XX大學信息化建設與管理處

　　第一部分 網絡與信息安全規章制度

　　網絡與教育技術中心密碼管理規定

　　第一章 總則

　　第一條 為適應XX大學密碼安全管理的需要，特制定密碼管理規定。

　　第二條 本規定適用于XX大學所有人員。

　　第二章 帳號設立要求

　　第三條 系統要求

　　1) XX大學所使用的操作系統、業務系統、數據庫、網絡設備等均需要支持基于帳號的訪問控制功能;

　　2) 所有需要使用口令的應用軟件、業務軟件都需要對口令文件提供妥善的保護。

　　第四條 帳號申請原則

　　1) 只有授權用戶才可以申請系統帳號;

　　2) 任何系統的帳號設立必須按照規定的相應流程規定進行;

　　3) 員工申請帳號前應該接受適當的培訓，以確保能夠正常的操作，避免對系統安全造成隱患;

　　4) 帳號相應的權限應該以滿足用戶需要為原則，不得有與用戶職責無關的權限;

　　5) 對于確因工作需要而必須申請系統帳號的學校外部人員，則必須經部門領導批準，且學校正式員工作為安全責任人，如果需要接觸學校秘密信息，必須通過技術部審批并且簽署保密協議;

　　6) 任何系統的帳號必須是可以區分責任人，責任人必須細化到個人，不得以部門或個人組作為責任人。

　　7) 必須由申請人提出正式申請，需填寫相關信息：使用者的姓名、聯系電話、職責(崗位)、MAC地址、使用時間、申請使用的系統范圍和權限等信息。由部門領導審批后移交給信息化建設與管理處審核后，下發至相應的管理員，管理員根據申請的內容進行賦權;操作完成后，系統管理員通過郵件或其他安全方式通知相關人員或部門。

　　第五條 公用帳號

　　1) 系統應當嚴格限制開設公用帳號，一般情況下公用帳號不得具有訪問保密信息和對系統寫的權限;

　　2) 公用帳號應該設立責任人，負責帳號的正常使用及維護。

　　第六條 匿名帳號

　　1) 匿名帳號只被允許訪問系統中可公開的且對學校有益的資源，不得訪問任何內部公開及以上秘密等級的資源;

　　2) 對匿名用戶對系統的訪問必須有詳細的記錄。

　　第三章 口令設立要求

　　第七條 口令的生成

　　1) 系統帳號分配時必須同時生成相應的口令，并且與帳號一起傳送給用戶;

　　2) 用戶在接受到帳號和口令后，必須馬上修改口令，任何時間都不得存在沒有口令的帳號，除非該帳號已經失效;

　　3) 對于系統的帳號驗證只有口令作為證據的系統，如果帳號名由確定的且公開的規則產生的，則口令不應當為公開的口令;

　　4) 管理員在傳遞帳號和口令時，應當采取加密或其他安全的傳輸途徑，以保證口令不會被中途截取。

　　第八條 口令設立的原則

　　1) 帳號口令必須是具有足夠的長度和復雜度，使口令難于被猜測;

　　2) 帳號口令必須是在必要時間或次數內不循環使用;

　　3) 帳號的各個口令之間應當是沒有直接聯系的，以保證不可有以前的口令推知現在的口令;

　　4) 帳號的前后兩個口令之間的相同部分應當盡量減少，減低由前一個口令分析出后一個口令的機會;

　　5) 帳號的口令不應當取有意義的詞語或其他符號，如使用者的姓名，生日或其它易于猜測的信息。口令避免使用以下選擇：

　　(1)親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼;

　　(2)一串相同的數字或字母;

　　(3)明顯的鍵盤序列;

　　(4)所有上面情況的逆序或前后加一個數字;

　　(5)常見的詞語或字典詞語。

　　第九條 口令的最低標準

　　1) 普通用戶口令長度不得低于9位，最近3個口令不可重復，口令中至少應包括以下三種：數字、大寫字母、小寫字母以及特殊字符(特殊符號舉例如下：!@#$%^&*()_+|~-=\`{}[]:”;’<>?,./);

　　2) 管理員和超級管理員帳號口令長度不得低于9位，最近10個口令不可重復，口令中必須包含字母和數字，口令中同一個符號出現不得多于2次，各個口令中相同位置的字符相同的不得多于3個，口令不得為有意義的單詞或短語。

　　第四章 變更與取消要求

　　第十條 帳號的使用

　　1) 任何帳號的使用人只限于申請帳號過程中聲明的使用人使用，禁止其他人使用此帳號;

　　2) 帳號系統正式使用前，必須更改原來系統中的缺省帳號的所有口令，以保證正式環境的安全;

　　3) 帳號使用人在使用的過程中，不得使用帳號訪問與自己工作無關的資源。

　　第十一條 帳號的權限變更

　　1)帳號使用人在工作職責發生轉變，造成現有職責與現有的在系統中的職責不同時，應當申請權限的修改;管理員發現用戶具有工作不需要的權限，可以直接停止多余的權限;

　　2)帳號使用人在工作職責發生轉變，而不再需要使用系統資源的情況下，應當申請關閉帳號;對不能關閉的帳號則需要轉移帳號的責任人.。

　　第十二條 口令的修改

　　1) 帳號的使用人應當定期修改帳號口令，修改口令的間隔應小于本標準的相關規定，對于本標準沒有規定的用戶，其間隔應當小于3個月;

　　2) 帳號用戶必須在管理員要求更改口令時進行更改口令;如果用戶拒絕配合，管理員可以在通知用戶及其主管后，關閉用戶的帳號，以保證系統的安全;

　　3) 帳號用戶丟失或遺忘口令，必須通過規定的流程向管理員申請初試化口令，用戶在接到回執后，應馬上更改口令;

　　4) 帳號用戶要求口令修改的方式必須是可以確保用戶身份的，且管理員必須有記錄;

　　5) 管理員不可在沒有用戶申請的時候私自更改用戶帳號的口令，除非技術部門需要;

　　6) 系統的超級管理員帳號的口令屬于系統最高機密，應該嚴格限定使用范圍;其他人員確因工作需要而使用超級管理員帳號和口令的，應當向超級管理員帳號和口令的責任人申請口令，并在完成操作后，由責任人更改口令。

　　第十三條 帳號的取消

　　1) 由于人事變動，帳號的使用者發生崗位變動或者離職，人事處發報人事變更訊息，通知至系統管理員所在小組。由系統管理員提出正式申請經系統所在部門領導審批后，立即進行相應的權限變動或帳號回收，嚴格防止由于崗位變動，帳號、權限沒有進行變更的情況。

　　第五章 維護要求

　　第十四條 密碼口令的管理

　　1) 不能將密碼口令以紙質介質或明文電子數據保存，不能通過電子郵件傳輸;

　　2) 不能使用缺省設置的密碼;

　　3) 不能將密碼告訴別人;

　　4) 如果系統的密碼泄漏了，必須立即更改;

　　5) 不能共享超級用戶的口令，使用用戶組或適當的工具如su;

　　6) 所有系統集成商在施工期間設立的缺省密碼在系統投入使用之前都要刪除;

　　7) 密碼要以加密形式保存，加密算法強度要高，加密算法要不可逆;

　　8) 在輸入時密碼不能顯示出來;

　　9) 系統應該強制指定密碼的策略，包括密碼的最短有效期、最長有效期、最短長度、復雜性等;

　　10) 除了系統管理員外，一般用戶不能改變其它用戶的口令;

　　11) 如果需要特殊用戶的口令(比如說UNIX下的Oracle)，要禁止通過該用戶進行交互式登錄;

　　12) 強制用戶在第一次登錄后改變口令;

　　13) 在要求較高的情況下可以使用強度更高的認證機制，例如：雙因素認證;

　　14) 如果可能的話，可以使用自己密碼生成器幫助用戶選擇口令;

　　15) 要定時運行密碼檢查器檢查口令強度，對于保存機密和絕密信息的系統應該每周檢查一次口令強度;其它系統應該每月檢查一次。

　　第十五條 信息系統用戶的責任與義務

　　1) 所有用戶有義務確保自己的口令的安全，系統帳號與口令不泄漏給他人，同時避免使用弱口令;

　　2) 對于使用便攜式計算機的用戶，應設置開機BIOS口令;

　　3) 使用遠程登陸的用戶，確保不將口令保留在計算機上;

　　4) 不將信息系統中使用的帳號和口令用于其他個人應用;

　　5) 任何人不得公開其本人或他人口令的全部或部分，除非這種行為不會影響系統帳號的安全性;

　　6) 嚴禁任何人通過任何手段非法取得他人帳號和口令進入系統，對違反者應當進行嚴厲制裁，直至追究法律責任;

　　7) 任何人不得將其帳號的口令告之無權使用此帳號的人，如果用戶此種行為導致其他人用此帳號造成對學校信息系統的影響，帳號持有人和造成影響的行為的實施人負有相同的責任;

　　8) 嚴禁任何人利用系統安全漏洞訪問其權限之外的資源，一經發現，立即嚴懲。

　　第十六條 系統管理員的責任與義務

　　1) 確保除匿名帳號外，所有系統用戶都必須有口令;

　　2) 定期審計，檢查系統用戶的數量和權限;

　　3) 確保系統和網絡設備無默認帳號和口令;

　　4) 確保關鍵應用服務器啟用口令強制策略;

　　5) 對用戶進行口令安全培訓;

　　6) 建議同一個管理員在不同主機上使用不同的帳號和口令。

　　第六章 流程管理要求

　　第十七條 內部人員的信息系統帳號的開戶/權限變更流程

　　1) 首先由用戶提出書面申請，詳細列出所需權限，由其部門領導審批其申請的權限是因為工作需要;

　　2) 如果用戶申請系統規定的需要高級主管或其他部門主管審批的權限則需要其他部門或高級主管審批;

　　3) 如果有必要，由系統中業務部門的負責人員進行用戶的要求是否合理的審批;

　　4) 然后由安全負責人員審核其安全性，相應負責人員進行開戶操作，在以上各審批人的審批環節中，如任何一個審批人不同意該申請，則退回用戶的申請。

　　第十八條 職責變動導致的銷戶流程

　　用戶因職責變動，而不需要使用信息系統的資源，應當立即銷戶，學校內部人員的帳號的銷戶流程如下：

　　1) 用戶主管提出申請;

　　2) 安全控制人員審批并執行(離職人員的帳號由信息處管理人員直接處理)。

　　第十九條 例外情況

　　1) 安全管理人員在因系統安全原因或緊急情況下，在得到主管部門允許的情況下，不經過以上流程而執行帳號操作;

　　2) 因系統升級或遷移等情況下，可以在得到相應部門認同的情況下，直接操作而不經過本流程。

篇2：城建投資公司資金財務部支票印鑒密碼器管理規定

　　城建投資公司資金財務部支票、印鑒、密碼器管理規定

　　根據會計法及會計規范相關規定，為確保公司資金安全，規范支票、印鑒、密碼器管理特制訂本規定。

　　一、范圍：

　　1、財務印鑒：財務章（****城市建設投資有限公司財務專用章）、法人章（李國華）

　　2、支票：現金支票、轉賬支票

　　3、密碼器：**銀行密碼支付器

　　二、保管：

　　1、財務章由公司資金財務部負責人保管。

　　2、法人章、支票、密碼器由公司出納保管。

　　三、使用：

　　1、出納根據簽批手續完整的單據填寫支票，填寫支票支付密碼，蓋法人章，并在支票使用簿中逐筆進行登記。

　　2、財務負責人審核支票無誤后蓋公司財務章。

　　3、支票領用人在支票使用簿及支票票根上簽字后方可付出支票。

　　4、如果財務部其中一人外出，必須將財務章或法人章交到公司綜合辦公室負責人處，此時原則上不支付各種款項，緊急情況需要簽發支票，可以通過電話委托公司綜合辦公室負責人代蓋章。

　　5、公司其他部門需要使用財務印鑒，必須填寫公章使用申請單，經公司領導批準后才能使用。

　　6、公司財務印鑒原則上不能帶出公司，特殊情況需要外帶使用，必須填寫公章使用申請單，經公司領導批準后才能借出，且當日必須歸還。

　　九、本規定從20**年9月1日起執行。

篇3：賬戶和密碼安全管理規定

　　賬戶和密碼安全管理規定

一、總則

　　1、為了規范北京外國語大學信息技術中心(以下簡稱信息技術中心)各信息系統帳號密碼管理，保障各系統安全運行，特制定本規定。

　　2、本規定適用于北京外國語大學信息技術中心。

二、用戶賬戶的創建

　　1、嚴格限制創建公用用戶帳號，且公用帳號不得具有訪問敏感信息以及“寫”和“執行”的系統權限。

　　2、用戶帳號的權限設置應遵循“最小化”原則，即給用戶能完成工作的最小權限。

　　3、關閉任何缺省的匿名帳號。

　　4、系統開啟對用戶帳號、用戶權限和登錄管理的日志審計功能。

　　5、禁止使用空密碼或與用戶名相同的密碼，作為初始密碼。

　　6、系統管理員在第一次登錄時，必須修改初始密碼。

　　7、特殊原因，需要創建臨時用戶帳號時，則由項目負責人向責任部門主管領導提出書面或校內郵件申請，經由核準后，再由系統管理員統一創建(臨時用戶帳號的密碼由項目負責人統一指定和保管);并且嚴禁在重要業務系統中創建臨時 用戶或測試用戶。項目完成后，立即刪除所有臨時的用戶帳號。

三、賬戶密碼的設置

　　1、基礎運行環境(包括網絡系統、安全系統、主機服務器操作系統、數據庫、公共平臺、中間件等)的管理員密碼設置要求如下：

　　A、長度不得少于8個字符。

　　B、復雜度要求：必須是大小寫字母、數字和符號的組合。

　　C、修改周期：半年。

　　D、密碼修改：再次修改的密碼應確保未使用最近5次內的重復的密碼。

　　2、應用系統管理員權限的用戶密碼設置要求如下：

　　A、長度不得少于8個字符。

　　B、復雜度要求：必須是大小寫字母、數字和符號的組合。

　　C、修改周期：半年。

　　D、密碼修改：再次修改的密碼應確保未使用最近5次內的重復的密碼。

　　3、普通終端用戶密碼設置要求如下：

　　A、長度不得少于8個字符。

　　B、復雜度要求：至少達到大小寫字母和數字的組合。

　　C、修改周期：一年。

　　4、密碼設置應避免以下選擇：

　　A、親戚、朋友、同事、單位等的名字，生日、車牌號、電話號碼。

　　B、一串相同的數字或字母。

　　C、明顯的鍵盤頒序列。

　　D、所有上面情況的逆序或前后加一個數字。

　　E、常見的詞語或字典詞語。

四、賬戶密碼的使用

　　1、應避免在紙上記錄密碼，或以明文方式記錄存儲在計算機內。

　　2、用戶忘記密碼時，管理員必須在對該用戶進行適當的身份識別后才能向其提供臨時密碼。

　　3、密碼文件的存儲應和系統數據相分開，并采用安全方式存儲和傳輸口令(例如加密或哈希)。

　　4、禁止在任何自動登錄程序中使用密碼，如在宏或功能鍵中存儲。

　　5、應采取有效措施，保證用戶密碼在傳輸和存儲時的安全，例如對密碼進行加密傳輸和保存。

　　6、應保證口令安全，不得共享個人口令，不得向任何人泄漏。對于泄漏口令造成的損失，由本人負責。

　　7、以下情況時相關密碼必須立即更改并做好記錄：

　　A、帳號使用人由于工作的變動不再需要訪問權限。

　　B、工程施工、廠商維護完成。

　　C、帳號使用者違背了有關密碼管理規定。

　　D、一旦有跡象表明密碼可能被泄露。

　　E、發生其他情況，由上級主管人員認為不應再具有訪問權限的。

五、用戶賬戶和密碼的保護

　　1、對于自動生成密碼的系統，必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機性。

　　2、用戶嚴禁向任何人公開其本人或他人的帳號和密碼的全部或部分，特別是擁有管理員權限或超級管理員權限的用戶。

　　3、嚴禁以任何明文格式存儲帳號和密碼。

　　4、嚴禁通過公共網絡(例如：互聯網、公共電話網等)，以明文格式傳送帳號和密碼。

　　信息安全管理員必須設定所有用戶登錄嘗試的次數限制，對于信息安全管理員和系統管理員帳號，登錄嘗試次數為3次。對于其他帳號，登錄嘗試次數為5次。一旦在一定時間內使用同一個用戶帳號的失敗登錄超過限定次數，該帳號會被自動禁止，直到重新激活該用戶帳號。

　　信息安全管理員應當設定：在用戶成功登錄系統后，提示用戶上次登錄的情況(時間、登錄名和登錄成功與否等信息)。

　　系統管理員必須對存有用戶帳號和密碼的數據庫和注冊表進行嚴格的訪問控制，嚴禁對其進行任何遠程訪問。

　　系統管理員必須在系統正式啟用前，更改所有的系統缺省帳號的密碼，并禁止所有匿名帳號。

　　信息安全管理員在發現任何企圖非法使用某用戶帳號的情況時，必須強制該用戶更改密碼。

　　系統管理員必須定期檢查用戶帳號使用情況，如有用戶帳號在30天內沒有使用，則有必要暫時禁止用戶帳號(系統管理員帳號除外)。

　　系統管理員必須強制設定用戶密碼不得為空，并且符合有關密碼強度規定。

　　系統管理員應開啟系統內建的用戶帳號、用戶權限管理和登錄管理的審計功能，并對其生成的日志文件進行妥善保管，以確保日志文件的安全性和完整性。

　　信息安全管理員必須定期(每月一次)對用戶帳號密碼進行審查工作(相關科室科長提供信息)，及時提出整改意見。

　　嚴禁以任何理由，使用他人帳號或操作卡訪問網絡運營中心計算機信息系統資源。

　　嚴禁以任何方式獲取他人帳號和密碼。

　　嚴禁在任何重要業務系統中創建臨時用戶或測試用戶帳號。

　　系統管理員帳號和密碼，每月或重要事件后必須修改一次，由部門負責人將其備份，妥善保管，并填寫《用戶密碼信息統計審核表》。

附則

　　本規定由信息技術中心負責解釋和修訂。

　　本規定自發布之日起執行。