密码使用监督管理条例
密码使用监督管理条例

1. 概述
第1条 随着公司网络建设的发展,内部员工大量使用基于操作系统的账号、基于数据库的账号和基于应用系统的账号,大量账号和口令的使用导致管理极大的复杂化,为了保证各个系统的账号和口令管理保持在一个一致的水平上,特制定本标准。本标准规定了账号和口令管理的相关职责定义、管理流程。
第2条 本条例为公司各网络系统的用户帐号及口令的使用、维护及处罚的依据
2. 适用范围
第3条 本规定适用全公司范围内的各网络系统,包括但不限于各种操作系统,路由器,交换机,数据库等业务应用系统等。
第4条 本规定适用全公司范围内的各系统的用户,包括但不限于数据库系统管理员、业务系
统管理员、网络管理员、业务系统使用人员、个人计算机使用者等。同样适用于全公司范围内所有使用个人计算机及网络的员工。
3. 术语解释
第5条 授权用户:
公司内部人员:指与公司签定“员工聘用协议书”,属于公司的正式员工。
使用公司网络资源的非公司人员:指临时到公司工作不与公司签定“员工聘用协议书”的人员,包括但不限于开发商、集成商、供应商、顾问、合作人员、实习生、临时工、公司外包业务人员等,这类人员不是正式员工,不进入公司的人力资源管理系统。
第6条 帐号
帐号∶指在系统内设定的可以访问本系统内部资源的ID或其他许可形式。
管理员帐号:指在系统中具有较大的权限,对网络的运行和安全具有巨大影响的帐号,典型用户为系统管理员。
超级管理员帐号:指对系统具有超级权限的帐号,包含但不限于UNIX的ROOT,WINNT的administrators组成员,数据库的DBA等用户。
公用帐号:指供一组人使用的帐号,其合法使用人限于一个组内。
匿名帐号:只供不确定人员使用的帐号,多用于通过INTERNET的访问。
第7条 口令
口令:指系统为了鉴别帐号使用人的身份而要求使用人提供的证据,如在数据库系统的口令,NOTES系统的帐号文件及帐号口令。
健壮口令:具有足够的长度和复杂度,难于被猜测的口令;强壮的口令具备以下特征:
同时具备大写和小写字符
同时具备字母、数字和特殊符号,特殊符号举例如下!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)
8个字符或者以上
不是字典上的单词或者汉语拼音
不基于个人信息、名字和家庭信息
口令不应该记在非经特别保护的纸面上,不能未经加密存储在电子介质中。口令不应该太难记忆。
弱口令:仅由字母、单词、数字或其简单的组合,易于猜测的口令;弱口令有以下特征:
口令长度少于8个字符;
口令是可以在字典中直接发现的单词;
口令比较常见,例如:
o 家人名字、朋友名字、同事名字等等
o 计算机名字、术语、公司名字、地名、硬件或软件名称
o 生日、个人信息、家庭地址、电话
o 某种模式的,例如aaabbb、asdfgh、123456、123321等等
o 任何上面一种方式倒过来写
o 任何上面一种方式带了一个数字
4. 帐号设立
第8条 系统要求
公司所使用的操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能;
所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。
第9条 帐号申请原则
只有授权用户才可以申请系统帐号;
员工使用软件系统的帐号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;
帐号相应的权限应该以满足用户需要为原则,不得有与用户职责无关的权限;
对于确因工作需要而必须申请系统帐号的公司外部人员,则必须经部门主管批准,且有公司正式员工作为安全责任人;
任何系统的帐号必须是可以区分责任人,责任人必须细化到个人,不得以部门或个人组作为责任人;
第10条 公用帐号
系统应当严格限制开设公用帐号,一般情况下公用帐号不得具有访问保密信息和对系统写的权限;
公用帐号应该设立责任人,负责帐号的正常使用及维护;
第11条 匿名帐号
匿名帐号只被允许访问系统中可公开的且对公司有益的资源,不得访问任何内部公开及以上秘密等级的资源;
对匿名用户对系统的访问必须有详细的记录;
5. 口令设立
第12条 口令的生成
系统帐号分配时必须同时生成相应的口令,并且与帐号一起传送给用户;
用户在接受到帐号和口令后,必须马上修改口令,任何时间都不得存在没有口令的帐号,除非该帐号已经失效;
对于系统的帐号验证只有口令作为证据的系统,如果帐号名由确定的且公开的规则产生的,则口令不应当为公开的口令;
管理员在传递帐号和口令时,应当采取加密或其他安全的传输途径,以保证口令不会被中途截取。
第13条 口令设立的原则
帐号口令必须是具有足够的长度和复杂度,使口令难于被猜测;
帐号口令必须是在必要时间或次数内不循环使用;
帐号的各个口令之间应当是没有直接联系的,以保证不可有以前的口令推知现在的口令;
帐号的前后两个口令之间的相同部分应当尽量减少,减低由前一个口令分析出后一个口令的机会;
帐号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。
第14条 口令要求
普通用户口令长度不得低于6位,最近3个口令不可重复,口令中必须包含字母和数字;
管理员和超级管理员帐号口令长度不得低于8位,最近6个口令不可重复,口令中必须包含字母和数字,口令中同一个符号出现不得多于2次,各个口令中相同位置的字符相同的不得多于3个,口令不得为有意义的单词或短语;
所有系统管理员级别的口令(例如root、enable、NT administrator、DBA等)必需每三个月更换一次,并依照规定进行存档备份。
所有用户级别的口令(例如email、OA用户)应每六个月变更一次。建议4个月变更一次。
用户所使用的任何具备系统超级用户权限(包括并不限于系统管理员账号和有su权限账号)账号口令必需和这个用户其他账号的口令均不相同。
6. 口令保护
第15条 工作中的账号口令不要和个人其他账号口令相同。尽量做到不同用途使用不同口令。
第16条 不要把自己口令共享给他人。
第17条 这是一个禁止的行为的清单
不要在email中写口令
不要给你上司口令(特权账号口令备份是个例外)
在别人面前谈论的时候,不要提到口令
不要暗示自己口令的格式
不要在调查中给出口令
不要告诉家人口令
休假时不要把自己口令告诉他人
第18条 如果有任何人需要口令,参照本文档,或者经过部门负责人的特别授权。
第19条 不要使用非公司授权和许可的口令记忆软件。
第20条 如果口令可能被破解了,应立即报告部门负责人和上级部门,并且更改所有口令。
第21条 口令的更改必须指定两位专人负责,由这两人根据要求定期进行更改。责任人必须保证口令更改的及时性、有效性,同时必须在“重要口令更改记录表”中进行详细记录,并保证在网设备的口令与记录上的口令保持一致。
第22条 “重要口令更改记录表”必须锁放在机房的安全位置,钥匙由两位责任人掌握。
第23条 取得管理员权限用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用户有权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需要的信息,其他信息则不能被该用户访问。
第24条 安全专员将不定期进行口令猜测尝试,如果口令被猜出,则用户必需立即更换。
7. 变更与取消
第25条 帐号的使用
任何帐号的使用人只限于申请帐号过程中声明的使用人使用,禁止其他人使用此帐号;
帐号系统正式使用前,必须更改原来系统中的缺省帐号的所有口令,以保证正式环境的
安全;
帐号使用人在使用的过程中,不得使用帐号访问与自己工作无关的资源;
第26条 帐号的权限变更
帐号使用人在工作职责发生转变,造成现有职责与现有的在系统中的职责不同时,应当申请权限的修改;管理员发现用户具有工作不需要的权限,可以直接停止多余的权限;
帐号使用人在工作职责发生转变,而不再需要使用系统资源的情况下,应当申请关闭帐号;对不能关闭的帐号则需要转移帐号的责任人;
第27条 口令的修改
帐号的使用人应当定期修改帐号口令,修改口令的间隔应小于本标准的相关规定,对于本标准没有规定的用户,其间隔应当小于6个月;
帐号用户必须在管理员要求更改口令时进行更改口令;如果用户拒绝配合,管理员可以在通知用户及其主管后,关闭用户的帐号,以保证系统的安全;
帐号用户丢失或遗忘口令,必须通过规定的流程向管理员申请初试化口令,用户在接到回执后,应马上更改口令;
帐号用户要求口令修改的方式必须是可以确保用户身份的,且管理员必须有记录;
管理员不可在没有用户申请的时候私自更改用户帐号的口令,除非是经过领导审批的工作需要;
系统的超级管理员帐号的口令属于系统最高机密,应该严格限定使用范围;其他人员确因工作需要而使用超级管理员帐号和口令的,应当向超级管理员帐号和口令的责任人申请口令,并在完成操作后,由责任人更改口令。
第28条 帐号的取消
用户如果因职责变动而离岗,不再需要系统权限且无须将帐号移交给其他责任人,其原岗位主管应当申请帐号的销户,由管理员取消其权限;
遇有员工离职,在各系统中撤销相应用户应该是离职手续的一部分。部门负责人应尽早
直接以书面或E-mail的形式(Email形式需要数字签名)要求各系统和网络管理员撤销某员工的口令,管理员执行完后以书面或E-mail的形式向部门负责人和安全专员通报结果。
用户离职后,管理员应当关闭用户在系统中的所有权限。
8. 维护
第29条 用户的责任与义务:
所有用户有义务确保自己的口令的安全,系统帐号与口令不泄漏给他人,同时避免使用弱口令;
对于使用便携式计算机的用户,应确保设置开机BIOS口令;
使用远程登陆的用户,确保不将口令保留在计算机上;
不将系统中使用的帐号和口令用于其他个人应用;
任何人不得公开其本人或他人口令的全部或部分,除非这种行为不会影响系统帐号的安全性;

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。