信息系统密码管理办法

信息系统密码管理办法修订记录版本编号修订日期主要修订摘要审核记录审核人员属于部门审核日期第一章 总则第一条 密码是验证系统用户身份和权限的常用手段之一，被广泛用于计算机用户及服务权限的识别与认证，优质的密码有利于保障信息系统被合法使用。为有效控制公司信息科技风险，加固系统安全，防止未经授权的访问与操作，特制订本管理办法。第二条 信息系统用户被识别和认证的强度与其访问内容的敏感性和重要性相关。用户可访问和操作的事项越敏感、重要程度越高，则其受保护的强度也就越大。通常来说，系统级的用户比普通的访问用户的敏感性更高，对其密码的保护强度也越大。第三条 本管理办法适用于公司管辖范围内的各类信息系统的密码设置管理。第二章 组织机构与职责第四条 信息系统管理部门包括：信息中心和信息系统对口业务部门。信息中心门和对口业务部门在进行信息系统开发和维护时，应充分地考虑通过采用适当的密码策略使系统的各类合法用户的访问能够得到合理和适度的保障。第五条 对于公司的各类信息系统密码设置管理，信息中心应主导信息系统对口业务部门采用适当的密码策略，包括：1. 在新信息系统开发阶段，必须依据系统访问控制的要求部署强有力的密码策略。2. 在现行信息系统运营维护阶段，应依据密码安全管理基本要求完善密码管理及使用流程，同时可针对信息安全级别高的系统单独制定高于本策略要求的密码管理制度及规范，以保护公司各类信息资产的安全。第三章 信息系统密码设置及控制措施第六条 信息系统管理部门包括：信息中心和信息系统对口业务部门。信息中心和对口业务部门在进行信息系统开发和维护时，应充分地考虑通过采用适当的密码策略使系统的各类合法用户的访问能够得到合理和适度的保障。第七条 公司信息系统用户包含内部用户和信息系统外部用户：1. 信息系统内部用户分为系统级用户和普通级用户，系统级用户是指信息中心和信息系统对口业务部门的系统管理人员；普通级用户为公司各信息系统的内部合法用户。2. 信息系统外部用户为公司对外提供的各类业务服务系统涉及密码设置和使用的合法客户。第八条 对于各类内部用户，信息系统管理部门在进行用户密码设置和管理时，应在系统中设定密码相关控制措施：1. 应强制内部用户使用优质密码，并使用监控工具检查密码的强度和长度是否合格：用户密码长度至少含有8个字符，应同时包括字母和非字母字符（数字或特殊字符等）。2. 对于现行重要信息系统，因为信息系统自身限制导致密码强度和长度暂不能达到要求的情况，应在该重要信息系统进行变更或升级换代时满足密码强度和长度的要求，同时对于未能达到要求的事项信息中心应予以记录并归档。3. 信息系统管理部门应为每位内部系统级用户设定唯一的初始密码，此密码必须唯一，必要时可考虑使用密码生成器生成密码；初始密码在第一次使用后信息系统强制要求变更。4. 系统应控制登录尝试的频率，密码最多连续输错6次即锁定用户账户，以限制反复尝试密码，锁定时长设定为至少30分钟或直到系统管理员重新启用该用户账户，对于系统管理员用户必须重置密码。5. 在重设密码前必须验证确认使用者的身份，例如：在设置新的密码前必须验证旧密码；如果用户遗忘密码并通过电话、邮件等非面对面的方式要求重置，必须通过稳妥的途径验证用户的身份。6. 至少每90天撤除/冻结一次非活跃的用户账户。7. 强制要求用户至少每90天变更一次密码；到期前一个星期提醒用户更改密码，并验证新密码非原密码；内部系统级用户（例如：root账号、启用账号、NT管理账号、应用程序管理账号，等），至少30天更改一次。8. 输入密码时，在屏幕上不显示密码明文，应该采取掩盖措施，以防止非授权用户和其他人窥视。9. 维持一份以前用户密码的记录，不允许用户再次提交前四次用过的旧密码。10. 所有密码的产生和修改都应该留下记录，包括密码的使用、成功登陆日志、失败登陆日志（包括日期、时间、用户名或登陆名）等，并需要经常进行检查。11. 用户成功登陆后，尽量显示上次成功或失败登陆的日期和时间。12. 可停用、启用用户名，可限制用户对系统的访问时间。13. 系统可自动冻结超过两个月未使用的用户。14. 对于现行信息系统运行过程中使用的特殊用户（包含用于系统后台访问数据库的用户、系统程序中访问其它系统或子系统的用户，等），需建立并实时维护特殊用户列表，并保障特殊用户不被冻结。15. 系统可生成冻结用户报表及系统用户权限明细表。16. 可设置系统权限冲突列表，区分有冲突的权限。17. 控制同一个时间用户只能在某台终端登录一次。18. 如果一个会话空闲的时间超过15分钟（应将此功能设置参数化，可调整），则要求用户再次输入密码以重新激活终端。19. 系统管理部门应通过管理程序来控制各类已经终止的使用者的访问权，主要包括各类离职和转岗的用户。第九条 对于特定的内部系统级用户，如存在信息系统发生突发事件时多人使用同一系统用户进行应急处置的情况，系统管理部门需建立并完善用户使用的授权管理、使用监督以及记录机制。第十条 对于信息系统外部用户，尽量不由公司自动生成初始密码。如果某些系统由于其业务特征需要为客户设置初始密码的，应为每位使用者设定唯一的初始密码，避免采用简单的键盘序列（例如、asdfgh）、客户身份证组成部分等简单易于猜想的密码，必要时可考虑使用密码生成器生成密码，初始密码在第一次使用后系统强制要求变更。第四章 信息系统用户密码使用管理第十一条 各信息系统内部用户应谨慎使用和保管密码，并遵循以下的准则：1. 密码仅限用户本人知晓，不得与他人共享。2. 记住密码，不能以任何明文方式记录和保存密码；若要记录或保存密码，应采用加密措施将密码存放在电子文件中。3. 确保在输入密码时无人窥视。4. 使用优质的密码，保证密码具有适当的强度和长度。1) 密码长度至少含有8个字符，应同时包括字母和非字母字符（数字或特殊字符等）。2) 密码不能与用户名或登录名相同。3) 密码不可选择简单的键盘序列（如asdfgh，等）。4) 不要选择可以与用户相关联的密码，如姓名，生日，电话号码等。5) 用户不要选择可以在任何字典中找到的单词作为密码，即使反过来拼也不可以。6) 可考虑使用拼错的单词或用户喜欢的词组组成密码。第十二条 所有供应商的默认密码必须修改。第十三条 如怀疑密码被攻破或泄漏，必须立即更改密码，并向系统管理员或系统维护人员报告；如果root 账号的密码被攻破或泄漏，则所有的密码都必须修改，并采取相应保护措施。第十四条 如在工作中不得不允许第三方人员访问信息系统，则已获授权使用计算机系统的第三方人员不得擅自更改计算机密码，违规者将被视为信息窃取者。在第三方授权人员使用完计算机系统后，计算机责任人应立即更改密码。第十五条 应定期更改密码，包括：1.