05-用户帐号和密码安全管理规范

用户账号和密码安全管理规范**SecurityFrameworkPolicyPage1of16用户账号和密码安全管理规范V1.0用户账号和密码安全管理规范**SecurityFrameworkPolicyPage2of16目录概述...................................................................................................................................................3适用范围...........................................................................................................................................4用户帐号的分类...............................................................................................................................5用户帐号的创建...............................................................................................................................6用户帐号创建流程...................................................................................................................6用户帐号创建的安全事宜.......................................................................................................6密码设置标准和最小强度规定.......................................................................................................8密码设置标准...........................................................................................................................8密码最小强度规定.................................................................................................................8用户帐号和密码的保护.................................................................................................................10用户帐号和密码的管理.................................................................................................................12用户密码的变更.....................................................................................................................12用户帐号的禁止.....................................................................................................................12用户帐号的删除.....................................................................................................................12用户帐号和密码管理制度的实施.................................................................................................14实施工作流程.........................................................................................................................14更新维护要求.........................................................................................................................14奖励和处罚.............................................................................................................................15参考文献.........................................................................................................................................16用户账号和密码安全管理规范**SecurityFrameworkPolicyPage3of16概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。因此，缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得**信息安全设备和系统形同虚设。本管理制度的主要作用在于对**用户帐号按照其重要性进行分类，并从用户帐号和密码的创建、保护、变更和废除等方面，对用户帐号和密码的相关管理作出详细的规定。本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述：用户帐号的分类根据用户帐号的权限不同，对不同的用户帐号进行归纳分类。用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。用户帐号和密码保护规定了用户在使用帐号和密码时，所必须遵守的安全规章制度，从而最大限度地确保帐号和密码的安全性。用户帐号和密码的管理规定了更改、废除用户帐号（权限）和密码的流程和相关安全事宜。用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则，包括工作流程、更新要求和奖惩措施等。用户账号和密码安全管理规范**SecurityFrameworkPolicyPage4of16适用范围本管理制度适用于**所有用户帐号和密码，以及能访问相关计算机信息的员工，包括管理、支持、维护用户帐号和密码的IT人员。用户账号和密码安全管理规范**SecurityFrameworkPolicyPage5of16用户帐号的分类根据信息安全的需要，把**计算机信息系统用户帐号分为以下几类：信息安全员帐号由**信息安全员具体掌管。一般是指所有计算机系统，包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的超级管理员帐号或有超级管理员权限的帐号。其主要用于创建、初始（密码）、变更（权限）、删除、禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等。系统管理员帐号由相关系统管理员具体掌管，一般是指所有计算机系统，包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。系统操作员帐号由相关系统操作员拥有的，有限操作权限的帐号。系统操作员帐号主要用于完成既定的计算机信息系统的操作工作，例如打印、备份、数据输入等。普通用户帐号由最终用户拥有的有限操作权限的帐号，用于完成日常工作。用户账号和密码安全管理规范**SecurityFrameworkPolicyPage6of16用户帐号的创建用户帐号创建流程???????????????????????????????????????????????????????????????????????????????????????????普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请，经其核准后，送交系统管理员具体实施帐号和密码的初始化程序，并登记备查，然后通知有关用户。如果需要创建系统管理员帐号或是信息安全员帐号，则需要向**信息安全主管提出书面申请。经核实批准后，再由**信息安全主管授权，才能实施帐号和密码的初始化程序，并登记备查。**可参照执行。所有的步骤（包括临时权限的授予和取消步骤），由系统的安全日志组件自动记录1。信息安全员必须对相关帐号日志和帐号创建申请进行定期（每月一次）安全审计。用户帐号创建的安全事宜在创建用户帐号时，必须遵循下列安全规定：1如果系统不提供相应的日志记录功能，必须考虑以手工的方式对整个过程进行记录。用户账号和密码安全管理规范**SecurityFrameworkPolicyPage7of16严格限制创建公用用户帐号，且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。正式用户帐号的申请人只局限于本**部员工。用户帐号的权限设置应遵循“最小需要知道”原则，即给用户能完成工作的最小权限。关闭任何缺省的匿名帐号。系统开启对用户帐号、用户权限和登录管理的日志审计功能。禁止使用空密码或与用户名相同的密码，作为初始密码。系统管理员在通知用户初始密码时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。系统管理员必须强制用户在第一次登录时，修改其初始密码。严禁以任何明文形式传递和存放用户的初始密码。因为项目原因，需要创建临时用户帐号时，则由项目负责人向**信息安全主管提出书面申请，经由核准后，再由系统管理员统一创建（临时用户帐号的密码由项目负责人统一指定和保管）；并且严禁在生产系统中创建临时用户或测试用户。项目完成后，立即删除所有临时的用户帐号。用户账号和密码安全管理规范**SecurityFrameworkPolicyPage8of16密码设置标准和最小强度规定密码设置标准所有密码必须是具有足够长度和复杂度。所有密码之间没有任何联系，即无法从前个生成的密码推测出下个密码。所有密码不得采用英文单词、拼音或其他有意义的词语和符号，例如用户的姓名、生日等。所有密码不得全部由数字或字母组成，除非系统不予支持。密码最小强度规定2密码类别最小强度规定信息安全员帐号密码最小密码长度不小于10位密码中必须包含大写字母、小写字母、数字和其他特殊符号和个人信息无关最近20个密码不得重复系统管理员帐号密码最小密码长度不小于8位密码中必须包含大写字母、小写字母和数字和个人信息无关最近10个密码不得重复系统操作员帐号密码最小密码长度不小于8位