05-用戶帳號(hào)和密碼安全管理規(guī)范解析

1、用戶賬號(hào)和密碼安全管理規(guī)范用戶賬號(hào)和密碼安全管理規(guī)范V 1.0目 錄概述4適用范圍5用戶帳號(hào)的分類6用戶帳號(hào)的創(chuàng)建7用戶帳號(hào)創(chuàng)建流程7用戶帳號(hào)創(chuàng)建的安全事宜7密碼設(shè)置標(biāo)準(zhǔn)和最小強(qiáng)度規(guī)定9密碼設(shè)置標(biāo)準(zhǔn)9密碼最小強(qiáng)度規(guī)定 9用戶帳號(hào)和密碼的保護(hù)11用戶帳號(hào)和密碼的管理13用戶密碼的變更13用戶帳號(hào)的禁止13用戶帳號(hào)的刪除13用戶帳號(hào)和密碼管理制度的實(shí)施15實(shí)施工作流程15更新維護(hù)要求15獎(jiǎng)勵(lì)和處罰16參考文獻(xiàn)17概述用戶帳號(hào)和密碼是計(jì)算機(jī)信息系統(tǒng)中大量使用的用戶身份驗(yàn)證的手段。幾乎所有的訪問控制、安全審計(jì)等信息安全技術(shù)防范措施都是建立在“帳號(hào)+密碼”的用戶身份驗(yàn)證機(jī)制上。因此，缺乏用戶帳號(hào)和密碼管

2、理或不規(guī)范的用戶帳號(hào)和密碼管理都會(huì)使得*信息安全設(shè)備和系統(tǒng)形同虛設(shè)。本管理制度的主要作用在于對(duì)*用戶帳號(hào)按照其重要性進(jìn)行分類，并從用戶帳號(hào)和密碼的創(chuàng)建、保護(hù)、變更和廢除等方面，對(duì)用戶帳號(hào)和密碼的相關(guān)管理作出詳細(xì)的規(guī)定。本管理制度從以下幾個(gè)方面對(duì)用戶帳號(hào)和密碼安全管理進(jìn)行全面闡述：n 用戶帳號(hào)的分類根據(jù)用戶帳號(hào)的權(quán)限不同，對(duì)不同的用戶帳號(hào)進(jìn)行歸納分類。n 用戶帳號(hào)的創(chuàng)建規(guī)定了用戶帳號(hào)和密碼創(chuàng)建的流程和所需遵守的安全規(guī)章制度。密碼的設(shè)置標(biāo)準(zhǔn)和最小強(qiáng)度要求規(guī)定了密碼設(shè)置時(shí)需要遵守的安全規(guī)章制度和不同安全級(jí)別的用戶帳號(hào)所要求的密碼強(qiáng)度。n 用戶帳號(hào)和密碼保護(hù)規(guī)定了用戶在使用帳號(hào)和密碼時(shí)，所必須遵守的安

3、全規(guī)章制度，從而最大限度地確保帳號(hào)和密碼的安全性。n 用戶帳號(hào)和密碼的管理規(guī)定了更改、廢除用戶帳號(hào)（權(quán)限）和密碼的流程和相關(guān)安全事宜。n 用戶帳號(hào)和密碼管理制度的實(shí)施規(guī)定了本管理制度的具體實(shí)施細(xì)則，包括工作流程、更新要求和獎(jiǎng)懲措施等。 適用范圍本管理制度適用于*所有用戶帳號(hào)和密碼，以及能訪問相關(guān)計(jì)算機(jī)信息的員工，包括管理、支持、維護(hù)用戶帳號(hào)和密碼的IT人員。用戶帳號(hào)的分類根據(jù)信息安全的需要，把*計(jì)算機(jī)信息系統(tǒng)用戶帳號(hào)分為以下幾類：n 信息安全員帳號(hào)由*信息安全員具體掌管。一般是指所有計(jì)算機(jī)系統(tǒng)，包括小型機(jī)操作系統(tǒng)、業(yè)務(wù)和辦公服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用程序、網(wǎng)絡(luò)管理應(yīng)用程序、關(guān)鍵

4、網(wǎng)絡(luò)設(shè)備、加密設(shè)備和應(yīng)用程序的超級(jí)管理員帳號(hào)或有超級(jí)管理員權(quán)限的帳號(hào)。其主要用于創(chuàng)建、初始（密碼）、變更（權(quán)限）、刪除、禁止系統(tǒng)管理員帳號(hào)和進(jìn)行其他計(jì)算機(jī)信息系統(tǒng)安全審計(jì)工作等。n 系統(tǒng)管理員帳號(hào)由相關(guān)系統(tǒng)管理員具體掌管，一般是指所有計(jì)算機(jī)系統(tǒng)，包括小型機(jī)操作系統(tǒng)、業(yè)務(wù)和辦公服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用程序、網(wǎng)絡(luò)管理應(yīng)用程序、關(guān)鍵網(wǎng)絡(luò)設(shè)備、加密設(shè)備和應(yīng)用程序的有管理普通用戶和操作員帳號(hào)、設(shè)定普通用戶和操作員訪問許可、修改系統(tǒng)配置、安裝系統(tǒng)組件等權(quán)限的帳號(hào)。n 系統(tǒng)操作員帳號(hào)由相關(guān)系統(tǒng)操作員擁有的，有限操作權(quán)限的帳號(hào)。系統(tǒng)操作員帳號(hào)主要用于完成既定的計(jì)算機(jī)信息系統(tǒng)的操作工作，例如打

5、印、備份、數(shù)據(jù)輸入等。n 普通用戶帳號(hào)由最終用戶擁有的有限操作權(quán)限的帳號(hào)，用于完成日常工作。用戶帳號(hào)的創(chuàng)建用戶帳號(hào)創(chuàng)建流程普通用戶和操作員帳號(hào)由具體用戶向所在部門的主管提出書面申請(qǐng)，經(jīng)其核準(zhǔn)后，送交系統(tǒng)管理員具體實(shí)施帳號(hào)和密碼的初始化程序，并登記備查，然后通知有關(guān)用戶。如果需要?jiǎng)?chuàng)建系統(tǒng)管理員帳號(hào)或是信息安全員帳號(hào)，則需要向*信息安全主管提出書面申請(qǐng)。經(jīng)核實(shí)批準(zhǔn)后，再由*信息安全主管授權(quán)，才能實(shí)施帳號(hào)和密碼的初始化程序，并登記備查。*可參照?qǐng)?zhí)行。所有的步驟（包括臨時(shí)權(quán)限的授予和取消步驟），由系統(tǒng)的安全日志組件自動(dòng)記錄 如果系統(tǒng)不提供相應(yīng)的日志記錄功能，必須考慮以手工的方式對(duì)整個(gè)過程進(jìn)行記錄。信息

6、安全員必須對(duì)相關(guān)帳號(hào)日志和帳號(hào)創(chuàng)建申請(qǐng)進(jìn)行定期（每月一次）安全審計(jì)。用戶帳號(hào)創(chuàng)建的安全事宜在創(chuàng)建用戶帳號(hào)時(shí)，必須遵循下列安全規(guī)定：n 嚴(yán)格限制創(chuàng)建公用用戶帳號(hào)，且公用帳號(hào)不得具有訪問敏感信息以及“寫”和“執(zhí)行”的系統(tǒng)權(quán)限。n 正式用戶帳號(hào)的申請(qǐng)人只局限于本*部員工。n 用戶帳號(hào)的權(quán)限設(shè)置應(yīng)遵循“最小需要知道”原則，即給用戶能完成工作的最小權(quán)限。n 關(guān)閉任何缺省的匿名帳號(hào)。n 系統(tǒng)開啟對(duì)用戶帳號(hào)、用戶權(quán)限和登錄管理的日志審計(jì)功能。n 禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。n 系統(tǒng)管理員在通知用戶初始密碼時(shí)，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會(huì)被中途截取。n 系統(tǒng)管理員必

7、須強(qiáng)制用戶在第一次登錄時(shí)，修改其初始密碼。n 嚴(yán)禁以任何明文形式傳遞和存放用戶的初始密碼。n 因?yàn)轫?xiàng)目原因，需要?jiǎng)?chuàng)建臨時(shí)用戶帳號(hào)時(shí)，則由項(xiàng)目負(fù)責(zé)人向*信息安全主管提出書面申請(qǐng)，經(jīng)由核準(zhǔn)后，再由系統(tǒng)管理員統(tǒng)一創(chuàng)建（臨時(shí)用戶帳號(hào)的密碼由項(xiàng)目負(fù)責(zé)人統(tǒng)一指定和保管）；并且嚴(yán)禁在生產(chǎn)系統(tǒng)中創(chuàng)建臨時(shí)用戶或測(cè)試用戶。項(xiàng)目完成后，立即刪除所有臨時(shí)的用戶帳號(hào)。密碼設(shè)置標(biāo)準(zhǔn)和最小強(qiáng)度規(guī)定密碼設(shè)置標(biāo)準(zhǔn)n 所有密碼必須是具有足夠長(zhǎng)度和復(fù)雜度。n 所有密碼之間沒有任何聯(lián)系，即無法從前個(gè)生成的密碼推測(cè)出下個(gè)密碼。n 所有密碼不得采用英文單詞、拼音或其他有意義的詞語和符號(hào)，例如用戶的姓名、生日等。n 所有密碼不得全部由數(shù)字

8、或字母組成，除非系統(tǒng)不予支持。密碼最小強(qiáng)度規(guī)定 如果，所規(guī)定的密碼最小強(qiáng)度不被系統(tǒng)支持，則使用該系統(tǒng)所支持的最高強(qiáng)度密碼。密碼類別最小強(qiáng)度規(guī)定信息安全員帳號(hào)密碼n 最小密碼長(zhǎng)度不小于10位n 密碼中必須包含大寫字母、小寫字母、數(shù)字和其他特殊符號(hào)n 和個(gè)人信息無關(guān)n 最近20個(gè)密碼不得重復(fù)系統(tǒng)管理員帳號(hào)密碼n 最小密碼長(zhǎng)度不小于8位n 密碼中必須包含大寫字母、小寫字母和數(shù)字n 和個(gè)人信息無關(guān)n 最近10個(gè)密碼不得重復(fù)系統(tǒng)操作員帳號(hào)密碼n 最小密碼長(zhǎng)度不小于8位n 密碼中必須包含字母和數(shù)字n 和個(gè)人信息無關(guān)n 最近6個(gè)密碼不得重復(fù)普通用戶帳號(hào)密碼n 最小密碼長(zhǎng)度不小于6位n 密碼中必須包含字母和數(shù)

9、字n 和個(gè)人信息無關(guān)n 最近6個(gè)密碼不得重復(fù)用戶帳號(hào)初始密碼n 最小密碼長(zhǎng)度不小于8位n 密碼中必須包含大寫字母、小寫字母和數(shù)字用戶帳號(hào)和密碼的保護(hù)關(guān)于*用戶帳號(hào)和密碼的保護(hù)，本管理制度做下列規(guī)定：n 對(duì)于自動(dòng)生成密碼的系統(tǒng)，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機(jī)性。n 用戶嚴(yán)禁向任何人公開其本人或他人的帳號(hào)和密碼的全部或部分，特別是擁有管理員權(quán)限或超級(jí)管理員權(quán)限的用戶。n 嚴(yán)禁以任何明文格式存儲(chǔ)帳號(hào)和密碼 如果使用有加密功能的密碼存儲(chǔ)軟件，則需經(jīng)過計(jì)算機(jī)信息安全相關(guān)人員評(píng)估核準(zhǔn)后方可使用。n 嚴(yán)禁通過公共網(wǎng)絡(luò)（例如，互聯(lián)網(wǎng)、公共電話網(wǎng)等），以明文格式傳送帳號(hào)和密碼。n

10、 系統(tǒng)管理員必須設(shè)定用戶登錄嘗試的次數(shù)限制，對(duì)于信息安全員和系統(tǒng)管理員帳號(hào)，登錄嘗試次數(shù)為3次。對(duì)于普通用戶和系統(tǒng)操作員帳號(hào)，登錄嘗試次數(shù)為5次。一旦在一定時(shí)間內(nèi)使用同一個(gè)用戶帳號(hào)的失敗登錄超過限定次數(shù)，該帳號(hào)會(huì)被自動(dòng)禁止，直到系統(tǒng)管理員重新激活該用戶帳號(hào)。n 系統(tǒng)管理員應(yīng)當(dāng)設(shè)定：在用戶成功登錄系統(tǒng)后，提示用戶上次登錄的情況（時(shí)間、登錄名和登錄成功與否等信息） 此功能的設(shè)定，能使用戶立即知道自己的計(jì)算機(jī)是否被非法（使用未知用戶名或使用自己的用戶名在非工作時(shí)間）登錄，有助于立即發(fā)現(xiàn)計(jì)算機(jī)安全事故和安全隱患。n 系統(tǒng)管理員必須對(duì)存有用戶帳號(hào)和密碼的數(shù)據(jù)庫和注冊(cè)表進(jìn)行嚴(yán)格的訪問控制，嚴(yán)禁對(duì)其進(jìn)行任何

11、遠(yuǎn)程訪問（只有信息安全員帳號(hào)才有“讀”的權(quán)限）。n 系統(tǒng)管理員必須在系統(tǒng)正式啟用前，更改所有的系統(tǒng)缺省帳號(hào)的密碼，并禁止所有匿名帳號(hào)。n 系統(tǒng)管理員或信息安全員在發(fā)現(xiàn)任何企圖非法使用某用戶帳號(hào)的情況時(shí)，必須強(qiáng)制該用戶更改密碼。n 系統(tǒng)管理員必須定期檢查用戶帳號(hào)使用情況，如有用戶帳號(hào)在30天內(nèi)沒有使用，則有必要暫時(shí)禁止用戶帳號(hào)（系統(tǒng)管理員帳號(hào)和信息安全員帳號(hào)例外）。n 系統(tǒng)管理員必須強(qiáng)制設(shè)定用戶密碼不得為空，并且符合有關(guān)密碼強(qiáng)度規(guī)定。n 系統(tǒng)管理員必須開啟系統(tǒng)內(nèi)建的用戶帳號(hào)、用戶權(quán)限管理和登錄管理的審計(jì)功能，并對(duì)其生成的日志文件進(jìn)行妥善保管，以確保日志文件的安全性和完整性。n *和*的信息安全員

12、必須定期對(duì)用戶帳號(hào)和密碼的使用、變更、禁用、刪除相關(guān)的系統(tǒng)日志文件連同相關(guān)書面申請(qǐng)文件進(jìn)行安全審計(jì)（每月一次），并對(duì)所有相關(guān)文件進(jìn)行記錄備案。n *和*的信息安全員必須定期（每月一次）對(duì)用戶帳號(hào)進(jìn)行清查工作，及時(shí)刪除無用、無主的用戶帳號(hào)。n 嚴(yán)禁以任何理由，使用他人帳號(hào)或操作卡訪問*計(jì)算機(jī)信息系統(tǒng)資源。n 嚴(yán)禁以任何方式獲取他人帳號(hào)和密碼。n 嚴(yán)禁在任何生產(chǎn)系統(tǒng)中創(chuàng)建臨時(shí)用戶或測(cè)試用戶帳號(hào)。n 小型機(jī)生產(chǎn)機(jī)和主數(shù)據(jù)庫生產(chǎn)機(jī)的超級(jí)管理員密碼必須分為兩段，由*信息安全員和相關(guān)的系統(tǒng)管理員二人分別掌管，二人同時(shí)在場(chǎng)方可實(shí)施本機(jī)登錄。n *信息安全員帳號(hào)和密碼，必須由*信息安全員將其備份，經(jīng)安全密封后

13、，存放在保險(xiǎn)柜中妥善保管。；*信息安全員帳號(hào)和密碼，必須由*信息安全主管將其備份，經(jīng)安全密封后，存放在保險(xiǎn)柜中妥善保管。用戶帳號(hào)和密碼的管理用戶密碼的變更n 在系統(tǒng)管理員創(chuàng)建或初始化用戶帳號(hào)和密碼后，用戶需要立即改變初始密碼。n 所有用戶的密碼必須定期進(jìn)行變更（所有密碼的變更周期應(yīng)小于1個(gè)月，并大于5天），以最大程度確保密碼的安全性。n 用戶丟失或遺忘密碼，必須向其所在部門主管提出書面密碼初始化申請(qǐng)，經(jīng)核準(zhǔn)后，由系統(tǒng)管理員具體實(shí)施密碼的初始化程序，然后通知有關(guān)用戶，并登記備案。n 系統(tǒng)管理員或信息安全員在發(fā)現(xiàn)任何企圖非法使用某用戶帳號(hào)的情況時(shí)，應(yīng)立即強(qiáng)制該用戶更改密碼，并記錄備案。用戶帳號(hào)的禁

14、止n 在超過規(guī)定登錄次數(shù)限制時(shí)，用戶帳號(hào)會(huì)被系統(tǒng)自動(dòng)鎖住 此功能是為了防止有人使用“窮舉法”猜測(cè)用戶登錄密碼。n 用戶帳號(hào)在規(guī)定時(shí)間（30天）內(nèi)沒有使用，用戶帳號(hào)會(huì)被系統(tǒng)管理員手工禁止。n 用戶沒有按密碼定期變更的規(guī)定定期修改密碼，超過系統(tǒng)設(shè)定的時(shí)限（5天）后，用戶帳號(hào)會(huì)被系統(tǒng)自動(dòng)禁止。n 用戶違反*信息安全管理的有關(guān)規(guī)章制度，在經(jīng)教育無效后，由信息安全主管授權(quán)，其用戶帳號(hào)會(huì)被系統(tǒng)管理員手工禁止。n 用戶在外長(zhǎng)期休假（事、病假）、出差，在此期間，其相應(yīng)的用戶帳號(hào)應(yīng)被系統(tǒng)管理員手工禁止。n 當(dāng)用戶發(fā)現(xiàn)帳號(hào)由于其他原因被禁止時(shí)，應(yīng)及時(shí)報(bào)告部門主管和系統(tǒng)管理員，系統(tǒng)管理員在查明原因后再為其開通，并記

15、錄在案。用戶帳號(hào)的刪除n 用戶如果因崗位變動(dòng)而不再需要訪問計(jì)算機(jī)信息資源時(shí)，系統(tǒng)管理員在收到該用戶所在部門主管的書面通知后，刪除該用戶相應(yīng)的用戶帳號(hào)。n 用戶離職后，系統(tǒng)管理員在接到該用戶所在部門主管的書面通知后，刪除該用戶所有的用戶帳號(hào)。n 為了項(xiàng)目或其他特殊原因而臨時(shí)開放的用戶帳號(hào)，如不再需要，經(jīng)由項(xiàng)目負(fù)責(zé)人或*信息安全主管同意后，立即刪除。用戶帳號(hào)權(quán)限的變更n 如果用戶因崗位變動(dòng)或其他工作原因需要修改計(jì)算機(jī)訪問權(quán)限，其部門主管需要書面通知有關(guān)系統(tǒng)管理人員，由系統(tǒng)管理人員修改權(quán)限。n 系統(tǒng)管理員需要依照“最小需要知道”原則對(duì)用戶權(quán)限分配情況進(jìn)行定期檢查，如有必要，將修改用戶權(quán)限，并通知該用

16、戶和其部門主管。用戶帳號(hào)和密碼管理制度的實(shí)施實(shí)施工作流程本管理制度是由*信息安全主管主要負(fù)責(zé)制訂，并送交*信息安全領(lǐng)導(dǎo)小組審批。經(jīng)審批通過后，由*信息安全主管領(lǐng)導(dǎo)、*信息安全員統(tǒng)一負(fù)責(zé)、*信息安全員分管負(fù)責(zé)，并在相關(guān)IT人員的協(xié)助下完成具體實(shí)施工作。更新維護(hù)要求*信息安全主管負(fù)責(zé)用戶帳號(hào)和密碼安全管理制度的維護(hù)工作。當(dāng)制訂用戶帳號(hào)和密碼安全使用管理制度的依據(jù)發(fā)生變化時(shí)，例如發(fā)生重大安全事故、出現(xiàn)新的安全弱點(diǎn)、*信息安全管理組織架構(gòu)發(fā)生變化等，需要對(duì)用戶帳號(hào)和密碼安全使用管理制度進(jìn)行相應(yīng)的修改和審計(jì)，并報(bào)信息安全領(lǐng)導(dǎo)小組審批。同時(shí)，*信息安全主管還需要對(duì)用戶帳號(hào)和密碼安全使用管理制度進(jìn)行每年一次

17、的定期評(píng)估，以確保其內(nèi)容的有效性、準(zhǔn)確性和完整性。獎(jiǎng)勵(lì)和處罰用戶帳號(hào)和密碼安全使用管理制度將由信息安全員進(jìn)行具體負(fù)責(zé)實(shí)施，并把執(zhí)行情況向*信息安全主管匯報(bào)，再由*信息安全主管直接呈報(bào)給*信息安全領(lǐng)導(dǎo)小組作為*各部門年度目標(biāo)責(zé)任制考核的內(nèi)容之一。對(duì)執(zhí)行制度好、計(jì)算機(jī)安全工作成績(jī)顯著的部門和個(gè)人，將給予表彰和獎(jiǎng)勵(lì)；對(duì)違反本安全管理制度和信息安全工作存在隱患的部門，由*信息安全領(lǐng)導(dǎo)小組發(fā)出書面整改通知，限期整改；對(duì)刻意不執(zhí)行本安全管理制度、漠視信息安全工作和存在安全隱患而沒有及時(shí)整改，以至造成重大安全事故和案件的，將追究其部門主要負(fù)責(zé)人和直接責(zé)任者的責(zé)任，并按*工作人員違法規(guī)章制度行為處理辦法所列的相關(guān)條款予