当前位置: 首页 >> 规章制度 >> 正文

账户和密码安全管理规定

发布者: [发表时间]:2015-12-02 [来源]:

一、总则

1、为了规范北京外国语大学信息技术中心(以下简称信息技术中心)各信息系统帐号密码管理,保障各系统安全运行,特制定本规定。

2、本规定适用于北京外国语大学信息技术中心。

二、用户账户的创建

1、严格限制创建公用用户帐号,且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。

2、用户帐号的权限设置应遵循“最小化”原则,即给用户能完成工作的最小权限。

3、关闭任何缺省的匿名帐号。

4、系统开启对用户帐号、用户权限和登录管理的日志审计功能。

5、禁止使用空密码或与用户名相同的密码,作为初始密码。

6、系统管理员在第一次登录时,必须修改初始密码。

7、特殊原因,需要创建临时用户帐号时,则由项目负责人向责任部门主管领导提出书面或校内邮件申请,经由核准后,再由系统管理员统一创建(临时用户帐号的密码由项目负责人统一指定和保管);并且严禁在重要业务系统中创建临时       用户或测试用户。项目完成后,立即删除所有临时的用户帐号。

三、账户密码的设置

1、基础运行环境(包括网络系统、安全系统、主机服务器操作系统、数据库、公共平台、中间件等)的管理员密码设置要求如下:

A、长度不得少于8个字符。

B、复杂度要求:必须是大小写字母、数字和符号的组合。

C、修改周期:半年。

D、密码修改:再次修改的密码应确保未使用最近5次内的重复的密码。

2、应用系统管理员权限的用户密码设置要求如下:

A、长度不得少于8个字符。

B、复杂度要求:必须是大小写字母、数字和符号的组合。

C、修改周期:半年。

D、密码修改:再次修改的密码应确保未使用最近5次内的重复的密码。

3、普通终端用户密码设置要求如下:

A、长度不得少于8个字符。

B、复杂度要求:至少达到大小写字母和数字的组合。

C、修改周期:一年。

4、密码设置应避免以下选择:

A、亲戚、朋友、同事、单位等的名字,生日、车牌号、电话号码。

B、一串相同的数字或字母。

C、明显的键盘颁序列。

D、所有上面情况的逆序或前后加一个数字。

E、常见的词语或字典词语。

四、账户密码的使用

1、应避免在纸上记录密码,或以明文方式记录存储在计算机内。

2、用户忘记密码时,管理员必须在对该用户进行适当的身份识别后才能向其提供临时密码。

3、密码文件的存储应和系统数据相分开,并采用安全方式存储和传输口令(例如加密或哈希)。

4、禁止在任何自动登录程序中使用密码,如在宏或功能键中存储。

5、应采取有效措施,保证用户密码在传输和存储时的安全,例如对密码进行加密传输和保存。

6、应保证口令安全,不得共享个人口令,不得向任何人泄漏。对于泄漏口令造成的损失,由本人负责。

7、以下情况时相关密码必须立即更改并做好记录:

A、帐号使用人由于工作的变动不再需要访问权限。

B、工程施工、厂商维护完成。

C、帐号使用者违背了有关密码管理规定。

D、一旦有迹象表明密码可能被泄露。

E、发生其他情况,由上级主管人员认为不应再具有访问权限的。

五、用户账户和密码的保护

1、对于自动生成密码的系统,必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。

2、用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分,特别是拥有管理员权限或超级管理员权限的用户。

3、严禁以任何明文格式存储帐号和密码。

4、严禁通过公共网络(例如:互联网、公共电话网等),以明文格式传送帐号和密码。

信息安全管理员必须设定所有用户登录尝试的次数限制,对于信息安全管理员和系统管理员帐号,登录尝试次数为3次。对于其他帐号,登录尝试次数为5次。一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数,该帐号会被自动禁止,直到重新激活该用户帐号。

信息安全管理员应当设定:在用户成功登录系统后,提示用户上次登录的情况(时间、登录名和登录成功与否等信息)。

系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制,严禁对其进行任何远程访问。

系统管理员必须在系统正式启用前,更改所有的系统缺省帐号的密码,并禁止所有匿名帐号。

信息安全管理员在发现任何企图非法使用某用户帐号的情况时,必须强制该用户更改密码。

系统管理员必须定期检查用户帐号使用情况,如有用户帐号在30天内没有使用,则有必要暂时禁止用户帐号(系统管理员帐号除外)。

系统管理员必须强制设定用户密码不得为空,并且符合有关密码强度规定。

系统管理员应开启系统内建的用户帐号、用户权限管理和登录管理的审计功能,并对其生成的日志文件进行妥善保管,以确保日志文件的安全性和完整性。

信息安全管理员必须定期(每月一次)对用户帐号密码进行审查工作(相关科室科长提供信息),及时提出整改意见。

严禁以任何理由,使用他人帐号或操作卡访问网络运营中心计算机信息系统资源。

严禁以任何方式获取他人帐号和密码。

严禁在任何重要业务系统中创建临时用户或测试用户帐号。

系统管理员帐号和密码,每月或重要事件后必须修改一次,由部门负责人将其备份,妥善保管,并填写《用户密码信息统计审核表》。

附则

本规定由信息技术中心负责解释和修订。

本规定自发布之日起执行。