大学信息管理中心账号口令权限安全管理规定.docx

大学信息管理中心账号口令权限安全管理规定第一章总则第一条为加强*大学信息管理中心（以下简称中心）用户权限控制，实现信息系统访问权限的分配，防止非授权访问，特制订此规定。第二条本规定适用于所有使用*大学信息系统的用户以及管理员。第二章账户管理第三条应用系统账户由应用系统管理员建立；网络系统、安全系统账户由网络管理员建立；主机操作系统、数据库系统账户由系统管理员建立。新建用户账户应首先由使用人提出申请，经安全管理员审批后，再由相应管理员建立,并按照汉办习惯方式设置账户名称。第四条用户在每个系统中只能拥有一个账户，以便将用户与其操作联系起来，使用户对其操作负责。第五条用户离开汉办或工作职责调整时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。同时在员工离开汉办后，要对其个人计算机中的信息进行处理后，方可交给其他人使用。第六条对于非汉办的用户，需要访问汉办资源时，由接待人为其办理审批程序，并由管理员创建guest账户给其使用。第三章权限管理第七条用户分配的权限以满足所在岗位最低工作要求为准。第八条管理员在做权限设定时候要明细化，尽可能减少因拥有的权限划分较粗带来的不正当信息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户的单独监控。第九条特权用户必须按授权程序通过安全管理员批准,才可给予相应的权限。第十条管理员应保留所有特权用户的授权程序与记录。第十一条管理员对分配的所有权限记录进行维护。只有符合工作需要的信息访问要求，应用系统管理员才可授权;若不符合授权程序，则不授予权限。第十二条安全管理员应定期检查用户的账号及其权限,其中重点检查有特权的账号，是否存在特权使用期限过期。同时系统中不能存在无用或匿名账号，对于多余的用户账户必须删除。第四章口令管理第十三条基础运行环境（包括网络系统、安全系统、主机服务器操作系统、数据库）的管理员密码设置要求如下：（一）长度不得少于8个字符；（二）复杂度要求：必须是大小写字母、数字和符号的组合;（三）修改周期：半年；（四）密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。第十四条应用系统管理员权限的用户密码设置要求如下：（一）长度不得少于8个字符；（二）复杂度要求：必须是大小写字母、数字和符号的组合；（三）修改周期：半年；（四）密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。第十五条普通终端用户密码设置要求如下：（一）长度不得少于8个字符；（二）复杂度要求：至少达到大小写字母和数字的组合；（三）修改周期：半年；（四）密码修改：再次修改的密码应确保未使用最近5次内的重复的密码。第十六条不要使用个人相关信息（如姓名、电话号码、生日等）做为口令。第十七条应避免在纸上记录口令，或以明文方式记录计算机内。第十八条用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令。第十九条口令文件的存储应和系统数据相分开，并采用安全方式存储和传输口令（例如加密或哈希）。第二十条应保证口令安全，不得共享个人口令，不得向其他任何人泄漏。对于泄漏口令造成的损失，由本人负责。第五章附则第二十一条本规定由信息安全工作组负责解释和修订。第二十二条本规定自发布之日起执行。