河南水利与环境职业学院帐号、口令及权限管理办法

第一章 总则

第一条 策略目标：为了加强学校信息安全保障能力，建立健全学校的安全管理体系，提高整体的信息安全水平，保障网络和业务系统的正常运营，提高网络服务质量，在学校安全体系框架下，本策略为加强学校职工对于系统账号、口令及权限的安全管理，规范学校的账号、口令及权限的使用，降低由于滥用、越权等威胁带来的风险。

第二条 适用范围：本策略适用于学校TCP/IP网络和所承载的业务系统。

第三条 使用人员及角色职责：本策略适用于学校安全管理员、各系统管理员、第三方维护和开发人员及所有使用IT设备的职工。

第四条 策略相关性：本策略涉及学校相关安全技术规范、安全检查及监控等管理办法。

第二章 组织和职责

第五条 学校职工进行账号申请和审批应由职工所在部门负责管理，部门应根据学校要求和职工岗位创建、变更和撤销职工的账号及权限。

第六条 学校信息化管理办公室应负责登记、备案用户账号，并定期对用户账号和权限进行监督、检查。

第七条 学校系统负责部门应严格按照审批后的账号、权限维护和管理系统，按要求生成、变更和删除职工账号，并由信息安全工作组定期进行检查。

 

第三章 账号管理

第八条 学校各系统应根据不同的角色确定用户账号，账号至少应当分为以下角色：

系统管理员：负责维护系统的管理员，一般应具有超级用户权限；

普通用户：访问系统的普通用户，一般只具有相应访问内容和操作的最小权限；

第三方人员：临时或长期进行系统维护的非学校内部人员，应当根据第三方人员的维护范围确定其使用权限；

安全审计人员：学校进行安全审计的人员，应能够查看系统的日志和审计信息。

第九条 各系统的账号应能标识系统访问的不同角色，应尽量避免使用系统默认账号，账号的设定应易于审计。

第十条 各系统管理员应当对系统中存在的账号进行定期审计，系统中不应存在无用或匿名账号。

第十一条 各部门和学校网络安全与信息化领导小组应定期检查和审计，内容应包含如下几个方面：

职工实际已经离职，但仍在用户列表上；

职工虽然仍在本学校工作，但不应该授予他使用某个业务系统的权利；

用户情况是否和安全部门备案的用户账号权限情况一致；

是否存在非法账号或者长期未使用账号；

是否存在弱口令账号。

各系统应开启系统安全日志功能，能够记录系统的登录和访问时间、操作内容。

第四章 口令管理

第十二条 用户口令的设置至少应该符合以下要求：

长度至少8位；

大小写字母、数字，以及特殊字符混合使用，例如：TmB1w2R!；

不是任何语言的单词；

不能使用缺省设置的密码。

第十三条 系统层的密码至少应该保证每季度更换一次，包括：UNIX/LINUX系统ROOT用户的密码、网络设备的enable密码、WINDOWS系统ADMINISTRATOR用户的密码，以及应用系统的管理用户密码。

第十四条 密码不能以明文的方式通过电子邮件或者其它网络传输方式进行传输。

第十五条 学校职工不能将密码告诉别人，如果系统的密码泄漏了，必须立即更改。

第十六条 系统管理员不能共享超级用户的口令，应采用组策略控制超级用户的访问。

第十七条 所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除。

第十八条 密码要以加密形式保存，加密算法强度要高，加密算法要不可逆。

第十九条 密码在输入系统时，不能在显示屏上明文显示出来。

第二十条 系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等。

第二十一条 除了系统管理员外，一般用户不能改变其它用户的口令。

第二十二条 如果需要特殊用户的口令（比如说UNIX下的Oracle），要禁止通过该用户进行交互式登录。

第二十三条 对于系统重要性高、资产价值高、威胁可能性可以使用强度更高的认证机制，例如采用双因素认证等。

 

第五章 权限管理

第一节 权限使用的一般原则

第二十四条 根据用户对系统资源的需求与最小授权原则进行授权。

第二十五条 用户在一个应用系统上只能拥有唯一的一个帐号，不得外泄用户名和密码，不得转借他人使用。

第二十六条 用户应该对其拥有的权限进行确认，表明其了解并接受该权限。

第二十七条 在多用户信息系统中，用户权限申请、更改、撤销必须通过审批。

第二十八条 用户工作岗位变动后，管理员应该立即修改其访问权限。

第二十九条 以清单的方式保留权限分配的记录。

第二节 用户权限申请及变更

第三十条 各部门人员根据工作需要提出系统或应用程序访问、权限变更的申请，填写《用户权限申请表》，由所在部门的业务责任人和办领导签字同意。

第三十一条 《用户权限申请表》需写明所需访问的系统或应用程序名称及所需的用户权限，

第三十二条 通过资格审核和权限审核的《用户权限申请表》送系统管理员进行审核和实施

第三节 用户权限申请及变更

第三十三条 用户需要注销自己的系统或应用程序帐户，应填写《用户权限申请表》申请注销帐户，并由所在部门的负责人签字同意。

第三十四条 《用户权限申请表》需注明原用户帐户的名称及权限等信息，并由申请人签字确认。

第三十五条 将《用户权限申请表》交系统维护部门签署意见，送该系统的系统管理员实施。

第三十六条 管理员实施后，将《用户权限申请表》送本部门负责人存档，并通知申请人签收。

第三十七条 当职工发生离职或转职时，由相关系统责任人注销该用户权限

第四节 用户权限的设置

第三十八条 系统管理员根据通过审核的《用户权限申请表》对用户和权限参数进行设置的作业。

第三十九条 系统管理员将准备的相关作业情况填写在《用户权限申请表》中，并变更相关技术资料、档案，。

第四十条 系统管理员负责《用户权限申请表》的归档保存。

第四十一条 完成用户权限设置和变更后，通知申请人员本人前来签收。

第五节 第三方人员权限管理

第四十二条 各系统应限制第三方人员的访问权限，如却因工作需要对第三方人员开通系统权限，严格按照本办法规定的用户权限申请流程进行申请，经过领导批准后对其开发工作所需的最小权限。

第六章 附则

第四十三条 本办法河南水利与环境职业学院信息化管理办公室制定，并负责解释和修订。

第四十四条 本办法自发布之日起执行。