口令管理規(guī)定
發(fā)布時(shí)間:2020-09-27 來源: 對照材料 點(diǎn)擊:
附件:
天津市電力公司 信息系統(tǒng)帳號、口令管理規(guī)定(試行) 第一章
總則 第一條 為了規(guī)范天津市電力公司信息系統(tǒng)中終端計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用與系統(tǒng)相關(guān)帳號、口令的建立、使用、維護(hù),保證計(jì)算機(jī)安全和天津市電力公司信息系統(tǒng)正常有序的運(yùn)行,特制定本管理規(guī)定。
第二條 本規(guī)定適用于所有使用公司信息系統(tǒng)的用戶,包括數(shù)據(jù)庫系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)系統(tǒng)的使用人員。同樣適用于天津市電力公司信息系統(tǒng)范圍內(nèi)所有使用個(gè)人計(jì)算機(jī)及網(wǎng)絡(luò)的員工。
第二章
術(shù)語解釋 第三條 授權(quán)用戶:
? 天津市電力公司內(nèi)部人員:指天津市電力公司的在冊職工; ? 非天津市電力公司內(nèi)部人員:指臨時(shí)到天津市電力公司工作,但非天津市電力公司正式員工的人員,包括但不限于開發(fā)商、集成商、供應(yīng)商、顧問、合作人員、臨時(shí)工、外聘人員、外包業(yè)
務(wù)人員等。
第四條 帳號 ? 帳號∶指在系統(tǒng)內(nèi)設(shè)定的可以訪問本系統(tǒng)內(nèi)部資源的 ID 或其他許可形式; ? 管理員帳號:指在系統(tǒng)中具有較大的權(quán)限,能對網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)進(jìn)行關(guān)鍵性設(shè)置權(quán)限的賬號,典型用戶為系統(tǒng)管理員; ? 超級管理員帳號:指對系統(tǒng)具有超級權(quán)限的帳號,包含但不限于 UNIX 的 ROOT,WINNT 的 administrators 組成員,數(shù)據(jù)庫的 DBA 等用戶; ? 公用帳號:指供一組人使用的帳號,其合法使用人限于一個(gè)組內(nèi); ? 匿名帳號:供不確定身份的人員使用的帳號。
第五條 口令 ? 口令:指系統(tǒng)為了認(rèn)證帳號使用人的身份而要求使用人提供的證據(jù),如在數(shù)據(jù)庫系統(tǒng)的口令,辦公自動化系統(tǒng)的帳號文件及帳號口令; ? 健壯口令:具有足夠的長度和復(fù)雜度,難于被猜測的口令; ? 弱口令:僅由字母、單詞、數(shù)字或其簡單的組合,
易于被猜測的口令。
第三章
帳號的建立 第六條 系統(tǒng)要求 ? 天津市電力公司信息系統(tǒng)所使用的計(jì)算機(jī)操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件等均需要支持基于帳號的訪問控制功能; ? 所有需要使用口令的應(yīng)用軟件、業(yè)務(wù)系統(tǒng)都需要對口令文件提供妥善的保護(hù)。
第七條 帳號申請?jiān)瓌t ? 只有授權(quán)用戶才可以申請帳號; ? 任何系統(tǒng)的帳號設(shè)立必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行,具體流程見“附錄一:賬號、口令建立、變更、取消流程”; ? 用戶申請帳號前應(yīng)該接受適當(dāng)?shù)呐嘤?xùn),以確保能夠正常的操作,避免對系統(tǒng)安全造成隱患; ? 帳號相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則,不得授予與用戶職責(zé)無關(guān)的權(quán)限; ? 任何帳號必須是可以區(qū)分責(zé)任人,責(zé)任人必須細(xì)化到個(gè)人,不得以部門或個(gè)人組作為責(zé)任人。
第八條 公用帳號
? 系統(tǒng)應(yīng)當(dāng)嚴(yán)格限制開設(shè)公用帳號,一般情況下公用帳號不得具有訪問保密信息和對系統(tǒng)寫的權(quán)限; ? 公用帳號應(yīng)該設(shè)立責(zé)任人,責(zé)任人必須是天津市電力公司內(nèi)部人員,負(fù)責(zé)帳號的正常使用及維護(hù)。
第九條 匿名帳號 ? 匿名帳號只被允許訪問系統(tǒng)中可公開的資源,不得訪問任何內(nèi)部公開及內(nèi)部公開以上保密等級的資源; ? 系統(tǒng)應(yīng)對匿名賬號的訪問進(jìn)行詳細(xì)記錄。
第四章
口令的設(shè)立 第十條 口令的生成 ? 帳號分配時(shí)必須同時(shí)生成相應(yīng)的口令,并且與帳號一起傳送給用戶; ? 用戶在接受到帳號和口令后,必須馬上修改口令,任何時(shí)間都不得存在沒有口令的帳號; ? 對于系統(tǒng)的帳號驗(yàn)證只有口令作為證據(jù)的系統(tǒng),如果帳號名由確定的且公開的規(guī)則產(chǎn)生的,則口令不應(yīng)當(dāng)為公開的口令; ? 管理員在傳遞帳號和口令時(shí),應(yīng)當(dāng)采取加密或其他安全的傳輸途徑,以保證口令不會被中途截取。
第十一條 口令設(shè)立的原則 ? 帳號口令必須是具有足夠的長度和復(fù)雜度,使口令難于被猜測; ? 帳號口令應(yīng)定期進(jìn)行修改; ? 新口令與舊口令之間應(yīng)沒有直接的聯(lián)系,以保證不可由舊口令推知新口令; ? 帳號的口令不應(yīng)當(dāng)取有意義的詞語或其他符號,如使用者的姓名,生日或其它易于猜測的信息。
第十二條 口令的最低標(biāo)準(zhǔn) ? 普通用戶口令長度不得低于 8 位,最近 6 個(gè)口令不可重復(fù),口令中必須包含字母和數(shù)字; ? 管理員和超級管理員帳號口令長度不得低于 8 位,最近 10 個(gè)口令不可重復(fù),口令中必須包含字母、數(shù)字、符號,口令中同一個(gè)符號出現(xiàn)不得多于 2 次,各個(gè)口令中相同位置的字符相同的不得多于 3 個(gè),口令不得為有意義的單詞或短語。
第五章
賬號的變更 第十三條 帳號的權(quán)限變更 ? 用戶在工作職責(zé)發(fā)生變化,造成現(xiàn)有職責(zé)與現(xiàn)有賬號權(quán)限不符時(shí),應(yīng)當(dāng)申請權(quán)限的變更;管理員發(fā)現(xiàn)用戶具有工作不需要的權(quán)限,可以直接停止多余的權(quán)限;
? 賬號權(quán)限變更必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行,具體流程見“附錄一:賬號、口令建立、變更、取消流程”; 第十四條 口令的修改 ? 用戶應(yīng)當(dāng)定期修改帳號口令,修改口令的間隔應(yīng)小于本標(biāo)準(zhǔn)的相關(guān)規(guī)定,對于本標(biāo)準(zhǔn)沒有規(guī)定的用戶,口令修改間隔應(yīng)當(dāng)小于 6 個(gè)月; ? 用戶必須在管理員要求更改口令時(shí)進(jìn)行更改口令;如果用戶拒絕配合,管理員可以在通知用戶及其主管后,關(guān)閉用戶的帳號,以保證信息系統(tǒng)的安全;用戶如需繼續(xù)使用該帳號,必須通過規(guī)定的流程向管理員申請重新開通,具體流程見“附錄一:賬號、口令建立、變更、取消流程”; ? 用戶丟失或遺忘口令,必須通過規(guī)定的相應(yīng)流程向管理員申請初試化口令,用戶在接到回執(zhí)后,應(yīng)馬上更改口令,具體流程見“附錄一:賬號、口令建立、變更、取消流程”; ? 管理員不可在沒有用戶申請的時(shí)候私自更改用戶帳號的口令; ? 超級管理員帳號的口令屬于系統(tǒng)最高機(jī)密,應(yīng)該嚴(yán)格限定使用范圍;其他人員確因工作需要而使用超級管理員帳號和口令的,應(yīng)當(dāng)向超級管理員帳號和口令的責(zé)任人申請口令,并在完成操作后,由責(zé)任人更改口令。
第六章
賬號的取消 第十五條 帳號的取消 ? 用戶如果因職責(zé)變動而離崗,不再需要系統(tǒng)權(quán)限且無須將帳號移交給其他責(zé)任人,其原崗位主管應(yīng)當(dāng)申請帳號的銷戶,由管理員取消其賬號; ? 用戶離職后,管理員應(yīng)當(dāng)關(guān)閉用戶在系統(tǒng)中的所有權(quán)限; ? 賬號取消必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行,具體流程見“附錄一:賬號、口令建立、變更、取消流程”。
第七章
賬號、口令的維護(hù) 第十六條 帳號的使用 ? 任何帳號只限于申請過程中聲明的用戶使用,禁止其他人使用此帳號; ? 信息系統(tǒng)正式運(yùn)行前,必須更改系統(tǒng)中的缺省帳號口令,以保證正式環(huán)境的安全; ? 用戶不得使用帳號訪問與自己工作無關(guān)的資源。
第十七條 用戶的責(zé)任與義務(wù):
? 所有用戶有義務(wù)確保自己的口令的安全,系統(tǒng)帳號與口令不得泄漏給他人,同時(shí)避免使用弱口令;
? 對于使用便攜式計(jì)算機(jī)的用戶,應(yīng)確保設(shè)置開機(jī)BIOS 口令; ? 使用遠(yuǎn)程登陸的用戶,確保不將口令保留在計(jì)算機(jī)上; ? 不將內(nèi)部應(yīng)用系統(tǒng)中使用的帳號和口令用于其他個(gè)人應(yīng)用中; ? 任何人不得公開其本人或他人口令的全部或部分; ? 嚴(yán)禁任何人通過任何手段非法取得他人帳號和口令進(jìn)入系統(tǒng); ? 任何人不得將其帳號的口令告之無權(quán)使用此帳號的人,如果用戶此種行為導(dǎo)致其他人用此帳號造成對天津市電力公司信息系統(tǒng)的影響,帳號持有人和造成影響的行為的實(shí)施人負(fù)有相同的責(zé)任; ? 嚴(yán)禁任何人利用系統(tǒng)安全漏洞訪問其權(quán)限之外的資源。
第十八條 系統(tǒng)管理員的責(zé)任與義務(wù):
? 確保除匿名帳號外,所有系統(tǒng)用戶都必須有口令; ? 定期審計(jì),檢查系統(tǒng)用戶的數(shù)量和權(quán)限; ? 確保系統(tǒng)和網(wǎng)絡(luò)設(shè)備無默認(rèn)帳號和口令;
? 確保關(guān)鍵應(yīng)用服務(wù)器啟用口令強(qiáng)制策略; ? 對用戶進(jìn)行口令安全培訓(xùn); ? 同一個(gè)管理員在不同主機(jī)上應(yīng)使用不同的帳號和口令。
第八章
考核與處罰 第十九條 對違反本規(guī)定的用戶根據(jù)津電安監(jiān)〔2007〕36 號《天津市電力公司安全生產(chǎn)工作獎(jiǎng)懲規(guī)定》進(jìn)行處罰。
第二十條 如對安全生產(chǎn)造成影響,則依據(jù)〔2002〕05 號《天津市電力公司信息系統(tǒng)事故調(diào)查及考核辦法》進(jìn)行處理。對于違反國家法律的,依法追究法律責(zé)任。
第九章
維護(hù)與解釋 第二十一條 本規(guī)定由天津市電力公司科技信息部每年審視一次,根據(jù)審視結(jié)果修訂,并頒布執(zhí)行。
第二十二條 本規(guī)定的解釋權(quán)歸科技信息部。
第二十三條 本規(guī)定自簽發(fā)之日起生效,以前發(fā)布的相關(guān)制度作廢。
附錄一 賬號、口令建立、變更、取消流程 一、 用戶填寫書面賬號申請單,詳細(xì)、正確填寫相關(guān)內(nèi)容; 二、 由用戶所在部門的主管進(jìn)行申請內(nèi)容的審查,并做批復(fù); 三、 交于科技信息部相關(guān)人員進(jìn)行審批; 四、 對于涉及天津市電力公司涉密信息的賬號申請應(yīng)交于總經(jīng)理工作部進(jìn)行審批; 五、 用戶將申請單交于科技信息部,由科技信息部負(fù)責(zé)進(jìn)行賬號、口令的建立、變更、取消?萍夹畔⒉窟M(jìn)行相應(yīng)的記錄備案。
六、 當(dāng)用戶接收到賬號、口令后,應(yīng)立即更改口令,且口令強(qiáng)度應(yīng)符合本管理規(guī)定的要求。
七、 例外情況:
因系統(tǒng)安全原因或緊急情況,在得到相關(guān)主管部門允許的情況下,不經(jīng)過以上流程而執(zhí)行帳號操作。
附錄二 賬號、口令建立、變更、取消申請表
編號:
申請日期:
年
月
日 用戶姓名
代辦人員姓名
內(nèi)部人員填寫 單位
部門
崗 位 職務(wù)
聯(lián)系電話
外部人員填寫 單位
涉及部門
聯(lián)系電話
申請項(xiàng)目 新建 □
權(quán)限變更 □
口令變更 □
賬號取消 □ 相關(guān)應(yīng)用、系統(tǒng)、設(shè)備 辦公自動化 □
郵件 □
應(yīng)用 □ 應(yīng)用名稱_______________ 服務(wù)器 □ 服務(wù)器名稱_______________
網(wǎng)絡(luò)設(shè)備 □ 設(shè)備名稱_______________ 權(quán)限描述
申請理由
部門主管審批
科技信息部審批
總經(jīng)理工作部審批(涉密賬號需要)
備注 用 戶 簽 章
熱點(diǎn)文章閱讀