口令管理規(guī)定
發(fā)布時(shí)間:2020-09-27 來源: 對(duì)照材料 點(diǎn)擊:
附件:
天津市電力公司 信息系統(tǒng)帳號(hào)、口令管理規(guī)定(試行) 第一章
總則 第一條 為了規(guī)范天津市電力公司信息系統(tǒng)中終端計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用與系統(tǒng)相關(guān)帳號(hào)、口令的建立、使用、維護(hù),保證計(jì)算機(jī)安全和天津市電力公司信息系統(tǒng)正常有序的運(yùn)行,特制定本管理規(guī)定。
第二條 本規(guī)定適用于所有使用公司信息系統(tǒng)的用戶,包括數(shù)據(jù)庫(kù)系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)系統(tǒng)的使用人員。同樣適用于天津市電力公司信息系統(tǒng)范圍內(nèi)所有使用個(gè)人計(jì)算機(jī)及網(wǎng)絡(luò)的員工。
第二章
術(shù)語(yǔ)解釋 第三條 授權(quán)用戶:
? 天津市電力公司內(nèi)部人員:指天津市電力公司的在冊(cè)職工; ? 非天津市電力公司內(nèi)部人員:指臨時(shí)到天津市電力公司工作,但非天津市電力公司正式員工的人員,包括但不限于開發(fā)商、集成商、供應(yīng)商、顧問、合作人員、臨時(shí)工、外聘人員、外包業(yè)
務(wù)人員等。
第四條 帳號(hào) ? 帳號(hào)∶指在系統(tǒng)內(nèi)設(shè)定的可以訪問本系統(tǒng)內(nèi)部資源的 ID 或其他許可形式; ? 管理員帳號(hào):指在系統(tǒng)中具有較大的權(quán)限,能對(duì)網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)進(jìn)行關(guān)鍵性設(shè)置權(quán)限的賬號(hào),典型用戶為系統(tǒng)管理員; ? 超級(jí)管理員帳號(hào):指對(duì)系統(tǒng)具有超級(jí)權(quán)限的帳號(hào),包含但不限于 UNIX 的 ROOT,WINNT 的 administrators 組成員,數(shù)據(jù)庫(kù)的 DBA 等用戶; ? 公用帳號(hào):指供一組人使用的帳號(hào),其合法使用人限于一個(gè)組內(nèi); ? 匿名帳號(hào):供不確定身份的人員使用的帳號(hào)。
第五條 口令 ? 口令:指系統(tǒng)為了認(rèn)證帳號(hào)使用人的身份而要求使用人提供的證據(jù),如在數(shù)據(jù)庫(kù)系統(tǒng)的口令,辦公自動(dòng)化系統(tǒng)的帳號(hào)文件及帳號(hào)口令; ? 健壯口令:具有足夠的長(zhǎng)度和復(fù)雜度,難于被猜測(cè)的口令; ? 弱口令:僅由字母、單詞、數(shù)字或其簡(jiǎn)單的組合,
易于被猜測(cè)的口令。
第三章
帳號(hào)的建立 第六條 系統(tǒng)要求 ? 天津市電力公司信息系統(tǒng)所使用的計(jì)算機(jī)操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件等均需要支持基于帳號(hào)的訪問控制功能; ? 所有需要使用口令的應(yīng)用軟件、業(yè)務(wù)系統(tǒng)都需要對(duì)口令文件提供妥善的保護(hù)。
第七條 帳號(hào)申請(qǐng)?jiān)瓌t ? 只有授權(quán)用戶才可以申請(qǐng)帳號(hào); ? 任何系統(tǒng)的帳號(hào)設(shè)立必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行,具體流程見“附錄一:賬號(hào)、口令建立、變更、取消流程”; ? 用戶申請(qǐng)帳號(hào)前應(yīng)該接受適當(dāng)?shù)呐嘤?xùn),以確保能夠正常的操作,避免對(duì)系統(tǒng)安全造成隱患; ? 帳號(hào)相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則,不得授予與用戶職責(zé)無關(guān)的權(quán)限; ? 任何帳號(hào)必須是可以區(qū)分責(zé)任人,責(zé)任人必須細(xì)化到個(gè)人,不得以部門或個(gè)人組作為責(zé)任人。
第八條 公用帳號(hào)
? 系統(tǒng)應(yīng)當(dāng)嚴(yán)格限制開設(shè)公用帳號(hào),一般情況下公用帳號(hào)不得具有訪問保密信息和對(duì)系統(tǒng)寫的權(quán)限; ? 公用帳號(hào)應(yīng)該設(shè)立責(zé)任人,責(zé)任人必須是天津市電力公司內(nèi)部人員,負(fù)責(zé)帳號(hào)的正常使用及維護(hù)。
第九條 匿名帳號(hào) ? 匿名帳號(hào)只被允許訪問系統(tǒng)中可公開的資源,不得訪問任何內(nèi)部公開及內(nèi)部公開以上保密等級(jí)的資源; ? 系統(tǒng)應(yīng)對(duì)匿名賬號(hào)的訪問進(jìn)行詳細(xì)記錄。
第四章
口令的設(shè)立 第十條 口令的生成 ? 帳號(hào)分配時(shí)必須同時(shí)生成相應(yīng)的口令,并且與帳號(hào)一起傳送給用戶; ? 用戶在接受到帳號(hào)和口令后,必須馬上修改口令,任何時(shí)間都不得存在沒有口令的帳號(hào); ? 對(duì)于系統(tǒng)的帳號(hào)驗(yàn)證只有口令作為證據(jù)的系統(tǒng),如果帳號(hào)名由確定的且公開的規(guī)則產(chǎn)生的,則口令不應(yīng)當(dāng)為公開的口令; ? 管理員在傳遞帳號(hào)和口令時(shí),應(yīng)當(dāng)采取加密或其他安全的傳輸途徑,以保證口令不會(huì)被中途截取。
第十一條 口令設(shè)立的原則 ? 帳號(hào)口令必須是具有足夠的長(zhǎng)度和復(fù)雜度,使口令難于被猜測(cè); ? 帳號(hào)口令應(yīng)定期進(jìn)行修改; ? 新口令與舊口令之間應(yīng)沒有直接的聯(lián)系,以保證不可由舊口令推知新口令; ? 帳號(hào)的口令不應(yīng)當(dāng)取有意義的詞語(yǔ)或其他符號(hào),如使用者的姓名,生日或其它易于猜測(cè)的信息。
第十二條 口令的最低標(biāo)準(zhǔn) ? 普通用戶口令長(zhǎng)度不得低于 8 位,最近 6 個(gè)口令不可重復(fù),口令中必須包含字母和數(shù)字; ? 管理員和超級(jí)管理員帳號(hào)口令長(zhǎng)度不得低于 8 位,最近 10 個(gè)口令不可重復(fù),口令中必須包含字母、數(shù)字、符號(hào),口令中同一個(gè)符號(hào)出現(xiàn)不得多于 2 次,各個(gè)口令中相同位置的字符相同的不得多于 3 個(gè),口令不得為有意義的單詞或短語(yǔ)。
第五章
賬號(hào)的變更 第十三條 帳號(hào)的權(quán)限變更 ? 用戶在工作職責(zé)發(fā)生變化,造成現(xiàn)有職責(zé)與現(xiàn)有賬號(hào)權(quán)限不符時(shí),應(yīng)當(dāng)申請(qǐng)權(quán)限的變更;管理員發(fā)現(xiàn)用戶具有工作不需要的權(quán)限,可以直接停止多余的權(quán)限;
? 賬號(hào)權(quán)限變更必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行,具體流程見“附錄一:賬號(hào)、口令建立、變更、取消流程”; 第十四條 口令的修改 ? 用戶應(yīng)當(dāng)定期修改帳號(hào)口令,修改口令的間隔應(yīng)小于本標(biāo)準(zhǔn)的相關(guān)規(guī)定,對(duì)于本標(biāo)準(zhǔn)沒有規(guī)定的用戶,口令修改間隔應(yīng)當(dāng)小于 6 個(gè)月; ? 用戶必須在管理員要求更改口令時(shí)進(jìn)行更改口令;如果用戶拒絕配合,管理員可以在通知用戶及其主管后,關(guān)閉用戶的帳號(hào),以保證信息系統(tǒng)的安全;用戶如需繼續(xù)使用該帳號(hào),必須通過規(guī)定的流程向管理員申請(qǐng)重新開通,具體流程見“附錄一:賬號(hào)、口令建立、變更、取消流程”; ? 用戶丟失或遺忘口令,必須通過規(guī)定的相應(yīng)流程向管理員申請(qǐng)初試化口令,用戶在接到回執(zhí)后,應(yīng)馬上更改口令,具體流程見“附錄一:賬號(hào)、口令建立、變更、取消流程”; ? 管理員不可在沒有用戶申請(qǐng)的時(shí)候私自更改用戶帳號(hào)的口令; ? 超級(jí)管理員帳號(hào)的口令屬于系統(tǒng)最高機(jī)密,應(yīng)該嚴(yán)格限定使用范圍;其他人員確因工作需要而使用超級(jí)管理員帳號(hào)和口令的,應(yīng)當(dāng)向超級(jí)管理員帳號(hào)和口令的責(zé)任人申請(qǐng)口令,并在完成操作后,由責(zé)任人更改口令。
第六章
賬號(hào)的取消 第十五條 帳號(hào)的取消 ? 用戶如果因職責(zé)變動(dòng)而離崗,不再需要系統(tǒng)權(quán)限且無須將帳號(hào)移交給其他責(zé)任人,其原崗位主管應(yīng)當(dāng)申請(qǐng)帳號(hào)的銷戶,由管理員取消其賬號(hào); ? 用戶離職后,管理員應(yīng)當(dāng)關(guān)閉用戶在系統(tǒng)中的所有權(quán)限; ? 賬號(hào)取消必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行,具體流程見“附錄一:賬號(hào)、口令建立、變更、取消流程”。
第七章
賬號(hào)、口令的維護(hù) 第十六條 帳號(hào)的使用 ? 任何帳號(hào)只限于申請(qǐng)過程中聲明的用戶使用,禁止其他人使用此帳號(hào); ? 信息系統(tǒng)正式運(yùn)行前,必須更改系統(tǒng)中的缺省帳號(hào)口令,以保證正式環(huán)境的安全; ? 用戶不得使用帳號(hào)訪問與自己工作無關(guān)的資源。
第十七條 用戶的責(zé)任與義務(wù):
? 所有用戶有義務(wù)確保自己的口令的安全,系統(tǒng)帳號(hào)與口令不得泄漏給他人,同時(shí)避免使用弱口令;
? 對(duì)于使用便攜式計(jì)算機(jī)的用戶,應(yīng)確保設(shè)置開機(jī)BIOS 口令; ? 使用遠(yuǎn)程登陸的用戶,確保不將口令保留在計(jì)算機(jī)上; ? 不將內(nèi)部應(yīng)用系統(tǒng)中使用的帳號(hào)和口令用于其他個(gè)人應(yīng)用中; ? 任何人不得公開其本人或他人口令的全部或部分; ? 嚴(yán)禁任何人通過任何手段非法取得他人帳號(hào)和口令進(jìn)入系統(tǒng); ? 任何人不得將其帳號(hào)的口令告之無權(quán)使用此帳號(hào)的人,如果用戶此種行為導(dǎo)致其他人用此帳號(hào)造成對(duì)天津市電力公司信息系統(tǒng)的影響,帳號(hào)持有人和造成影響的行為的實(shí)施人負(fù)有相同的責(zé)任; ? 嚴(yán)禁任何人利用系統(tǒng)安全漏洞訪問其權(quán)限之外的資源。
第十八條 系統(tǒng)管理員的責(zé)任與義務(wù):
? 確保除匿名帳號(hào)外,所有系統(tǒng)用戶都必須有口令; ? 定期審計(jì),檢查系統(tǒng)用戶的數(shù)量和權(quán)限; ? 確保系統(tǒng)和網(wǎng)絡(luò)設(shè)備無默認(rèn)帳號(hào)和口令;
? 確保關(guān)鍵應(yīng)用服務(wù)器啟用口令強(qiáng)制策略; ? 對(duì)用戶進(jìn)行口令安全培訓(xùn); ? 同一個(gè)管理員在不同主機(jī)上應(yīng)使用不同的帳號(hào)和口令。
第八章
考核與處罰 第十九條 對(duì)違反本規(guī)定的用戶根據(jù)津電安監(jiān)〔2007〕36 號(hào)《天津市電力公司安全生產(chǎn)工作獎(jiǎng)懲規(guī)定》進(jìn)行處罰。
第二十條 如對(duì)安全生產(chǎn)造成影響,則依據(jù)〔2002〕05 號(hào)《天津市電力公司信息系統(tǒng)事故調(diào)查及考核辦法》進(jìn)行處理。對(duì)于違反國(guó)家法律的,依法追究法律責(zé)任。
第九章
維護(hù)與解釋 第二十一條 本規(guī)定由天津市電力公司科技信息部每年審視一次,根據(jù)審視結(jié)果修訂,并頒布執(zhí)行。
第二十二條 本規(guī)定的解釋權(quán)歸科技信息部。
第二十三條 本規(guī)定自簽發(fā)之日起生效,以前發(fā)布的相關(guān)制度作廢。
附錄一 賬號(hào)、口令建立、變更、取消流程 一、 用戶填寫書面賬號(hào)申請(qǐng)單,詳細(xì)、正確填寫相關(guān)內(nèi)容; 二、 由用戶所在部門的主管進(jìn)行申請(qǐng)內(nèi)容的審查,并做批復(fù); 三、 交于科技信息部相關(guān)人員進(jìn)行審批; 四、 對(duì)于涉及天津市電力公司涉密信息的賬號(hào)申請(qǐng)應(yīng)交于總經(jīng)理工作部進(jìn)行審批; 五、 用戶將申請(qǐng)單交于科技信息部,由科技信息部負(fù)責(zé)進(jìn)行賬號(hào)、口令的建立、變更、取消?萍夹畔⒉窟M(jìn)行相應(yīng)的記錄備案。
六、 當(dāng)用戶接收到賬號(hào)、口令后,應(yīng)立即更改口令,且口令強(qiáng)度應(yīng)符合本管理規(guī)定的要求。
七、 例外情況:
因系統(tǒng)安全原因或緊急情況,在得到相關(guān)主管部門允許的情況下,不經(jīng)過以上流程而執(zhí)行帳號(hào)操作。
附錄二 賬號(hào)、口令建立、變更、取消申請(qǐng)表
編號(hào):
申請(qǐng)日期:
年
月
日 用戶姓名
代辦人員姓名
內(nèi)部人員填寫 單位
部門
崗 位 職務(wù)
聯(lián)系電話
外部人員填寫 單位
涉及部門
聯(lián)系電話
申請(qǐng)項(xiàng)目 新建 □
權(quán)限變更 □
口令變更 □
賬號(hào)取消 □ 相關(guān)應(yīng)用、系統(tǒng)、設(shè)備 辦公自動(dòng)化 □
郵件 □
應(yīng)用 □ 應(yīng)用名稱_______________ 服務(wù)器 □ 服務(wù)器名稱_______________
網(wǎng)絡(luò)設(shè)備 □ 設(shè)備名稱_______________ 權(quán)限描述
申請(qǐng)理由
部門主管審批
科技信息部審批
總經(jīng)理工作部審批(涉密賬號(hào)需要)
備注 用 戶 簽 章
熱點(diǎn)文章閱讀