文档信息
文档名称
|
密码管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为确保网络和信息系统的安全平稳运行,保障数据信息安全,依据《信息安全管理办法》制定本管理制度。
对象。本制度的对象主要是指网络设备、服务器、应用系统、终端电脑等密码使用。
范围。本制度适用于信息系统相关工作人员。
要求。信息系统密码使用安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二基本安全要求
1.具有登录计算机系统权限的用户必须设置用户密码或其它验证用户身份的方式,严禁不验证用户身份直接登录信息系统。
2.计算机系统用户密码持有人应保证密码的保密性,不应将密码记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上,一旦发现或怀疑计算机系统用户密码泄漏,应立即更换。
3.计算机系统用户密码应加密存储计算机系统中,严禁在网络上明文传输计算机系统用户密码,在用户输入密码时,严禁在屏幕上显示密码明文,严禁计算机信息系统输出密码明文(密码信封除外)。
4.任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户密码,盗用他人访问权限,威胁信息系统安全。
5.计算机系统用户密码应与密码持有人一一对应,可根据用户权限设置不同的用户。
6.应选择使用密码安全强度较高的密码,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易猜测的计算机系统用户密码。其具体要求如下:
(1)密码最小长度:8位;
(2)密码字符组成复杂度:密码由数字、大小写字母及特殊字符组成;
(3)密码历史:修改后的密码至少与前10次密码不同;
(4)密码最长有效期限建议90 天,可根据系统重要性和用户权限采取不同的有效期。
7.当用户密码持有人岗位调整时,应根据其新的岗位职责,对其用户权限及密码进行及时调整。
8.主机系统特权用户密码,重要网络设备及安全设备特权用户密码以及具有修改配置权限用户的密码变更时应设置密码登记薄,记录密码使用相关信息,至少包括:名称、密码更换时间、密码使用人等内容,并存放在保险箱或带密码锁的箱、柜中,由专人负责。
9.如遇特殊情况需启用封存的密码,必须经过部门负责人审批,使用完毕后,须立即更换并封存,同时在密码管理登记簿中登记。对于使用动态密码的系统,各系统管理员必须保护好自己的令牌及PIN码。
三主机与应用系统管理员用户密码安全
1.主机系统是指所有营业类及管理信息类系统的主机、数据库系统和系统前置机,主机系统管理员密码则包括系统特权用户及一般权限的管理员密码;应用系统管理员用户密码是指用于访问后台应用系统的密码,主要包括特权用户密码和一般权限管理员的密码等。
2.主机系统及应用系统的用户密码安全要求应满足密码管理的基本要求。
3.主机系统、数据库系统及应用系统的管理员密码应根据岗位设置进行保存和管理。
4.系统特权用户密码应由密码设置人员将密码装入密码信封,在骑缝处盖章或签字后存档并登记。存放在保险箱或带密码锁的箱、柜中,并由专人负责。
5.主机及应用系统管理员密码应定期更换,系统的密码最长有效期为90天。
6.变更主机系统及应用系统特权用户密码持有人时,必须更换密码,严禁泄漏特权用户管理员密码。
7.一般用户的初始密码应由系统管理员进行设置,一般用户应及时进行密码更改,并妥善管理。
四网络/安全设备用户密码安全
1.网络设备、安全设备等应启动密码管理相关功能、机制,应满足密码管理的基本安全要求,对于原有系统不支持或不具备相关技术功能、机制的,必须建立、完善相应的安全管理制度措施,弥补技术机制上的不足。
2.核心网络设备以及可能涉及机密信息的安全设备的特权用户密码应由专人设置与管理,特权用户密码应由密码设置人员将密码装入密码信封,在骑缝处盖章或签字后存档并登记。存放在保险箱或带密码锁的箱、柜中,并由专人负责。
3.对于分布层及接入层网络设备及一般性安全设备等的特权管理员密码可由相应网络设备及安全管理员自己保存、管理。
4.网络设备、安全设备等特权用户密码最长有效期为90天。
5.对于网络设备、安全设备的用户密码以及具有系统配置权限的用户,可根据实际情况使用动态密码。
五业务系统用户密码安全
1.业务系统用户密码是指只用于访问业务系统的用户密码,密码对应的用户为业务系统用户,业务系统用户密码由相应使用人员进行管理。
2.业务系统用户必须设置密码或使用其它身份认证方式,严禁不验证用户身份访问业务系统(对于信息网站中只浏览网页的用户,可不设置密码)。
3.业务系统必须提供用户密码更换机制,业务系统代码中不得预留用户密码。
4.业务系统用户密码应定期更换,密码最长有效期可根据应用系统的重要程度和用户的权限,在满足密码基本安全要求的最长有效期范围内确定。
5.对于一般业务系统的操作员级用户,其密码最长有效期可90天。
6.对于业务系统的用户密码,可根据实际情况使用动态密码。
六桌面计算机系统用户密码安全
1.桌面计算机系统用户密码主要是指工作人员用于日常办公信息处理的计算机系统的用户密码,如台式电脑、笔记本电脑及其它个人计算设备的用户密码。
2.桌面计算机系统应设置管理员用户密码、屏幕保护密码。
3.桌面计算机系统管理员用户密码由使用人员负责保存管理、应根据自身安全要求更换。
七监督和检查
各级信息部门应开展对计算机系统用户密码安全管理的情况进行检查,检查的主要内容包括:岗位和职责情况,密码登记簿登记情况,密码安全管理相关功能及其启用情况,多余用户密码删除情况,密码安全管理规定的落实和执行情况等。
对于安全检查中发现的问题和隐患,各信息系统负责人和使用部门及密码持有人应进行整改。
八附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日