口令管理規(guī)定

1、附件：天津市電力公司信息系統(tǒng)帳號、口令管理規(guī)定(試行)第一章 總則第一條 為了規(guī)范天津市電力公司信息系統(tǒng)中終端計算機、服務器、網(wǎng)絡設備、應用與系統(tǒng)相關帳號、口令的建立、使用、維護，保證計算機安全和天津市電力公司信息系統(tǒng)正常有序的運行，特制定本管理規(guī)定。第二條 本規(guī)定適用于所有使用公司信息系統(tǒng)的用戶，包括數(shù)據(jù)庫系統(tǒng)管理員、業(yè)務系統(tǒng)管理員、網(wǎng)絡管理員、業(yè)務系統(tǒng)的使用人員。同樣適用于天津市電力公司信息系統(tǒng)范圍內所有使用個人計算機及網(wǎng)絡的員工。第二章 術語解釋第三條 授權用戶：l 天津市電力公司內部人員：指天津市電力公司的在冊職工；l 非天津市電力公司內部人員：指臨時到天津市電力公司工作，但非天津市電

2、力公司正式員工的人員，包括但不限于開發(fā)商、集成商、供應商、顧問、合作人員、臨時工、外聘人員、外包業(yè)務人員等。第四條 帳號l 帳號指在系統(tǒng)內設定的可以訪問本系統(tǒng)內部資源的ID或其他許可形式；l 管理員帳號：指在系統(tǒng)中具有較大的權限，能對網(wǎng)絡、應用、系統(tǒng)進行關鍵性設置權限的賬號，典型用戶為系統(tǒng)管理員；l 超級管理員帳號：指對系統(tǒng)具有超級權限的帳號，包含但不限于UNIX的ROOT，WINNT的administrators組成員，數(shù)據(jù)庫的DBA等用戶；l 公用帳號：指供一組人使用的帳號，其合法使用人限于一個組內；l 匿名帳號：供不確定身份的人員使用的帳號。第五條 口令l 口令：指系統(tǒng)為了認證帳號使用人

3、的身份而要求使用人提供的證據(jù)，如在數(shù)據(jù)庫系統(tǒng)的口令，辦公自動化系統(tǒng)的帳號文件及帳號口令；l 健壯口令：具有足夠的長度和復雜度，難于被猜測的口令；l 弱口令：僅由字母、單詞、數(shù)字或其簡單的組合，易于被猜測的口令。第三章 帳號的建立第六條 系統(tǒng)要求l 天津市電力公司信息系統(tǒng)所使用的計算機操作系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、應用軟件等均需要支持基于帳號的訪問控制功能；l 所有需要使用口令的應用軟件、業(yè)務系統(tǒng)都需要對口令文件提供妥善的保護。第七條 帳號申請原則l 只有授權用戶才可以申請帳號；l 任何系統(tǒng)的帳號設立必須按照規(guī)定的相應流程規(guī)定進行，具體流程見“附錄一：賬號、口令建立、變更、取消流程”；l

4、 用戶申請帳號前應該接受適當?shù)呐嘤枺源_保能夠正常的操作，避免對系統(tǒng)安全造成隱患；l 帳號相應的權限應該以滿足用戶需要為原則，不得授予與用戶職責無關的權限；l 任何帳號必須是可以區(qū)分責任人，責任人必須細化到個人，不得以部門或個人組作為責任人。第八條 公用帳號l 系統(tǒng)應當嚴格限制開設公用帳號，一般情況下公用帳號不得具有訪問保密信息和對系統(tǒng)寫的權限；l 公用帳號應該設立責任人，責任人必須是天津市電力公司內部人員，負責帳號的正常使用及維護。第九條 匿名帳號l 匿名帳號只被允許訪問系統(tǒng)中可公開的資源，不得訪問任何內部公開及內部公開以上保密等級的資源；l 系統(tǒng)應對匿名賬號的訪問進行詳細記錄。第四章 口令

5、的設立第十條 口令的生成l 帳號分配時必須同時生成相應的口令，并且與帳號一起傳送給用戶；l 用戶在接受到帳號和口令后，必須馬上修改口令，任何時間都不得存在沒有口令的帳號；l 對于系統(tǒng)的帳號驗證只有口令作為證據(jù)的系統(tǒng)，如果帳號名由確定的且公開的規(guī)則產(chǎn)生的，則口令不應當為公開的口令；l 管理員在傳遞帳號和口令時，應當采取加密或其他安全的傳輸途徑，以保證口令不會被中途截取。第十一條 口令設立的原則l 帳號口令必須是具有足夠的長度和復雜度，使口令難于被猜測；l 帳號口令應定期進行修改；l 新口令與舊口令之間應沒有直接的聯(lián)系，以保證不可由舊口令推知新口令；l 帳號的口令不應當取有意義的詞語或其他符號，如

6、使用者的姓名，生日或其它易于猜測的信息。第十二條 口令的最低標準l 普通用戶口令長度不得低于8位，最近6個口令不可重復，口令中必須包含字母和數(shù)字；l 管理員和超級管理員帳號口令長度不得低于8位，最近10個口令不可重復，口令中必須包含字母、數(shù)字、符號，口令中同一個符號出現(xiàn)不得多于2次，各個口令中相同位置的字符相同的不得多于3個，口令不得為有意義的單詞或短語。第五章 賬號的變更第十三條 帳號的權限變更l 用戶在工作職責發(fā)生變化，造成現(xiàn)有職責與現(xiàn)有賬號權限不符時，應當申請權限的變更；管理員發(fā)現(xiàn)用戶具有工作不需要的權限，可以直接停止多余的權限；l 賬號權限變更必須按照規(guī)定的相應流程規(guī)定進行，具體流程見

7、“附錄一：賬號、口令建立、變更、取消流程”；第十四條 口令的修改l 用戶應當定期修改帳號口令，修改口令的間隔應小于本標準的相關規(guī)定，對于本標準沒有規(guī)定的用戶，口令修改間隔應當小于6個月；l 用戶必須在管理員要求更改口令時進行更改口令；如果用戶拒絕配合，管理員可以在通知用戶及其主管后，關閉用戶的帳號，以保證信息系統(tǒng)的安全；用戶如需繼續(xù)使用該帳號，必須通過規(guī)定的流程向管理員申請重新開通，具體流程見“附錄一：賬號、口令建立、變更、取消流程”；l 用戶丟失或遺忘口令，必須通過規(guī)定的相應流程向管理員申請初試化口令，用戶在接到回執(zhí)后，應馬上更改口令，具體流程見“附錄一：賬號、口令建立、變更、取消流程”；l

8、 管理員不可在沒有用戶申請的時候私自更改用戶帳號的口令；l 超級管理員帳號的口令屬于系統(tǒng)最高機密，應該嚴格限定使用范圍；其他人員確因工作需要而使用超級管理員帳號和口令的，應當向超級管理員帳號和口令的責任人申請口令，并在完成操作后，由責任人更改口令。第六章 賬號的取消第十五條 帳號的取消l 用戶如果因職責變動而離崗，不再需要系統(tǒng)權限且無須將帳號移交給其他責任人，其原崗位主管應當申請帳號的銷戶，由管理員取消其賬號；l 用戶離職后，管理員應當關閉用戶在系統(tǒng)中的所有權限；l 賬號取消必須按照規(guī)定的相應流程規(guī)定進行，具體流程見“附錄一：賬號、口令建立、變更、取消流程”。第七章 賬號、口令的維護第十六條

9、帳號的使用l 任何帳號只限于申請過程中聲明的用戶使用，禁止其他人使用此帳號；l 信息系統(tǒng)正式運行前，必須更改系統(tǒng)中的缺省帳號口令，以保證正式環(huán)境的安全；l 用戶不得使用帳號訪問與自己工作無關的資源。第十七條 用戶的責任與義務：l 所有用戶有義務確保自己的口令的安全，系統(tǒng)帳號與口令不得泄漏給他人，同時避免使用弱口令；l 對于使用便攜式計算機的用戶，應確保設置開機BIOS口令；l 使用遠程登陸的用戶，確保不將口令保留在計算機上；l 不將內部應用系統(tǒng)中使用的帳號和口令用于其他個人應用中；l 任何人不得公開其本人或他人口令的全部或部分；l 嚴禁任何人通過任何手段非法取得他人帳號和口令進入系統(tǒng)；l 任何

10、人不得將其帳號的口令告之無權使用此帳號的人，如果用戶此種行為導致其他人用此帳號造成對天津市電力公司信息系統(tǒng)的影響，帳號持有人和造成影響的行為的實施人負有相同的責任；l 嚴禁任何人利用系統(tǒng)安全漏洞訪問其權限之外的資源。第十八條 系統(tǒng)管理員的責任與義務：l 確保除匿名帳號外，所有系統(tǒng)用戶都必須有口令；l 定期審計，檢查系統(tǒng)用戶的數(shù)量和權限；l 確保系統(tǒng)和網(wǎng)絡設備無默認帳號和口令；l 確保關鍵應用服務器啟用口令強制策略；l 對用戶進行口令安全培訓；l 同一個管理員在不同主機上應使用不同的帳號和口令。第八章 考核與處罰第十九條 對違反本規(guī)定的用戶根據(jù)津電安監(jiān)200736 號天津市電力公司安全生產(chǎn)工作獎

11、懲規(guī)定進行處罰。第二十條 如對安全生產(chǎn)造成影響，則依據(jù)200205 號天津市電力公司信息系統(tǒng)事故調查及考核辦法進行處理。對于違反國家法律的，依法追究法律責任。第九章 維護與解釋第二十一條 本規(guī)定由天津市電力公司科技信息部每年審視一次，根據(jù)審視結果修訂，并頒布執(zhí)行。第二十二條 本規(guī)定的解釋權歸科技信息部。第二十三條 本規(guī)定自簽發(fā)之日起生效，以前發(fā)布的相關制度作廢。附錄一 賬號、口令建立、變更、取消流程一、 用戶填寫書面賬號申請單，詳細、正確填寫相關內容；二、 由用戶所在部門的主管進行申請內容的審查，并做批復；三、 交于科技信息部相關人員進行審批；四、 對于涉及天津市電力公司涉密信息的賬號申請應交于總經(jīng)理工作部進行審批；五、 用戶將申請單交于科技信息部，由科技信息部負責進行賬號、口令的建立、變更、取消?？萍夹畔⒉窟M行相應的記錄備案。六、 當用戶接收到賬號、口令后，應立即更改口令，且口令強度應符合本管理規(guī)定的要求。七、 例外情況：因系統(tǒng)安全原因或緊急情況，在得到相關主管部門允許的情況下，不經(jīng)過以上流程而執(zhí)行帳號操作。附錄二 賬號、口令建立、變更