文档介绍:信息系统用户账号密码管理制度第一章总则第一条目的为加强(以下简称“高速公路”)信息系统用户账号管理,规范用户账号的申请、使用和管理,提高用户账号的安全性,确保信息系统安全、有序、稳定的运行,特制定本制度。第二条适用范围本制度中系统账号是指具有管理网络设备、安全设备、操作系统、数据库管理系统和应用系统的用户账号。第三条职责根据中心信息系统各相关业务的信息管理工作要求,管理用户主要由收费部相关人员担任,职责规定如下:负责网络设备、安全设备、主机系统(操作系统和数据库管理系统)和应用系统用户账号的管理工作;负责上述账号申请和审批管理、安全管理和安全检查管理工作;负责上述账号用户行为安全审计工作。拥有用户账号的最高权限,负责信息系统运行维护的具体操作工作;负责落实具体账号的生成、变更和删除/禁用操作事项。第四条应严格按照审批后的账号、权限维护和管理系统,按要求生成、变更和删除员工账号,并由收费部定期进行检查。第二章账号与密码管理第五条用户角色分类根据各信息系统不同运维人员承担的角色不同,用户账号分为以下角色:系统管理员:由收费部的人员担任,具有管理系统所有权限;根据各人员负责范围的不同,分为网络管理员、安全管理员、主机管理员和应用管理员等,详见《系统管理员用户角色分配表》;临时管理账号:是指外部系统维护人员必须登录信息系统进行维护所需要的管理账号,根据维护需要赋予所需最小权限;安全审计管理员:由收费部系统安全负责人担任,具有能够查看系统的日志和审计信息。第六条用户账号安全用户账号标识应具有不易被冒用的特点,用户账号长度一般采用不少于6位的字符或字符加数字组合,禁止直接采用名字拼音、语言单词或同一字符等容易被冒用的用户账号;根据系统运行维护服务单位需要,为系统运行维护单位分配用户账号,禁止不同运行维护单位相互间共享账号;根据管理用户的运维角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;原则上,操作系统和数据库系统特权用户账号应由不同自然人担任,如只部署操作系统的情况除外;严格限制默认账号的访问权限,禁止或重命名系统默认账号,如因实际需要,不能禁用或重命名的默认口令,应设置16位以上的字符、数字和特殊符号组合的强密;外部系统维护人员采用临时账号登录管理时,必须有系统管理员全程监控。第七条用户密码安全密码在用户账号生成时自行设定,密码设定应满足以下要求:a)密码长度:必须为12位(含)以上;b)密码复杂度:密码复杂度由大小写字母、数字,以及特殊字符混合使用,例如:hnsmztxxzx!@#123;c)修改系统默认密码,禁止使用系统默认密码进行登录管理;d)禁止使用名字拼音、语言单词等易于被破解的字符串设置密码;密码定期每半年进行更换;所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除;密码必须以密文方式存储于网络设备、主机系统和应用系统中;禁止以明文的方式通过手机短信、电子邮件或者其它网络途径传输用户密码信息;若发现用户账号密码泄露,