【原】账号口令安全管理办法

账号口令安全管理办法目的是为了规范账号口令管理，为账号口令的使用、维护提供依据，降低由于账号管理不善以及弱口令带来的安全风险。

▼▼应用系统用户账号：

应用系统用户账号是指登录应用系统所有用户所使用的账号，主要包括应用系统管理员用户账号、用户管理员用户账号、业务参数管理员用户账号、业务操作用户账号、业务监控用户账号和批处理用户账号等。

▼▼系统管理员账号：

系统管理员账号是指登录操作系统、数据库系统、中间件、网络设备、安全设备所使用的账号。

应用系统用户账号权限申请

申请者在申请账号权限时，应以仅满足工作需要为原则，不得申请与工作无关的账号权限。

用户申请者所在部门领导对申请者的账号权限申请进行审核，确保申请的账号权限符合申请者的岗位工作职责需求。

在账号权限申请过程中，可根据具体工作需要增加账号权限审批业务部门，任何环节审批出现问题应取消或修改本次申请。

账号权限申请者所在部门、业务主管部门审批通过后，由系统管理部门领导进行审核，确保申请的账号权限符合相关规章制度。

账号权限全部审核通过后，系统账号权限管理人员负责开通相关账号权限，账号权限操作完成后，账号权限管理人员应将账号、口令通过不同的可靠途径传达给申请者。

系统管理员账号权限申请

申请者在申请账号权限时，应以仅满足工作需要为原则，不得申请与工作无关的账号权限。

用户申请者所在部门对申请者的账号权限申请进行审核，确保申请的账号权限符合申请者的岗位工作职责需求。

账号权限申请者所在部门审批通过后，由信息安全管理人员审核，确保申请的账号权限符合信息安全职责分离原则。

信息安全管理人员审核完成后，由系统管理部门领导进行审核，确保申请的账号权限符合相关规章制度。

账号权限全部审核通过后，系统账号权限管理人员负责开通相关账号权限，并将账号权限操作信息传达给信息安全管理人员，账号权限操作完成后，账号权限管理人员应将账号、口令通过不同的可靠途径传达给申请者。

账号权限变更与撤销管理

账号权限发生变更或撤销时，应通过正式的变更或撤销审批过程，具体审批过程与账号权限申请审批过程一致。

在账号权限撤销过程中，如因特殊原因不能撤销账号时，应将账号权限进行责任人变更，并由账号权限新的使用者修改口令。

核心应用系统用户账号权限、系统管理员账号权限应每年进行一次账号权限清查，及时处理不符合管理要求的账号权限。

口令保护策略

所有账号权限使用者有责任确保自己口令的安全，禁止将自己的口令泄漏给他人。禁止任何人通过任何手段非法取得他人账号口令。

主机服务器、数据库及中间件、应用系统以及网络设备管理员在口令管理方面的责任包括以下内容：

• 所有账号都必须设置口令。

• 确保账号不使用默认口令。

• 启用口令长度和复杂度检查策略。

• 启用初始口令首次登录修改策略。

• 存储管理员账号口令的文件必须采取加密措施。

口令按强弱程度可分为以下三类：

• 弱口令：长度低于6位，仅由纯字母、纯数字组成，或由字母和数字简单组合而成。

• 标准强度口令：长度不低于6位，口令中同时包含大小写字母、数字和特殊符号中的两种，最近3个口令不重复。

• 高强度口令：口令长度不低于10位，口令中同时包含大小写字母、数字和特殊符号中的三种，口令不得为有意义的单词或短语，最近5个口令不可重复。

任何帐户均不得使用弱口令，口令设置受系统限制的除外。

所有应用系统用户帐户都应至少使用标准强度口令，口令设置受系统限制的除外。

所有系统管理员账号都应使用高强度口令，口令设置受系统限制的除外。

口令设置原则：

• 口令必须具有足够的长度和复杂度，使口令难于被猜测。
• 口令不得在限定的时间或次数内重复使用。
• 不能选择字典上现有的词汇、一串相同的数字或字母、明显的键盘序列作为口令。
• 同一帐户的各个口令之间不应有直接联系，以确保无法通过以前的口令推知现在的口令。

• 同一帐户的前后两个口令之间的相同部分应当尽量减少，以降低由前一个口令分析出后一个口令的机会。

口令更改：

• 所有账号口令最长周期不超过三个月应进行口令更改。

• 丢失或遗忘口令时，应及时向管理员申请重置口令，用户在接到口令已重置的通知后，应马上更改初始口令。

• 禁止管理员在没有用户申请的情况下更改用户帐户的口令，除非得到所管理系统的主管部门负责人的授权。