学院账号密码权限管理规范.docx

学院账号密码权限管理规范 为确保数据机房网络和各信息系统的安全平稳运行，保证网络和信息系统的安全，特制定本制度。 一、本制度所指安全账户，包括两部分： 学院各单位管理的网络服务器信息设备和重要软件系统的关键管理账户。包括核心交换机、防火墙、网管软件设备、上网行为和审计软件、应用服务器、数据库服务器及其他信息安全设备及信息系统的管理或维护账户。 学院教师及学生个人用户账号管理。 二、用户账户的创建 1、用户账户必须分配给特定的人。 2、严格限制创建公共用户账户，公共账户不得访问敏感信息以及“编写”和“执行”的系统权限。 3、账户的权限设置应遵循“最小化”原则，即给予用户完成工作的最小权限；满足业务安全需求；系统管理员一般分配超级权限，普通用户分配普通权限。 4、禁用所有默认匿名帐户。 5、系统启动用户账户、用户权限、登录管理的日志审计功能。 6、禁止使用空密码或与用户名相同的密码作为初始密码。 7、首次登录时，系统管理员必须修改初始密码。 8、非在职人员申请临时用户账户时，由责任部门主管领导通过OA申请流程（信息管理类第十条）进行申请，由系统管理员统一创建。临时用户账户申请必须包括申请人的身份证信息、使用时间和联系方式。部门负责人对部门申请的临时用户账户负责，人员变动应及时通知信息建设管理处进行信息变更。 三、各单位指定专人负责本部门应用系统安全账户的密码更换、密码有效性查验等工作。 四、安全账户密码设置遵守以下规则。 1、保守令的秘密性，除非有正式批准授权，禁止把令提供给其他人使用。 2、避免记录令（例如在纸上记录），除非使用了安全的保管方式（如保险柜）并得到了批准。 3、提高安全意识，当信息系统或账户状态出现异常情况时（如怀疑被入侵），应考虑立即更改令。 4、设置高质量的令并定期进行修改，禁止循环使用旧令。 5、用户首次登录时，必须立即修改初始密码。 6、不能在任何登陆程序中保存令或启用自动登录，如在宏或功能键中存储令。 7、网络设备或服务器、桌面系统的令安全设置，必须遵守系统安全策略中的相关要求。 8、账号密码长度不少于12位，采用大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。 9、避免使用电话号码、出生年月、姓名缩写、123456等有关字符作为密码，建议使用密码生成器随机生成。 10、密码定期更换。 五、如发现密码有泄密现象，安全账户持有人要立刻报告上级领导，做好记录并及时更换。 六、本规范自发布之日起生效执行。