您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 管理学资料 > 6.1.1.4信息系统用户和口令管理办法
1第一条信息系统用户和口令管理办法第二条固阳电力有限责任公司2第三条固阳电力有限责任公司第四条信息系统用户和口令管理办法第一章总则第五条本标准规定了固阳电力各类信息系统用户帐号和口令的管理规定和方法。第六条本标准仅适用于固阳电力网络业务系统的服务器和工作站、网络设备和应用。第七条本标准适用于所有和上述系统相关的管理和维护人员、所有上述系统中存在的账号和口令。第八条第二章职责定义第九条信息系统运行维护部门负责人负责执行由安全标准规定的管理职能,包括规定每个员工的角色和可以访问的信息资源、批准创建用户、撤销用户等。第十条设立“用户账号集中管理系统管理组”,(以下简称“账号管理组”)管理用户集中管理系统,并执行具体的技术操作,如执行具体的创建用户、删除用户等操作。第十一条第三章用户账号标准第十二条不允许共享账号和口令,除非由部门负责人授权,不允许将个人使用的口令告诉他人,即使部门负责人也不能要求员工告知个人用户名和口令。3第十三条设备的重要口令包括如路由器、交换机、接入服务器等的远程登录口令、特权模式口令,主机的root口令、数据库系统管理口令等。都由唯一的人员掌握第十四条重要的系统口令应尽可能采用一次性口令或者双要素口令认证。第十五条不允许匿名账号的存在;第十六条远程登录口令、特权模式口令必须强制每三个月更改一次。第十七条网络主机设备的重要口令必须每三个月更改一次;普通口令由系统管理员督促,口令拥有者必须至少每六个月更改一次;作为登录全网网络设备和其它主机设备的设备,其重要口令、普通口令必须每一个月更改一次。对于3个月没有使用的账号应进行评估是否删除。第十八条对网管等主机设备重要口令必须每一年更改一次。第十九条口令的更改必须指定两位专人负责,由这两人根据要求定期进行更改。责任人必须保证口令更改的及时性、有效性,同时必须在“数据部设备重要口令更改记录表”中进行详细记录,并保证在网设备的口令与记录上的口令保持一致。4第二十条“设备重要口令更改记录表”必须锁放在机房的安全位置,钥匙由两位责任人掌握。第二十一条用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用户有权限访问他工作中需要用到的信息;最小授权原则指仅让用户能够访问他工作需要的信息,其他信息则不能被该用户访问。第二十二条第四章用户账号处理流程第二十三条4.1创建和变更用户第二十四条当新员工加入时由人资部门出具书面通知单,由信息部门创建或向上级信息主管部门申请创建该员工用户账号。第二十五条现有员工岗位和职责发生变化时,由员工本人提出申请,经单位或部门负责人批准,信息部门负责更改用户资料和权限。第二十六条部门负责人根据申请人的岗位职责进行审核,确认该员工的工作职责需要访问一个或多个受控系统,满足创建用户的条件。如果员工的工作职责不需要访问任何受控系统,则应拒绝申请。第二十七条如果批准申请,应通知相关系统的管理员,由系统和网络管理员执行具体的创建用户操作。用户创建后,管理员将用户信息打印、密封后交给申请人本人并签收。应敦促申请人尽快更改初始口令。5第二十八条4.2撤销用户第二十九条遇有员工离职,在各系统中撤销相应用户应该是离职手续的一部分。第三十条信息部门负责人应尽早要求各系统和网络管理员撤销某员工的口令,管理员执行完后向部门负责人和安全员通报结果。第三十一条4.3定期复审第三十二条必须每半年组织一次对现有用户的复审。复审由信息安全审计小组的代表、部门负责人参加。审查是否有下列情况发生:1、员工实际已经离职,但仍在用户列表上。2、员工虽然仍在工作,但不应该授予他使用受控系统的权利。第三十三条复审的形式可以是由各系统和网络管理员打印出用户列表,然后由安全小组和部门负责人进行审查,并将审查结果通知系统和网络管理员,然后由后者进行必要的操作。第三十四条第五章口令标准第三十五条5.1通用标准6第三十六条所有系统管理员级别的口令(例如root、enable、NTadministrator、DBA等)必需每三个月更换一次。第三十七条所有用户级别的口令应每六个月变更一次。建议4个月变更一次。第三十八条用户所使用的任何具备系统超级用户权限(包括并不限于系统管理员账号和有su权限账号)账号口令必需和这个用户其他账号的口令均不相同。第三十九条口令不能在电子邮件或者其他电子方式下以明文方式传输。第四十条当使用SNMP时,communicationstring不允许使用缺省的Public、Private和system等,并且该communicationstring不应该和系统的其他口令相同,应该尽量使用SNMPv2以上的版本。第四十一条5.2口令指南第四十二条5.2.1口令生成指南第四十三条对于不使用一次性口令牌的账号,用户应该有意识地选择强壮的口令(即难以破解和猜测的口令),强壮的口令具备以下特征:第四十四条同时具备大写和小写字符第四十五条同时具备字母、数字和特殊符号,特殊符号举例如下!@#$%^&*()_+|~-=\`{}[]:;'?,./)7第四十六条8个字符或者以上第四十七条不是字典上的单词或者汉语拼音第四十八条不基于个人信息、名字和家庭信息第四十九条口令不应该记在非经特别保护的纸面上,不能未经加密存储在电子介质中。第五十条5.2.2口令保护指南第五十一条工作中的账号口令不要和个人其他账号口令相同。尽量做到不同用途使用不同口令,例如:LINUX系统口令和WINDOWS系统口令最好不同。第五十二条不要把自己口令共享给他人。第五十三条这是一个禁止的行为的清单第五十四条不要在email中写口令第五十五条不要给你上级口令(特权账号口令备份是个例外)第五十六条在别人面前谈论的时候,不要提到口令第五十七条不要暗示自己口令的格式第五十八条不要在调查中给出口令第五十九条不要告诉家人口令第六十条休假时不要把自己口令告诉他人第六十一条如果有任何人需要口令,参照本文档,或者经过部门负责人的特别授权。第六十二条不要使用非授权和许可的口令记忆软件。8第六十三条如果口令可能被破解了,应立即报告部门负责人和上级部门,并且更改所有口令。第六十四条安全专员将不定期进行口令猜测尝试,如果口令被猜出,则用户必需立即更换。第六十五条5.2.3应用开发安全标准第六十六条应用开发者必需保证他们的程序包括了以下的安全机制:第六十七条针对每个用户独立的鉴别认证和授权,保证每个用户有自己的账号;第六十八条不能明文存储口令,口令必需经过一定强度的加密然后进行存储;第六十九条应该提供角色管理功能,保证接管权限和功能的时候不需要知道别人设置的口令;第七十条认证和鉴别应该支持标准的外部接口,需要尽可能支持的接口包括:TACACS+,RADIUS或者基于LDAP的X.509。第七十一条第六章附则第七十二条第三十七条本管理办法由土右电力公司调通所负责解释。第七十三条第三十八条本管理办法自发布之日起施行。
本文标题:6.1.1.4信息系统用户和口令管理办法
链接地址:https://www.777doc.com/doc-2930503 .html