1、用户账号和密码安全管理规范* Security Framework Policy Page 1 of 16用户账号和密码安全管理规范V 1.0用户账号和密码安全管理规范* Security Framework Policy Page 2 of 16目 录概述 .4适用范围 .5用户帐号的分类 .6用户帐号的创建 .7用户帐号创建流程 .7用户帐号创建的安全事宜 .7密码设置标准和最小强度规定 .9密码设置标准 .9密码最小强度规定 .9用户帐号和密码的保护 .11用户帐号和密码的管理 .13用户密码的变更 .13用户帐号的禁止 .13用户帐号的删除 .13用户帐号和密码管理制度的实施 .15实
2、施工作流程 .15更新维护要求 .15奖励和处罚 .16参考文献 .17用户账号和密码安全管理规范* Security Framework Policy Page 3 of 16概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。因此,缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得*信息安全设备和系统形同虚设。本管理制度的主要作用在于对*用户帐号按照其重要性进行分类,并从用户帐号和密码的创建、保护、变更和废除等方面,对用户帐号和密码的相关管理作出详细的规定。本管理制度从以下
3、几个方面对用户帐号和密码安全管理进行全面阐述: 用户帐号的分类根据用户帐号的权限不同,对不同的用户帐号进行归纳分类。 用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。 用户帐号和密码保护规定了用户在使用帐号和密码时,所必须遵守的安全规章制度,从而最大限度地确保帐号和密码的安全性。 用户帐号和密码的管理规定了更改、废除用户帐号(权限)和密码的流程和相关安全事宜。 用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则,包括工作流程、更新要求和奖惩措施等。 用户账号
4、和密码安全管理规范* Security Framework Policy Page 4 of 16适用范围本管理制度适用于*所有用户帐号和密码,以及能访问相关计算机信息的员工,包括管理、支持、维护用户帐号和密码的 IT 人员。用户账号和密码安全管理规范* Security Framework Policy Page 5 of 16用户帐号的分类根据信息安全的需要,把*计算机信息系统用户帐号分为以下几类: 信息安全员帐号由*信息安全员具体掌管。一般是指所有计算机系统,包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的
5、超级管理员帐号或有超级管理员权限的帐号。其主要用于创建、初始(密码) 、变更(权限) 、删除、禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等。 系统管理员帐号由相关系统管理员具体掌管,一般是指所有计算机系统,包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。 系统操作员帐号由相关系统操作员拥有的,有限操作权限的帐号。系统操作员帐号主要用于完成既定的计算机信息系统的操作工作,例如打印、备份、数据输入等。 普通用
6、户帐号由最终用户拥有的有限操作权限的帐号,用于完成日常工作。用户账号和密码安全管理规范* Security Framework Policy Page 6 of 16用户帐号的创建用户帐号创建流程 用 户 部 门 主 管书 面 帐 号 申 请 帐 号 申 请 批 准帐 号 申 请 否 决系 统 管 理 员计 算 机 信 息 安 全 员 或计 算 机 信 息 安 全 主 管 记 录 帐 号 创 建 细 节供 日 后 安 全 审 计 系 统 日 志 数 据 库通 知 用 户 帐 号 已 创 建和 初 始 密 码 授 权请 求必 要授 权普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请,经
7、其核准后,送交系统管理员具体实施帐号和密码的初始化程序,并登记备查,然后通知有关用户。如果需要创建系统管理员帐号或是信息安全员帐号,则需要向*信息安全主管提出书面申请。经核实批准后,再由*信息安全主管授权,才能实施帐号和密码的初始化程序,并登记备查。*可参照执行。所有的步骤(包括临时权限的授予和取消步骤) ,由系统的安全日志组件自动记录 1。信息安全员必须对相关帐号日志和帐号创建申请进行定期(每月一次)安全审计。用户帐号创建的安全事宜在创建用户帐号时,必须遵循下列安全规定:1 如果系统不提供相应的日志记录功能,必须考虑以手工的方式对整个过程进行记录。用户账号和密码安全管理规范* Securit
8、y Framework Policy Page 7 of 16 严格限制创建公用用户帐号,且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。 正式用户帐号的申请人只局限于本*部员工。 用户帐号的权限设置应遵循“最小需要知道”原则,即给用户能完成工作的最小权限。 关闭任何缺省的匿名帐号。 系统开启对用户帐号、用户权限和登录管理的日志审计功能。 禁止使用空密码或与用户名相同的密码,作为初始密码。 系统管理员在通知用户初始密码时,必须采用加密或其他安全传输途径,以确保初始密码不会被中途截取。 系统管理员必须强制用户在第一次登录时,修改其初始密码。 严禁以任何明文形式传递和存放用户的初始密
9、码。 因为项目原因,需要创建临时用户帐号时,则由项目负责人向*信息安全主管提出书面申请,经由核准后,再由系统管理员统一创建(临时用户帐号的密码由项目负责人统一指定和保管) ;并且严禁在生产系统中创建临时用户或测试用户。项目完成后,立即删除所有临时的用户帐号。用户账号和密码安全管理规范* Security Framework Policy Page 8 of 16密码设置标准和最小强度规定密码设置标准 所有密码必须是具有足够长度和复杂度。 所有密码之间没有任何联系,即无法从前个生成的密码推测出下个密码。 所有密码不得采用英文单词、拼音或其他有意义的词语和符号,例如用户的姓名、生日等。 所有密码不
10、得全部由数字或字母组成,除非系统不予支持。密码最小强度规定 2密码类别 最小强度规定信息安全员帐号密码 最小密码长度不小于 10 位 密码中必须包含大写字母、小写字母、数字和其他特殊符号 和个人信息无关 最近 20 个密码不得重复系统管理员帐号密码 最小密码长度不小于 8 位 密码中必须包含大写字母、小写字母和数字 和个人信息无关 最近 10 个密码不得重复系统操作员帐号密码 最小密码长度不小于 8 位 密码中必须包含字母和数字 和个人信息无关2 如果,所规定的密码最小强度不被系统支持,则使用该系统所支持的最高强度密码。用户账号和密码安全管理规范* Security Framework Pol
11、icy Page 9 of 16 最近 6 个密码不得重复普通用户帐号密码 最小密码长度不小于 6 位 密码中必须包含字母和数字 和个人信息无关 最近 6 个密码不得重复用户帐号初始密码 最小密码长度不小于 8 位 密码中必须包含大写字母、小写字母和数字用户账号和密码安全管理规范* Security Framework Policy Page 10 of 16用户帐号和密码的保护关于*用户帐号和密码的保护,本管理制度做下列规定: 对于自动生成密码的系统,必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。 用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分,特别是拥有管理员
12、权限或超级管理员权限的用户。 严禁以任何明文格式存储帐号和密码 3。 严禁通过公共网络(例如,互联网、公共电话网等) ,以明文格式传送帐号和密码。 系统管理员必须设定用户登录尝试的次数限制,对于信息安全员和系统管理员帐号,登录尝试次数为 3 次。对于普通用户和系统操作员帐号,登录尝试次数为 5 次。一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数,该帐号会被自动禁止,直到系统管理员重新激活该用户帐号。 系统管理员应当设定:在用户成功登录系统后,提示用户上次登录的情况(时间、登录名和登录成功与否等信息) 4。 系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制,严禁对其
13、进行任何远程访问(只有信息安全员帐号才有“读”的权限) 。 系统管理员必须在系统正式启用前,更改所有的系统缺省帐号的密码,并禁止所有匿名帐号。 系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时,必须强制该用户更改密码。 系统管理员必须定期检查用户帐号使用情况,如有用户帐号在 30 天内没有使用,则有必要暂时禁止用户帐号(系统管理员帐号和信息安全员帐号例外) 。 系统管理员必须强制设定用户密码不得为空,并且符合有关密码强度规3 如果使用有加密功能的密码存储软件,则需经过计算机信息安全相关人员评估核准后方可使用。4 此功能的设定,能使用户立即知道自己的计算机是否被非法(使用未知用户名或使用自己的用户名在非工作时间)登录,有助于立即发现计算机安全事故和安全隐患。
