口令管理規(guī)定

1、附件：天津市電力公司信息系統(tǒng)帳號(hào)、口令管理規(guī)定(試行)第一章 總則第一條 為了規(guī)范天津市電力公司信息系統(tǒng)中終端計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用與系統(tǒng)相關(guān)帳號(hào)、口令的建立、使用、維護(hù)，保證計(jì)算機(jī)安全和天津市電力公司信息系統(tǒng)正常有序的運(yùn)行，特制定本管理規(guī)定。第二條 本規(guī)定適用于所有使用公司信息系統(tǒng)的用戶，包括數(shù)據(jù)庫系統(tǒng)管理員、業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)系統(tǒng)的使用人員。同樣適用于天津市電力公司信息系統(tǒng)范圍內(nèi)所有使用個(gè)人計(jì)算機(jī)及網(wǎng)絡(luò)的員工。第二章 術(shù)語解釋第三條 授權(quán)用戶：l 天津市電力公司內(nèi)部人員：指天津市電力公司的在冊(cè)職工；l 非天津市電力公司內(nèi)部人員：指臨時(shí)到天津市電力公司工作，但非天津市電

2、力公司正式員工的人員，包括但不限于開發(fā)商、集成商、供應(yīng)商、顧問、合作人員、臨時(shí)工、外聘人員、外包業(yè)務(wù)人員等。第四條 帳號(hào)l 帳號(hào)指在系統(tǒng)內(nèi)設(shè)定的可以訪問本系統(tǒng)內(nèi)部資源的ID或其他許可形式；l 管理員帳號(hào)：指在系統(tǒng)中具有較大的權(quán)限，能對(duì)網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)進(jìn)行關(guān)鍵性設(shè)置權(quán)限的賬號(hào)，典型用戶為系統(tǒng)管理員；l 超級(jí)管理員帳號(hào)：指對(duì)系統(tǒng)具有超級(jí)權(quán)限的帳號(hào)，包含但不限于UNIX的ROOT，WINNT的administrators組成員，數(shù)據(jù)庫的DBA等用戶；l 公用帳號(hào)：指供一組人使用的帳號(hào)，其合法使用人限于一個(gè)組內(nèi)；l 匿名帳號(hào)：供不確定身份的人員使用的帳號(hào)。第五條 口令l 口令：指系統(tǒng)為了認(rèn)證帳號(hào)使用人

3、的身份而要求使用人提供的證據(jù)，如在數(shù)據(jù)庫系統(tǒng)的口令，辦公自動(dòng)化系統(tǒng)的帳號(hào)文件及帳號(hào)口令；l 健壯口令：具有足夠的長度和復(fù)雜度，難于被猜測(cè)的口令；l 弱口令：僅由字母、單詞、數(shù)字或其簡(jiǎn)單的組合，易于被猜測(cè)的口令。第三章 帳號(hào)的建立第六條 系統(tǒng)要求l 天津市電力公司信息系統(tǒng)所使用的計(jì)算機(jī)操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件等均需要支持基于帳號(hào)的訪問控制功能；l 所有需要使用口令的應(yīng)用軟件、業(yè)務(wù)系統(tǒng)都需要對(duì)口令文件提供妥善的保護(hù)。第七條 帳號(hào)申請(qǐng)?jiān)瓌tl 只有授權(quán)用戶才可以申請(qǐng)帳號(hào)；l 任何系統(tǒng)的帳號(hào)設(shè)立必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行，具體流程見“附錄一：賬號(hào)、口令建立、變更、取消流程”；l

4、 用戶申請(qǐng)帳號(hào)前應(yīng)該接受適當(dāng)?shù)呐嘤?xùn)，以確保能夠正常的操作，避免對(duì)系統(tǒng)安全造成隱患；l 帳號(hào)相應(yīng)的權(quán)限應(yīng)該以滿足用戶需要為原則，不得授予與用戶職責(zé)無關(guān)的權(quán)限；l 任何帳號(hào)必須是可以區(qū)分責(zé)任人，責(zé)任人必須細(xì)化到個(gè)人，不得以部門或個(gè)人組作為責(zé)任人。第八條 公用帳號(hào)l 系統(tǒng)應(yīng)當(dāng)嚴(yán)格限制開設(shè)公用帳號(hào)，一般情況下公用帳號(hào)不得具有訪問保密信息和對(duì)系統(tǒng)寫的權(quán)限；l 公用帳號(hào)應(yīng)該設(shè)立責(zé)任人，責(zé)任人必須是天津市電力公司內(nèi)部人員，負(fù)責(zé)帳號(hào)的正常使用及維護(hù)。第九條 匿名帳號(hào)l 匿名帳號(hào)只被允許訪問系統(tǒng)中可公開的資源，不得訪問任何內(nèi)部公開及內(nèi)部公開以上保密等級(jí)的資源；l 系統(tǒng)應(yīng)對(duì)匿名賬號(hào)的訪問進(jìn)行詳細(xì)記錄。第四章 口令

5、的設(shè)立第十條 口令的生成l 帳號(hào)分配時(shí)必須同時(shí)生成相應(yīng)的口令，并且與帳號(hào)一起傳送給用戶；l 用戶在接受到帳號(hào)和口令后，必須馬上修改口令，任何時(shí)間都不得存在沒有口令的帳號(hào)；l 對(duì)于系統(tǒng)的帳號(hào)驗(yàn)證只有口令作為證據(jù)的系統(tǒng)，如果帳號(hào)名由確定的且公開的規(guī)則產(chǎn)生的，則口令不應(yīng)當(dāng)為公開的口令；l 管理員在傳遞帳號(hào)和口令時(shí)，應(yīng)當(dāng)采取加密或其他安全的傳輸途徑，以保證口令不會(huì)被中途截取。第十一條 口令設(shè)立的原則l 帳號(hào)口令必須是具有足夠的長度和復(fù)雜度，使口令難于被猜測(cè)；l 帳號(hào)口令應(yīng)定期進(jìn)行修改；l 新口令與舊口令之間應(yīng)沒有直接的聯(lián)系，以保證不可由舊口令推知新口令；l 帳號(hào)的口令不應(yīng)當(dāng)取有意義的詞語或其他符號(hào)，如

6、使用者的姓名，生日或其它易于猜測(cè)的信息。第十二條 口令的最低標(biāo)準(zhǔn)l 普通用戶口令長度不得低于8位，最近6個(gè)口令不可重復(fù)，口令中必須包含字母和數(shù)字；l 管理員和超級(jí)管理員帳號(hào)口令長度不得低于8位，最近10個(gè)口令不可重復(fù)，口令中必須包含字母、數(shù)字、符號(hào)，口令中同一個(gè)符號(hào)出現(xiàn)不得多于2次，各個(gè)口令中相同位置的字符相同的不得多于3個(gè)，口令不得為有意義的單詞或短語。第五章 賬號(hào)的變更第十三條 帳號(hào)的權(quán)限變更l 用戶在工作職責(zé)發(fā)生變化，造成現(xiàn)有職責(zé)與現(xiàn)有賬號(hào)權(quán)限不符時(shí)，應(yīng)當(dāng)申請(qǐng)權(quán)限的變更；管理員發(fā)現(xiàn)用戶具有工作不需要的權(quán)限，可以直接停止多余的權(quán)限；l 賬號(hào)權(quán)限變更必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行，具體流程見

7、“附錄一：賬號(hào)、口令建立、變更、取消流程”；第十四條 口令的修改l 用戶應(yīng)當(dāng)定期修改帳號(hào)口令，修改口令的間隔應(yīng)小于本標(biāo)準(zhǔn)的相關(guān)規(guī)定，對(duì)于本標(biāo)準(zhǔn)沒有規(guī)定的用戶，口令修改間隔應(yīng)當(dāng)小于6個(gè)月；l 用戶必須在管理員要求更改口令時(shí)進(jìn)行更改口令；如果用戶拒絕配合，管理員可以在通知用戶及其主管后，關(guān)閉用戶的帳號(hào)，以保證信息系統(tǒng)的安全；用戶如需繼續(xù)使用該帳號(hào)，必須通過規(guī)定的流程向管理員申請(qǐng)重新開通，具體流程見“附錄一：賬號(hào)、口令建立、變更、取消流程”；l 用戶丟失或遺忘口令，必須通過規(guī)定的相應(yīng)流程向管理員申請(qǐng)初試化口令，用戶在接到回執(zhí)后，應(yīng)馬上更改口令，具體流程見“附錄一：賬號(hào)、口令建立、變更、取消流程”；l

8、 管理員不可在沒有用戶申請(qǐng)的時(shí)候私自更改用戶帳號(hào)的口令；l 超級(jí)管理員帳號(hào)的口令屬于系統(tǒng)最高機(jī)密，應(yīng)該嚴(yán)格限定使用范圍；其他人員確因工作需要而使用超級(jí)管理員帳號(hào)和口令的，應(yīng)當(dāng)向超級(jí)管理員帳號(hào)和口令的責(zé)任人申請(qǐng)口令，并在完成操作后，由責(zé)任人更改口令。第六章 賬號(hào)的取消第十五條 帳號(hào)的取消l 用戶如果因職責(zé)變動(dòng)而離崗，不再需要系統(tǒng)權(quán)限且無須將帳號(hào)移交給其他責(zé)任人，其原崗位主管應(yīng)當(dāng)申請(qǐng)帳號(hào)的銷戶，由管理員取消其賬號(hào)；l 用戶離職后，管理員應(yīng)當(dāng)關(guān)閉用戶在系統(tǒng)中的所有權(quán)限；l 賬號(hào)取消必須按照規(guī)定的相應(yīng)流程規(guī)定進(jìn)行，具體流程見“附錄一：賬號(hào)、口令建立、變更、取消流程”。第七章 賬號(hào)、口令的維護(hù)第十六條

9、帳號(hào)的使用l 任何帳號(hào)只限于申請(qǐng)過程中聲明的用戶使用，禁止其他人使用此帳號(hào)；l 信息系統(tǒng)正式運(yùn)行前，必須更改系統(tǒng)中的缺省帳號(hào)口令，以保證正式環(huán)境的安全；l 用戶不得使用帳號(hào)訪問與自己工作無關(guān)的資源。第十七條 用戶的責(zé)任與義務(wù)：l 所有用戶有義務(wù)確保自己的口令的安全，系統(tǒng)帳號(hào)與口令不得泄漏給他人，同時(shí)避免使用弱口令；l 對(duì)于使用便攜式計(jì)算機(jī)的用戶，應(yīng)確保設(shè)置開機(jī)BIOS口令；l 使用遠(yuǎn)程登陸的用戶，確保不將口令保留在計(jì)算機(jī)上；l 不將內(nèi)部應(yīng)用系統(tǒng)中使用的帳號(hào)和口令用于其他個(gè)人應(yīng)用中；l 任何人不得公開其本人或他人口令的全部或部分；l 嚴(yán)禁任何人通過任何手段非法取得他人帳號(hào)和口令進(jìn)入系統(tǒng)；l 任何

10、人不得將其帳號(hào)的口令告之無權(quán)使用此帳號(hào)的人，如果用戶此種行為導(dǎo)致其他人用此帳號(hào)造成對(duì)天津市電力公司信息系統(tǒng)的影響，帳號(hào)持有人和造成影響的行為的實(shí)施人負(fù)有相同的責(zé)任；l 嚴(yán)禁任何人利用系統(tǒng)安全漏洞訪問其權(quán)限之外的資源。第十八條 系統(tǒng)管理員的責(zé)任與義務(wù)：l 確保除匿名帳號(hào)外，所有系統(tǒng)用戶都必須有口令；l 定期審計(jì)，檢查系統(tǒng)用戶的數(shù)量和權(quán)限；l 確保系統(tǒng)和網(wǎng)絡(luò)設(shè)備無默認(rèn)帳號(hào)和口令；l 確保關(guān)鍵應(yīng)用服務(wù)器啟用口令強(qiáng)制策略；l 對(duì)用戶進(jìn)行口令安全培訓(xùn)；l 同一個(gè)管理員在不同主機(jī)上應(yīng)使用不同的帳號(hào)和口令。第八章 考核與處罰第十九條 對(duì)違反本規(guī)定的用戶根據(jù)津電安監(jiān)200736 號(hào)天津市電力公司安全生產(chǎn)工作獎(jiǎng)

11、懲規(guī)定進(jìn)行處罰。第二十條 如對(duì)安全生產(chǎn)造成影響，則依據(jù)200205 號(hào)天津市電力公司信息系統(tǒng)事故調(diào)查及考核辦法進(jìn)行處理。對(duì)于違反國家法律的，依法追究法律責(zé)任。第九章 維護(hù)與解釋第二十一條 本規(guī)定由天津市電力公司科技信息部每年審視一次，根據(jù)審視結(jié)果修訂，并頒布執(zhí)行。第二十二條 本規(guī)定的解釋權(quán)歸科技信息部。第二十三條 本規(guī)定自簽發(fā)之日起生效，以前發(fā)布的相關(guān)制度作廢。附錄一 賬號(hào)、口令建立、變更、取消流程一、 用戶填寫書面賬號(hào)申請(qǐng)單，詳細(xì)、正確填寫相關(guān)內(nèi)容；二、 由用戶所在部門的主管進(jìn)行申請(qǐng)內(nèi)容的審查，并做批復(fù)；三、 交于科技信息部相關(guān)人員進(jìn)行審批；四、 對(duì)于涉及天津市電力公司涉密信息的賬號(hào)申請(qǐng)應(yīng)交于總經(jīng)理工作部進(jìn)行審批；五、 用戶將申請(qǐng)單交于科技信息部，由科技信息部負(fù)責(zé)進(jìn)行賬號(hào)、口令的建立、變更、取消?？萍夹畔⒉窟M(jìn)行相應(yīng)的記錄備案。六、 當(dāng)用戶接收到賬號(hào)、口令后，應(yīng)立即更改口令，且口令強(qiáng)度應(yīng)符合本管理規(guī)定的要求。七、 例外情況：因系統(tǒng)安全原因或緊急情況，在得到相關(guān)主管部門允許的情況下，不經(jīng)過以上流程而執(zhí)行帳號(hào)操作。附錄二 賬號(hào)、口令建立、變更