账号密码安全标准.docx

XXX网络安全有限公司账号密码安全标准文件编号：1 .目的建立满足基本安全要求的帐号密码管理和使用标准。2 .范围适用于公司所有的或租用的信息系统的帐号管理，适用于内部员工、系统管理员、系统开发和其他使用者。3 .术语定义SSH：安全SheII,用来替代TELNET、FTP以及R命令的工具包，主要目的是用于解决口令在网上明文传输的问题。LDAP：轻量级目录访问协议。4 .参考文件无5 .角色与职责角色职责用户按本标准的要求设置和保护好自己的帐号。系统管理员1）按本标准的要求配置系统和采取提高帐号安全的措施；2）主要是系统级别的管理员，比如域帐号管理员，数据库管理员，OA管理员等；3）对离司人员所属帐号的停用或者删除等操作进行影响性评估；4）停用或者删除离司人员所属帐号；5）对帐号的管理操作进行归档、记录；6）反馈帐号的清理结果。运营人员1）主要是业务系统的用户管理人员，比如投资交易系统的用户管理人员；2）对系统中离司人员所属帐号的停用或删除等操作进行影响性评估；3）对离司人员所属帐号进行停用或者删除；4）对帐号的管理操作进行记录、归档。系统开发人员按本标准的要求实现系统的帐号管理功能和采取提高帐号安全的措施。6 .内容6.1.1 帐号注册1 .各个系统必须建立相应的帐号管理制度和管理流程。帐号申请和维护的审批信息根据系统的重要性和实际操作的方便性可以选择电子和书面的形式。帐号申请和维护的审批信息必须保存完整，以便进行帐号审查。2 .帐号授权的根本原则是最小权限原则，即满足用户能够完成相应工作的最小权限。6.2.1 密码管理1 .帐号的密码强度必须满足如下要求：1）至少包括大写字母、小写字母、数字、特殊字符中的三种。2）密码的长度必须大于等于8位或系统可支持的最大长度。3）密码与帐号不能类似（如相同system/system、相反system/metsys、相似administrator/admin等）。4）密码不能含有英语字典中的单词或汉字词的拼音。2 .系统管理员和系统自动给新增用户设置的初始密码必须满足上条所列要求，并且不能给用户设置雷同的初始密码；最好能够限制用户第一次登陆时必须修改密码（能够支持此功能的系统必须启用）03 .各系统必须给用户提供自主修改口令的途径。4 .在公司内部远程访问信息系统传输的帐号密码必须经过加密；如果系统非常重要并且条件允许的话，传输的所有数据都要经过加密。例如用SSH来替代telnet/ftp,用https来代替http。5 .操作系统和应用系统不能将帐号密码按明文或容易破解的方式存放，也不能按明文的方式显示，例如不能将帐号密码直接写在程序中。用户在使用的时候不能将密码按明文或容易破解的方式存放，也不能按明文的方式显示。如果要将密码按明文的方式存放，就必须保证密码存放的安全。6 .所有系统级的密码（例如：root,administrator,sys,system,admin,sysadmin,其他应用系统的管理帐号和特权帐号等）每30天修改一次。7 .所有用户级的密码（例如：内部网帐号，AD域帐号的帐号，应用系统的操作帐号）每30天修改一次。8 .用户拥有的有系统级权限帐号的密码应该与其他拥有的用户级的密码不同。9 .系统应该设置定期的密码修改策略，并限制至少最近3个旧密码的重用。10 .系统默认帐号的密码必须定期修改，包括一些协议的默认口令，如：使用SNMP时，必须将"communityStringS"的缺省值"public","private”改为其他值。11 .帐号密码不能够通过传真等明文可见的方式发送。如果通过电话和邮件进行帐号密码传送，接受方必须立即修改密码。通过邮件进行传送时，帐号和密码的传送必须分别进行。12 .密码使用的严禁行为：1）不要将公司以外的帐号密码作为公司信息系统的帐号密码。如：家里的上网密码、万维网上的邮箱密码等。2）不要将测试系统和生产系统的同名帐号取相同的密码。3）不要与家人共享公司信息系统的帐号密码。4）如果使用多人共用的计算机，不要使用程序中能够记住密码的功能，如IE中有能够记住密码的功能。13 .信息安全人员有权使用扫描工具定期或不定期地对帐号密码的复杂性进行检查。如果密码在扫描中被检查出来，帐号的使用人必须立即修改。6.3.1 帐号管理1 .系统管理员负责系统缺省帐号的安全，用户负责自己使用帐号的安全。2 .生产系统中原则上不能多人共用同一个帐号。如果必须多人共用同一个帐号，就必须做好帐号的使用管理（帐号转交后必须及时修改密码，记录帐号的使用情况等）并不能共用密码，以便可以对帐号的使用进行审查。3 .帐号必须唯一，不能在使用人（包括员工、客户、合作伙伴等）中断与公司的关系后分配给其他人使用，但与个人没有关联的系统帐号除外。4 .对超过120天未使用的帐号须做停用处理。5 .系统应该启用登录失败的限制功能，在连续5次登录失败后，系统应该自动暂停相关帐号。6 .帐号被锁定后必须由管理员解锁。7 .负责帐号授权的管理员应定期（至少每半年一次）审查系统中的帐号，保证帐号的授权是合理的，以确保所有已授予的权限均为用户工作必需的权限，及时删除或禁用过期或不使用的帐号。8 .如果系统中具备帐号审计（记录帐号访问时间、来源的机器名、IP地址等信息）和管理功能（限制密码的最小长度、有效期、密码复杂度、可访问的时间、可尝试的次数、首次登陆必须修改密码等），系统管理员必须启用相关功能。9 .系统必须记录所有的系统登录信息，包括成功和失败的登录。10 .用Internet,拨号、无线网络等方式从外部来访问公司信息系统时，必须经过VPN按公钥/私钥或更强认证的方式来进行认证，并且传输的数据必须经过加密处理。11 .应该建立公司唯一的用户管理系统，尽量将不同系统的帐号用一个统一的帐号数据源管理起来，例如采用WlNDOWSAD或其他LDAP目录服务系统来统管理帐号信息。12 .新开发系统的帐号管理应该采用公司统一的帐号管理系统。原有系统的帐号管理应该尽量进行改造，采用公司统一的帐号管理系统。13 .公司开发的系统应该至少包含帐号审计的功能，记录异常访问、非法的登录尝试等信息，最好能够提供帐号的管理功能（限制密码的最小长度、有效期、可访问的时间、可尝试的次数、首次登陆必须修改密码等），最好也能够支持对帐号进行按角色授权的方式。14 .如果发现帐号被他人盗用，必须立即通知相关的系统管理员。系统管理员应该找出帐号的盗用人并上报相关领导。如果通过被盗用的帐号能够获取或破解其他帐号的密码，系统管理员就应该立即更改系统中所有帐号的密码。15 .设置系统对空闲的需要人员进行交互操作的连接（如：用户远程连接），超过30分钟自动断开。6.4.1 帐号注销1 .人员离职时所有所属的帐号必须及时禁用或删除。2 .帐号注销处理人必须在接到通知的1个工作日内将离职人员的帐号禁用，3 .离职人员的其他帐号必须在接到通知的2个工作口内禁用。4 .帐号的停用、删除等操作必须获得授权和批准。5 .系统管理员或运营人员必须对帐号的停用、删除等管理操作进行业务影响性分析。6 .为了保留审计证据，帐号首选的操作是停用或者冻结，在停用或者冻结动作不可行的情况下才可以选择删除操作。7附件