第一章 总 则
第一条 为加强学校计算机信息系统密码的安全管理,提高计算机信息系统密码安全管理规范化、制度化水平,完善信息安全管理体系,根据《中华人民共和国密码法》等法律法规,结合学校实际,制定本办法。
第二条 学校所属校区内的(含远程接入校园网络)计算机信息系统用户密码的安全管理均适用本办法。
第三条 计算机信息系统密码是指用户在登录计算机系统过程中,用于验证用户身份的字符串,也称为计算机系统用户口令,主要为静态口令、动态口令等。静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。动态口令一般是指根据动态机制生成的、一次有效的口令。计算机系统用户口令主要包括:数据库系统、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条 计算机信息系统密码的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条 计算机信息系统密码持有人须保证密码的保密性,不得将密码记录在未妥善保管的笔记本及其他纸质介质中(密码
信封除外),严禁将密码放置在办公桌面或贴在计算机机箱、终端屏幕上,严禁将计算机信息系统用户密码借给他人使用。任何情况下不得泄漏计算机信息系统用户密码,一旦发现或怀疑用户密码泄漏,须立即更换。
第六条 计算机信息系统用户密码须加密存储在计算机系统中,严禁在网络上明文传输,在用户输入密码时,严禁在屏幕上显示密码明文,严禁计算机信息系统输出密码明文(密码信封除外)。
第七条 计算机信息系统用户密码持有人须保证密码具有较高安全性,应选择使用安全强度较高的密码,不得使用简单的代码和标记,严禁使用重复数字、生日、电话号码、字典单词等容易破译的密码。
第八条 任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户密码,盗用他人访问权限,威胁信息系统安全。
第九条 同一信息系统相同访问权限的用户应具有一致的密码安全要求。
第十条 具有登录计算机系统权限的用户须设置用户密码或其它验证用户身份的方式,严禁不验证用户身份直接登录信息系统。
第二章 管理职责及权限
第十一条 重要核心设备(如核心交换机、防火墙、服务器等)
应有专人统一管理,重要主机系统、核心网络设备、安全设备等超级用户及重要系统中具有关键访问权限用户的密码,采取两人互备制管理。
第十二条 计算机用户密码(专人管理的口令除外)持有人负责所持计算机用户密码在使用过程中的保密,负责设置、保存、更换计算机用户密码,负责密码自身的安全强度。
第十三条 系统管理(维护)人员、网络和安全设备管理(维护)人员负责启用计算机系统、网络和安全设备的密码安全管理的相关功能,负责删除计算机系统、网络和安全设备的多余用户和密码。
第十四条 应用系统开发人员负责实现应用系统支持密码安全管理的相关功能和机制。
第十五条 计算机信息系统密码采用授权使用机制,非系统管理员因工作需要使用系统管理密码时,由系统管理员设置临时密码,使用完毕后修改密码,并对授权行为进行记录。
第十六条 涉及密码人员岗位调整或发现密码泄露迹象时,须及时修改密码,修改密码不能使用原密码。
第三章 密码(口令)基本安全要求
第十七条 计算机用户密码基本要求由密码长度、密码字符复杂度、密码历史和密码最长有效期组成。
(一)密码最小长度:8位;
(二)密码字符组成复杂度:密码由数字、大小写字母及特殊字符组成,且至少包含其中两种字符(动态口令除外);
(三)密码历史:修改后的密码至少与前10次密码不同;
(四)密码最长有效期限:30/60/90 天,须根据系统重要性和用户权限采取不同的有效期。
第四章 主机系统、网络和安全设备用户密码安全要求
第十八条 系统用户密码主要包括主机系统、网络设备、安全设备等系统用户密码。
第十九条 主机系统、网络设备、安全设备等应启动密码管理相关功能和机制,须满足第三章密码基本安全要求,对于原有系统不支持或不具备相关技术功能和机制的,须逐步建立、完善相应的安全管理制度措施,弥补技术机制上的不足。
第二十条 主机系统、网络设备、安全设备等超级用户密码及重要系统中具有关键访问权限用户的密码,应采取两人互备制管理,超级用户密码须存档登记。
第二十一条 主机系统、网络设备、安全设备等超级用户密码及具有修改配置权限用户的密码应记录密码使用相关信息,包括并不限于设备名称、用户名称、密码启用时间、密码更换时间、密码使用者等内容。
第二十二条 主机系统、网络设备、安全设备等超级用户及其它用户密码的最长有效期应符合第三章密码基本要求。
第二十三条 当系统用户密码持有人岗位调整时,须删除其使用的用户;因工作需要须保留原用户的,应及时更换系统用户对应的密码,严禁使用原密码登录系统。
第二十四条 对于主机系统、网络设备、安全设备的用户密码及具有系统配置权限的用户,可根据实际情况使用动态口令。
第五章 应用系统用户密码安全要求
第二十五条 应用系统用户密码是指用于访问应用系统的用户密码,密码对应的用户为应用系统用户,在操作系统中并不存在相应用户。
第二十六条 应用系统在开发过程中须同步实现满足计算机系统用户密码基本要求的机制和功能,通过技术手段实现安全管理要求。对于现运行的、没有达到第三章密码基本要求的计算机系统的改造或升级,可结合具体情况稳步开展,同时应采用相应的管理措施,加强计算机系统用户密码的安全管理,保障应用系统安全。
第二十七条 应用系统用户须设置密码或使用其它身份认证方式,严禁不验证用户身份访问应用系统(对于信息网站中只浏览网页的用户,可不设置密码)。
第二十八条 应用系统须提供用户密码更换机制,严禁应用系统代码中包含用户密码。
第二十九条 应用系统用户的密码须定期更换,密码最长有效期可根据应用系统的重要程度和用户的权限设定,同时应符合第三章密码基本安全要求的最长有效期范围规定。
第六章 桌面计算机系统用户密码安全要求
第三十条 桌面计算机系统用户密码主要是指用户使用计
算机系统的登录密码,如台式机、笔记本电脑及其它个人计算设备的用户密码。
第三十一条 桌面计算机系统用户密码包括设备启动登录密码、操作系统登录密码、屏幕保护密码等。
第三十二条 桌面计算机系统用户密码须定期更换。
第七章 检查和监督
第三十三条 系统管理员须定期对用户密码安全管理情况进行检查,包括岗位和职责情况、密码登记变更情况、密码安全管理相关功能及其启用情况、多余用户密码删除情况、密码安全管理规定的落实和执行情况。
第三十四条 对于安全检查中发现的问题和隐患,各计算机系统主管和使用部门及密码持有人须认真进行整改。对于违反本办法造成严重后果的,学校将追究责任;情节严重触犯法律的,移交司法机关处理。
第八章 附 则
第三十五条 本办法由信息化办公室负责解释。
第三十六条 本办法自公布之日起施行。
