信息系統賬號、口令及權限管理辦法

　　第一章 總則

　　第一條 制度目標：為了加強信息安全保障能力，建立健全安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度為加強師生用戶對于系統賬號、口令及權限的安全管理，規范賬號、口令及權限的使用，降低由于濫用、越權等威脅帶來的風險。

　　第二條 適用范圍：本制度適用于TCP/IP網絡和所承載的業務系統。

　　第三條 使用人員及角色職責：本制度適用于涉及運維的相關人員及使用IT 設備的師生用戶。

　　第二章 組織職責

　　第四條 師生用戶進行賬號申請和審批應首先由師生用戶所在部門負責初步審批，然后由運維部門根據主管領導審批意見和師生用戶崗位，創建、變更和撤銷師生用戶的賬號及權限。

　　第五條 系統負責部門應嚴格按照審批后的賬號、權限維護和管理系統，按要求生成、變更和刪除師生用戶賬號，并由信息安全工作組每季度進行檢查。

　　運維主管領導

　　第六條 負責帳號分配和權限審批工作。

　　安全管理員

　　第七條 負責所有系統及設備超級管理員帳號管理工作，一般是指所有計算機系統，包括包括主機操作系統、數據庫、關鍵業務和辦公應用系統、網絡設備及管理程序、網絡安全設備及管理程序、加密設備和管理程序的超級管理員帳號或有超級管理員權限的帳號。負責系統管理帳號的創建、初始(密碼)、變更(權限)、刪除、禁止等操作，對系統管理員帳號及其它普通用戶帳號的行為以及系統本身的安全性進行審計和調查取證。

　　第八條 安全審計員

　　第九條 負責信息安全審計的日常工作;

　　第十條 負責組織、計劃定期的審計活動。

　　系統管理員

　　第十一條 負責相關系統及設備管理的工作人員,包括：安全設備管理員、網絡管理員、主機系統管理員、數據庫管理員、應用系統管理員。一般是指所有計算機系統，包括主機操作系統、數據庫、關鍵業務和辦公應用系統、網絡設備及管理程序、網絡安全設備及管理程序、加密設備和管理程序的有管理普通用戶和操作員帳號、設定普通用戶和操作員訪問許可、修改系統配置、安裝系統組件等權限的帳號。

　　第十二條

　　普通用戶

　　第十三條 擁有的有限操作權限的最終用戶，負責完成日常工作。

　　第十四條 普通用戶根據帳號管理辦法申請帳號，在帳號申請后，有義務保證帳號的安全，不能私自共享帳號。

　　第十五條 普通用戶對帳號的使用必需遵守帳號與口令管理的規定。

　　第三章 賬號管理規定

　　用戶賬戶的創建

　　第十六條 用戶賬號創建流程

　　1.普通用戶和操作員帳號由具體用戶向部門領導提出書面申請，然后交運維安全主管領導核準后，送交系統管理員具體實施帳號和密碼的初始化程序，并登記備查，然后通知有關用戶。

　　2.如果需要創建系統管理員帳號或是安全管理員帳號，則需要向安全管理員提出書面申請。經核實批準后，再由運維安全主管領導授權，才能實施帳號和密碼的初始化程序，并登記備查。

　　3.所有的步驟(包括臨時權限的授予和取消步驟)，由系統的安全日志組件自動記錄，安全審計員必須對相關帳號日志和帳號創建申請進行定期(每月一次)安全審計。

　　用戶帳號創建的安全事宜

　　在創建用戶帳號時，必須遵循下列安全規定：

　　1.嚴格限制創建公用用戶帳號，且公用帳號不得具有訪問敏感信息以及“寫”和“執行”的系統權限。

　　2.用戶帳號的權限設置應遵循“最小需要知道”原則，即給用戶能完成工作的最小權限。

　　3.關閉任何缺省的匿名帳號。

　　4.系統開啟對用戶帳號、用戶權限和登錄管理的日志審計功能。

　　5.禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。

　　6.系統管理員在通知用戶初始密碼時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。

　　7.系統管理員必須強制用戶在第一次登錄時，修改其初始密碼。

　　8.嚴禁以任何明文形式傳遞和存放用戶的初始密碼。

　　9.因為項目原因，需要創建臨時用戶帳號時，則由項目負責人向所屬臺室主管領導提出書面申請，經由核準后，再由系統管理員統一創建(臨時用戶帳號的密碼由項目負責人統一指定和保管);并且嚴禁在生產系統中創建臨時用戶或測試用戶。項目完成后，立即刪除所有臨時的用戶帳號。

　　第四章 口令、密碼管理

　　第十七條 口令、密碼設置標準

　　密碼類別 最小強度規定

　　安全管理員帳號密碼 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數字和其他特殊符號

　　和個人信息無關

　　最近20個密碼不得重復

　　安全審計員 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數字和其他特殊符號

　　和個人信息無關

　　最近20個密碼不得重復

　　系統管理員帳號密碼 最小密碼長度不小于8位

　　密碼中必須包含大寫字母、小寫字母和數字

　　和個人信息無關

　　最近10個密碼不得重復

　　普通用戶帳號密碼 最小密碼長度不小于8位

　　密碼中必須包含字母和數字

　　和個人信息無關

　　最近6個密碼不得重復

　　用戶帳號初始密碼 最小密碼長度不小于6位

　　密碼中必須包含字母和數字

　　和個人信息無關

　　最近6個密碼不得重復

　　第十八條 用戶賬戶和密碼保護

　　關于用戶帳號和密碼的保護，本管理制度做下列規定：

　　(一) 對于自動生成密碼的系統，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機性。

　　(二) 用戶嚴禁向任何人公開其本人或他人的帳號和密碼的全部或部分，特別是擁有管理員權限或超級管理員權限的用戶。

　　(三) 嚴禁以任何明文格式存儲帳號和密碼。

　　(四) 嚴禁通過公共網絡(例如，互聯網、公共電話網等)，以明文格式傳送帳號和密碼。

　　(五) 系統管理員必須設定用戶登錄嘗試的次數限制，對于信息安全管理員和系統管理員帳號，登錄嘗試次數為3次。對于普通用戶和系統操作員帳號，登錄嘗試次數為5次。一旦在一定時間內使用同一個用戶帳號的失敗登錄超過限定次數，該帳號會被自動禁止，直到系統管理員重新激活該用戶帳號。

　　(六) 系統管理員應當設定：在用戶成功登錄系統后，提示用戶上次登錄的情況(時間、登錄名和登錄成功與否等信息)。

　　(七) 系統管理員必須對存有用戶帳號和密碼的數據庫和注冊表進行嚴格的訪問控制，嚴禁對其進行任何遠程訪問(只有信息安全管理員帳號才有“讀”的權限)。

　　(八) 系統管理員必須在系統正式啟用前，更改所有的系統缺省帳號的密碼，并禁止所有匿名帳號。

　　(九) 系統管理員或信息安全管理員在發現任何企圖非法使用某用戶帳號的情況時，必須強制該用戶更改密碼。

　　(十) 系統管理員必須定期檢查用戶帳號使用情況，如有用戶帳號在30天內沒有使用，則有必要暫時禁止用戶帳號(系統管理員帳號和信息安全管理員帳號例外)。

　　(十一) 系統管理員必須強制設定用戶密碼不得為空，并且符合有關密碼強度規定。

　　(十二) 系統管理員必須開啟系統內建的用戶帳號、用戶權限管理和登錄管理的審計功能，并對其生成的日志文件進行妥善保管，以確保日志文件的安全性和完整性。

　　(十三) 安全審計員必須定期對用戶帳號和密碼的使用、變更、禁用、刪除相關的系統日志文件連同相關書面申請文件進行安全審計(每月一次)，并對所有相關文件進行記錄備案。

　　(十四) 系統管理員必須定期(每月一次)對用戶帳號進行清查工作，及時刪除無用、無主的用戶帳號。

　　(十五) 嚴禁以任何理由，使用他人帳號或操作卡訪問計算機信息系統資源。

　　(十六) 嚴禁以任何方式獲取他人帳號和密碼。

　　(十七) 嚴禁在任何生產系統中創建臨時用戶或測試用戶帳號。

　　(十八) 對于生產機和主數據庫生產機的超級管理員密碼必須分為兩段，由信息安全管理員和相關的系統管理員二人分別掌管，二人同時在場方可實施本機登錄。

　　(十九) 系統管理員帳號和密碼，必須由安全管理員將其備份，經安全密封后，存放在保險柜中妥善保管;安全管理員帳號和密碼，必須由運維安全主管領導將其備份，經安全密封后，存放在保險柜中妥善保管。

　　外部服務人員訪問申請表

　　申請單序號： 申請日期 年 月 日

　　申請人員 　 電話 　 訪問區域

　　出入時間 　 部門 　 部門領導簽字

　　指定陪同人員 機房管理員簽字

篇2：XX大學賬號口令及權限管理辦法

　　XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　XX大學賬號、口令及權限管理辦法

　　第一章 總則

　　第一條 制度目標：為了加強信息安全保障能力，建立健全安全管理體系，提高整體的網絡與信息安全水平，保證網絡通信暢通和業務系統的正常運營，提高網絡服務質量，在安全體系框架下，本制度為加強師生用戶對于系統賬號、口令及權限的安全管理，規范賬號、口令及權限的使用，降低由于濫用、越權等威脅帶來的風險。

　　第二條 適用范圍：本制度適用于TCP/IP網絡和所承載的業務系統。

　　第三條 使用人員及角色職責：本制度適用于涉及運維的相關人員及使用IT 設備的師生用戶。

　　第二章 組織職責

　　第四條 師生用戶進行賬號申請和審批應首先由師生用戶所在部門負責初步審批，然后由運維部門根據主管領導審批意見和師生用戶崗位，創建、變更和撤銷師生用戶的賬號及權限。

　　第五條 系統負責部門應嚴格按照審批后的賬號、權限維護和管理系統，按要求生成、變更和刪除師生用戶賬號，并由信息安全工作組每季度進行檢查。

　　第六條 運維主管領導 負責帳號分配和權限審批工作。

　　第七條 安全管理員負責所有系統及設備超級管理員帳號管理工作，一般是指所有計算機系統，包括包括主機操作系統、數據庫、關鍵業務和辦公應用系統、網絡設備及管理程序、網絡安全設備及管理程序、加密設備和管理程序的超級管理員帳號或有超級管理員權限的帳號。負責系統管理帳號的創建、初始(密碼)、變更(權限)、刪除、禁止等操作，對系統管理員帳號及其它普通用戶帳號的行為以及系統本身的安全性進行審計和調查取證。

　　第八條 安全審計員負責信息安全審計的日常工作;負責組織、計劃定期的審計活動。

　　第九條 系統管理員負責相關系統及設備管理的工作人員,包括：安全設備管理員、網絡管理員、主機系統管理員、數據庫管理員、應用系統管理員。一般是指所有計算機系統，包括主機操作系統、數據庫、關鍵業務和辦公應用系統、網絡設備及管理程序、網絡安全設備及管理程序、加密設備和管理程序的有管理普通用戶和操作員帳號、設定普通用戶和操作員訪問許可、修改系統配置、安裝系統組件等權限的帳號。

　　第十條 普通用戶擁有的有限操作權限的最終用戶，負責完成日常工作。普通用戶根據帳號管理辦法申請帳號，在帳號申請后，有義務保證帳號的安全，不能私自共享帳號。普通用戶對帳號的使用必需遵守帳號與口令管理的規定。

　　第三章 賬號管理規定

　　第十一條 用戶賬戶的創建

　　第十二條 用戶賬號創建流程

　　1. 普通用戶和操作員帳號由具體用戶向部門領導提出書面申請，然后交運維安全主管領導核準后，送交系統管理員具體實施帳號和密碼的初始化程序，并登記備查，然后通知有關用戶。

　　2. 如果需要創建系統管理員帳號或是安全管理員帳號，則需要向安全管理員提出書面申請。經核實批準后，再由運維安全主管領導授權，才能實施帳號和密碼的初始化程序，并登記備查。

　　3. 所有的步驟(包括臨時權限的授予和取消步驟)，由系統的安全日志組件自動記錄，安全審計員必須對相關帳號日志和帳號創建申請進行定期(每月一次)安全審計。

　　第十三條 用戶帳號創建的安全事宜

　　在創建用戶帳號時，必須遵循下列安全規定：

　　1. 嚴格限制創建公用用戶帳號，且公用帳號不得具有訪問敏感信息以及“寫”和“執行”的系統權限。

　　2. 用戶帳號的權限設置應遵循“最小需要知道”原則，即給用戶能完成工作的最小權限。

　　3. 關閉任何缺省的匿名帳號。

　　4. 系統開啟對用戶帳號、用戶權限和登錄管理的日志審計功能。

　　5. 禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。

　　6. 系統管理員在通知用戶初始密碼時，必須采用加密或其他安全傳輸途徑，以確保初始密碼不會被中途截取。

　　7. 系統管理員必須強制用戶在第一次登錄時，修改其初始密碼。

　　8. 嚴禁以任何明文形式傳遞和存放用戶的初始密碼。

　　9. 因為項目原因，需要創建臨時用戶帳號時，則由項目負責人向所屬臺室主管領導提出書面申請，經由核準后，再由系統管理員統一創建(臨時用戶帳號的密碼由項目負責人統一指定和保管);并且嚴禁在生產系統中創建臨時用戶或測試用戶。項目完成后，立即刪除所有臨時的用戶帳號。

　　第四章 口令、密碼管理

　　第十四條 口令、密碼設置標準

　　密碼類別 最小強度規定

　　安全管理員帳號密碼 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數字和其他特殊符號

　　和個人信息無關

　　最近20個密碼不得重復

　　安全審計員 最小密碼長度不小于10位

　　密碼中必須包含大寫字母、小寫字母、數字和其他特殊符號

　　和個人信息無關

　　最近20個密碼不得重復

　　系統管理員帳號密碼 最小密碼長度不小于8位

　　密碼中必須包含大寫字母、小寫字母和數字

　　和個人信息無關

　　最近10個密碼不得重復

　　普通用戶帳號密碼 最小密碼長度不小于8位

　　密碼中必須包含字母和數字

　　和個人信息無關

　　最近6個密碼不得重復

　　用戶帳號初始密碼 最小密碼長度不小于6位

　　密碼中必須包含字母和數字

　　和個人信息無關

　　最近6個密碼不得重復

　　第十五條 用戶賬戶和密碼保護

　　關于用戶帳號和密碼的保護，本管理制度做下列規定：

　　? 對于自動生成密碼的系統，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機性。

　　? 用戶嚴禁向任何人公開其本人或他人的帳號和密碼的全部或部分，特別是擁有管理員權限或超級管理員權限的用戶。

　　? 嚴禁以任何明文格式存儲帳號和密碼。

　　? 嚴禁通過公共網絡(例如，互聯網、公共電話網等)，以明文格式傳送帳號和密碼。

　　? 系統管理員必須設定用戶登錄嘗試的次數限制，對于信息安全管理員和系統管理員帳號，登錄嘗試次數為3次。對于普通用戶和系統操作員帳號，登錄嘗試次數為5次。一旦在一定時間內使用同一個用戶帳號的失敗登錄超過限定次數，該帳號會被自動禁止，直到系統管理員重新激活該用戶帳號。

　　第十六條 系統管理員應當設定：在用戶成功登錄系統后，提示用戶上次登錄的情況(時間、登錄名和登錄成功與否等信息)。

　　第十七條 系統管理員必須對存有用戶帳號和密碼的數據庫和注冊表進行嚴格的訪問控制，嚴禁對其進行任何遠程訪問(只有信息安全管理員帳號才有“讀”的權限)。

　　第十八條 系統管理員必須在系統正式啟用前，更改所有的系統缺省帳號的密碼，并禁止所有匿名帳號。

　　第十九條 系統管理員或信息安全管理員在發現任何企圖非法使用某用戶帳號的情況時，必須強制該用戶更改密碼。

　　第二十條 系統管理員必須定期檢查用戶帳號使用情況，如有用戶帳號在30天內沒有使用，則有必要暫時禁止用戶帳號(系統管理員帳號和信息安全管理員帳號例外)。

　　第二十一條 系統管理員必須強制設定用戶密碼不得為空，并且符合有關密碼強度規定。

　　第二十二條 系統管理員必須開啟系統內建的用戶帳號、用戶權限管理和登錄管理的審計功能，并對其生成的日志文件進行妥善保管，以確保日志文件的安全性和完整性。

　　第二十三條 安全審計員必須定期對用戶帳號和密碼的使用、變更、禁用、刪除相關的系統日志文件連同相關書面申請文件進行安全審計(每月一次)，并對所有相關文件進行記錄備案。

　　第二十四條 系統管理員必須定期(每月一次)對用戶帳號進行清查工作，及時刪除無用、無主的用戶帳號。

　　第二十五條 嚴禁以任何理由，使用他人帳號或操作卡訪問計算機信息系統資源。

　　第二十六條 嚴禁以任何方式獲取他人帳號和密碼。

　　第二十七條 嚴禁在任何生產系統中創建臨時用戶或測試用戶帳號。

　　第二十八條 對于生產機和主數據庫生產機的超級管理員密碼必須分為兩段，由信息安全管理員和相關的系統管理員二人分別掌管，二人同時在場方可實施本機登錄。

　　第二十九條 系統管理員帳號和密碼，必須由安全管理員將其備份，經安全密封后，存放在保險柜中妥善保管;安全管理員帳號和密碼，必須由運維安全主管領導將其備份，經安全密封后，存放在保險柜中妥善保管。