帐号口令安全管理办法
系统管理员账号是指登录操作系统、数据库系统、中间件、网络设备、安全设备所使用的账号。
应用系统用户账号权限申请
申请者在申请账号权限时,应以仅满足工作需要为原则,不得申请与工作无关的账号权限。
系统管理员账号权限申请
申请者在申请账号权限时,应以仅满足工作需要为原则,不得申请与工作无关的账号权限。
账号权限变更与撤销管理
账号权限发生变更或撤销时,应通过正式的变更或撤销审批过程,具体审批过程与账号权限申请审批过程一致。
口令保护策略
所有账号权限使用者有责任确保自己口令的安全,禁止将自己的口令泄漏给他人。禁止任何人通过任何手段非法取得他人账号口令。
主机服务器、数据库及中间件、应用系统以及网络设备管理员在口令管理方面的责任包括以下内容:
所有账号都必须设置口令。
确保账号不使用默认口令。
启用口令长度和复杂度检查策略。
启用初始口令首次登录修改策略。
存储管理员账号口令的文件必须采取加密措施。
弱口令:长度低于6位,仅由纯字母、纯数字组成,或由字母和数字简单组合而成。
标准强度口令:长度不低于6位,口令中同时包含大小写字母、数字和特殊符号中的两种,最近3个口令不重复。
高强度口令:口令长度不低于10位,口令中同时包含大小写字母、数字和特殊符号中的三种,口令不得为有意义的单词或短语,最近5个口令不可重复。
所有应用系统用户帐户都应至少使用标准强度口令,口令设置受系统限制的除外。
所有系统管理员账号都应使用高强度口令,口令设置受系统限制的除外。
口令必须具有足够的长度和复杂度,使口令难于被猜测。 口令不得在限定的时间或次数内重复使用。 不能选择字典上现有的词汇、一串相同的数字或字母、明显的键盘序列作为口令。 同一帐户的各个口令之间不应有直接联系,以确保无法通过以前的口令推知现在的口令。 同一帐户的前后两个口令之间的相同部分应当尽量减少,以降低由前一个口令分析出后一个口令的机会。
所有账号口令最长周期不超过三个月应进行口令更改。
丢失或遗忘口令时,应及时向管理员申请重置口令,用户在接到口令已重置的通知后,应马上更改初始口令。
禁止管理员在没有用户申请的情况下更改用户帐户的口令,除非得到所管理系统的主管部门负责人的授权。
赞 (0)