第一章總則
第一條為了加強(qiáng)河北藝術(shù)職業(yè)學(xué)院(以下簡(jiǎn)稱“河北藝校”)信息系統(tǒng)賬號(hào)與密碼的安全管理,規(guī)范信息系統(tǒng)賬號(hào)和密碼的使用����,降低信息安全風(fēng)險(xiǎn),制定本制度��。
第二章適用范圍
第二條本制度適用于河北藝術(shù)職業(yè)學(xué)院各部門����,規(guī)范非涉密信息系統(tǒng)的各類賬號(hào)與密碼管理。
第三章職責(zé)
第三條安全管理員負(fù)責(zé)系統(tǒng)管理賬號(hào)(包括主機(jī)操作系統(tǒng)�、數(shù)據(jù)庫(kù)、關(guān)鍵業(yè)務(wù)和辦公應(yīng)用系統(tǒng)����、網(wǎng)絡(luò)設(shè)備及管理程序、網(wǎng)絡(luò)安全設(shè)備及管理程序�����、加密設(shè)備及管理程序的超級(jí)管理員賬號(hào)或有超級(jí)管理員權(quán)限的賬號(hào))的分配和歸檔管理工作���。
第四條信息系統(tǒng)各管理員負(fù)責(zé)相關(guān)信息系統(tǒng)普通用戶賬號(hào)的創(chuàng)建����、初始化����、權(quán)限變更、刪除���、禁止等操作賬號(hào)管理工作����。
第五條信息系統(tǒng)用戶
1���、信息系統(tǒng)用戶根據(jù)賬號(hào)管理辦法申請(qǐng)賬號(hào)����,在賬號(hào)申請(qǐng)后�,有義務(wù)保證賬號(hào)的安全,不能私自共享賬號(hào)����。
2、信息系統(tǒng)用戶對(duì)賬號(hào)的使用必需遵守賬號(hào)與口令管理的規(guī)定����。
第四章賬號(hào)管理
第六條賬號(hào)創(chuàng)建流程:
1��、創(chuàng)建信息系統(tǒng)用戶賬號(hào):由具體用戶提出書(shū)面申請(qǐng)���。經(jīng)信息系統(tǒng)管理部門核準(zhǔn)后,由信息系統(tǒng)相關(guān)管理員具體實(shí)施賬號(hào)和密碼的初始化程序��,并登記備查����,然后通知用戶。
2�����、創(chuàng)建系統(tǒng)管理賬號(hào):由安全管理員向信息系統(tǒng)各管理員進(jìn)行授權(quán)���。
3����、系統(tǒng)的安全日志組件應(yīng)能記錄賬號(hào)的變動(dòng)信息�����,安全管理員應(yīng)每月對(duì)相關(guān)賬號(hào)日志和賬號(hào)創(chuàng)建申請(qǐng)進(jìn)行定期審核�。
第七條在創(chuàng)建用戶賬號(hào)時(shí)��,必須遵循下列安全規(guī)定:
1�、嚴(yán)格限制創(chuàng)建公用用戶賬號(hào)���,且公用賬號(hào)不得具有訪問(wèn)敏感信息以及“寫(xiě)”和“執(zhí)行”的系統(tǒng)權(quán)限。
2���、用戶賬號(hào)的權(quán)限設(shè)置應(yīng)遵循“最小需要知道”原則��,即給用戶能完成工作的最小權(quán)限�。
3����、系統(tǒng)開(kāi)啟對(duì)用戶賬號(hào)、用戶權(quán)限和登錄管理的日志審計(jì)功能��。
4�、禁止使用空密碼或與用戶名相同的密碼作為初始密碼。
第八條關(guān)閉所有缺省的匿名賬號(hào)�����。
第九條應(yīng)用系統(tǒng)管理員在通知用戶初始密碼時(shí)����,必須采用加密或其他安全傳輸途徑����,以確保初始密碼不會(huì)被中途截取����。
第十條應(yīng)用系統(tǒng)管理員必須強(qiáng)制用戶在首次登錄時(shí),修改其初始密碼����。
第五章密碼管理
第十一條密碼的設(shè)置應(yīng)符合以下規(guī)則要求:
密碼類別
|
最小強(qiáng)度規(guī)定
|
管理員賬號(hào)密碼
|
n最小密碼長(zhǎng)度不小于8位
n密碼中必須包含大寫(xiě)字母、小寫(xiě)字母��、數(shù)字和其他特殊符號(hào)
n最近10個(gè)密碼不得重復(fù)
|
信息系統(tǒng)用戶賬號(hào)密碼
|
n最小密碼長(zhǎng)度不小于8位
n密碼中必須包含字母和數(shù)字
n最近6個(gè)密碼不得重復(fù)
|
用戶賬號(hào)初始密碼
|
n最小密碼長(zhǎng)度不小于6位
n密碼中必須包含字母和數(shù)字
|
第十二條對(duì)于自動(dòng)生成密碼的系統(tǒng)����,必須確保密碼生成算法的可靠性和安全性以及密碼生成“種子”的隨機(jī)性。
第十三條嚴(yán)禁用戶向任何人公開(kāi)其本人或他人的賬號(hào)信息�,特別是擁有管理員權(quán)限或超級(jí)管理員權(quán)限的用戶。
第十四條賬號(hào)和密碼的存儲(chǔ)��、傳輸應(yīng)采用加密方式����,禁止將賬號(hào)信息記錄在紙介質(zhì)中或明文存放�。
第十五條管理員必須設(shè)定用戶登錄嘗試的次數(shù)限制和超過(guò)失敗次數(shù)的處置措施����。信息系統(tǒng)管理員賬號(hào)登錄嘗試次數(shù)不大于3次,信息系統(tǒng)用戶賬號(hào)登錄嘗試次數(shù)不大于5次�����。一旦在一定時(shí)間內(nèi)使用同一個(gè)用戶賬號(hào)的失敗登錄超過(guò)限定次數(shù)�����,該賬號(hào)應(yīng)被自動(dòng)禁用數(shù)分鐘或由管理員重新激活該用戶賬號(hào)����。
第十六條各類賬戶登錄界面應(yīng)啟用驗(yàn)證碼認(rèn)證機(jī)制�,避免暴力破解。
第十七條應(yīng)嚴(yán)格控制對(duì)存有用戶賬號(hào)和密碼文件的訪問(wèn)��。
第六章相關(guān)文件
第十八條無(wú)
第七章附則
第十九條本制度自發(fā)布之日起執(zhí)行���。
第二十條本制度的解釋和修改權(quán)屬于信息安全領(lǐng)導(dǎo)小組���。
第二十一條信息安全領(lǐng)導(dǎo)小組每年統(tǒng)一檢查和評(píng)估本制度���,并做出適當(dāng)更新。在業(yè)務(wù)環(huán)境和安全需求發(fā)生重大變化時(shí)�,也將對(duì)本制度進(jìn)行檢查和更新。
數(shù)據(jù)分析
學(xué)生
教職工
考生與訪客
網(wǎng)絡(luò)服務(wù)