 最小化原则:收集用户信息时,应当遵循最小化原则,仅收集实现业务功能所必需的用户信息。
3. 安全保护原则:采取必要的技术和管理措施,确保用户信息的安全,防止用户信息泄露、损毁、篡改等。
4. 责任追究原则:对违反本规定的行为,依法依规追究相关责任。
第二章用户信息收集第四条收集用户信息,应当明确收集目的、范围、方式、时间、地点等信息,并取得用户同意。
第五条收集用户信息,应当遵循以下要求:1. 明确收集目的:收集用户信息应当有明确的目的,不得超出收集目的范围。
2. 最小化收集:收集用户信息时,应当遵循最小化原则,仅收集实现业务功能所必需的用户信息。
3. 公开透明:收集用户信息时,应当向用户公开收集目的、范围、方式、时间、地点等信息,并取得用户同意。
4. 合法合规:收集用户信息应当合法合规,不得违反法律法规和公序良俗。
第三章用户信息存储第六条用户信息存储应当采取必要的技术和管理措施,确保用户信息的安全。
第七条用户信息存储应当遵循以下要求:1. 安全措施:采取加密、脱敏等技术措施,确保用户信息在存储过程中的安全。
2. 存储期限:用户信息的存储期限不得超过实现收集目的所必需的期限。
3. 定期检查:定期对用户信息存储的安全性进行检查,发现问题及时整改。
第四章用户信息使用第八条使用用户信息,应当遵循以下要求:1. 合法合规:使用用户信息应当合法合规,不得违反法律法规和公序良俗。
2. 明确目的:使用用户信息应当明确目的,不得超出收集目的范围。
网络账号密码安全管理办法
网络账号密码安全管理办法随着互联网的普及和发展,越来越多的个人信息和金融交易都以在线方式进行。
而账号密码作为我们的个人信息保护的第一道防线,其安全性显得尤为重要。
为了保护我们的个人隐私和资金安全,我们需要采取一些网络账号密码安全的管理办法。
1. 创建强密码强密码是账号安全的基础。
一个强密码应该包括至少8个字符,并包括大小写字母、数字和特殊符号的组合。
避免使用容易猜测的个人信息,如生日、电话号码等。
定期更改密码也是很重要的,建议每3-6个月更换一次。
2. 使用多因素验证多因素验证是一种提高账号安全性的好方法。
除了用户名和密码,还可以设置手机短信、邮箱验证码或指纹识别等方式进行验证。
这样即使密码被盗,黑客也无法轻易登录账号。
3. 谨慎选择公共网络在使用公共网络时,如咖啡厅的Wi-Fi,我们应该格外小心。
公共网络存在被黑客监听的风险,因此避免在此类网络上登录银行账号或其他重要账号。
4. 不随便点击链接收到来自未知来源的邮件或信息时,切勿随便点击其中的链接。
这些链接可能是钓鱼网站,旨在诱导您输入个人信息。
要确保链接的真实性,最好手动输入网站地址来登录。
5. 定期备份重要数据对于重要的个人数据和文件,定期备份是必不可少的。
这样即使账号被黑客入侵,你仍然可以恢复数据,避免遭受数据丢失的损失。
6. 使用安全的网络设备安全的网络设备可以提供更好的安全性。
为了保护家庭和办公网络,安装和更新防火墙、杀毒软件和反间谍软件是非常重要的。
及时更新操作系统和安全补丁也能够提高网络设备的安全性。
7. 警惕网络钓鱼和欺诈手段不少黑客通过网络钓鱼和欺诈手段获取用户的账号和密码。
因此,我们要提高警惕,不轻易相信来历不明的信息,避免上当受骗。
8. 定期审查账户活动定期检查账户活动是发现异常的好方法。
如果发现有未授权的登录或其他可疑活动,及时联系相关平台或机构,以确保账户安全。
网络账号密码的安全管理至关重要。
通过创建强密码、使用多因素验证、谨慎选择公共网络、不随便点击链接、定期备份重要数据、使用安全的网络设备、警惕网络钓鱼和欺诈手段以及定期审查账户活动,我们可以更好地保护个人信息和资金安全。
校园网络安全管理制度中的用户行为规范
校园网络安全管理制度中的用户行为规范随着互联网的普及和信息技术的发展,校园网络已成为学校教学、科研和管理的重要工具。
然而,随之而来的网络安全问题也日益突出,为了保障校园网络的安全稳定运行,制定和执行一套科学合理的用户行为规范势在必行。
一、账号及密码管理1.1 每位用户只能拥有一个校园网络账号,并保证账号的安全性。
1.2 用户应自行保管好账号和密码,不得将账号和密码泄露给他人,不得与他人共享账号使用。
1.3 密码设置应具备一定的复杂程度,包括使用英文大小写字母、数字和特殊字符的组合,避免使用与个人信息相关的密码。
二、网络资源使用规范2.1 用户在使用校园网络资源时,应遵守相关的法律法规,不得进行非法活动,包括但不限于传播淫秽、暴力、违禁物品等信息。
2.2 用户不得以任何方式侵犯他人的合法权益,包括侵犯知识产权、隐私等。
2.3 用户不得利用校园网络资源从事商业活动,不得发布广告或销售信息。
2.4 用户不得以任何方式干扰、破坏校园网络的正常运行,包括但不限于传播病毒、拒绝服务攻击等行为。
2.5 用户不得恶意扩散谣言、造谣中伤他人,不得散布不实信息。
三、网络行为规范3.1 用户应文明使用网络,不得发布辱骂、诽谤等不文明言论。
3.2 用户在进行网络交流时,应尊重他人的意见和权益,不得进行人身攻击、恶意抹黑等行为。
3.3 用户在论坛、博客等平台的发言应遵守相关规定,不得发布违法信息、谣言等。
四、网络安全意识培养4.1 学校应定期开展网络安全教育活动,提高用户对网络安全的认知和防范能力。
4.2 学校应建立健全网络安全管理机制,及时处理用户的网络安全问题,并提供技术支持和保障。
4.3 用户应加强对网络安全的学习和培养自己的网络安全意识,提高对网络风险的警惕性。
五、违规处理和责任追究5.1 对于违反用户行为规范的用户,学校有权依照相关规定进行违规处理,包括但不限于警告、封号、拒绝网络接入等措施。
5.2 对于涉嫌违法犯罪的网络行为,学校将配合有关部门进行调查,并依法追究相关责任。
账号安全管理规定(3篇)
第1篇第一章总则第一条为加强账号安全管理,保障网络信息安全,维护用户合法权益,根据《中华人民共和国网络安全法》等相关法律法规,制定本规定。
第二条本规定适用于所有使用本平台账号的用户(以下简称“用户”),包括个人用户和单位用户。
第三条本规定旨在规范账号注册、使用、维护和注销等环节,确保账号安全,防范网络风险。
第四条本平台(以下简称“平台”)对用户账号信息负有保密义务,未经用户同意,不得向任何第三方泄露。
第二章账号注册第五条用户注册账号时,应提供真实、准确、完整的个人信息,包括但不限于姓名、身份证号码、联系方式等。
第六条用户注册账号时,应选择强密码,并定期更换密码。
密码应包含大小写字母、数字和特殊字符,确保密码复杂度。
第七条用户不得使用他人个人信息注册账号,不得冒用他人身份信息。
第八条用户不得注册多个账号进行恶意行为,包括但不限于刷屏、恶意评论、发布虚假信息等。
第九条平台对用户注册信息进行审核,如发现用户提供虚假信息,有权拒绝注册或注销该账号。
第三章账号使用第十条用户应妥善保管账号和密码,不得将账号和密码泄露给他人。
第十一条用户不得利用账号从事以下活动:(一)传播违法、违规、反动、淫秽、暴力等不良信息;(二)侵犯他人合法权益,包括但不限于侵犯知识产权、个人隐私等;(三)恶意攻击、破坏平台系统;(四)发布虚假广告、诈骗信息;(五)其他违反法律法规、平台规定的行为。
第十二条用户不得利用账号进行以下行为:(一)恶意刷屏、刷赞、刷评论等干扰平台秩序的行为;(二)恶意举报、投诉他人,损害他人名誉;(三)恶意跟帖、回帖,扰乱论坛秩序;(四)其他违反平台规定的行为。
第十三条用户应遵守国家法律法规,不得利用账号从事非法活动。
第四章账号维护第十四条用户应定期检查账号安全,如发现账号异常,应及时采取措施。
第十五条用户应关注平台发布的账号安全提示,提高安全意识。
第十六条用户如发现账号被盗用,应及时联系平台,并提供相关证据。
帐号、口令及权限管理规定
帐号、口令及权限管理规定第一章总则第一条为规范用户账号和口令管理,建立健全账号和口令安全防范和安全保障机制,确保信息系统的安全有效运行,制订本规定。
第二条本管理规范适用于单位机房硬件平台、应用系统的账号的建立、以及权限的审批、账号和权限的评审、权限撤销和账号移除等。
第二章定义第三条用户账号是计算机信息系统通过一定的身份验证机制识别各类操作人员在系统中身份的一种标识。
第四条特权账号是指对系统/网络/数据库等拥有超级权限的人员账号,包含但不限于系统管理员、网络管理员、数据库服务器管理员及数据库管理员等。
第五条权限是指系统对用户能够执行的功能操作所设立的额外限制,用于进一步约束用户能操作的系统功能和内容访问范围,是指某个特定的用户具有特定的系统资源使用的权力。
第三章账号权限申请第六条所有用户账号的开通应通过正式的账号申请审批过程,账号使用者提出并填写《办公网数字身份证书申请表》,根据《访问控制安全管理规范》中的访问控制方针进行审批。
第七条在对系统账号进行申请的过程中,应做到系统账号与责任人一一对应,确保每个账号都有人负责。
第八条系统运行维护管理人员在开通账号前,应依据《办公网数字身份证书申请表》内容检查申请人是否在该系统中拥有其它账号,若没有,方可为用户创建账号并分配相应的权限。
原则上每个用户只能拥有唯一的账号,不得重复申请账号。
第九条系统运行维护管理员应当保存用户账号分配申请记录。
第四章账号使用规则第十条用户在获得账号后,应当立即修改账号默认口令。
第十一条用户账号口令的选择和使用应当与口令保护策略相符合。
第十二条用户账号是用户的唯一标识,只能由本人使用,不得交由他人使用。
第十三条不得多人共用一个账号(特殊系统账号除外)。
第十四条服务器本地管理员账号由系统管理员保管,禁用匿名账号(Guest 账号)。
第五章账号权限变更第十五条在应用系统账号使用过程中,如果账号权限发生变化,应进行重新申请并填写《办公网数字身份证书撤销/停用、恢复、更新申请表》。
学院账号密码权限管理规范
学院账号密码权限管理规范为确保数据机房网络和各信息系统的安全平稳运行,保证网络和信息系统的安全,特制定本制度。
一、本制度所指安全账户,包括两部分:学院各单位管理的网络服务器信息设备和重要软件系统的关键管理账户。
包括核心交换机、防火墙、网管软件设备、上网行为和审计软件、应用服务器、数据库服务器及其他信息安全设备及信息系统的管理或维护账户。
学院教师及学生个人用户账号管理。
二、用户账户的创建1、用户账户必须分配给特定的人。
2、严格限制创建公共用户账户,公共账户不得访问敏感信息以及“编写”和“执行”的系统权限。
3、账户的权限设置应遵循“最小化”原则,即给予用户完成工作的最小权限;满足业务安全需求;系统管理员一般分配超级权限,普通用户分配普通权限。
4、禁用所有默认匿名帐户。
5、系统启动用户账户、用户权限、登录管理的日志审计功能。
6、禁止使用空密码或与用户名相同的密码作为初始密码。
7、首次登录时,系统管理员必须修改初始密码。
8、非在职人员申请临时用户账户时,由责任部门主管领导通过OA申请流程(信息管理类第十条)进行申请,由系统管理员统一创建。
临时用户账户申请必须包括申请人的身份证信息、使用时间和联系方式。
部门负责人对部门申请的临时用户账户负责,人员变动应及时通知信息建设管理处进行信息变更。
三、各单位指定专人负责本部门应用系统安全账户的密码更换、密码有效性查验等工作。
四、安全账户密码设置遵守以下规则。
1、保守口令的秘密性,除非有正式批准授权,禁止把口令提供给其他人使用。
2、避免记录口令(例如在纸上记录),除非使用了安全的保管方式(如保险柜)并得到了批准。
3、提高安全意识,当信息系统或账户状态出现异常情况时(如怀疑被入侵),应考虑立即更改口令。
4、设置高质量的口令并定期进行修改,禁止循环使用旧口令。
5、用户首次登录时,必须立即修改初始密码。
6、不能在任何登陆程序中保存口令或启用自动登录,如在宏或功能键中存储口令。
电站新能源场站系统用户及密码安全管理规范
电站新能源场站系统用户及密码安全管理规范
第一章账号口令加固策略
1、以最小权限原则对每个帐号进行权限设置,删除系
统多余帐户,确保系统帐号口令长度和复杂度满足安全要求。
2、以最小权限原则为数据库每个帐号分配其必需的角
色、系统权限、对象权限和语句权限,删除数据库多余帐户,避免使用弱密码。
3、更改系统管理员帐户,停用Guest帐户,限制能够
成为超级用户的帐户
4、设置口令长度,重要系统的用户口令长度>8位,
并且至少为字母、数字和特殊字符组合。
5、设置口令过期时间,以及口令不能重复的次数。
6、对口令进行加密存储。
第二章帐号管理制度
1、账号采用分组管理,并详细登记:用户姓名、部门
名称、相应软件账号名及口令、存取权限、开通时间、网络资源分配情况等。
申请表要经部门领导签字后交网络管理员办理,注销帐号时要通知管理员。
2、网络管理员为用户设置明码口令,用户可以根据自
己的保密情况和口令加固策略修改口令。
3、用户帐号下的数据属于用户私有数据,当事人具有
全部存取权限,管理员具有管理和备份存取权限。
4、网络管理员需定期检查用户帐户口令的加固情况,
对用户帐号及数据的安全和保密负责。
5、离岗人员的帐户应及时删除。
6、用户必须严守职业道德和职业纪律,不得将密码、帐
号等保密信息泄露出去。
05-用户帐号和密码安全管理规范
05-用户帐号和密码安全管理规范用户账号和密码安全管理规范V 1.0目录概述 (3)适用范围 (4)用户帐号的分类 (5)用户帐号的创建 (6)用户帐号创建流程 (6)用户帐号创建的安全事宜 (6)密码设置标准和最小强度规定 (8)密码设置标准 (8)密码最小强度规定 (8)用户帐号和密码的保护 (10)用户帐号和密码的管理 (12)用户密码的变更 (12)用户帐号的禁止 (12)用户帐号的删除 (12)用户帐号和密码管理制度的实施 (14)实施工作流程 (14)更新维护要求 (14)奖励和处罚 (15)参考文献 (16)概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。
几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。
因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。
本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。
本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述:用户帐号的分类根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。
用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。
密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。
用户帐号和密码保护规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。
用户帐号和密码的管理规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。
用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。
适用范围本管理制度适用于**所有用户帐号和密码,以及能访问相关计算机信息的员工,包括管理、支持、维护用户帐号和密码的IT人员。
学校账号密码安全管理制度
第一章总则第一条为加强学校网络安全管理,保障学校信息系统的正常运行,确保师生个人信息和学校机密信息的安全,特制定本制度。
第二条本制度适用于学校所有教职工、学生及临时工作人员的账号密码管理。
第三条本制度遵循“安全、便捷、高效”的原则,确保账号密码的安全性。
第二章账号密码设置第四条账号密码应采用强密码策略,密码长度不少于8位,必须包含字母、数字和特殊字符。
第五条账号密码不得使用以下内容:(一)用户名、用户名的拼音、全拼或缩写;(二)连续的数字、字母或特殊字符;(三)常见的单词、短语或姓名;(四)容易猜测的生日、纪念日等。
第六条账号密码应定期更换,至少每6个月更换一次。
第七条账号密码不得与他人共享,用户应妥善保管自己的账号密码。
第三章账号密码变更与恢复第八条用户如忘记账号密码,可通过以下途径恢复:(一)联系相关部门,提交身份证明,由管理员协助重置密码;(二)通过手机短信验证码或邮箱验证码等方式重置密码。
第九条用户在变更账号密码时,应遵守以下规定:(一)新密码应重新设置,符合强密码策略;(二)不得将新密码与旧密码相同或相似;(三)不得将新密码告诉他人。
第四章账号密码安全防护第十条用户应定期检查账号密码安全,如发现异常情况,应及时联系相关部门处理。
第十一条用户不得使用已泄露的账号密码,如发现他人使用自己的账号密码,应及时报告相关部门。
第十二条管理员应定期对账号密码进行安全检查,发现安全隐患,及时采取措施。
第五章账号密码安全教育与培训第十三条学校应定期开展账号密码安全教育,提高用户的安全意识。
第十四条学校应组织账号密码安全培训,使用户掌握账号密码安全防护知识。
第六章违规处理第十五条违反本制度规定,造成信息泄露、系统故障等后果的,将按照学校相关规定进行处理。
第十六条对泄露他人账号密码或恶意破坏他人账号的行为,将依法追究法律责任。
第七章附则第十七条本制度由学校信息管理中心负责解释。
第十八条本制度自发布之日起实施。
帐号密码管理制度
帐号密码管理制度预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制帐号密码管理制度1 系统账户管理规定1.1 账户分类1.账户依其重要程度分为重要账户和普通账户,重要账户包括:a)具有中心各业务系统及相关设备的完全或部分管理权限的账户为重要账户,如操作系统管理员账户、数据库管理员账户等。
b)具有修改中心业务数据权限的账户为重要账户。
c)具有读取涉及中心秘密业务数据权限的账户为重要账户。
d)其它管理制度规定为重要账户者。
2.账户依其生存周期分为永久账户和临时账户,临时账户严格按照其生存周期进行管理,到期注销。
1.2 账户注册规定1.使用唯一的用户ID,保护用户的操作行为与用户本人身份唯一对应,便于对用户行为的审计以及追溯。
2.检查系统所赋予用户的访问权限是否与业务目标匹配,防止出现过度授权现象。
3.维护一份完整的系统应用授权明晰文档,并做到及时更新。
1.3 口令生成和保存1. 账户分配时必须同时生成相应的口令,并且与账户一起传送给用户,不得创建没有口令的账户;2. 管理员在传递账户和口令时,当采取安全的传输途径,以保证不会被中途截取;3. 用户在接受到账户和口令后,在第一次登录账户时修改口令;4. 对于以口令作为唯一验证证据的账户,如果账户的用户名由确定且公开的规则产生,则口令不应当为公开的口令;5.不得将账户口令明文存储在计算机上或写在记事本上;6.为满足应急响应需求,将重要账户的口令密封保存在安全场所,并随口令的更改及时更换口令信封。
口令信封一旦打开,必须立即登录其中涉及的所有账户并更改所有口令;7.如发现口令有泄露迹象,立刻报告主管领导并进行记录,以便及时处理。
1.4 口令设立原则1. 账户的口令必须是具有足够的长度和复杂度,使口令难于被猜测;2. 账户的口令必须是在必要时间或次数(最少5次)内不循环使用;3. 账户曾用的各个口令之间应当是没有直接联系的,以保证不可由以前的口令推知现在的口令;4. 账户的前后两个口令之间的相同部分尽量减少,减低由前一个口令分析出后一个口令的机会;5. 账户的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
信息系统帐号及密码管理规范
如有帮助,欢迎下载支持!变更版本1目的为保证系统安全,防止非法进入系统,明确操作人员职权、责任范围,特制定本制度。
2范围适用于XXXX及辖下所有分公司的所有信息系统涉及到的访问控制。
3定义信息系统是指基于计算机和计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
信息系统是由软件、硬件、操作人员及系统所承载的信息等几部分组成。
软件包括计算机系统软件、网络软件和应用软件等,这些软件对系统硬件进行管理并为按需求进行信息处理等应用提供必要的支持;硬件包括计算机硬件、网络硬件及其配套硬件设备等,它们是信息的载体,信息系统的基础;人是信息系统最终使用者,也是在信息系统整个生命周期中,如规划设计、建设实施、运行维护等过程中的参与者和管理者,人的因素是保证信息系统正常工作不可缺少的重要部分。
4职责4.1权限申请人:IT部。
4.2各业务部门负责人:负责系统相关模块应用程序访问权限的分配、审批。
4.3IT部:负责系统访问控制的技术管理以及访问权限控制和实施。
4.4人力资源部:负责通知IT部人事变更情况。
5程序5.1权限分配5.1.1系统内操作人员权限分配由系统管理员负责。
5.1.2计算机系统密码主要分为超级用户密码(特权密码)和普通用户密码。
5.1.3操作系统密码、超级用户密码、数据库、等由技术经理,系统管理员,数据库管理员分段管理,不能随意下放给一般工作人员。
5.1.4各单位计算机操作系统必须按授权人数设置用户,并分别由操作人员本人设置和保管密码。
其中管理员(Administrator)密码由系统管理人员设置并保管。
5.1.5操作员必须一人一码,严禁多人一码或一人多码。
5.2权限调整因工作需要,确需对权限分配进行调整的,必须由申请人提出申请,说明调整原因,明确调整范围,经领导签字同意并履行书面手续后,方可由系统管理员进行调整。
5.3终端安全5.3.1操作员必须一人一码,严禁多人一码或一人多码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户账号和密码安全管理规范V 1.0目录概述 (3)适用范围 (4)用户帐号的分类 (5)用户帐号的创建 (6)用户帐号创建流程 (6)用户帐号创建的安全事宜 (6)密码设置标准和最小强度规定 (8)密码设置标准 (8)密码最小强度规定 (8)用户帐号和密码的保护 (10)用户帐号和密码的管理 (12)用户密码的变更 (12)用户帐号的禁止 (12)用户帐号的删除 (12)用户帐号和密码管理制度的实施 (14)实施工作流程 (14)更新维护要求 (14)奖励和处罚 (15)参考文献 (16)概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。
几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。
因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。
本管理制度的主要作用在于对**用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。
本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述:⏹用户帐号的分类根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。
⏹用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。
密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。
⏹用户帐号和密码保护规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。
⏹用户帐号和密码的管理规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。
⏹用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。
适用范围本管理制度适用于**所有用户帐号和密码,以及能访问相关计算机信息的员工,包括管理、支持、维护用户帐号和密码的IT人员。
根据信息安全的需要,把**计算机信息系统用户帐号分为以下几类:⏹信息安全员帐号由**信息安全员具体掌管。
一般是指所有计算机系统,包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的超级管理员帐号或有超级管理员权限的帐号。
其主要用于创建、初始(密码)、变更(权限)、删除、禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等。
⏹系统管理员帐号由相关系统管理员具体掌管,一般是指所有计算机系统,包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。
⏹系统操作员帐号由相关系统操作员拥有的,有限操作权限的帐号。
系统操作员帐号主要用于完成既定的计算机信息系统的操作工作,例如打印、备份、数据输入等。
⏹普通用户帐号由最终用户拥有的有限操作权限的帐号,用于完成日常工作。
用户帐号创建流程普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请,经其核准后,送交系统管理员具体实施帐号和密码的初始化程序,并登记备查,然后通知有关用户。
如果需要创建系统管理员帐号或是信息安全员帐号,则需要向**信息安全主管提出书面申请。
经核实批准后,再由**信息安全主管授权,才能实施帐号和密码的初始化程序,并登记备查。
**可参照执行。
所有的步骤(包括临时权限的授予和取消步骤),由系统的安全日志组件自动记录1。
信息安全员必须对相关帐号日志和帐号创建申请进行定期(每月一次)安全审计。
用户帐号创建的安全事宜在创建用户帐号时,必须遵循下列安全规定:1如果系统不提供相应的日志记录功能,必须考虑以手工的方式对整个过程进行记录。
⏹严格限制创建公用用户帐号,且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。
⏹正式用户帐号的申请人只局限于本**部员工。
⏹用户帐号的权限设置应遵循“最小需要知道”原则,即给用户能完成工作的最小权限。
⏹关闭任何缺省的匿名帐号。
⏹系统开启对用户帐号、用户权限和登录管理的日志审计功能。
⏹禁止使用空密码或与用户名相同的密码,作为初始密码。
⏹系统管理员在通知用户初始密码时,必须采用加密或其他安全传输途径,以确保初始密码不会被中途截取。
⏹系统管理员必须强制用户在第一次登录时,修改其初始密码。
⏹严禁以任何明文形式传递和存放用户的初始密码。
⏹因为项目原因,需要创建临时用户帐号时,则由项目负责人向**信息安全主管提出书面申请,经由核准后,再由系统管理员统一创建(临时用户帐号的密码由项目负责人统一指定和保管);并且严禁在生产系统中创建临时用户或测试用户。
项目完成后,立即删除所有临时的用户帐号。
密码设置标准和最小强度规定密码设置标准⏹所有密码必须是具有足够长度和复杂度。
⏹所有密码之间没有任何联系,即无法从前个生成的密码推测出下个密码。
⏹所有密码不得采用英文单词、拼音或其他有意义的词语和符号,例如用户的姓名、生日等。
⏹所有密码不得全部由数字或字母组成,除非系统不予支持。
密码最小强度规定22如果,所规定的密码最小强度不被系统支持,则使用该系统所支持的最高强度密码。
用户帐号和密码的保护关于**用户帐号和密码的保护,本管理制度做下列规定:⏹对于自动生成密码的系统,必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。
⏹用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分,特别是拥有管理员权限或超级管理员权限的用户。
⏹严禁以任何明文格式存储帐号和密码3。
⏹严禁通过公共网络(例如,互联网、公共电话网等),以明文格式传送帐号和密码。
⏹系统管理员必须设定用户登录尝试的次数限制,对于信息安全员和系统管理员帐号,登录尝试次数为3次。
对于普通用户和系统操作员帐号,登录尝试次数为5次。
一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数,该帐号会被自动禁止,直到系统管理员重新激活该用户帐号。
⏹系统管理员应当设定:在用户成功登录系统后,提示用户上次登录的情况(时间、登录名和登录成功与否等信息)4。
⏹系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制,严禁对其进行任何远程访问(只有信息安全员帐号才有“读”的权限)。
⏹系统管理员必须在系统正式启用前,更改所有的系统缺省帐号的密码,并禁止所有匿名帐号。
⏹系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时,必须强制该用户更改密码。
⏹系统管理员必须定期检查用户帐号使用情况,如有用户帐号在30天内没有使用,则有必要暂时禁止用户帐号(系统管理员帐号和信息安全员帐号例外)。
⏹系统管理员必须强制设定用户密码不得为空,并且符合有关密码强度规定。
3如果使用有加密功能的密码存储软件,则需经过计算机信息安全相关人员评估核准后方可使用。
4此功能的设定,能使用户立即知道自己的计算机是否被非法(使用未知用户名或使用自己的用户名在非工作时间)登录,有助于立即发现计算机安全事故和安全隐患。
⏹系统管理员必须开启系统内建的用户帐号、用户权限管理和登录管理的审计功能,并对其生成的日志文件进行妥善保管,以确保日志文件的安全性和完整性。
⏹**和**的信息安全员必须定期对用户帐号和密码的使用、变更、禁用、删除相关的系统日志文件连同相关书面申请文件进行安全审计(每月一次),并对所有相关文件进行记录备案。
⏹**和**的信息安全员必须定期(每月一次)对用户帐号进行清查工作,及时删除无用、无主的用户帐号。
⏹严禁以任何理由,使用他人帐号或操作卡访问**计算机信息系统资源。
⏹严禁以任何方式获取他人帐号和密码。
⏹严禁在任何生产系统中创建临时用户或测试用户帐号。
⏹小型机生产机和主数据库生产机的超级管理员密码必须分为两段,由**信息安全员和相关的系统管理员二人分别掌管,二人同时在场方可实施本机登录。
⏹**信息安全员帐号和密码,必须由**信息安全员将其备份,经安全密封后,存放在保险柜中妥善保管。
;**信息安全员帐号和密码,必须由**信息安全主管将其备份,经安全密封后,存放在保险柜中妥善保管。
用户帐号和密码的管理用户密码的变更⏹在系统管理员创建或初始化用户帐号和密码后,用户需要立即改变初始密码。
⏹所有用户的密码必须定期进行变更(所有密码的变更周期应小于1个月,并大于5天),以最大程度确保密码的安全性。
⏹用户丢失或遗忘密码,必须向其所在部门主管提出书面密码初始化申请,经核准后,由系统管理员具体实施密码的初始化程序,然后通知有关用户,并登记备案。
⏹系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时,应立即强制该用户更改密码,并记录备案。
用户帐号的禁止⏹在超过规定登录次数限制时,用户帐号会被系统自动锁住5。
⏹用户帐号在规定时间(30天)内没有使用,用户帐号会被系统管理员手工禁止。
⏹用户没有按密码定期变更的规定定期修改密码,超过系统设定的时限(5天)后,用户帐号会被系统自动禁止。
⏹用户违反**信息安全管理的有关规章制度,在经教育无效后,由信息安全主管授权,其用户帐号会被系统管理员手工禁止。
⏹用户在外长期休假(事、病假)、出差,在此期间,其相应的用户帐号应被系统管理员手工禁止。
⏹当用户发现帐号由于其他原因被禁止时,应及时报告部门主管和系统管理员,系统管理员在查明原因后再为其开通,并记录在案。
用户帐号的删除⏹用户如果因岗位变动而不再需要访问计算机信息资源时,系统管理员在收到该用户所在部门主管的书面通知后,删除该用户相应的用户帐号。
5此功能是为了防止有人使用“穷举法”猜测用户登录密码。
⏹用户离职后,系统管理员在接到该用户所在部门主管的书面通知后,删除该用户所有的用户帐号。
⏹为了项目或其他特殊原因而临时开放的用户帐号,如不再需要,经由项目负责人或**信息安全主管同意后,立即删除。
用户帐号权限的变更⏹如果用户因岗位变动或其他工作原因需要修改计算机访问权限,其部门主管需要书面通知有关系统管理人员,由系统管理人员修改权限。
⏹系统管理员需要依照“最小需要知道”原则对用户权限分配情况进行定期检查,如有必要,将修改用户权限,并通知该用户和其部门主管。
用户帐号和密码管理制度的实施实施工作流程本管理制度是由**信息安全主管主要负责制订,并送交**信息安全领导小组审批。
经审批通过后,由**信息安全主管领导、**信息安全员统一负责、**信息安全员分管负责,并在相关IT人员的协助下完成具体实施工作。
更新维护要求**信息安全主管负责用户帐号和密码安全管理制度的维护工作。
当制订用户帐号和密码安全使用管理制度的依据发生变化时,例如发生重大安全事故、出现新的安全弱点、**信息安全管理组织架构发生变化等,需要对用户帐号和密码安全使用管理制度进行相应的修改和审计,并报信息安全领导小组审批。