账号口令安全管理办法目的是为了规范账号口令管理,为账号口令的使用、维护提供依据,降低由于账号管理不善以及弱口令带来的安全风险。应用系统用户账号是指登录应用系统所有用户所使用的账号,主要包括应用系统管理员用户账号、用户管理员用户账号、业务参数管理员用户账号、业务操作用户账号、业务监控用户账号和批处理用户账号等。 系统管理员账号是指登录操作系统、数据库系统、中间件、网络设备、安全设备所使用的账号。 申请者在申请账号权限时,应以仅满足工作需要为原则,不得申请与工作无关的账号权限。 用户申请者所在部门领导对申请者的账号权限申请进行审核,确保申请的账号权限符合申请者的岗位工作职责需求。在账号权限申请过程中,可根据具体工作需要增加账号权限审批业务部门,任何环节审批出现问题应取消或修改本次申请。账号权限申请者所在部门、业务主管部门审批通过后,由系统管理部门领导进行审核,确保申请的账号权限符合相关规章制度。账号权限全部审核通过后,系统账号权限管理人员负责开通相关账号权限,账号权限操作完成后,账号权限管理人员应将账号、口令通过不同的可靠途径传达给申请者。申请者在申请账号权限时,应以仅满足工作需要为原则,不得申请与工作无关的账号权限。 用户申请者所在部门对申请者的账号权限申请进行审核,确保申请的账号权限符合申请者的岗位工作职责需求。账号权限申请者所在部门审批通过后,由信息安全管理人员审核,确保申请的账号权限符合信息安全职责分离原则。信息安全管理人员审核完成后,由系统管理部门领导进行审核,确保申请的账号权限符合相关规章制度。账号权限全部审核通过后,系统账号权限管理人员负责开通相关账号权限,并将账号权限操作信息传达给信息安全管理人员,账号权限操作完成后,账号权限管理人员应将账号、口令通过不同的可靠途径传达给申请者。账号权限发生变更或撤销时,应通过正式的变更或撤销审批过程,具体审批过程与账号权限申请审批过程一致。 在账号权限撤销过程中,如因特殊原因不能撤销账号时,应将账号权限进行责任人变更,并由账号权限新的使用者修改口令。核心应用系统用户账号权限、系统管理员账号权限应每年进行一次账号权限清查,及时处理不符合管理要求的账号权限。所有账号权限使用者有责任确保自己口令的安全,禁止将自己的口令泄漏给他人。禁止任何人通过任何手段非法取得他人账号口令。 主机服务器、数据库及中间件、应用系统以及网络设备管理员在口令管理方面的责任包括以下内容: 所有账号都必须设置口令。 确保账号不使用默认口令。 启用口令长度和复杂度检查策略。 启用初始口令首次登录修改策略。 任何帐户均不得使用弱口令,口令设置受系统限制的除外。所有应用系统用户帐户都应至少使用标准强度口令,口令设置受系统限制的除外。 所有系统管理员账号都应使用高强度口令,口令设置受系统限制的除外。
|