05用户帐号和密码安全管理规范解析

用户账号和密码安全管理规范用户账号和密码安全管理规范V 1.0目 录概述4适用范围5用户帐号的分类6用户帐号的创建7用户帐号创建流程7用户帐号创建的安全事宜7密码设置标准和最小强度规定9密码设置标准9密码最小强度规定 9用户帐号和密码的保护11用户帐号和密码的管理13用户密码的变更13用户帐号的禁止13用户帐号的删除13用户帐号和密码管理制度的实施15实施工作流程15更新维护要求15奖励和处罚16参考文献17概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段。几乎所有的访问控制、安全审计等信息安全技术防范措施都是建立在“帐号+密码”的用户身份验证机制上。因此，缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得*信息安全设备和系统形同虚设。本管理制度的主要作用在于对*用户帐号按照其重要性进行分类，并从用户帐号和密码的创建、保护、变更和废除等方面，对用户帐号和密码的相关管理作出详细的规定。本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述：n 用户帐号的分类根据用户帐号的权限不同，对不同的用户帐号进行归纳分类。n 用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度。密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度。n 用户帐号和密码保护规定了用户在使用帐号和密码时，所必须遵守的安全规章制度，从而最大限度地确保帐号和密码的安全性。n 用户帐号和密码的管理规定了更改、废除用户帐号（权限）和密码的流程和相关安全事宜。n 用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则，包括工作流程、更新要求和奖惩措施等。 适用范围本管理制度适用于*所有用户帐号和密码，以及能访问相关计算机信息的员工，包括管理、支持、维护用户帐号和密码的IT人员。用户帐号的分类根据信息安全的需要，把*计算机信息系统用户帐号分为以下几类：n 信息安全员帐号由*信息安全员具体掌管。一般是指所有计算机系统，包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的超级管理员帐号或有超级管理员权限的帐号。其主要用于创建、初始（密码）、变更（权限）、删除、禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等。n 系统管理员帐号由相关系统管理员具体掌管，一般是指所有计算机系统，包括小型机操作系统、业务和办公服务器操作系统、数据库、关键业务和办公应用程序、网络管理应用程序、关键网络设备、加密设备和应用程序的有管理普通用户和操作员帐号、设定普通用户和操作员访问许可、修改系统配置、安装系统组件等权限的帐号。n 系统操作员帐号由相关系统操作员拥有的，有限操作权限的帐号。系统操作员帐号主要用于完成既定的计算机信息系统的操作工作，例如打印、备份、数据输入等。n 普通用户帐号由最终用户拥有的有限操作权限的帐号，用于完成日常工作。用户帐号的创建用户帐号创建流程普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请，经其核准后，送交系统管理员具体实施帐号和密码的初始化程序，并登记备查，然后通知有关用户。如果需要创建系统管理员帐号或是信息安全员帐号，则需要向*信息安全主管提出书面申请。经核实批准后，再由*信息安全主管授权，才能实施帐号和密码的初始化程序，并登记备查。*可参照执行。所有的步骤（包括临时权限的授予和取消步骤），由系统的安全日志组件自动记录 如果系统不提供相应的日志记录功能，必须考虑以手工的方式对整个过程进行记录。信息安全员必须对相关帐号日志和帐号创建申请进行定期（每月一次）安全审计。用户帐号创建的安全事宜在创建用户帐号时，必须遵循下列安全规定：n 严格限制创建公用用户帐号，且公用帐号不得具有访问敏感信息以及“写”和“执行”的系统权限。n 正式用户帐号的申请人只局限于本*部员工。n 用户帐号的权限设置应遵循“最小需要知道”原则，即给用户能完成工作的最小权限。n 关闭任何缺省的匿名帐号。n 系统开启对用户帐号、用户权限和登录管理的日志审计功能。n 禁止使用空密码或与用户名相同的密码，作为初始密码。n 系统管理员在通知用户初始密码时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。n 系统管理员必须强制用户在第一次登录时，修改其初始密码。n 严禁以任何明文形式传递和存放用户的初始密码。n 因为项目原因，需要创建临时用户帐号时，则由项目负责人向*信息安全主管提出书面申请，经由核准后，再由系统管理员统一创建（临时用户帐号的密码由项目负责人统一指定和保管）；并且严禁在生产系统中创建临时用户或测试用户。项目完成后，立即删除所有临时的用户帐号。密码设置标准和最小强度规定密码设置标准n 所有密码必须是具有足够长度和复杂度。n 所有密码之间没有任何联系，即无法从前个生成的密码推测出下个密码。n 所有密码不得采用英文单词、拼音或其他有意义的词语和符号，例如用户的姓名、生日等。n 所有密码不得全部由数字或字母组成，除非系统不予支持。密码最小强度规定 如果，所规定的密码最小强度不被系统支持，则使用该系统所支持的最高强度密码。密码类别最小强度规定信息安全员帐号密码n 最小密码长度不小于10位n 密码中必须包含大写字母、小写字母、数字和其他特殊符号n 和个人信息无关n 最近20个密码不得重复系统管理员帐号密码n 最小密码长度不小于8位n 密码中必须包含大写字母、小写字母和数字n 和个人信息无关n 最近10个密码不得重复系统操作员帐号密码n 最小密码长度不小于8位n 密码中必须包含字母和数字n 和个人信息无关n 最近6个密码不得重复普通用户帐号密码n 最小密码长度不小于6位n 密码中必须包含字母和数字n 和个人信息无关n 最近6个密码不得重复用户帐号初始密码n 最小密码长度不小于8位n 密码中必须包含大写字母、小写字母和数字用户帐号和密码的保护关于*用户帐号和密码的保护，本管理制度做下列规定：n 对于自动生成密码的系统，必须确保密码生成算法的可靠性和安全性以及密码生成“种子”的随机性。n 用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分，特别是拥有管理员权限或超级管理员权限的用户。n 严禁以任何明文格式存储帐号和密码 如果使用有加密功能的密码存储软件，则需经过计算机信息安全相关人员评估核准后方可使用。n 严禁通过公共网络（例如，互联网、公共电话网等），以明文格式传送帐号和密码。n 系统管理员必须设定用户登录尝试的次数限制，对于信息安全员和系统管理员帐号，登录尝试次数为3次。对于普通用户和系统操作员帐号，登录尝试次数为5次。一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数，该帐号会被自动禁止，直到系统管理员重新激活该用户帐号。n 系统管理员应当设定：在用户成功登录系统后，提示用户上次登录的情况（时间、登录名和登录成功与否等信息） 此功能的设定，能使用户立即知道自己的计算机是否被非法（使用未知用户名或使用自己的用户名在非工作时间）登录，有助于立即发现计算机安全事故和安全隐患。n 系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制，严禁对其进行任何远程访问（只有信息安全员帐号才有“读”的权限）。n 系统管理员必须在系统正式启用前，更改所有的系统缺省帐号的密码，并禁止所有匿名帐号。n 系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时，必须强制该用户更改密码。n 系统管理员必须定期检查用户帐号使用情况，如有用户帐号在30天内没有使用，则有必要暂时禁止用户帐号（系统管理员帐号和信息安全员帐号例外）。n 系统管理员必须强制设定用户密码不得为空，并且符合有关密码强度规定。n 系统管理员必须开启系统内建的用户帐号、用户权限管理和登录管理的审计功能，并对其生成的日志文件进行妥善保管，以确保日志文件的安全性和完整性。n *和*的信息安全员必须定期对用户帐号和密码的使用、变更、禁用、删除相关的系统日志文件连同相关书面申请文件进行安全审计（每月一次），并对所有相关文件进行记录备案。n *和*的信息安全员必须定期（每月一次）对用户帐号进行清查工作，及时删除无用、无主的用户帐号。n 严禁以任何理由，使用他人帐号或操作卡访问*计算机信息系统资源。n 严禁以任何方式获取他人帐号和密码。n 严禁在任何生产系统中创建临时用户或测试用户帐号。n 小型机生产机和主数据库生产机的超级管理员密码必须分为两段，由*信息安全员和相关的系统管理员二人分别掌管，二人同时在场方可实施本机登录。n *信息安全员帐号和密码，必须由*信息安全员将其备份，经安全密封后，存放在保险柜中妥善保管。；*信息安全员帐号和密码，必须由*信息安全主管将其备份，经安全密封后，存放在保险柜中妥善保管。用户帐号和密码的管理用户密码的变更n 在系统管理员创建或初始化用户帐号和密码后，用户需要立即改变初始密码。n 所有用户的密码必须定期进行变更（所有密码的变更周期应小于1个月，并大于5天），以最大程度确保密码的安全性。n 用户丢失或遗忘密码，必须向其所在部门主管提出书面密码初始化申请，经核准后，由系统管理员具体实施密码的初始化程序，然后通知有关用户，并登记备案。n 系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时，应立即强制该用户更改密码，并记录备案。用户帐号的禁止n 在超过规定登录次数限制时，用户帐号会被系统自动锁住 此功能是为了防止有人使用“穷举法”猜测用户登录密码。n 用户帐号在规定时间（30天）内没有使用，用户帐号会被系统管理员手工禁止。n 用户没有按密码定期变更的规定定期修改密码，超过系统设定的时限（5天）后，用户帐号会被系统自动禁止。n 用户违反*信息安全管理的有关规章制度，在经教育无效后，由信息安全主管授权，其用户帐号会被系统管理员手工禁止。n 用户在外长期休假（事、病假）、出差，在此期间，其相应的用户帐号应被系统管理员手工禁止。n 当用户发现帐号由于其他原因被禁止时，应及时报告部门主管和系统管理员，系统管理员在查明原因后再为其开通，并记录在案。用户帐号的删除n 用户如果因岗位变动而不再需要访问计算机信息资源时，系统管理员在收到该用户所在部门主管的书面通知后，删除该用户相应的用户帐号。n 用户离职后，系统管理员在接到该用户所在部门主管的书面通知后，删除该用户所有的用户帐号。n 为了项目或其他特殊原因而临时开放的用户帐号，如不再需要，经由项目负责人或*信息安全主管同意后，立即删除。用户帐号权限的变更n 如果用户因岗位变动或其他工作原因需要修改计算机访问权限，其部门主管需要书面通知有关系统管理人员，由系统管理人员修改权限。n 系统管理员需要依照“最小需要知道”原则对用户权限分配情况进行定期检查，如有必要，将修改用户权限，并通知该用户和其部门主管。用户帐号和密码管理制度的实施实施工作流程本管理制度是由*信息安全主管主要负责制订，并送交*信息安全领导小组审批。经审批通过后，由*信息安全主管领导、*信息安全员统一负责、*信息安全员分管负责，并在相关IT人员的协助下完成具体实施工作。更新维护要求*信息安全主管负责用户帐号和密码安全管理制度的维护工作。当制订用户帐号和密码安全使用管理制度的依据发生变化时，例如发生重大安全事故、出现新的安全弱点、*信息安全管理组织架构发生变化等，需要对用户帐号和密码安全使用管理制度进行相应的修改和审计，并报信息安全领导小组审批。同时，*信息安全主管还需要对用户帐号和密码安全使用管理制度进行每年一次的定期评估，以确保其内容的有效性、准确性和完整性。奖励和处罚用户帐号和密码安全使用管理制度将由信息安全员进行具体负责实施，并把执行情况向*信息安全主管汇报，再由*信息安全主管直接呈报给*信息安全领导小组作为*各部门年度目标责任制考核的内容之一。对执行制度好、计算机安全工作成绩显著的部门和个人，将给予表彰和奖励；对违反本安全管理制度和信息安全工作存在隐患的部门，由*信息安全领导小组发出书面整改通知，限期整改；对刻意不执行本安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改，以至造成重大安全事故和案件的，将追究其部门主要负责人和直接责任者的责任，并按*工作人员违法规章制度行为处理办法所列的相关条款予以处理，构成犯罪的，将依法追究其刑事责任。参考文献1. Information technology Code of practice for information security management，BS ISO/IEC 17799:20002. InfoSec Password Policy，Cisco Systems, Inc.，2002.83. 信息安全管理概论 BS7799理解与实施，科飞管理咨询公司，北京机械工业出版社，2002.4* Security Framework Policy Page 16 of 16