用户帐号和口令管理条例
用户帐号和口令管理条例
1.概述
第1条随着DXC IP网络建设的发展,内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口令管理保持在一个一致的水平上,特制定本标准。本标准规定了账号和口令管理的相关职责定义、管理流程。
第2条本条例为DXC各网络系统的用户帐号及口令的使用、维护及处罚的依据
2.适用范围
第3条本规定适用DXC范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库,计费、营业和客服等业务应用系统等。
第4条本规定适用DXC范围内的各系统的用户,包括但不限于数据库系统管理员、业务系统管理员、网络管理员、业务系统使用人员、个人计算机使用者、合作软件开发商、系统集成商等。同样适用于DXC公司范围内所有使用个人计算机及网络的员工。
第5条本部分是符合《DXC信息安全方针》相关规定制定。主要适用原则为责权一致原则。
3.术语解释
第6条授权用户:
DXC内部人员:指与DXC签定“员工聘用协议书”,属于DXC的正式员工。
使用DXC网络资源的非DXC人员:指临时到DXC工作不与DXC签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、DXC外包业务人员等,这类人员不是正式员工,不进入DXC的人力资源管理系统。
第7条帐号
帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员。
超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户。
公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问。
第8条口令
口令:指系统为了鉴别帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,NOTES系统的帐号文件及帐号口令。
健壮口令:具有足够的长度和复杂度,难于被猜测的口令;强壮的口令具备以下特征:
取得管理员权限同时具备大写和小写字符
同时具备字母、数字和特殊符号,特殊符号举例如下!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)
8个字符或者以上
不是字典上的单词或者汉语拼音
不基于个人信息、名字和家庭信息
口令不应该记在非经特别保护的纸面上,不能未经加密存储在电子介质中。口令不应该太难记忆。
弱口令:仅由字母、单词、数字或其简单的组合,易于猜测的口令;弱口令有以下特征:
口令长度少于8个字符;
口令是可以在字典中直接发现的单词;
口令比较常见,例如:
o家人名字、朋友名字、同事名字等等
o计算机名字、术语、公司名字、地名、硬件或软件名称
o生日、个人信息、家庭地址、电话
o某种模式的,例如aaabbb、asdfgh、123456、123321等等
o任何上面一种方式倒过来写
o任何上面一种方式带了一个数字
4.帐号设立
第9条系统要求
DXC所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能;
所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。
第10条帐号申请原则
只有授权用户才可以申请系统帐号;
任何系统的帐号设立必须按照第六节规定的相应流程规定进行;
员工申请帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;
帐号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限;
对于确因工作需要而必须申请系统帐号的DXC外部人员,则必须经部门主管批准,且有DXC正式员工作为安全责任人,如果需要接触DXC秘密信息,必须通过安全中心审批并且签署保密协议;
任何系统的帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人;
第11条公用帐号
系统应当严格限制开设公用帐号,一般情况下公用帐号不得具有访问保密信息和对系统写的权限;
公用帐号应该设立责任人,负责帐号的正常使用及维护;
第12条匿名帐号

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。