05-用户帐号和密码安全管理规范

资源描述

用户账号和密码安全管理规范 Security Framework Policy Page 1 of 16 用户账号和密码安全管理规范 V 1 0 用户账号和密码安全管理规范 Security Framework Policy Page 2 of 16 目录概述 4 适用范围 5 用户帐号的分类 6 用户帐号的创建 7 用户帐号创建流程 7 用户帐号创建的安全事宜 7 密码设置标准和最小强度规定 9 密码设置标准 9 密码最小强度规定 9 用户帐号和密码的保护 11 用户帐号和密码的管理 13 用户密码的变更 13 用户帐号的禁止 13 用户帐号的删除 13 用户帐号和密码管理制度的实施 15 实施工作流程 15 更新维护要求 15 奖励和处罚 16 参考文献 17 用户账号和密码安全管理规范 Security Framework Policy Page 3 of 16 概述用户帐号和密码是计算机信息系统中大量使用的用户身份验证的手段几乎所有的访问控制安全审计等信息安全技术防范措施都是建立在帐号密码的用户身份验证机制上因此缺乏用户帐号和密码管理或不规范的用户帐号和密码管理都会使得信息安全设备和系统形同虚设本管理制度的主要作用在于对用户帐号按照其重要性进行分类并从用户帐号和密码的创建保护变更和废除等方面对用户帐号和密码的相关管理作出详细的规定本管理制度从以下几个方面对用户帐号和密码安全管理进行全面阐述用户帐号的分类根据用户帐号的权限不同对不同的用户帐号进行归纳分类用户帐号的创建规定了用户帐号和密码创建的流程和所需遵守的安全规章制度密码的设置标准和最小强度要求规定了密码设置时需要遵守的安全规章制度和不同安全级别的用户帐号所要求的密码强度用户帐号和密码保护规定了用户在使用帐号和密码时所必须遵守的安全规章制度从而最大限度地确保帐号和密码的安全性用户帐号和密码的管理规定了更改废除用户帐号权限和密码的流程和相关安全事宜用户帐号和密码管理制度的实施规定了本管理制度的具体实施细则包括工作流程更新要求和奖惩措施等用户账号和密码安全管理规范 Security Framework Policy Page 4 of 16 适用范围本管理制度适用于所有用户帐号和密码以及能访问相关计算机信息的员工包括管理支持维护用户帐号和密码的 IT 人员用户账号和密码安全管理规范 Security Framework Policy Page 5 of 16 用户帐号的分类根据信息安全的需要把计算机信息系统用户帐号分为以下几类信息安全员帐号由信息安全员具体掌管一般是指所有计算机系统包括小型机操作系统业务和办公服务器操作系统数据库关键业务和办公应用程序网络管理应用程序关键网络设备加密设备和应用程序的超级管理员帐号或有超级管理员权限的帐号其主要用于创建初始密码变更权限删除禁止系统管理员帐号和进行其他计算机信息系统安全审计工作等系统管理员帐号由相关系统管理员具体掌管一般是指所有计算机系统包括小型机操作系统业务和办公服务器操作系统数据库关键业务和办公应用程序网络管理应用程序关键网络设备加密设备和应用程序的有管理普通用户和操作员帐号设定普通用户和操作员访问许可修改系统配置安装系统组件等权限的帐号系统操作员帐号由相关系统操作员拥有的有限操作权限的帐号系统操作员帐号主要用于完成既定的计算机信息系统的操作工作例如打印备份数据输入等普通用户帐号由最终用户拥有的有限操作权限的帐号用于完成日常工作用户账号和密码安全管理规范 Security Framework Policy Page 6 of 16 用户帐号的创建用户帐号创建流程用户部门主管书面帐号申请帐号申请批准帐号申请否决系统管理员计算机信息安全员或计算机信息安全主管记录帐号创建细节供日后安全审计系统日志数据库通知用户帐号已创建和初始密码授权请求必要授权普通用户和操作员帐号由具体用户向所在部门的主管提出书面申请经其核准后送交系统管理员具体实施帐号和密码的初始化程序并登记备查然后通知有关用户如果需要创建系统管理员帐号或是信息安全员帐号则需要向信息安全主管提出书面申请经核实批准后再由信息安全主管授权才能实施帐号和密码的初始化程序并登记备查可参照执行所有的步骤包括临时权限的授予和取消步骤由系统的安全日志组件自动记录 1 信息安全员必须对相关帐号日志和帐号创建申请进行定期每月一次安全审计用户帐号创建的安全事宜在创建用户帐号时必须遵循下列安全规定 1 如果系统不提供相应的日志记录功能必须考虑以手工的方式对整个过程进行记录用户账号和密码安全管理规范 Security Framework Policy Page 7 of 16 严格限制创建公用用户帐号且公用帐号不得具有访问敏感信息以及写和执行的系统权限正式用户帐号的申请人只局限于本部员工用户帐号的权限设置应遵循最小需要知道原则即给用户能完成工作的最小权限关闭任何缺省的匿名帐号系统开启对用户帐号用户权限和登录管理的日志审计功能禁止使用空密码或与用户名相同的密码作为初始密码系统管理员在通知用户初始密码时必须采用加密或其他安全传输途径以确保初始密码不会被中途截取系统管理员必须强制用户在第一次登录时修改其初始密码严禁以任何明文形式传递和存放用户的初始密码因为项目原因需要创建临时用户帐号时则由项目负责人向信息安全主管提出书面申请经由核准后再由系统管理员统一创建临时用户帐号的密码由项目负责人统一指定和保管并且严禁在生产系统中创建临时用户或测试用户项目完成后立即删除所有临时的用户帐号用户账号和密码安全管理规范 Security Framework Policy Page 8 of 16 密码设置标准和最小强度规定密码设置标准所有密码必须是具有足够长度和复杂度所有密码之间没有任何联系即无法从前个生成的密码推测出下个密码所有密码不得采用英文单词拼音或其他有意义的词语和符号例如用户的姓名生日等所有密码不得全部由数字或字母组成除非系统不予支持密码最小强度规定 2 密码类别最小强度规定信息安全员帐号密码最小密码长度不小于 10 位密码中必须包含大写字母小写字母数字和其他特殊符号和个人信息无关最近 20 个密码不得重复系统管理员帐号密码最小密码长度不小于 8 位密码中必须包含大写字母小写字母和数字和个人信息无关最近 10 个密码不得重复系统操作员帐号密码最小密码长度不小于 8 位密码中必须包含字母和数字和个人信息无关 2 如果所规定的密码最小强度不被系统支持则使用该系统所支持的最高强度密码用户账号和密码安全管理规范 Security Framework Policy Page 9 of 16 最近 6 个密码不得重复普通用户帐号密码最小密码长度不小于 6 位密码中必须包含字母和数字和个人信息无关最近 6 个密码不得重复用户帐号初始密码最小密码长度不小于 8 位密码中必须包含大写字母小写字母和数字用户账号和密码安全管理规范 Security Framework Policy Page 10 of 16 用户帐号和密码的保护关于用户帐号和密码的保护本管理制度做下列规定对于自动生成密码的系统必须确保密码生成算法的可靠性和安全性以及密码生成种子的随机性用户严禁向任何人公开其本人或他人的帐号和密码的全部或部分特别是拥有管理员权限或超级管理员权限的用户严禁以任何明文格式存储帐号和密码 3 严禁通过公共网络例如互联网公共电话网等以明文格式传送帐号和密码系统管理员必须设定用户登录尝试的次数限制对于信息安全员和系统管理员帐号登录尝试次数为 3 次对于普通用户和系统操作员帐号登录尝试次数为 5 次一旦在一定时间内使用同一个用户帐号的失败登录超过限定次数该帐号会被自动禁止直到系统管理员重新激活该用户帐号系统管理员应当设定在用户成功登录系统后提示用户上次登录的情况时间登录名和登录成功与否等信息 4 系统管理员必须对存有用户帐号和密码的数据库和注册表进行严格的访问控制严禁对其进行任何远程访问只有信息安全员帐号才有读的权限系统管理员必须在系统正式启用前更改所有的系统缺省帐号的密码并禁止所有匿名帐号系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时必须强制该用户更改密码系统管理员必须定期检查用户帐号使用情况如有用户帐号在 30 天内没有使用则有必要暂时禁止用户帐号系统管理员帐号和信息安全员帐号例外系统管理员必须强制设定用户密码不得为空并且符合有关密码强度规 3 如果使用有加密功能的密码存储软件则需经过计算机信息安全相关人员评估核准后方可使用 4 此功能的设定能使用户立即知道自己的计算机是否被非法使用未知用户名或使用自己的用户名在非工作时间登录有助于立即发现计算机安全事故和安全隐患用户账号和密码安全管理规范 Security Framework Policy Page 11 of 16 定系统管理员必须开启系统内建的用户帐号用户权限管理和登录管理的审计功能并对其生成的日志文件进行妥善保管以确保日志文件的安全性和完整性和的信息安全员必须定期对用户帐号和密码的使用变更禁用删除相关的系统日志文件连同相关书面申请文件进行安全审计每月一次并对所有相关文件进行记录备案和的信息安全员必须定期每月一次对用户帐号进行清查工作及时删除无用无主的用户帐号严禁以任何理由使用他人帐号或操作卡访问计算机信息系统资源严禁以任何方式获取他人帐号和密码严禁在任何生产系统中创建临时用户或测试用户帐号小型机生产机和主数据库生产机的超级管理员密码必须分为两段由信息安全员和相关的系统管理员二人分别掌管二人同时在场方可实施本机登录信息安全员帐号和密码必须由信息安全员将其备份经安全密封后存放在保险柜中妥善保管信息安全员帐号和密码必须由信息安全主管将其备份经安全密封后存放在保险柜中妥善保管用户账号和密码安全管理规范 Security Framework Policy Page 12 of 16 用户帐号和密码的管理用户密码的变更在系统管理员创建或初始化用户帐号和密码后用户需要立即改变初始密码所有用户的密码必须定期进行变更所有密码的变更周期应小于 1 个月并大于 5 天以最大程度确保密码的安全性用户丢失或遗忘密码必须向其所在部门主管提出书面密码初始化申请经核准后由系统管理员具体实施密码的初始化程序然后通知有关用户并登记备案系统管理员或信息安全员在发现任何企图非法使用某用户帐号的情况时应立即强制该用户更改密码并记录备案用户帐号的禁止在超过规定登录次数限制时用户帐号会被系统自动锁住 5 用户帐号在规定时间 30 天内没有使用用户帐号会被系统管理员手工禁止用户没有按密码定期变更的规定定期修改密码超过系统设定的时限 5 天后用户帐号会被系统自动禁止用户违反信息安全管理的有关规章制度在经教育无效后由信息安全主管授权其用户帐号会被系统管理员手工禁止用户在外长期休假事病假出差在此期间其相应的用户帐号应被系统管理员手工禁止当用户发现帐号由于其他原因被禁止时应及时报告部门主管和系统管理员系统管理员在查明原因后再为其开通并记录在案用户帐号的删除用户如果因岗位变动而不再需要访问计算机信息资源时系统管理员在收到该用户所在部门主管的书面通知后删除该用户相应的用户帐号 5 此功能是为了防止有人使用穷举法猜测用户登录密码用户账号和密码安全管理规范 Security Framework Policy Page 13 of 16 用户离职后系统管理员在接到该用户所在部门主管的书面通知后删除该用户所有的用户帐号为了项目或其他特殊原因而临时开放的用户帐号如不再需要经由项目负责人或信息安全主管同意后立即删除用户帐号权限的变更如果用户因岗位变动或其他工作原因需要修改计算机访问权限其部门主管需要书面通知有关系统管理人员由系统管理人员修改权限系统管理员需要依照最小需要知道原则对用户权限分配情况进行定期检查如有必要将修改用户权限并通知该用户和其部门主管用户账号和密码安全管理规范 Security Framework Policy Page 14 of 16 用户帐号和密码管理制度的实施实施工作流程本管理制度是由信息安全主管主要负责制订并送交信息安全领导小组审批经审批通过后由信息安全主管领导信息安全员统一负责信息安全员分管负责并在相关 IT 人员的协助下完成具体实施工作更新维护要求信息安全主管负责用户帐号和密码安全管理制度的维护工作当制订用户帐号和密码安全使用管理制度的依据发生变化时例如发生重大安全事故出现新的安全弱点信息安全管理组织架构发生变化等需要对用户帐号和密码安全使用管理制度进行相应的修改和审计并报信息安全领导小组审批同时信息安全主管还需要对用户帐号和密码安全使用管理制度进行每年一次的定期评估以确保其内容的有效性准确性和完整性用户账号和密码安全管理规范 Security Framework Policy Page 15 of 16 奖励和处罚用户帐号和密码安全使用管理制度将由信息安全员进行具体负责实施并把执行情况向信息安全主管汇报再由信息安全主管直接呈报给信息安全领导小组作为各部门年度目标责任制考核的内容之一对执行制度好计算机安全工作成绩显著的部门和个人将给予表彰和奖励对违反本安全管理制度和信息安全工作存在隐患的部门由信息安全领导小组发出书面整改通知限期整改对刻意不执行本安全管理制度漠视信息安全工作和存在安全隐患而没有及时整改以至造成重大安全事故和案件的将追究其部门主要负责人和直接责任者的责任并按工作人员违法规章制度行为处理办法所列的相关条款予以处理构成犯罪的将依法追究其刑事责任用户账号和密码安全管理规范 Security Framework Policy Page 16 of 16 参考文献 1 Information technology Code of practice for information security management BS ISO IEC 17799 2000 2 InfoSec Password Policy Cisco Systems Inc 2002 8 3 信息安全管理概论 BS7799 理解与实施科飞管理咨询公司北京机械工业出版社 2002 4

展开阅读全文

05-用户帐号和密码安全管理规范

最新文档