6.1.1.4信息系统用户和口令管理办法

信息系统用户和口令管理办法固阳电力有限责任公司固阳电力有限责任公司信息系统用户和口令管理办法总则本标准规定了固阳电力各类信息系统用户帐号和口令的管理规定和方法。本标准仅适用于固阳电力网络业务系统的服务器和工作站、网络设备和应用。本标准适用于所有和上述系统相关的管理和维护人员、所有上述系统中存在的账号和口令。第二章职责定义信息系统运行维护部门负责人负责执行由安全标准规定的管理职能，包括规定每个员工的角色和可以访问的信息资源、批准创建用户、撤销用户等。设立“用户账号集中管理系统管理组”，（以下简称“账号管理组”）管理用户集中管理系统，并执行具体的技术操作，如执行具体的创建用户、删除用户等操作。第三章用户账号标准不允许共享账号和口令，除非由部门负责人授权，不允许将个人使用的口令告诉他人，即使部门负责人也不能要求员工告知个人用户名和口令。设备的重要口令包括如路由器、交换机、接入服务器等的远程登录口令、特权模式口令，主机的root口令、数据库系统管理口令等。都由唯一的人员掌握重要的系统口令应尽可能采用一次性口令或者双要素口令认证。不允许匿名账号的存在；远程登录口令、特权模式口令必须强制每三个月更改一次。网络主机设备的重要口令必须每三个月更改一次；普通口令由系统管理员督促，口令拥有者必须至少每六个月更改一次；作为登录全网网络设备和其它主机设备的设备，其重要口令、普通口令必须每一个月更改一次。对于3个月没有使用的账号应进行评估是否删除。对网管等主机设备重要口令必须每一年更改一次。口令的更改必须指定两位专人负责，由这两人根据要求定期进行更改。责任人必须保证口令更改的及时性、有效性，同时必须在“数据部设备重要口令更改记录表”中进行详细记录，并保证在网设备的口令与记录上的口令保持一致。“设备重要口令更改记录表”必须锁放在机房的安全位置，钥匙由两位责任人掌握。用户账号授权应该满足最小授权和必需知道的原则。必需知道原则指应该让用户有权限访问他工作中需要用到的信息；最小授权原则指仅让用户能够访问他工作需要的信息，其他信息则不能被该用户访问。第四章用户账号处理流程4.1创建和变更用户当新员工加入时由人资部门出具书面通知单，由信息部门创建或向上级信息主管部门申请创建该员工用户账号。现有员工岗位和职责发生变化时，由员工本人提出申请，经单位或部门负责人批准，信息部门负责更改用户资料和权限。部门负责人根据申请人的岗位职责进行审核，确认该员工的工作职责需要访问一个或多个受控系统，满足创建用户的条件。如果员工的工作职责不需要访问任何受控系统，则应拒绝申请。如果批准申请，应通知相关系统的管理员，由系统和网络管理员执行具体的创建用户操作。用户创建后，管理员将用户信息打印、密封后交给申请人本人并签收。应敦促申请人尽快更改初始口令。4.2撤销用户遇有员工离职，在各系统中撤销相应用户应该是离职手续的一部分。信息部门负责人应尽早要求各系统和网络管理员撤销某员工的口令，管理员执行完后向部门负责人和安全员通报结果。4.3定期复审必须每半年组织一次对现有用户的复审。复审由信息安全审计小组的代表、部门负责人参加。审查是否有下列情况发生：员工实际已经离职，但仍在用户列表上。员工虽然仍在工作，但不应该授予他使用受控系统的权利。复审的形式可以是由各系统和网络管理员打印出用户列表，然后由安全小组和部门负责人进行审查，并将审查结果通知系统和网络管理员，然后由后者进行必要的操作。第五章口令标准5.1通用标准所有系统管理员级别的口令（例如root、enable、NTadministrator、DBA等）必需每三个月更换一次。所有用户级别的口令应每六个月变更一次。建议4个月变更一次。用户所使用的任何具备系统超级用户权限（包括并不限于系统管理员账号和有su权限账号）账号口令必需和这个用户其他账号的口令均不相同。口令不能在电子邮件或者其他电子方式下以明文方式传输。当使用SNMP时，communicationstring不允许使用缺省的Public、Private和system等，并且该communicationstring不应该和系统的其他口令相同，应该尽量使用SNMPv2以上的版本。5.2口令指南5.2.1口令生成指南对于不使用一次性口令牌的账号，用户应该有意识地选择强壮的口令（即难以破解和猜测的口令），强壮的口令具备以下特征：同时具备大写和小写字符同时具备字母、数字和特殊符号，特殊符号举例如下!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)8个字符或者以上不是字典上的单词或者汉语拼音不基于个人信息、名字和家庭信息口令不应该记在非经特别保护的纸面上，不能未经加密存储在电子介质中。5.2.2口令保护指南工作中的账号口令不要和个人其他账号口令相同。尽量做到不同用途使用不同口令，例如：LINUX系统口令和WINDOWS系统口令最好不同。不要把自己口令共享给他人。这是一个禁止的行为的清单不要在email中写口令不要给你上级口令（特权账号口令备份是个例外）在别人面前谈论的时候，不要提到口令不要暗示自己口令的格式不要在调查中给出口令不要告诉家人口令休假时不要把自己口令告诉他人如果有任何人需要口令，参照本文档，或者经过部门负责人的特别授权。不要使用非授权和许可的口令记忆软件。如果口令可能被破解了，应立即报告部门负责人和上级部门，并且更改所有口令。安全专员将不定期进行口令猜测尝试，如果口令被猜出，则用户必需立即更换。5.2.3应用开发安全标准应用开发者必需保证他们的程序包括了以下的安全机制：针对每个用户独立的鉴别认证和授权，保证每个用户有自己的账号；不能明文存储口令，口令必需经过一定强度的加密然后进行存储；应该提供角色管理功能，保证接管权限和功能的时候不需