用户帐号和密码安全管理规范.doc

用户账号和密码安全管理规范 V 1.0  目 录 概述 4 适用范围 5 用户帐号的分类 6 用户帐号的创建 7 用户帐号创建流程 7 用户帐号创建的安全事宜 7 密码设置标准和最小强度规定 9 密码设置标准 9 密码最小强度规定 9 用户帐号和密码的保护 11 用户帐号和密码的管理 13 用户密码的变更 13 用户帐号的禁止 13 用户帐号的删除 13 用户帐号和密码管理制度的实施 15 实施工作流程 15 更新维护要求 15 奖励和处罚 16 参考文献 17 概述 用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。因此，缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。 本管理制度的主要作用在于对**用户帐号按照其重要性进行分类，并从用户帐号和密码的创建、保护、变更和废除等方面，对用户帐号和密码的相关管理作出详细的规定。 本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述： 用户帐号的分类 根据用户帐号的权限不同，对不同的用户帐号进行归纳分类。 用户帐号的创建 规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。 密码的设置标准和最小强度要求 规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。 用户帐号和密码保护 规定了用户在使用帐号和密码时，所必须遵守的安全规章制度，从而最大限度地确保帐号和密码的安全性。 用户帐号和密码的管理 规定了更改、废除用户帐号（权限）和密码的流程和相关安全事宜。 用户帐号和密码管理制度的实施 规定了本管理制度的具体实施细则，包括工作流程、更新要求和奖惩措施等。 适用范围 本管理制度适用于**所有用户帐号和密码，以及能访问相关计算机信息的员工，包括管理、支持、维护用户帐号和密码的IT人员。 用户帐号的分类 根据信息安全的需要，把**计算机信息系统用户帐号分为以下几类： 信息安全员帐号 由**信息安全员具体掌管。一般是指所有计算机系统，包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的超级管理员帐号或有超级管理员权限的帐号。其主要用于创建、初始（密码）、变更（权限）、删除、禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等。 系统管理员帐号 由相关系统管理员具体掌管，一般是指所有计算机系统，包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。 系统操作员帐号 由相关系统操作员拥有的，有限操作权限的帐号。系统操作员帐号主要用于完成既定的计算机信息系统的操作工作，例如打印、备份、数据输入等。 普通用户帐号 由最终用户拥有的有限操作权限的帐号，用于完成日常工作。 用户帐号的创建 用户帐号创建流程  EMBED Visio.Drawing.6 
 普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请，经其核准后，送交系统管理员具体实施帐号和密码的初始化程序，并登记备查，然后通知有关用户。 如果需要创建系统管理员帐号或是信息安全员帐号，则需要向**信息安全主管提出书面申请。经核实批准后，再由**信息安全主管授权，才能实施帐号和密码的初始化程序，并登记备查。**可参照执行。 所有的步骤（包括临时权限的授予和取消步骤），由系统的安全日志组件自动记录。信息安全员必须对相关帐号日志和帐号创建申请进行定期（每月一次）安全审计。 用户帐号创建的安全事宜 在创建用户帐号时，必须遵循下列安全规定： 严格限制创建公用用户帐号，且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。 正式用户帐号的申请人只局限于本**部员工。 用户帐号的权限设置应遵循“最小需要知道”原则，即给用户能完成工作的最小权限。 关闭任何缺省的匿名帐号。 系统开启对用户帐号、用户权限和登录管理的日志审计功能。 禁止使用空密码或与用户名相同的密码，作为初始密码。 系统管理员在通知用户初始密码时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。 系统管理员必须强制用户在第一次登录时，修改其初始密码。 严禁以任何明文形式传递和存放用户的初始密码。 因为项目原因，需要创建临时用户帐号时，则由项目负责人向**信息安全主管提出书面申请，经由核准后，再由系统管理员统一创建（临时用户帐号的密码由项目负责人统一指定和保管）；并且严禁在生产系统中创建临时用户或测试用户。项目完成后，立即删除所有临时的用户帐号。 密码设置标准和最小强度规定 密码设置标准 所有密码必须是具有足够长度和复杂度。 所有密码之间没有任何联系，即无法从前个生成的密码推测出下个密码。 所有密码不得采用英文单词、拼音或其他有意义的词语和符号，例如用户的姓名、生日等。 所有密码不得全部由数字或字母组成，除非系统不予支持。 密码最小强度规定  密码类别 最小强度规定 信息安全员帐号密码 最小密码长度不小于10位 密码中必须包含大写字母、小写字母、数字和其他特殊符号 和个人信息无关 最近20个密码不得重复 系统管理员帐号密码 最小密码长度不小于8位 密码中必须包含大写字母、小写字母和数字 和个人信息无关 最近10个密码不得重复 系统操作员帐号密码 最小密码长度不小于8位 密码中必须包含字母和数字 和个人信息无关 最近6个密码不得重复 普通用户帐号密码 最小密码长度不小于6位 密码中必须包含字母和数字 和个人信息无关 最近6个密码不得重复 用户帐号初始密码 最小密码长度不小于8位 密码中必须包含大写字母、小写字母和数字 用户帐号和密码的保护 关于**用户帐号和密码的保护，本管理制度做下列规定： 对于自动生成密码的系统，必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。 用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分，特别是拥有管理员权限或超级管理员权限的用户。 严禁以任何明文格式存储帐号和密码 。 严禁通过公共网络（例如，互联网、公共电话网等），以明文格式传送帐号和密码。 系统管理员必须设定用户登录尝试的次数限制，对于信息安全员和系统管理员帐号，登录尝试次数为3次。对于普通用户和系统操作员帐号，登录尝试次数为5次。一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数，该帐号会被自动禁止，直到系统管理员重新激活该用户帐号。 系统管理员应当设定：在用户成功登录系统后，提示用户上次登录的情况（时间、登录名和登录成功与否等信息）。 系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制，严禁对其进行任何远程访问（只有信息安全员帐号才有“读”的权限）。 系统管理员必须在系统正式启用前，更改所有的系统缺省帐号的密码，并禁止所有匿名帐号。 系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时，必须强制该用户更改密码。 系统管理员必须定期检查用户帐号使用情况，如有用户帐号在30天内没有使用，则有必要暂时禁止用户帐号（系统管理员帐号和信息安全员帐号例外）。 系统管理员必须强制设定用户密码不得为空，并且符合有关密码强度规定。 系统管理员必须开启系统内建的用户帐号、用户权限管理和登录管理的审计功能，并对其生成的日志文件进行妥善保管，以确保日志文件的安全性和完整性。 **和**的信息安全员必须定期对用户帐号和密码的使用、变更、禁用、删除相关的系统日志文件连同相关书面申请文件进行安全审计（每月一次），并对所有相关文件进行记录备案。 **和**的信息安全员必须定期（每月一次）对用户帐号进行清查工作，及时删除无用、无主的用户帐号。 严禁以任何理由，使用他人帐号或操作